Сергей Авдошин - Информатизация бизнеса. Управление рисками
Если поставщик не обладает достаточной репутацией, можно порекомендовать начинать сотрудничество с аутсорсером с реализации небольших ИТ-проектов, не критичных для бизнеса.
Хотелось бы отметить, что, помимо рисков, существуют и другие проблемы развития ИТ-аутсорсинга в России. Во-первых, отсутствует правовое поле, нет понятия «аутсорсинг» в законодательстве РФ. Также отсутствуют регламентированная методология, стандарты, ценообразование. Во-вторых, существует достаточно большое взаимное недоверие заказчиков и поставщиков. При этом страхование рисков аутсорсинговых контрактов имеет ограниченную практику. В-третьих, фактически не существует координации усилий государства, бизнеса и заказчиков, обязательной сертификации аутсорсинговых компаний и «покрытия» компетенций, которые могли бы вывести аутсорсинг на существенно новый и качественный уровень.
Глава 6
Риски в обеспечении информационной безопасности
6.1. Понятие информационной безопасности
Зависимость бизнеса от современных информационных технологий огромна. Преимущества их использования очевидны – это хранение и обработка большого количества информации, скорость передачи данных, доступ к информации по всему миру. Развитие информационных технологий с каждым годом усложняет процесс защиты информации. Если в начале 80-х годов защита информации могла быть эффективно обеспечена при помощи специально разработанных организационных мер и программно-аппаратных средств шифрования, в настоящее время информационная безопасность требует более продвинутых средств защиты. Это обусловлено возрастающей сложностью и масштабами программных средств и компьютерных систем, сбором и хранением крупных информационных баз на электронных носителях, доступом к ресурсам компьютерной системы большого числа пользователей с различными правами доступа к системе. Так, например, активное применение Интернета практически во всех сферах бизнеса делает ИТ-структуру компании более уязвимой за счет возможности доступа пользователей извне.
Определений информационной безопасности множество. Согласно ГОСТу, защита информации (обеспечение информационной безопасности) – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Многие определения охватывают аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности информации или средств ее обработки. Негативные воздействия, как правило, осуществляются с целью нарушения конфиденциальности, целостности и доступности информации, поэтому для достижения цели информационной безопасности необходимо обеспечить точность и полноту информационных активов, доступных и пригодных для использования только уполномоченными лицами (организацией, процессом) в соответствии с их требованиями.
Чем сложнее задача автоматизации и чем ответственнее область, в которой используются компьютерные информационные технологии, тем все более и более критичными становятся надежность и безопасность информационных ресурсов, задействованных в процессе сбора, накопления, обработки, передачи и хранения компьютерных данных. Целью информационной безопасности является предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее.
Существует целый ряд стандартов и подходов к обеспечению информационной безопасности компании и управлению информационными рисками. Наибольшую известность в мировой практике управления информационными рисками имеют такие международные спецификации и стандарты, как ISO 17799–2002 (BS 7799), CISA (Сертифицированный аудитор информационных систем), CISSP (Сертифицированный профессионал по обеспечению безопасности информационных систем), COSO, SAS 55/78, и некоторые другие, аналогичные им.
Основополагающими считаются стандарты международной организации по стандартизации серии ISO 27000, включающие шесть стандартов информационной безопасности. Фактически эти стандарты представляют собой технологию управления информационной безопасностью.
ISO/IEC 27001 представляет собой международный стандарт – «Система управления информационной безопасностью (СУИБ). Требования» – и позволяет организациям определять цели и процессы информационной безопасности, предпринимать шаги к увеличению эффективности.
Стандарт ISO/IEC 27002 представляет собой практическое руководство по созданию СУИБ, описывает механизмы контроля, необходимого для построения системы безопасности, определенные на основе лучших примеров мирового опыта в данной области.
Существует еще один международный стандарт ISO 15408, который был разработан на основе стандарта «Общие критерии безопасности информационных технологий» (рис. 22). В 2002 году этот стандарт был принят в России как ГОСТ Р ИСО/МЭК 15408–2002 «Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий», часто в литературе называемый «Общие критерии». Ранее в отечественных нормативных документах в области ИБ понятие риска не вводилось.
Стандарты носят исключительно концептуальный характер, что позволяет экспертам по информационной безопасности реализовать любые средства и технологии оценки, отработки и управления рисками. Однако отсутствие конкретных рекомендаций по выбору какого-либо аппарата оценки риска, а также синтезу мер, средств и сервисов безопасности, используемых для минимизации рисков, снижает полезность стандартов как технологических документов.
Рис. 22. Понятие безопасности в соответствии с ГОСТ Р ИСО/МЭК 15408–2002
Проблемы информационной безопасности особенно актуальны для ERP-систем, которые содержат финансовую информацию и данные о клиентах, кадровые данные, прочую информацию, необходимую для повседневной деятельности сотрудников. Очевидно, что многие из этих данных являются конфиденциальной информацией, и их раскрытие может принести предприятию значительные убытки. Чем больше бизнес зависит от ИТ, тем важнее стабильность работы информационных систем и безопасность данных для компании. Учитывая важность коммерческой информации для компаний и возможные проблемы в случае ее частичной потери или утечки, ИТ-безопасность представляется одной из ключевых задач для любого бизнеса.
Помимо ERP-систем и прочего программного обеспечения (software), объектами защиты в информационной безопасности принято считать аппаратное обеспечение (hardware), обеспечение связи/коммуникации, информацию на твердых и электронных носителях, а также в некоторых случаях оказываемые услуги, имидж и репутацию компании.