Источник: Экономическое обозрение
Автор: Александр Кашубин

Проблемам информационной безопасности, и в частности IT-безопасности, современное бизнес-сообщество уделяет значительное внимание. А как же без этого? Вовремя полученная или не вовремя потерянная информация может оказать судьбоносное влияние на развитие бизнеса и душевное благополучие бизнесмена.

В эпоху UNIX особое развитие получает промышленный шпионаж, кража интеллектуальных активов. Информационный терроризм охватывает широкий спектр потенциалов – от попыток взлома корпоративной сети «доморощенными хакерами» – враждебными и нелояльными сотрудниками до высокотехнологичного шпионажа и саботажа с колоссальными вложениями сил и средств.

Такое положение дел, естественно, повышает интерес к построению систем комплексной безопасности. Многие организации сознательно пришли к необходимости построения таких систем, но, как правило, не знают, с чего начать. Ситуация осложняется тем, что во многих компаниях единый IT-бюджет, в частности расходы на закупку оборудования, программного обеспечения, кофе и печенья для сисадминов, ориентирован на повышение производительности и гонку за количеством операций с плавающей запятой в секунду (FLOPS, Floating Рoint Operations Per Second). При таком подходе информационная безопасность финансируется по остаточному принципу.

Выборочная, несогласованная реализация механизмов обеспечения безопасности не даст никаких результатов. С чего же начать? Необходимо сформировать систему ценностей и приоритетов в деле повышения безопасности. Механизм управления рисками позволит сконцентрироваться на наиболее уязвимых участках и оптимизировать интеллектуальные, человеческие и материальные затраты. Построение подобной системы управления рисками не единоразовый проект, а комплексный, бесконечный (ведь совершенству нет предела!) процесс, направленный на устранение рисков и уязвимостей в информационном окружении компании.

Для создания эффективной системы предупреждения фатальных инцидентов следует провести аудит интеллектуальных активов компании: описать бизнес-процессы фирмы, выделить и классифицировать риски. Нужно установить некий порог, превышение которого будет однозначно сигнализировать о необходимости управлять данным риском.

Существует несколько подходов к построению системы управления рисками, однако стандартом де-факто в настоящее время является метод CRAMM (UK Goverment Risk Analysis and Managment Method), который был разработан Службой безопасности Великобритании (UK Security Service) и с 1985 года используется коммерческими и государственными структурами Соединенного Королевства и всего мира. Одним из важных моментов в работе по методу CRAMM является экономическое обоснование расходов организации на обеспечение информационной безопасности.

Сформировав базу возможных рисков, с количественными и качественными индикаторами ущерба и возможностями управления угрозами, перед компанией встает другой вопрос: насколько целесообразно защищаться абсолютно от всех возможных угроз? Чтобы ответить на него, необходимо определить перечень наиболее важных, к минимизации которых следует приступить немедленно. Речь идет об адекватном анализе и понимании того, какие риски организация готова взять на себя и каким угрозам она подвергается в действительности. Что же делать с остальными рисками? Тут имеет значение четкая грань целесообразности управления оставшимися рисками, ведь зачастую расходы по минимизации риска могут быть в разы больше, нежели ущерб от предотвращаемой угрозы. Для определения такой границы критически важно понять суть угрозы, комплексно проанализировать возможный инцидент.

Главное не перегнуть палку в строгости реализации подобной системы. Если плясать от запретительной политики, то вполне возможно, что неудобства, доставленные сотрудникам от такой реализации, существенно превысят все выгоды, а система окажется лишь «для галочки».

Комплексный организационный подход, эффективный анализ, оценка рисков – залог построения безопасной информационной среды. Процесс этот непрерывный, от которого во многом зависит успех бизнеса, поэтому чуткое руководство, мотивация сотрудников, формирование корпоративной культуры являются немаловажными факторами институциональной устойчивости организации.