Управление финансами

документы

1. Путинские выплаты с 2020 года
2. Выплаты на детей до 3 лет с 2020 года
3. Льготы на имущество для многодетных семей в 2020 г.
4. Повышение пенсий сверх прожиточного минимума с 2020 года
5. Защита социальных выплат от взысканий в 2020 году
6. Увеличение социальной поддержки семей с 2020 года
7. Компенсация ипотеки многодетным семьям в 2020 г.
8. Ипотечные каникулы с 2020 года
9. Новое в пенсионном законодательстве в 2020 году
10. Продление дачной амнистии в 2020 году
11. Выплаты на детей от 3 до 7 лет с 2020 года
12. Компенсация за летний отдых ребенка в 2020 году

Управление финансами
О проекте О проекте   Контакты Контакты   Психологические тесты Интересные тесты
папка Главная » Полезные статьи » Риски информационной безопасности

Риски информационной безопасности

Статью подготовила доцент кафедры социально-гуманитарных дисциплин Волгушева Алла Александровна. Связаться с автором

Информационная безопасность

Вернуться назад на Информационная безопасность

Не забываем поделиться:



Одним из ключевых интересов владельца бизнеса является сохранение и, по возможности, увеличение ценности управляемой им компании. Замедляют, уменьшают или даже сводят к нулю эту ценность риски, в осознанном управлении которыми и заключается талант коммерсанта.

Исторически финансовые и операционные риски являются значимыми как для интересов владельцев финансовых организаций в целом, так и для нанимаемых ими ее руководителей в частности. Это заставляет последних уделять пристальное внимание и большие усилия по оценке, контролю и минимизации этих рисков.

Деятельность практически любой современной коммерческой организации большей частью автоматизирована. По сути, организация представляет из себя человеко-машинную систему, обеспечивающую выполнение функций по взаимодействию с ее клиентами (физическими и юридическими лицами) и контролирующими органами (как государственными, так и в виде международных отраслевых регуляторов).

Машинную составляющую этой системы называют автоматизированной системой организации: каналы связи, средства вычислительной техники, системное, прикладное программное обеспечение… все это хранит, обрабатывает и передает нематериальные информационные активы, стоимость которых зачастую на порядки превышает стоимость самой автоматизированной системы.

Нарушение свойств конфиденциальности, целостности или доступности этих активов всегда приводит к ощутимому, а подчас к неприемлемому ущербу (материальному, репутационному и пр.) интересам владельца и руководителя. Это делает их уязвимыми, и что самое важное, об этой уязвимости они узнают постфактум.

Некоторое время назад в одном из коммерческих банков проводилась оценка рисков информационной безопасности. В частности был оценен ущерб, в случае простоя центра обработки данных по широкому списку причин (пожар, затопление, отказ оборудования/программного обеспечения, выход из строя каналов связи, действия обслуживающего персонала/злоумышленников и пр.). Было выявлено, что если процессинговый центр не работает 2 недели, банку наносится неприемлемый ущерб такого масштаба, что дешевле открыть новый банк, нежели реанимировать существующий. А ведь речь идет о нарушении всего лишь одного из трех свойств информационных активов организации – доступности.

Какой ущерб нанесет потеря целостности критичных данных, если в результате атаки на систему интернет банк-клиент будет искажена информация об остатках на счетах клиентов? Какой ущерб нанесет нарушение конфиденциальности в случае, если контролирующие органы получат доступ к оперативному учету организации? Может ли привести к этим событиям небрежность наемных сотрудников, сговор обслуживающего автоматизированную систему персонала или «заказ» конкурентов? Ответ: конечно может.

Также надо учитывать, что целый ряд компаний, ведущих международную деятельность, попадает под действие национальных законов (CA-SB1386, European Union Data Protection Directive, Basel II/III и др.) и требований международных регуляторов (PCI-DSS и пр.).

В значительной мере это требования к обеспечению конфиденциальности, целостности и доступности информационных активов, обрабатываемых человеко-машинной системой организации. При нарушении требований некоторых законов/регуляторов, существует, помимо штрафных санкций для организации, персональная, вплоть до уголовной, ответственность руководящего состава. Страны СНГ, хоть и с запаздыванием, последовательно ужесточают административное и уголовное законодательство, принимая «аналоги» американских или европейских норм – например, законы о защите персональных данных.

Именно поэтому руководители ищут источники информации об этих рисках.

Пример

Среди всего разнообразия выделим риски для непрерывности (Business Continuity) бизнеса, связанные с нарушением свойства доступности.

Для их оценки надо понять, какие бизнес-процессы в нашей организации наиболее критичны, а какие менее (Business Impact Analysis). Что может эти процессы остановить (угрозы и их источники в виде людей и природных явлений) и как минимизировать вероятность этой угрозы?

Как минимизировать ущерб, если они все-таки остановятся?

Нужно применить методологию – Business Continuity Management, описывающую:

• как готовиться к этим событиям (резервное копирование критичных данных, резервные ЦОДы, регулярное обучение сотрудников и пр.);
• как продолжать функционировать в деградированном режиме (во время и сразу после пожара, отключения электричества/каналов связи, потери персонала в результате пандемии и пр.);
• как гарантировать владельцу приемлемый для него ущерб от реализации этого события (в худшем случае потеряем транзакции за последние 2 часа);
• как гарантировать, что бизнес будет восстановлен за строго определенный период времени (через 24 часа после полного уничтожения ЦОДа в результате пожара банк продолжит работу).

В качестве примера возьмем известную транснациональную корпорацию. Действующая в ней система управления непрерывностью бизнеса обязывает раз в месяц имитировать катастрофу. Есть основной офис компании и центр обработки данных. Раз в месяц сотрудники отрабатывают переезд в резервный офис и перевод функций автоматизированной системы в резервный центр обработки данных. Таким образом, они могут продолжать работу и выполнять обязательства перед контрагентами даже в случае полного уничтожения офиса/ЦОДа и потери значительной части персонала. Похожим образом организована работа и ее конкурентов.

Решение

Последние 15 лет источником информации о рисках для владельцев бизнеса и руководителей высшего звена является непрерывный внутренний и регулярный внешний интегрированный аудит (оцениваются финансовые, операционные риски, и вместе с ними — риски информационной безопасности), дающий единую оценку всех взаимосвязанных рисков для организации.

Это позволяет экономически обосновать необходимость разработки и внедрения комплекса мер по обеспечению безопасности в организации:

• Организационных;
• Физических;
• Технических;
• Технологических;
• Морально-этических;
• Правовых.

Комплекс мер позволяет осознанно управлять рисками:

• принимая их (например, бизнес использует нелицензионное ПО, но в случае возможного рейда контролирующих органов точно знает размер ущерба);
• избегая их (не будем предоставлять услугу интернет банк-клиент, так как гарантированно понесем неприемлемый ущерб в результате реализации мошеннических схем);
• минимизируя их (построим резервный центр обработки данных и будем регулярно тренировать персонал на случай полного уничтожения основного);
• перенося риски на других (воспользуемся услугами страховой компании).

Для проведения аудита, разработки и внедрения адекватного имеющимся рискам комплекса мер руководители привлекают коллективы специалистов, соответствующие следующему набору требований:

• успешное выполнение проектов по созданию автоматизированных систем в защищенном исполнении;
• объективно подтвержденная квалификация;
• лояльность интересам Заказчика;
• приемлемая стоимость услуг коллектива.

Первое требование можно соблюсти, имея дело с коллективами, занимающимися потоковым созданием автоматизированных систем в защищенном исполнении для разнообразных Заказчиков. Как правило, это сотрудники компаний системных интеграторов У них есть практические знания, навыки, отработанная методика создания и обслуживания систем защиты в соответствии с требованиями разнообразных законов/регуляторов.

Второму требованию соответствуют специалисты, ведущие активную деятельность в сфере ИБ и имеющие международно-признаваемые сертификации (CISA, CISM, CISSP) таких организаций как ISACA (крупнейшая профессиональная ассоциация аудиторов) и (ISC)2 (ведущий международный консорциум специалистов по информационной безопасности).

Третье требование вступает в конфликт с первым, так как лояльность и, как следствие, доверие владельцев, необходимое для получения доступа к секретной информации бизнеса, обычно достигается только при включении этих сотрудников в штат. Что в свою очередь экономически нецелесообразно и конфликтует с четвертым требованием.

Наступивший в стране тяжелый период значительно увеличил все виды рисков для компаний. Практически во всех отраслях ужесточается конкуренция и термины «промышленный шпионаж», «саботаж» или «киберугроза» становятся прозой жизни даже для далеких от информационных технологий владельцев бизнеса. Государство в свою очередь все более ужесточает законодательство (в первую очередь налоговое) и в лице контролирующих органов все жестче контролирует его исполнение, тем самым усложняя ситуацию в целом.

Поэтому адекватным является решение о привлечении на контрактной основе (с юридически значимым соглашением о неразглашении) или воспитание из своих сотрудников экспертов с необходимым опытом в системной интеграции и международно-признаваемыми сертификационными статусами.

Имея прямой доступ к руководству организации, такой эксперт сможет адекватно оценивать риски, разрабатывать, обосновывать бюджет на меры по обеспечению безопасности, которые будет реализовывать как силами организации, так и с помощью привлекаемых извне подрядчиков (системных интеграторов), не допуская их к секретам организации. Эксперт будет лоялен и подконтролен руководству посредством системы объективных показателей защищенности компании, с определения которых он и начет свою работу.

В конечном итоге наличие такого доверенного источника информации позволит руководству принимать более правильные стратегические и тактические решения при управлении организацией и иметь гарантии соблюдения ключевых интересов владельцев бизнеса.

тема

документ Национальная безопасность
документ Транспортная безопасность
документ Безопасность электронной коммерции
документ Информационная культура
документ Информационная модель
документ Информационная политика
документ Информационное обеспечение

Не забываем поделиться:



назад Назад | форум | вверх Вверх

Управление финансами
важное

Процент за перевод с карты на карту с 1 мая 2020 года
Поправки к Конституции РФ в 2020 г.
Дефолт в России в 2020 году
Девальвация рубля в 2020 году
Как получить квартиру от государства в 2020 году
Не стоит покупать доллары в 2020 г.
Как жить после отмены ЕНВД в 2021
Обязательная маркировка товаров в 2020 году
Изменения ПДД с 2020 года
Рекордное повышение налогов на бизнес с 2020 года
Закон о плохих родителях в 2020 г.
Налог на скважину с 2020 года
Мусорная реформа в 2020 году
Изменения в коммунальном хозяйстве в 2020 году
Запрет залога жилья под микрозаймы в 2020 году
Запрет хостелов в жилых домах с 2020 года
Право на ипотечные каникулы в 2020
Электронные трудовые книжки с 2020 года
Новые налоги с 2020 года
Новости
Обязательная маркировка лекарств с 2020 года
Изменения в продажах через интернет с 2020 года
Изменения в 2020 году
Недвижимость
Брокеру

©2009-2020 Центр управления финансами. Все материалы представленные на сайте размещены исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав.