Цель данного проекта — собрать воедино услуги по защите информации (обеспечению информационной безопасности), оказываемые как непосредственно нашими специалистами, так и специалистами компаний-партнеров.
Причем понятие информационная безопасность (ИБ) используется в широком смысле этого термина. Поэтому к услугам по защите информации отнесен ИТ-аутсорсинг, направленный в первую очередь на обеспечение непрерывности бизнес-процессов, что является с нашей точки зрения одной из основных задач по обеспечению ИБ.
Стандартных слов о том, что критичная для бизнеса информация должна быть доступной, целостной и конфиденциальной явно недостаточно, поскольку информация — понятие довольно абстрактное, угрозы ее безопасности носят вероятностный характер, а решения по защите стоят немалых денег. Можно ли обосновать стоимость корпоративной системы защиты информации?
Очевидно, что для начала необходимо определить бизнес-задачу информационной безопасности.
Важной составляющей развития современных предприятий является автоматизация бизнес-процессов с использованием средств вычислительной техники и телекоммуникаций. Следствием этого является неуклонный рост объемов информации, которая подвергается обработке и накоплению в электронном виде.
С ростом электронного документооборота предприятия возрастает зависимость успеха его деятельности от непрерывности функционирования корпоративной информационной системы (КИС) как единого целого и от сохранности корпоративной информации в процессе ее обработки и хранения на электронных носителях.
Привыкая к повседневному использованию информационных технологий, мы часто забываем о том, что надежность техники и, главное, устройств хранения электронной информации конечна, в связи с чем существует вероятность отказа оборудования, приводящая к сбоям в доступе к электронной информации, а в худшем случае — к частичной или полной ее потере. Более того, мы совсем не заботимся о разработке и внедрении плана мероприятий по восстановлению работоспособности КИС после кризиса.
Отказ оборудования зачастую происходит именно в тот момент времени, когда это наносит наибольший ущерб. Известны случаи, когда простой информационной системы приводил к экономическим убыткам, многократно превышающим стоимость самой системы.
Рост информационной системы предприятия, являющийся неминуемой частью успешного развития бизнеса, влечет за собой ужесточение требований к непрерывности ее функционирования, а также к сохранности и обеспечению конфиденциальности корпоративной информации. ИС предприятия превращается из печатной машинки в инструмент ведения бизнеса, что в свою очередь втягивает предприятие во все большую зависимость от уязвимости постоянно усложняющейся КИС.
Одним из критических аспектов уязвимости КИС является отсутствие плана мероприятий по восстановлению ее работоспособности после кризиса. В случае возникновения форс-мажорных обстоятельств можно арендовать новое помещение, закупить технику, подключить телекоммуникации, но нельзя восстановить работоспособность КИС, если утрачена информация и/или специализированные средства ее обработки.
Очень важно понимать и осознавать, что:
- обеспечение информационной безопасности — это непрерывный процесс, взаимоувязывающий правовые, организационные и программно-аппаратные меры защиты;
- в основе этого процесса лежит периодический анализ защищенности информационной системы в разрезе видов угроз и динамики их развития;
- информационная система, в своем развитии, должна подвергаться периодическим реорганизациям, отправной точкой каждой из которых служит анализ выявленных уязвимостей при проведении аудита информационной безопасности.