Управление финансами Получите консультацию:
8 (800) 600-76-83

Бесплатный звонок по России

документы

1. Введение продуктовых карточек для малоимущих в 2021 году
2. Как использовать материнский капитал на инвестиции
3. Налоговый вычет по НДФЛ онлайн с 2021 года
4. Упрощенный порядок получения пособия на детей от 3 до 7 лет в 2021 году
5. Выплата пособий по уходу за ребенком до 1,5 лет по новому в 2021 году
6. Продление льготной ипотеки до 1 июля 2021 года
7. Новая льготная ипотека на частные дома в 2021 году
8. Защита социальных выплат от взысканий в 2021 году
9. Банкротство пенсионной системы неизбежно
10. Выплата пенсионных накоплений тем, кто родился до 1966 года и после
11. Семейный бюджет россиян в 2021 году

О проекте О проекте    Контакты Контакты    Загадки Загадки    Психологические тесты Интересные тесты
папка Главная » Полезные статьи » Риски информационной безопасности

Риски информационной безопасности

Статью подготовила доцент кафедры социально-гуманитарных дисциплин Волгушева Алла Александровна. Связаться с автором

Информационная безопасность

Вернуться назад на Информационная безопасность
Не забываем поделиться:


Одним из ключевых интересов владельца бизнеса является сохранение и, по возможности, увеличение ценности управляемой им компании. Замедляют, уменьшают или даже сводят к нулю эту ценность риски, в осознанном управлении которыми и заключается талант коммерсанта.

Исторически финансовые и операционные риски являются значимыми как для интересов владельцев финансовых организаций в целом, так и для нанимаемых ими ее руководителей в частности. Это заставляет последних уделять пристальное внимание и большие усилия по оценке, контролю и минимизации этих рисков.

Деятельность практически любой современной коммерческой организации большей частью автоматизирована. По сути, организация представляет из себя человеко-машинную систему, обеспечивающую выполнение функций по взаимодействию с ее клиентами (физическими и юридическими лицами) и контролирующими органами (как государственными, так и в виде международных отраслевых регуляторов).

Машинную составляющую этой системы называют автоматизированной системой организации: каналы связи, средства вычислительной техники, системное, прикладное программное обеспечение… все это хранит, обрабатывает и передает нематериальные информационные активы, стоимость которых зачастую на порядки превышает стоимость самой автоматизированной системы.

Нарушение свойств конфиденциальности, целостности или доступности этих активов всегда приводит к ощутимому, а подчас к неприемлемому ущербу (материальному, репутационному и пр.) интересам владельца и руководителя. Это делает их уязвимыми, и что самое важное, об этой уязвимости они узнают постфактум.

Некоторое время назад в одном из коммерческих банков проводилась оценка рисков информационной безопасности. В частности был оценен ущерб, в случае простоя центра обработки данных по широкому списку причин (пожар, затопление, отказ оборудования/программного обеспечения, выход из строя каналов связи, действия обслуживающего персонала/злоумышленников и пр.). Было выявлено, что если процессинговый центр не работает 2 недели, банку наносится неприемлемый ущерб такого масштаба, что дешевле открыть новый банк, нежели реанимировать существующий. А ведь речь идет о нарушении всего лишь одного из трех свойств информационных активов организации – доступности.

Какой ущерб нанесет потеря целостности критичных данных, если в результате атаки на систему интернет банк-клиент будет искажена информация об остатках на счетах клиентов? Какой ущерб нанесет нарушение конфиденциальности в случае, если контролирующие органы получат доступ к оперативному учету организации? Может ли привести к этим событиям небрежность наемных сотрудников, сговор обслуживающего автоматизированную систему персонала или «заказ» конкурентов? Ответ: конечно может.

Также надо учитывать, что целый ряд компаний, ведущих международную деятельность, попадает под действие национальных законов (CA-SB1386, European Union Data Protection Directive, Basel II/III и др.) и требований международных регуляторов (PCI-DSS и пр.).

В значительной мере это требования к обеспечению конфиденциальности, целостности и доступности информационных активов, обрабатываемых человеко-машинной системой организации. При нарушении требований некоторых законов/регуляторов, существует, помимо штрафных санкций для организации, персональная, вплоть до уголовной, ответственность руководящего состава. Страны СНГ, хоть и с запаздыванием, последовательно ужесточают административное и уголовное законодательство, принимая «аналоги» американских или европейских норм – например, законы о защите персональных данных.

Именно поэтому руководители ищут источники информации об этих рисках.

Пример

Среди всего разнообразия выделим риски для непрерывности (Business Continuity) бизнеса, связанные с нарушением свойства доступности.

Для их оценки надо понять, какие бизнес-процессы в нашей организации наиболее критичны, а какие менее (Business Impact Analysis). Что может эти процессы остановить (угрозы и их источники в виде людей и природных явлений) и как минимизировать вероятность этой угрозы?

Как минимизировать ущерб, если они все-таки остановятся?

Нужно применить методологию – Business Continuity Management, описывающую:

• как готовиться к этим событиям (резервное копирование критичных данных, резервные ЦОДы, регулярное обучение сотрудников и пр.);
• как продолжать функционировать в деградированном режиме (во время и сразу после пожара, отключения электричества/каналов связи, потери персонала в результате пандемии и пр.);
• как гарантировать владельцу приемлемый для него ущерб от реализации этого события (в худшем случае потеряем транзакции за последние 2 часа);
• как гарантировать, что бизнес будет восстановлен за строго определенный период времени (через 24 часа после полного уничтожения ЦОДа в результате пожара банк продолжит работу).

В качестве примера возьмем известную транснациональную корпорацию. Действующая в ней система управления непрерывностью бизнеса обязывает раз в месяц имитировать катастрофу. Есть основной офис компании и центр обработки данных. Раз в месяц сотрудники отрабатывают переезд в резервный офис и перевод функций автоматизированной системы в резервный центр обработки данных. Таким образом, они могут продолжать работу и выполнять обязательства перед контрагентами даже в случае полного уничтожения офиса/ЦОДа и потери значительной части персонала. Похожим образом организована работа и ее конкурентов.

Решение

Последние 15 лет источником информации о рисках для владельцев бизнеса и руководителей высшего звена является непрерывный внутренний и регулярный внешний интегрированный аудит (оцениваются финансовые, операционные риски, и вместе с ними — риски информационной безопасности), дающий единую оценку всех взаимосвязанных рисков для организации.

Это позволяет экономически обосновать необходимость разработки и внедрения комплекса мер по обеспечению безопасности в организации:
Самое читаемое за неделю

документ Введение ковидных паспортов в 2021 году
документ Должен знать каждый: Сильное повышение штрафов с 2021 года за нарушение ПДД
документ Введение продуктовых карточек для малоимущих в 2021 году
документ Доллар по 100 рублей в 2021 году
документ Новая льготная ипотека на частные дома в 2021 году
документ Продление льготной ипотеки до 1 июля 2021 года
документ 35 банков обанкротятся в 2021 году


Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!

Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!

• Организационных;
• Физических;
• Технических;
• Технологических;
• Морально-этических;
• Правовых.

Комплекс мер позволяет осознанно управлять рисками:

• принимая их (например, бизнес использует нелицензионное ПО, но в случае возможного рейда контролирующих органов точно знает размер ущерба);
• избегая их (не будем предоставлять услугу интернет банк-клиент, так как гарантированно понесем неприемлемый ущерб в результате реализации мошеннических схем);
• минимизируя их (построим резервный центр обработки данных и будем регулярно тренировать персонал на случай полного уничтожения основного);
• перенося риски на других (воспользуемся услугами страховой компании).

Для проведения аудита, разработки и внедрения адекватного имеющимся рискам комплекса мер руководители привлекают коллективы специалистов, соответствующие следующему набору требований:

• успешное выполнение проектов по созданию автоматизированных систем в защищенном исполнении;
• объективно подтвержденная квалификация;
• лояльность интересам Заказчика;
• приемлемая стоимость услуг коллектива.

Первое требование можно соблюсти, имея дело с коллективами, занимающимися потоковым созданием автоматизированных систем в защищенном исполнении для разнообразных Заказчиков. Как правило, это сотрудники компаний системных интеграторов У них есть практические знания, навыки, отработанная методика создания и обслуживания систем защиты в соответствии с требованиями разнообразных законов/регуляторов.

Второму требованию соответствуют специалисты, ведущие активную деятельность в сфере ИБ и имеющие международно-признаваемые сертификации (CISA, CISM, CISSP) таких организаций как ISACA (крупнейшая профессиональная ассоциация аудиторов) и (ISC)2 (ведущий международный консорциум специалистов по информационной безопасности).

Третье требование вступает в конфликт с первым, так как лояльность и, как следствие, доверие владельцев, необходимое для получения доступа к секретной информации бизнеса, обычно достигается только при включении этих сотрудников в штат. Что в свою очередь экономически нецелесообразно и конфликтует с четвертым требованием.

Наступивший в стране тяжелый период значительно увеличил все виды рисков для компаний. Практически во всех отраслях ужесточается конкуренция и термины «промышленный шпионаж», «саботаж» или «киберугроза» становятся прозой жизни даже для далеких от информационных технологий владельцев бизнеса. Государство в свою очередь все более ужесточает законодательство (в первую очередь налоговое) и в лице контролирующих органов все жестче контролирует его исполнение, тем самым усложняя ситуацию в целом.

Поэтому адекватным является решение о привлечении на контрактной основе (с юридически значимым соглашением о неразглашении) или воспитание из своих сотрудников экспертов с необходимым опытом в системной интеграции и международно-признаваемыми сертификационными статусами.

Имея прямой доступ к руководству организации, такой эксперт сможет адекватно оценивать риски, разрабатывать, обосновывать бюджет на меры по обеспечению безопасности, которые будет реализовывать как силами организации, так и с помощью привлекаемых извне подрядчиков (системных интеграторов), не допуская их к секретам организации. Эксперт будет лоялен и подконтролен руководству посредством системы объективных показателей защищенности компании, с определения которых он и начет свою работу.

В конечном итоге наличие такого доверенного источника информации позволит руководству принимать более правильные стратегические и тактические решения при управлении организацией и иметь гарантии соблюдения ключевых интересов владельцев бизнеса.

тема

документ Национальная безопасность
документ Транспортная безопасность
документ Безопасность электронной коммерции
документ Информационная культура
документ Информационная модель
документ Информационная политика
документ Информационное обеспечение

Получите консультацию: 8 (800) 600-76-83
Звонок по России бесплатный!

Не забываем поделиться:


Загадки

Вы сидите в самолете, впереди Вас лошадь, сзади автомобиль. Где Вы находитесь?

посмотреть ответ


назад Назад | форум | вверх Вверх

Загадки

Что такое: твердое в мягкое вставляется, и шарики рядом болтаются?

посмотреть ответ
важное

Бесплатная консультация
по телефону ГОРЯЧЕЙ ЛИНИИ:
8 (800) 600-76-83

ежедневно с 6.00 до 21.00
Звонок по России бесплатный!



Обязательная индексация заработной платы
Новая помощь малому бизнесу
Бизнес – модели компаний МСП в 2022 г.
Как работать с маркетплейсами компаниям малого бизнеса в 2022 г
Что ждет социальное предпринимательство в России в 2022 г.
Ответственность бизнеса за утилизацию отходов в 2022 г.
Учетная политика в малом бизнесе в 2022 году
Изменения в работе с иностранными сотрудниками в 2022 г.
Как антироссийские санкции за Украину будут влиять на малый и средний бизнес в 2022 году
Как удержать продажи и прибыльность в кризис из-за санкций
Как решать проблемы с поставками в условиях санкций в 2022 году
Как предприниматели могут решать финансовые проблемы бизнеса в 2022 году
Краудлендинг для субъектов МСП в 2022 году
Лизинг для малого и среднего бизнеса в условиях санкций



©2009-2021 Центр управления финансами.