публикации за безопасност

Информация риск - риск е рискът от загуба или повреда в резултат на използването на информационните технологии компания. С други думи, ИТ рискове, свързани с творчество, пренос, съхранение и използване на информацията чрез електронни медии и други средства за комуникация.

Работата по минимизиране на ИТ рисковете е да се предотврати неоторизиран достъп до данни, както и аварии и откази на оборудване. Процесът на минимизиране на ИТ рисковете трябва да се разглежда комплексно: първо, идентифициране на потенциални проблеми, а след това се определя, по какъв начин те могат да бъдат решени.

На практика, начина за определяне на IT-рискове не се различават от всички други начини за определяне на риска: 1. Картите на риска са изготвени събира експертни становища и др ...

Определяне на най-критичните информационни рискове може да бъде по-прост начин - като отговорите на следните въпроси.
  1. Може контрол на достъп на компанията до информационни системи, което се формира и финансовите отчети се съхраняват?
  2. Направете клиентите имат необходимата информация подкрепата, оказвана, което е, дали те могат в точното време, за да ни се обадите или да се свържете по електронната поща?
  3. Дали компанията в краткосрочен план да се интегрират съществуващите технологии с предприятието информационната система е предмет на сливане или придобиване?
Например, компанията работи един или повече счетоводни системи, чрез които финансистите да получат данни за изготвяне на консолидирани финансови отчети. При закупуване на ново предприятие е разкрито, че той инсталирането на друга счетоводна система. Ето защо, компанията трябва да има ясен план за превръщането на подобни изказвания в стандартите, приети от предприятието майка. В противен случай, тя може да загуби оперативния контрол на ситуацията.
  • Има ли организация документ на компанията в съществуващите системи да продължи работата си, както обикновено, в случая с напускането на ключови служители?

    Този въпрос е изключително спешно за български фирми, като дори на финансовата и счетоводната информация често се въвеждат и съхраняват под всякаква форма, да не говорим за информация, свързана с клиентите си, и така нататък. Н. Това води до допълнителни разходи на време нов персонал на "влизане" в люлка на нещата и увеличава вероятността от грешки.
  • дали защитата на интелектуалната собственост, предоставена от компанията и нейните клиенти?
  • Има ли компанията ясна последователност от действия при спешни случаи, например в случай на неизправност на компютърни мрежи или вирусни атаки?
  • Има ли начин на експлоатация на информационните системи на общи цели на компанията? (Ако дружеството трябва да имат една обща цел на център за управление на паричните потоци и счетоводни системи, установени в различните клонове не са свързани, на тези проблеми се решават).

    • Pinpoint възможни повреди от по-голямата част от ИТ рискове е трудно, но да се оцени тях е възможно.

    Личен опит: Владимир Исаев, генерален директор на "Pharmster" (София)

    Когато проектобюджета на Съвета на директорите на защитата, че трябва да се докаже рентабилността на инсталирането на антивирусна система. За да направите това, аз изчислява приблизителните загуби, понесени от фирмата по време на проникването на вируса в компютърна мрежа. Като се има предвид нивото на компютърна грамотност на персонала, вероятността, че служител ще отвори "подозрителен" буквата и тичам на вируса е 30%. Честотата, с която да получавате поща от вируси, също може да се определи - тези данни са публикувани в много компютърни списания. За пълна мрежа възстановяване след вирусна атака нашите IT-услуги се нуждаят от един или два дни. По този начин, цената на възстановителните работи са съставени от заплатите на ИТ-специалист за тези два дни, разходите, свързани с спиране на работата, както и от средната печалба, която компанията ще получи по-малко през това време. Когато членовете на борда са видели как тези разходи надвишават разходите за антивирусен софтуер, въпросът за целесъобразността на покупателната изчезна.

    Как да се сведат до минимум рисковете IT-

    Както показва опитът на много български фирми на най-успешната стратегия за превенция на ИТ риска се основава на три основни правила.

    Правило номер 1. Служителите на достъп до информационните системи и документите на компанията трябва да се променя в зависимост от важността и поверителността на съдържанието на документа.

    Правило номер 2. Дружеството трябва да се контролира достъпа до информация и да се гарантира защитата на уязвими места на информационни системи.

    Правило номер 3. Информационни системи, от която зависи пряко от дейността на компанията (стратегически линии за комуникация, документи, архиви, компютърна мрежа) трябва да вървят гладко дори и в случай на криза.

    Вадим Корнееев, ръководител на приемане факторинг технология AB "IBG NIKoil" (София)

    За да споделите нашите данни за клиенти през обществени мрежи като Интернет, ние сме разпределени отделен сървър. Тя копира данни от първичния сървър, така че дори не можем да отблъсне нападателите, те няма да получат достъп до вътрешна информация на компанията, както и за електронни архиви, които се съхраняват на медии, които нямат достъп до Интернет. Клиент достъп до данните, предоставени от различните степени на защита, което гарантира поверителността и надеждността на предаваната информация. По мое мнение, това ниво на сигурност е приемлива за тази система на ниво.

    Дмитри Волов, ИТ директор на "Empils" (Ростов на Дон)

    Резултатът е матрица на информационните потоци, всяко ниво на което съответства на определено ниво на достъп.

    Разработване на нормативни актове, свързани с информационната сигурност, е била повторно инженерния отдел и стандартизиране на бизнес процесите. Въз основа на тези разпоредби всеки ръководител на единични форми за своите служители длъжностни характеристики и правоприемници, които отговарят за спазването на сигурността на информацията в рамките на тяхната единица.

    Техническата работа по сигурността на информацията е важно дублирането на функции, които влияят на безопасността и целостта на информацията и непрекъснатост на компанията (например инсталирането на резервни сървъри, системи за архивиране). За да се намали риска от недостатъци, ние използваме само оборудване от надеждни производители. Разходи се окаже оправдан, тъй като загубата на времето за престой на информационни системи в продължение на няколко часа, многократно надвишава цената им, както и загубата на информация като цяло може да парализира работата на предприятието.

    Информационна сигурност - е, на първо място, въпросът за ефективност за парите си, така да се разходите за отбрана не трябва да надвишава размера на евентуални повреди.

    Тъй като всеки от разходите за превенция на риска трябва да бъде обосновано, че е наложително да се изчисли тяхната рентабилност. Изчисляването на ефективността и обосновка на разходите за заседанието на бюджетната комисия е бил мениджър на който се интересува от намаляване на риска.

    За да се осигури необходимата защита от рисковете, IT-сигурност и контрол могат да се извършват следните дейности.
    1. Идентифицирайте лица, отговорни за сигурността на информацията, установи правила, които ще бъдат описани действията на персонала на фирмата, насочени към предотвратяване на ИТ риска, както и осигуряване на резервно захранване за работа в критична ситуация.
    2. Да се ​​разработят единни стандарти за информационни системи в рамките на организацията, което е, превключвател с един в отчетните форми, както и единни правила за изчисляване на показателите, които ще се използват във всички продукти на компанията, които се използват за тази цел.
    3. Класирайте данни в съответствие със степента на поверителност и да се направи разграничение между правото на достъп до тях.
    4. Уверете се, че всички документи, които се движат в рамките на организацията, създадена с помощта на системи за централно, инсталирани на компютрите. Монтаж на друг софтуер трябва да бъдат разрешени, в противен случай рискът от катастрофи и вирусни атаки ще се увеличи драстично.
    5. Прилагане на средства за мониторинг, да се следи състоянието на всички корпоративни системи в случай на нерегламентиран достъп или система трябва автоматично да забраняват въвеждането или да сигнализират за опасност за персонала могат да предприемат действия.
    В допълнение към тези мерки е необходимо да се подготвят за последиците от евентуални кризисни ситуации и да се опишат действията на компанията за преодоляване на кризата. За да направите това:
    • анализират сценарии проникване или без подходящи служители орган към вътрешната информационна мрежа, както и за провеждане на дейности за обучение, за да се развие поведение на служителите, отговарящи за сигурността на информацията при кризисни ситуации;
    • разработване на решения на проблемите, свързани с персонала, включително грижи за ключови служители на компанията, като се направи и да се запознаят с персонала плана за управление на непрекъснатостта на предприятието;
    • Информация, която да подготви резервен капацитет (сървъри, компютри), както и връзката архивиране.

    Ако бизнесът на компанията до голяма степен зависи от състоянието на своите информационни мрежи (например, компаниите, участващи в разработката на софтуер), е необходимо да се назначава лице, което отговаря за правилата за разработването, изпълнението и мониторинга на корпоративното представяне насочени към намаляване на ИТ рискове. Желателно е, че такъв координатор е имал отношение към компанията IT-структура (например, главен изпълнителен директор).

    Смята се, че един служител, който не е пряко свързана с информационните технологии, ще бъде най-цел в организирането на събития в управлението на риска. Неговото дело трябва да се оценява с помощта на измерими показатели, например, докато Отстраняване на сървъра не трябва да надвишава 30 минути, или честотата на тези неуспехи не трябва да бъде по-висока от два пъти годишно.

    Необходимо условие за успешно управление на риска в областта на информационните технологии е неговата непрекъснатост. Ето защо, оценката на ИТ рисковете и да се разработят и актуализират плановете за свеждане до минимум на тях трябва да се извършва на равни интервали, като например веднъж на тримесечие. Периодичната проверка на системата за информация (одитна информация), държани от независими експерти, допълнително ще допринесе за минимизиране на рисковете.