ПОИСК
ВЫБЕРИТЕ НОМЕР
         
Показать все
статьи из этой
рубрики
Показать все
статьи этого
автора
Показать все
статьи по этой теме
НАШИ ИЗДАНИЯ
Connect! Мир Связи
Каталог-справочник
НАШИ ПРОЕКТЫ
Наши авторы о важном
СОТРУДНИЧЕСТВО
Выставки и конференции
Connect Conferences
РЕКЛАМА



Яндекс Цитирования





Rambler's Top100 Rambler's Top100


Тема номера
Управление рисками информационной безопасности как системная задача   Олег Самарин

Значение информации в современном бизнесе нельзя переоценить. Информационная компонента перестала быть вспомогательной частью производства, напротив, она стала основным связующим фактором, а зачастую и самим содержанием современного бизнеса. Не удивительно, что и управление современным предприятием не может быть эффективным без управления информационными системами. Очевидно, что решение задачи эффективного управления информационной системой предприятия будет включать в себя как составную часть задачу управления информационной безопасностью (ИБ).

Олег Самарин Общий критерий эффективности бизнеса не должен противоречить частным критериям подсистем этого бизнеса, следовательно, эффективность функционирования системы информационной безопасности должна характеризоваться метриками эффективности бизнеса. Наиболее адекватным способом, позволяющим взаимоувязать критерии эффективности бизнеса и частные критерии эффективности системы ИБ, является управление информационными рисками, согласно которому эффективность системы ИБ оценивается как величина остаточного риска, связанного с информационными активами. Задача управления ИБ в данном случае будет являться задачей управления ресурсами в целях снижения остаточных информационных рисков до приемлемого уровня как частный случай задачи управления ресурсами бизнеса для получения максимальной прибыли. Такой подход к управлению ИБ в настоящее время получил широкое мировое признание и составил методическую основу ряда международных стандартов ИБ, например ISO 27001, 20000.
В нашей стране долгие годы задачи ИБ рассматривались исключительно как проблемы противодействия неким "злоумышленникам" из перечня априори определенных "моделей нарушителя". Такой подход нельзя назвать ни научным, ни хоть сколь-нибудь обоснованным. Выход России на глобальные рынки, международный информационный обмен, а также возрастание интереса бизнес-сообщества к вопросам повышения эффективности управления производством позволили в определенной мере изменить отношение к проблематике ИБ, что выражается, в частности, в принятии современных моделей управления ИБ, основанных на управлении информационными рисками, и даже некоторых отраслевых стандартов, предполагающих использование таких методик. Однако несмотря на позитивные сдвиги и наличие на рынке консалтинговых компаний, предлагающих услуги по оценке рисков ИБ, а также инструментария для самостоятельных исследований, доля предприятий, успешно реализовавших у себя систему управления информационной безопасностью (СУИБ), основанную на управлении информационными рисками, остается небольшой. Причинами этого являются как невозможность прямого переноса практики зарубежных компаний на российский рынок, так и отсутствие у топ-менеджмента предприятий понимания существа проблемы, неспособность ответственных лиц провести классификацию и оценку информационных активов, нехватка в штате компаний специалистов достаточной квалификации.
При классическом подходе к управлению информационными рисками задача управления сводится к поддержанию остаточных информационных рисков на приемлемом уровне.
Применительно к управлению ИБ под риском принято понимать математическое ожидание ущерба, наносимого в результате потери или повреждения информационного актива в заданный промежуток времени. Такое определение позволяет обеспечить четкую связь задачи управления ИБ с задачей верхнего уровня - управлением производством за счет непротиворечивости критериев и учета динамической природы управления бизнесом. Под остаточным понимается риск, который сохраняется после проведения всех необходимых мероприятий (технических, технологических, юридических, организационных и др.) по его снижению.

Продолжение читайте в печатной версии журнала




Заказать полную PDF-версию свежего номера Connect!



Показать все статьи по теме Информационная безопасность

Поставьте свою оценку:
   1   2   3   4   5   

< Предыдущая статья

  
Следующая статья >

НАШИ ПРОЕКТЫ
ПРОСМОТР ПО ТЕМАМ
IP-телефония
Беспроводная связь
Бизнес-аналитика
Биллинг и OSS/BSS решения
Видеоконференцсвязь
Измерительная техника
Инфокоммунникации регионов
Информационная безопасность
ИТ-услуги
КИС (Корпоративные информационные системы)
Контакт-центры
КСПД (Корпоративные сети передачи данных)
Мобильная связь
Облачные технологии
Профессиональная радиосвязь
Серверные решения
Системы бесперебойного питания
Системы хранения данных
Ситуационные центры
Спутниковая связь
УПАТС
Фиксированная связь
Цифровое телевидение
TOP 20 СТАТЕЙ
Роль государства в обеспечении информационной безопасности
Консолидация телекоммуникационных ресурсов отраслей топливно-энергетического комплекса
Реквием по SoftSwitch
Трехсайтовая архитектура – реальная защита от катастроф
В Тулу за кальяноваром, или Что такое адаптивный call-центр
Ненадежность IP-телефонии: мифы и реальность
Четвертым будешь?
Путеводитель по рынку OSS-решений
В жизни все бывает, поэтому сделайте резервную копию…
Оптимизация энергопотребления в современном ЦОД
VSATизация России – промежуточные итоги
Современные программные телефоны
Аккумуляторные батареи для современных ИБП
Особенности информатизации телекоммуникационных компаний в России
Отечественные производители телекоммуникационного оборудования
Проблемы нормативно-правового, организационно-технического и программного обеспечения защиты информационных систем
Смена поколений в стандартизации СКС
Проблемы и перспективы формирования мобильной медиасреды в России
Принципы организации сетевой инфраструктуры ООО «ЛУКОЙЛ-ИНФОРМ»
Модульные отказоустойчивые системы бесперебойного питания: за и против
Все ТОПовые статьи >>