Когда руководитель узнает, что для достижения желаемого качества ИТ сервиса требуется выложить немалые средства, то он не только задается вопросом: «А стоит ли тратить 'такие деньги немедленно, если событие, способное привести к финансовым потерям компании может произойти в отдаленном будущем, а может и не случиться вовсе?», но и хочет получить убедительные аргументы в пользу того, что затребованная сумма, например, в миллион долларов действительно та, за которую можно приобрести покой и уверенность в том, что ИТ технологии не подведут. Резонно, что любой руководитель хочет иметь убедительное обоснование стоимости ИБ для бизнеса. Причем он хочет оперировать вполне понятными и привычными для пего экономическими категориями, а не утруждать себя попытками соотнести их с такими внешне простыми, но в целом загадочными понятиями как «угроза», «уязвимость КИС», «межсетевой экран» и прочие, которыми с оперируют специалисты по ИТ и ИБ.
Итак, на повестке дня вопрос, который необходимо разрешить с максимальной прозрачностью для принимающего решение: «Сколько и на каком основании придется заплатить за создание системы ИБ?». Можно ли решить проблему, не определяя вероятности угроз и уязвимостей, не определяя ценность подлежащих защите информационных ресурсов и сервисов, не ломая голову относительно того, приемлемо или нет для компании потерять в результате аварии или природного бедствия полтора или два миллиона долларов? На первый взгляд да, если обратиться к опыту страховых компаний: заплатите 10-15% от стоимости автомобиля и ваши потенциальные убытки будут возмещены. Применительно к системе ИБ статистические данные позволяют оценить систему защиты в диапазоне 10-20% от стоимости КИС в зависимости от уровня конфиденциальности информации. При внешней простоте и привлекательности такого подхода он неприемлем. Во-первых, не удастся достичь реального осознания руководством проблемы ИБ в целом; во-вторых, каждый раз придется тратить немало усилий для «выбивания» требуемой суммы на средства защиты. В-третьих, каким-то образом все равно придется получить мнение руководства относительно требуемого уровня конфиденциальности информационных активов. Наконец, не приходится ожидать системного подхода к защите информации, что совершенно необходимо, т.к. защита информации не однократный акт, но процесс адекватного реагирования на постоянно изменяющиеся внешние и внутренние условия существования КИС.
В мировой практике единственным подходом, позволяющим взвешенно и обоснованно тратить средства па обеспечение ИБ, является применение методологии
анализа информационных рисков. Являясь частью процесса управления информационными рисками, анализ рисков позволяет не только обосновывать затраты на обеспечение требуемого уровня защиты информационных активов и ИТ сервисов в зависимости от реальных угроз безопасности и уязвимостей КИС, но, и это не менее важно, достичь состояния, когда риски нарушения информационной безопасности находятся под постоянным контролем. Это, в свою очередь, позволяет не просто своевременно реагировать па опасности для бизнеса, но и вовлечь в процесс управления рисками, а значит и в информационную безопасность, широкий круг специалистов бизнес подразделений, что абсолютно необходимо для создания эффективной системы защиты информационных ресурсов любой компании.
Для того чтобы на практике управлять информационными рисками и обеспечить надежную защиту цепных для компании информационных активов, необходимо выстроить систему управления ИБ. Она создается через разработку и внедрение организационно-административных и нормативных документов, регулирующих различные вопросы информационной безопасности. Согласно международному стандарту ISO/IEC 27001:2005 основополагающим является документ под названием Политика ИБ. В нем формулируются и утверждаются основополагающие принципы компании в отношении обеспечения ИБ, определяются права и обязанности специалистов бизнес подразделений, подразделений ИТ и ИБ на разных уровнях служебной иерархии в создании и соблюдении режима ИБ, определяются основные правовые документы, регулирующие взаимоотношения субъектов информационных отношений. Принципы и положения Политики ИБ развиваются и детализируются в других документах: концепция ИБ. политики по отдельным видам деятельности (например, политика использования Интернет, электронной почты и т.д.), процедуры, стандарты, регламенты, инструкции.
В практикуме предлагается выполнить ряд заданий, относящихся к сфере информационной безопасности. Задания основываются на моделировании реальных ситуаций в некоторой компании, ведущей бизнес в сфере транспортных услуг. Их содержание связано как с решением вопросов организации деятельности в области ИБ, так и с выполнением конкретных аналитических расчетов, позволяющих выбирать и оценивать экономическую эффективность средств защиты. Для выполнения каждого задания необходимо ознакомиться с соответствующим теоретическим материалом пособия, осмыслить содержание задания, исходя из представленного в пособии описания реальной бизнес ситуации, представить и обосновать результат. Содержание и трудоемкость заданий таковы, что они могут
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.