Проанализированы наиболее значимые информационные риски ИТ. Произведена категоризация ИТ-рисков. Представлен процесс организации процесса минимизации рисков. Охарактеризованы основные правила минимизации ИТ-рисков. Представлен комплекс мер по минимизации ИТ-рисков.
Обеспечение информационной безопасности – одна из главных задач современного предприятия. Угрозу могут представлять не только технические сбои, но и несогласованность данных в различных учетных системах, которая встречается едва ли не у каждой второй компании, а также неограниченный доступ сотрудников к информации.
Кроме этого ещё более серьезную угрозу могут представлять любые форс-мажорные обстоятельства (пожары, затопления), несущие катастрофические последствия для существования бизнеса.
Информационные риски – это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, ИТ-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.
ИТ-риски можно разделить на две категории:
- риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
- риски технических сбоев работы аппаратного и программного обеспечения, каналов передачи информации, которые могут привести к убыткам.
Работа по минимизации ИТ-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования и программного обеспечения.
Процесс минимизации ИТ-рисков:
- Выявление возможных проблемы, а затем определение способов их решения.
- Определение сроков интеграции новых технологий при необходимости, по причине преобразования или слияния организации.
- Оптимизация бизнес-процессов организации.
- Обеспечение защиты интеллектуальной собственности организации и ее клиентов.
- Разработка порядка действий при форс-мажорных обстоятельствах.
- Определение фактических потребностей информационных ресурсов.
Некоторые способы минимизации рисков:
Для обеспечения необходимой защиты от ИТ-рисков и контроля безопасности можно провести следующие мероприятия.
Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала компании, направленные на предотвращение ИТ-рисков, а также обеспечить резервные мощности для работы в критической ситуации.
Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах компании, используемых для этой цели.
Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.
Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.
Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.
Разработать и создать систему, позволяющую оперативно восстановить работоспособность ИТ- инфраструктуры при технических сбоях.
Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия компании по выходу из кризиса.
Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Поэтому оценка ИТ-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.
В заключение отметим, что разработка и реализация политики по минимизации ИТ-рисков не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению ИТ-безопасности должна быть комплексной и продуманной.
Библиографическая ссылка
Исаев И.В. ИТ РИСКИ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ // Современные наукоемкие технологии. – 2014. – № 7-1. – С. 184-184;URL: https://top-technologies.ru/ru/article/view?id=34276 (дата обращения: 22.11.2024).