четверг, 23 июня 2011 г.

Подходы к разработке политик и процедур в области ИТ и информационной безопасности

Политики и процедуры являются важным элементом построения системы управления информационной безопасностью компании.

Как разрабатывать эти документы, какие существуют подходы? Существуют два принципиально различающих подхода: формалистический и практический.

Первый подход, формалистический, заключается в том, что мы разрабатываем ряд документов, в них описываем то, что должно быть (исходя из требований международных стандартов, исходя из требований регуляторов и т.д.). В этих документах излагается то, что "хорошо чтобы так было". При этом мы можем показать, что компания соответствует ряду требований в части разработанных политик и процедур (например, требования PCI DSS, которые введены недавно или требования SOX 404, которые были введены несколько лет тому назад). Не факт, что требования документов выполняются и не факт, что информационные системы и процессы соответствуют стандартам, но на бумаге выглядит все очень хорошо. Такие документы могут содержать требования, которые не всегда соответствуют здравому смыслу или общепринятым практикам. Для разработки таких документов в компании могут использоваться различные источники. Есть целый ряд готовых заготовок и шаблонов для разработки таких документов (например, Information Security Policy Templates от SANS.org или ресурс networkdoc.ru). Мы меняем шапку, немного изменяем формулировки и вот уже документ готов. Я на практике видел, как в целом ряде коммерческих банков Украины были разработаны формалистические документы для соответствия стандарту PCI DSS. На практике требования документов не выполнялись, да их и нельзя было выполнить. Например, PCI DSS требует наличия в компании плана обеспечения непрерывности деятельности - и вот он в компании есть. Другое дело, что документ содержит всего 8 страниц, из них 5 страниц - это шапка, ссылки, список авторов и т.д.
Но какая же польза от таких формалистичных документов для компании? Главная цель таких документов - показать соответствие чему-то. Но, согласитесь, для компании это не главное. Главная цель политик и процедур - донести до сотрудников компании основные принципы, по которым необходимо работать в компании. Это как законы, которые позволяют индивидуумам гармонично сосуществовать в рамках общества. Политики и процедуры должны помогать компании достигать своих целей. Это могут быть цели, направленные на получение прибыли собственниками, цели выполнения важных проектов для общества. Безусловно, может быть цель соответствия требованиям. Тут как раз формалистические документы помогут, но это только одна из целей компании.
Формалистический подход в нормативной документации аналогичен некоторым требованиям ПДД, которые либо устарели, либо рассчитаны на другие категории дорог и транспортных средств, но формально установлены и дают возможность сотрудникам автоинспекции применять штрафы. Но польза таких требований для безопасности движения сомнительна.

Второй подход, практический, позволяет разработать политики и процедуры, которые являются отражением текущего состояния вещей, то есть установившуюся практику. Главная цель этих документов - не требование выполнения навязанных извне принципов, а изложение на бумаге договоренностей между сторонами (владельцами, руководством, сотрудниками различных подразделений), которые и так уже достигнуты в компании. Это своего рода меморандум (от лат. memorandum — то, о чём следует помнить). Такие документы напоминают о том, о чем стороны уже договорились. При таком подходе все участники процесса понимают важность вопроса. Они пришли к какому-то общему мнению, согласовали интересы различных сторон (например, подразделения ИТ и подразделения информационной безопасности), потому как цели сторон могут немного противоречить друг другу. Такой подход более эффективен. Документы, разработанные по этому подходу, будут встречать меньше сопротивления со стороны сотрудников, поскольку это то, к чему сотрудники и так уже пришли путем переговоров.

Один из примеров из другой области, который иллюстрирует эти два подхода - составление банковской гарантии. Во время проведения одного из тендеров необходимо было, чтобы участники, которые подают свои коммерческие предложения для участия в тендере, подкрепили "серьезность намерений" банковской гарантией. Если они не могут оказать услуги, описанные в коммерческом предложении, после выбора их победителем, то залоговая сумма через банковскую гарантию переходит от компании, которая объявляет тендер. В тендере участвовали два системных интегратора. Один из них работал на территории Украины, другой работал по всему миру. Украинский системный интегратор предоставил гарантию, выпущенную украинским банком. Это был солидный документ с множеством пунктов и условий, с мокрой печатью и подписью первых лиц банка. Другой интегратор предоставил гарантию, выпущенную ведущим международным банком. Это была факс-копия печатного документа на 8-10 пунктов уместившихся на одной странице формата А4 крупным печатным шрифтом. Мокрой печати и подписей на документе не было. Но, тем не менее, этот документ тоже был гарантией и не менее весомой. Поскольку компания дорожит своей бизнес репутацией (в данном случае банк), то этот документ это также меморандум, отражающий обязательства сторон. Вопрос юридической силы тут другой, поскольку одно дело - существующие законы, другое дело - их выполнение. Лично я доверял бы второй гарантии больше, поскольку репутация у второго банка намного лучше репутации первого банка. Законы в Украине, к сожалению, не всегда выполняются. И, имея на руках формальную юридическую гарантию от Украинского банка, мы на самом деле обладаем меньшей гарантией (прошу прощения за вынужденную тавтологию) того, что залоговая сумма будет передана при наступлении событий, указанных в условиях.

Формалистический подход был распространен в СССР. Были некие стандарты, на бумаге они выполнялись, но на практике это не всегда выполнялось. В то же время детализированные стандарты были. Практический подход больше распространен в западных компаниях, в которых все больше базируется на меморандумах, а не на формальных документах.

Компании в Украине могут выбирать, каким подходом им руководствоваться. "Выбирай, но осторожно, но выбирай" © Роман Карцев.