Стратегия информационной безопасности — это структурированный и взаимосвязанный комплекс операций, нацеленный на улучшение в долгосрочной перспективе защищенности конфиденциальной информации организаций.
Введение
Формирование стратегии информационной безопасности для большинства организаций представляется достаточно непростой задачей, как с позиций выполнения самого процесса разработки, так и сточки зрения дальнейшего практического осуществления стратегии. Отдельные организации считают, что обойдутся и без формальных планов, то есть, без затрат сил и времени на формирование таких планов, ссылаясь на очень быстрые изменения на рынке технологий, которые могут перечеркнуть все их усилия.
Данный подход, в случае присутствия эффективной совокупности действий, способен привести к определенным успехам, но он не способен гарантировать успехи в будущем, а также может поставить его под серьезное сомнение. Наличие формального планирования способно существенно уменьшить риски выработки неправильных решений и может служить базой для последующего контроля, а также может содействовать росту уровня готовности к колебаниям рынка.
Стратегии информационной безопасности
Необходимость стратегии информационной безопасности обычно появляется у организаций, которые почувствовали себя уже значительно увереннее на рынке, для того чтобы выстраивать планирование на ближайшие годы, но при этом почувствовали следующие вызовы:
- Нет четкой взаимосвязи между стратегической целью организации и направлением развития информационной безопасности.
- Наличие недостаточного уровня информационной безопасности главных процессов бизнеса организации.
- Низкая степень отдачи от вложений в улучшение информационной безопасности.
Стратегию развития информационной безопасности следует воспринимать в виде некоторой карты, определяющей ориентиры на местности и направляющей к поставленной цели. Она предоставляет возможность сделать достижение поставленной цели управляемым процессом за счет формирования ограничений и приоритетов в выработке тактических решений для тех специалистов, которые отвечают за развитие организации, а также и отдельных ее направлений.
Причем необходимо подчеркнуть, что стратегия информационной безопасности не должна оставаться статической и, по мере сокращения факторов неопределенности с течением времени, стратегию следует пересматривать и, если это необходимо, корректировать, путем задания новых приоритетов выработки тактических решений.
Было бы ошибочным, полагать, что стратегия информационной безопасности необходима лишь сотрудникам, которые отвечают за обеспечение данной безопасности. На самом деле, пользователями стратегии информационной безопасности является значительно большее количество специалистов и у каждого из них присутствует свой интерес. Основными из них являются:
- Руководители организации.
- Работники службы информационных технологий.
- Специалисты службы информационной безопасности.
Руководящие работники организации обязаны учитывать следующие моменты:
- Необходимость понимания роли информационной безопасности в осуществлении общей концепции развития организации.
- Необходимость обеспечения согласованности действий со стратегией развития всей организации.
- Необходимость понимания целей и объема инвестиций в информационную безопасность.
- Осуществление рационального распределения инвестиций.
- Использование инструментов контроля достижения поставленных целей.
Специалисты службы информационных технологий обязаны:
- понимать роль информационной безопасности в развитии информационных технологий компании;
- понимать требования со стороны информационной безопасности к целевой архитектуре информационных технологий.
К специалистам службы информационной безопасности предъявляются следующие требования:
- Применение единых принципов развития информационной безопасности.
- Наличие понимания целевой архитектуры информационной безопасности организации.
- Выработка подробного плана действий в виде портфеля проектов.
- Наличие ясного понимания требуемых ресурсов.
- Обеспечение соответствия законодательству и отраслевым стандартам в области информационной безопасности.
- Применение инструментов контроля достижения целей информационной безопасности.
Перед тем как рассматривать главные шаги выработки стратегии, следует определиться с критериями качества стратегии информационной безопасности и целями ее формирования, то есть, необходимо предоставить полноценные ответы на следующие вопросы:
- Какие стратегические цели развития информационной безопасности и каким образом эти цели связаны с совокупностью стратегических целей организации?
- Какой будущий предполагаемый профиль информационной безопасности организации?
- Какие действия следует осуществить, для того чтобы достичь стратегические цели развития информационной безопасности?
На этапе подготовки следует решить следующие основные задачи:
- Создать проектную команду и осуществить постановку задачи.
- Согласовать структуру собираемых данных и адаптацию шаблонов.
- Согласовать границы проекта, структуру и содержание отчетных документов.
- Согласовать процесс управления проектом.
- Определить порядок разрешения возникающих проблем.
- Выполнить подготовку и согласование плана работ.
На этом этапе, по существу, следует заложить основные факторы успеха и достижения необходимых результатов, а именно:
- Осуществить вовлечение руководящих работников организации в проект.
- Создать полноценную команду проектировщиков. В ее состав должны входить самые компетентные сотрудники, и этот состав должен оставаться неизменным на всем протяжении проекта.