Главная страница

Безопасность бизнеса Введение Организация, безопасность и риск 1 Сущность предпринимательского риска


НазваниеБезопасность бизнеса Введение Организация, безопасность и риск 1 Сущность предпринимательского риска
страница17/23
Дата01.04.2016
Размер2.9 Mb.
ТипДокументы
1   ...   13   14   15   16   17   18   19   20   ...   23

Мы надеемся, что Вы осуществили нужный выбор. Ведь при составлении Политики безопасности предприятия главное – не выбор технических средств, а четко сформулированные нужды безопасности организации и вытекающие из них цели и задачи организационных и технических мер обеспечения информационной безопасности, с учетом всего спектра требований. При этом мероприятия по обеспечению безопасности наилучшим образом отвечали потребностям предприятия, обеспечивая максимум коэффициента безопасности при допустимых бюджетом затратах
Выводы

1. Первой целью этой главы было помочь Вам анализировать Ваше окружение с учетом опасностей в киберпространстве. При этом предложено:

  • рассматривать киберпространство как часть реального мира людей;

  • учитывать особые свойства Интернета – автоматизация, действие на расстоянии и быстрое распространение технических приемов;

  • понимать, что информационная безопасность в бизнесе сегодня – это прежде всего безопасность в киберпространстве - компьютерная безопасность, а также безопасность в компьютерных сетях. При этом безопасность в сетях, по определению, ниже, так как сети из компьютеров представляют собой более сложные системы по сравнению с отдельными компьютерами, непрозрачны и имеют большее количество багов. И сотрудники Вашей организации через эти сети из компьютеров имеют дело с преступностью всего мира;

  • сегодняшний уровень встроенных в современные операционные системы и приложения механизмов защиты может оказаться недостаточным и не обеспечить гарантированную защиту информации организации;

  • для обеспечения необходимого уровня защиты информации необходимо опираться как на общетеоретические представления о защите информации и систему выработанных мер, так и на встроенные в аппаратуру механизмы защиты. Но необходим также анализ конкретной статистики угроз и принятие мер – быстрых и эффективных;

  • понимать необходимость анализа требований к системам защиты со стороны конкретных организаций бизнеса, подходов к защите информации и учет статистики угроз и способствовать статистическому сбору информации об угрозах.

2. Второй целью было помочь Вам разрабатывать мероприятия по минимизации этих опасностей.

Исторически проблема безопасности имеет три аспекта: аутентификация; авторизация; аудит. Сегодня сформированы новые функции – конфиденциальность, неприкосновенность, доступность и целостность. Они формируют целостный подход к защите информации и, соответственно, к разработке мероприятий.

Минимизация опасностей требует выбора структуры и характеристик подсистем:

  • регистрации и учета

  • криптографической защиты

  • контроля целостности.

Строить систему защиты нельзя без понимания своих узких мест и стратегии злоумышленника. Следует представить себе и «дерево атак» - вариантов атак злоумышленника.

В Вашем распоряжении имеются рассмотренные в главе четыре функциональные модели защиты, из которых следует выбрать подходящую.

В Вашем распоряжении также варианты технических решений, что позволяет ориентироваться в этом сложном мире киберпространства.

3. Третья цель помочь участвовать в разработке политики организации по информационной безопасности.

Этот документ призван ответить на вопросы:

  • С чего начать при построении системы защиты?

  • Каковы цели и задачи организационных и технических мер обеспечения информационной безопасности?

  • Каковы должны быть мероприятия по обеспечению безопасности, наилучшим образом отвечающие потребностям предприятия?

  • Каковы должны быть технические средства защиты информации, наилучшим образом отвечающие потребностям предприятия?

В основу Политики информационной безопасности можно положить следующие принципы:

  • разделяйте информацию;

  • укрепите самое слабое звено;

  • обнаруживайте нападения;

  • анализируйте нападения;

  • будьте бдительны;

  • контролируйте контролеров;

  • устраните последствия нападения;

  • управляйте риском.

Практически каждый менеджер должен участвовать в реализации Политики информационной безопасности. Наиболее представительными областями его участия являются:

  • строгое выполнение инструкций по разграничительной политике доступа и контроль их выполнения подразделением;

  • определение информации, подлежащей защите, и уровня ее защиты;

  • участие в анализе статистики для определения удачных атак и злоумышленника;

  • оценка изменений внешней среды предприятия;

  • участие в разработке предложений по оценке изменений внутренней среды предприятия, сказывающейся на характеристиках защиты;

  • участие в разработке предложений по изменению взаимодействия субъектов при выработке разграничительной политики доступа.

При реализации Политики информационной безопасности каждый менеджер должен руководствоваться принципами, которые положены в ее основу.

Важным элементом работы менеджера является его участие в управлении риском. Абсолютной безопасности не существует. И существуют основные принципы, на которых построена Политика безопасности. Так, принцип предотвращения угроз подходит для формирования политики национальной безопасности: либо угроза предотвращена, либо нет. Для коммерческих предприятий этот подход «не работает». Для них более подходящим является выбор не между двумя (да или нет) альтернативами, а между тремя:

  • смириться с риском

  • постараться снизить риск

  • застраховаться.

При этом, если безопасность предназначена для ухода от угроз, она должна оправдывать вложенные деньги. Если же безопасность предназначена для управления риском – это способ повышения дохода. Назначение политики безопасности – управление риском, снижение его до приемлемого уровня. Поэтому участие менеджера в реализации Политики безопасности – это участие в реализации способа повышения дохода предприятия.

4. И, наконец, еще одна цель – помочь Вам рационально действовать при обнаружении нападения на компьютеры Вашего подразделения. Скорее всего, освоив материалы этой главы, Вы будете способны достичь и этой цели.

 


6. Надежная команда залог безопасности

Здесь мы рассматриваем лишь один, но важный аспект надежной команды – аспект безопасности, связанный с персоналом. Важный потому, что, как продемонстрировано в 5-м разделе, до 70% утечек информации из организации связано с персоналом. При этом, если сговор сотрудников с уголовными кругами встречается не очень часто (хотя и не редко), то утечка конфиденциальной информации из-за безответственности персонала – повсеместное явление.
Кроме того, коллективы большинства современных российских коммерческих организаций формировались на основе личных связей, родства, рекомендации (что, само по себе, не является порочащим организацию признаком).

Из-за этого у многих руководителей таких организаций возникла иллюзия, что их коллективы представляют собой некий "монолит", скрепленный единой "идеей" (которой, чаще всего, нет вообще), и в таком коллективе немыслимо "предательство", разглашение коммерческой тайны и пр. В действительности, такие коллективы чаще всего оказываются рыхлыми, находящимися в стадии формирования ("бурления") группами без сложившихся стандартов.

В этих условиях изучение материалов о кадровых аспектах управления безопасностью необходимо.

После изучения раздела Вы должны уметь:

 умение студента оценивать собственный персонал на предмет возможности утечек служебной и иной информации;

 знание особенностей найма и увольнения персонала, обеспечивающих максимальное соблюдение коммерческой тайны.




 
1   ...   13   14   15   16   17   18   19   20   ...   23