Новини компанії

Забезпечення інформаційної безпеки є однією з основних задач для сучасного бізнесу. Сьогодні актуальність питання інформаційної безпеки в середовищі обміну даними значно зросла в зв'язку з розвитком інформаційних технологій, залежно бізнес-процесів від ІТ-сервісів.
Разом з тим посилюються і вимоги, що пред'являються до систем забезпечення інформаційної безпеки (ІБ), що обумовлено загостренням конкурентної боротьби, виходом компаній на міжнародні ринки, підвищенням рівня економічних злочинів, пов'язаних з використанням ІТ. Впровадження нових технологій, будь то інтернет-банкінг або IP-телефонія, призводить до виникнення нових загроз. Тому багато компаній, чий бізнес залежить від використання інформаційних систем, змушені вживати заходів до забезпечення безпеки корпоративних інформаційних систем, а головне - даних.

«Поки грім не вдарить, менеджер не поворухнеться», - ця приказка гранично точно ілюструє існуючий довгі роки ставлення до проблеми інформаційної безпеки. Тільки в даному випадку грім може пролунати в будь-яку хвилину і з абсолютно різних сторін. Це і зовнішні загрози техногенного та антропогенного характеру, і ще більш небезпечні і менш керовані внутрішні загрози, і посилюються вимоги регуляторів, і багато іншого. Причому «розмір» бізнесу не має значення. Кожен бізнес має інформацію, яка для нього є цінним.
Забезпечення інформаційної безпеки бізнесу - завдання більш глобальна і багатостороння, ніж здається на перший погляд.

Інформація і безпека: погляд бізнесу

Коли мова заходить про безпеку, перше, що спадає на думку, - забезпечення безпеки фізичної, і на цьому не заощаджують.
З інформаційною безпекою ситуація інша. Про проблеми знають, але приділяють їм значно менше уваги. Найчастіше обговорюються захисту периметра, від вірусів, спаму, мережева безпека, зовнішні загрози, зокрема, хакерські атаки. Активно дискутується тема використання ліцензійного ПЗ.

Рідше розглядаються плани дій в умовах катастроф, забезпечення безперервності бізнесу, питання, пов'язані зі зберіганням і відновленням даних. Далеко не завжди здійснюється оцінка впливу на бізнес втрати або витоку інформації або простою інформаційної системи, а також ступеня категоризації інформації і ін.

Одна з ключових завдань інформаційної безпеки - забезпечення безперервності бізнесу, збереження і недоторканності інформації, як корпоративної, так і персональної.

Інформаційна безпека має на увазі цілий комплекс заходів щодо забезпечення збереження інформації та безперервності бізнесу. Це єдиний процес, який не поступається за своєю значимістю процесів виробничим. У нього повинні бути залучені багато співробітників, представники різних рівнів управління, а не тільки фахівці з ІТ та ІБ.

Необхідною умовою успіху є розуміння того, що забезпечення інформаційної безпеки - процес безперервний, а вживані заходи повинні носити комплексний і превентивний характер. Ще один важливий момент - ефективний захист неможлива без комплексу організаційних заходів. Повинні бути правильно визначені цілі, завдання, пріоритети і ризики в області ІБ. З урахуванням перерахованих факторів формулюються вимоги до системи ІБ, розробляються політика і система управління ІБ. Основою системи безпеки, адекватності вкладень і вимог бізнесу є процес аналізу ризиків, яким при побудові систем ІБ наша компанія приділяє особливу увагу.

З чого почати?

Перш за все з визначення того, «що і від чого» необхідно захищати, з аналізу бізнес-процесів, інформаційних систем, інформаційних потоків, інтерфейсів, операцій користувачів, додатків, інфраструктури мереж, операційних систем і баз даних.

Можна виділити кілька основних етапів побудови системи інформаційної безпеки - обстеження, розробка політики ІБ, проектування, впровадження та підтримка в актуальному стані.

На першому етапі створюється модель загроз, вибудовується система визначень. З усього безлічі загроз виділяються найбільш ймовірні для даної організації. Модель загроз повинна створюватися в рамках кожного бізнес-процесу, що дозволяє зважити ризики і визначити заходи щодо їх мінімізації, а також умови, при яких вони стають прийнятними. Модель інформаційно-технологічних загроз для системи управління ІТ-діяльністю повинна будуватися з урахуванням міжнародних, національних стандартів, кращих світових практик та підходів в галузі управління ризиками ІТ, відповідно до нормативної документації організації в предметної області.

На другому етапі формується політика управління ІТ-ризиками, визначається місце ІТ-ризиків в системі управління ризиками компанії. Питання ризиків ІТ повинен розглядатися як питання целедостижения основних шести параметрів ІТ-послуги (функціональність, доступність, продуктивність, безпеку, безперервність і вартість) з урахуванням ризиків системних та ІТ-проектів. На цій фазі важливо визначити зони відповідальності, що є вельми делікатним завданням.

На наступному етапі розробляються методики управління ІТ-ризиками, можливо, в рамках ІТ-процесів (наприклад, управління доступністю, надійністю, потужністю і ін.).

Заключний етап - впровадження управління ризиками в систему управління ІТ. Реалізуються організаційні зміни, призначаються менеджери управління відповідними процесами. Розробляються і впроваджуються відповідні внутрішні стандарти і регламенти, конкретні технічні рішення. Зокрема, можна впровадити систему мережевої безпеки, управління робочими місцями, моніторингу інфраструктурою, управління інцидентами, в тому числі по ІБ, створити системи високої готовності, модернізувати систему резервного копіювання, підвищити рівень технічної підтримки.

Наприклад, впровадження системи управління робочими місцями сприяє виробленню стандартів робочих місць, що, з одного боку, оптимізує використання ліцензій, з іншого - покращує контроль над використанням несанкціонованого ПО. Крім того, спрощується управління зовнішніми накопичувачами, CD- / DVD-приводами, USB-портами, скорочуються витрати на експлуатацію і т. Д.

Основні характеристики системи ІБ

До систем захисту інформації сьогодні пред'являються все більш високі вимоги. Основними характеристиками ефективної системи інформаційної безпеки є комплексність, інтегрованість, адекватність фінансових витрат, універсальність, керованість, сумісність, превентивність, легітимність. Розширення функціональності інформаційних систем не повинно призводити до зниження рівня їх безпеки.

Висока ефективність систем ІБ досягається за рахунок використання якісних рішень, які функціонують як єдиний комплекс і мають централізоване управління.

Заснована на політиці безпеки система інформаційної безпеки повинна стати частиною всієї інформаційної системи компанії, і її функціонування не повинно впливати на експлуатаційні параметри корпоративної ІТ-системи. З цією метою необхідно чітко визначити фізичні і логічні кордону системи інформаційної безпеки відповідно до ІТ-політикою компанії.

Проектування і функціонування системи повинні здійснюватися на основі результатів аналізу ризиків, яких в бізнесі чимало. Управління ІТ-ризиками - один з інструментів управління інформаційними технологіями в компанії, а система управління ІБ - частина корпоративної системи управління.

Скільки витрачати?

Система повинна забезпечити адекватність і повернення інвестицій, знижувати шкоду, мінімізувати ризики, бути достатньою, однорідної, керованої, що масштабується, відмовостійкої. Зрозуміло, при її побудові повинні бути використані кращі практики, стандарти і методики.

За оцінками фахівців, понад 5 тис. Компаній в Росії потребують додаткові заходи захисту корпоративних ІТ-систем. Однак на рішення проблем безпеки відводиться незначна частина бюджету. Найчастіше виділені кошти витрачаються на латання найбільш явних «дірок», причому такі дії носять безсистемний характер, не враховують результати аналізу ІТ-ризиків компанії.

Вартість створення системи інформаційної безпеки залежить від багатьох факторів, насамперед від бізнесу компанії. Єдиного «тарифу» не існує. Сьогодні, завдяки єдиному галузевому стандарту ЦБ з інформаційної безпеки, найбільш обгрунтованою є вартість рішення з інформаційної безпеки для фінансового сектора.

Не секрет, що при визначенні бюджету на забезпечення ІБ необхідно виходити з того, що витрати на впровадження системи безпеки не повинні перевищувати вартості втрати самої інформації, збитків від простою інформаційної системи. Але і заходи, що вживаються повинні бути дійсно ефективними, а не «для галочки».

Перед фахівцями з ІТ та ІБ ставляться, як правило, два завдання: «щоб все працювало» і «щоб це не коштувало дорого». Але, як відомо, скупий платить двічі.

У міру розширення сфери використання і ускладнення інформаційних систем проблема забезпечення ІБ загострюється. Безпека вже неможливо забезпечити одним лише набором технічних засобів і підтримувати тільки силами підрозділу безпеки. Нерегулярна оцінка інформаційних ризиків, недостатня інформованість співробітників про правила роботи з захищається і дотриманні режиму ІБ, відсутність формалізованої класифікації інформації за ступенем її критичності і уявлень про те, скільки коштують інформаційні активи, - все це може звести «нанівець» зусилля компанії щодо забезпечення інформаційної безпеки.

Перспективи розвитку ринку ІБ

Стрімкий розвиток ринку інформаційної безпеки свідчить про те, що сучасний бізнес розуміє глобальність і важливість завдання забезпечення інформаційної захисту. Цифри підтверджують це.

Обсяг російського ринку інформаційної безпеки в минулому році перевищив, за оцінками експертів, 900 млн дол. (Для порівняння - в 2004 році він становив 170 млн дол.). На програмне забезпечення в 2007 р довелося майже 60% «відкритого» ринку, на апаратне - близько 6%, на сферу послуг - приблизно 30%.

Позитивною тенденцією можна назвати активний розвиток DLP (Data Leak Prevention), який, як вважають аналітики, в найближчі два-три роки стане найбільш швидкозростаючим сегментом ринку інформаційної безпеки.

В даний час темпи зростання ринку інформаційної безпеки в Росії значно перевищують загальносвітовий показник - середньорічний показник склав в 2007 р більш 45%. Динамічному розвитку ринку багато в чому сприяли розробка і випуск важливих нормативних документів і, головне, усвідомлення серйозності проблеми менеджерами, в тому числі вищої ланки.

Б. Коновалов,

Cм. також

Керування бізнесом