Практикум по информационной безопасности: Учебно-методическое пособие, страница 19


каждый человек в силу своего опыта и знаний имеет собственное представление о том, как должна быть организована безопасность и далеко не всегда его представление совпадает с требованиями, предъявляемыми компанией. Третья трудность порождается тем, что для внедрения положений и принципов Политики ИБ необходима воля, настойчивость и последовательность действий руководства и тех людей, в чью обязанность входит реальное, а декларативное, воплощение режима ИБ на постоянной основе, а не в виде время от времени проводимых кампаний «за безопасность». Наконец, и это тоже важно, на практике должен соблюдаться принцип: «Исключения из Политики ИБ, должны быть действительно исключениями, а не замаскированными послаблениями в адрес отдельных людей». Если такая тенденция будет иметь место, то это не только приведет к возникновению напряженности в коллективе, но может свести на «нет» все усилия.

Преодоление трудностей внедрения политики ИБ лежит, прежде всею, в области психологии. Дело должно быть поставлено таким образом, чтобы уже при разработке документа было обеспечено разъяснение позиции компании по вопросу ИБ. При этом до каждого человека должно быть доведено, что информационная безопасность не имеет целью подчинение деятельности сотрудников мифическим требованиям, что требования ИБ объективны, а не надуманы и защищают интересы каждого, кто работает в компании. Большую помощь в такой просветительской деятельности играет разработка и внедрение Программы повышения информированности сотрудников в ИБ, участие представителя (представителей) от пользователей в разработке Политики ИБ (и других нормативных документов), доступность документов по информационной безопасности.

Поскольку интересы различных категорий сотрудников в отношении ИБ всегда будут отличаться, то лучшим решением при разработке нормативных документов является достижение разумного компромисса. Его условиями являются: минимизация со стороны ИБ ограничений па ведение основной бизнес деятельности; возможность ограниченного подконтрольного использования некоторых ресурсов корпоративной сети в личных целях (Интернет, электронная почта); строгое соблюдение принципа «наказание должно быть адекватно проступку, а недопустимые деяния должны быть известны до наложения взыскания».

Заявив принципы и положения безопасности в Политике ИБ, руководство должно создать условия для разработки и внедрения в практику компании других организационно-административных и нормативных документов, о которых говорилось ранее (политики безопасности по отдельным направлениям деятельности,


стандарты, процедуры и др.). В конечном итоге руководством к действию в сфере ИВ для рядового пользователя КИС, системного администратора, администратора по безопасности являются документы операционного уровня (регламенты, инструкции). Действенный контроль по беспрекословному выполнению таких документов, разъяснение содержащихся там требований - залог соблюдения установленного режима безопасности.

4.  Управление информационными рисками

4.1    Анализ и управление информационными рисками

Управление информационными рисками - процессидентификации, управления, устранения или уменьшения вероятности событий, которые в состоянии негативно воздействовать на корпоративную информационную сеть.

Цель управления информационными рискамисостоит в том, чтобы уменьшить риски до уровней, одобряемых лицом (DAA Designated Approved Authority), уполномоченным выбирать допустимые уровни рисков.

Процесс управления информационными рисками включает: анализ рисков, выбор совокупности адекватных контрмер, анализ параметра «стоимость-эффективность», построение и испытание подсистемы ИБ.

Анализ информационных рисков - процессидентификации рисков на основании определения угроз, уязвимостей и возможного ущерба безопасности корпоративной информационной сети и выделение тех ее областей, которые нуждаются в защите.

Рисунок 2 иллюстрирует цель управления информационными (ИТ) рисками. Первый квадрант соответствует ситуации, когда сопоставление затрат на защиту цепного информационного актива с величиной потерь (ущербом) и с учетом вероятности реализации угрозы показывает, что несмотря на планируемые меры защиты достичь приемлемого уровня ущерба не удается. Выход - страхование рисков третьей стороной. Такое управленческое решение, в свою очередь, потребует определенных затрат на защиту, проведение независимого аудита безопасности с тем, чтобы найти приемлемый для компании вариант по выплачиваемой страховой сумме.