Информационная безопасность как элемент в управлении

0
22

Информационная безопасность как элемент в управленииВ настоящее время все процессы обработки информации в различных отраслях бизнеса, в государственных органах немыслимы без использования современных информационных систем с применением технических ресурсов: персональных компьютеров, серверов хранения и управления базами данных, систем обмена между удаленными пользователями и т. п. Очевидно, что перенос всего процесса обработки и хранения данных в компьютерные информационные системы предъявляет возрастающие с каждым днем требования к вопросам их безопасности. Информация является одним из самых ценных ресурсов компании или организации. В той или иной степени все бизнес-процессы используют информационные ресурсы. Доступность, целостность и конфиденциальность информации имеет особое значение для обеспечения конкурентоспособности, движения денежных средств, рентабельности, соответствия правовым нормам, репутации и имиджа компании. Информационным системам и сетям могут угрожать такие опасности, как компьютерное мошенничество, шпионаж, саботаж, компьютерные вирусы и хакеры, другие источники аварий и отказов оборудования. Данные угрозы информационной безопасности становятся все более распространенными, опасными и изощренными. Уязвимыми становятся учетные и клиентские базы, сведения, составляющие коммерческую тайну, производственные секреты. Утечка подобной информации может привести к прямым экономическим убыткам организации. В связи с выходом закона «О персональных данных» особо следует отметить важность защиты персонализированных данных клиентов финансово-кредитных учреждений, баз данных государственных органов учета, операторов связи и прочих субъектов финансово-экономической и административной деятельности.

Однако не только злонамеренные действия могут представлять опасность. Не меньший вред, вплоть до полной остановки предприятия, и с большой вероятностью, могут принести действия некомпетентного или не информированного сотрудника. Согласно мировой статистике, больше половины инцидентов происходит по причине неосведомленности персонала в вопросах информационной безопасности. Что необходимо сделать, чтобы обеспечить адекватную стратегию безопасности? Прежде всего необходимо провести тщательный аудит информационной системы предприятия. Основная задача аудита — объективно оценить текущее состояние корпоративной информационной системы, а также соответствие критериями безопасности, целям и задачам бизнеса. Для проведения работ по аудиту приглашается независимая компания, обладающая соответствующими методиками, поскольку в силу заинтересованности в результатах оценка силами собственных специалистов не всегда объективна. Важно отметить, что проводимый аудит должен соответствовать требованиям общепризнанных мировых стандартов информационной безопасности. Наиболее широко в мире используются стандарты ISO/IEC 17799:2005 «Методы защиты. Практическое руководство для управления системой защиты информации. Требования», а также ISO/IEC 27001:2005 «Системы менеджмента информационной безопасности. Требования ». Стандарт ISO/IEC 17799:2005 принят в начале 2007 года в России в качестве национального стандарта (ГОСТ). Результаты аудита позволяют руководителю получить объективную картину состояния процессов обеспечения информационной безопасности бизнеса, распределение уровней рисков по областям (персонал, сетевая инфраструктура и др.). На основе проведенного анализа рисков определяются необходимые мероприятия, позволяющие снизить существующие риски до приемлемого уровня с наименьшими затратами. Следующим необходимым шагом на пути построения системы информационной безопасности является проведение инвентаризации и категорирования важных информационных ресурсов предприятия. Это необходимо, прежде всего, для внедрения процессов управления доступа персонала к ним, а также применения мер защиты, адекватных каждой определенной категории информационных ресурсов, что в свою очередь позволяет оптимально расходовать финансовые средства.

Наконец, самым главным этапом работы является построение Системы Управления Информационной Безопасностью (СУИБ). С учетом профиля и специфики бизнес-процессов заказчика разрабатывается Политика информационной безопасности — корпоративная нормативная база, регламентирующая процессы обеспечения безопасности. Целью Политики является защита информационных ресурсов компании от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, обеспечение непрерывности бизнеса и минимизация ущерба, наносимого бизнесу в результате осуществления инцидентов информационной безопасности, максимизация прибыли на инвестированный капитал и получение дополнительных возможностей для бизнеса. Политика информационной безопасности организации описывает основные требования безопасности, цели и принципы управления, распределение обязанностей и ответственность сотрудников компании за обеспечение информационной безопасности, содержит индивидуально разработанные для заказчика инструкции и регламенты, описывающие процедуры внедрения на предприятии различных процессов обеспечения безопасности (организационные методы обеспечения информационной безопасности, управление доступом, управление ресурсами и др.)

Политика является живым документом, учитывающим предложения сотрудников и партнеров, рекомендации органов государственной власти; изменения условий ведения бизнеса, законодательства, структуры компании. Сегодня наличие у компании разработанной Политики информационной безопасности говорит об уровне ее корпоративного управления, соответствия ее современным требованиям ведения бизнеса, наличия корпоративной культуры производства. Наличие сертификата соответствия требованиям международного стандарта ISO 27001 — одно из условий выхода на международный финансовый рынок и важный показатель при налаживании деловых отношений с зарубежными партнерами. Сегодня наша компания — ООО «Консалтинг. Информационные Технологии» (КИТ) — оказывает полный комплекс услуг по аудиту и консалтингу в области информационной безопасности, согласно требованиям соответствующих стандартов.

Сертифицированные специалисты нашей фирмы, владеющие лучшими современными методиками аудита и консалтинга, имеют большой опыт реализации проектов в области информационной безопасности как на крупных коммерческих предприятиях, так и в государственных организациях и учреждениях. Для повышения уровня осведомленности персонала заказчика разработаны и проводятся специальные обучающие семинары. Индивидуальный подход к потребностям клиента, комплексное изучение бизнес-процессов заказчика и разработка процессов направлены на достижение конечного результата — создание надежного фундамента системы управления информационной безопасностью современного предприятия.

Рушан АМИРОВ,
руководитель проектов по информационной безопасности компании «Консалтинг.
Информационные Технологии» (КИТ)

ООО «Консалтинг. Информационные Технологии»,
Консалтинговые услуги в области информационных технологий, поставка программных продуктов
420021, Республика Татарстан, г. Казань, ул. Фатыха Карима, 9
Тел./факс: 293-81-56, 293-81-57, 293-81-58, 293-81-59
e-mail: infosec@fkit.ru, web: www.it-kit.ru

ОСТАВЬТЕ КОММЕНТАРИЙ

Прокомментируйте
Пожалуйста, введите свое имя