БИЗНЕС-СЕТЬ KINETICS CRM ERP ITSM
        
ЧТО ТАКОЕ ITSM? НОВОСТИ АНАЛИТИКА СИСТЕМЫ АУТСОРСИНГ IT ПОСТАВЩИКИ  
     ITSM (IT Service Management, управление ИТ-услугами) — сервисный процессный подход к управлению и организации ИТ-услуг, направленный на удовлетворение потребностей бизнеса.

СТАТЬИ
МЕТОДОЛОГИИ ITSM
IT ASSET MANAGEMENT
ВИДЕОМАТЕРИАЛЫ
ПРАКТИКА ВНЕДРЕНИЯ
РЕЙТИНГИ
РЕЙТИНГ КОМПАНИЙ
ОБЗОРЫ РЫНКА
МНЕНИЯ ЭКСПЕРТОВ


Зарубежные и отечественные системы по автоматизации сервисных служб, в том числе с поддержкой ITIL


   
ЧТО ТАКОЕ ITSM и ITIL?
ITSM (сокращение от IT Service Management) - это концепция управления IТ инфраструктурой компании, сфокусированная на предоставлении услуг и ориентированная на бизнес-потребителя этих сервисов. >>>
ITIL (IT Infrastructure Library) - это обобщение лучшего международного опыта в области организации и управления IT >>>
 
HELPDESK (SERVICE DESK)
Helpdesk (или Service Desk) - это информационная система технической поддержки, решения проблем пользователей с компьютерами, аппаратным и программным обеспечением. Это важная составляющая ITIL — позволяет выявить проблемные участки инфраструктуры ИТ, оценить эффективность работы отдела ИТ >>>
 

СТАТЬИ

Современное состояние информационной безопасности и информационные риски


Сегодня невозможно представить практически ни одну сферу деятельности без средств вычислительной техники и телекоммуникаций. Информационные технологии предлагают все новые и новые сервисы. Через Интернет становятся доступными электронные платежные системы, персональные финансовые порталы, электронные биржи и т. д. Внедряя новые услуги, компании укрепляют свое положение на рынке.

С другой стороны, вопросы информационной безопасности всегда, как минимум, на шаг отстают от нововведений. Достаточно посмотреть, сколько версий должно миновать, пока тот или иной программный продукт не приобретет репутацию надежного.

Эти две очевидные тенденции приводят к необходимости здорового консерватизма в построении информационных систем корпоративного уровня. Нужен взвешенный подход, учитывающий риски и стоимость отдачи от вложенных средств.

С ростом экономики России, появлением больших экономических структур, все глубже проникают в нашу жизнь международные стандарты построения информационных систем и систем информационной безопасности (BASEL II, SOX, Cobit, BS 17799, ITIL и др.), которые суть не что иное, как собранные в одном документе передовые практики построения подобных систем. Центральный Банк России имеет планы по распространению BASEL II, работа на международных биржах требует сертификации по соответствующим стандартам безопасности. Все больше входят в наш обиход такие понятия, как управление рисками, сервис-ориентированная модель построения ИТ.

Информационные технологии все шире применяются в качестве инструмента ведения бизнеса. И понятие риска является краеугольным как для бизнеса, так и для системы организации информационной безопасности.

Но при этом следует понимать, что стандарты и передовые практики обычно не рассматривают конкретные программы и детальные методики, а концентрируются на основных принципах и примерах.

С точки зрения рисков следует иметь в виду два аспекта:

  • Во-первых, любую систему безопасности можно взломать, имея достаточно ресурсов и времени. Поэтому риски могут быть идентифицированы и уменьшены, но никогда не сведены полностью на нет.
  • Во-вторых, все организации разные, поэтому процесс смягчения рисков для каждой имеет свои уникальные черты. Исторические примеры могут помочь, но адекватная оценка реальности — лучший советчик, ведь даже небольшие изменения в методике или организационной структуре могут повлечь значительные последствия, связанные с рисками. К тому же при внедрении нужны средства, учитывающие локальные особенности. Например, средства шифрования во всех развитых странах имеют свои системы стандартов, свои сертификаты и, соответственно, свои регламенты использования.

C точки зрения построения информационных систем, решения вопросов информационной безопасности и управления рисками Россия идет вслед за развитыми странами, что позволяет избегать некоторых распространенных ошибок.

Рост экономики, усиливающаяся конкуренция порождают и еще одну проблему безопасности — слияние организаций, поглощение мелких и средних компаний более крупными. При этом неизмеримо возрастают трудности межоперационного взаимодействия, возникает необходимость интеграции разнородных систем.

Минимизация рисков, построение всеохватывающей системы информационной безопасности — процесс весьма сложный, длительный и дорогостоящий. В мире нет ни одной организации, которая внедрила бы весь набор средств и реализовала все необходимые, описанные в стандартах процессы. Выбор подходящих методов и степени защиты является субъективным процессом, лишь отчасти регламентируемым нормативными актами.

Рисков существует великое множество, включая стихийные бедствия, проблемы с коммунальными услугами (перебои в доставке электроэнергии и др.), хищения, политический и информационный терроризм, ошибки в программном обеспечении, вирусы, спам, внутренние и внешние хакеры и т. д. и т. п. Не следует избегать и обыкновенного человеческого фактора, ошибок администраторов или операционистов. Добавление одной неправильной строки в настройку маршрутизатора может вывести из строя всю телекоммуникационную сеть; одна лишняя цифра в номере счета — и денежный перевод идет совсем в другую страну.

Но часто ответственные лица отсрочивают затраты на безопасность ввиду некоторых объективных трудностей:

  • Очень трудно, а зачастую и невозможно качественно и количественно оценить все уязвимости.
  • Трудно измерить вероятность наступления события.
  • Анализ начат с рисков, защита от которых стоит очень дорого или ее вообще нет.

Они могут также надеяться на то, что механизмы защиты можно встроить в рамки имеющихся бизнес-систем.

Опыт говорит о том, что, даже имея комплексное видение цели построения систем защиты, необходимо подходить к вопросу последовательно. Сначала определить угрозы, оценить риски, найти и оценить соответствующие контрмеры, внедрить соответствующие средства и бизнес-процессы, посмотреть, что получилось (мониторинг и аудит) и опять начинать все с начала, постепенно раскручивая спираль развития.

При этом можно выделить два основных метода минимизации рисков, которые каждая организация выбирает сама:

  • Определить риски и внедрять требуемые контрмеры.
    По этому пути часто идут департаменты информационной безопасности, которым выделен определенный, достаточно узкий круг возможностей. И в пределах своей зоны ответственности эти департаменты и пытаются решать проблемы по максимуму, зачастую входя в конфликт с другими подразделениями.
  • Спокойно строить систему управления ИТ и информационной безопасности.
    Это — более последовательный путь развития, когда сотрудничество отделов информационных технологий и информационной безопасности позволяет решать многие вопросы комплексно.

Оценка и подсчет

Как же можно посчитать или оценить риски? Вопрос этот принадлежит к числу наиболее сложных. Точная формулировка здесь почти подразумевает наличие готового ответа. Оценка риска — вещь субъективная как в отношении метрик, так и в отношении процессов. Для оценок рассматривают две категории метрик: количественные и качественные.

Для количественного соизмерения затрат обычно оценивают количественные потери, основываясь на их стоимости (компьютеры, данные, программное обеспечение, документы, информация) или эффекте от события, а также вероятности наступления данного события. Так как свести риск к нулю все равно не удается, приходится вычислять разность между риском до внедрения системы защиты и оставшимся риском, соизмеряя его со стоимостью контрмер. Но даже в количественном измерении много неясностей и подводных камней.

Качественные метрики сложны в вычислении, но зато позволяют оценить необходимость финансовых затрат. Нет стандартной базы знаний и независимых общепринятых методик расчета. Оценивая приемлемую степень риска, можно использовать диаграмму, подобную приведенной на рисунке 1. Красный угол соответствует максимальной степени риска.

Рисунок 1. Оценка приемлемой степени риска

При этом следует учесть, что качественные характеристики, такие, как потеря имиджа фирмы, могут зачастую означать потерю бизнеса. Например, сколь крупной ни была система CardSystems Solutions (процессинговая служба, с которой работали, например, MasterCard и Visa), пережить падение репутации, связанное с утерей информации о 40 млн. кредитных карт в 2005 году, даже ей оказалось не под силу. Справедливости ради стоит сказать, что CardSystems Solutions имеет систему безопасности лучшую, чем многие другие организации. Но для финансовых систем даже угроза потери имиджа может повлечь за собой серьезные потери.

Для качественного анализа необходимо проанализировать источники угроз, систематизировать их по степени возможных потерь, а необходимые контрмеры ранжировать по степени их эффективности.

При оценке инвестиций в систему безопасности учитываются как начальные инвестиции, так и стоимость обслуживания/поддержки. Чем выше начальные затраты на построение информационной системы, тем обычно меньше операционные расходы. Например, хорошо спроектированная система работы с инцидентами позволяет в дальнейшем экономить на организационных и административных расходах, а система бесперебойного питания защищает дорогостоящее оборудование от выхода из строя. Но и здесь бизнес диктует свои законы (см. рис. 2). Если бизнес носит долгосрочный характер, то дешевле идти по пути бо,льших начальных инвестиций (желтая линия), если краткосрочный, то можно ориентироваться на бо,льшие ежегодные расходы по поддержанию и развитию системы (синяя линия).

Рисунок 2. Планирование затрат на ИТ

Рассматривая, как строят системы информационной безопасности, можно увидеть, что большинство малых и средних организаций идет по пути минимальных инвестиций в управление рисками, используя антивирусную защиту, доменную аутентификацию, защиту периметра сети и систему архивирования.

Крупные организации, имеющие дело с государственной тайной или оперирующие большими денежными суммами, стремятся организовать у себя единую корпоративную систему управления идентификацией, аутентификацией и доступом. Именно такая система позволяет реализовать основную задачу информационной безопасности: критичные данные должны быть доступны только уполномоченным лицам, только тем способом, который разрешен политикой безопасности, и только с помощью средств, определенных политикой безопасности.

Другим важным направлением минимизации рисков является корпоративная система мониторинга и сквозного аудита всех систем, интегрируемая с системой обработки инцидентов. Это позволяет реализовать другой важный принцип: «Предотвращение — это цель, но мониторинг — необходимость».

Управление рисками — стратегия ИТ

При управлении рисками стоит, учитывая подконтрольность информационных технологий задачам бизнеса, соблюдать комфортный уровень безопасности, не в ущерб функциональности. При этом ИТ-служба рассматривается как производственное звено, для которого основными являются такие характеристики, как управляемость, гибкость, эффективность и соблюдение стандартов и законов. Управление рисками — не проблема только администраторов, а в первую очередь — одна из основных задач всей организации.

Из основных методов реализации комплексной системы управления рисками следует выделить следующие:

  • эффективное управление ИТ-инфраструктурой (безопасность начинается с порядка);
  • управление процессами информационной безопасности;
  • управление зависимостью от сторонних продуктов и аутсорсинга;
  • управление идентификацией, авторизацией и доступом с распределением ролей и сквозной отчетностью;
  • обеспечение целостности данных;
  • обеспечение конфиденциальности критичной информации;
  • превентивное планирование доступности систем и сервисов;
  • обеспечение комплексной и прозрачной работы с инцидентами.

Для этого должны быть реализованы:

  • корпоративная политика персональной ответственности;
  • гарантия отсутствия неавторизованного доступа;
  • регулярная проверка средств обеспечения безопасности;
  • исключение зависимости от одного человека. Например, не должно быть возможности провести или исправить банковскую
  • транзакцию в одиночку;
  • минимизация наличия критической информации на персональных компьютерах, особенно мобильных;
  • классификация данных и систем с точки зрения безопасности и рисков;
  • антивирусная и сетевая защита;
  • тренинг сотрудников.

http://www.cio-world.ru


Нравится статья? Поделитесь с друзьями, нажав на кнопки соцсетей! Спасибо!





<<< Обсудить на форуме  |  Все статьи >>>



 
О проекте Конфиденциальность Реклама на портале Форум Карта сайта  
Copyright © 2006 - 2024 ITSMONLINE.RU All rights reserved