Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите бесплатную демоверсию и консультацию

+7(495) 221-24-31

Риски с национальной спецификой

Отечественный бизнес основную ставку в обеспечении информационной безопасности пока делает на технические средства

По экспертным оценкам, за последние три года число только официально зарегистрированных компьютерных преступлений возросло в 3 раза. Методы атак на информационные и коммуникационные системы постоянно совершенствуются. Меняется и социально-психологический портрет нарушителей: чисто интеллектуальный интерес к атакам на информационные системы, своего рода «игра ума», уступает место корыстному интересу. Растет внимание криминальных структур (нередко интернациональных) к информационным технологиям.

Показательный пример – недавний случай несанкционированного копирования информации о банковских проводках расчетно-кассовых центров Центрального банка РФ. Ситуация осложняется тем, что бизнес в целом становится все более зависимым от информационных технологий (ИТ), от стабильной и защищенной работы систем IP-телефонии, электронной коммерции, электронной почты, ERP-систем и т.д. Таким образом, меры обеспечения информационной безопасности должны носить комплексный и превентивный характер.

В России подход к решению вопросов информационной безопасности обладает своей спецификой. Если на Западе традиционно первоочередное внимание уделялось вопросам упорядочивания процессов и управления, то у нас основная ставка делалась на технические средства защиты. Вместе с тем, по существующей статистике, до 87% инцидентов нарушения информационной безопасности связано с действиями сотрудников организации, совершенными со злым умыслом («проблема инсайдеров») или непреднамеренно (ошибки, небрежность и т.д.). Поэтому эффективная защита должна основываться в первую очередь на организационных мерах. И уже после этого решаются технические вопросы. Не случайно на Западе получили развитие методики построения систем управления информационной безопасностью. В России же это направление до сих пор остается относительно мало используемым.

Вторая отечественная особенность – недооценка значимости информации как актива, который имеет собственную ценность и влияет на успех деятельности компании или организации. Часто отсутствует формализованная классификация информации и, как следствие, нет представления о том, сколько стоит информация и какой ущерб может быть нанесен компании при ее раскрытии, искажении или удалении. Оценить важность той или иной информации и создать адекватную целостную картину информационных активов компании помогают методы анализа информационных рисков. Технологии анализа и управления рисками позволяют не только оценивать и классифицировать информационные ресурсы, но и принимать обоснованные решения при построении новых или модернизации существующих систем защиты.

Характерно для отечественных компаний и отсутствие превентивных мер информационной безопасности. Типична ситуация, когда этими вопросами начинают заниматься уже после того, как информационная система спроектирована, внедрена, начала эксплуатироваться и возникли первые инциденты. Нужно помнить, что информационные системы должны быть защищены изначально, а это достигается грамотным проектированием, реализацией системы информационной безопасности и ее эффективным управлением на всех этапах жизненного цикла системы.

Еще один немаловажный аспект – достижение баланса между функциональностью информационной системы (как инструмент бизнеса она призвана в конечном итоге приносить деньги компании) и информационной безопасностью (это всегда дополнительные расходы, призванные снизить риски существенных потерь компании). В российских компаниях нередко наблюдается своего рода противостояние отдела эксплуатации систем и отдела безопасности, в результате возникает «перекос» в ту или иную сторону, баланс нарушается, что неизбежно ведет к потерям. Существует несколько точек зрения на эти вопросы, но большинство специалистов полагают, что службы информационной безопасности должны подчиняться непосредственно руководству компании и иметь прямое финансирование.

Эффективному планированию и управлению информационной безопасностью мешает отсутствие национальных стандартов в этих областях. Своего рода прорывом в этой области стало принятие лучших международных стандартов, как, например, стандарта ISO 15408, введенного в России как ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий». Постепенно усиливаются законодательные требования, появляются новые государственные и отраслевые стандарты в области управления информационной безопасностью. В качестве примеров можно привести принятый в декабре прошлого года стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Он носит рекомендательный характер для всех организаций кредитно-финансовой сферы. Введение международного стандарта ISO/IEC 17799 «Практические правила обеспечения информационной безопасности» планируется в ближайшем будущем.

Об авторе: Андрей Голов - ведущий консультант компании TopS BI.
Независимая газета N 113 (3509) 7 июня 2005 г.

Возврат к списку

Ольга Савко

Начальник группы телемаркетинга

Закажите демонстрацию системы
Мы свяжемся с вами, проконсультируем по интересующим вопросам, подготовим персональную демонстрацию в удобное для вас время.

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Календарь мероприятий

26апреля

«Весенний документооборот-2021»: развитие экосистемы ЭОС

Узнать больше

11февраля

Об электронной подписи простым языком: компания ЭОС проведет вебинар для школ

Узнать больше

28января

Новые возможности наглядной визуализации в СЭД «ДЕЛО»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ

^