Менеджмент информационной безопасности на примере организации ООО «Компания РАН»

Голубев С.В.
выпускник группы MBA CIO-28b
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Рост экономики, научно-технический прогресс, все  это те факторы, которые обуславливают все более растущие темпы внедрения последних достижений в области информатизации во все сферы социально-экономической жизни Российского общества. Уже крайне сложно представить бизнес, который бы не использовал последних достижений в области мобильных коммуникаций, компьютерных технологий. Любой бизнес стал неотрывно связан с получением и передачей информации.

Использование информационных технологий привело к появлению ряда проблем для руководства организацией. Потеря информационных ресурсов или завладение конфиденциальной  информацией конкурентами, наносит предприятию значительный ущерб и  может приводить к банкротству. Информация, обрабатываемая в автоматизированных информационных системах  достаточно уязвима. Вместе с развитием информационных технологий происходит и рост преступности, связанной с хищением и неправомерным использованием информации.

Все это привело к развитию направления по защите информации и обеспечению безопасности информационных систем. Обеспечение информационной безопасности – это процесс, ну а коль скоро это процесс, то этим процессом надо управлять.

Цель данной работы проанализировать систему менеджмента информационной безопасности в ООО «Компания Ран», а также разработать стратегию информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности.

При проведении исследований был использован метод экспертного оценивания, позволивший опираясь на существующие стандарты и рекомендации в области защиты информации проанализировать состояние системы информационной безопасности и как следствие, опираясь на полученные данные, создать эффективную политику информационной безопасности компании.

Объектом исследования является организация эффективного функционирования отдела безопасности информационных технологий, при этом предметом исследования стало создание политики безопасности, как нормативного документа верхнего уровня, определяющего требования безопасности, систему мер, порядок действий, а также ответственность сотрудников организации и механизмы контроля обеспечения информационной безопасности.

ООО «Компания Ран» специализируется на производстве и продаже широкого ассортимента детских товаров и работает на Российском рынке более 18 лет. В Компании работает более 1200 человек. Численность работников неуклонно растет, что в первую очередь объясняется постоянным ростом объемов производства и продаж выпускаемой продукции.

Необходимость для ООО «Компания Ран»  тщательно спланированной и постоянно поддерживаемой защиты вытекает из наличия ряда характерных для производственной и управленческой деятельности, специфических факторов:

• Хранимая и обрабатываемая в информационных системах информация представляет собой данные, на основании которых принимаются стратегические решения,  производятся выплаты различного рода, осуществляются переводы и платежи.
• Информация в информационной системе затрагивает интересы большого количества людей и организаций – клиентов Компании. Как правило, она конфиденциальна.
•  Продолжает возрастать удельный вес компьютерных преступлений и материальный ущерб от них в общей доле материальных потерь от преступлений.

Нарушение ИБ может приводить к:

• Потере доходов
• Правовым последствиям
• Ухудшению репутации
• Снижению доверия инвесторов
• Снижению доверия клиентов
• Потеря или компрометация данных
• Нарушение бизнес-процесса

По оценке специалистов США, ущерб от компьютерных преступлений увеличивается на 35 процентов в год. Поэтому ясно, что информация - это ресурс, который надо защищать.

Таким образом, обеспечение информационной безопасности в ООО «Компания Ран»  имеет двунаправленный характер:

• необходимо гарантировать непрерывность и корректность работы информационных автоматизированных систем;
• необходимо обеспечивать защиту информации в автоматизированных информационных системах.

В настоящее время все большее признание и распространение получает системно-концептуальный подход к защите информации, в основу которого положен вывод о том, что защита информации есть не одноразовая акция и не совокупность мероприятий, а непрерывный процесс, целенаправленно осуществляемый на всех этапах создания и функционирования информационно-технологических систем с проведением комплекса мероприятий и применением всех имеющихся средств и методов защиты.

Менеджмент информационной безопасности в организации - это часть общего корпоративного менеджмента организации, которая ориентирована на содействие достижению целей деятельности организации через обеспечение защищенности ее информационной сферы.

Продуманная система менеджмента ИБ:

• Обеспечивает качество бизнеса Компании
•  Позволяет выстроить оптимальную систему защиты
•  Позволяет реально снизить риски безопасности до заданного уровня
•  Позволяет снизить риски возникновения операционных рисков и системных кризисов

Эффективный менеджмент информационной безопасности подразумевает проведение эффективных политик информационной безопасности, которые определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски информационной безопасности до приемлемой величины.

Для проведения исследований по оценке уровня менеджмента ИБ в Компании была разработана методика и опросник, в основу которого был заложен метод экспертного оценивания. Данный вопросник позволяет оценить три групповых показателя ИБ:

• Оценка текущего уровня информационной безопасности в Компании
• Оценка процессов системы менеджмента информационной безопасности
• Оценка осознания информационной безопасности

Каждое из этих трех групповых показателей ИБ оценивается на основе ряда частных показателей ИБ. Частные показатели ИБ представлены в виде вопросов, ответы на которые дают возможность определить оценки, которые затем формируют оценки групповых показателей. Для оценки каждого частного показателя ИБ было разработано в среднем от 5 до 20 вопросов. Весь вопросник состоит из более чем 450 вопросов.

Разработанная методика содержит формы, предназначенные для заполнения при проведении оценки. Каждая из форм содержит групповой показатель ИБ, входящие в него частные показатели ИБ и метрику (способ оценивания) для оценивания частных показателей. Метрика содержит шкалу для оценивания степени реализации требований и коэффициенты значимости частных показателей ИБ.

Проведенный опрос позволил оценить существующее положение ИБ в Компании, выявить наиболее приоритетные направления работы и  а также создать эффективную политику информационной безопасности.

В итоге мы имеем возможность проводить аудит ИБ, как для оценки текущего состояния, так и для оценки динамики.

Была разработана организационно-штатная структура отдела защиты информации в рамках СБ, который и являлся объектом исследований.  На данных момент отдел состоит пока из трех человек.

Предметом исследования данной работы стало создание и внедрение политики безопасности, как нормативного документа верхнего уровня, определяющего требования безопасности, систему мер, порядок действий, а также ответственность сотрудников организации и механизмы контроля обеспечения информационной безопасности. Политика безопасности была разработана с учетом результатов проведенных оценок СМИБ, анализа рисков ИБ, модели нарушителей, а также на основе стандартов в области.  В силу того, что данный документ является документом для служебного пользования, он не вошел в диплом, но Вы с ним можете ознакомиться.

На основе разработанной политики информационной безопасности проводиться комплекс мероприятий: организационных, организационно-технических, технических, позволивший минимизировать риски нарушения информационной безопасности до заданного уровня.

Согласно общеизвестному "Закону Парето" «20 % усилий дают 80 % результата, а остальные 80 % усилий — лишь 20 % результата». Можно  утверждать, что эффективность механизмов безопасности различна и в большинстве случаев определенный, ограниченный набор действий позволяет ликвидировать большую часть угроз и обеспечить требуемый уровень безопасности. Т.е. с минимальными инвестициями в СМИБ был достигнут максимальный результат.

В результате проведения данной работы были выполнены все поставленные цели, т.е. проанализирована система менеджмента информационной безопасности в ООО «Компания Ран», а также разработана стратегия информационной безопасности предприятия в виде системы эффективных политик.

Для этого были решены следующие задачи:

• разработана методика проведения аудита ИБ;
• проведен анализ системы менеджмента ИБ;
• проведена классификация информации, разработан перечень сведений, подлежащих защите;
• разработана и внедрена корпоративная политика безопасности Компании;
• разработана организационно-штатная структура отдела защиты информации, определены основные задачи и функции, созданы должностные инструкции сотрудников;

Решенные задачи позволили:

• повысить общий уровень защиты информационных ресурсов в ИТ-инфраструктуре Компании;
• скоординировать, формализовать и зафиксировать требования и процедуры информационной безопасности;
• обосновывать и планировать мероприятия по обеспечению ИБ;
• зафиксировать ответственность между пользователями, администраторами и руководителей структурных подразделений в части информационной безопасности;
• упорядочить деятельность по эксплуатации существующих мер защиты;
• обеспечить информационную безопасность с учетом требований национальных и международных стандартов.