Немного о политике ИБ

В последние несколько дней многие вспомнили тему политики ИБ. Руслан Пермяков в очередной раз поднял тему выполнимости политики. Ригель тоже прошелся по теме, в очередной раз указав, что без участия руководства в разработке политики, толку от нее не будет. Иностранные эксперты тоже не упускают случая поговорить о данной проблеме. Например, неделю назад независимый консультант по ИБ Стивен Фокс опубликовал интересную заметку о политике ИБ, в которой последняя сравнивалась с руководством к автомобилю. Мол и вещь полезная, но обращаемся мы к нему только тогда, когда произойдет что-то неожиданное. У большинства политика ИБ представляет собой тоже самое. Многие вообще не знают, где эта политика размещена. А все потому, что этот документ воспринимают часто как нечто технологическое. Но если посмотреть на этот документ с другой стороны? Крис Ноэль из ANXeBusiness дает такое определение: "Политика ИБ связывает культуру организации, определяет набор ожиданий и границы поведения, а также риск-аппетит, и устанавливает обязанность оказывать помощь в безопасности". Вообще последние 5 слов - это вольный перевод термина "legal duty of care" применительно к теме безопасности. Термин многогранен, но в данном контексте он, видимо, говорит о том, что все участники процесса ИБ должны помогать друг другу в вопросах ИБ, а также устанавливает обязательства службы ИБ в разрешении различных вопросов ИБ для "подведомственных" им структур и пользователей. В целом, вольно пересказывая заметку Фокса, который в свою очередь пересказывает заметку из Harward Business Review по внедрению стратегии на предприятии, хотелось бы добавить несколько тезисов к постам Ригеля и Руслана. Во-первых, политика должна отвечать на вопроспользователя: "Почему это так важно для меня?" Не забывайте, что политика нужна не для галочки, а для людей. А люди в компании работают разные. Не только по своим ролям, но и по менталитету, образованию, опыту, полу, культуре и т.д. Разрабатывая политику, учитывайте интересы и потребности сотрудников. В противном случае вся эта эпопея с толстыми фолиантами обречена на неудачу. При этом не стоит загонять себя в рамки и стараться сделать только один документ, который бы вмещал в себя все. Где это написано, что политика - это один документ? Пишите столько документов, сколько надо для дела и для лучшего восприятия ее сотрудниками. Хоть для каждого сотрудника свою ;-) Во-вторых, политика должны учитывать не всегда формализованные, но не менее важные способы взаимодействия внутри компании и за ее пределами - с клиентами и партнерами. В противном случае ее точно будут обходить или не выполнять. Системы документооборота - это хорошо, но реально работающих и на 100% зафиксированных и подконтрольных информационных потоков я еще не видел. Поэтому лучше немного отойти от правил и учесть это в политике, чем потом кусать локти. Компания меняется? Меняются способы коммуникаций с заказчиками и партнерами? Появляются новые регулятивные требования? Рынок диктует изменение поведения? Почему тогда не меняется политика? Почему она мертвым грузом висит на балансе службы ИБ и к ней обращаются только в редких случаях? Необходимо регулярно пересматривать политику и обязательно с привлечением бизнес-единиц, а не только сотрудников служб ИБ и ИТ. Классическое требование о том, что руководство должно своим примером демонстрировать понимание и принятие политики - это далеко не все. Не забывайте, что бывают случаи, когда руководство может и не иметь влияния и авторитета в компании. Ищите другие центры влияния внутри организации - серых кардиналов, известных балагуров и душ компании. Пусть они станут проводниками вашей политики в массы. Иногда достаточно одного слова рядового сотрудника, имеющего вес и авторитет на предприятии. Наконец, маркетинг ИБ. Я не помню писал я про это или нет, но в презентациях и курсах по слиянию ИБ и бизнеса у меня это точно было. Применяйте маркетинговые приемы для распространения и внедрения нужных вам идей. Один из таких примеров - истории успеха сотрудников, которым политика ИБ помогла. Помогла не потерять данные, защитить компьютер от вирусов, своевременно подключиться к корпоративной сети, предотвратить мошеннические действия... Регулярные рассылки таких историй (а сотрудников, написавших о них, можно поощрять) делают политику ИБ ближе, а не возносят ее на недосягаемый пьедестал.