Управление финансами

документы

1. Компенсации приобретателям жилья 2020 г.
2. Выплаты на детей до 3 лет с 2020 года
3. Льготы на имущество для многодетных семей в 2020 г.
4. Субсидия на коммунальные услуги
5. Социальная поддержка населения
6. Как получить накопительную пенсию по наследству
7. Социальная адресная помощь
8. Пособия и льготы малоимущим семьям
9. Пособия и льготы матерям-одиночкам

10. Как получить пособие по безработице

11. Льготы работающим пенсионерам и инвалидам


Управление финансами
Психологические тесты Интересные тесты   Недвижимость Недвижимость
папка Главная » Полезные статьи » Риски информационной безопасности

Риски информационной безопасности

Информационная безопасность

Вернуться назад на Информационная безопасность



Одним из ключевых интересов владельца бизнеса является сохранение и, по возможности, увеличение ценности управляемой им компании. Замедляют, уменьшают или даже сводят к нулю эту ценность риски, в осознанном управлении которыми и заключается талант коммерсанта.

Исторически финансовые и операционные риски являются значимыми как для интересов владельцев финансовых организаций в целом, так и для нанимаемых ими ее руководителей в частности. Это заставляет последних уделять пристальное внимание и большие усилия по оценке, контролю и минимизации этих рисков.

Деятельность практически любой современной коммерческой организации большей частью автоматизирована. По сути, организация представляет из себя человеко-машинную систему, обеспечивающую выполнение функций по взаимодействию с ее клиентами (физическими и юридическими лицами) и контролирующими органами (как государственными, так и в виде международных отраслевых регуляторов).

Машинную составляющую этой системы называют автоматизированной системой организации: каналы связи, средства вычислительной техники, системное, прикладное программное обеспечение… все это хранит, обрабатывает и передает нематериальные информационные активы, стоимость которых зачастую на порядки превышает стоимость самой автоматизированной системы.

Нарушение свойств конфиденциальности, целостности или доступности этих активов всегда приводит к ощутимому, а подчас к неприемлемому ущербу (материальному, репутационному и пр.) интересам владельца и руководителя. Это делает их уязвимыми, и что самое важное, об этой уязвимости они узнают постфактум.

Некоторое время назад в одном из коммерческих банков проводилась оценка рисков информационной безопасности. В частности был оценен ущерб, в случае простоя центра обработки данных по широкому списку причин (пожар, затопление, отказ оборудования/программного обеспечения, выход из строя каналов связи, действия обслуживающего персонала/злоумышленников и пр.). Было выявлено, что если процессинговый центр не работает 2 недели, банку наносится неприемлемый ущерб такого масштаба, что дешевле открыть новый банк, нежели реанимировать существующий. А ведь речь идет о нарушении всего лишь одного из трех свойств информационных активов организации – доступности.

Какой ущерб нанесет потеря целостности критичных данных, если в результате атаки на систему интернет банк-клиент будет искажена информация об остатках на счетах клиентов? Какой ущерб нанесет нарушение конфиденциальности в случае, если контролирующие органы получат доступ к оперативному учету организации? Может ли привести к этим событиям небрежность наемных сотрудников, сговор обслуживающего автоматизированную систему персонала или «заказ» конкурентов? Ответ: конечно может.

Также надо учитывать, что целый ряд компаний, ведущих международную деятельность, попадает под действие национальных законов (CA-SB1386, European Union Data Protection Directive, Basel II/III и др.) и требований международных регуляторов (PCI-DSS и пр.).

В значительной мере это требования к обеспечению конфиденциальности, целостности и доступности информационных активов, обрабатываемых человеко-машинной системой организации. При нарушении требований некоторых законов/регуляторов, существует, помимо штрафных санкций для организации, персональная, вплоть до уголовной, ответственность руководящего состава. Страны СНГ, хоть и с запаздыванием, последовательно ужесточают административное и уголовное законодательство, принимая «аналоги» американских или европейских норм – например, законы о защите персональных данных.

Именно поэтому руководители ищут источники информации об этих рисках.

Пример

Среди всего разнообразия выделим риски для непрерывности (Business Continuity) бизнеса, связанные с нарушением свойства доступности.

Для их оценки надо понять, какие бизнес-процессы в нашей организации наиболее критичны, а какие менее (Business Impact Analysis). Что может эти процессы остановить (угрозы и их источники в виде людей и природных явлений) и как минимизировать вероятность этой угрозы?

Как минимизировать ущерб, если они все-таки остановятся?

Нужно применить методологию – Business Continuity Management, описывающую:

• как готовиться к этим событиям (резервное копирование критичных данных, резервные ЦОДы, регулярное обучение сотрудников и пр.);
• как продолжать функционировать в деградированном режиме (во время и сразу после пожара, отключения электричества/каналов связи, потери персонала в результате пандемии и пр.);
• как гарантировать владельцу приемлемый для него ущерб от реализации этого события (в худшем случае потеряем транзакции за последние 2 часа);
• как гарантировать, что бизнес будет восстановлен за строго определенный период времени (через 24 часа после полного уничтожения ЦОДа в результате пожара банк продолжит работу).

В качестве примера возьмем известную транснациональную корпорацию. Действующая в ней система управления непрерывностью бизнеса обязывает раз в месяц имитировать катастрофу. Есть основной офис компании и центр обработки данных. Раз в месяц сотрудники отрабатывают переезд в резервный офис и перевод функций автоматизированной системы в резервный центр обработки данных. Таким образом, они могут продолжать работу и выполнять обязательства перед контрагентами даже в случае полного уничтожения офиса/ЦОДа и потери значительной части персонала. Похожим образом организована работа и ее конкурентов.

Решение

Последние 15 лет источником информации о рисках для владельцев бизнеса и руководителей высшего звена является непрерывный внутренний и регулярный внешний интегрированный аудит (оцениваются финансовые, операционные риски, и вместе с ними — риски информационной безопасности), дающий единую оценку всех взаимосвязанных рисков для организации.

Это позволяет экономически обосновать необходимость разработки и внедрения комплекса мер по обеспечению безопасности в организации:

• Организационных;
• Физических;
• Технических;
• Технологических;
• Морально-этических;
• Правовых.

Комплекс мер позволяет осознанно управлять рисками:

• принимая их (например, бизнес использует нелицензионное ПО, но в случае возможного рейда контролирующих органов точно знает размер ущерба);
• избегая их (не будем предоставлять услугу интернет банк-клиент, так как гарантированно понесем неприемлемый ущерб в результате реализации мошеннических схем);
• минимизируя их (построим резервный центр обработки данных и будем регулярно тренировать персонал на случай полного уничтожения основного);
• перенося риски на других (воспользуемся услугами страховой компании).

Для проведения аудита, разработки и внедрения адекватного имеющимся рискам комплекса мер руководители привлекают коллективы специалистов, соответствующие следующему набору требований:

• успешное выполнение проектов по созданию автоматизированных систем в защищенном исполнении;
• объективно подтвержденная квалификация;
• лояльность интересам Заказчика;
• приемлемая стоимость услуг коллектива.

Первое требование можно соблюсти, имея дело с коллективами, занимающимися потоковым созданием автоматизированных систем в защищенном исполнении для разнообразных Заказчиков. Как правило, это сотрудники компаний системных интеграторов У них есть практические знания, навыки, отработанная методика создания и обслуживания систем защиты в соответствии с требованиями разнообразных законов/регуляторов.

Второму требованию соответствуют специалисты, ведущие активную деятельность в сфере ИБ и имеющие международно-признаваемые сертификации (CISA, CISM, CISSP) таких организаций как ISACA (крупнейшая профессиональная ассоциация аудиторов) и (ISC)2 (ведущий международный консорциум специалистов по информационной безопасности).

Третье требование вступает в конфликт с первым, так как лояльность и, как следствие, доверие владельцев, необходимое для получения доступа к секретной информации бизнеса, обычно достигается только при включении этих сотрудников в штат. Что в свою очередь экономически нецелесообразно и конфликтует с четвертым требованием.

Наступивший в стране тяжелый период значительно увеличил все виды рисков для компаний. Практически во всех отраслях ужесточается конкуренция и термины «промышленный шпионаж», «саботаж» или «киберугроза» становятся прозой жизни даже для далеких от информационных технологий владельцев бизнеса. Государство в свою очередь все более ужесточает законодательство (в первую очередь налоговое) и в лице контролирующих органов все жестче контролирует его исполнение, тем самым усложняя ситуацию в целом.

Поэтому адекватным является решение о привлечении на контрактной основе (с юридически значимым соглашением о неразглашении) или воспитание из своих сотрудников экспертов с необходимым опытом в системной интеграции и международно-признаваемыми сертификационными статусами.

Имея прямой доступ к руководству организации, такой эксперт сможет адекватно оценивать риски, разрабатывать, обосновывать бюджет на меры по обеспечению безопасности, которые будет реализовывать как силами организации, так и с помощью привлекаемых извне подрядчиков (системных интеграторов), не допуская их к секретам организации. Эксперт будет лоялен и подконтролен руководству посредством системы объективных показателей защищенности компании, с определения которых он и начет свою работу.

В конечном итоге наличие такого доверенного источника информации позволит руководству принимать более правильные стратегические и тактические решения при управлении организацией и иметь гарантии соблюдения ключевых интересов владельцев бизнеса.

тема

документ Национальная безопасность
документ Транспортная безопасность
документ Безопасность электронной коммерции
документ Информационная культура
документ Информационная модель
документ Информационная политика
документ Информационное обеспечение



назад Назад | форум | вверх Вверх

Управление финансами
важное

Ипотечные каникулы с 2020 года
Налог на скважину с 2020 года
Мусорная реформа в 2020 году
Запрет коллекторам взыскивать долги по ЖКХ с 2020 года
Изменения в законодательстве в 2020 году
Индивидуальный инвестиционный счет в 2020 году
Продление дачной амнистии в 2020 г.
Запрет залога жилья под микрозаймы в 2020 году
Компенсация ипотеки многодетным семьям в 2020 году
Запрет хостелов в жилых домах с 2020 года
Право на ипотечные каникулы в 2020
Компенсация покупок государством в 2019 году
Как заработать на субаренде в 2019 г

Как перепродавать недвижимость с выгодой в 2019 году
Изменения в 2019 году


©2009-2019 Центр управления финансами. Все материалы представленные на сайте размещены исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Контакты Контакты