Автор: OOO "Вердикт"
Интернет-технологии и перевод данных в электронный вид за последние 15 лет проникли во все сферы деятельности. Включая экономику, финансы, бизнес. Это поистине беспрецедентный процесс. Однако еще в доинтернетовскую эпоху каждая фирма имела набор особо важных и охраняемых данных: персональные данные своих клиентов, данные их счетов, информация о собственных активах, капиталах, стратегиях. Всеобщая компьютеризация привела к тому, что те же самые данные перешли в электронную форму. А значит, функцию сейфа теперь должны выполнять программные алгоритмы безопасности.
Кроме того, интеллектуальная собственность стала базовой основой. Речь о разнообразном программном обеспечении, торговых знаках, рынке ценных бумаг (на сегодняшний день функционирует в виртуальном пространстве), утилитарных экономических и финансовых моделях и т.п. Интеллектуальная собственность является информацией. Многие фирмы в своей профессиональной деятельности напрямую или косвенно имеют дело с интеллектуальной собственностью. А значит, для них встаёт вопрос защиты информации.
Защита информации, обеспечение информационной безопасности - это сложная, многогранная, многоступенчатая задача. Для реализации данной защиты компании практически всегда обращаются к специализированным фирмам. В основном, это сегмент IT-технологий и юридическая сфера. Основные направления работы IT-сегмента в области информационной безопасности:
Указанные направления формируют триаду CIA. Однако сегодня выделяют ещё несколько направлений:
Специалисты сторонних фирм в своей работе придерживаются стратегии управления рисками. Управление рисками есть отдельное ответвление в науке информационной безопасности. Говоря кратко, это минимизация наступления рисковых ситуаций и минимизация издержек от тех, которых избежать невозможно. Каждая компания, занимаясь управлением рисками, начинать должна с определения, что для компании следует считать риском. Допустимо полагать, что это любая ситуация, когда не происходит наступления ожидаемого результата.
Можно понимать под риском любые издержки, превышающие стандартные неизбежные расходы при функционировании компании. Наконец, под риском можно считать только то, что способно хотя бы на какое-то время нарушить нормальный ритм работы организации. Но, как правило, на одном определении не останавливаются - риски градуируют. Здесь многое зависит от политики учредителя или совета директоров компании. Какие-то фирмы одной из своих целей полагают риски, другие всячески их избегают. Управление рисками строится на 4 пунктах:
С помощью управления рисками строится такой важный элемент информационной безопасности как матрица угроз. Матрица угроз - это совокупность наиболее базовых факторов, которые способны провоцировать множество разнообразных рисков. Причём одни риски более вероятны, другие менее. Например, фирма занимается оборотом промышленной недвижимости. И со следующего года ожидаются серьезные ужесточения в налоговой сфере для таких субъектов экономической деятельности. Дополнительно ожидается приток на местный региональный рынок новых компаний, специализирующихся на недвижимости. На основании этих условий может быть построена матрица угроз для отдельно взятой фирмы. Что касается информационной безопасности, то здесь в качестве основных матриц угроз на сегодня выступают следующие области:
На самом деле стратегий и тактик невероятно много, и продолжают разрабатываться новые. Это неудивительно, поскольку злоумышленникам всегда требуется найти в защите лишь одну брешь, а тем, кто строит защиту, нужно учитывать все бреши. Т.е. задача на порядок сложнее. В целом, выделяют четыре больших классических варианта:
Однако любой фирме для конкурентоспособности жизненно необходимо хоть иногда рисковать.