Сергей Авдошин - Информатизация бизнеса. Управление рисками

Еще одной технической мерой информационной безопасности являются хранение резервных носителей в безопасных хранилищах, физическая защита и проектирование и внедрение систем бесперебойного и гарантированного электропитания, контроля и управления доступом в помещения и к оборудованию, видеоконтроля и теленаблюдения.

Разграничение доступа пользователей информационных систем, адекватная настройка систем безопасности операционных систем, программных комплексов, коммуникационного оборудования, своевременное обновление систем безопасности и использование систем обнаружения/предотвращения вторжений позволит снизить уязвимость информационных систем на техническом уровне.

Для своевременного отслеживания угроз информационной безопасности предусмотрены специальные технологии обнаружения, а именно:

• компьютерные программы для выявления, нейтрализации или устранения вредоносных программ (антивирусное ПО);

• системы обнаружения вторжений (СОВ), которые собирают и анализируют информацию из различных областей компьютера или сети для выявления возможных нарушений в системе безопасности;

• системы предотвращения вторжения (СПВ), которые определяют потенциальные угрозы и реагируют на них прежде, чем они будут использоваться при атаках.

Действия по эффективному управлению системы информационной безопасности должны включать регулярное планирование и организацию работ с достижением поставленных целей, разработку и регулярный пересмотр политик и процедур ИБ. После разработки или пересмотра политики ИБ необходимы вовлечение всех сотрудников в процесс обеспечения безопасности, ознакомление с документами, проведение тренингов, назначение ответственных за безопасность в отдельных сегментах. Определение четкой структуры и распределение полномочий и ответственности за ИБ позволит создать систему отчетности с прописанными показателями обеспечения ИБ и на ее основе осуществлять контроль выполнения работ.

К ключевым факторам успеха системы информационной безопасности можно отнести:

1) регулярный пересмотр политики информационной безопасности;

2) вовлечение всех сотрудников в процесс обеспечения информационной безопасности;

3) своевременность обнаружения и прогнозируемость развития проблем, оценку влияния проблем на бизнес-цели и управление непрерывностью бизнеса компании.

Люди – один из факторов успеха любого проекта, поэтому в ИТ-проектах «человеческий фактор» играет важнейшую роль как в процессе выбора и внедрения информационной системы или решения, так и в процессе их последующей эксплуатации и использования всеми сотрудниками компании.

С организационной точки зрения, сложность ИТ-проекта заключается в большом количестве участников (заказчики, спонсоры, консультанты, члены проектной команды, ИТ-служба заказчика, представители функциональных подразделений, эксперты и др.). Основные организационные проблемы, с которыми сталкивается ИТ-проект, происходят из-за того, что в проекте не до конца определены роли и ответственность, не прописаны санкции за несвоевременное или некачественное выполнение задач, отсутствует система развития, обучения и мотивации сотрудников.

Еще одна сложность состоит в том, что процесс внедрения, занимающий достаточно много времени, протекает одновременно с выполнением сотрудниками своих повседневных обязанностей. Несмотря на то что сотрудники вынуждены выполнять дополнительные функции и отчитываться перед проектным менеджментом, требования со стороны их непосредственного руководства не уменьшаются.

Рассмотрим основные риски, связанные с организацией проекта внедрения ИТ.

Недостаточная квалификация персонала. Низкая компьютерная грамотность в производственных подразделениях, недостаточные знания общих функций и назначения информационной системы в ИТ-структуре.

Сопротивление персонала проекту. В проекте всегда находятся люди, которым этот проект экономически не выгоден, люди, которые боятся внедрения новой системы либо не хотят никаких изменений.

Недостаток мотивации персонала. Отсутствует лидерство, либо спонсор проекта и менеджмент компании не обеспечили условия, когда все участники заинтересованы в успешном завершении.