Бизнес и правила информационной безопасности

Анализируя официально опубликованные данные ФБР, выясняется, что свыше 90 % госучреждений ежегодно подвергаются нападению компьютерных злоумышленников. И это при том, что многие организации публично не обращались с заявлениями о взломе их информационных систем.

Хакерство, как социальное явление, тоже не стоит на месте и постоянно модернизируется. Именно поэтому в каждой компании должны быть разработаны собственные правила информационной безопасности.

Самое меньшее, что может сделать хакер-любитель — заблокировать ОС вирусным баннером с целью получения выкупа. Именно такое предложение (под видом обнаружения в действиях должностных лиц противоправных деяний) поступает от «компьютерных» преступников.

Здесь задействован психологический фактор. Ведь на кону не только личная, но и должностная репутация чиновников, служащих коммерческих организаций.

Они не хотят быть уличенными в чем-то аморальном или просто публично признать, что использовали компьютерное оборудование в неслужебных целях. Именно на это и рассчитывают мошенники.

Этот же момент логично объясняет, почему большинство госучреждений не обращается с публичными заявлениями о взломе их информационных систем в правоохранительные органы.

Предполагается, что сегодня объяснять, чем еще грозит хакерская атака бизнесу, уже не нужно. Поэтому перейдем непосредственно к самим правилам информационной безопасности.

Это особый свод норм поведения, четких инструкций, следование которым  позволит защитить ценную служебную, коммерческую информацию. Кроме того, такие правила должны восприниматься сотрудниками как детали общей политики безопасности для эффективного противостояния потенциальным сетевым и компьютерным угрозам.

Грамотно и понятно документированные правила активно способствуют внедрению мер информационной безопасности в компании. Но следует помнить, что и это не гарантирует абсолютной защиты, а только максимально минимизирует риски.

Если вы не в состоянии самостоятельно разработать правила информационной безопасности для своей компании, то вам следует изучить лекции по данной тематике либо прослушать один из тематических семинаров, вебинаров. В сети подобной информации предостаточно.

В целом же разработка понятной и доступной программы информационной безопасности начинается обычно с оценки рисков. Тут нужно определить:

• какие именно информационные активы необходимо защитить?

• каким специфическим внешним, внутренним угрозам подвержены данные активы?

• какой ущерб будет причинен компании, если потенциальные угрозы реализуются?

Первозадача этого этапа — расстановка значимых корпоративных приоритетов. Определить, какие активы следует защищать прежде всего. И уже, исходя из оценки их значимости, стоит выяснить, будут ли принимаемые меры безопасности рентабельными. Попросту говоря, требуется ответить на вопросы: «какая информация первостепенна для бизнеса и сколько будет стоить ее защита?».

Далее, правила информационной безопасности, по утверждениям многих разработчиков подобных программ, должны опираться на действующую локально систему классификации корпоративных данных. То есть в каждой компании должна быть разработана собственная классификация хранящейся и использующейся служебной, коммерческой информации.

С ней под роспись должны быть ознакомлены все без исключения сотрудники. Кроме того, должна вводится система допусков к информации в зависимости от степени ее важности для компании.

Это базовые принципы внедрения правил информационной безопасности в деятельность компаний. Внутренняя корпоративная политика в этом вопросе должна быть у каждого предприятия индивидуальной.