2
Разработка методики оценки рисков на примере методики Microsoft
Особый интерес к управлению рисками вызывает система анализа
рисков крупнейшего производителя программного обеспечения почти во всех сферах
деятельности – Microsoft.
Процесс управления рисками, предлагаемый корпорацией
Майкрософт, разбивает этап оценки рисков на три шага:
– планирование – разработка основы для успешной
оценки рисков;
– координированный сбор данных – сбор
информации о рисках в ходе координированных обсуждений рисков;
– приоритизация рисков – ранжирование
выявленных рисков на основе непротиворечивого и повторяемого процесса.
Но с учетом неравномерной нагрузки на коммуникационную
структуру предприятия в различное время, возникают неучтенные риски. По этому к
трем пердыдущим пунктам можно добавить неучтенные риски, которые также
оказывают существенное влияние на совокупность учтенных рисков.
Собираются данные об:
– активах организации;
– угрозах безопасности;
– уязвимостях.
Собранные активы, угрозы и уязвимости следует ранжировать по
их степени оказания влияния на корпоративную систему, после этого нужно
соотнести активы, угрозы и уязвимости между собой и выявить закономерности
[3,4].
Оценку рисков нужно проводить в то время, когда нагрузка на
информационную систему будет минимальна.
Работа по определению ценности информационных активов в
разрезе всей организации одновременно наиболее значима и сложна. Именно оценка
информационных активов позволит начальнику отдела ИБ выбрать основные
направления деятельности по обеспечению информационной безопасности.
Ценность актива выражается величиной потерь, которые понесет
организация в случае нарушения безопасности актива.
Активами считается все, что представляет ценность для
организации. К материальным активам относится физическая инфраструктура. К
нематериальным активам относятся данные и другая ценная для организации
информация, хранящаяся в цифровой форме. В некоторых организациях может
оказаться полезным определение третьего типа активов – ИТ-служб.
Для увеличения эффективности модели, анализ производится
исходя из непосредственных целей и задач по защите конкретного вида информации
конфиденциального характера. Одна из важнейших задач в рамках такой защиты
информации – обеспечение ее целостности и доступности.
– сбоев оборудования, ведущих к потере или искажению
информации;
– физических воздействий, в частности в результате
стихийных бедствий;
– ошибок в программном обеспечении (в том числе из-за
недокументированных возможностей).
При изучении материальных активов организации, ее электронной
техники ввода, вывода и централизованной обработки информации в ее
корпоративной сети, то есть провести оценку рисков внутри оценки рисков.
Процесс управления рисками безопасности, предлагаемый
корпорацией Майкрософт, определяет следующие три качественных класса активов:
– высокое влияние на бизнес (ВВБ) – влияние на
конфиденциальность, целостность и доступность этих активов может причинить
организации значительный или катастрофический ущерб. К этому классу относятся
конфиденциальные деловые данные;
– среднее влияние на бизнес (СВБ) – влияние
на конфиденциальность, целостность и доступность этих активов может причинить
организации средний ущерб. Средний ущерб не вызывает значительных или
катастрофических изменений, однако нарушает нормальную работу организации до
такой степени, что это требует проактивных элементов контроля для минимизации
влияния в данном классе активов.
– низкое влияние на бизнес (НВБ) – активы,
не попадающие в классы ВВБ и СВБ, относятся к классу НВБ. К защите подобных
активов не выдвигаются формальные требования, и она не требует дополнительного
контроля, выходящего за рамки стандартных рекомендаций по защите
инфраструктуры.
Таким образом можно показатьтяжесть последствий:
– незначительный (менее $100);
– минимальный (менее $1000);
– умеренны (менее $10 000);
– серьезные (существенное негативное влияние
на бизнес);
– критическое (катастрофическое воздействие,
возможно прекращение функционирования системы) [3,18,19].
Но следует учесть, что это можно считать за базовые оценки
ущерба и в зависимости от размера организации денежные суммы могут изменяться
значительно.
Далее определяется перечень угроз и уязвимостей и выполняется
оценка уровня потенциального ущерба, называемого степенью подверженности актива
воздействию. Оценка ущерба может проводиться по различным категориям:
– конкурентное
преимущество;
– законы и
регулятивные требования;
– операционная
доступность;
– репутация на
рынке.
Оценку предлагается проводить по следующей шкале:
– высокая подверженность воздействию – значительный
или полный ущерб для актива;
– средняя подверженность воздействию –
средний или ограниченный ущерб;
– низкая подверженность воздействию –
незначительный ущерб или отсутствие такового;
Следующий шаг – оценка частоты возникновения угроз:
– высокая – вероятно возникновение одного или
нескольких событий в пределах года;
– средняя – влияние может возникнуть в
пределах двух-трех лет;
– низкая – возникновение влияния в пределах
трех лет маловероятно.
Для угроз указывается уровень воздействия в соответствии с
концепцией многоуровневой защиты (уровни – физический, сети, хоста, приложения,
данных).
Для выявлении рисков в корпоративной сети предприятия, риски
можно разделить на пять видов:
– риск целостности (integrity risk): включает в себя все
риски, связанные с подтверждением полномочий, завершенностью и точностью
передачи транзакций и информации. Эти риски могут возникать при работе с
пользовательским интерфейсом, обработке данных, обработке ошибок, изменениях в
управлении и данных;
– риск соответствия (relevance risk): относится к
своевременности и полезности информации и непосредственно влияет на принятие
решения. Другими словами, не всегда можно гарантировать, что нужная информация
своевременно будет передана нужному человеку (или в нужное место);
– риск готовности (availability risk): его можно нивелировать
за счет контроля и превентивных действий; сюда относятся кратковременные сбои в
системе во время процесса восстановления; риски, вызванные авариями, повлекшими
за собой долговременные сбои, на случай которых предусмотрено резервное
копирование и поддержка ряда ограничений на возможные действия;
– риск доступа (access risk): включает в себя
нелигитимный доступ к системе, информации и данным;
риск инфраструктуры (infrastructure risk): связан с важнейшими
компонентами инфраструктуры информационных систем, в том числе с аппаратным и
программным обеспечением, сетями, людскими ресурсами и различными процессами
[3,20,34].
Следующий шаг этапа оценки рисков – приоритизация рисков,
т.е. создание упорядоченного по приоритетам списка рисков. Формирование данного
списка сначала предлагается выполнить на обобщенном уровне, после чего описания
наиболее существенных рисков детализируются.
Итоговый уровень риска определяется исходя из уровня влияния
и оценки частоты возникновения риска, для которой используется шкала:
– высокая – вероятно возникновение одного или
нескольких влияний в течение года;
– средняя – влияние может хотя бы один раз
возникнуть в течение двух или трех лет;
– низкая – возникновение влияния в течение
трех лет маловероятно.
Для детального изучения (составления «перечня на уровне
детализации») отбираются риски, отнесенные по результатам оценки на обобщенном
уровне к одной из трех групп:
– риски высокого уровня;
– граничные риски: риски среднего уровня,
которые необходимо снижать;
– противоречивые риски: риск является новым
и знаний об этом риске у организации недостаточно или различные
заинтересованные лица оценивают этот риск по-разному.
Формирование перечня рисков на уровне детализации является
последней задачей процесса оценки рисков. В этом перечне каждому риску в итоге
сопоставляется оценка в числовой (денежной) форме.
Вновь определяются:
– величина влияния и подверженности воздействию;
– текущие
элементы контроля;
– вероятности
влияния;
– уровень риска.
После определения уровня подверженности воздействию
производится оценка величины влияния. Каждому уровню подверженности воздействию
сопоставляется значение в процентах, отражающее величину ущерба, причиненного
активу, и называемое фактором подверженности воздействию.
Следующая задача – определение вероятности влияния.
Результирующий уровень вероятности определяется на основании двух значений.
Первое значение определяет вероятность существования уязвимости в текущей
среде. Второе значение определяет вероятность существования уязвимости исходя
из эффективности текущих элементов контроля. Меньший результат означает большую
эффективность элементов контроля и их способность уменьшать вероятность взлома
[3,9].
В заключение процедуры оценки рисков, проводится
количественный анализ. Чтобы определить количественные характеристики,
необходимо выполнить следующие задачи.
– сопоставить каждому классу активов в организации
денежную стоимость;
– определить стоимость актива для каждого
риска;
– определить величину ожидаемого разового
ущерба (single loss expectancy – SLE);
– определить ежегодную частоту возникновения
(annual rate of occurrence – ARO);
– определить ожидаемый годовой ущерб (annual loss expectancy – ALE).
Количественную оценку предлагается начать с активов,
соответствующих описанию класса ВВБ. Для каждого актива определяется денежная
стоимость с точки зрения его материальной и нематериальной ценности для
организации. Также учитывается:
– стоимость замены;
– затраты на обслуживание и поддержание
работоспособности;
– затраты на обеспечение избыточности и
доступности;
– влияние на
репутацию организации;
– влияние на эффективность работы
организации;
– годовой доход;
– конкурентное
преимущество;
– внутренняя
эффективность эксплуатации;
– правовая и
регулятивная ответственность;
– процесс повторяется для каждого актива в
классах СВБ и НВБ [6,9].
Каждому классу активов сопоставляется одно денежное значение,
которое будет представлять ценность класса активов. Например, наименьшее среди
активов данного класса. Данный подход уменьшает затраты времени на обсуждение
стоимости конкретных активов.
После определения стоимостей классов активов необходимо
определить и выбрать стоимость каждого риска.
Следующей задачей является определение степени ущерба,
который может быть причинен активу. Для расчетов предлагается использовать
ранее определенный уровень подверженности воздействию, на основе которого
определяется фактор подверженности воздействию (рекомендуемая формула пересчета
– умножение значения уровня (в баллах) на 20%).
3
Подготовительные аналитические работы
Темпы развития современных информационных технологий
значительно опережают темпы разработки рекомендательной и нормативно-правовой
базы руководящих документов, действующих на территории России. Поэтому решение
вопроса об оценке уровня защищенности информационных активов компании
обязательно связано с проблемой выбора критериев и показателей защищенности, а
также эффективности корпоративной системы защиты информации. Для более точной
картины при учете рисков, нужно заблаговременно произвести некоторые
аналитические работы [13,14].
Аналитические работы в области информационной безопасности
могут проводиться по следующим направлениям:
– комплексный анализ информационных систем (ИС)
компании и подсистемы информационной безопасности на правовом,
методологическом, организационно-управленческом, технологическом и техническом
уровнях;
– разработка комплексных рекомендаций по
методологическому, организационно-управленческому, технологическому,
общетехническому и программно-аппаратному обеспечению режима ИС компании;
– организационно-технологический анализ ИС
компании;
– экспертиза
решений и проектов;
– работы по анализу документооборота и поставке
типовых комплектов организационно-распорядительной документации;
– работы, поддерживающие практическую
реализацию плана защиты;
К первой области также относятся работы, проводимые на основе
анализа рисков, инструментальные исследования (исследование элементов
инфраструктуры компьютерной сети и корпоративной информационной системы на
наличие уязвимостей, исследование защищенности точек доступа в Internet).
Рекомендации могут касаться общих основополагающих вопросов
обеспечения безопасности информации (разработка концепции информационной
безопасности, разработка корпоративной политики охраны информации на
организационно-управленческом, правовом, технологическом и техническом
уровнях), применимых на многих компаниях.
Также рекомендации могут быть вполне
конкретными и относится к деятельности одной единственной компании (план защиты
информации, дополнительные работы по анализу и созданию методологического,
организационно-управленческого, технологического, инфраструктурного и
технического обеспечения режима информационной безопасности компании) [12,28].
Правильная экспертиза решений и проектов играет важную роль в
обеспечении функционирования всей системы информационной безопасности и должна
соответствовать требованиям по обеспечению информационной безопасности
экспертно-документальным методом. Экспертиза проектов подсистем – требованиям
по безопасности экспертно-документальным методом.
Работы по анализу документооборота и поставке типовых
комплектов организационно-распорядительной документации, как правило, включают
два направления:
– поставку комплекта типовой организационно-распорядительной
документации в соответствии с рекомендациями корпоративной политики ИБ компании
на организационно-управленческом и правовом уровне.
Работы, поддерживающие практическую реализацию плана
информационной безопасности, в частности, заключаются в следующем:
– разработка технического проекта модернизации
средств защиты ИС, установленных на фирме по результатам проведенного
комплексного аналитического исследования корпоративной сети;
– разработка расширенного перечня сведений
ограниченного распространения как части политики безопасности;
– разработка пакета
организационно-распорядительной документации в соответствии с рекомендациями
корпоративной политики ИБ компании на организационно-управленческом и правовом
уровне;
– поставка комплекта типовой
организационно-распорядительной документации в соответствии с рекомендациями
корпоративной политики ИБ компании на организационно-управленческом и правовом
уровнях [14,28,30].
Уровень информационной безопасности компании во многом
зависит от квалификации специалистов. В целях повышения квалификации и
переподготовки кадров рекомендуется проводить тренинги по применению средств
защиты информации, технологии защиты информации, обучать сотрудников основам
экономической безопасности[17].
Немаловажную роль играет и ежегодная переоценка состояния
информационной безопасности компании.
Поясним ключевые моменты управления рисками. Для начала
излагается общий сценарий. Допустим, возникает возможность угрозы
несанкционированного доступа к конфиденциальной информации в связи с
обнаруженной уязвимостью в учетной системе, которая принимает электронные
заказы через Интернет.
На основе информации об угрозах и уязвимостях
информационной системы изучается вопрос о возможности реализации риска и
экономической целесообразности определения мероприятий по его минимизации (если
мероприятия по предотвращению рисков стоят дороже, чем ущерб от реализации
угрозы, то, скорее всего, применять их нецелесообразно).
После оценки важности риска планируются необходимые
мероприятия и выделяются соответствующие ресурсы. Затем реализуются контрмеры в
соответствии с графиком работ и оценивается их эффективность.
После более подробного изучения процесса и выявления
потенциальных угроз следует сформировать перечень рисков, которые необходимо
минимизировать. Цель процесса сбора (идентификации) рисков – выяснить, в какой
степени организация подвержена угрозам, способным нанести существенный ущерб.
Для сбора рисков проводится анализ бизнес-процессов компании и опрос экспертов
предметной области. По результатам проделанной работы перечень всех
потенциальных рисков классифицируется. Причем для проверки полноты перечня
выделенных рисков необходимо построить классификацию рисков по определенному
принципу, например по этапам жизненного цикла документа [18,28].
Существует два подхода к определению рисков. Первый основан
на описании процессов и их анализе на предмет нахождения рисков IT-безопасности. Обычно его
применение требует больших затрат как на описание, так и на анализ
бизнес-процессов, но неоспоримым преимуществом данного метода является
гарантированная полнота определения перечня рисков.
Второй подход к определению рисков базируется на экспертных
знаниях, информации по инцидентам IT-безопасности и понесенному компанией убытку от
произошедших инцидентов. Этот подход имеет меньшую трудоемкость, но не
гарантирует полноты перечня рисков и требует большого экспертного опыта при
выделении рисков без анализа описания процессов.
Если говорить о практике применения, то на первых этапах
развертывания процесса управления рисками IT-безопасности возможно
использование второго метода, как менее трудоемкого, однако на следующих этапах
анализа рисков следует перейти к полноценному определению рисков с помощью
описания и анализа бизнес-процессов.
В представленном примере угроза несанкционированного доступа
к финансовой информации представляет собой исходные данные для идентификации,
например, такого риска, как «Утечка информации о клиентах к конкурентам через
незащищенный канал связи». В связи с тем, что последствия от различных угроз
неравноценны, недостаточно лишь идентифицировать риск.
Необходимо оценить
величину угрозы и возможность реализации риска (уязвимость), а также убыток в
виде прямых или косвенных потерь в денежном выражении. Если говорить об оценке
рисков, то на первом этапе следует использовать качественные критерии,
поскольку они просты в применении.
Примером качественных критериев оценки может быть куб (четыре
на четыре на четыре):
– угроза – низкая, средняя, высокая, критическая;
– уязвимость – низкая, средняя, высокая,
критическая;
– ущерб – низкий, средний, высокий,
критический.
Суммарную оценку риска можно определить путем перемножения
или взвешенного суммирования полученных качественных коэффициентов[3].
Затем определятся порог или уровень существенности для
рисков. Фактически перечень рисков делится уровнем существенности на две части.
Во-первых, риски, по которым в данном цикле системы будет
производиться предотвращение или минимизация последствий.
Во-вторых, риски, по которым в данном цикле системы не будет
производиться предотвращение или минимизация последствий.
При дальнейших реализациях процесса можно перейти от
качественных к числовым оценкам, но это потребует анализа вероятностей для
угроз и уязвимостей, и числовых оценок для убытков, что усложнит систему
управления рисками. Но главное – при запуске процесса управления рисками IT-безопасности
сосредоточиться на самом процессе, а методики можно отточить в дальнейшем,
когда механизм будет работать в циклическом режиме [29,30].
Основным результатом (выходом) процесса оценки рисков
является перечень всех потенциальных рисков с их количественными и
качественными оценками ущерба и возможности реализации. Данный перечень рисков
имеет большой объем, поэтому возникает вопрос, нужно ли защищаться от всех рисков?
Необходимо определить перечень особо опасных рисков, к
минимизации которых следует приступить немедленно и минимизация которых повысит
уровень безопасности организации. То есть речь идет лишь о понимании, сколько
риска организация готова взять на себя и какому риску она подвергается в
действительности.
Что делать с оставшимися рисками? Скорее всего, их
минимизация не требуется, поскольку стоимость мероприятий по их минимизации
может превысить убытки от данных рисков. Вот почему основной задачей становится
определение логической границы между рисками, требующими минимизации, и
остаточными рисками.
В начале построения системы IT-безопасности данная
граница может иметь высокий уровень, дальнейшее понижение границы возможно при
проведении работ по IT-безопасности, но необходимо определить тот момент, когда ее
дальнейшее понижение станет убыточным для организации.
Иначе нельзя исключить
переход в состояние, когда мероприятия по защите информации будут работать сами
на себя. Для оценки данной границы необходимо четко оценивать свои ресурсы и
возможные расходы. Дополнительным результатом процесса оценки рисков является
перечень рисков информационной безопасности, которые не будут отслеживаться в
организации, но на следующем цикле анализа рисков будут оценены. Все данные,
важные с точки зрения управления рисками, моделируются [128,30].
На основе оценок риска выбираются необходимые методы и
средства управления информационной безопасностью. Для нашего примера: если
величина и возможность убытков для риска «Утечка информации о клиентах к
конкурентам» достаточно велика, целесообразно наметить мероприятия по
минимизации риска – планирование процесса оперативного обновления ПО (установка
«заплаток»), формирование регламентов доступа к информации о клиентах,
внедрение средств защиты от утечек конфиденциальных данных и т.д.
Цель процесса планирования мероприятий по минимизации рисков
– определение сроков и перечня работ по исключению или сведению к минимуму
ущерба в случае реализации риска. Данный процесс позволяет сформулировать кто,
где, когда и какими ресурсами будет минимизировать определенные риски.
Результатом (выходом) процесса планирования является план-график работ по
исключению или минимизации ущерба от реализованного риска. Например, «До
10.10.10 установить пакет обновлений Service Pack 2 для операционной
системы Windows XP на все рабочие станции компании. Ответственный: Иванов И.И.».
Практика показывает, что большинство мероприятий находится в
плоскости организационных решений, тогда как технические меры защиты не
являются превалирующими. В дальнейшем необходимо производить агрегацию
мероприятий для того, чтобы одно мероприятие «закрывало» несколько рисков
одновременно, что минимизирует затраты и требует меньше ресурсов для контроля
[10,11].
Однако большинство компаний начинает установку технических
решений без предварительной оценки рисков, определения целей IT-безопасности и ее
влияния на бизнес-процессы, что приводит к отрицательному влиянию на
бизнес-процессы и потере контроля над ними.
Можно установить в компании различные средства сетевой
защиты, контроля физического доступа и т.п., после чего пребывать в спокойном
состоянии, считая, что все необходимые меры по обеспечению IT-безопасности приняты.
Однако вскоре конфиденциальная информация опять оказывается у конкурентов или
сотрудник «случайно» стирает материалы проекта[16].
Эти факты показывают, что проблема IT-безопасности является не
только технической, но и управленческой. Большинство рисков можно
минимизировать управленческими решениями, рассматривая данные риски в качестве
операционных, а остальные риски минимизировать программными и аппаратными
средствами.
Мало понять, что, как и когда делать, однако требуется
реализовать все запланированное точно в срок. Поэтому целью процесса реализации
мероприятий становится выполнение запланированных мероприятий по минимизации
рисков, контроль качества полученных результатов и сроков их выполнения.
Итог
данного процесса – выполненные работы по минимизации рисков и время их
проведения. Целесообразно спланировать свою деятельность на случай
возникновения критической ситуации или риска. Введение в действие процессов,
предусмотренных на экстренный случай, позволит не допустить убытки или
минимизировать их, а также возобновить хозяйственную деятельность как можно
быстрее[15].
Основная сложность – не создать план-график (поскольку
подобная работа связана с анализом рисков и формированием мероприятий,
необходимых для его минимизации и предотвращения), а выполнять план-график,
выделяя финансовые ресурсы, назначая и мотивируя ответственных за конкретные
мероприятия.
Однако, определяя мероприятия, надо все время помнить: IT-безопасность должна
гарантировать, что будут достигнуты следующие цели.
Во-первых, конфиденциальность информации, критически важной
для организации или для принятия решения. Во-вторых, целостность информации и
связанных с ней процессов (создания, ввода, обработки и вывода). В-третьих,
оперативная доступность информации в любой момент времени.
Во многих компаниях системы информационной безопасности
строятся по принципу «все запретить», что вызывает неудобства в работе
сотрудников, а самое важное – может служить причиной замедления развития
компании, поскольку корпоративные знания перестают быть доступными.
Необходимо
найти золотую середину между ограничениями, связанными с мероприятиями IT-безопасности, и свободой
обмена информацией внутри и вне компании. Главное, чтобы безопасность из
средства не превратилась в цель. Часто вместо того, чтобы придерживаться
принципа, подразумевающего сохранение текущей ситуации всегда, когда это
допустимо, сотрудники, отвечающие за IT-безопасность, занимают формальную позицию и по
максимуму минимизируют возможности пользователей.
Как правило, большое количество запретительных мероприятий
порождает способы обмена информацией в обход защищенных каналов, что сводит все
усилия по обеспечению защиты данных к нулю, то есть бизнес-процессы компании перестраиваются,
обходя все запретительные мероприятия.
Следующий цикл анализа рисков позволяет определить, какие
мероприятия эффективны для минимизации и предотвращения рисков, а какие нет. На
основе анализа эффективности можно корректировать понимание риска, его оценки и
требуемых действий. Кроме того, анализ эффективности предоставит возможность
увидеть минимизацию параметров уязвимости и ущерб для всех рисков, что в целом
усилит режим IT-безопасности.
Оценка эффективности системы управления IT-безопасностью – это
системный процесс получения и оценки объективных данных о текущем состоянии
систем, действиях и событиях, происходящих в ней, устанавливающий уровень их
соответствия определенным критериям.
На данной стадии выполняется мониторинг
заранее установленных мероприятий, нацеленных на уменьшение объема убытка или
частоты появления рисков. Результаты указанного процесса могут использоваться в
целях аудита для подготовки компании к сертификации [15,16].
Для координации работ по управлению рисками требуются
следующие организационные мероприятия: разработка концепции IT-безопасности, создание
комитета по IT-безопасности (включающего топ-менеджеров компании), выделение
ответственного, определение бюджета на работы, формирование процесса управления
и регламента, назначение экспертов по предметным областям для предоставления
информации по бизнес-процессам и рискам, определение схем мотивирования для
участвующих в работах.
В заключение следует отметить, что построение эффективной
системы IT-безопасности в компании – сложный и непрерывный процесс, от
которого зависит жизнеспособность бизнеса. Для грамотного построения такой
системы надо привлекать к участию в ее создании топ-менеджмент, IT-специалистов,
консультантов по данной тематике, технических экспертов.
Одним из важных этапов построения системы IT-безопасности является
создание эффективного механизма управления рисками, что позволит принимать
обоснованные решения в данном направлении. Хотелось бы отметить, что
мероприятия по IT-безопасности могут накладывать ограничения, но надо четко
представлять себе необходимость данных ограничений и пытаться находить
компромиссы [19,25].
Методика Microsoft в большей части рассчитана для ее же программных
продуктов, среди которых часто встречаются операционные системы семейства Microsoft (Microsoft XP, Vista, Seven, Server 2003, 2008) Microsoft office, Microsoft Exchange. Учитывая большую стоимость
программных средств, российский бизнес использует альтернативные программные
продукты других производителей, зачастую куда более лучшего качества.
Как известно, крупные поставщики аппаратного оборудования
такие как HP, DELL, IBM поставляют готовые серверные решения на основе CISCO, D-LINK, INTEL, AMD, NVIDIA, для предприятия с
сертификатом совмести с продуктами MICROSOFT что подтверждает совместимость
оборудования с программным обеспечением, что повышает надежность
отказоустойчивости, так и производительности.
Но учитывая бизнес в России, не все организации способны
закупить высокопроизводительные и дорогостоящие сервера. Основную нагрузку на
себя берут обычные компьютеры выступающие в роли рядового сервера.
Так же стоит учесть тот факт, что сети организаций построены
на разных программных платформах – операционных системах для повышения
производительности и снижения себестоимости владения продуктом. В отличие от MS Windows, некоторые версии Linux распространяется
бесплатно, а за небольшую плату еще и с поддержкой конечных пользователей.
Недостаточность финансирования IT хозяйства предприятия
ведет к незаметным простоям и перебоям в работе информационной инфраструктуры
предприятия, что в конечном итоге выходит предприятию в копеечку.
Информационные риски – это опасность возникновения убытков
или ущерба в результате применения компанией информационных технологий.
К сожалению, имеющиеся справочники опираются на зарубежный
опыт и потому с трудом применимы к российским реалиям. К тому же определение
величины стоимости информационного ресурса (будь то физический сервер или файлы
и записи СУБД) тоже зачастую затруднено.
Современные методики управления рисками, проектирования и
сопровождения корпоративных систем защиты информации должны позволять решить
ряд задач перспективного стратегического развития компании.
Управление рисками предполагает оценку стоимости реализации
контрмер, которая должна быть меньше величины возможного ущерба. Разница между
стоимостью принятия контрмер и величиной возможного ущерба должна быть тем
больше, чем меньше вероятность причинения ущерба.
Разработанная модель на основе методики Microsoft позволяет снизить риски
для предприятия, с учетом рисков для корпоративной сети, тем самым сохранив
денежные средства на восстановление в случае отказа или перебоя в работе
средств информационно обработки информации предприятия, а также выработать
рекомендации по обеспечению (повышению) информационной безопасности компании.
В
том числе снизить потенциальные потери компании путем повышения устойчивости
функционирования корпоративной сети, разработать концепцию и политику
безопасности компании. Также рассмотренная методика позволяет предложить планы
защиты конфиденциальной информации компании, передаваемой по открытым каналам
связи, защиты информации компании от умышленного искажения (разрушения),
несанкционированного доступа к ней, ее копирования или использования.
Одним из важных этапов построения системы IT-безопасности является
создание эффективного механизма управления рисками, что позволит принимать
обоснованные решения в данном направлении. Хотелось бы отметить, что
мероприятия по IT-безопасности могут накладывать ограничения, но надо четко
представлять себе необходимость данных ограничений и пытаться находить
компромиссы.
Периодический аудит системы работы с информацией
(информационный аудит), проводимый независимыми экспертами, будет дополнительно
способствовать минимизации рисков. В заключение отметим, что разработка и
реализация политики по минимизации IT-рисков не принесет пользы, если рекомендуемые
стандарты и правила неверно используются, например, если сотрудники не обучены
их применению и не понимают их важности.
Поэтому работа по обеспечению IT-безопасности должна быть
комплексной и продуманной. В заключение следует отметить, что построение
эффективной системы IT-безопасности в компании – сложный и непрерывный процесс, от
которого зависит жизнеспособность бизнеса.
