РИСКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ПРЕДПРИЯТИЙ

Вступление

Главный интерес предпринимателя — стабильность и рост предприятия, а также получаемая от его деятельности прибыль. Все это становится под угрозы при наличии рисков, которые нужно держать под контролем.

Кроме финансовых и операционных рисков, существуют также риски информационной безопасности, которые в последнее время все больше привлекают к себе внимания.  Это заставляет организациям уделять особое внимание оценке, контролю и минимизации этих рисков.

Состояние вопроса

Информационная безопасность предприятия – это состояние защищённости корпоративных данных, включая сохранение таких свойств, как целостность, конфиденциальность и доступность.

В настоящее время деятельность любой организации по большей части автоматизирована. Организацию можно считать системой, которая обеспечивает выполнение функций по взаимодействию с ее клиентами и контролирующими органами.

Часть этой системы является автоматизированной. В автоматизированную систему организации входят каналы связи, средства вычислительной техники, системное, прикладное программное обеспечение. Всё, выше перечисленное, взаимодействует с нематериальными информационными активами. Эти активы очень ценны и зачастую обладают очень высокой стоимостью.

При нарушении свойств конфиденциальности, целостности или доступности этих активов, появляются последствия, которые приводят к очень большой, а иногда критическому ущербу для предприятия. Это создает в нем уязвимость, о который зачастую узнают уже после ее возникновения.

Решение

Все риски можно охарактеризовать двумя параметрами: потенциальным ущербом для предприятия и вероятностью реализации этих рисков. Это позволяет сравнивать риски с различными уровнями ущерба и вероятности. Сам процесс управления рисками может состоять из следующих этапов:

1. Определение допустимого для предприятия уровня риска. Этот критерий, используется при решении о принятии риска или его обработке.
2.  Чтобы предпринять какие-либо действия касаемо рисков, последние должны быть идентифицированы и оценены относительно ущерба от реализации риска, а также вероятности его реализации. Для оценки вероятности проводят анализ вероятности реализации риска.
3. Расставление приоритетов. Чтобы определить приоритет при реагировании на риски и возможности следующей разработки плана реагирования все риски должны быть ранжированы.
4. Принятие решения по рискам и разработка соответствующего плана реагирования на риски. Для определения совокупности мер реагирования на риски необходимо провести анализ идентифицированных и оцененных рисков с целью принятия относительно каждого их них одного из следующих решений:

• Избегание риска;
• Принятие риска;
• Передача риска;
• Снижение риска.

5. Реализация мероприятий по реагированию на риски. Выполнение действий, указанных в плане реагирования на риски.
6. Оценка эффективности реализованных мер. Производится оценка эффективности каждой реализованной меры реагирования на риск.

Основным способом, позволяющим получать информацию о рисках, является аудит. Он должен быть, как и внутренним, так и внешним. Аудит дает возможность увидеть единую оценку всех связанных между собой рисков для организации.

Это создает возможность экономически обосновать необходимость разработки и внедрения комплекса мер по обеспечению безопасности в организации в разных направлениях:

• Организационных
• Физических
• Технических
• Технологических
• Морально-этических
• Правовых

При помощи комплекса мер можно осознанно управлять рисками:

• принять риск (к примеру, предприятие использует нелицензионное программное обеспечение, но в случае проверки контролирующими органами заранее знает размер ущерба);
• избежать риски (организация не будет предоставлять какую-либо услугу, связанную с интернет банкингом, так как почти гарантированно понесет ущерб в результате реализации мошеннических схем);
• минимизировать риски (создание резервной базы);
• страхование.

Для того, чтобы провести аудит, а также разработать и внедрить необходимый комплекс мер для минимизации риском, предприниматели нанимают специалистов, которые выполняют следующие требования:

• успешное выполнение проектов по формированию автоматизированных систем в защищенном исполнении;
• объективная квалификация;
• лояльность интересам заказчика;
• приемлемая стоимость услуг коллектива.

Соответствовать первому требованию можно при помощи работы с коллективами, занимающимися потоковым созданием автоматизированных систем в защищенном исполнении для разнообразных заказчиков. Обычно это сотрудники компаний системных интеграторов («Ланит», «КРОК», «Эврика» и пр.). У них есть практические знания, навыки, опыт, а также свои методы создания и обслуживания систем защиты в соответствии с требованиями разнообразных законов-регуляторов.

Второе требование соблюдают специалисты, ведущие публичную деятельность в сфере информационной безопасности и имеющие международно-признаваемые сертификации (CISA, CISM, CISSP) таких организаций, как ISACA (крупнейшая профессиональная ассоциация аудиторов) и (ISC)2 (ведущий международный консорциум специалистов по информационной безопасности).

Третье требование необходимо из-за того, что лояльность и доверие клиентов необходимо для обеспечения информационной безопасности изнутри, из-за чего нужно брать экспертов в штат. А это очень экономически нецелесообразно и повышает стоимость услуги, из-за чего конфликтует с четвертым требованием.

Выводы

Самым адекватным решением касаемо контроля риском является привлечении на контрактной основе экспертов, имеющих опыт в системной интеграции и международно-признаваемыми сертификационными статусами.

При наличии прямого доступа к руководству организации, такой эксперт сможет адекватно оценивать риски, разрабатывать комплекс мер по обеспечению безопасности, который будет реализован при помощи самого предприятия, а также с помощью привлекаемых внешних подрядчиков.

В результате при наличии такого доверенного источника информации об рисках информационной безопасности, появляется возможность руководству организации принимать более правильные стратегические и тактические решения в управлении предприятия. Все это дает гарантии соблюдения главных интересов предпринимателей.

Список литературы:

1. Бондарев В.В. Введение в информационную безопасность автоматизированных систем: учеб. пособие. М.: МГТУ им. Н. Э. Баумана, 2016. С. 103-111.
2. Крючков А.В., Прус Ю.В., Резниченко С.А., Технологические основы национальной информационной безопасности // Сборник статей, Международной научно-практической конференции Российского государственного гуманитарного университета. 2018. С. 58-63.
3. Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Управление рисками информационной безопасности: учеб. пособие. М.: Горячая Линия - Телеком, 2018. С. 42-51.