1. В компании на уровне высшего руководства учрежден орган, принимающий решения по вопросам безопасности. Функциональные обязанности внутри него четко разграничены, каждый менеджер осознает и принимает ответственность за внедрение адекватных мер для обеспечения информационной безопасности.
а. До подобного решения наш бизнес еще не дорос (0 баллов).
в. В ближайшем будущем планируем создать (1 балл).
с. Ответственность распределяется нередко между членами совета директоров, когда возникает в этом острая необходимость (2 балла).
d. Эти функции полностью возложены на службу безопасности (3 балла).
e. Да, подобный орган создан в компании (4 балла).
f. Да, подобный орган создан и функционирует, ориентируясь на передовой опыт западных компаний (5 баллов).
2. Ведется и классифицируется единая база информационных активов, которая регулярно обновляется. Каждый актив закреплен за конкретным должностным лицом, а также указан сотрудник, ответственный за безопасность этой информации.
a. А зачем это нужно? (0 баллов).
b. Планирую в ближайшем будущем этим заняться (1 балл).
c. База информационных активов есть. Но она не обновляется (2 балла).
d. Эта задача отдана на откуп службе безопасности (3 балла).
e. Так оно и есть (4 балла).
f. База информационных активов создана, разработаны правила ее формирования и обновления (5 баллов).
3. В компании сформирована эффективная служба безопасности. Разработаны и совершенствуются регламенты и политика информационной безопасности. Руководство регулярно получает полные отчеты о состоянии системы обеспечения информационной безопасности.
a. У нас и скрывать-то особенно нечего (0 баллов).
b. Службы безопасности пока нет, мы только планируем начать набирать людей (1 балл).
c. В случае необходимости мы привлекаем профессионалов со стороны (2 балла).
d. Есть служба охраны, отчасти она взяла на себя выполнение этих функций (3 балла).
e. Служба безопасности создана. Но отчетов или регламентов ни разу не видел (4 балла).
f. Служба безопасности, а также внутренняя нормативная база созданы и регулярно оцениваются (5 баллов).
4. Разработана, задокументирована и реализуется стратегия информационной безопасности. А именно: внедрены процессы идентификации, оценки и управления операционными и финансовыми рисками; функционирует система регистрации и хранения ключевых рисков; проводится внутренний аудит системы управления рисками и т.д.
a. Зачем все так усложнять? (0 баллов).
b. В этом году планировали разработать все вышеописанное (1 балл).
c. Некоторые из предложенных процессов и процедур уже реализованы (2 балла).
d. Всем этим занимается служба безопасности. Она утверждает, что все перечисленное выполняется (3 балла).
e. Мы разработали стратегию, но заниматься еще и аудитом информационных рисков нет ни желания, ни средств (4 балла).
f. Все верно (5 баллов).
5. Требования безопасности отражены в конт¬р¬акте найма сотрудников, а также в договорах с третьими лицами или организациями. В компании определена мера ответственности за нарушение правил или политики информационной безопасности.
a. Не стоит людей пугать без необходимости (0 баллов).
b. Нам еще только предстоит это сделать (1 балл).
c. В случае острой необходимости специалисты службы безопасности проводят разъяснительные беседы (2 балла).
d. Сотрудники ознакомлены с правилами соблюдения коммерческой тайны. С контрагентами подобная работа ведется избирательно (3 балла).
e. Для нашей компании это нормальная практика (4 балла).
f. Все перечисленное сделано. Кроме того, проводится аттестация сотрудников по безопасности (5 баллов).
6. Привилегии каждого сотрудника достаточны только для выполнения его бизнес-функций. Сотрудники отдела безопасности и IT-департамента собирают, анализируют и хранят журналы регистрации доступа ко всем информационным активам предприятия.
a. Не уверен, что это оправданно. Затраты на IT-отдел будут чрезмерными (0 баллов).
b. В полном объеме мы этого не делаем (1 балл).
c. Мы собираем данные о том, к каким информационным ресурсам компании обращался тот или иной пользователь, только если необходимо разобраться в каком-то неприятном инциденте (2 балла).
d. Журналы регистрации не ведутся. Остальное верно (3 балла).
e. Насколько я знаю, всем этим регулярно занимается IT-отдел (4 балла).
f. Описанные работы проводятся и подкреплены соответствующими регламентами и правилами (5 баллов).
БЫСТРЫЙ ДИАГНОЗ
26-30
Бюджет проектов по информационной безопасности вашей компании скорее всего не превышает 6 процентов от всего IT-бюджета. Ваша система безопасности достаточно сложна и, возможно, тормозит развитие основного бизнеса. К тому же сотрудники отдела безопасности не всегда могут оперативно выявить и пресечь утечку коммерческой информации. Правильным шагом будет упрощение системы безопасности. Главное, не перестараться.
20-25
Руководство может быть твердо уверено: в компании приняты адекватные меры безопасности, демонстрирующие его должное внимание к корпоративным стандартам управления. Ваша коммерческая тайна в достаточной степени защищена. Однако не обольщайтесь, вероятность утечки коммерческих тайн всегда больше нуля.
13-19
Вашей компании еще предстоит многое сделать, чтобы защитить свои коммерческие тайны. Компания уязвима, и конфиденциальные данные могут быть «вынесены» за пределы офиса. Скорее всего это связано с тем, что безопасность вашей компании — результат инициативы отдельных ее сотрудников и основана исключительно на их квалификации.
0-12
Удивительно, как ваш бизнес еще не рухнул. Скорее всего это просто вопрос времени. Необходимо срочно решать задачу обеспечения собст¬венной информационной безопасности.
ЭКСПРЕСС-ТЕСТ
Олег Мосеев, финансовый директор группы компаний «АвтоСпецЦентр»
«КОММЕРЧЕСКУЮ ИНФОРМАЦИЮ ВЫНЕСТИ У НАС НЕ ТАК ЛЕГКО»
Результат нашей компании — 23. С выводами, в принципе, я согласен. Да, мы не являемся идеальной компанией с точки зрения информационной безопасности, но при этом считаем, что она на приемлемом для нас уровне. Разработка и проверка эффективности политики инфобезопасности возложена на IT-директора. Коммерческую информацию вынести у нас не так легко. Какие-либо съемные носители наши сотрудники попросту не могут использовать, через интернет информацию тоже невозможно переслать. К тому же при приеме на работу каждый сотрудник подписывает соглашение о неразглашении коммерческой тайны. Также мы подписываем подобные соглашения с нашими партнерами, особенно если речь идет об обмене какими-либо данными. Конечно, мы понимаем, что подобные вещи достаточно условны, в то же время они обеспечивают определенный уровень защиты.
Автор: Эдуард Оганов, независимый консультант
Источник: FD