rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Риск – неотъемлемый элемент деятельности любого предприятия

5 июня 2013 года компания Symantec представила решение по управлению рисками – Control Compliance Suite (CCS), которое можно использовать как инструмент взаимодействия руководителей ИТ/ИБ департаментов с топ-менеджментом компаний. В связи с недавними изменениями в российском законодательстве данное решение вновь проходит процесс сертификации.

Риски, о которых идет речь, это вероятные события,  в результате наступления которых могут произойти отрицательные последствия: ущерб, убыток и так далее. Соответственно, управление рисками представляет собой процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией.

Решение Symantec Control Compliance Suite 11 существует на российском рынке уже год. Фактически это семейство продуктов, которое объединяет автоматически получаемую техническую информацию, данные, вводимые вручную, а также результаты процедур оценки состояния. Всё это комбинируется с дополнительной информацией из иных решений Symantec и других компаний, и в наглядной форме представляет пользователям многомерную картину ИТ-рисков, относящихся к конкретным бизнес-процессам, группам и функциям.

Важно, что используя данную систему, не только сотрудники подразделений ИТ и информационной безопасности лучше понимают, что необходимо сделать для снижения наиболее критических для бизнеса рисков. Возможность визуализации в CCS позволяют представителям бизнеса лучше разобраться в ситуации, чтобы принять более взвешенные решения в отношении ИТ-рисков.

Решение CCS позволяет руководителям отделов информационной безопасности отображать специфические метрики для различных категорий аудитории. Так, для руководителей можно в наглядной форме представить метрики высокого уровня, такие как риски для бизнес-подразделений или для критически важных бизнес-процессов. Для сотрудников технических отделов имеется возможность вывода подробных данных о технических аспектах, связанных с рисками. Решение также помогает создать для этих служб детализированные планы коррекции ИТ-операций и предоставить данные о снижении рисков по мере применения запланированных мер.

Другими словами, вместо отправки руководителям подразделений детализированных отчетов о конфигурациях или уязвимостях, ответственные за информационную безопасность могут проиллюстрировать, какие проблемы создают недопустимые риски, например, для работы сайта Интернет-магазина, или системы обработки транзакций и т.д. Перевод технических проблем на язык бизнеса, более понятный руководителям, позволяет добиться их лучшей осведомленности, чтобы они могли адекватно оценить ситуацию и быстрее действовать.

«Когда вас вызывают для разговора с руководством по поводу ИТ-рисков, лучше подготовить реальные метрики. Сбор этой информации и ее эффективная передача заинтересованным лицам – сложнейшие задачи, стоящие перед нами сегодня», - отметил Андрей Зеренков, эксперт по информационной безопасности Symantec. Согласно исследованию, только один из восьми CISO умеет эффективно обсуждать ИТ-риски с бизнесом.

Андрей Зеренков привел несколько вариантов подхода к управлению рисками. Для некритичных систем – это соответствие нормативам, стандартам и лучшим практикам. Необходимость в оценке рисков для таких систем – минимальна. Для критичных систем требуется неформальная качественная оценка рисков при особом внимании к наиболее критичным системам. Если бизнес построен на информационных активах и риски ИБ являются основными (операционными), нужен формальный подход и численный методы.

Вообще, оценка рисков – это всеобъемлющий целостный процесс, включающий в себя идентификацию, анализ, оценку рисков реализации различных угроз и их последующую обработку для критичных видов деятельности. До последнего времени заказчики, используя Symantec CCS Risk Manager, успешно управляли рисками в своих компаниях. Решение имело все необходимые сертификаты. Весной 2013 года произошли изменения в российском законодательстве, что потребовало вторично провести сертификацию решения.

Технический директор НПО «Эшелон» Михаил Никулин рассказал об эволюции требований к защите персональных данных. В частности, приказом ФСТЭК России № 21 определен базовый набор мер по обеспечению безопасности персональных данных (109 мер, объединенных в 15 групп). В данном приказе предусмотрена возможность адаптации мер под конкретную систему. Плюс, недавно утвержден стандарт Банка России по обеспечению ИБ организаций банковской системы РФ, который имеет статус отраслевого стандарта обеспечения безопасности персональных данных.

В настоящее время компания «Эшелон» разрабатывает пакет расширения Symantec Control Compliance Suite для автоматизированной оценки соответствия: требования по защите персональных данных (приказ № 21 ФСТЭК России); требованиям стандарта Банка России и требованиям ГОСТ Р ИСО/МЭК 27001-2006.

Михаил Никулин рассказал, что выход демо-версии пакета расширения запланирован на август текущего года, а релиз с полноценной поддержкой, перечисленных выше, требований регуляторов, намечен на октябрь 2013 года.

Для справки: «НПО Эшелон» является испытательной лабораторией, специалисты которой провели более 500 успешных проектов по сертификации в различных системах (ФСТЭК, Минобороны РФ, ФСБ РФ и др.).

Автор: Елена Шашенкова (info@mskit.ru)

Рубрики: ПО, Безопасность

Ключевые слова: информационная безопасность защита, Symantec, безопасность информационных систем обеспечение безопасности, анализ информационной безопасности, информационная безопасность организации, безопасность, информационная безопасность, защита персональных данных

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода