Информационные риски

Автор работы: Пользователь скрыл имя, 23 Сентября 2013 в 19:51, творческая работа

Описание работы

Процесс минимизации IT-рисков следует рассматривать комплексно:
сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.
Сможет ли компания в короткий срок интегрировать существующие технологии работы с информацией в системы предприятия, являющегося объектом слияния или приобретения?

Файлы: 1 файл

Информационные риски.pptx

— 90.90 Кб (Скачать файл)

Информационные  риски

Информационные  риски — это опасность возникновения  убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски  связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей  и иных средств связи.

IT-риски  можно разделить на две категории:

 

      • риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
      • риски технических сбоев работы аппаратного и программного обеспечения, каналов передачи информации, которые могут привести к убыткам.
      • Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования и программного обеспечения.

Процесс минимизации IT-рисков следует рассматривать  комплексно:

    1. сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.
    2. Сможет ли компания в короткий срок интегрировать существующие технологии работы с информацией в системы предприятия, являющегося объектом слияния или приобретения?
    3. Обеспечена ли защита интеллектуальной собственности компании и ее клиентов?
    4. Имеет ли компания четкий алгоритм действий в критической ситуации, например в случае сбоев в работе компьютерных сетей или вирусной атаки?
    5. Соответствует ли способ работы информационных систем общим задачам компании? (Если перед компанией стоит задача иметь общий центр управления денежными потоками, а учетные системы, установленные в разных филиалах, не связаны между собой, то поставленная задача не будет решена).

Точно определить возможный ущерб от большинства IT-рисков довольно сложно, но примерно оценить их вполне возможно.

 

Как минимизировать IT-риски 

Как показывает опыт многих российских компаний, наиболее успешные стратегии предупреждения IT-рисков базируются на трех основных правилах.

Правило № 1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.

Правило № 2. Компания должна контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.

Правило № 3. Информационные системы, от которых напрямую зависит деятельность компании (стратегически важные каналы связи, архивы документов, компьютерная сеть),

 должны работать бесперебойно даже в случае

 кризисной ситуации или иметь возможность

оперативного  развёртывания при

форс-мажорных обстоятельств на

 другой площадке.

 

Для обеспечения  необходимой защиты от IT-рисков и  контроля безопасности можно провести следующие мероприятия.

    1. Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала компании, направленные на предотвращение IT-рисков, а также обеспечить резервные мощности для работы в критической ситуации.
    2. Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах компании, используемых для этой цели.
    3. Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.
    4. Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.
    5. Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.
    6. Разработать и создать ситему позволящую оперативно восстановить работоспособность IT- инфраструктуры при технических сбоях.

Помимо  перечисленных мер необходимо подготовиться  к последствиям возможных кризисных  ситуаций и описать действия компании по выходу из кризиса.

 

Для этого  следует:

проанализировать  сценарии проникновения посторонних  лиц или не имеющих соответствующих  полномочий сотрудников компании во внутреннюю информационную сеть, а  также провести учебные мероприятия  с целью отработки модели поведения  сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;

разработать варианты решения проблем, связанных  с кадрами, включая уход из компании ключевых сотрудников, например составить  и ознакомить персонал с планом преемственности  управления на предприятии;

подготовить запасные информационные мощности (серверы, компьютеры), а также резервные  линии связи. Максимально повысить отказоустойчивость IT - инфраструктуры.

 

Если бизнес компании во многом зависит от состояния ее информационных сетей (например, у фирм, занимающихся разработкой компьютерных программ), необходимо назначить ответственного за разработку, внедрение и контроль исполнения корпоративных правил, направленных на снижение IT-рисков. Желательно, чтобы  такой координатор не имел отношения  к IT-структуре компании (например, исполнительный директор).

Считается, что сотрудник, который не связан напрямую с информационными  технологиями, будет наиболее объективен при организации мероприятий  по риск-менеджменту. Его работа должна оцениваться с помощью измеряемых показателей, скажем, время устранения сбоев в работе сервера не должно превышать 30 минут или же частота таких сбоев должна быть не выше, чем два раза в год.

 

Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Поэтому оценка IT-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.

В заключение отметим, что разработка и реализация политики по минимизации IT-рисков не принесет пользы, если рекомендуемые стандарты и  правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому  работа по обеспечению IT-безопасности должна быть комплексной и продуманной.

 


Информация о работе Информационные риски