Статья опубликована в рамках: LXXIII Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 17 января 2019 г.)
Наука: Информационные технологии
Скачать книгу(-и): Сборник статей конференции
дипломов
РИСКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ПРЕДПРИЯТИЙ
Вступление
Главный интерес предпринимателя — стабильность и рост предприятия, а также получаемая от его деятельности прибыль. Все это становится под угрозы при наличии рисков, которые нужно держать под контролем.
Кроме финансовых и операционных рисков, существуют также риски информационной безопасности, которые в последнее время все больше привлекают к себе внимания. Это заставляет организациям уделять особое внимание оценке, контролю и минимизации этих рисков.
Состояние вопроса
Информационная безопасность предприятия – это состояние защищённости корпоративных данных, включая сохранение таких свойств, как целостность, конфиденциальность и доступность.
В настоящее время деятельность любой организации по большей части автоматизирована. Организацию можно считать системой, которая обеспечивает выполнение функций по взаимодействию с ее клиентами и контролирующими органами.
Часть этой системы является автоматизированной. В автоматизированную систему организации входят каналы связи, средства вычислительной техники, системное, прикладное программное обеспечение. Всё, выше перечисленное, взаимодействует с нематериальными информационными активами. Эти активы очень ценны и зачастую обладают очень высокой стоимостью.
При нарушении свойств конфиденциальности, целостности или доступности этих активов, появляются последствия, которые приводят к очень большой, а иногда критическому ущербу для предприятия. Это создает в нем уязвимость, о который зачастую узнают уже после ее возникновения.
Решение
Все риски можно охарактеризовать двумя параметрами: потенциальным ущербом для предприятия и вероятностью реализации этих рисков. Это позволяет сравнивать риски с различными уровнями ущерба и вероятности. Сам процесс управления рисками может состоять из следующих этапов:
- Определение допустимого для предприятия уровня риска. Этот критерий, используется при решении о принятии риска или его обработке.
- Чтобы предпринять какие-либо действия касаемо рисков, последние должны быть идентифицированы и оценены относительно ущерба от реализации риска, а также вероятности его реализации. Для оценки вероятности проводят анализ вероятности реализации риска.
- Расставление приоритетов. Чтобы определить приоритет при реагировании на риски и возможности следующей разработки плана реагирования все риски должны быть ранжированы.
- Принятие решения по рискам и разработка соответствующего плана реагирования на риски. Для определения совокупности мер реагирования на риски необходимо провести анализ идентифицированных и оцененных рисков с целью принятия относительно каждого их них одного из следующих решений:
- Избегание риска;
- Принятие риска;
- Передача риска;
- Снижение риска.
- Реализация мероприятий по реагированию на риски. Выполнение действий, указанных в плане реагирования на риски.
- Оценка эффективности реализованных мер. Производится оценка эффективности каждой реализованной меры реагирования на риск.
Основным способом, позволяющим получать информацию о рисках, является аудит. Он должен быть, как и внутренним, так и внешним. Аудит дает возможность увидеть единую оценку всех связанных между собой рисков для организации.
Это создает возможность экономически обосновать необходимость разработки и внедрения комплекса мер по обеспечению безопасности в организации в разных направлениях:
- Организационных
- Физических
- Технических
- Технологических
- Морально-этических
- Правовых
При помощи комплекса мер можно осознанно управлять рисками:
- принять риск (к примеру, предприятие использует нелицензионное программное обеспечение, но в случае проверки контролирующими органами заранее знает размер ущерба);
- избежать риски (организация не будет предоставлять какую-либо услугу, связанную с интернет банкингом, так как почти гарантированно понесет ущерб в результате реализации мошеннических схем);
- минимизировать риски (создание резервной базы);
- страхование.
Для того, чтобы провести аудит, а также разработать и внедрить необходимый комплекс мер для минимизации риском, предприниматели нанимают специалистов, которые выполняют следующие требования:
- успешное выполнение проектов по формированию автоматизированных систем в защищенном исполнении;
- объективная квалификация;
- лояльность интересам заказчика;
- приемлемая стоимость услуг коллектива.
Соответствовать первому требованию можно при помощи работы с коллективами, занимающимися потоковым созданием автоматизированных систем в защищенном исполнении для разнообразных заказчиков. Обычно это сотрудники компаний системных интеграторов («Ланит», «КРОК», «Эврика» и пр.). У них есть практические знания, навыки, опыт, а также свои методы создания и обслуживания систем защиты в соответствии с требованиями разнообразных законов-регуляторов.
Второе требование соблюдают специалисты, ведущие публичную деятельность в сфере информационной безопасности и имеющие международно-признаваемые сертификации (CISA, CISM, CISSP) таких организаций, как ISACA (крупнейшая профессиональная ассоциация аудиторов) и (ISC)2 (ведущий международный консорциум специалистов по информационной безопасности).
Третье требование необходимо из-за того, что лояльность и доверие клиентов необходимо для обеспечения информационной безопасности изнутри, из-за чего нужно брать экспертов в штат. А это очень экономически нецелесообразно и повышает стоимость услуги, из-за чего конфликтует с четвертым требованием.
Выводы
Самым адекватным решением касаемо контроля риском является привлечении на контрактной основе экспертов, имеющих опыт в системной интеграции и международно-признаваемыми сертификационными статусами.
При наличии прямого доступа к руководству организации, такой эксперт сможет адекватно оценивать риски, разрабатывать комплекс мер по обеспечению безопасности, который будет реализован при помощи самого предприятия, а также с помощью привлекаемых внешних подрядчиков.
В результате при наличии такого доверенного источника информации об рисках информационной безопасности, появляется возможность руководству организации принимать более правильные стратегические и тактические решения в управлении предприятия. Все это дает гарантии соблюдения главных интересов предпринимателей.
Список литературы:
- Бондарев В.В. Введение в информационную безопасность автоматизированных систем: учеб. пособие. М.: МГТУ им. Н. Э. Баумана, 2016. С. 103-111.
- Крючков А.В., Прус Ю.В., Резниченко С.А., Технологические основы национальной информационной безопасности // Сборник статей, Международной научно-практической конференции Российского государственного гуманитарного университета. 2018. С. 58-63.
- Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Управление рисками информационной безопасности: учеб. пособие. М.: Горячая Линия - Телеком, 2018. С. 42-51.
дипломов
Оставить комментарий