Построение системы безопасности среднего коммерческого предприятия

Введение

В своей работе я рассматриваю построение системы информационной безопасности, как части системы безопасности среднего бизнеса, на примере организации, в которой работаю (ООО «Тойота Мотор»). Основные принципы, которых придерживается компания согласно социальной политики являются:
1. Соответствие общим для TOYOTA и соответствующим тематике бизнеса направлениям социальных инициатив, в то же время – ориентация на реальные нужды местных сообществ.
2. Строгое соблюдении законодательных требований.
3. Сотрудничество с местными властями.
4. Тесное сотрудничество с некоммерческими благотворительными фондами, тщательный выбор социальных проектов – мы хотим оказать поддержку именно тем, кто в ней нуждается.
5. Системный подход к разработке социальных программ, долгосрочное сотрудничество, уход от пожертвований к социальным инвестициям.
6. Открытость, публичность - обеспечение прозрачности реализации социальных программ, ежегодный отчет о проделанной работе.
7. Качественный социальный менеджмент – высокий уровень управления в социальной сфере, контроль качества выполнения социальных программ.

На сегодняшний день все эти принципы тщательно контролируются со стороны руководства компании. Одним из принципов является соблюдение законодательных требований и в то же время «открытость, публичность»…

С одной стороны законодательство диктует требования по обеспечению безопасности хранения и обработки персональных данных, с другой стороны публичность и открытость во всем. Интересно найти «грань разумного», на чем остановиться, и какой необходимый минимум достаточен для обеспечения безопасности организации.

Согласно проведенному предварительному анализу было выявлено несколько областей, в которых есть пробелы по безопасности – информационная безопасность.

Обзор текущего состояния ИБ

"Все большее число организаций при построении ИБ-систем компании уже ориентируются не на инфраструктуру, а на соответствие ИТ бизнес-задачам и бизнес-процессам в организациях. Используется так называемый «экономический» подход.

Под «экономическим» подходом понимается ориентация на экономическую отдачу. То есть все действия должны быть прозрачны и экономически оправданы. При этом используется взвешенная система оценки проектов, основанная на принципах возврата инвестиций и управления рисками. На рынке ИБ в 2005–2006 годы также начались проекты, ориентированные на «экономический» подход. В 2007 году их стало еще больше. Клиенты начинают понимать такие термины, как ROSI (Return on Security Investment — оценка эффективности инвестиции в безопасность) и KPI (Key Performance Indicator) систем безопасности.

В 2008 году все большее число потребителей придет к пониманию новых подходов. Во многом это будет связано с общими изменениями в работе российских организаций, где уже сейчас «экономический» подход де факто является стандартом для большинства бизнес–единиц, в том числе, и для ИТ. Так как отношение к безопасности в целом, и к ИБ в частности, — самое консервативное, то и новые подходы будут внедряться самыми последними." Но следует отметить и недостаточность знаний среди ИТ и ИБ персонала по данной тематике. Многие слышали об этих подходах, но, в силу необученности, не знают где, как и что применять. Тем не менее, данный подход стал одинаково применяться как в больших компаниях, так и в SMB секторе. В результате сами поставщики решений в области ИБ уже ориентируются в своих материалах не только на свой технический функционал, но и на то, насколько экономически выгодно использовать данную систему. Также и к компаниям-интеграторам заказчики стали предъявлять новые требования – экономический расчет проектов по ИБ. Но пока подобным опытом обладает только ряд специализированных компаний в области ИБ.

В последние годы очень сильно вырос уровень угроз информационной безопасности. Прежде всего это связано с ростом общего уровня информатизации, а так же с увеличением уровня преступности в области информационных систем.

Проведенный обзор состояния ИБ и требований, которые предъявляются законодательством, послужил решением провести работу по анализу и предложений по улучшению уровня безопасности в организации.

В рамках данной работы я хочу рассмотреть:
Объект исследования – текущий уровень информационной безопасности; определение рисков и направлений последующих шагов.
Предмет исследования –
1. Обеспечение информационной безопасности. Рассмотрение общего процесса и конкретных шагов.
2. Шаги по «борьбе» с топ-менеджментом, по обоснованию целесообразности защищать информацию.

Методика исследования

"При выполнении работы предлагается использовать следующую модель построения корпоративной системы защиты информации, основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 "Информационная технология - методы защиты - критерии оценки информационной безопасности", стандарту ISO/IEC 17799 "Управление информационной безопасностью" и учитывает тенденции развития отечественной нормативной базы (в частности, Гостехкомиссии РФ) по вопросам защиты информации.

Рассматриваются следующие объективные факторы:
- угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;
- уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;
- риск - фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери - прямые или косвенные).

Для построения сбалансированной системы информационной безопасности предполагается первоначально провести полный аудит ИС, с целью проведения анализа рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.

Предлагаемая методика позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, обеспечить проведение работ в сжатые сроки, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер."

Основные мероприятия в рамках данной работы

1. Проведение общего аудита информационной системы организации. Эта мера позволит определить и проанализировать риски существующие в информационной системе, в том числе в аспектах безопасности. Второй целью проведения аудита ИС является определение предметной области для разговора с топ менеджментом компании. И третья причина проведения аудита, - это определение перспектив развития ИС и ИБ, и соответственно формирование 3-х летнего бизнес плана и бюджета.

2. Проведение аудита защищенности периметра сети.
Целью этого проекта является выявление недостатков в системе обеспечения информационной безопасности, которые могут привести к несанкционированному доступу к ресурсам или информации, а также предоставление консультаций по снижению угроз несанкционированного доступа.
Проведение аудита позволит правильно сформировать модель угроз нарушителя информационной безопасности, а так же применить превентивные меры по донастройке оборудования, установке дополнительных «заплаток» и пр., для увеличения уровня безопасности (доступности).

3. Классификация информации с учетом требований законодательства.

4. С учетом рисков, модели угроз нарушителя информационной безопасности формируются каталог необходимых для реализации проектов и мер.

Как отдельный существенный риск мы анализируем проблемы в области защиты персональных данных.

Методы и средства обеспечения ИБ

В данной работе рассмотрены меры обеспечения ИБ применяемые в организации:
- организационно-административные меры по обеспечению безопасности;
- технические средства защиты.

С точки зрения экономической эффективности рассматривается уровень обеспечения безопасности при использовании средств защиты разных ценовых сегментов.

На основе результатов аудита, а так же требований головной компании, SOX аудиторов, международного стандарта по информационной безопасности ISO 17799 были разработаны «Политика по информационной безопасности», а также «Политика Удаленного доступа».

Результаты и выводы

В результате проведенного исследования были выявлены основные направления развития компании в области информационной безопасности.

Проведенный аудит ИС и ИБ позволил начать общаться с руководством в одном «русле». Сейчас руководство начало понимать необходимость защиты информации и развития информационных систем.

"Разработанные политики в области безопасности:
«Политика Информационной безопасности», «Политика Удаленного доступа» позволяют снять множество вопросов предстоящего SOX аудит." Все начинания в области информационной безопасности сделаны на основе рекомендаций головной организации и международных стандартов.

Copyright © 2009 Курносов А.А.