Немного о политике ИБ

В последние несколько дней многие вспомнили тему политики ИБ. Руслан Пермяков в очередной раз поднял тему выполнимости политики. Ригель тоже прошелся по теме, в очередной раз указав, что без участия руководства в разработке политики, толку от нее не будет.

Иностранные эксперты тоже не упускают случая поговорить о данной проблеме. Например, неделю назад независимый консультант по ИБ Стивен Фокс опубликовал интересную заметку о политике ИБ, в которой последняя сравнивалась с руководством к автомобилю. Мол и вещь полезная, но обращаемся мы к нему только тогда, когда произойдет что-то неожиданное. У большинства политика ИБ представляет собой тоже самое. Многие вообще не знают, где эта политика размещена. А все потому, что этот документ воспринимают часто как нечто технологическое. Но если посмотреть на этот документ с другой стороны?

Крис Ноэль из ANXeBusiness дает такое определение: «Политика ИБ связывает культуру организации, определяет набор ожиданий и границы поведения, а также риск-аппетит, и устанавливает обязанность оказывать помощь в безопасности». Вообще последние 5 слов — это вольный перевод термина «legal duty of care» применительно к теме безопасности. Термин многогранен, но в данном контексте он, видимо, говорит о том, что все участники процесса ИБ должны помогать друг другу в вопросах ИБ, а также устанавливает обязательства службы ИБ в разрешении различных вопросов ИБ для «подведомственных» им структур и пользователей.

В целом, вольно пересказывая заметку Фокса, который в свою очередь пересказывает заметку из Harward Business Review по внедрению стратегии на предприятии, хотелось бы добавить несколько тезисов к постам Ригеля и Руслана.

Во-первых, политика должна отвечать на вопроспользователя: «Почему это так важно для меня?» Не забывайте, что политика нужна не для галочки, а для людей. А люди в компании работают разные. Не только по своим ролям, но и по менталитету, образованию, опыту, полу, культуре и т.д. Разрабатывая политику, учитывайте интересы и потребности сотрудников. В противном случае вся эта эпопея с толстыми фолиантами обречена на неудачу. При этом не стоит загонять себя в рамки и стараться сделать только один документ, который бы вмещал в себя все. Где это написано, что политика — это один документ? Пишите столько документов, сколько надо для дела и для лучшего восприятия ее сотрудниками. Хоть для каждого сотрудника свою 😉

Во-вторых, политика должны учитывать не всегда формализованные, но не менее важные способы взаимодействия внутри компании и за ее пределами — с клиентами и партнерами. В противном случае ее точно будут обходить или не выполнять. Системы документооборота — это хорошо, но реально работающих и на 100% зафиксированных и подконтрольных информационных потоков я еще не видел. Поэтому лучше немного отойти от правил и учесть это в политике, чем потом кусать локти.

Компания меняется? Меняются способы коммуникаций с заказчиками и партнерами? Появляются новые регулятивные требования? Рынок диктует изменение поведения? Почему тогда не меняется политика? Почему она мертвым грузом висит на балансе службы ИБ и к ней обращаются только в редких случаях? Необходимо регулярно пересматривать политику и обязательно с привлечением бизнес-единиц, а не только сотрудников служб ИБ и ИТ.

Классическое требование о том, что руководство должно своим примером демонстрировать понимание и принятие политики — это далеко не все. Не забывайте, что бывают случаи, когда руководство может и не иметь влияния и авторитета в компании. Ищите другие центры влияния внутри организации — серых кардиналов, известных балагуров и душ компании. Пусть они станут проводниками вашей политики в массы. Иногда достаточно одного слова рядового сотрудника, имеющего вес и авторитет на предприятии.

Наконец, маркетинг ИБ. Я не помню писал я про это или нет, но в презентациях и курсах по слиянию ИБ и бизнеса у меня это точно было. Применяйте маркетинговые приемы для распространения и внедрения нужных вам идей. Один из таких примеров — истории успеха сотрудников, которым политика ИБ помогла. Помогла не потерять данные, защитить компьютер от вирусов, своевременно подключиться к корпоративной сети, предотвратить мошеннические действия… Регулярные рассылки таких историй (а сотрудников, написавших о них, можно поощрять) делают политику ИБ ближе, а не возносят ее на недосягаемый пьедестал.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Tomas

    Алексей, в последнем абзаце все же больше речь идет об инструкции пользователя, понимаю что это больше российское понятие, но мы ж в России))). Согласен с Вами, что Политик больше одной, минимум 2 (остальные это подполитики: парольная, антивирусная и т.д.) — для ИТ и ИБ (техническая), а так же понятная клиентам, партнерам, пользователям (общедоступная). Перевел общедоступную политику Cisco — как то жидковато((( Кстати, наличие открытой политики еще и требование 152-ФЗ)))

    Ответить
  2. Алексей Лукацкий

    Нет, в последнем абзаце речь идет именно о маркетинге и историях успеха 😉

    А что касается Cisco, то откуда у вас наша общедоступная политика? С сайта? Так он хостится не в России и является собственностью американского офиса, который не подчиняется требованиям нашего ФЗ.

    Ответить
  3. Tomas

    с сайта 😉

    Ответить
  4. Сергей Борисов

    На счет неформальных лидеров коллектива — совершенно непонятно как привлечь таких людей на сторону ИБ.
    Как правило такие люди наоборот продвигают идеи обхода политик ИБ.

    А на счет последнего абзаца — нужны примеры из реальной жизни. Я вижу примеры, от публикации которых сотрудники "Сотрудница Иванова из отдела бухгалтерии обнаружила пароли на мониторах коллег и сообщила об этом событии в службу ИБ, чем успешно предотвратила возможные инциденты". "Сотрудник Петров в соответствии с антивирусной политикой своевременно сообщил об обнаруженных вирусах, на принесенной из дома флешке, чем предотвратил распространение вирусной эпидемии в компании"

    Ответить