Разработка модели оценки рисков информационной безопасности корпоративной сети
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?риятия по IT-безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы. Оценка IT-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал.
Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков. В заключение отметим, что разработка и реализация политики по минимизации IT-рисков не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности должна быть комплексной и продуманной. В заключение следует отметить, что построение эффективной системы IT-безопасности в компании - сложный и непрерывный процесс, от которого зависит жизнеспособность бизнеса. Для грамотного построения такой системы надо привлекать к участию в ее создании топ-менеджмент, IT-специалистов, консультантов по данной тематике, технических экспертов.
3. Разработка модели оценки рисков по безопасности корпоративной информации
3.1 Первичное управление безопасностью на современных предприятиях
Повсеместное внедрение информационных технологий в структуры современных организаций стало объективной реальностью. На всех управленческих уровнях есть необходимость и возможность расширить свои коммуникационные и информационные возможности за счет внедрения современных информационных технологий. В результате информационные структуры организаций разрастаются: локальные сети организаций подключаются к Internet, объединяются в офисные многоярусные структуры, разрастаются до уровня распределенных корпоративных сетей. Внедрение средств вычислительной техники в структуру управления современных предприятий и организаций является, безусловно, передовым процессом, поэтому вполне объяснимо, что до определенного момента не возникает вопросов и опасений, связанных с использованием информационных технологий[36].
Эволюция вычислительных технологий постоянно ускоряется, руководителям предприятий приходится отслеживать новые тенденции, принимать решения, связанные с обновлением инфраструктуры информационных технологий. Новые технологии приводят к появлению новых способов организации дальнейшей работы, а также служат источниками новых услуг
Следствием этого часто является стихийный рост информационной инфраструктуры предприятия, которая по мере приобретения средств вычислительной техники разрастается вширь, приобретая неструктурированный гетерогенный характер. Это, в свою очередь, приводит к неконтролируемому росту уязвимостей системы и увеличению возможностей доступа к управленческой, коммерческой и производственной информации со стороны внешних и внутренних нарушителей. Информационные системы становятся потенциально опасными для своих собственников, своего рода миной замедленного действия. До определенного момента не возникает вопросов и об оценке величины риска, рост которого следует рассматривать как обратную сторону процесса информатизации. Проблема усугубляется тем, что вопросы информационной безопасности, обычно, отдаются на откуп специалистам по информационным технологиям, которые часто не в состоянии определить реальные последствия для организации угроз информационной безопасности [38,39].
Таким образом, в организации часто не оказывается специалиста, который мог бы оценить реальные риски, связанные с использованием информационных технологий, хотя, очевидно, что оценка риска нужна не только с точки зрения безопасности уже определившейся инфраструктуры, но и для точной оценки перспектив применения и развития информационных технологий. Более того, своевременную оценку риска следует рассматривать не только как функцию управления ИС, но и как защиту организации в целом, ее способности выполнять свои функции пусть даже и частично, после восстановления от сбоя. Следовательно, процесс управления рисками следует рассматривать не как техническую функцию, которую можно поручить техническим специалистам, а как основную управляющую функцию организации. Говорить о том, что информационная безопасность (ИБ) стала частью корпоративной культуры, у нас в стране можно с большой натяжкой, не все организации обращают на это внимание или мало выделяют средств на ее обеспечение. Необходимость обеспечения ИБ осознали только крупные компании. Да и они до недавнего времени проблемы безопасности воспринимали исключительно как технические, связанные с внедрением межсетевых экранов, антивирусного программного обеспечения, средств обнаружения вторжений и виртуальных частных сетей.
На самом деле, по рекомендациям исследовательских фирм, от 60 до 80% всех усилий по обеспечению безопасности следует направлять на разработку политики безопасности и сопутствующих ей документов. Почему? Потому, что политика безопасности является самым дешевым и одновременно самым эффективным средством обеспечения информационной безопасности (конечно, если ей следовать). Кроме того, если политика сформулирована, то она является и руководством по развитию и совершенствованию системы защиты[35].
Конкретные продукты и решения по информационной безопасности совершенствуются год от года, интегрируются между соб