ЗАБЕЗПЕЧЕННЯ ЗАХОДІВ БЕЗПЕКИ ВІД IT-РИЗИКІВ
Борозніченко
В.О., Левадний С.М.
Національний авіаційний
університет(НАУ), Україна
Забезпечення
інформаційної безпеки - одне з головних завдань сучасного підприємства. Загрозу
можуть представляти не тільки технічні збої, але і неузгодженість даних у
різних облікових системах, які зустрічаються чи не у кожній другій компанії, а
також необмежений доступ співробітників до інформації.
Інформаційні ризики – це
небезпека виникнення збитків або шкоди в результаті застосування підприємством
інформаційних технологій. Іншими словами, IT-ризики пов'язані із створенням,
передачею, зберіганням та використанням інформації за допомогою електронних
носіїв та інших засобів зв'язку.
Інформаційна безпека
існує не заради того, щоб обмежити користувачів в правах на доступ до
інформації та заборонити їм спілкуватися по ICQ. Безпека має допомогти
організації уникнути частини ризиків, пов'язаних з витоками важливої
інформації, з прийняттям неправильних управлінських рішень на основі
спотворених даних і з частковою втратою працездатності внаслідок збоїв в її
інформаційній системі. А для цього необхідно виявити найбільш уразливі місця в
операційних процесах обробки даних, адекватно оцінити ризики і запропонувати
способи їх мінімізації. При цьому пропоновані методи часто можуть і взагалі не
замикатися на конкретні засоби захисту
До інформаційних ризиків
відносять всі ризики, пов'язані з небезпекою виникнення збитків або шкоди в
результаті застосування підприємством інформаційних технологій.
Загрозу можуть
представляти не тільки технічні збої, але і неузгодженість даних у різних
системах, а також необмежений доступ співробітників до інформації. Таким чином,
інформаційні ризики пов'язані із створенням, передачею, зберіганням та
використанням інформації на електронних носіях та інших засобах зв'язку.
IT-ризики можна розділити на дві
категорії:
·
ризики,
викликані витоком інформації та використанням її конкурентами або
співробітниками з метою, які можуть зашкодити бізнесу;
·
ризики
технічних збоїв роботи апаратного і програмного забезпечення, каналів передачі
інформації, які можуть призвести до збитків.
Для оцінки ризиків
інформаційної системи організації захищеності кожного цінного ресурсу
визначається за допомогою аналізу загроз, що діють на конкретний ресурс, і
вразливостей, через які дані загрози можуть бути реалізовані. Оцінюючи
вірогідність реалізації актуальних для цінного ресурсу загроз і ступінь впливу
реалізації загрози на ресурси, аналізуються інформаційні ризики ресурсів
організації. Для того, щоб оцінити
ризик інформації, необхідно проаналізувати всі загрози, що діють на
інформаційну систему, і уразливості, через які можлива реалізація загроз.
Виходячи з введених власником інформаційної системи даних, можна побудувати
модель загроз і вразливостей, актуальних для інформаційної системи компанії. На
основі одержаної моделі буде проведений аналіз вірогідності реалізації загроз
інформаційної безпеки на кожен ресурс і, виходячи з цього, розраховані ризики,
що дозволяє підвищувати рівень інформаційної безпеки комп'ютерної системи.
Робота з мінімізації
IT-ризиків полягає у попередженні несанкціонованого доступу до даних, а також
аварій і збоїв устаткування і програмного забезпечення.
Процес мінімізації
IT-ризиків слід розглядати комплексно:
спочатку виявляються можливі проблеми, а
потім визначається, якими способами їх можна вирішити.
Чи зможе компанія в
короткий термін інтегрувати існуючі технології роботи з інформацією в системи
підприємства, що є об'єктом злиття або придбання?
Наприклад, в компанії
встановлена одна або кілька облікових систем, за допомогою яких фінансисти
отримують дані для складання консолідованої звітності. При купівлі нового
підприємства з'ясовується, що у нього встановлена інша облікова система. Тому у
компанії повинен бути чіткий план трансформації такої звітності в стандарти,
прийняті на головному підприємстві. В іншому випадку вона може втратити
оперативний контроль над ситуацією.
Чи дозволяє організація
документообігу компанії в існуючих системах продовжити її діяльність у
колишньому режимі у разі відходу ключових співробітників?
Ця проблема надзвичайно
актуальна для компаній, оскільки навіть фінансова та бухгалтерська інформація
найчастіше вводиться і зберігається в довільному вигляді, не кажучи вже про
відомості, що стосуються клієнтів тощо Це веде до додаткових витрат часу нових
співробітників на «входження» в курс справи і підвищує ймовірність виникнення
помилок.
Точно визначити можливий
збиток від більшості IT-ризиків досить складно, але приблизно оцінити їх цілком
можливо.
Як мінімізувати
IT-ризики? Як показує досвід багатьох компаній, найбільш успішні стратегії
попередження IT-ризиків базуються на трьох основних правилах.
·
Доступ
співробітників до інформаційних систем і документів компанії повинен бути
різний залежно від важливості та конфіденційності змісту документа.
·
Компанія
повинна контролювати доступ до інформації та забезпечувати захист вразливих
місць інформаційних систем.
·
Інформаційні
системи, від яких безпосередньо залежить діяльність компанії (стратегічно
важливі канали зв'язку, архіви документів, комп'ютерна мережа), повинні
працювати безперебійно навіть у разі кризової ситуації або мати можливість
оперативного розгортання при форс-мажорних обставин на іншому майданчику.
Для забезпечення
необхідного захисту від IT-ризиків і контролю безпеки можна провести наступні
заходи.
·
визначити
коло осіб, відповідальних за інформаційну безпеку
·
створити
нормативні документи, в яких будуть описані дії персоналу компанії, спрямовані
на запобігання IT-ризиків
·
забезпечити
резервні потужності для роботи в критичній ситуації.
·
розробити
єдині стандарти інформаційних систем в рамках організації, тобто перейти до
єдиних звітним формам, а також єдиними правилами розрахунку показників, які
будуть застосовуватися у всіх програмних продуктах компанії, використовуваних
для цієї мети.
·
класифікувати
дані за ступенем конфіденційності і розмежувати права доступу до них.
·
Слідкувати
за тим, щоб будь-які документи, що обертаються всередині організації,
створювалися за допомогою систем, централізовано встановлених на комп'ютерах.
Встановлення будь-яких інших програм повинна бути санкціонована, інакше ризик
збоїв і вірусних атак різко зросте.
·
Впровадити
засоби контролю, що дозволяють відслідковувати стан усіх корпоративних систем:
у разі несанкціонованого доступу система повинна або автоматично забороняти
вхід, або сигналізувати про небезпеку, щоб персонал міг вжити заходів.
·
Розробити
і створити систему дозволяє оперативно відновити працездатність
IT-інфраструктури при технічних збоях.
Крім перерахованих
заходів необхідно підготуватися до наслідків можливих кризових ситуацій та
описати дії компанії з виходу з кризи.
Важливими кроками при проведенні аналізу
інформаційних ризиків є:
1.
аналіз
сценаріїв проникнення сторонніх осіб або тих, які не мають відповідних
повноважень співробітників компанії у внутрішню інформаційну мережу, а також
провести навчальні заходи з метою відпрацювання моделі поведінки
співробітників, відповідальних за інформаційну безпеку, в кризових ситуаціях;
2.
розробка
варіантів вирішення проблем, пов'язаних з кадрами, включаючи догляд з компанії
ключових співробітників, наприклад скласти і ознайомити персонал з планом
наступності управління на підприємстві;
3.
підготовка
запасних інформаційних потужностей (сервери, комп'ютери), а також резервні
лінії зв'язку.
Якщо бізнес компанії
багато в чому залежить від стану її інформаційних мереж (наприклад, у фірм, що
займаються розробкою комп'ютерних програм), необхідно призначити
відповідального за розробку, впровадження та контроль виконання корпоративних
правил, спрямованих на зниження IT-ризиків.
Вважається, що
співробітник, який не пов'язаний безпосередньо з інформаційними технологіями,
буде найбільш об'єктивний при організації заходів з ризик-менеджменту. Його
робота повинна оцінюватися за допомогою вимірюваних показників, скажімо, час
усунення збоїв в роботі сервера не повинно перевищувати 30 хвилин або ж частота
таких збоїв повинна бути не вище, ніж два рази на рік.
Обов'язковою умовою
успішного ризик-менеджменту в області інформаційних технологій є його
безперервність. Тому оцінка IT-ризиків, а також розробка і оновлення планів
щодо їх мінімізації повинні проводитися з певною періодичністю, наприклад раз
на квартал. Періодичний аудит системи роботи з інформацією (інформаційний
аудит), що проводиться незалежними експертами, буде додатково сприяти
мінімізації ризиків.
Отже, розробка і
реалізація політики з мінімізації IT-ризиків не принесе користі, якщо
рекомендовані стандарти і правила невірно використовуються, наприклад, якщо
співробітники не навчені їх застосування і не розуміють їх важливості. Тому
робота щодо забезпечення IT-безпеки повинна бути комплексною і продуманою.
Література:
1. ISO/IEC 15408-x: “Common Criteria. Evaluation Criteria for IT – Security”
2. BS 7799-2:1999: “Information Security Management — Part 2:Specification for
Information Security Management Systems”;
3. ISO 17799:2000 “Information technology - Code of practice for information
security management (IDT)”;
4. ISO/IEC 27001 ”Information technology. Security techniques. Information
security management systems. Requirements”;
5. ISO/IEC 27002 “Information technology. Security techniques. Code of
practice for information security management”;
6. ISO/IEC 27005“Information technology. Security techniques. Information
security risk management (IDT)”;
7.
ElizabethGasiorowski-Denis.
«Угрожают ли вашему бизнесу информационные риски?»//http://www.iso.org:URL:http://www.iso.org/iso/ru/home/news_index/news_archive/news.htm?refid=Ref1451(дата звертання: 03.03.2012).