Построение внутренней СОИБ (системы обеспечения информационной безопасности) на предприятии

Малыгин Д.Г.
выпускник группы MBA CSO 01
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Построение комплексной системы информационной безопасности (КСИБ) в крупной компании представляет собой сложный процесс, связанный с изменением существующих бизнес-процессов, функционала подразделений, а также перераспределением ответственности между руководителями разного уровня подчиненности. Любой новый процесс, а тем более новое подразделение,  очень тяжело вклинить в нормально работающую и приносящую прибыль компанию, а процесс контроля, информационного контроля, и вообще запредельная задача. На практике приходится сталкиваться не столько с  техническими трудностями реализации, сколько с коммуникациями на уровне операционного управления. Никто и никогда из директоров CIO не захочет добровольно устанавливать у себя на локальной вычислительной сети системы контроля трафика, а тем более исполнять какие то правила информационной безопасности написанные и спущенные с верху, поэтому построить КСИБ используя добровольно-принудительные меры, не поругавшись с CIO и остаться на работе – это искусство.

Цель проводимого в работе исследования – описать, как построить КСИБ в крупной компании, с какими трудностями предстоит столкнуться и как их преодолеть при реализации проекта.

Основные задачи, решаемые в процессе работы:

• внедрить документацию по информационной безопасности;
• организовать процесс управления и контроля доступа к информационным ресурсам;
• сформировать подразделение информационной безопасности;
• организовать контроль над информацией.

Текущее положение в крупных компаниях характеризует несколько ключевых моментов. Один из моментов, это сокращение расходов. Безопасность – это расходы всегда. Снизить затраты на безопасность используя внутренние резервы компании можно и нужно. С одной стороны, это оказывает влияние на уменьшение себестоимости внедряемых организационно-технических решений. С другой стороны, сокращение затрат на безопасность принимаются у руководителей компании как – это что то новое и соответственно вызывает интерес. Если интересно руководителю, значит, проект имеет шансы жить и развиваться. Руководство компании должно знать, как происходит доступ к той или иной финансово значимой информации в компании, как эта информация храниться и кто конкретно отвечает за нормальное функционирование тех или иных информационных систем. Доступна, актуальна и информативна ли информация курсирующая по локально вычислительной сети компании. При отсутствии КСИБ могут быть пропущены действительно хорошие возможности сокращения затрат за счет простого управления информационных потоков. Необходимость тщательного анализа текущей ситуации с информационной безопасностью становится жизненно необходимым, бизнес- критичным процессом, в крупной компании. КСИБ - система предоставляет сотрудникам целевой, персонализированный доступ к информации, которая способна сделать их работу более эффективной, и охватывает все основные направления внутри компании: финансы, маркетинг, товародвижение, логистику, управление персоналом, информационные технологии. Существуют методики и разработаны стандарты в области информационной безопасности, где все просто и понятно написано как это сделать, в теории. Казалось бы, что проще взять стандарт и применить его в компании, ведь вроде все требования идентичны, но на практике это часто не так. Понятие информационная безопасность может по-разному пониматься в разных департаментах одной компании. Поэтому важным видится единое понимание сотрудников компании, что такое информационная безопасность.  Зачастую простое информирование о работе подразделения информационной безопасности, распространенной на всю организацию, позволяет устранить разную трактовку этого понятия. Помимо этого нужны гибкие инструменты интеграции в компании нового подразделения и многое зависит и от харизматичности руководителя информационной безопасности. Именно ему создавать положительный образ нового подразделения. Крайне важным для руководителя ИБ организовать «центр контроля» за информационными потоками, необходимо добиться, чтобы во всех решениях связанных с доступом к информационным ресурсам, созданием новых информационных ресурсов, передачей информации третьим лицам, уничтожением информационных ресурсов,  участвовало подразделение информационной безопасности.

Подразделение информационной безопасности  должно быть подотчетна руководителям высшего звена - директору по безопасности или исполнительному директору, с тем, чтобы обеспечить прямую и короткую связь с руководителем компании. События на информационной сети происходят часто и не все являются следствием существующих в компании бизнес-процессов, часто информация уходит за пределы компании скрытно, руководитель об этом должен знать первым. Подчинение информационной безопасности подразделению ИТ недопустимо!!! Контролер и подконтрольный не должен быть в одном подразделении.

Построение КСИБ в компании  предоставляет множество преимуществ для представителей ИБ, IТ-структур и бизнеса. Офицеры безопасности получают возможность контролировать права доступа в информационных системах: в любой момент времени знать, кто, куда, когда и какой доступ имел. Техническая составляющая КСИБ позволяет оперативно отслеживать и расследовать инциденты информационной безопасности, связанные с наличием избыточных привилегий, выполнять регламенты разделения ответственности и инвентаризации прав доступа пользователей. КСИБ позволяет значительно ускорить процессы управления доступом, тем самым это способ повысить эффективность работы сотрудников, а также повысить прозрачность процессов управления доступом.

Краткие выводы по работе:

Обновленная орг. структура компании содержит принципиально новое подразделение – Подразделение информационной безопасности, которое работает на сервисной модели управления. Это важный шаг по созданию современного, хорошо организованного сервисного подразделения.