ВХОД  
Best of Security — информационно-аналитический портал о безопасности
МЕНЮ  
TOP-10 СТАТЕЙ  
1.  Должностные рамки
2.  Система безопасности торговых центров
3.  Г. Минаев. Безопасность-менеджмент организации (окончание)
4.  Евро-2012: в отелях все спокойно?
(Организация работы службы безопасности отелей)
5.  Административное спокойствие
(Охрана офисов. Рекомендации от практиков охраны)
(Окончание, начало в №4, 2008 г.)
6.  Частные детективы: своя тайна
(На какие хитрости идут сыщики, чтобы добиться необходимой информации и не дать повода для проверок со стороны контролирующих органов)
7.  Чрезвычайные обстоятельства
8.  Храните ваши деньги…
(О состоянии сферы банковской безопасности в Украине)
9.  Безопасные связи: CDMA или GSM
10.  Сложно, но можно
РЕКЛАМА  

ПАРТНЕРЫ  
Автосигнализация. GPS навигация
ЧП «АГЕНТСТВО БЕЗОПАСНОСТИ БИЗНЕСА «ПЕРЕСВЕТ»
Охрана и безопасность: новости и происшествия, криминальные хроники, судебная практика, законопроекты,  лицензирование
Все об охране, защите и безопасности
Единый прайс-лист систем безопасности
Консалтинговая компания «СИДКОН»
Охранное агентство (ЧОП) Баярд - вневедомственная охрана, личная охрана, пультовая охрана,  правила безопасности
Системы Сети деловой информации ЛІГА:ЗАКОН
Информационно-правовая поддержка портала
Статья журнала «BEST OF SECURITY», №23 (декабрь, 2007)  
просмотров: 2883
Номер:
    Рубрика:
предыдущая статьяназад к анонсуследующая статья

Информационная безопасность корпорации (окончание)

(Окончание, начало №9, 11, 2007 г.)

В этой статье мы продолжаем рассматривать способы и средства защиты информации, а также их внедрение и использование.

 

3.5. Выбор способов и средств защиты информации.
После того как удалось найти конкретные варианты организационных и технических решений, необходимо подсчитать затраты на их реализацию. Вот здесь можно и огорчиться. Сомнения и чувство досады, возникающие в такие моменты — это вполне нормальное явление. Часто при этом всплывают воспоминания о том, как спокойно жилось, пока проблемы защиты информации не были знакомы.
Но как бы этого не хотелось, а придется выложить дополнительные средства на организацию защиты своих данных. Было бы неплохо, чтобы такая мысль пришла пораньше, поскольку построить систему защиты информации для готовой (законченной) информационной системы можно лишь путем введения целого ряда ограничений, а это, естественно, снижает эффективность функционирования информационной системы в целом.
Инвестируя средства в безопасность информации, следует учесть ряд моментов.
Во-первых, уровень защиты информации не всегда повышается, так как соответствующие средства зачастую настраиваются и используются неграмотно.
Во-вторых, при внедрении средств защиты руководители ИТ-подразделений и топ-менеджеры компании успокаиваются, считая, что проблемы безопасности исчерпаны.
В-третьих, полностью игнорируются организационные меры, поскольку подразумевается, что технические средства решат все проблемы защиты благодаря лишь факту их присутствия.
В-четвертых, обычно не рассматриваются альтернативные варианты решений для обеспечения безопасности информации.
Почему так происходит? Прежде всего, следует отметить низкий уровень знаний в вопросах защиты информации сотрудников ИТ-подразделений и топ-менеджеров. Старая пословица «пока гром не грянет, мужик не перекрестится» очень точно отражает их отношение к процессу обеспечения информационной безопасности.

Рассматривая различные варианты организационных и технических решений, следует обратить внимание на следующие аспекты:

1. Какие угрозы должны быть устранены и в какой мере?
2. Какие ресурсы сети должны быть защищены и в какой степени?
3. С помощью каких средств должна быть реализована защита?
4. Каковы должны быть полная стоимость реализации защиты и затраты на эксплуатацию с учетом потенциальных угроз?
5. Какие функции ИС затрагиваются и какой новый персонал потребуется?
6. Какая квалификация требуется для выполнения обязанностей по обеспечению безопасности?
7. Как будут включены функции безопасности в структуру организации?
8. Какая стоимость защиты доступна и какая чрезмерна?
9. Каков выигрыш в безопасности будет получен при увеличении вложений в защиту?
10. Кто будет оплачивать возросшие расходы по обработке информации пользователя во время реализации программы безопасности?

Основные проблемы:

— Организация должна являться физическим выражением замыслов администратора безопасности.
— Необходимо проведение организационной работы для повышения эффективности работоспособности реализованных замыслов, реализуемых систем и их функционирования.
— Наличие организационных схем и правил работ.

3.6. Внедрение и использование выбранных мер, способов и средств защиты.
Что же делать компаниям среднего бизнеса, которым необходимо обеспечить надежную защиту важной информации без лишних затрат?
В первую очередь, в качестве руководства к действию следует принять лозунг «Кто предупрежден — тот вооружен». Сегодня предлагаются учебные курсы и программы по обеспечению безопасности информации, ориентированные на ИТ-менеджеров и руководителей высшего звена, которые позволяют им за два-пять дней получить необходимую методическую базу. Стоимость таких курсов и потраченное время с лихвой окупятся при приобретении средств защиты и построении корпоративной системы ИБ.
Вторым шагом на пути к оптимизации финансовых затрат является оценка текущего уровня защищенности корпоративной ИС. Эта работа заключается в формировании требований к приемлемому (необходимому) уровню защиты путем ответов на следующие вопросы:

— Сколько денег вы потеряете, если реализуется тот или иной сценарий взлома, выйдет из строя компьютерная система или база данных?
— От кого/чего нужно защищаться? Возможные варианты ответов: от уборщицы, которая может шваброй выключить сервер, от энергетиков, отключающих электричество в этом районе города, от конкурентов, которым очень нужна информация о вашем новом продукте, и т. п.
— Что нужно защищать? Отвечая на этот вопрос, можно перечислить определенные серверы, базы данных, отдельные документы и пр.
— Адекватна ли существующая система защиты возможным угрозам и потерям? Что требуется сделать для достижения ее необходимого уровня? На этом этапе должно выясниться, где вы «перегнули палку», защищая отдельные ресурсы, а какие области ИС остаются практически беззащитными.
— Как надо защищать систему? Иными словами, что разумнее сделать с помощью технических средств, а чему лучше обучить людей?
— Сколько стоит такая защита? Вычисленную сумму стоит сопоставить все с теми же возможными финансовыми потерями.

Данную работу можно провести и своими силами, но лучше привлечь нескольких независимых экспертов, что позволит получить более объективные результаты. Однако следует оценивать и целесообразность привлечения внешних экспертов: стоимость их услуг может оказаться более высокой, чем возможные финансовые потери компании от информационных инцидентов.

Если выяснилось, что ущерб от угроз безопасности может быть велик, то, затратив определенную сумму на дополнительную оценку и проработку стратегии защиты, удастся серьезно сэкономить при ее реализации. Самое главное, чтобы выявленные потребности были реальными, а не надуманными.
Все эти довольно простые, но очень действенные меры реально приведут к повышению эффективности финансовых вложений в обеспечение безопасности информации и позволят избежать лишних затрат.

3.7. Управление безопасностью.
Управление безопасностью — это контроль функционирования средств и механизмов защиты, фиксация выполняемых функций, состояний механизмов защиты и событий, связанных с нарушением безопасности информационных технологий.
При этом надо рассмотреть:

1. Каков должен быть состав специалистов для эффективной работы группы контроля?
2. Имеются ли стандарты безопасности и конфиденциальности информации?
3. Идентифицированы ли все уязвимые точки организации?
4. Насколько эффективна существующая комбинация технологических и административных мер защиты?
5. Удовлетворяют ли существующие условия в отношении конфиденциальности законодательным и социальным требованиям организации?
6. Какие улучшения можно произвести, чтобы сделать систему защиты конфиденциальности более эффективной и работоспособной?
7. Какова периодичность контроля?

Уполномоченная группа контроля переоценивает уязвимость и риск, рассматривает законодательные требования, оценивает точность и полноту документации, действительную практику применения процедур защиты конфиденциальности, убеждается в защищенности ИС, вырабатывает рекомендации для повышения уровня безопасности.

Основные проблемы:

— Оценка эффективности программы защиты конфиденциальности.
— Обеспечение мотивированного стремления всего персонала к достижению цели.
— Оформление отчетов и рекомендаций группы ревизии.

4. Краткие итоги.
Сегодня компьютерные системы интегрированы непосредственно в информационные структуры современных корпораций, а вопрос безопасности информации уже не является сугубо техническим, он касается всей деятельности фирмы или корпорации в целом.
В каждой компании, использующей системы электронного документооборота, существует проблема защиты коммерческой информации. На персональных компьютерах сотрудников, как правило, находится масса служебной информации, утечка которой может привести к прямым и косвенным убыткам организации.

Как это ни парадоксально, но по оценкам специалистов непредумышленная порча данных сотрудниками по сравнению с любыми другими причинами приносит самые большие убытки. Причиной обычно является халатность или некомпетентность сотрудников, как рядовых операторов, так и специалистов в области компьютерной техники с недостаточной квалификацией.

Проведение даже поверхностного анализа возможных опасностей бывает достаточно, чтобы осознать проблемы безопасности, которые могут проявиться в процессе использования информационных технологий. При этом надо обеспечить не только конфиденциальность информации, но и ее целостность, доступность, достоверность и возможность использования в управленческих решениях.

На практике руководители ИТ-подразделений и топ-менеджеры не проявляют интерес к вопросам информационной безопасности, поскольку защита информации не относится к разряду «чисто материальных» задач и до возникновения проблем, ведущих к финансовым потерям, ее актуальность «неочевидна». В силу этого не оценивается адекватность существующего уровня информационной безопасности, отсутствуют методики и процедуры, регулирующие порядок выбора и приобретения средств защиты информации.

Все усилия и средства по обеспечению безопасности информации должны быть объединены в стройную систему защиты информации, работающую по принципу «копейка рубль бережет». Для создания эффективной системы безопасности необходимо разработать и реализовать соответствующие организационно-технические меры.

предыдущая статьяназад к анонсуследующая статья


АНОНС  
ПОДПИСКА  
  • 80 грн. - в Украине
  • 21 у.е. - в странах СНГ
ВЫСТАВКИ  




НОВОСТИ КОМПАНИЙ  
2018-10-10
2018-10-09
2018-09-24
2018-09-24
2018-09-06
2018-08-06
2018-07-25
2018-07-18
2018-07-12
2018-07-06

При полном или частичном использовании материалов ссылка на bos.dn.ua обязательна (для интернет-ресурсов гиперссылка).
Администрация сайта может не разделять мнение автора и не несет ответственности за авторские материалы.
 
СЧЕТЧИКИ  
Украинский портАл