Информатизация бизнеса. Управление рисками
Шрифт:
Основополагающими считаются стандарты международной организации по стандартизации серии ISO 27000, включающие шесть стандартов информационной безопасности. Фактически эти стандарты представляют собой технологию управления информационной безопасностью.
ISO/IEC 27001 представляет собой международный стандарт – «Система управления информационной безопасностью (СУИБ). Требования» – и позволяет организациям определять цели и процессы информационной безопасности, предпринимать шаги к увеличению эффективности.
Стандарт ISO/IEC 27002 представляет собой практическое руководство по созданию СУИБ, описывает механизмы контроля, необходимого
Существует еще один международный стандарт ISO 15408, который был разработан на основе стандарта «Общие критерии безопасности информационных технологий» (рис. 22). В 2002 году этот стандарт был принят в России как ГОСТ Р ИСО/МЭК 15408–2002 «Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий», часто в литературе называемый «Общие критерии». Ранее в отечественных нормативных документах в области ИБ понятие риска не вводилось.
Стандарты носят исключительно концептуальный характер, что позволяет экспертам по информационной безопасности реализовать любые средства и технологии оценки, отработки и управления рисками. Однако отсутствие конкретных рекомендаций по выбору какого-либо аппарата оценки риска, а также синтезу мер, средств и сервисов безопасности, используемых для минимизации рисков, снижает полезность стандартов как технологических документов.
Рис. 22. Понятие безопасности в соответствии с ГОСТ Р ИСО/МЭК 15408–2002
Проблемы информационной безопасности особенно актуальны для ERP-систем, которые содержат финансовую информацию и данные о клиентах, кадровые данные, прочую информацию, необходимую для повседневной деятельности сотрудников. Очевидно, что многие из этих данных являются конфиденциальной информацией, и их раскрытие может принести предприятию значительные убытки. Чем больше бизнес зависит от ИТ, тем важнее стабильность работы информационных систем и безопасность данных для компании. Учитывая важность коммерческой информации для компаний и возможные проблемы в случае ее частичной потери или утечки, ИТ-безопасность представляется одной из ключевых задач для любого бизнеса.
Помимо ERP-систем и прочего программного обеспечения (software), объектами защиты в информационной безопасности принято считать аппаратное обеспечение (hardware), обеспечение связи/коммуникации, информацию на твердых и электронных носителях, а также в некоторых случаях оказываемые услуги, имидж и репутацию компании.
Грамотно организованный процесс управления информационной безопасностью позволяет оценить основные критичные факторы, негативно влияющие на ключевые бизнес-процессы компании, выработать осознанные, эффективные и обоснованные решения для их контроля или минимизации. Для этого необходимо выполнять на регулярной основе:
• документирование информационной системы с позиции информационной безопасности компании;
• классификацию информационных рисков и профилирование пользователей;
• качественную и количественную оценку информационных рисков и их анализ;
• управление информационными рисками на всех
• аудит в области информационной безопасности.
6.2. Основные риски в обеспечении информационной безопасности
По результатам регулярных исследований аналитической лаборатории Info-Watch, ежедневно в мире регистрируется от одной до двух утечек конфиденциальных данных, преданных публичной огласке. Только в 2008 году проблема утечки персональных данных затронула интересы более 100 миллионов человек во всем мире! Мировой финансовый кризис, сопровождающийся массовыми сокращениями рабочих мест, лишь обостряет проблему, поскольку ценность информации в момент кризиса возрастает.
Разные виды информации имеют разную цену для злоумышленников и порождают специфические риски для компании: финансовые, юридические, репутационные:
финансовые риски – хищение финансовых данных, отчетов, ключевой информации и паролей для взаимодействия, получение информации о планируемых продуктах/услугах, хищение базы данных клиентов, поставщиков;
юридические риски – хищение конфиденциальной информации, персональных данных, условий контрактов, трудовых договоров;
репутационные риски – хищение данных, напрямую связанных с деятельностью компании, ее внутренней структурой, взаимоотношениями, имиджем, продуктами и услугами.
Среди основных каналов утечки информации выделяют инсайдерские (внутренние) и внешние угрозы. Причем под «инсайдером» понимаются бывшие и нынешние сотрудники предприятия, а также служащие-контрактники, бизнес-партнеры и люди, имеющие доступ к внутренней информации.
Исследование проблемы внутренних ИТ-угроз показало, что российские организации прежде всего озабочены утечкой конфиденциальной информации. Остальные угрозы – искажение информации, сбои в работе ИС по причине халатности персонала, утрата информации, кража оборудования – являются второстепенными.
Компанией InfoWatch было проведено исследование основных каналов утечек информации за 2008 год. Как видно из диаграммы (рис. 23), значительный процент инцидентов приходится на сеть и переносные компьютеры, в то время как на электронную почту выпадает небольшой процент зарегистрированных утечек.
Рис. 23. Каналы утечки конфиденциальной информации
Среди основных тенденций специалисты InfoWatch отметили увеличение доли умышленных утечек. По их мнению, как защита, так и утечки персональных данных являются самыми значительными статьями расходов при оценке стоимости информационных рисков. При этом защитники информации излишне сконцентрированы на электронной защите, упуская из виду традиционные (преимущественно случайные) утечки бумажных носителей, которые можно предотвратить лишь организационными мерами, отмечается в отчете InfoWatch за 2009 год. Умышленные утечки могут быть инициированы внутри компании (инсайдерские угрозы) и могут быть вызваны внешними угрозами.