В целом автоматизированные системы отечественных компаний должны удовлетворять требованиям российской нормативной базы в области защиты информации, нормативно-правовым документам (федеральным законам, указам Президента, постановлениям Правительства) и нормативно-техническим документам (государственным стандартам, руководящим документам Гостехкомиссии (ФСТЭК) России, отраслевым и ведомственным стандартам). При этом после принятия и вступления в силу Федерального закона «О техническом регулировании», а также ГОСТ Р ИСО/МЭК 15408 статус ряда нормативных документов (государственных стандартов, отраслевых стандартов, стандартов организаций и др.) изменился. Государственные стандарты Российской Федерации из основного инструмента технического регулирования стали трансформироваться в российские национальные стандарты, требования которых стали носить добровольный характер. Обязательные требования стали устанавливаться в технических регламентах.
выполнение требований клиентов и партнеров;
Клиенты и партнеры компании часто желают получить некоторые гарантии того, что их конфиденциальная информация защищена надлежащим образом и могут потребовать юридического подтверждения этого в контрактах. В этом случае политики информационной безопасности компании и являются доказательством предоставления подобных гарантий, так как в политиках безопасности декларируются намерения компании относительно качества обеспечения информационной безопасности. Интересно, что партнеров по бизнесу и клиентов компании, как правило, интересуют именно эти «намерения», а не технические средства, с помощью которых они могут быть достигнуты.
подготовка к сертификации по ISO 9001, ISO 15408 и ISO 17799;
Сертификация по одному из вышеперечисленных стандартов подтверждает необходимый уровень обеспечения информационной безопасности компании. В настоящее время фокус создания продуктов и услуг смещается в страны с дешевой рабочей силой, и одним из доказательств того, что компании этих стран смогут адекватно защитить передаваемую информацию производителей, является сертификация на соответствие требованиям стандартов по информационной безопасности, например ISO 17799 (BS 7799-2). На сайте www.xisec.com ведется реестр компаний, подтвердивших свое соответствие требованиям этого стандарта. Список увеличивается примерно на 50-100 компаний ежемесячно, что показывает возросшее внимание к этой теме.
устранение замечаний аудиторов;
Любая внешняя аудиторская проверка обращает внимание на необходимость защищенности бизнес-процессов компании, в том числе особое внимание уделяется наличию политик информационной безопасности.
получение конкурентного преимущества на рынке;
Правильно разработанные и реализованные политики безопасности позволяют увеличить время доступности и коэффициент готовности сервисов компании. Таким образом увеличивается общая жизнеспособность компании и обеспечивается непрерывность бизнеса. По словам ведущих аналитиков Gartner Group, «обеспечение информационной безопасности является ключевым моментом устойчивости и непрерывности бизнеса».
демонстрация заинтересованности руководства компании;
Вовлечение руководства в организацию режима информационной безопасности компании значительно увеличивает приоритет безопасности, что положительно сказывается на общем уровне безопасности компании. Без демонстрации заинтересованности руководства компании сотрудники не станут воспринимать политики информационной безопасности всерьез. Цель любой политики безопасности – разъяснение и доведение позиции руководства в соответствии с принципами безопасности и бизнес-целями компании.
создание корпоративной культуры безопасности;
«Образно организацию режима информационной безопасности можно сравнить с цепью: рвется там, где самое тонкое звено цепи» (Б. Шнайер). Сотрудники являются как самым сильным, так одновременно и самым слабым звеном в обеспечении информационной безопасности. Необходимо донести до сотрудников мысль о том, что «обеспечение информационной безопасности – обязанность всех сотрудников». Это достигается путем введения процедуры ознакомления с требованиями политик безопасности и подписания соответствующего документа о том, что сотрудник ознакомлен, ему понятны все требования политик и он обязуется их выполнять. Политики безопасности позволяют ввести требования по поддержанию необходимого уровня безопасности в перечень обязанностей каждого сотрудника. В процессе выполнения трудовых обязанностей для сотрудников необходимо периодически проводить ознакомление с вопросами обеспечения информационной безопасности и обучение. Критически важным условием для успеха в области обеспечения информационной безопасности компании становится создание в компании атмосферы, благоприятной для создания и поддержания высокого приоритета информационной безопасности. Чем крупнее компания, тем более важной становится информационная поддержка сотрудников по вопросам безопасности.
