Услуги по информационной безопасности

Автор: OOO "Вердикт"

Интернет-технологии и перевод данных в электронный вид за последние 15 лет проникли во все сферы деятельности. Включая экономику, финансы, бизнес. Это поистине беспрецедентный процесс. Однако еще в доинтернетовскую эпоху каждая фирма имела набор особо важных и охраняемых данных: персональные данные своих клиентов, данные их счетов, информация о собственных активах, капиталах, стратегиях. Всеобщая компьютеризация привела к тому, что те же самые данные перешли в электронную форму. А значит, функцию сейфа теперь должны выполнять программные алгоритмы безопасности.

Кроме того, интеллектуальная собственность стала базовой основой. Речь о разнообразном программном обеспечении, торговых знаках, рынке ценных бумаг (на сегодняшний день функционирует в виртуальном пространстве), утилитарных экономических и финансовых моделях и т.п. Интеллектуальная собственность является информацией.  Многие фирмы в своей профессиональной деятельности напрямую или косвенно имеют дело с интеллектуальной собственностью. А значит, для них встаёт вопрос защиты информации.

Требования к информационной безопасности

 Защита информации, обеспечение информационной безопасности - это сложная, многогранная, многоступенчатая задача. Для реализации данной защиты компании практически всегда обращаются к специализированным фирмам. В основном, это сегмент IT-технологий и юридическая сфера. Основные направления работы IT-сегмента в области информационной безопасности:

• сохранность - обеспечение 100%-ой целостности физических носителей и защита от повреждений электронных файлов;
• доступность - каждая часть информации должна быть всегда открыта для соответствующих лиц;
• конфиденциальность - информационная безопасность нужна для той информации, которой не должно быть в свободном доступе, существуют данные, предназначенные только для одного человека, и никто другой не имеет права получать к ним доступ, например, логины и пароли.

Указанные направления формируют триаду CIA. Однако сегодня выделяют ещё несколько направлений:

• подлинность (аутентичность) - при запросе определенного пакета данных он должен на 100% соответствовать ожиданиям;
• невозможность отказа - подтверждение связи между определённым пластом информации и субъектом, который имеет к нему отношение (например, подтверждение банковского счёта);
• подотчетность - субъект, проводящий манипуляции с информацией, предназначенной для него, несет за это ответственность (например, пользователь, стирающий свои персональные данные из какой-либо базы данных).

Специалисты сторонних фирм в своей работе придерживаются стратегии управления рисками. Управление рисками есть отдельное ответвление в науке информационной безопасности. Говоря кратко, это минимизация наступления рисковых ситуаций и минимизация издержек от тех, которых избежать невозможно. Каждая компания, занимаясь управлением рисками, начинать должна с определения, что для компании следует считать риском. Допустимо полагать, что это любая ситуация, когда не происходит наступления ожидаемого результата.

Можно понимать под риском любые издержки, превышающие стандартные неизбежные расходы при функционировании компании. Наконец, под риском можно считать только то, что способно хотя бы на какое-то время нарушить нормальный ритм работы организации. Но, как правило, на одном определении не останавливаются - риски градуируют. Здесь многое зависит от политики учредителя или совета директоров компании. Какие-то фирмы одной из своих целей полагают риски, другие всячески их избегают. Управление рисками строится на 4 пунктах:

• определение и классификация рисков в рамках определённого вида профессиональной деятельности;
• разработка стратегий и тактик избегания и нивелирования этих рисков;
• реализация созданных схем уклонения;
• оценка результатов.

Матрицы угроз и основные векторы работы в сфере информационной безопасности

С помощью управления рисками строится такой важный элемент информационной безопасности как матрица угроз. Матрица угроз - это совокупность наиболее базовых факторов, которые способны провоцировать множество разнообразных рисков. Причём одни риски более вероятны, другие менее. Например, фирма занимается оборотом промышленной недвижимости. И со следующего года ожидаются серьезные ужесточения в налоговой сфере для таких субъектов экономической деятельности. Дополнительно ожидается приток на местный региональный рынок новых компаний, специализирующихся на недвижимости. На основании этих условий может быть построена матрица угроз для отдельно взятой фирмы. Что касается информационной безопасности, то здесь в качестве основных матриц угроз на сегодня выступают следующие области:

• «интернет вещей» (яркий пример: "умный" дом), когда предметы быта с помощью электронной начинки и интернет-протоколов взаимосвязаны между собой и выполняют ряд операций, которые раньше требовали участия человека - основные угрозы исходят из того, что подобные технологии открывают большие перспективы для нелегального сбора персональных данных, включая и слежку;
• цепь поставок - фирма в рамках своей работы передаёт поставщикам пакеты ценной конфиденциальной информации, временно теряя контроль над этой информацией - угрозы формируют сами поставщики, точнее степень их компетентности и добросовестности;
• и конечно, многочисленные варианты хакерства, фишинга, кражи личности и тому подобных вещей.

На самом деле стратегий и тактик невероятно много, и продолжают разрабатываться новые. Это неудивительно, поскольку злоумышленникам всегда требуется найти в защите лишь одну брешь, а тем, кто строит защиту, нужно учитывать все бреши. Т.е. задача на порядок сложнее. В целом, выделяют четыре больших классических варианта:

• метод снижения - усиление мер безопасности, как правило, в количественном отношении;
• метод передачи - очень распространенный вариант, когда от самых вероятных рисков компания страхуется, а со всеми остальными рисками поручает разбираться нанятым со стороны аутсорсинговым компаниям, сюда же входит и юридическая защита в сфере информационной безопасности, это как раз та стезя, которой занимается фирма "Вердикт";
• метод принятия - ещё называют методом "черного дня", когда компания создает различные резервные фонды, выполняющие функции "подушек безопасности" при наступлении форс-мажорных ситуаций;
• метод отказа - самый неконструктивный вариант, заключающийся в простом избегании рисковых ситуаций.

Однако любой фирме для конкурентоспособности жизненно необходимо хоть иногда рисковать.