0
1211
Газета НГ-Телеком Интернет-версия

07.06.2005 00:00:00

Риски с национальной спецификой

Андрей Голов

Об авторе: Андрей Голов - ведущий консультант компании TopS BI.

Тэги: компьютер, безопасность, преступление


компьютер, безопасность, преступление Ситуация с обеспечением безопасности осложняется тем, что бизнес становится все более зависимым от информационных технологий.
Фото PetraSoft

По экспертным оценкам, за последние три года число только официально зарегистрированных компьютерных преступлений возросло в 3 раза. Методы атак на информационные и коммуникационные системы постоянно совершенствуются. Меняется и социально-психологический портрет нарушителей: чисто интеллектуальный интерес к атакам на информационные системы, своего рода «игра ума», уступает место корыстному интересу. Растет внимание криминальных структур (нередко интернациональных) к информационным технологиям.

Показательный пример – недавний случай несанкционированного копирования информации о банковских проводках расчетно-кассовых центров Центрального банка РФ. Ситуация осложняется тем, что бизнес в целом становится все более зависимым от информационных технологий (ИТ), от стабильной и защищенной работы систем IP-телефонии, электронной коммерции, электронной почты, ERP-систем и т.д. Таким образом, меры обеспечения информационной безопасности должны носить комплексный и превентивный характер.

В России подход к решению вопросов информационной безопасности обладает своей спецификой. Если на Западе традиционно первоочередное внимание уделялось вопросам упорядочивания процессов и управления, то у нас основная ставка делалась на технические средства защиты. Вместе с тем, по существующей статистике, до 87% инцидентов нарушения информационной безопасности связано с действиями сотрудников организации, совершенными со злым умыслом («проблема инсайдеров») или непреднамеренно (ошибки, небрежность и т.д.). Поэтому эффективная защита должна основываться в первую очередь на организационных мерах. И уже после этого решаются технические вопросы. Не случайно на Западе получили развитие методики построения систем управления информационной безопасностью. В России же это направление до сих пор остается относительно мало используемым.

Вторая отечественная особенность – недооценка значимости информации как актива, который имеет собственную ценность и влияет на успех деятельности компании или организации. Часто отсутствует формализованная классификация информации и, как следствие, нет представления о том, сколько стоит информация и какой ущерб может быть нанесен компании при ее раскрытии, искажении или удалении. Оценить важность той или иной информации и создать адекватную целостную картину информационных активов компании помогают методы анализа информационных рисков. Технологии анализа и управления рисками позволяют не только оценивать и классифицировать информационные ресурсы, но и принимать обоснованные решения при построении новых или модернизации существующих систем защиты.

Характерно для отечественных компаний и отсутствие превентивных мер информационной безопасности. Типична ситуация, когда этими вопросами начинают заниматься уже после того, как информационная система спроектирована, внедрена, начала эксплуатироваться и возникли первые инциденты. Нужно помнить, что информационные системы должны быть защищены изначально, а это достигается грамотным проектированием, реализацией системы информационной безопасности и ее эффективным управлением на всех этапах жизненного цикла системы.

Еще один немаловажный аспект – достижение баланса между функциональностью информационной системы (как инструмент бизнеса она призвана в конечном итоге приносить деньги компании) и информационной безопасностью (это всегда дополнительные расходы, призванные снизить риски существенных потерь компании). В российских компаниях нередко наблюдается своего рода противостояние отдела эксплуатации систем и отдела безопасности, в результате возникает «перекос» в ту или иную сторону, баланс нарушается, что неизбежно ведет к потерям. Существует несколько точек зрения на эти вопросы, но большинство специалистов полагают, что службы информационной безопасности должны подчиняться непосредственно руководству компании и иметь прямое финансирование.

Эффективному планированию и управлению информационной безопасностью мешает отсутствие национальных стандартов в этих областях. Своего рода прорывом в этой области стало принятие лучших международных стандартов, как, например, стандарта ISO 15408, введенного в России как ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий». Постепенно усиливаются законодательные требования, появляются новые государственные и отраслевые стандарты в области управления информационной безопасностью. В качестве примеров можно привести принятый в декабре прошлого года стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Он носит рекомендательный характер для всех организаций кредитно-финансовой сферы. Введение международного стандарта ISO/IEC 17799 «Практические правила обеспечения информационной безопасности» планируется в ближайшем будущем.


Комментарии для элемента не найдены.

Читайте также


Топливные цены предлагают отвязать от среднего уровня инфляции

Топливные цены предлагают отвязать от среднего уровня инфляции

Михаил Сергеев

Дефицит бензина сохраняется, несмотря на ослабление госрегулирования

0
3062
Форум Минфина выявил конфликт вокруг будущего бюджета

Форум Минфина выявил конфликт вокруг будущего бюджета

Ольга Соловьева

Долю нефтегазовых доходов обещают снизить до 22%

0
2606
Доверенных людей президент РФ не снимает, а передвигает

Доверенных людей президент РФ не снимает, а передвигает

Иван Родин

В конце сентября новыми могут стать не только глава Верховного суда и генпрокурор

0
2009
Коммунистов теснят на обочину истории

Коммунистов теснят на обочину истории

Дарья Гармоненко

«Справедливая Россия – За правду» и «Новые люди» готовы выступить могильщиками КПРФ

0
1845

Другие новости