Ризики інформаційної безпеки для власників бізнесу



Вступ
Одним з ключових інтересів власника бізнесу є збереження та за можливості збільшення цінності керованої ним компанії. Уповільнюють, зменшують або навіть зводять до нуля цю цінність ризики, в усвідомленому управлінні якими і полягає талант комерсанта.

Історично фінансові та операційні ризики є значущими як для інтересів власників фінансових організацій в цілому, так і для найманих ними її керівників зокрема. Це змушує останніх приділяти пильну увагу і великі зусилля з оцінки, контролю і мінімізації цих ризиків.

В останні два десятиліття з'явилися нові, так само значущі, але поки що випадають з області уваги цих осіб ризики — ризики інформаційної безпеки, про яких піде мова під катом

Стан справ
Діяльність практично будь-якої сучасної комерційної організації здебільшого автоматизована. По суті, організація являє собою людино-машинну систему, що забезпечує виконання функцій по взаємодії з її клієнтами (фізичними і юридичними особами) та контролюючими органами (як державними, так і у вигляді міжнародних галузевих регуляторів).

Машинну складову цієї системи називають автоматизованою системою організації: канали зв'язку, засоби обчислювальної техніки, системне, прикладне програмне забезпечення… все це зберігає, обробляє і передає нематеріальні інформаційні активи, вартість яких найчастіше на порядки перевищує вартість самої автоматизованої системи.

Порушення властивостей конфіденційності, цілісності або доступності цих активів завжди призводить до відчутного, а часом до неприйнятного збитку (матеріального, репутаційного та ін) інтересам власника і керівника. Це робить їх уразливими, і що найважливіше, про цю уразливість вони дізнаються постфактум.



Постановка проблеми
Деякий час тому в одному з комерційних банків проводилася оцінка ризиків інформаційної безпеки. Зокрема був оцінений збиток, у разі простою центру обробки даних з широкого списку причин (пожежа, затоплення, відмова обладнання/програмного забезпечення, вихід з ладу каналів зв'язку, дії обслуговуючого персоналу/зловмисників тощо). Було виявлено, що якщо процесинговий центр не працює 2 тижні, банку наноситься неприйнятний збиток такого масштабу, що дешевше відкрити новий банк, ніж реанімувати існуючий. А адже мова йде про порушення лише одного з трьох властивостей інформаційних активів організації — доступності.

Якої шкоди завдасть втрата цілісності критичних даних, якщо в результаті атаки на систему інтернет-банк-клієнт буде спотворена інформація про залишки на рахунках клієнтів? Якої шкоди завдасть порушення конфіденційності у разі, якщо контролюючі органи отримають доступ до оперативного обліку організації? Може призвести до цих подій недбалість найманих працівників, змова обслуговує автоматизовану систему персоналу або «замовлення» конкурентів? Відповідь: звичайно може.

Також треба враховувати, що цілий ряд компаній, провідних міжнародну діяльність, потрапляє під дію національних законів (CA-SB1386, European Union Data Protection Directive, Basel II/III та ін) і вимог міжнародних регуляторів (PCI-DSS та ін)

Значною мірою це вимоги до забезпечення конфіденційності, цілісності і доступності інформаційних активів, оброблюваних людино-машинною системою організації. При порушенні вимог деяких законів/регуляторів, існує, крім штрафних санкцій для організації, персональна, аж до кримінальної, відповідальність керівного складу. Країни СНД, хоч і з запізненням, послідовно посилюють адміністративне і кримінальне законодавство, приймаючи «аналоги» американських або європейських норм — наприклад, закони про захист персональних даних.
Саме тому керівники шукають джерела інформації про ці ризики.



Приклад
Серед усього різноманіття виділимо ризики для безперервності (Business Continuity) бізнесу, пов'язані з порушенням властивості доступності.

Для їх оцінки треба зрозуміти, які бізнес-процеси в нашій організації найбільш критичними, а які менше (Business Impact Analysis). Що може зупинити ці процеси (загрози та їх джерела у вигляді людей і природних явищ) і як мінімізувати ймовірність цієї загрози?

Як мінімізувати шкоду, якщо вони все-таки зупиняться?

Потрібно застосувати методологію — Business Continuity Management, що описує:
• як готуватися до цих подій (резервне копіювання критичних даних, резервні Цод, регулярне навчання співробітників і ін)
• як продовжувати функціонувати деградированном режимі (під час і відразу після пожежі, відключення електрики/каналів зв'язку, втрати персоналу в результаті пандемії тощо)
• як гарантувати власнику прийнятний для нього збиток від реалізації цього події (в гіршому випадку втратимо транзакції за останні 2 години)
• як гарантувати, що бізнес буде відновлено за строго певний період часу (через 24 години після повного знищення Цод в результаті пожежі банк продовжить роботу)

В якості прикладу візьмемо відому транснаціональну корпорацію. Діюча в ній система управління безперервністю бізнесу зобов'язує раз в місяць імітувати катастрофу. Є основний офіс компанії та центр обробки даних. Раз на місяць працівники відпрацьовують переїзд в резервний офіс і переклад функцій автоматизованої системи в резервний центр обробки даних. Таким чином, вони можуть продовжувати роботу і виконувати зобов'язання перед контрагентами навіть у випадку повного знищення офісу/Цод і втрати значної частини персоналу. Схожим чином організована робота і її конкурентів.

Рішення
Останні 15 років джерелом інформації про ризики для власників бізнесу і керівників вищої ланки є безперервний внутрішній і регулярний зовнішній інтегрований аудит (оцінюються фінансові, операційні ризики, і разом з ними — ризики інформаційної безпеки), що дає єдину оцінку всіх взаємопов'язаних ризиків для організації.

Це дозволяє економічно обґрунтувати необхідність розробки та впровадження комплексу заходів по забезпеченню безпеки в організації:
• Організаційних
• Фізичних
• Технічних
• Технологічних
• Морально-етичних
• Правових

Комплекс заходів дозволяє усвідомлено управляти ризиками:
• приймаючи їх (наприклад, бізнес використовує неліцензійне ПЗ, але в разі можливого рейду контролюючих органів точно знає розмір збитку)
• уникаючи їх (не будемо надавати послугу інтернет-банк-клієнт, так як гарантовано понесемо неприйнятний збиток в результаті реалізації шахрайських схем)
• мінімізуючи їх (побудуємо резервний центр обробки даних і регулярно тренувати персонал на випадок повного знищення основного)
• переносячи ризики на інших (скористаємося послугами страхової компанії)

Для проведення аудиту, розробки і впровадження адекватної наявним ризикам комплексу заходів керівники залучають колективи фахівців, відповідні наступного набору вимог:
• успішне виконання проектів по створенню автоматизованих систем в захищеному виконанні
• об'єктивно підтверджена кваліфікація
• лояльність інтересам Замовника
• прийнятна вартість послуг колективу

Перше вимогу можна виконати, маючи справу з колективами, займаються потоковим створенням автоматизованих систем в захищеному виконанні для різноманітних Замовників. Як правило, це працівники компаній системних інтеграторів У них є практичні знання, навички, відпрацьована методика створення та обслуговування систем захисту у відповідності з вимогами різноманітних законів/регуляторів.

Другого вимогу відповідають фахівці, що ведуть активну діяльність у сфері ІБ і мають міжнародно-визнані сертифікації (CISA, CISM, CISSP) таких організацій як ISACA (найбільша професійна асоціація аудиторів) і (ISC)2 (провідний міжнародний консорціум фахівців з інформаційної безпеки).

Третя вимога вступає в конфлікт з першим, так як лояльність і, як наслідок, довіру власників, необхідне для отримання доступу до секретної інформації бізнесу, зазвичай досягається тільки при включенні цих співробітників у штат. Що в свою чергу економічно недоцільно і конфліктує з четвертим вимогою.



Висновки

Наступив в країні важкий період значно збільшив всі види ризиків для компаній. Практично у всіх галузях посилюється конкуренція і терміни «промислове шпигунство», «саботаж» або «киберугроза» стають прозою життя навіть для далеких від інформаційних технологій власників бізнесу. Держава в свою чергу все більше посилює законодавство (в першу чергу податкове) і в особі контролюючих органів все жорсткіше контролює його виконання, тим самим ускладнюючи ситуацію в цілому.

Тому адекватним є рішення про залучення на контрактній основі (з юридично значущим угодою про нерозголошення) або виховання зі своїх співробітників експертів з необхідним досвідом в системній інтеграції і міжнародно-визнаними сертифікаційними статусами.

Маючи прямий доступ до керівництва організації, такий експерт зможе адекватно оцінювати ризики, розробляти, обґрунтовувати бюджету на заходи щодо забезпечення безпеки, які буде реалізовувати як силами організації, так і з допомогою залучених ззовні підрядників (системних інтеграторів), не допускаючи їх до секретів організації. Експерт буде лояльний і підконтрольний керівництву допомогою системи об'єктивних показників захищеності компанії, з визначення яких він почне свою роботу.

В кінцевому підсумку наявність такого надійного джерела інформації дозволить керівництву приймати більш правильні стратегічні і тактичні рішення при управлінні організацією та мати гарантії дотримання ключових інтересів власників бізнесу.

Автор: Кузьма Пашков





Курси, які веде автор
Каталог всіх рішень і сервісів дистриб'ютора МУК
УЦ МУК у Фейсбуці;
Повний каталог курсів на базі УЦ МУК + бонусна програма

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.