В нашем мире, по существу, развернулась информационная и технологическая гонка. Возникает множество различных аспектов и ситуаций, которые требуют определенной реакции. Чтобы унифицировать реакцию и подготовиться к вызовам, разрабатывается политика безопасности. Зависимо от сферы применения она может быть информационной, национальной, промышленной, государственной и экономической.
Что собой представляет политика?
Множество людей рассматривают ее как пускай и вкусный, но не обязательный десерт, который при желании может быть добавлен к основным средствам защиты. Такая точка зрения в корне неверная. Ведь политика должна выступать основой для всесторонней стратегии безопасности и быть практической частью защитных систем. По сути она являет собой план (курс) действий, который предназначен для правительств, партий или коммерческих структур, позволяющий определять или влиять на принимаемые решения, действия, а также иные проблемы. Также ее можно рассматривать как документ (или их свод), где разбираются вопросы философии, стратегии, организации, методов конфиденциальности, целостности, пригодности. Таким образом, они представляют собой набор механизмов, посредством которых определяются и достигаются цели. А какие они именно – это уже зависит от сферы деятельности и реализации. Как правило, это предполагает наличие необходимости в серьезных вложениях, а конкретно – денежных, человеческих и временных ресурсов. В этой области не следует скупиться на затраты, ведь потери их превышают многократно.
Какие механизмы используются в политике безопасности?
Они ранее вскользь упоминались, а теперь давайте рассмотрим их более внимательно.
- Философия. Под этим понимается подход организации к вопросам безопасности, руководящие принципы, структура решения вопросов. Философию можно представить как большой купол, под которым расположены все другие механизмы. Они используются для объяснения во всех будущих ситуациях того, почему человек делает именно то, чем занимается.
- Стратегия. Это проект (план) в рамках философии безопасности. Его детализация показывает, как же организация планирует достичь поставленных целей.
- Правила. Объясняют, что не следует делать.
- Методы. От них зависит то, как именно будет организована политика. Являются практическим гидом того, что и как следует делать в определенных случаях.
В сфере информационных технологий
Пожалуй, это наиболее известный аспект. Главные цели, которые преследуются в этом случае – это обеспечение целостности и конфиденциальности данных. Дополнительно прорабатывается локальная политика безопасности Windows (или другой операционной системы, что установлена на компьютерной технике) с целью разграничения прав доступа, дабы рядовой сотрудник не мог пользоваться той же информацией, что и директор. Она должна отражать принятую философию и стратегию управления и являться бесспорным доказательством намерений обеспечить безопасность данных. Что интересно, партнеров чаще всего интересует именно это, а не технические средства, что используются для достижения данной цели. Политика информационной безопасности позволяет получить такие преимущества.
- Эталонный тест измерения ситуации. Поскольку выбранная политика отображает принятую философию и стратегию, то она выступает в виде совершенного стандарта, с помощью которого измеряется целесообразность и окупаемость существующих затрат. Например, можно воспользоваться интеллектуальной межсетевой защитой «Ответь хакеру тем же», установленной на международной космической станции и стоимостью с небольшой карибский остров. Но окупится ли она и имеет ли смысл покрывать возможный ущерб?
- Гарантирует усердие и последовательность во всех филиалах. Самая большая проблема для руководителей и сотрудников службы информационной безопасности – это не эксплоиты и вирусы, не взлом и перехват пароля. Труднее всего гарантировать качественную работу персонала. Это относится как к системным администраторам, так и другим сотрудникам, через неграмотность и неумелость которых возможно возникновение проблем.
- Гид информационной безопасности. Хорошо проработанная политика безопасности может выступить в роли настоящей библии системного администратора. И значительно облегчить работу и увеличить ее эффективность.
Что еще?
Давайте более подробно рассмотрим локальную политику безопасности. Первоначально необходимо обеспечить понимание преследуемых целей и стоящих задач. Здесь нужно четко уяснить, что все что делается, необходимо не только для расследования фактов утечки данных, но и для осуществления минимизации рисков самой компании и как следствие – для повышения ее прибыли. Чтобы ввести все необходимые защитные меры, она должна утверждаться высшим административным персоналом (директор, их совет, генеральный руководитель). Политика информационной безопасности всегда является определенным компромиссом между удобством работы для пользователя и снижением рисков. При ее создании приходится концентрироваться на двух основных моментах.
- Целевая аудитория. Конечные пользователи и управляющее звено должны понимать политику. Следует брать во внимание то, что им осилить сложные технические выражения не по силам.
- Конкретные цели, методы их достижения, ответственность. Не нужно питаться впихнуть все. Никаких технических подробностей.
Конечный документ должен удовлетворять таким условиям:
- лаконичность: если документ будет иметь большой объем, то это отпугнет пользователя и его никто не прочитает;
- доступность для простого обывателя: конечный пользователь должен хорошо понимать то, что описывается в политике.
Работа промышленных предприятий
Все далеко не ограничивается одними только информационными технологиями. Взять, к примеру, обычное промышленное предприятие. Есть ли смысл работать здесь? Да и еще какой.
Политика промышленной безопасности должна быть создана во избежание несчастных случаев на производстве, для сохранения коммерческой тайны, для обеспечения своевременных логистических поставок и для ряда иных целей, от которых зависит успешность деятельности предприятия. Все зависит от того, какие виды работ идут на нем, какие вызовы стоят перед руководством, какие опасности таит в себе производственный процесс и преследуемые цели. Дополнительно могут создаваться специфические документы, направленные на сохранение определенного преимущества. Например, политика экономической безопасности предприятия может содержать в себе механизмы, направленные на сохранение коммерческой тайны. В таких случаях прорабатывается, например то, где хранятся чертежи и кто имеет к ним доступ. Кроме этого, следует упомянуть и должностные инструкции, и руководства к деятельности, и внутренние нормативно-регулирующие документы и много чего другого. То есть, необходимо учитывать потенциальные проблемные места и принимать соответствующие решения для того, чтобы ликвидировать или минимизировать опасность, идущую от них. Разработка плана эвакуации сотрудников при пожарах, правила действия при возгорании (где огнетушитель и как с ним работать), техника безопасной работы – все это представляет интерес и должно быть учтено. Поскольку поместить все это в один документ проблематично, а часто – еще и очень затратно по ресурсам и времени, политику разбивают на несколько уровней и звеньев.
А что можно сказать о государствах?
Да, здесь политика безопасности тоже существует. Только она более обширна и многогранна, поместить все в один документ можно только в самых общих чертах. Документы, в которых рассматриваются основы политики безопасности находятся, как правило, в открытом доступе и с ними может ознакомиться каждый желающий. Подробности и детали приходится скрывать из-за того, что их разглашение может привести к определенному ущербу. Политика национальной безопасности включает в себя оборонный сектор, планирование, управление, практическую реализацию поставленных целей и экономико-хозяйственное обеспечение деятельности. От нее зависит то, как будет обеспечиваться покой и мирная размеренная жизнь граждан всей страны. В нее рекомендуется включать цели, интересы, руководящие принципы, ценности, стратегические вызовы, угрозы, риски и ситуации. Политика используется для выражения взглядов правительства и основопологающих институтов общества. Довольно распространенной является ситуация, когда страна имеет не один документ, а несколько, и все они регулируют вопросы безопасности. Поскольку они строятся на определенных правовых документах, принятых в государстве, то развитие нормативного обеспечения позитивно сказывается и на проводимой политике, и наоборот. Следует отметить, что просто взять и скопировать всю документацию в данном случае не получиться. Вполне вероятно что это относится также и к их части. Почему? Дело в том, что документы всегда предназначаются конкретным странам. Хотя найти общие точки соприкосновения вполне возможно. Такими являются:
- занимаемая государством роль в международной системе;
- формулировка представления о существующих возможностях и вызовах;
- проработка обязанностей исполнителя при поиске ответов на предыдущий пункт.
Давайте рассмотрим более подробно этот список.
О роли и эффективности
Первый элемент позволяет определить видение государством международной системы и роли, которую оно в ней выполняет. Второй используется для оценки будущих возможностей (внешних и внутренних) и угроз. Третий элемент необходим для описывания функций и обязанностей каждого исполнителя. Например, министерства обороны (или его руководителя). Чтобы обеспечить добропорядочное и эффективное управление, необходимо придерживаться следующих принципов.
- Формировать комплексный подход к субъектам, мерам и проблемам сферы безопасности. Это позволит качественно охватить широкий круг вопросов.
- Чтобы легитимировать, разобраться с проблемными моментами и улучшить показатели эффективности используется обсуждение принимаемых решений, в рамках которых достигается консенсус.
- Следует рассматривать широкий спектр угроз: терроризм, стихийные бедствия, социально-экономические проблемы и так далее.
- Полагается придерживаться норм международного права.
- Необходимо тщательно оценить доступные на данный момент времени средства.
- Следует обеспечить прозрачность, подотчетность и контроль субъектов и процессов.
- В изменчивых условиях (которые являются неотъемлемой частью нашего мира) важно обеспокоиться готовностью и гибкостью.
- Политика государственной безопасности просто обязана учитывать сложившуюся международную ситуацию, поведение и интересы участников, правила и стандарты.
Процесс разработки должен включать в себя значительный круг участников. Хотя основные этапы создания и утверждения принимаются на самых высоких ступенях власти, оценка, исследование и формулирование не обходятся без научных работников, сотрудников служб безопасности, военнослужащих и общественных организаций.
А что в Российской Федерации?
Политика безопасности РФ не отличается чем-то удивительно-уникальным по сравнению с другими странами. Но все же о ней можно рассказать более подробно.
Главная преследуемая цель – обеспечение национальной безопасности. Это подразумевает ведение деятельности, направленной на защиту интересов как всего общества, так и отдельных граждан. Обеспечение политики безопасности заключается в достижении поставленных целей и выполнении принципиальных задач. Этот процесс, согласно нормативно-правовому обеспечению, осуществляется строго в рамках закона. Реализация политики безопасности должна соблюдать баланс интересов государства, общества и отдельных граждан. Основное направление ее воплощения – это противодействие внутренним и внешним факторам. При этом оговорено, что основными принципами, на которые делается ставка, являются:
- соблюдение Конституции и нормативно-правового законодательства Российской Федерации;
- интеграция с международными системами безопасности;
- законность;
- балансировка между жизненно важными интересами личности, общества и страны;
- приоритетность информационных, дипломатических, экономических и политических мер для обеспечения национальной безопасности;
- единство и взаимосвязь разных аспектов работы;
- реальность выдвигаемых задач;
- сочетание де/централизованного управления средствами и доступными силами.
Для чего это все?
Главной преследуемой при этом целью является поддержание и создание необходимого уровня защищенности жизненно важных интересов всех объектов, в интересах которых и нарабатывается безопасность. В конечном итоге должны создаваться благоприятные условия для развития всей страны, общества и отдельной личности. При этом осуществляется противостояние различным вызовам. Основные задачи, которые решаются при этом:
- своевременно прогнозировать и выявлять угрозы для национальной безопасности РФ;
- реализовывать оперативные и долгосрочные меры по предупреждению и нейтрализации опасностей;
- обеспечивать суверенитет и территориальную целостность Российской Федерации, а также безопасность пограничного пространства;
- укрепление правопорядка, а также сохранение социально-политической стабильности общества;
- обеспечение конституционных прав и свобод;
- реализация эффективных мер по выявлению, пресечению и предупреждению подрывной и разведывательной деятельности иностранных государств;
- расширение международного сотрудничества в сфере правоохранительной деятельности;
- выявление, устранение и предупреждение условий и причин, что способствуют активизации преступности.
Заключение
Как видите, политика безопасности – это многогранное понятие. Если говорить о предприятии – здесь один уровень. Страна – совсем другой. Да и каждый уровень может обладать своими особенностями – промышленное предприятие требует одного подхода, активное использование информационных технологий – уже иного. Все зависит от условий и преследуемых целей.