НИП «Информзащита»

Пример решения: Анализ информационных рисков

Пример решения: Анализ информационных рисков 

Содержание:

Новые возможности — новые риски…
Зачем нужно анализировать информационные риски?
Что делать?

Новые возможности — новые риски…

Информационные технологии значительно расширили возможности бизнеса. Но новые возможности всегда сопряжены с новыми рисками, подобно тому, как в финансовой сфере более высокая доходность означает более высокую степень риска. Чем сложнее информационная система, тем выше риск осуществления по отношению к ней различных угроз: например, проникновения в систему извне или несанкционированный доступ изнутри компании с целью финансового мошенничества или хищения коммерческой информации. По оценкам Gartner Group, за 2001 год потери бизнеса вследствие утечки конфиденциальной информации только через электронную почту составили порядка 24 миллиардов долларов.

Таким образом, применение информационных технологий в бизнесе связано с определенным набором рисков. А когда ущерб от потенциальных угроз достаточно велик, необходимо внедрять экономически оправданные меры защиты. При этом не следует забывать, что набор рисков, присущий конкретной информационной системе, будет изменяться во времени. Это значит, что необходимо периодически производить переоценку рисков. К примеру, все ведущие консалтинговые компании рекомендуют выполнять анализ рисков информационной системы, как минимум, раз в год.

Почему нужно приглашать независимых экспертов для проведения анализа информационных рисков?

Бытует мнение, что анализ рисков можно провести силами специалистов собственной службы информационной безопасности. Несмотря на то, что эти специалисты могут быть весьма компетентными, они слишком близко знакомы с процедурами, принятыми в вашей компании, чтобы суметь отличить технический риск от риска, связанного с этими процедурами. Независимые эксперты не обладают такой информацией, поэтому их будет сложно заподозрить в такой невольной необъективности.

При выборе компании, которая проведет экспертизу ваших информационных систем, нужно быть уверенным, что ее представители обладают необходимыми методиками и технологиями, а также достаточно оснащены технически, чтобы провести комплексный анализ рисков. Они должны понимать, что риски касаются всех аспектов информационных технологий. И поскольку специализированные компании проводят анализ рисков практически ежедневно, они лучше понимают, какой результат следует ожидать. Их объективная точка зрения будет неоценимой для формирования политики безопасности компании.

Иными словами, управление информационными рисками заключается в следующем: сначала выявляются риски и производится их оценка, затем разрабатывается комплекс защитных мероприятий по нейтрализации выявленных рисков, после чего необходимо периодически убеждаться в том, что выбранные меры защиты действительно эффективны. При этом систему защиты можно считать действенной в том случае, когда остаточный риск для компании является приемлемым. Далее необходимо периодически, например раз в год, заново производить переоценку рисков. Здесь следует отметить, что наличие документов, отображающих очередную оценку рисков, значительно облегчит выполнение следующей переоценки.

Зачем нужно анализировать информационные риски?

Для построения оптимальной системы защиты информации нужно уметь сочетать разные стратегии управления рисками. К примеру, есть риски, которые можно и нужно полностью исключать, а есть риски, полное исключение которых приведет к снижению эффективности бизнеса в целом. Такие риски необходимо снизить до минимального уровня, приемлемого для конкретной компании. Банки ежегодно теряют миллиарды долларов от всевозможных махинаций с пластиковыми картами, но это не значит, что они должны отказаться от их использования, нужно лишь совершенствовать меры защиты для сведения этого риска к минимуму. Другой пример: развитие любой организации предполагает увеличение объемов обмена информации, что, как правило, приводит к увеличению различных информационных рисков, но это не означает, что необходимо уменьшать масштабы общения с деловыми партнерами. Проводя анализ информационных рисков, вы сможете не только построить адекватную систему защиты информации, но и оптимизировать затраты на ее построение. Например, нет смысла строить многоуровневую защиту данных, потеря которых не критична для вашего бизнеса. И наоборот, не стоит бояться того, что выбранные вами меры защиты, например, доставят неудобства вашим сотрудникам, если речь идет о данных, потеря которых губительна для вашего бизнеса.

Что делать?

Для того, чтобы вы смогли оценить текущее состояния защищенности вашей информационной системы, а также оптимизировать затраты на построение систем защиты информации, компания «Информзащита» предлагает вам услугу «Анализ информационных рисков».

Результаты проведенного нами анализа послужат для вас руководством к формированию экономически обоснованной стратегии обеспечения информационной безопасности, которая будет учитывать не только технологические риски, но и риски организационного характера, связанные с основными бизнес-процессами вашей организации. Для вас будет разработан план конкретных мероприятий по усовершенствованию существующей системы информационной безопасности, учитывающий как текущее состояние организации, так и возможности ее дальнейшего развития. При анализе рисков специалистами компании «Информзащита» применяются специальные инструментальные средства, основанные на структурных методах системного анализа и проектирования (Structured Systems Analysis and Design — SSADM) и методики, основанные на международных стандартах безопасности.

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Toolbar | КПК-версия | Подписка на новости  | RSS