text
Открыть свежий номер журнала>> / Подписка за 22 308 13 990 руб! >> ✆ 8 (800) 550-07-98
Журнал

Как управлять информационными рисками

Информационные риски – это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.

IT-риски можно разделить на две категории:

Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.

Как выявить IT-риски компании

На практике способы выявления IT-рисков ничем не отличаются от способов определения любых других рисков: составляются карты рисков, проводится сбор экспертных мнений и т. п.

Выявить наиболее критичные информационные риски можно и более простым способом, ответив на следующие вопросы:

Владимир Исаев , генеральный директор компании «Фармстер»

При защите проекта бюджета перед советом директоров мне нужно было обосновать рентабельность установки антивирусной системы. Для этого я подсчитал приблизительные убытки, которые понесет компания при проникновении вируса в компьютерную сеть. Учитывая уровень компьютерной грамотности персонала компании, вероятность того, что сотрудник откроет «подозрительное» письмо и запустит вирус, равна 30%. Частоту, с которой приходят письма с вирусами, тоже можно определить – такие данные публикуются во многих компьютерных изданиях. Для полного же восстановления компьютерной сети после вирусной атаки нашей IT-службе потребуется один-два дня. Таким образом, издержки на восстановление работы складываются из заработной платы IT-специалиста за эти два дня, операционных издержек, связанных с остановкой работы, а также из средней прибыли, которую компания недополучит за это время. Когда члены совета директоров увидели, насколько такие расходы превышают стоимость антивирусного программного обеспечения, вопрос о целесообразности покупки отпал.

Как свести к минимуму IT-риски компании

Как показывает опыт многих российских компаний, наиболее успешные стратегии предупреждения IT-рисков базируются на трех основных правилах:

Дмитрий Волов , IT-директор ЗАО «Эмпилс»

Менеджеры нашего предприятия еще в 1998 году начали рассматривать вопросы, связанные с обеспечением информационной безопасности, в качестве одного из важнейших направлений деятельности наравне с закупками, управлением материальными потоками, планированием производства и т. п. Меры, принимаемые для реализации данного направления, и бюджет, который выделяется для этого, постоянно пересматриваются в соответствии с текущими потребностями компании.

К IT-рискам мы относим потерю данных из-за сбоя в работе информационных систем, хищение информации, а также передачу информации третьим лицам сотрудниками предприятия. Работа по минимизации таких рисков делится на организационную и техническую. Организационные меры связаны с ограничением доступа к данным. Для этого вся информация классифицируется на общедоступную, для служебного пользования и секретную. Кроме того, содержание информационных потоков можно разделить по назначению:

В итоге получается матрица информационных потоков, каждому уровню которой соответствует определенный уровень доступа.

Разработкой регламентов, касающихся информационной безопасности, занимается отдел реинжиниринга и стандартизации бизнес-процессов. Основываясь на этих регламентах, каждый руководитель подразделения формирует для своих сотрудников должностные инструкции и назначает ответственных за соблюдение информационной безопасности в рамках своего подразделения.

Техническая работа по обеспечению информационной безопасности заключается в дублировании важных функций, от которых зависят сохранность и целостность информации, а также непрерывность работы компании (например, установка запасных серверов, систем резервного копирования). Чтобы минимизировать риск сбоев, мы используем только технику от надежных производителей. Затраты на нее окупаются, так как убыток от простоя информационных систем в течение нескольких часов многократно превысит их стоимость, а потеря информации может вообще парализовать работу предприятия.

Обеспечение информационной безопасности – это, в первую очередь, вопрос эффективности затраченных средств, поэтому расходы на защиту не должны превышать суммы возможного ущерба.

Поскольку любые расходы на предотвращение рисков должны быть обоснованы, необходимо обязательно рассчитывать их экономическую эффективность. Расчетом эффективности и обоснованием расходов на заседании бюджетного комитета занимается менеджер направления, которое заинтересовано в снижении риска.

Для обеспечения необходимой защиты от IT-рисков и контроля безопасности можно провести следующие мероприятия:

Помимо перечисленных мер, необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия компании по выходу из кризиса. Для этого следует:

Если бизнес компании во многом зависит от состояния ее информационных сетей (например, у фирм, занимающихся разработкой компьютерных программ), необходимо назначить ответственного за разработку, внедрение и контроль исполнения корпоративных правил, направленных на снижение IT-рисков. Желательно, чтобы такой координатор не имел отношения к IT-структуре компании (например, исполнительный директор).

Считается, что сотрудник, который не связан напрямую с информационными технологиями, будет наиболее объективен при организации мероприятий по риск-менеджменту. Его работа должна оцениваться с помощью измеряемых показателей, скажем, время устранения сбоев в работе сервера не должно превышать 30 минут или же частота таких сбоев должна быть не выше, чем два раза в год.

Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Поэтому оценка IT-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.

Разработка и реализация политики по минимизации IT-рисков не принесет пользы, если рекомендуемые стандарты и правила неверно используются. Например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности должна быть комплексной и продуманной.

Рекомендации по теме

Школа

Проверь свои знания и приобрети новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Мы в соцсетях
А еще:
×
Чтобы скачать документ, зарегистрируйтесь на сайте!

Это бесплатно и займет меньше минуты!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И получить доступ на сайт Займет минуту!
Зарегистрироваться

Зарегистрируйтесь или войдите на сайт:

Вы получите доступ к уникальному контенту, который закрыт для незарегистрированных пользователей!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И получить доступ на сайт Займет минуту!
Зарегистрироваться
×
Пожалуйста, войдите на сайт

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И получить доступ на сайт Займет минуту!
Зарегистрироваться
Пожалуйста, войдите на сайт

Зарегистрируйтесь или войдите на сайт:

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И получить доступ на сайт Займет минуту!
Зарегистрироваться
×

Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.