19.9.11

Немного о политике ИБ

В последние несколько дней многие вспомнили тему политики ИБ. Руслан Пермяков в очередной раз поднял тему выполнимости политики. Ригель тоже прошелся по теме, в очередной раз указав, что без участия руководства в разработке политики, толку от нее не будет.

Иностранные эксперты тоже не упускают случая поговорить о данной проблеме. Например, неделю назад независимый консультант по ИБ Стивен Фокс опубликовал интересную заметку о политике ИБ, в которой последняя сравнивалась с руководством к автомобилю. Мол и вещь полезная, но обращаемся мы к нему только тогда, когда произойдет что-то неожиданное. У большинства политика ИБ представляет собой тоже самое. Многие вообще не знают, где эта политика размещена. А все потому, что этот документ воспринимают часто как нечто технологическое. Но если посмотреть на этот документ с другой стороны?

Крис Ноэль из ANXeBusiness дает такое определение: "Политика ИБ связывает культуру организации, определяет набор ожиданий и границы поведения, а также риск-аппетит, и устанавливает обязанность оказывать помощь в безопасности". Вообще последние 5 слов - это вольный перевод термина "legal duty of care" применительно к теме безопасности. Термин многогранен, но в данном контексте он, видимо, говорит о том, что все участники процесса ИБ должны помогать друг другу в вопросах ИБ, а также устанавливает обязательства службы ИБ в разрешении различных вопросов ИБ для "подведомственных" им структур и пользователей.

В целом, вольно пересказывая заметку Фокса, который в свою очередь пересказывает заметку из Harward Business Review по внедрению стратегии на предприятии, хотелось бы добавить несколько тезисов к постам Ригеля и Руслана.

Во-первых, политика должна отвечать на вопроспользователя: "Почему это так важно для меня?" Не забывайте, что политика нужна не для галочки, а для людей. А люди в компании работают разные. Не только по своим ролям, но и по менталитету, образованию, опыту, полу, культуре и т.д. Разрабатывая политику, учитывайте интересы и потребности сотрудников. В противном случае вся эта эпопея с толстыми фолиантами обречена на неудачу. При этом не стоит загонять себя в рамки и стараться сделать только один документ, который бы вмещал в себя все. Где это написано, что политика - это один документ? Пишите столько документов, сколько надо для дела и для лучшего восприятия ее сотрудниками. Хоть для каждого сотрудника свою ;-)

Во-вторых, политика должны учитывать не всегда формализованные, но не менее важные способы взаимодействия внутри компании и за ее пределами - с клиентами и партнерами. В противном случае ее точно будут обходить или не выполнять. Системы документооборота - это хорошо, но реально работающих и на 100% зафиксированных и подконтрольных информационных потоков я еще не видел. Поэтому лучше немного отойти от правил и учесть это в политике, чем потом кусать локти.

Компания меняется? Меняются способы коммуникаций с заказчиками и партнерами? Появляются новые регулятивные требования? Рынок диктует изменение поведения? Почему тогда не меняется политика? Почему она мертвым грузом висит на балансе службы ИБ и к ней обращаются только в редких случаях? Необходимо регулярно пересматривать политику и обязательно с привлечением бизнес-единиц, а не только сотрудников служб ИБ и ИТ.

Классическое требование о том, что руководство должно своим примером демонстрировать понимание и принятие политики - это далеко не все. Не забывайте, что бывают случаи, когда руководство может и не иметь влияния и авторитета в компании. Ищите другие центры влияния внутри организации - серых кардиналов, известных балагуров и душ компании. Пусть они станут проводниками вашей политики в массы. Иногда достаточно одного слова рядового сотрудника, имеющего вес и авторитет на предприятии.

Наконец, маркетинг ИБ. Я не помню писал я про это или нет, но в презентациях и курсах по слиянию ИБ и бизнеса у меня это точно было. Применяйте маркетинговые приемы для распространения и внедрения нужных вам идей. Один из таких примеров - истории успеха сотрудников, которым политика ИБ помогла. Помогла не потерять данные, защитить компьютер от вирусов, своевременно подключиться к корпоративной сети, предотвратить мошеннические действия... Регулярные рассылки таких историй (а сотрудников, написавших о них, можно поощрять) делают политику ИБ ближе, а не возносят ее на недосягаемый пьедестал.

4 коммент.:

Tomas комментирует...

Алексей, в последнем абзаце все же больше речь идет об инструкции пользователя, понимаю что это больше российское понятие, но мы ж в России))). Согласен с Вами, что Политик больше одной, минимум 2 (остальные это подполитики: парольная, антивирусная и т.д.) - для ИТ и ИБ (техническая), а так же понятная клиентам, партнерам, пользователям (общедоступная). Перевел общедоступную политику Cisco - как то жидковато((( Кстати, наличие открытой политики еще и требование 152-ФЗ)))

Алексей Лукацкий комментирует...

Нет, в последнем абзаце речь идет именно о маркетинге и историях успеха ;-)

А что касается Cisco, то откуда у вас наша общедоступная политика? С сайта? Так он хостится не в России и является собственностью американского офиса, который не подчиняется требованиям нашего ФЗ.

Tomas комментирует...

с сайта ;)

Сергей Борисов комментирует...

На счет неформальных лидеров коллектива - совершенно непонятно как привлечь таких людей на сторону ИБ.
Как правило такие люди наоборот продвигают идеи обхода политик ИБ.

А на счет последнего абзаца - нужны примеры из реальной жизни. Я вижу примеры, от публикации которых сотрудники "Сотрудница Иванова из отдела бухгалтерии обнаружила пароли на мониторах коллег и сообщила об этом событии в службу ИБ, чем успешно предотвратила возможные инциденты". "Сотрудник Петров в соответствии с антивирусной политикой своевременно сообщил об обнаруженных вирусах, на принесенной из дома флешке, чем предотвратил распространение вирусной эпидемии в компании"