«В соответствии с применяемыми сегодня стандартами ИБ - как западными, например, ISO 17799 и 27001, так и российскими, скажем, СТО БР ИББС 1.0-2006 - СУИБ строится на основе управления рисками. Но, не имея представления о ценности данных, которые могут быть утрачены, информационными рисками управлять невозможно. Однако иногда даже ключевые пользователи информационной системы затрудняются с оценкой ее значимости для компании.
Зачастую отчет, раскрывающий текущее состояние информационной системы и отражающий риски, которым она подвержена, может состоять из нескольких десятков или даже сотен страниц. При этом количество идентифицированных информационных рисков на крупном предприятии достигает иногда нескольких тысяч».
«Оценку IT-безопасности необходимо делать, обладая полным представлением обо всех аспектах функционирования информационных систем предприятия. А это означает, что начинать надо с IT-аудита, то есть сбора и структуризации информации обо всех имеющихся компьютерных ресурсах, используемом программном обеспечении и его конфигурации. Также необходимо классифицировать сведения по степени важности (или по стоимости потери/ разглашения), определить системы и узлы, задействованные в создании, хранении и модификации информации, а также соответствующие документопотоки.
Информационная безопасность, пожалуй, одна из наиболее стандартизуемых сфер как с управленческой, так и с технологической точек зрения. Причем в последнее время наблюдается тенденция к унификации стандартов на международном уровне.
«Из российских нормативно-правовых документов по ИБ я бы обратил внимание на Федеральные законы «Об информации, информационных технологиях и о защите информации», «О персональных данных», «О коммерческой тайне». Также существуют государственные и отраслевые стандарты (например, стандарт Банка России СТО БР ИББС 1.0) и другие специализированные документы, такие как требования ФСБ РФ и ФСТЭК (Федеральной службы по техническому и экспортному контролю)».
«Существует большое количество современных стандартов в области ИБ, разработанных международными организациями, - институтами, форумами и ассоциациями. Практически по каждому стандарту имеется богатый опыт применения, опробованные на практике руководства и методологии внедрения, а также интернет-ресурсы. Можно даже сказать, что стандартизация в данной области развивается быстрее, чем где бы то ни было. Постепенно современные стандарты будут адаптированы и для России. Определенное движение в этом направлении есть не только со стороны Банка России, но также со стороны ФСТЭК, ФАТРМ и других ведомств. Одной из приоритетных является задача скорейшей адаптации международных стандартов для русскоязычного сообщества».Где утечка?
Информационная безопасность: дань моде или жизненная необходимость
КАКОЙ УЩЕРБ БУДЕТ НАНЕСЕН ВАШЕМУ БИЗНЕСУ В СЛУЧАЕ УТЕЧКИ ИНФОРМАЦИИ? МОГУТ ЛИ МОШЕННИКИ ПОЛУЧИТЬ ДОСТУП К ВАШИМ СЧЕТАМ? СКОЛЬКО КЛИЕНТОВ ВЫ ПОТЕРЯЕТЕ, ЕСЛИ СПАМ И ВИРУСЫ ВЫВЕДУТ ИЗ СТРОЯ ИНФОРМАЦИОННУЮ СИСТЕМУ? НА ЭТИ И ДРУГИЕ ВОПРОСЫ ПОПЫТАЛИСЬ ОТВЕТИТЬ ЭКСПЕРТЫ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, СОБРАВШИЕСЯ ЗА КРУГЛЫМ СТОЛОМ В РЕДАКЦИИ ЖУРНАЛА RM.
Приходится признать: несмотря на компьютеризацию практически всех бизнес-процессов на предприятии, не многие владельцы и топ-менеджеры уделяют должное внимание вопросу обеспечения информационной безопасности (ИБ). Интеллектуальная собственность, коммерческие и промышленные секреты, персональные данные клиентов – все это регулярно становится объектом хакерских атак. Нельзя исключать и риски возникновения программных сбоев, недостаточную квалификацию пользователей программного обеспечения, злой умысел сотрудников компании и т.д. Минимизировать последствия подобных событий призвана система управления информационной безопасностью (СУИБ).
В число наиболее действенных мер по борьбе с распространением контрафактных препаратов входит и работа с дистрибьюторами. «Появление фальсификатов мы пресекаем на стадии дистрибуции, - продолжает Юлия Великанова. - Мы официально довели до сведения всех наших партнеров, что предложение дистрибьютору «Левомеколя» от любого другого производителя, кроме «Нижфарма» и «Акрихина», незаконно. Также компания просила дистрибьюторов ставить в известность юридическую службу «Нижфарма» о подобных случаях. Очевидно, что компании-дистрибьюторы, заинтересованные в развитии собственного бизнеса, никогда не согласятся покупать контрафактную продукцию».
Однако не исключено, что мелкие дистрибьюторы не станут обращать особого внимания на легальность произведенной продукции, поэтому последний барьер - это отношение потребителей к контрафакту. «Мы предполагаем, что появление контрафактной продукции возможно в первую очередь на уровне мелкой дистрибуции, - заключает Игорь Касакин, - поэтому потребители должны знать о ситуации, обращать внимание на компанию-производителя, не прельщаться подозрительно низкой ценой, которая, как правило, и есть самый очевидный признак контрафактной продукции. В лучшем случае это будет неэффективный препарат, а в худшем - вредный для здоровья».
