Борьба за выживание или движение вперед?

версия для печати

«Приходится бежать со всех ног, чтобы только остаться на том же месте. Если хочешь попасть в другое место, нужно бежать, по крайней мере, в два раза быстрее…» Льюис Кэрролл, «Алиса в стране чудес»

Осознание проблемы…

В принципе, существование проблемы защиты информации никто не оспаривает. Вопрос лишь в том, чья это проблема, кто и почему должен ей заниматься. Зачастую информационная безопасность понимается как набор программно-аппаратных средств. А поскольку за «железо» несет ответственность системный администратор или отдел IT, все решения по защите информации принимаются исключительно на техническом уровне. Поэтому такие решения слабо связаны с основными бизнес-процессами организации. Действительно ли компания защищена в этом случае?

Наверное, можно чувствовать себя защищенным, когда технические специалисты регулярно рапортуют об успешно отраженных хакерских атаках или устраненных сбоях в работе информационной системы компании. Предположим, что они даже наилучшим образом распорядились выделенными им на обеспечение информационной безопасности деньгами, и в компании установлены лучшие средства защиты из представленных сегодня на рынке. Мировая практика свидетельствует, что безопасность бизнеса не может быть обеспечена ни одним продуктом, и даже целым семейством продуктов. Любое техническое средство может выполнять лишь ограниченные функции или задачи.

Кроме того, совершенных средств защиты, в принципе, не существует. В каждом из них со временем находится уязвимое место. С течением времени подвергается изменениям и сама информационная система компании.

Поэтому вопрос безопасности нужно рассматривать именно во времени. Только тогда становиться ясно, что обеспечение безопасности — это процесс, который необходимо спланировать, организовать, которым необходимо управлять, и который, наконец, нужно координировать и контролировать.

Действительно, даже если допустить, что существуют безупречные технические решения по защите информации, компания может понести убытки от утечки конфиденциальной информации через ее сотрудников. И это не обязательно потому, что сотрудники недобросовестны. Им могли просто не объяснить, как работать с той или иной информаций, в компании может отсутствовать регламент обращения с информацией и у нее может не быть собственной политики безопасности информации. По мнению многих экспертов в области безопасности, успешная защита информации требует не только использования технологий и средств защиты, но и создания комплексной, экономически обоснованной политики безопасности копании.

Кроме того, неразумно и нелогично, когда такие проблемы, как потеря доверия к компании, ее испорченная репутация или же ослабление конкурентных преимуществ отдаются на откуп техническим специалистам. И это лишь небольшая часть ущерба, который может быть нанесен организации в случае утраты конфиденциальной информации, например, о ее клиентах, продуктах или ценах.

Таким образом, задача обеспечения информационной безопасности напрямую связана с конкурентоспособностью компании, поэтому должна решаться на уровне руководства компании и рассматриваться им как стратегическая.

Вот почему вопрос управления информационными рисками должен входить в любой современной компании в число приоритетных и учитываться в ее долгосрочных стратегических планах.

Риски, которые мы допускаем… Стратегии, которые мы выбираем…

Информационные технологии значительно расширили возможности бизнеса. Но новые возможности всегда сопряжены с новыми рисками, подобно тому, как в финансовой сфере более высокая доходность означает более высокую степень риска. Чем сложнее система, тем выше риск осуществления по отношению к ней различных угроз. Это может быть как проникновение в систему извне, так и несанкционированный доступ к ее ресурсам изнутри компании с целью финансового мошенничества или хищения коммерческой информации. По данным ГУВД Москвы только за 2002 год количество преступлений в сфере электронной коммерции увеличилось в 180 раз.

Таким образом, применение информационных технологий в бизнесе связано с определенным набором рисков. Информационный риск — это, по сути, возможность реализации какой либо угрозы посредством уязвимостей, которые имеются в системе. И вот когда ущерб от потенциальных угроз достаточно велик, необходимо внедрять экономически оправданные меры защиты. При этом не следует забывать, что набор рисков, присущий конкретной информационной системе будет изменяться во времени. Это значит, что необходимо периодически производить переоценку рисков. К примеру, все ведущие консалтинговые компании рекомендуют выполнять анализ рисков информационной системы как минимум, раз в год.

С количественной точки зрения уровень риска можно рассматривать как величину, зависящую от вероятности реализации конкретной угрозы и величины ущерба, который может быть причинен компании.

Иными словами, управление информационными рисками заключается в следующем: сначала выявляются риски и производится их оценка, затем разрабатывается комплекс защитных мероприятий по нейтрализации выявленных рисков, после чего необходимо периодически убеждаться в том, что выбранные меры защиты действительно эффективны. При этом систему защиты можно считать действенной в том случае, когда остаточный риск для компании является приемлемым. Далее необходимо периодически, например раз в год, заново производить переоценку рисков. Здесь следует отметить, что наличие результатов оценки рисков произведенной первый раз, значительно облегчит задачу последующей переоценки. На первый взгляд, все, вроде бы, просто: определили и оценили риски, затем для нейтрализации каждого из них подобрали определенную меру защиты. Однако суть управления рисками заключается в том, чтобы выбранные меры были не только эффективны, но и экономически целесообразны. Нет смысла в защите, когда стоимость ее реализации значительно превышает возможный ущерб. И, в то же время, можно ли говорить о чрезмерности каких-то мер по защите или причиняемых ими неудобствах, если выявленная угроза в случае ее реализации может привести компанию к банкротству? Поэтому при управлении рисками применяются специальные методики, которые позволяют не только оценить величину возможного ущерба, но подобрать оптимальный, с точки зрения эффективности и экономичности, комплекс технических и организационных мер по защите информации.

Собственно говоря, именно критерий экономической целесообразности должен быть одним из ключевых при принятии решения о выборе стратегии управления рисками. Существует несколько стратегий управления рисками:

Устранение риска — устранение причины его возникновения (скажем, если основная угроза исходит из Интернета, то можно прикрыть доступ в него).

Минимизация риска — применение дополнительных мер по защите, позволяющих обеспечить приемлемую для организации величину риска (например, защитить и/или ограничить доступ в Интернет)

Принятие риска — выработка плана действия на случай реализации определенной угрозы (наличие такого плана у одной из компаний, центральный офис которой находился во Всемирном торговом центре в Нью-Йорке, позволило ей в довольно короткие сроки восстановить работоспособность своей информационной системы после событий 11 сентября 2001 г.)

Переадресация риска — страхование риска, разделение рисков с партнерами (если какая-нибудь база данных играет в бизнесе компании ключевую роль, возможно, имеет смысл застраховать риск ее потери. Западные страховые компании и некоторые крупные российские уже несколько лет предлагают услуги по страхованию информационных рисков).

Важно понимать, что ни одна из этих стратегий сама по себе не является оптимальной. Для достижения желаемого результата нужно уметь сочетать разные стратегии. К примеру, есть риски, которые можно и нужно полностью исключать, а есть риски, полное исключение которых приведет к снижению эффективности бизнеса в целом. Такие риски необходимо снизить до минимального уровня, приемлемого для конкретной компании. Банки ежегодно теряют миллиарды долларов от всевозможных махинаций с пластиковыми картами, но это не значит, что они должны полностью отказаться от операций с пластиковыми картами, они лишь, как раз, совершенствуют меры защиты для сведения этого риска к минимуму. Другой пример: развитие любой организации предполагает увеличение объемов обмена информации, что, как правило, приводит к увеличению различных информационных рисков, но это не означает, что необходимо уменьшать масштабы общения с деловыми партнерами.

Именно управление информационными рисками позволит обеспечить применение одной из перечисленных стратегий в нужном месте и нужное время. При этом на первый план выходит не просто своевременная реакция на какой-нибудь сбой, а возможность предотвратить его. Иными словами, внедрив у себя систему управления информационными рисками, компания займет проактивную позицию по отношению к угрозам информационной безопасности.

Поддержание конкурентоспособности компании — главный результат деятельности по управлению информационными рисками

Сегодня выявлению факторов конкурентоспособности уделяется серьезное внимание как в теоретических исследованиях, так и в реальном бизнесе. Акцент здесь все больше смещается от конкурентоспособности продукта к конкурентоспособности компании. Очевидно, что основным инструментом поддержания конкурентоспособности компании является стратегическое бизнес- планирование, направленное на развитие ее адаптивности, особенно адаптивности к агрессивной рыночной среде.

Именно решению этой задачи служит обеспечение информационной безопасности путем управления информационными рисками.

И последнее. Информационная безопасность должна достигаться экономически оправданными мерами. Принимать решение о финансировании проектов по информационной безопасности целесообразно лишь в том случае, когда вы уверены, что не просто увеличили расходную часть своего бюджета, а произвели инвестиции в развитие компании. При этом отдача от таких инвестиций должна быть вполне прогнозируемой. Здесь, конечно же, встанет вопрос финансовых рисков, но это уже другая история…

Сергей Арзуманов,

компания «Информзащита»

Статью "Борьба за выживание или движение вперед?" Вы можете обсудить на форуме.