CC BY
44
УДК 338.24
АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ МЕДИАОРГАНИЗАЦИИ
Бирюков Владимир Александрович
доцент кафедры экономики и менеджмента медиабизнеса, кандидат экономических наук Московский государственный университет печати имени Ивана Федорова 127550 Россия, г. Москва, ул. Прянишникова, д. 2А biryuko@yandex. гы
Лихарев Никита Сергеевич
магистрант института коммуникаций и медиабизнеса Московский государственный университет печати имени Ивана Федорова 127550 Россия, г. Москва, ул. Прянишникова, д. 2А nekita_19.09@таИ. гы
Аннотация. Рассматривается процесс аудита информационной безопасности медиаорганизации в информационно-сетевой экономике.
Ключевые слова: стратегия, сетевая экономика, Интернет, информация, информационная безопасность, угроза, утечка информации.
Залогом безопасного и успешного функционирования медиаорганизации в век информационных технологий является грамотная и правильная защита коммерческой информации медиорганизации, а также всех видов информации, которые в той или иной степени влияют на существование и развитие медиаорга-низации и ее клиентов.
За 2015 г. Аналитическим центром InfoWatch зарегистрировано 1505 случаев утечки конфиденциальной информации организаций. Это на 7,8% больше, чем в 2014 г.
Внешние атаки стали причиной 32%утечек данных. Доля утечек вследствие внешних атак выросла на 7,2% по сравнению с аналогичным показателем 2014 г.
В 51,2% случаев виновными в утечке информации оказались сотрудники организаций. В 1,1% случаев — высшие руководители организаций.
Прежде всего, необходимо разобраться, что стоит за такими важными понятиями, как информационная безопасность, актив медиаорганизации, угроза, уязвимость, риск и контроль.
Под информационной безопасностью медиаорга-низации следует понимать определенное свойство защищенности ресурсов информационной системы медиаорганизации в таких условиях, когда имеет место наличие угроз в информационной сфере. Защита информации в медиаорганизации — это процесс, который в большей степени направлен на обеспечение информационной безопасности.
Главными и определяющими факторами информационной безопасности являются угроза и риск. Угроза — это потенциальный инцидент, который снижает уровень системы информационной безопасности медиаорганизации, другими словами, потенциально способное событие, которое приводит к негативным последствиям и ущербу системы или организации.
Риск представляет собой возможный ущерб, т.е. произведение вероятности реализации угрозы и ущерба от нее.
Необходимо также отметить, что угроза и риск определяются не вообще, а относительно конкретного защищаемого ресурса информационной среды ме-диаорганизации. В современной системе менеджмента информационной безопасности организаций, в том числе медиаорганизаций, вместо понятия «ресурс», используют синонимическое понятие «актив». Актив — это все, что имеет ценность для организации в информационной системе. В информационно-сетевой экономике примерами активов могут быть аппаратное обеспечение, программное обеспечение, имидж организации, человек, или сложный актив — информационная система. Таким образом, можно определить, что активами является все те объекты, которые подлежат защите путем выстраивания определенных процессов информационной безопасности.
Повышение и обеспечение высокого уровня конфиденциальности, целостности и доступности ресурсов медиаорганизации должно осуществляться путем применения специальных механизмов информационной безопасности, которые на профессиональном жаргоне в системе менеджмента информационной безопасности называют контролями или инструментами. В свою очередь, все специальные механизмы и различные способы защиты коммерческой информации медиаорганизации утверждаются руководством медиаорганизации при формировании и принятии стратегии информационной безопасности, а контроль исполнения, выявления недостатков действующей стратегии и политики информационной безопасности выявляется путем проведения аудита информационной безопасности медиаорганизации.
Аудит стратегии информационной безопасности — это специализированный процесс, в результате которого можно получить объективные качественную и ко-
личественную оценку о текущем состоянии информационной безопасности медиаорганизации в соответствии с определенными критериями и показателями безопасности.
Аудит стратегии информационной безопасности позволяет оценить текущую безопасность функционирования информационных систем, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы медиаорганизации, корректно и обоснованно подойти к вопросу обеспечения безопасности ее информационных активов, стратегических планов развития, содержимого корпоративных баз данных.
Обеспечение информационной безопасности — непрерывный процесс, который заключается в контроле защищенности, выявлении узких мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты:
• безопасность информации в системе обработки данных может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты;
• никакая система защиты не обеспечит безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех правил защиты;
• никакую систему защиты нельзя считать абсолютно надежной, так как всегда может найтись злоумышленник, который изыщет способ для доступа к информации.
Аудит информационной безопасности медиаорга-низации состоит из двух блоков: анализ блока информационно-сетевого оборудования и мест где это оборудование используется, анализ системы менеджмента информационной безопасности.
В анализ блока информационно-сетевого оборудования и мест, где это оборудование применяется, как правило, включается: аудит прикладного программного обеспечения, анализ защищенности технической защищенности корпоративных данных, аудит системного программного обеспечения, аудит сетевого обеспечения информационной среды, аудит аппаратного обеспечения информационных систем.
В 2015 г. сократилась доля утечек по таким каналам, как «потеря оборудования» (на 8,3 %) «электронная почта» (на 1,2 %), «бумажные документы» (на 3,7%). Доли утечек через съемные носители, мобильные устройства текстовые и видеосообщения остались на уровне 2014 г. Доля «сетевого» канала выросла на 10,5 %.
Система менеджмента информационной безопасности состоит из: аудита нормативного обеспечения информационной безопасности медиаорганизации и анализа защищенности корпоративных данных.
Система менеджмента информационной безопасности медиаорганизации основана на подходе бизнес-риска и предназначена для создания, реализации, эксплуатации, мониторинга, поддержки, анализа и повышения информационной безопасности.
В 2015 г. в 51,2% случаев виновниками утечек информации были настоящие или бывшие сотрудники — 48,9% и 2,3% соответственно (доля сотрудников
снизилась на 4%. к данным 2014 г., доля бывших сотрудников выросла на 1,4%). Более чем в 1% случаев зафиксирована вина руководителей организаций (топ-менеджмент, главы отделов и департаментов). Доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации, выросла на 3,5%, составив 7,6%.
На этапе планирования внедрения системы менеджмента информационной безопасности, в первую очередь формализуется процесс оценки рисков. Методы оценки рисков должны в первую очередь обозначать определенные критерии оценки и условия принятия рисков.
Методология должна быть рассмотрена в таком виде, что бы ее можно было повторить и получить сравнимые результаты.
На практике для большинства выявленных рисков принимается решение об их минимизации путем внедрения контролей. Стандарт ISO 27001:2013 содержит Приложение А, в котором приведены 114 контролей, распределенных по следующим 14 доменам:
• A.5: Политики информационной безопасности.
• A.6: Организационные аспекты информационной безопасности.
• A.7: Вопросы безопасности, связанные с персоналом.
• A.8: Управление активами.
• A.9: Управление доступом.
• A.10: Криптография.
• A.11: Физическая безопасность и защита от угроз окружающей среды.
• A.12: Безопасность операций.
• A.13: Безопасность коммуникаций.
• A.14: Приемка, разработка и поддержка систем.
• A.15: Отношения с поставщиками услуг.
• A.16: Управление инцидентами информационной безопасности.
• A.17: Аспекты информационной безопасности в обеспечении непрерывности бизнеса.
• A.18: Соответствие требованиям.
При формировании системы менеджмента информационной безопасности в соответствии с ISO 27001:2013 медиаорганизация руководствуется Приложением A для выбора контролей, при этом исключение контроля должно быть обоснованным, как и включение контроля, отсутствующего в стандарте. Интересно, что контроли неравноценны. В целом кон-троли из Приложения A относятся к организационным мерам, например встречаются контроли «Политика контроля доступа» (A.9.1.1), «Правила использования активов» (A.8.1.3), предусматривающие определение правил информационной безопасности в форме политик.
После решения задачи выбора контролей, которые должны быть внедрены, чтобы снизить риски до приемлемого уровня, определяется: что конкретно должно быть сделано, какие ресурсы необходимо задействовать для этого, кто будет назначен ответственным лицом и каким образом будет проводиться оценка выполнения.
На данном этапе разрабатываются определенные политики, процедуры, инструкции, внедряются технические средства защиты информации, проводится обучение специалистов, задействованных в процессах обеспечения информационной безопасности, внедряется программа повышения осведомленности сотрудников медиаорганизации в вопросах безопасности.
Проведение аудита информационной безопасности медиаорганизации является важным, актуальным и неотъемлемым процессом в настоящее время.
В результате внешней атаки организации несут огромные финансовые потери. Одна утечка данных способна кардинально изменить будущее бизнеса, негативно повлиять на стратегию организации.
Небольшие доли умышленных утечек через мобильные устройства, съемные носители, электронную почту, бумажные документы объясняется тем, что злоумышленники все меньше используют эти каналы для совершения противоправных действий. «Продвинутый» нарушитель осведомлен, что современные средства контроля позволяют успешно перехватывать передачу конфиденциальной информации по перечисленным каналам, и не рискует понапрасну.
Угрозы информационной безопасности организации в цифровой среде реальны, их нельзя недооценивать. Как правило, причиной утечки корпоративной
информации является невнимательность работника. При выборе средств защиты необходимо построить надежную модульную систему информационной безопасности, основанную на нормативно-правовой документации, закрытую от рисков вторжения извне и позволяющую осуществлять контроль и мониторинг за потоком информации внутри организации.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Казакова Н.А., Александрова А.В., Кондрашова Н.Н. Стратегический менеджмент. — М.: НИЦ ИНФРА-М, 2013. — 320 c.
2. ГалатенкоВА. Основы информационной безопасности. — М.: Интернет-университет информационных технологий 2014. — 560 с.
3. Бетелин В.Б., Галатенко В.А. Основы информационной безопасности — М.: Интернет-университет информационных технологий, 2014. — 560с.
4. Корпоративный портал компании InfoWatch [Электронный ресурс] — Режим доступа: http:// www.infowatch.ru (дата обращения: 30.05.2016).
5. Информационная безопасность [Электронный ресурс] — Режим доступа: http://www.securrity.ru (дата обращения: 30.05.2016).
AUDIT OF INFORMATION SECURITY MEDIA ORGANIZATION
Vladimir Aleksandrovich Biryukov
Moscow State University of Printing Arts 127550 Russia, Moscow, Pryanishnikova st., 2А
Nikita Sergeevich Likharev
Moscow State University of Printing Arts 127550 Russia, Moscow, Pryanishnikova st., 2А
Annotation. The paper deals with the process of information security audit of media organizations in the information and network economy.
Keywords: strategy, network economy, Internet, information security, the threat of information leaks
