Современные информационные технологии имеют большое значение во всех отраслях бизнеса. Обеспечение информационной безопасности (ИБ) – необходимый аспект бесперебойной работы информационной системы любой организации, будь то коммерческое, общественное или государственное предприятие.
Обеспокоенность внутренними угрозами информационной безопасности обоснована. Госструктуры и представители бизнес-сектора ставят на первое место утечку информации далеко не случайно, так как негативные последствия этого инцидента очевидны: прямые финансовые убытки, удар по репутации, потеря клиентов. Сравнение индексов обеспокоенности внутренними и внешними угрозами ИБ показывает, что именно инсайдерские риски превалируют в списке наиболее опасных угроз. Более того, наибольший рейтинг опасности приходится на утечку конфиденциальной информации.
Согласно данным портала информационной безопасности Content Security степень опасности внутренних и внешних угроз такова:
• разглашение (излишняя болтливость сотрудников) – 32%;
• несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок – 24%;
• отсутствие в фирме надлежащего контроля и жестких условий обеспечения информационной безопасности – 14%;
• традиционный обмен производственным опытом – 12%;
• бесконтрольное использование информационных систем – 10%
• наличие предпосылок возникновения среди сотрудников конфликтных ситуаций, связанных с отсутствием высокой трудовой дисциплины, психологической несовместимостью, случайным подбором кадров, слабой работой кадров по сплочению коллектива – 8%.
Наиболее актуальными и значимыми, как это ни печально, оказываются угрозы, источником которых выступают пользователи системы и ее обслуживающий персонал, то есть сотрудники компаний. Такая тенденция подтверждается не только различными исследованиями крупнейших аудиторских компаний, но и отмечается в ежегодных докладах МВД России, посвященных правонарушениям в сфере информационной безопасности.
В качестве примера можно привести «утечку» клиентской базы в компанию-конкурент вместе с сотрудниками. По неофициальной информации, с такой проблемой столкнулся филиал крупного коммерческого банка в Воронеже, когда в конце 2009 года ряд сотрудников перешли работать в Воронежский филиал Банка «Поволжский», забрав с собой клиентскую базу предыдущего работодателя. И клиенты старого банка с назойливой регулярностью начали получать предложения от нового банка. Это может привести к оттоку клиентов, возможным судебным тяжбам и, конечно же, удару по репутации банка.
Поэтому компаниям, которые пытаются надежно защитить свою информацию, в первую очередь необходимо обратить внимание не на технические или программно-аппаратные меры, а прежде всего, проводить активную внутриорганизационную работу, как с пользователями, так и с обслуживающим персоналом информационных систем.
Для достижения эффективного результата необходима реализация совокупности (комплекса) мер, таких, как внедрение добавочных средств защиты, обеспечение необходимых организационных мероприятий, включающих подготовку и обучение администраторов безопасности, определение организационной структуры, разработку нормативной базы обеспечения информационной безопасности на предприятии, разработку плана внедрения и обслуживания систем информатизации и защиты информации и т.д.
Комплекс мероприятий по обеспечению информационной безопасности начинается с проведения аудита информационной безопасности организации. В результате его проведения, необходимо получить ответы на следующие вопросы:
• Каковы угрозы информационной безопасности организации существуют и какова степень актуальности в зависимости от угрозы?
• Какие проблемы в области обеспечения информационной безопасности существуют на техническом и организационном уровнях?
• Что необходимо сделать для устранения выявленных проблем и построения защищенной информационной системы организации?
После проведения аудита идет этап разработки политики информационной безопасности предприятия, которая производится на базе полученных результатов. Политика информационной безопасности представляет собой систематизированное изложение целей и задач защиты, основных принципов и способов достижения требуемого уровня безопасности информации.
Политика безопасности послужит вам основой для формирования и реализации единой политики в области обеспечения информационной безопасности, а также принятия решений по внедрению систем защиты информации. Кроме того, она послужит созданию и применению мер нормативно-правового и организационного характера, направленных на выявление и ликвидацию последствий реализации различных видов угроз информационной безопасности.
