CC BY
7
Захарченко А.Д. студент 3-го курса Шилов А.К., доктор технических наук старший научный сотрудник Институт компьютерных технологий и информационной безопасности Южный федеральный университет Российская Федерация, г. Таганрог ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ: РИСКИ И СТОИМОСТЬ
Данная статья написана, чтобы выразить настоятельную необходимость профессионалов в области безопасности и высшего руководства предприятий обратить внимание на обеспечение надёжной информационной безопасности. Иногда трудно рассчитать отдачу от инвестиций в целях безопасности, но ущерб, причиненный отсутствием эффективного контроля намного больше, чем стоимость их реализации.
За последние несколько лет было совершено несколько, получивших широкую огласку, инцидентов в области безопасности, начиная от мошенничества до терроризма. Эти события продемонстрировали необходимость планов аварийного восстановления и система сдержек и противовесов в рамках систем бухгалтерского учета. Многие угрозы представляют собой внутренние в виде обиженных или недобросовестных работников, или в результате социальной инженерии. Человеческая ошибка, и пренебрежение также являются примерами внутренних угроз. Новые угрозы появляются ежедневно.
Разнообразие структур управления были разработаны для удовлетворения финансовых и ИТ-проблем в области безопасности. Управление ИТ и соблюдение должны решаться с формальной программы информационной безопасности. Основные элементы включают в себя политику безопасности, ежегодный аудит и внутренний контроль для предотвращения угроз и уязвимостей. Ничто не может занять место аудита информационной безопасности. Крайне важно, чтобы проводился анализ состояния безопасности каждого сайта и работы с выводами.
Руководители высшего звена должны быть осведомлены о состоянии программы информационной безопасности. Обычно это способствует через ежегодный отчет аудита безопасности и ежемесячных отчетов о состоянии безопасности.
При отсутствии текущей информации следует задать следующие вопросы к управлению информационной безопасностью:
1) Требуется ли сотрудникам подписать на общую политику безопасности и конкретной политики в их функциональной области?
2) Как бы применимые стандарты безопасности были выполнены (например, SOX, GLBA и HIPAA)?
3) Какие рамки управления используются (например, COSO,
COBIT и / или ISO 17799)?
4) Как определяются логические и физические периметры? Просьба представить обоснование и диаграммы.
5) Сооружена ли безопасность в пользовательских приложениях от стадии проектирования?
6) Строго ли контролируются среды разработки на месте (например, развитие, качество)?
7) Каков уровень непрерывности бизнеса и планирования аварийного восстановления?
8) Аннулируется ли доступ, когда сотрудник покидает компанию?
9) Как понятия минимальных привилегий и разделения обязанностей, решаемые?
10) Функционирует ли тактическая программа реагирования на инциденты на месте?
11) Каковы детали программы повышения безопасности?
12) Как в последнее время каждый из этих вопросов были решены?
Формирование культуры безопасности имеет решающее значение.
Менеджеры по информационной безопасности должны быть хорошо осведомлены в широте области ИТ-карьеры и других дисциплин, а также (например, физической безопасности, учета и управления людскими ресурсами). Кроме того, менеджер безопасности должен быть страстным защитником и эффективным коммуникатором. Межличностные навыки должны включать в себя возможность общения в нетехнических терминах.
Многие небольшие организации не имеют выделенного специалиста по информационной безопасности. Такой практики следует избегать. Как вы можете видеть, эффективная программа безопасности требует постоянного ухода и анализа. Профессиональный подход к вопросам по информационной безопасности позволит снизить высокие затраты, связанные с неуправляемым риском. Рассмотрим влияние на организацию, если она не обеспечивает адекватного снижения рисков. В конце концов, как организация стремится к безопасности зависит от его аппетита к риску. Здоровая доза паранойи здесь оправдана. В конце концов, ставки чрезвычайно высоки.
