Публікації з безпеки
Інформаційні ризики - це небезпека виникнення збитків або шкоди в результаті застосування компанією інформаційних технологій. Іншими словами, IT-ризики пов'язані зі створенням, передачею, зберіганням і використанням інформації за допомогою електронних носіїв та інших засобів зв'язку.
Робота по мінімізації IT-ризиків полягає в попередженні несанкціонованого доступу до даних, а також аварій і збоїв устаткування. Процес мінімізації IT-ризиків слід розглядати комплексно: спочатку виявляються можливі проблеми, а потім визначається, якими способами їх можна вирішити.
На практиці способи виявлення IT-ризиків нічим не відрізняються від способів визначення будь-яких інших ризиків: складаються карти ризиків 1. проводиться збір експертних думок і т. П.
Виявити найбільш критичні інформаційні ризики можна і простішим способом - відповівши на наступні питання.- Чи здатна компанія контролювати доступ до інформаційних систем, в яких формується і зберігається фінансова звітність?
- Чи забезпечені клієнти компанії необхідної інформаційної підтримкою, тобто чи можуть вони в потрібний момент додзвонитися до компанії або ж зв'язатися по електронній пошті?
- Чи зможе компанія в короткий термін інтегрувати існуючі технології роботи з інформацією в системи підприємства, що є об'єктом злиття або придбання?
Точно визначити можливі збитки від більшості IT-ризиків досить складно, але приблизно оцінити їх цілком можливо.
Особистий досвід: Володимир Ісаєв, генеральний директор компанії «Фармстер» (Москва)
При захисті проекту бюджету перед Радою директорів мені потрібно було обґрунтувати рентабельність встановлення антивірусної системи. Для цього я підрахував приблизні збитки, яких зазнає компанія при проникненні вірусу в комп'ютерну мережу. З огляду на рівень комп'ютерної грамотності персоналу компанії, ймовірність того, що співробітник відкриє «підозріле» лист і запустить вірус, дорівнює 30%. Частоту, з якою приходять листи з вірусами, теж можна визначити - такі дані публікуються в багатьох комп'ютерних виданнях. Для повного ж відновлення комп'ютерної мережі після вірусної атаки нашої IT-службі потрібно один-два дня. Таким чином, витрати на відновлення роботи складаються із заробітної плати IT-фахівця за ці два дні, операційних витрат, пов'язаних із зупинкою роботи, а також з середнього прибутку, яку компанія недоотримає за цей час. Коли члени Ради директорів побачили, наскільки такі витрати перевищують вартість антивірусного програмного забезпечення, питання про доцільність покупки відпав.
Як мінімізувати IT-ризики
Як показує досвід багатьох українських компаній, найбільш успішні стратегії попередження IT-ризиків базуються на трьох основних правилах.
Правило № 1. Доступ співробітників до інформаційних систем і документів компанії повинен бути різний залежно від важливості і конфіденційності змісту документа.
Правило № 2. Компанія повинна контролювати доступ до інформації і забезпечувати захист вразливих місць інформаційних систем.
Правило № 3. Інформаційні системи, від яких безпосередньо залежить діяльність компанії (стратегічно важливі канали зв'язку, архіви документів, комп'ютерна мережа), повинні працювати безперебійно навіть у разі кризової ситуації.
Вадим Корнєєв, начальник відділу впровадження факторингових технологій АБ «ІБГ НІКойл» (Москва)
Для організації доступу наших клієнтів до даних через мережі загального користування, наприклад інтернет, ми виділили окремий сервер. На нього копіюються дані з основного сервера, так що навіть якщо ми не зможемо відбити атаку хакерів, вони не отримають доступу до внутрішньої інформації компанії, а також до електронних архівів, які зберігаються на носіях, які не мають виходу в інтернет. Доступ клієнтів до даних забезпечений різними ступенями захисту, які гарантують конфіденційність і достовірність переданої інформації. На мою думку, такий рівень безпеки є цілком прийнятним для систем подібного рівня.
Дмитро Волов, IT-директор ЗАТ «Емпілс» (Ростов-на-Дону)
В результаті виходить матриця інформаційних потоків, кожному рівню якої відповідає певний рівень доступу.
Розробкою регламентів, що стосуються інформаційної безпеки, займається відділ реінжинірингу і стандартизації бізнес-процесів. Грунтуючись на цих регламентах, кожен керівник підрозділу формує для своїх співробітників посадові інструкції і призначає відповідальних за дотримання інформаційної безпеки в рамках свого підрозділу.
Технічна робота по забезпеченню інформаційної безпеки полягає в дублюванні важливих функцій, від яких залежать збереження і цілісність інформації, а також безперервність роботи компанії (наприклад, установка запасних серверів, систем резервного копіювання). Щоб мінімізувати ризик збоїв, ми використовуємо тільки техніку від надійних виробників. Витрати на неї окупаються, так як збиток від простою інформаційних систем протягом кількох годин у багато разів перевищить їх вартість, а втрата інформації може взагалі паралізувати роботу підприємства.
Забезпечення інформаційної безпеки - це, в першу чергу, питання ефективності витрачених коштів, тому витрати на захист не повинні перевищувати суми можливих збитків.
Оскільки будь-які витрати на запобігання ризикам повинні бути обгрунтовані, необхідно обов'язково розраховувати їх економічну ефективність. Розрахунком ефективності та обґрунтуванням витрат на засіданні бюджетного комітету займається менеджер напрямку, яке зацікавлене у зниженні ризику.
Для забезпечення необхідного захисту від IT-ризиків і контролю безпеки можна провести наступні заходи.- Визначити коло осіб, відповідальних за інформаційну безпеку, створити нормативні документи, в яких будуть описані дії персоналу компанії, спрямовані на запобігання IT-ризиків, а також забезпечити резервні потужності для роботи в критичній ситуації.
- Розробити єдині стандарти інформаційних систем в рамках організації, тобто перейти до єдиних звітних формах, а також єдиними правилами розрахунку показників, які будуть застосовуватися в усіх програмних продуктах компанії, які використовуються для цієї мети.
- Класифікувати дані за ступенем конфіденційності і розмежувати права доступу до них.
- Стежити за тим, щоб будь-які документи, які звертаються усередині організації, створювалися за допомогою систем, централізовано встановлених на комп'ютерах. Встановлення будь-яких інших програм повинна бути санкціонована, інакше ризик збоїв і вірусних атак різко зросте.
- Впровадити засоби контролю, що дозволяють відслідковувати стан всіх корпоративних систем: в разі несанкціонованого доступу система повинна або автоматично забороняти вхід, або сигналізувати про небезпеку, щоб персонал міг вжити заходів.
- проаналізувати сценарії проникнення сторонніх осіб або не мають відповідних повноважень співробітників компанії у внутрішню інформаційну мережу, а також провести навчальні заходи з метою відпрацювання моделі поведінки співробітників, відповідальних за інформаційну безпеку, в кризових ситуаціях;
- розробити варіанти вирішення проблем, пов'язаних з кадрами, включаючи звільнення з компанії ключових співробітників, наприклад скласти і ознайомити персонал з планом наступності управління на підприємстві;
- підготувати запасні інформаційні потужності (сервери, комп'ютери), а також резервні лінії зв'язку.
Якщо бізнес компанії багато в чому залежить від стану її інформаційних мереж (наприклад, у фірм, що займаються розробкою комп'ютерних програм), необхідно призначити відповідального за розробку, впровадження та контроль виконання корпоративних правил, спрямованих на зниження IT-ризиків. Бажано, щоб такий координатор не мав відношення до IT-структурі компанії (наприклад, виконавчий директор).
Вважається, що співробітник, який не пов'язаний безпосередньо з інформаційними технологіями, буде найбільш об'єктивний при організації заходів з ризик-менеджменту. Його робота повинна оцінюватися за допомогою вимірюваних показників, скажімо, час усунення збоїв в роботі сервера не повинно перевищувати 30 хвилин або ж частота таких збоїв повинна бути не вище, ніж два рази на рік.
Обов'язковою умовою успішного ризик-менеджменту в області інформаційних технологій є його безперервність. Тому оцінка IT-ризиків, а також розробка і оновлення планів по їх мінімізації повинні проводитися з певною періодичністю, наприклад раз в квартал. Періодичний аудит системи роботи з інформацією (інформаційний аудит), що проводиться незалежними експертами, буде додатково сприяти мінімізації ризиків.