Построение системы информационной безопасности начинается вовсе не с покупки
программного или аппаратного обеспечения, необходимого для её функционирования,
и даже не с написания политик безопасности, которым многие, к сожалению,
пренебрегают. Первым этапом создания системы ИБ является осознание руководством
организации существующих информационных угроз и связанных с ними рисков.Без
понимания того, что может ей угрожать, ни одна организация не сможет построить
адекватную систему защиты.
С какими основными угрозами, связанными с принадлежащей ей информацией, сталкиваются
сегодня организации? Безусловно, во многом это зависит от специфики той
отрасли, в которой работает организация, но наиболее распространёнными сегодня
можно считать следующие угрозы:
- несанкционированный доступ внешнего злоумышленника к корпоративной информационной системе;
- потеря корпоративных данных вследствие программных или аппаратных сбоев, случайного удаления пользователями и других форс-мажоров;
- утечка конфиденциальной информации, произошедшая по вине персонала самой организации;
- порча или кража информации вредоносным программным обеспечением;
- неработоспособность корпоративной информационной системы и остановка бизнес-процессов из-за сбоев программного обеспечения или активности вредоносного ПО;
- противоправные действия сотрудников, связанные с корпоративными документами и данными.
Практически каждая организация, имеющая современную информационную систему,
подвержена рискам, связанным с перечисленными выше угрозами. Наибольшему риску,
конечно, подвергаются организации, основная деятельность которых связана именно
с информацией: финансовые организации, ИТ-компании, исследовательские
учреждения и т.д. и т.п.
Самое сложное - донести до клиента, что безопасность - это не просто купленные антивирус, DLP'шка, файрвол или что бы то ни было ещё. На мой взгляд, именно в умении объяснить это состоит одна из самых сложных частей работы безопасника.
Р. Идов,
ведущий аналитик компании SearchInform
Комментариев нет:
Отправить комментарий