БЕЗОПАСНОСТЬ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ

 

 

 

Проблемы информационной безопасности на предприятии

 

 

 

Анализ отечественного и зарубежного опыта убедительно доказывает необходимость создания целостной системы информационной безопасности компании, увязывающей оперативные, оперативно-технические и организационные меры защиты. Причем система безопасности должна быть оптимальной с точки зрения соотношения затрат и ценности защищаемых ресурсов. Необходима гибкость и адаптация системы к быстро меняющимся факторам окружающей среды, организационной и социальной обстановке в учреждении.

 

Достичь такого уровня безопасности невозможно без проведения анализа существующих угроз и возможных каналов утечки информации, а также без выработки политики информационной безопасности на предприятии. В итоге должен быть создан план защиты, реализующий принципы, заложенные в политике безопасности.

 

Но существуют и другие сложности и «подводные камни», на которые обязательно нужно обратить внимание. Это проблемы, выявленные на практике и слабо поддающиеся формализации: проблемы не технического или технологического характера, которые так или иначе решаются, а проблемы социального и политического характера.

 

Проблема 1. Отсутствие понимания у персонала и руководителей среднего и нижнего ранга необходимости проведения работ по повышению уровня информационной безопасности.

 

На этой ступеньке управленческой лестницы, как правило, не видно стратегических задач, стоящих перед организацией. Вопросы безопасности при этом могут вызывать даже раздражение - они создают «ненужные» трудности.

Часто приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

□         появление дополнительных ограничений для конечных пользователей и специалистов подразделений, затрудняющее их пользование автоматизированной системой организации;

□         необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.

Указанная проблема является одной из основных. Все остальные вопросы так или иначе выступают в качестве ее следствий. Для ее преодоления важно решить следующие задачи: во-первых, повысить квалификацию персонала в области защиты информации путем проведения специальных собраний, семинаров; во-вторых, повысить уровень информированности персонала, в частности, о стратегических задачах, стоящих перед организацией.

 

Проблема 2. Противостояние службы автоматизации и службы безопасности организаций.

Эта проблема обусловлена родом деятельности и сферой влияния, а также ответственности этих структур внутри предприятия. Реализация системы защиты находится в руках технических специалистов, а ответственность за ее защищенность лежит на службе безопасности. Специалисты службы безопасности хотят во что бы то ни стало ограничить при помощи межсетевых экранов весь трафик. Но люди, работающие в отделах автоматизации, не желают решать дополнительные проблемы, связанные с обслуживанием специальных средств. Такие разногласия не лучшим образом сказываются на уровне защищенности всей организации.

 

Решается эта проблема, как и большинство подобных, чисто управленческими методами. Важно, во-первых, иметь в организационной структуре фирмы механизм решения подобных споров. Например, обе службы могут иметь единое начальство, которое будет решать проблемы их взаимодействия. Во-вторых, технологическая и организационная документации должны четко и грамотно делить сферы влияния и ответственности подразделений.

 

Проблема 3. Личные амбиции и взаимоотношения на уровне руководителей среднего и высшего звена.

 

Взаимоотношения между руководителями могут быть разными. Иногда при проведении работ по исследованию информационной защищенности то или иное должностное лицо проявляет сверхзаинтересованность в результатах этих работ. Действительно, исследования - это достаточно сильный инструмент для решения их частных проблем и удовлетворения амбиций. Выводы и рекомендации, записанные в отчете, используются как план к дальнейшим действиям того или другого звена. Возможна также и «вольная» трактовка выводов отчета в сочетании с проблемой 5, описанной ниже. Такая ситуация является крайне нежелательным фактором, так как искажает смысл проведения работ и требует своевременного выявления и ликвидации на уровне высшего руководства предприятия. Наилучшим вариантом являются деловые взаимоотношения, когда во главу угла ставятся интересы организации, а не личные.

 

Проблема 4. Низкий уровень исполнения намеченной программы действий по созданию системы защиты информации.

 

Это достаточно банальная ситуация, когда стратегические цели и задачи теряются на уровне исполнения. Все может начинаться идеально. Генеральный директор принимает решение о необходимости совершенствования системы информационной безопасности. Нанимается независимая консалтинговая фирма, выполняющая аудит существующей системы защиты информации. По окончании формируется отчет, включающий все необходимые рекомендации по защите информации, доработке существующего документооборота в области информационной безопасности, по внедрению технических средств защиты информации и организационных мер, дальнейшей поддержке созданной системы. План защиты включает краткосрочные и долгосрочные мероприятия. Далее рекомендации передаются на исполнение в одно из подразделений. И здесь важно, чтобы они не утонули в болоте бюрократии, личных амбиций, нерасторопности персонала и десятке других причин. Исполнитель может быть плохо проинформирован, недостаточно компетентен или просто не заинтересован в выполнении работ. Важно, чтобы генеральный директор проконтролировал выполнение намеченного плана, дабы не потерять, во-первых, средства, вложенные в безопасность на начальном этапе, во-вторых, чтобы не понести потери в результате отсутствия этой безопасности.

 

Проблема 5. Низкая квалификация специалистов по защите информации.

 

Данный аспект можно не считать серьезным препятствием, если он не является преградой на пути создания системы защиты информации. Дело в том, что в план защиты, как правило, включается такое мероприятие, как повышение квалификации специалистов в области защиты информации в компании. Для специалистов других служб могут проводиться семинары по основам организации защиты информации. Нужно верно оценивать реальную квалификацию сотрудников, занимающихся исполнением плана защиты. Зачастую неверные выводы или неумение применять методы защиты на практике приводят к сложностям при реализации рекомендованных мероприятий. При намеке на такие обстоятельства самым правильным выходом будет повышение квалификации специалистов по защите информации в специально созданных для этого центрах обучения.

 

Таким образом, практическая деятельность в области повышения экономической и информационной безопасности наглядно демонстрирует, что создание реально действующей системы защиты информации оказывается в сильной зависимости от своевременного решения перечисленных проблем. Однако накопленный опыт показывает, что все рассмотренные вопросы успешно решаются при условии плотной совместной работы представителей заказчика и компании-исполнителя. Главное - осознать важность проведения таких работ, своевременно выявить существующие угрозы и применить адекватные меры противодействия, которые, как правило, специфичны для каждого конкретного предприятия. Наличие желания и возможностей является достаточным условием для плодотворной работы, целью которой стало бы создание комплексной системы обеспечения безопасности организации.

 

 

 

Смотрите также:

 

Экономическая безопасность

Однако это не снимает остроту проблемы с позиции угрозы безопасности.
Современные информационные технологии позволяют формировать модели управляемых систем с
— поддержка жизненно важных для населения региона предприятий и объектов инфраструктуры

 

Важное место в системе органов обеспечения безопасности зани...

...внешней и военной политики Российской Федерации в области обеспечения безопасности, стратегические проблемы государственной, экономической, общественной, оборонной, экологической, информационной и иных видов безопасности.

 

Организация потоков информации. Важнейшим этапом...

Обьем информации используется для определения информационной загруженности
Финансовый менеджмент на предприятиях и в коммерческих ...
Наше рассмотрение