-
22.04.2015

Особенности организации информационной безопасности территориально распределенной компании

timoshenko

Автор: Андрей Тимошенко

Должность: Начальник отдела консалтинга компании «Информзащита»

Вопрос «Как еще более качественно обеспечивать информационную безопасность в распределенной корпорации?» волнует многих успешных руководителей компаний и глав подразделений ИБ. Что нужно знать, чтобы быть уверенным в защите своего бизнеса? Важно понимать, какие есть особенности вашей компании и какие есть слабые стороны. С одной стороны, с точки зрения ИБ территориальная распределенность компании является ее слабой стороной. Но с другой стороны, использование грамотных решений может развернуть ситуацию в обратную сторону.

Сложность управления ИБ в крупной распределенной корпорации можно проиллюстрировать следующей метафорой: это похоже на то, когда лебедь, рак и щука (и еще несколько десятков других разных животных) своими нестандартными решениями тянут ИТ и информационную безопасность компании в разные стороны. Существует любопытный факт, который многим известен: психологи установили, что человек способен в один момент удерживать в голове от 5 до 9 блоков информации, это так называемое число Миллера. Иначе говоря, вы можете нормально следить где-то за 7-ю движущимися объектами одновременно или анализировать не более 7-ми показателей. В подразделениях, где количество сотрудников больше 7-9, некоторые из них часто выпадают из поля зрения руководителя, так как тот не в состоянии контролировать каждого из них.

На самом деле, все очень просто: те люди, которые координируют все, что связано с ИБ в распределенной компании, просто физически не могут удержать в своей голове весь объем необходимой информации, требований, специфик всех филиалов и подчиненных компаний. Либо это все растягивается на долгие годы, либо процесс развития ИБ стоит на месте или движется вспять.

Какие есть проверенные решения?

Первое – это типизация и стандартизация, которые означают, что вы все раскладываете по полочкам и формируете требования для каждого объекта в отдельности. Здесь речь идет о типизации и унификации удаленных офисов: их бизнес-процессов и ИТ-инфраструктур. Например, при открытии нового офиса его ИТ-инфраструктура и процессы должны быть построены по заранее заданному шаблону. Если говорить о типизации защищаемых активов, то логично разбить все информационные системы на типы в зависимости от их назначения, характеристик и взаимосвязей; определять требования по их защите к типам информационных систем, а не рассматривать каждую информационную систему отдельно.

Серьезной проблемой может стать покупка новой компании и присоединение новых офисов, которые раньше строились и работали по другим стандартам. В каждом таком случае нужно принимать решение индивидуально. Иногда проще и дешевле построить ИБ с нуля, отказавшись от всего, что было сделано в такой компании ранее.

Второе, эффективное с любой точки зрения решение – это централизация основных бизнес-систем. Примером здесь может служить решение в области ИТ: размещение информационных систем в ЦОДе, хранение информации в ЦОДе и запрет ее хранения на местах.

По сути, целью здесь является создание этакого «ИБ-гипермаркета». Когда все сервисы ИБ сосредоточены в ЦОДе, это существенно экономит время и деньги. Ведь в жизни проще поехать в гипермаркет, чем объехать десяток специализированных магазинов. Иначе говоря, проще строить систему ИБ, единую для всех информационных систем, чем поручать каждой зависимой компании строить свою отдельную систему защиты информации, исходя из имеющихся в ней информационных активов.

Еще одной хорошей практикой является выделение в каждом филиале или дочерней компании ответственного за информационную безопасность. В маленьких филиалах эту функцию может совмещать руководитель, но в крупных юнитах это должен быть как минимум менеджер по ИБ, а то и подразделение, в зависимости от размеров филиала или ДЗО. Здесь важны не столько требования по ИБ, которые должны быть выполнены, сколько описание подробных шагов, как эти требования выполнять.

И еще одним очень важным моментом является централизованный сбор и анализ информации об уровне ИБ в распределенных офисах, оценка текущей ситуации, сравнение ее с прошлыми периодами и представлением, как должно быть. Вплоть до того, что необходимо банально контролировать, не уволился ли в филиале ответственный за ИБ.

И вот когда вы разработали требования ИБ для всех типовых направлений, начали внедрять свои стандарты в филиалах и компаниях корпорации, необходимо контролировать правильность действий каждого из сотрудников. Иными словами, нужно проводить аудиты ИБ. Но при этом проводить их нужно не только, когда вам сказали: «всё, мы все сделали, приходите проверяйте», а еще на стадии внедрения необходимых мер, оценивая и фиксируя каждый раз уровень развития ИБ в каждом филиале или дочерней компании.

Между прочим, крупные иностранные компании уже давно проводят аудиты не только своих филиалов и дочерних компаний, но и своих поставщиков. Я считаю, что эту практику нужно внедрять и в России.