Политика информационной безопасности предприятия – пример и советы по разработке

Руслан Рахметов, Security Vision

При работе в современных компаниях работники часто слышат словосочетание «политика информационной безопасности», но зачастую даже ИТ-специалисты не всегда понимают, что это означает. Кто-то понимает под политиками ИБ набор внутренних правил и требований, кто-то - настройки устройств и серверов в домене, а кто-то - всего лишь непонятный документ с обилием технических терминов, с которым нужно было ознакомиться под роспись в первый рабочий день. В данной статье мы расскажем о том, что же такое политика информационной безопасности предприятия, приведем практические примеры и советы по разработке данного документа.

Итак, как мы уже писали ранее, политика информационной безопасности компании - это задокументированный, согласованный и утвержденный набор взаимосвязанных высокоуровневых принципов обеспечения защиты информации, в соответствии с которыми выстраиваются процессы ИБ в компании. Таким образом, именно корпоративной политикой ИБ определяются все применяемые в компании технические, организационные, физические меры обеспечения кибербезопасности, а все иные внутренние нормативные документы (далее - ВНД) - стандарты, регламенты, процедуры, инструкции - не могут противоречить положениям политики ИБ и используются для детализации изложенных в ней требований.

Процессы обеспечения кибербезопасности, которые выстраиваются в соответствии с требованиями политики ИБ, составляют связанную и гармоничную структуру, которая называется системой управления (или менеджмента / обеспечения) информационной безопасностью, сокращенно СУИБ (или СМИБ / СОИБ). Данная система состоит из ВНД по ИБ и соответствующих им выделенных ресурсов, направлений деятельности и реализуемых контрмер, которые управляются компанией в целях защиты информационных активов. Для внедрения СУИБ можно использовать различные фреймворки и стандарты, но общепризнанной лучшей мировой практикой является следование положениям стандарта ISO/IEC 27001:2022 "Information Security Management Systems - Requirements" ("Системы менеджмента информационной безопасности - Требования"), входящего в серию стандартов ISO/IEC 27000. Выстраивание СУИБ в соответствии с данным стандартом подразумевает систематический подход по разработке, внедрению, контролю, поддержанию и улучшению состояния киберзащищенности компании для достижения её бизнес-целей на основе корпоративной системы управления киберрисками. Ключевыми компонентами СУИБ являются процессы управления внедрением ВНД, повышением квалификации ИТ/ИБ-специалистов, повышением ИБ-осведомленности работников и руководителей, планированием работ по ИБ, внедрением защитных мер, текущей деятельностью ИБ-подразделения, оценкой эффективности СУИБ и ИБ-подразделения, оценкой результатов со стороны руководства, совершенствованием СУИБ.

Успешное внедрение СУИБ основывается на ряде ключевых положений, которые можно прописать в политике ИБ:

·   Анализ требований по кибербезопасности для информационных активов и применение соответствующих адекватных мер защиты;

·   Понимание необходимости и важности ИБ среди руководителей и сотрудников компании;

·   Назначение ответственных за обеспечение ИБ;

·   Проведение оценки киберрисков для выбора необходимых мер по снижению рисков до приемлемых уровней;

·   Интеграция защитных мер как неотъемлемых элементов в информационные системы и сети;

·   Активное предотвращение и выявление инцидентов ИБ;

·   Обеспечение всеобъемлющего подхода к управлению ИБ;

·   Непрерывный контроль и оценка состояния ИБ, внесение изменений в СУИБ при необходимости.

В стандарте ISO/IEC 27001:2022 указано, что политика ИБ должна быть задокументирована и утверждена руководителем компании, опубликована и доведена до работников компании, должна соответствовать бизнес-целям компании, определять цели процессов ИБ в компании, содержать обязательства по выполнению требований ИБ и непрерывному улучшению СУИБ в компании, а также должна пересматриваться и актуализироваться с определенной периодичностью или в случае существенных изменений бизнеса, корпоративной инфраструктуры, ландшафта угроз. Цели процессов ИБ, в свою очередь, должны соответствовать политике ИБ, быть контролируемыми и по возможности измеримыми, учитывать применимые требования ИБ и результаты процессов риск-менеджмента, а также обновляться при необходимости. При планировании процессов ИБ важно заранее определить, что именно должно быть сделано для достижения целей, какие ресурсы для этого необходимы, установить сроки достижения целей и выбрать методы оценки результатов, а также назначить ответственных.

В приложении "A" к стандарту ISO/IEC 27001:2022 приводится справочный неисчерпывающий набор различных мер защиты и средств управления, которые можно применять для минимизации выявленных в компании киберрисков - их также можно кратко описать в политике ИБ, перечислив основные организационные, физические, технические средства управления и средства управления персоналом. В целом, в политике ИБ должны быть прописаны высокоуровневые положения, принципы и концепции, которыми руководствуется компания для обеспечения своей кибербезопасности. 

Например, в политике по ИБ можно перечислить следующие принципы и концепции:

·   Соответствие СУИБ нормам текущего законодательства;

·   Ориентированность СУИБ на бизнес;

·   Обеспечение ИБ без нарушения бизнес-процессов компании;

·   Обеспечение ИБ для всех объектов защиты на всех этапах их жизненного цикла;

·   Классификация объектов защиты и приоритизация защитных мер;

·   Экономическая целесообразность применяемых мер защиты;

·   Ответственность и понимание работниками и руководителями компании требований ИБ;

·   Взаимодействие и координация усилий между работниками и руководителями структурных подразделений компании, а также с внешними лицами (регуляторы, контрагенты, сообщества, отраслевые ассоциации и т.д.);

·   Предоставление наименьших полномочий пользователям информационных систем;

·   Предоставление привилегированных (административных) полномочий только для выполнения конкретных служебных действий и только на определенный временной промежуток;

·   Предоставление доступа к информации только при наличии обоснования на использование данных, ознакомление с информацией, подключение к информационной системе, при наличии согласования на доступ и выполнение действий от непосредственного руководителя;

·   Разделение полномочий в виде невозможности выполнения критичных действий одним лицом;

·   Своевременная актуализация и отзыв полномочий;

·   Сегментирование и контроль доступа к данным с использованием подхода "Zero Trust";

·   Шифрование информации при хранении и передаче;

·   Применение подхода "Assumed Breach";

·   Выстраивание СУИБ в соответствии со стратегией эшелонированной обороны;

·   Непрерывное улучшение и процессный PDCA-подход к обеспечению ИБ и функционированию СУИБ.

В политику ИБ также можно включить следующие сведения:

·   Применимые нормы законодательства - например, требования 149-ФЗ, 152-ФЗ, 187-ФЗ, 98-ФЗ и т.д.;

·   Перечень объектов защиты - например, информационные ресурсы, элементы информационной инфраструктуры, программные и аппаратные средства, бизнес-процессы, помещения, работники и руководители компании;

·   Актуальные для компании угрозы ИБ - случайные и преднамеренные угрозы, например, несанкционированный доступ к информации, утечка данных, вывод из строя инфраструктуры, недоступность информации и т.д.;

·   Категории актуальных нарушителей с уровнями их возможностей - например, инсайдер, хактивист, конкурент, APT-группа, хакер-одиночка и т.д.;

·   Возможные негативные последствия от реализации киберугроз - прямой и непрямой ущерб, качественные и косвенные потери, например, недополученная прибыль, отток клиентов, хищение денег, потеря репутации и т.д.

Отметим, что работа нового руководителя по кибербезопасности в компании начинается, как правило, именно с разработки политики ИБ. Поэтому важно, чтобы этот документ не только был написан понятным языком и согласован руководством компании, но и стал бы высокоуровневым руководством для реализации результативной ИБ в компании. Важно, чтобы вслед за разработкой и утверждением политики ИБ новый руководитель по кибербезопасности предпринял ряд шагов по повышению уровня реальной киберзащищенности компании, продемонстрировал ощутимые результаты, выстроил диалог с бизнес-подразделениями и ключевыми сотрудниками. В каждом конкретном случае содержание политики ИБ и перечень первоочередных шагов по повышению уровня защищенности будут отличаться, поскольку компании характеризуются не только размерами и направлениями деятельности, но и риск-профилями, а также отношением руководителей и собственников к вопросам управления киберрисками. 

Однако можно предложить некий условный перечень шагов, который подойдет новому руководителю по ИБ в типовой частной компании средних размеров:

·   Изучение структуры бизнеса компании, включая основные активы и бизнес-процессы, выстраивание взаимодействия с бизнес-подразделениями, их руководителями и ключевыми сотрудниками;

·   Изучение информационной и сетевой инфраструктуры компании, используемых технологий, имеющихся средств защиты, выстраивание взаимодействия с ИТ-подразделением и специалистами (администраторами, сетевыми инженерами, разработчиками, техподдержкой);

·   Анализ применимых к компании законодательных норм в части защиты информации, выстраивание взаимодействия с юридическим блоком по вопросам соответствия законодательству;

·   Выявление актуальных угроз ИБ и киберрисков, которые в соответствии с решением комитета по рискам (или аналогичной корпоративной структуры) необходимо минимизировать;

·   Составление перечня требований по ИБ, продиктованных минимизируемыми киберрисками, актуальными угрозами ИБ, требованиями законодательства;

·   Выбор подходящих отраслевых и международных фреймворков, стандартов, рекомендаций и лучших практик для выстраивания процессов ИБ в компании;

·   Разработка и утверждение политики ИБ, в дальнейшем - постепенная разработка других ВНД, включая корпоративные стандарты по ИБ, детализированные регламенты, процедуры, инструкции по ИБ;

·   Составление списка необходимых мер защиты (организационные, технические, физические), которые закрывают выявленные требования по ИБ;

·   Анализ уже имеющихся мер защиты (включая СЗИ) на предмет реализации ими сформированных требований по ИБ;

·   Выбор новых мер защиты (включая СЗИ) и/или модернизация старых, оценка и экономическое обоснование соответствующих затрат, согласование бюджета;

·   Набор сотрудников в ИБ-подразделение для работы с конкретными технологиями и СЗИ;

·   Реализация мер защиты, включая приобретение (разработку), внедрение, первичную настройку СЗИ силами подрядчиков или самостоятельно;

·   Проведение ИБ-обучения для работников и руководителей компании на регулярной основе и при приеме на работу новых сотрудников, повышение квалификации ИТ/ИБ-специалистов в рамках корпоративной программы управления компетенциями;

·   Контроль выполнения ВНД с помощью СЗИ, контроль минимизации киберрисков до заданного уровня;

·   Непрерывное улучшение СУИБ, адаптация мер защиты к изменяющемуся ландшафту угроз ИБ и новым выявленным киберрискам, донастройка и актуализация СЗИ, охват мерами защиты всё более широкого круга бизнес-процессов.