Информационные риски компании - Информационная безопасность на предприятии
При внедрении системы управления информационной безопасностью в организацию, для аудиторов камнем преткновения обычно является система управления рисками. В данной главе мы подробно познакомимся с понятием рисков, а также способами управления ими.
Специалисты информационной безопасности не могут прийти к консенсусу при вопросе управления рисками. Кто-то отрицает те или иные методы оценки рисков, другие отрицают целостность анализа и управления рисками в целом. Есть и специалисты, которые утверждают, что компания не достаточно времени уделяет объективному анализу активов компании, таких как репутация компании. Отдельный класс специалистов предлагают тратить на процедуру обеспечения информационной безопасности столько денег, сколько осталось в бюджете.
Риски подразумевают под собой причинения какого-либо ущерба в тот или иной момент времени. Это может быть как прямой ущерб, так и косвенный. При прямом ущербе можно привести пример попадание молнии в один из зданий компании, либо обесценивания некоторых ценных бумаг. Косвенный ущерб обозначает тот факт, что компания не заключила контракт с какой-либо компанией и не получила возможной прибыли.
Для достижения любых целей, организация использует несколько категорий ресурсов, которые именуются активами. "Активы - это ресурсы, контролируемые компанией в результате прошлых событий, от которых компания ожидает экономической выгоды в будущем". Другими словами, актив это вся ценность организации, которая приносит ей доход. Существует несколько типов активов:
- - Материальные; - Финансовые; - Людские; - Информационные; - Процессы.
Последний тип активов был определен из современных международных стандартов. Процесс - это агрегированный актив, который оперирует всеми другими активами компании для достижения бизнес целей. Среди других важных активов компании стоит выделить имидж и репутацию. Данные активы приносят доходы компании косвенным способом, привлекая клиентов, ведь репутация и имидж - это активы, обладающие широко распространяемой информацией. Одной из основных целей информационной безопасности является защита имиджа компании, так как под имиджем компании часто понимается конфиденциальная информация, которая при ее утечке, может обрушить экономику предприятия.
Нарушение безопасности предприятия может затронуть сразу несколько групп активов организации. Например, произошел сбой сервера. Данный инцидент негативно влияет на доступность различных приложений, как и у сотрудников компании, так и у клиентов. Все это приводит к дефициту работников на определенном участке в компании, вызывая потребность в оптимизации бизнес - процессов. Таким образом, сбой сервера может привести к потере имиджа компании.
Все активы довольно важны для предприятия. Однако каждая компания разделяет все группы активов на два типа:
- - Основные активы; - Вспомогательные активы.
Определение данных активов не составит особого труда, ведь основными активами, компания считает те активы, вокруг которых организован бизнес компании.
Например, компания занимается продажей квартир и дачных участков. Для такой организации основным активом может служить материальный актив. Среди вспомогательных активов сюда можно отнести людской.
Риски потери одного из основных активов могут привести к потере бизнеса в целом. По этой причине, руководство организации лично следит за его работоспособностью.
Так как управления рисками являются, для большинства компаний, не основным элементом управления бизнесом, в практике применяются три основных подхода управления рисками:
- - Для некритичных систем; - Для критичных систем; - Бизнес компании построен вокруг информационных активов.
В случае с некритичными системами, когда информационные активы являются вспомогательными, а уровень информации низок, есть лишь минимальная необходимость в оценке рисков. Для таких организаций необходима лишь базовая защита информации, которая будет соответствовать нескольким стандартам информационной безопасности. Более того при оценке рисков по стандартам, стоит помнить об экономической целесообразности применения тех или иных стандартов для данной организации.
При наличии критичной системы в организации, когда информационные активы не являются основными, однако информация очень необходима для бизнес-процессов, атака на информационный актив может сильно повредить один из основных бизнес - процессов компании. В таких случаях необходима оценка рисков, уделяя при этом больше времени на отдельные критичные информационные системы, которые более всего могут поддаваться нападению хакера.
В том случае, когда бизнес компании построен вокруг информационных активов, они относятся к основным, что означает тот факт, что для оценки таких рисков необходимо применять формальных полный подход.
При выборе похода оценки рисков предприятия стоит также помнить об уровнях зрелости анализируемой компании. "Управление рисками ИБ представляет собой непрерывный процесс, обеспечивающий выявление, оценку и минимизацию рисков от реализации угроз информационной безопасности, направленных на активы организации". По степени зрелости организаций можно выделить некоторые из них, которые определены стандартами COBIT и другими:
- - На начальном уровне осознание как таковое отсутствует, в организации предпринимаются фрагментарные меры по обеспечению ИБ, инициируемые и реализуемые ИТ специалистами под свою ответственность. - На втором уровне в организации определена ответственность за ИБ, делаются попытки применения интегрированных решений с централизованным управлением и внедрения отдельных процессов управления ИБ. - Третий уровень характеризуется применением процессного подхода к управлению ИБ, описанного в стандартах. Система управления ИБ становится настолько значимой для организации, что рассматриваться как необходимый составной элемент системы управления организацией. Однако полноценной системы управления ИБ еще не существует, т. к. отсутствует базовый элемент этой системы - процессы управления рисками. - "Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ, отличающегося наличием документированных процессов планирования, реализации, мониторинга и совершенствования".
Процессная модель управления рисками
Недавно был принят британский стандарт BS 7799 Часть 3 - Системы управления информационной безопасностью - Практические правила управления рисками информационной безопасности. Данный стандарт предоставляет рекомендации по оценке и управлению рисками компании, используя при этом процессную модель, которая используется в других стандартах управления информационной безопасностью.
Данная процессная модель включает в себя следующие группы процессов:
- - Планирование; - Реализация; - Проверка; - Действия.
Стоит отметить, что стандарт ISO 27001, описывает цикл управления информационной безопасностью, в то время как BS 7799 - 3 описываются процессы управления рисками информационной безопасности.
Процесс планирование подразумевает под собой оценку рисков, которая включает в себя инвентаризацию активов, составление профилей угроз и уязвимостей, а также предоставление оценки об эффективности мер против возможного ущерба.
На этапе реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Организация принимает одно из решений:
- - Проигнорировать; - Избежать; - Передать; - Минимизировать.
После этого производится и происходит процесс внедрения плана обработки рисков.
На следующем этапе происходит отслеживание механизмов контроля на их функционирование. Также контролируются факторы риска, такие как: активы, угрозы и уязвимости. Конечным шагом данного этапа является проведение аудитов.
На этапе действия, по результатам предыдущих шагов, выполняются необходимые корректирующие действия, которые могут включать в себя:
- - Процесс оценивания величины рисков; - Изменение политики и методологии оценки рисков; - Изменение плана обработки рисков.
Факторы риска
При анализе рисков не стоит забывать и об анализе факторов риска для принятия правильных решений по обработке рисков. Факторы риска - это основные параметры при оценке рисков. Стоит выделить все параметры:
- - Актив - Ущерб - Угроза - Уязвимость - Механизм контроля - Размер среднегодовых потерь - Возврат инвестиций
Каждая компания производит анализ и оценку данных факторов при помощи методологии исследуемой организации. Стоит отметить, что общий подход к анализу практически одинаковый.
Процесс оценки рисков состоит из двух фаз. В первой фазе, которая называется анализ рисков, необходимо проделать следующее:
- - Узнать, что является основным активом компании; - Узнать реальную ценность данного актива; - Провести анализ угроз относительно данного актива; - Провести анализ ущерба и других угроз в случае нарушения информационной безопасности основного актива; - Узнать, как сильно уязвим бизнес при данных угрозах; - Проанализировать среднегодовые потери.
Вторая фаза носит название оценивание рисков. После анализа рисков, аудиторы получают риски, которые превышают допустимый уровень. В данной фазе происходит процесс обработки риска, и проделываем следующее:
- - Выбираем вариант обработки риска; - Анализ механизмов контроля при минимизации риска; - Анализ эффективности выбранных механизмов контроля и инвестиций.
После принятия решения по обработке рисков, для того, чтобы руководство могло принять правильное решение, ответственный за управление рисками в компании должен предоставить ему информацию. Данная информация должна включать в себя:
- - Сообщение о проблеме. Источник проблемы и способ реализации; - Степень серьезности проблемы. Возможные потери для предприятия; - Предлагаемое решение. Анализ действий для исправления ситуации вместе с возможным финансовым планом на реализацию данного решения; - Альтернативные решения. Предоставление других способов решения проблемы.
Эффективность процесса управления рисками ИБ определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.
Похожие статьи
-
Аудит безопасности - Информационная безопасность на предприятии
Так как практической частью данного диплома является практическое применение стандарта ISO 27001, который описывает рекомендации к системе управления...
-
Введение - Информационная безопасность на предприятии
Информационный программный безопасность В настоящее время большую ценность представляет информация. По этой причине вопросы информационной безопасности...
-
Понятие и задачи информационной безопасности - Информационная безопасность на предприятии
Перед описанием стандартов информационной безопасности следует сначала определить: что же такое информационная безопасность. Данное понятие можно...
-
Идентификация и оценка информационных активов Информационный актив является компонентом системы, в которую организация напрямую вкладывает средства, и...
-
ВВЕДЕНИЕ - Разработка модели системы информационной безопасности на предприятии
Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных...
-
Проведенный анализ причинно-следственной природы информационных рисков, позволяет определить сущность управления информационными рисками. Она заключается...
-
После того, как был реализован процесс карьерного планирования в информационной системе, можно сделать выводы о том, что внедрение информационной системы...
-
"ISO/IEC 27000 - серия международных стандартов, включающая стандарты, по информационной безопасности, опубликованные совместно Международной...
-
Основы информационной безопасности
Введение Курс с названием "Основы информационной безопасности" (Information Security) входит в целый ряд государственных образовательных стандартов по...
-
Системный подход к анализу информационной сферы предприятия Сущность системного подхода может быть определена путем обобщения его свойств и...
-
Большинство инцидентов информационной безопасности связано с воздействием внутренних угроз - утечки и кражи информации, утечки коммерческой тайны и...
-
1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...
-
Заключение - Информационные технологии в управлении персоналом на примере компании ООО "Аксис ПРО"
В результате проделанной работы была достигнута цель исследования - повышение качества функционирования компании путем использования информационной...
-
Для достижения цели, поставленной в данной работе, необходимо проанализировать текущую ситуацию в области информационных систем, сравнить информационные...
-
Подсистема управления политикой ИБ предназначена для поддержания в актуальном состоянии политик и других организационно-распорядительных документов по...
-
- Подключение к исходной базе данных пользователей внешних информационных систем; - Отказ в доступе к желаемому ресурсу, если пользователем не пройдена...
-
Постановка задачи Основной целью дипломной работы является создание комплексной системы информационной безопасности предприятия на примере информационной...
-
Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и...
-
1. Общие сведения 1.1 Наименование Система информационной безопасности ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет" 2....
-
Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...
-
Информационный безопасность автоматизированный угроза Классификация угроз информационной безопасности Анализ актуальных угроз конфиденциальной...
-
Разработка политики безопасности организации - Основные понятия политики информационной безопасности
Разработка политики безопасности ведется для конкретных условий функционирования информационной системы. Как правило, речь идет о политике безопасности...
-
Информационная система Lumesse ETWeb является системой, которая автоматизирует весь комплекс процессов управления персоналом. Важно отметить, что данная...
-
В настоящее время существует множество видов угроз информации. Так как информация сейчас является одним из ключевых факторов успешного функционирования...
-
Информационные системы для управления персоналом "Информационная система - это автоматизированная система, результатом функционирования которой является...
-
Вывод - Разработка объектно-ориентированной модели информационной системы предприятия ЗАО "ХРОМТАН"
Технология автоматизации бизнес-процессов в применении к управлению предприятием связана с автоматизацией административного труда и направлена на...
-
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации....
-
После рассмотрения достоинств и недостатков информационных систем, автоматизирующих управление персоналом, можно перейти к проведению оценки соответствия...
-
В процессе развития нашего общества информация, особенно экономическая, играет особую роль. Желание преуспеть заставляет людей соревноваться, соперничать...
-
Введение - Обеспечение информационной безопасности на предприятии
Данная статья посвящена важности информационной системы и необходимости ее защиты. В ней говориться о различных средствах и методах, помогающих...
-
Как известно, многие компании автоматизируют управление персоналом для решения проблем, которые усложняют процессы оценки персонала и его развития и...
-
Основным процессом в данном проекте был выбран процесс карьерного планирования, который заключается в определении основных этапов для развития карьеры, а...
-
Описание проекта, который является объектом исследования Проект - представляет собой внедрение информационно - аналитической системы управления карьерой...
-
Определение методов реинжиниринга информационных систем Основные задачи, которые стоят перед проектировщиком, занимающимся реинжинирингом информационных...
-
Введение - Информационные технологии в управлении персоналом на примере компании ООО "Аксис ПРО"
В последнее время происходят значительные изменения в информационных технологиях. Появляется множество технологий, которые улучшают и упрощают многие...
-
Законодательные средства - законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи...
-
В рамках описания бизнес-архитектуры предприятия необходимо собрать и документировать следующую информацию: 1. Стратегические цели и задачи предприятия....
-
Введение - Системный подход к анализу информационных рисков и угроз предприятия
Понятия "системный подход" и "информационный риск" употребляются в научно-практической литературе достаточно часто. Вместе с тем, оба эти понятия не...
-
Заключение - Автоматизация деятельности отдела продаж в логистической компании
Объектом исследования в выпускной квалификационной работе является компания ООО "Румянцево". Компания предлагает своим клиентам три вида услуг: входящая...
-
Исходя из финансовых и временных сроков, руководство компании приняло решение о выборе между следующими информационными системами: - FlexbbyCRM - JIRA -...
Информационные риски компании - Информационная безопасность на предприятии