Руслан Рахметов, Security Vision
При работе в современных компаниях работники часто слышат словосочетание «политика информационной безопасности», но зачастую даже ИТ-специалисты не всегда понимают, что это означает. Кто-то понимает под политиками ИБ набор внутренних правил и требований, кто-то - настройки устройств и серверов в домене, а кто-то - всего лишь непонятный документ с обилием технических терминов, с которым нужно было ознакомиться под роспись в первый рабочий день. В данной статье мы расскажем о том, что же такое политика информационной безопасности предприятия, приведем практические примеры и советы по разработке данного документа.
Итак, как мы уже писали ранее, политика информационной безопасности компании - это задокументированный, согласованный и утвержденный набор взаимосвязанных высокоуровневых принципов обеспечения защиты информации, в соответствии с которыми выстраиваются процессы ИБ в компании. Таким образом, именно корпоративной политикой ИБ определяются все применяемые в компании технические, организационные, физические меры обеспечения кибербезопасности, а все иные внутренние нормативные документы (далее - ВНД) - стандарты, регламенты, процедуры, инструкции - не могут противоречить положениям политики ИБ и используются для детализации изложенных в ней требований.
Процессы обеспечения кибербезопасности, которые выстраиваются в соответствии с требованиями политики ИБ, составляют связанную и гармоничную структуру, которая называется системой управления (или менеджмента / обеспечения) информационной безопасностью, сокращенно СУИБ (или СМИБ / СОИБ). Данная система состоит из ВНД по ИБ и соответствующих им выделенных ресурсов, направлений деятельности и реализуемых контрмер, которые управляются компанией в целях защиты информационных активов. Для внедрения СУИБ можно использовать различные фреймворки и стандарты, но общепризнанной лучшей мировой практикой является следование положениям стандарта ISO/IEC 27001:2022 "Information Security Management Systems - Requirements" ("Системы менеджмента информационной безопасности - Требования"), входящего в серию стандартов ISO/IEC 27000. Выстраивание СУИБ в соответствии с данным стандартом подразумевает систематический подход по разработке, внедрению, контролю, поддержанию и улучшению состояния киберзащищенности компании для достижения её бизнес-целей на основе корпоративной системы управления киберрисками. Ключевыми компонентами СУИБ являются процессы управления внедрением ВНД, повышением квалификации ИТ/ИБ-специалистов, повышением ИБ-осведомленности работников и руководителей, планированием работ по ИБ, внедрением защитных мер, текущей деятельностью ИБ-подразделения, оценкой эффективности СУИБ и ИБ-подразделения, оценкой результатов со стороны руководства, совершенствованием СУИБ.
Успешное внедрение СУИБ основывается на ряде ключевых положений, которые можно прописать в политике ИБ:
· Анализ требований по кибербезопасности для информационных активов и применение соответствующих адекватных мер защиты;
· Понимание необходимости и важности ИБ среди руководителей и сотрудников компании;
· Назначение ответственных за обеспечение ИБ;
· Проведение оценки киберрисков для выбора необходимых мер по снижению рисков до приемлемых уровней;
· Интеграция защитных мер как неотъемлемых элементов в информационные системы и сети;
· Активное предотвращение и выявление инцидентов ИБ;
· Обеспечение всеобъемлющего подхода к управлению ИБ;
· Непрерывный контроль и оценка состояния ИБ, внесение изменений в СУИБ при необходимости.
В стандарте ISO/IEC 27001:2022 указано, что политика ИБ должна быть задокументирована и утверждена руководителем компании, опубликована и доведена до работников компании, должна соответствовать бизнес-целям компании, определять цели процессов ИБ в компании, содержать обязательства по выполнению требований ИБ и непрерывному улучшению СУИБ в компании, а также должна пересматриваться и актуализироваться с определенной периодичностью или в случае существенных изменений бизнеса, корпоративной инфраструктуры, ландшафта угроз. Цели процессов ИБ, в свою очередь, должны соответствовать политике ИБ, быть контролируемыми и по возможности измеримыми, учитывать применимые требования ИБ и результаты процессов риск-менеджмента, а также обновляться при необходимости. При планировании процессов ИБ важно заранее определить, что именно должно быть сделано для достижения целей, какие ресурсы для этого необходимы, установить сроки достижения целей и выбрать методы оценки результатов, а также назначить ответственных.
В приложении "A" к стандарту ISO/IEC 27001:2022 приводится справочный неисчерпывающий набор различных мер защиты и средств управления, которые можно применять для минимизации выявленных в компании киберрисков - их также можно кратко описать в политике ИБ, перечислив основные организационные, физические, технические средства управления и средства управления персоналом. В целом, в политике ИБ должны быть прописаны высокоуровневые положения, принципы и концепции, которыми руководствуется компания для обеспечения своей кибербезопасности.
Например, в политике по ИБ можно перечислить следующие принципы и концепции:
· Соответствие СУИБ нормам текущего законодательства;
· Ориентированность СУИБ на бизнес;
· Обеспечение ИБ без нарушения бизнес-процессов компании;
· Обеспечение ИБ для всех объектов защиты на всех этапах их жизненного цикла;
· Классификация объектов защиты и приоритизация защитных мер;
· Экономическая целесообразность применяемых мер защиты;
· Ответственность и понимание работниками и руководителями компании требований ИБ;
· Взаимодействие и координация усилий между работниками и руководителями структурных подразделений компании, а также с внешними лицами (регуляторы, контрагенты, сообщества, отраслевые ассоциации и т.д.);
· Предоставление наименьших полномочий пользователям информационных систем;
· Предоставление привилегированных (административных) полномочий только для выполнения конкретных служебных действий и только на определенный временной промежуток;
· Предоставление доступа к информации только при наличии обоснования на использование данных, ознакомление с информацией, подключение к информационной системе, при наличии согласования на доступ и выполнение действий от непосредственного руководителя;
· Разделение полномочий в виде невозможности выполнения критичных действий одним лицом;
· Своевременная актуализация и отзыв полномочий;
· Сегментирование и контроль доступа к данным с использованием подхода "Zero Trust";
· Шифрование информации при хранении и передаче;
· Применение подхода "Assumed Breach";
· Выстраивание СУИБ в соответствии со стратегией эшелонированной обороны;
· Непрерывное улучшение и процессный PDCA-подход к обеспечению ИБ и функционированию СУИБ.
В политику ИБ также можно включить следующие сведения:
· Применимые нормы законодательства - например, требования 149-ФЗ, 152-ФЗ, 187-ФЗ, 98-ФЗ и т.д.;
· Перечень объектов защиты - например, информационные ресурсы, элементы информационной инфраструктуры, программные и аппаратные средства, бизнес-процессы, помещения, работники и руководители компании;
· Актуальные для компании угрозы ИБ - случайные и преднамеренные угрозы, например, несанкционированный доступ к информации, утечка данных, вывод из строя инфраструктуры, недоступность информации и т.д.;
· Категории актуальных нарушителей с уровнями их возможностей - например, инсайдер, хактивист, конкурент, APT-группа, хакер-одиночка и т.д.;
· Возможные негативные последствия от реализации киберугроз - прямой и непрямой ущерб, качественные и косвенные потери, например, недополученная прибыль, отток клиентов, хищение денег, потеря репутации и т.д.
Отметим, что работа нового руководителя по кибербезопасности в компании начинается, как правило, именно с разработки политики ИБ. Поэтому важно, чтобы этот документ не только был написан понятным языком и согласован руководством компании, но и стал бы высокоуровневым руководством для реализации результативной ИБ в компании. Важно, чтобы вслед за разработкой и утверждением политики ИБ новый руководитель по кибербезопасности предпринял ряд шагов по повышению уровня реальной киберзащищенности компании, продемонстрировал ощутимые результаты, выстроил диалог с бизнес-подразделениями и ключевыми сотрудниками. В каждом конкретном случае содержание политики ИБ и перечень первоочередных шагов по повышению уровня защищенности будут отличаться, поскольку компании характеризуются не только размерами и направлениями деятельности, но и риск-профилями, а также отношением руководителей и собственников к вопросам управления киберрисками.
Однако можно предложить некий условный перечень шагов, который подойдет новому руководителю по ИБ в типовой частной компании средних размеров:
· Изучение структуры бизнеса компании, включая основные активы и бизнес-процессы, выстраивание взаимодействия с бизнес-подразделениями, их руководителями и ключевыми сотрудниками;
· Изучение информационной и сетевой инфраструктуры компании, используемых технологий, имеющихся средств защиты, выстраивание взаимодействия с ИТ-подразделением и специалистами (администраторами, сетевыми инженерами, разработчиками, техподдержкой);
· Анализ применимых к компании законодательных норм в части защиты информации, выстраивание взаимодействия с юридическим блоком по вопросам соответствия законодательству;
· Выявление актуальных угроз ИБ и киберрисков, которые в соответствии с решением комитета по рискам (или аналогичной корпоративной структуры) необходимо минимизировать;
· Составление перечня требований по ИБ, продиктованных минимизируемыми киберрисками, актуальными угрозами ИБ, требованиями законодательства;
· Выбор подходящих отраслевых и международных фреймворков, стандартов, рекомендаций и лучших практик для выстраивания процессов ИБ в компании;
· Разработка и утверждение политики ИБ, в дальнейшем - постепенная разработка других ВНД, включая корпоративные стандарты по ИБ, детализированные регламенты, процедуры, инструкции по ИБ;
· Составление списка необходимых мер защиты (организационные, технические, физические), которые закрывают выявленные требования по ИБ;
· Анализ уже имеющихся мер защиты (включая СЗИ) на предмет реализации ими сформированных требований по ИБ;
· Выбор новых мер защиты (включая СЗИ) и/или модернизация старых, оценка и экономическое обоснование соответствующих затрат, согласование бюджета;
· Набор сотрудников в ИБ-подразделение для работы с конкретными технологиями и СЗИ;
· Реализация мер защиты, включая приобретение (разработку), внедрение, первичную настройку СЗИ силами подрядчиков или самостоятельно;
· Проведение ИБ-обучения для работников и руководителей компании на регулярной основе и при приеме на работу новых сотрудников, повышение квалификации ИТ/ИБ-специалистов в рамках корпоративной программы управления компетенциями;
· Контроль выполнения ВНД с помощью СЗИ, контроль минимизации киберрисков до заданного уровня;
· Непрерывное улучшение СУИБ, адаптация мер защиты к изменяющемуся ландшафту угроз ИБ и новым выявленным киберрискам, донастройка и актуализация СЗИ, охват мерами защиты всё более широкого круга бизнес-процессов.