Оптимизация внутренней информационной безопасности в компании-интеграторе в области информационной безопасности

Болдина М.Н.
выпускница группы MBA CSO-03
Школы IT-менеджмента
РАНХиГС при Президенте РФ

Настоящее исследование определяет систему взглядов на проблему обеспечения внутренней информационной безопасности компании и представляет собой систематизированное изложение целей и задач защиты информации, а также основных принципов и способов достижения требуемого уровня безопасности информации.

Исследования является методологической основой для:

• формирования и проведения в компании политики внутренней информационной безопасности;
• принятия управленческих решений и разработки практических мер по воплощению политики внутренней информационной безопасности и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз внутренней информационной безопасности;
• координации деятельности структурных подразделений компании при проведении работ по созданию, развитию и эксплуатации системы внутренней информационной безопасности;
• разработки предложений по совершенствованию применяемых мер защиты информации.

Контроль в сфере циркуляции информации ограниченного доступа следует рассматривать как действия по установлению состояния защищенности основных интересов компании в информационной сфере от внешних и внутренних угроз.

Сферами контрольной деятельности являются разработка и осуществление мер по защите охраняемой собственником или уполномоченным им лицом информации, которая специально выделяется как информация ограниченного доступа. Эта информация используется и охраняется в различных видах научно-производственной, управленческой, коммерческой и другой деятельности.

В этой связи контроль необходимо рассматривать, во-первых, как функцию управления компанией и её структурными подразделениями в области информационной безопасности, выражающейся в целенаправленной деятельности руководителей различных звеньев, направленной на защиту интересов компании. Во-вторых, контроль как завершающая стадия процесса производства и обмена товаров, включая маркетинг, ценообразование, финансы, планирование, бухгалтерский учет, управление персоналом и др. В-третьих, контроль как неотъемлемая часть любой выполняемой работы и оказываемой услуги, связанной с использованием информации ограниченного доступа, и в этой связи его проведение связано с принятием решения по обеспечению информационной безопасности на уровне структурного подразделения или организации в целом.
Такой подход к раскрытию понятия контроля в области информационной безопасности компании неразрывно связан с обращением информации ограниченного доступа и позволяет избежать распространенной ошибки, когда контроль связывают только с деятельностью службы безопасности и рассматривается лишь как средство обнаружения недостатков в данной сфере. Возможности контроля намного шире. Он может рассматриваться, прежде всего, как средство активного побуждения к дозволительным действиям лиц, вовлеченных в сферу обращения информации ограниченного доступа; как один из основных инструментов получения данных о состоянии производственных процессов и совершения коммерческих сделок, работ и услуг, связанных с использованием информации ограниченного доступа и её охраной, как важнейший рычаг управления в области обеспечения безопасности компании.

Научно-методической основой исследования является системный подход, предполагающий проведение исследований и разработки системы обеспечения информационной безопасности с единых методологических позиций с учетом всех факторов, вызывающих угрозы информационной безопасности, и с позиции комплексного применения различных мер и средств защиты внутренней информационной безопасности.

Телекоммуникационная инфраструктура компании является базовой составляющей информационной системы и предназначена для обеспечения передачи данных между прикладными системами и сетевыми сервисами как внутри информационной системы, так и с внешними системами. Качество функционирования телекоммуникационной инфраструктуры непосредственно влияет на работу всех систем, входящих в информационную, а значит и на работу автоматизированных бизнес-процессов компании. Эта зависимость определяет, что защита функционирования телекоммуникационной инфраструктуры является одной из основных проблем в обеспечении внутренней информационной безопасности.

Целью исследования системы обеспечения внутренней информационной безопасности (СОИБ) является реализация комплекса мер, обеспечивающих соответствие показателей производительности, надежности и защищенности компании требованиям ИС и предотвращающих нанесение ущерба компании в целом путем воздействия на информационную систему компании.

В задачи СОИБ входит предотвращение или минимизация следующих классов угроз:

• простой или снижение производительности сегментов и оборудования;
• искажение и потеря или разглашение информации ограниченного доступа;
• несанкционированный доступ к информации ограниченного доступа;
• саботаж;
• хищение данных (в том числе персональных);

В качестве основы для проектирования и реализации СОИБ используются российские и зарубежные рекомендации и стандарты, руководства и рекомендации компаний-вендоров телекоммуникационного оборудования, систем информационной безопасности, а также экспертные знания и опыт компании ОАО «Концерн «Системпром», приобретенный в ходе реализации проектов по организации защиты информации.

В ходе работы было проведено построение системы внутренней информационной безопасности с максимальным использованием внутренних и внешних ресурсов для минимизации затрат на внедрение системы внутренней безопасности.

Построение системы внутренней информационной безопасности по капиталовложению не превосходит прибыли, полученной от реализации среднего проекта компании-интегратора, а потому уже при реализации первого проекта прибыль будет превосходить расходы, затраченные на обеспечение внутренней информационной безопасности.