Политикам ИБ – знак качества

Говорите ясно

Разработка любого документа начинается с четкого определения всех используемых в нем терминов и определений. К сожалению, часть из них может быть непонятна руководству банка. В качестве примера рассмотрим определение ИБ, приведенное в политике малого банка: "Информационная безопасность – безопасность, связанная с угрозами в информационной сфере, которая представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений". Неудивительно, что в таком виде оно не будет способствовать пониманию сути и важности обеспечения ИБ, а ведь речь идет об основе основ.

В своей практике мы используем другое определение ИБ: "Информационная безопасность банка – защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных угроз, которые могут нанести неприемлемый ущерб банку. Защищенность достигается посредством создания системы обеспечения ИБ (СОИБ)". Конкретика позволяет руководству понять – что, от чего и как предлагается защищать.

Будьте кратки

Руководство банка, как правило, не любит изучать пространные документы по вспомогательной тематике. Анализ политик ИБ крупного и малого банков показал, что объем документов составляет 15–20 страниц, а среднего – около 100. Кроме того, все они содержат массу заведомо незнакомых терминов, определений и положений. Учитывая большой объем материала, насыщенного сложной для восприятия информацией, вероятность внимательного изучения и осознания руководством основных положений политики ИБ крайне мала. Одним из наиболее действенных способов разрешения этой проблемы является разработка краткой политики ИБ объемом не более 1–2 страниц, где следует простым и понятным языком изложить суть обеспечения ИБ, например отразить ведущую роль руководства в решении данной проблемы, высокоуровневые бизнес-цели по информационной безопасности, необходимость участия всех ответственных лиц и т.п.

В результате топ-менеджмент банка сможет четко обозначить свое отношение к проблеме информационной безопасности для успешного ведения и развития бизнеса и принимать обоснованные решения о выделении соответствующих ресурсов.

Укажите бизнес-цели ИБ

В связи с тяжелым экономическим положением в стране многие банки вынуждены актуализировать стратегии развития основных и вспомогательных направлений своего бизнеса. Однако, как правило, при реализации подобных инициатив основные цели, задачи и направления обеспечения ИБ отсутствуют.

Для того чтобы устранить отмеченные недостатки, мы собрали данные из открытых источников, которые позволили сформировать примерный перечень основных высокоуровневых бизнес-целей, достижение которых руководство банка ожидает от службы ИБ. Сводный перечень основных бизнес-целей по обеспечению ИБ и их наличие в политиках ИБ крупного и среднего банков (таблица 1) говорит о том, что в них отсутствуют многие критичные бизнес-цели по информационной безопасности.

Уточните, какой круг функциональных обязанностей по обеспечению ИБ должен быть у руководства банка

Для достижения бизнес-целей по ИБ соответствующая деятельность должна рассматриваться как часть функций корпоративной системы управления банка. На практике процесс формирования и распределения обязанностей в этом направлении во многих банках никак не формализован, что неизбежно сказывается на эффективности функционирования СОИБ.

В качестве примера можно рассмотреть результаты анализа функциональных обязанностей руководителей трех вышеупомянутых банков (таблица 2).

Данные показывают, что перечень функциональных обязанностей куратора крупного банка и председателя правления малого банка практически полностью совпадает, однако их возможности сильно отличаются. По крайней мере, мы еще не встречали куратора, который бы одновременно руководил безопасностью, IТ, бизнес-подразделениями, кадрами, юристами, службой внутреннего контроля и прочим. Все возникающие вопросы в области ИБ, требующие участия указанных структурных подразделений, должен решать либо председатель банка, либо его первый заместитель, поскольку у них есть соответствующие полномочия.

В политике ИБ среднего банка предпринята попытка разделить функциональные обязанности между председателем правления банка и куратором. Однако перечень функциональных обязанностей обоих руководителей узок и большая часть их не обозначена. Для решения этой проблемы мы обычно включаем в политику ИБ раздел, описывающий общую организационную структуру СОИБ банка, а также функциональные обязанности лиц, причастных к информационной безопасности, – президента, ответственного руководителя по ИБ (куратора), постоянно действующей комиссии по ИБ и непосредственно службы ИБ. Важно отметить, что полный перечень ролей и обязанностей формируется с использованием типовой модели процессов СОИБ, адаптируемой под конкретного клиента. Причем перечисленные результаты определяются не только для головного офиса, но и для филиалов и дочерних компаний банка.

Эффективная политика ИБ – фундамент успеха

Проведенный анализ трех банковских политик ИБ не только наглядно показал ряд типовых недостатков, но и позволил выработать предложения по их устранению. В своей практике мы уделяем большое внимание разработке эффективных, с точки зрения всех заинтересованных сторон, политик ИБ. Причем наилучшие результаты достигаются на основе стратегии и плана реализации ИБ. Основная цель стратегии – определить, что и каким образом должно быть сделано в области информационной безопасности для реализации бизнес-стратегии банка. Накопленный опыт позволил нам выработать собственный подход к разработке стратегии ИБ, сочетающий преимущества методов стратегического планирования и управления безопасностью с использованием сбалансированной системы показателей.

Положительный эффект от внедрения политик ИБ, лишенных отмеченных недостатков, был отмечен в ряде крупных отечественных и зарубежных банков. Результатом стало повышение уровня осознания важности обеспечения ИБ высшим руководством банков и выделение соответствующих ресурсов на достижение бизнес-целей по обеспечению ИБ.