ИТ РИСКИ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ - Студенческий научный форум

VI Международная студенческая научная конференция Студенческий научный форум - 2014

Личный портфель

ИТ РИСКИ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Исаев И.В. 1
1Волгоградский Государственный Аграрный Университет
 Комментарии
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF

Проанализированы наиболее значимые информационные риски ИТ. Произведена категоризация ИТ-рисков. Представлен процесс организации процесса минимизации рисков. Охарактеризованы основные правила минимизации ИТ-рисков. Представлен комплекс мер по минимизации ИТ-рисков.

Обеспечение информационной безопасности - одна из главных задач современного предприятия. Угрозу могут представлять не только технические сбои, но и несогласованность данных в различных учетных системах, которая встречается едва ли не у каждой второй компании, а также неограниченный доступ сотрудников к информации.

Кроме этого ещё более серьезную угрозу могут представлять любые форс-мажорные обстоятельства (пожары, затопления), несущие катастрофические последствия для существования бизнеса.

Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, ИТ-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.

ИТ-риски можно разделить на две категории:

  • риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;

  • риски технических сбоев работы аппаратного и программного обеспечения, каналов передачи информации, которые могут привести к убыткам.

Работа по минимизации ИТ-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования и программного обеспечения.

Процесс минимизации ИТ-рисков:

  1. Выявление возможных проблемы, а затем определение способов их решения.

  2. Определение сроков интеграции новых технологий при необходимости, по причине преобразования или слияния организации.

  3. Оптимизация бизнес-процессов организации.

  4. Обеспечение защиты интеллектуальной собственности организации и ее клиентов.

  5. Разработка порядка действий при форс-мажорных обстоятельствах.

  6. Определение фактических потребностей информационных ресурсов.

Некоторые способы минимизации рисков:

Для обеспечения необходимой защиты от ИТ-рисков и контроля безопасности можно провести следующие мероприятия.

  • Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала компании, направленные на предотвращение ИТ-рисков, а также обеспечить резервные мощности для работы в критической ситуации.

  • Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах компании, используемых для этой цели.

  • Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.

  • Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.

  • Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.

  • Разработать и создать систему, позволяющую оперативно восстановить работоспособность ИТ- инфраструктуры при технических сбоях.

Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия компании по выходу из кризиса.

Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Поэтому оценка ИТ-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.

В заключение отметим, что разработка и реализация политики по минимизации ИТ-рисков не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению ИТ-безопасности должна быть комплексной и продуманной.

Просмотров работы: 899