Міжнародне агентство корпоративної безпеки
+38(044) 494-47-43 +38(068) 138-05-04 infovabb@ukr.net

ПИТАННЯ НЕОБХІДНОСТІ ОРГАНІЗАЦІЇ СИСТЕМ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Головна » Новини » ПИТАННЯ НЕОБХІДНОСТІ ОРГАНІЗАЦІЇ СИСТЕМ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Автор: Лисенко С.О.

На ринку може з'явитися будь-яка інформація, на яку є попит: це стосується як баз даних про фізичних або юридичних осіб, так і іншої інформації, що представляє будь-який комерційний інтерес. Аналогічно з'являються в обороті бази різних спецслужб та урядових органів. Питання тільки в ціні та способах отримання такої інформації. Як правило, це комбінація людських та технічних чинників. Способи перешкоджання розкрадання інформації добре відомі, вони є поєднанням також технічних та людських чинників. На жаль, ніхто не може забезпечити стовідсотково гарантований захист інформації: прийоми, що дозволяють її вкрасти, удосконалюються так само швидко, як і прийоми захисту. З'являється така інформація, вартість розкриття якої перевищує ціну, витрачену власником на утримання її в таємниці. Останні події показують, що, з одного боку, власникам конфіденційної інформації необхідно збільшувати витрати на охорону, а з іншого - треба посилювати заходи по покаранню інформаційного піратства.

Вважаємо, що інформація про власників золотих кредитних карток типу Visa Gold цілком
може зацікавити зловмисників та відповідно, з'явитися у вільному продажу. На жаль, повністю
застрахуватися від цього неможливо. У будь-якій компанії з конфіденційною інформацією
обертається не один співробітник, а декілька. Крім того, технічні засоби захисту даних, теж не
можуть бути досконалими. Нам здається, що навіть якби інформація зберігалася в рукописному вигляді під подушкою у голови компанії, вона все одно не могла б вважатися повністю захищеною. Не думаємо, що така ситуація є характерною виключно для нашої країни. Звичайно, в європейських містах відсутні аналоги нашого радіо-ринку, але їснують інші більш організовані структури.
Підприємство, що взаємодіє з різними державними установами, закордонними партнерами або замовниками, може зіткнутися з необхідністю гарантувати їм, що його інформаційна система відповідає базовому рівню інформаційної безпеки. Незалежно від того, на якому рівні та етапі розвитку знаходиться інформаційна система підприємства, вона повинна відповідати певному набору мінімальних вимог до режиму інформаційної безпеки. Крім того, для підвищення довіри до захисту інформації компанії необхідно проводити незалежну перевірку (тестування) систем безпеки. При цьому для перевірки рівня захищеності інформаційної системи підприємства як державного, так і приватного, визначальну роль відіграє вибір критеріїв оцінки. На початку становлення ринкової економіки організації робили все так, як вважали за потрібне. Якщо великі і державні підприємства керувалися ГОСТами, то невеликі і приватні фірми рідко звертали увагу на стандарти взагалі. Зараз ознакою хорошого тону вважається володіти сертифікатом на відповідність тому чи іншому стандарту, так само відповідність набору ліцензійних якостей. Та й споживачі все частіше звертають на це увагу.

В області систем інформаційної безпеки також є свої стандарти. Наприклад, для того, щоб
підприємство могло працювати з інформацією, що становить державну таємницю, його система безпеки повинна, як мінімум, відповідати вимогам режиму секретності нав'язаним Службою безпеки України. В загалі, це стосується державних підприємств, хоча комерційні структури також можуть сертифікуватися відповідно цим вимогам.

Для проведення тестування та оцінки рівня систем безпеки слід залучати
висококваліфікованих фахівців, які знаються як у питаннях застосування інформаційних
технологій і забезпечення безпеки, так і в проблемах управління виробничими процесами,
людськими ресурсами і тому подібне. Витрати на тестування системи безпеки не можуть
перевершувати вартість охоронюваних інформаційних ресурсів. Оптимальна схема проведення
тестування повинна передбачати циклічність і забезпечувати необхідний рівень безпеки
інформації. Ефект від різних заходів, що входять в перевірку інформаційних систем, може
досягати максимуму через різні проміжки часу, залежно від інертності вдосконалюваного об'єкта.
Відповідно, чим вище мобільність і простота управління об'єктом, при динамічній зміні
інформаційної структури, тим частіше потрібно відновлювати дані перевірок.
Отже, процес комплексного дослідження інформаційної системи повинен стати невід'ємною
частиною послідовної політики в області інформаційної безпеки на підприємствах і в організаціях.
Компанії, що є лідерами в різних галузях на світовому ринку, вже усвідомили необхідність
проведення регулярного тестування. Це говорить про те, що світовий ринок консалтингових
послуг у сфері захисту інформації буде інтенсивно розвиватися.
В Україні попит на послуги організації та тестування систем безпеки поки невеликий, але і тут
великі підприємства та установи вже досягли того рівня, коли управління інформаційним
середовищем та забезпечення безпеки інформації компанії стає одним із стратегічно важливих
завдань. Це означає, що питання тестування та налагодження систем інформаційної безпеки також
не залишаться без уваги, а це, в свою чергу, забезпечить українським системним інтеграторам
поле діяльності в галузі забезпечення безпеки. Поза всякими сумнівами, підрозділ безпеки
компанії обов'язково повинен мати власного компетентного фахівця з виявлення вторгнень, який
буде самостійно виконувати всі або хоча б більшу частину завдань. У цьому випадку знизяться
ризики і витрати, пов'язані із залученням сторонніх фахівців. Однак, якщо у вашій компанії
збільшилася кількість випадків витоку конфіденційної інформації, а IТ-фахівці не в силах з цим
боротися, аутсорсингу завдань безпеки не уникнути. Аутсорсинг може бути необхідний з кількох
причин:
• IТ-відділ не справляється з поставленими завданнями щодо забезпечення безпеки інформації;
• вразливі місця складно виявити власними зусиллями;
• в разі реструктуризації системи безпеки.
Як правило, спеціалізовані компанії надають комплекс послуг по зовнішньому і внутрішньому
тестуванню, всілякі перевірки на проникнення в мережу і тому подібне. При цьому дуже важливо
вибрати консультанта з безпеки.
Наведемо кілька правил з відбору:
• Звертайтеся тільки у відомі на ринку спеціалізовані компанії.
• Поцікавтеся попередніми проектами консультанта. Компанія повинна мати декілька клієнтів,
задоволених результатами її роботи.
• Компанія повинна продемонструвати, що має висококваліфікованих фахівців з 5-10-річним
стажем роботи в області мережевої безпеки.
• Шукайте консультантів, які узгоджують свої дії з політикою безпеки компанії-клієнта.
• Компанія, що займається перевіркою і створенням систем інформаційної безпеки, повинна
надавати клієнту гарантії, які покривали б вартість усіх ризиків, пов'язаних з проведенням тестів
(найчастіше орієнтуються на ризики втрати клієнтської корпоративної інформації, а також на інші
потенційні втрати доходів, причиною яких стало припинення роботи системи).
Таким чином, якщо ми хочемо довіряти організації свої кошти і інформацію, то потрібно
довіряти їй у всьому, тому систематичні і всебічні тестування систем управління та інформаційної
безпеки є нагальною необхідністю, що, в кінцевому рахунку, веде до більшої ефективності та
рентабельності компанії.