Інформаційна безпека. Чи працює Політика ІБ у Вашій компанії?
Інформаційна безпека в компанії – дуже важливий елемент функціонування будь-якого бізнесу. Що ми про неї знаємо, які засоби використовуємо для її досягнення і чи їх достатньо?
Що таке Політика Інформаційної безпеки компанії?
Політика інформаційної безпеки – це набір вимог, правил, обмежень та рекомендацій, які регламентують порядок інформаційної діяльності в організації і спрямовані на досягнення і підтримку стану інформаційної безпеки організації.
Простою мовою, Політика ІБ – це інструкція з використання оборонного щита, який вибудований на підприємстві, саме інструкція, бо щитом є система технічних засобів з інформаційної безпеки і самі користувачі, якщо вони добре поінформовані і правильно виконують свої функції.
Відсутність правильно розробленої та впровадженої Політики інформаційної безпеки частіше за все стає причиною успішності зловмисників у випадках кібератак.
Здавалося б, в компанії є особа, відповідальна за інформаційну безпеку, проте річ в тому, що не вона є слабкою ланкою у ланцюгу інформаційної безпеки. Цією ланкою є рядовий працівник з комп’ютером, який не володіє базовими знаннями з інформаційної безпеки.
Політика безпеки інформації є частиною загальної політики безпеки організації і повинна успадкувати основні її принципи.
Концепція побудови системи інформаційної безпеки повинна будуватися на принципах, характерних для системи безпеки підприємства, тобто кожен працівник повинен себе ідентифікувати при вході в систему, по аналогії з записом в журналі відвідувань, присвоювати різні ступені доступу інформації (такі як інформація з обмеженим доступом, чи конфіденційна інформація) аналогічно забороні доступу до певних приміщень, повинна бути заборона вчиняти певні дії, та багато іншого.
При розробці Політики ІБ потрібно балансувати на межі зниження ризиків і зручністю для користувача.
Досить часта проблема Політик інформаційної безпеки – це використання при їх розробці підходу, аналогічному до розроблення інструкції від телевізора: «натисни кнопку «ввімкнути», все буде добре, виникнуть проблеми – телефонуй у технічну підтримку».
Інформаційна система компанії – не телевізор, від неї вимагається значно ширший функціонал, і тому Політика ІБ повинна бути значно гнучкою і «usable».
Пишіть просто і зрозуміло
Необхідно пам’ятати, що в більшості випадків пересічний користувач не зрозуміє реальних ризиків від вчинених ним дій, навіть якщо чітко пояснити, що просте відкриття листа з невідомої електронної пошти може призвести до зламу всієї мережі підприємства.
Тому пишіть просто і зрозуміло, а головне – ваше Положення повинно мати структуру чітких рекомендацій, щоб коли хтось не зрозуміє, навіщо воно потрібно, він все одно зміг виконувати його рекомендації.
Також потрібно пам’ятати, що Політика ІБ – це лише загальний документ (свого роду Конституція ІБ), загалом же Інформаційна безпека повинна поділятися на рівні:
- Політика Інформаційної безпеки;
- спеціалізовані документи з різних напрямків інформаційної безпеки (Політика конфіденційності, Політика реагування на кіберінциденти);
- вузькопрофільні документи, які регулюють вчинення конкретних дій працівниками в рамках Політики інформаційної безпеки (Процедури, регламенти, Посадові інструкції осіб відповідальних за ІБ).
Яка ситуація з законодавчим регулюванням Політик ІБ?
На сьогодні в Україні немає чітко врегулювання вимог до Інформаційної безпеки на підприємствах. При цьому є вимоги які ставляться до компаній, які працюють з персональними даними громадян Європейського союзу відповідно до вимог General data protection regulation (GDPR), та деяких інших нормативних актів.
Останні тенденції нормотворення, зокрема, проект Постанови НБУ «Про затвердження Положення про кіберзахист та інформаційну безпеку в платіжних системах та системах розрахунків», окремі норми Закону України «Про основні засади забезпечення кібербезпеки України» та деякі інші, вказують на те, що в близькому майбутньому нас чекає чітке законодавче регулювання з жорсткими вимогами до Політик інформаційної безпеки підприємств.
Висновки
Для забезпечення достатнього рівня інформаційної безпеки компанії потрібно розробляти Політику інформаційної безпеки з урахуванням того, що вона є складовою системи безпеки підприємства, і пам’ятати, що вона повинна бути орієнтованою на кожного працівника, а також не навантажувати головний документ інформацією, направленою на окремих працівників. Для цього потрібно розробляти документи нижчого рівня.
Якщо ж говорити про те, технічний це чи юридичний документ, потрібно поєднати технічне знання з юридичними вміннями по написанню зрозумілих для кінцевого користувача документів подібних по своїй формі, швидше до user friendly керівництв, ніж до технічних посібників.
