В рубрику "Дайджест" | К списку рубрик | К списку авторов | К списку публикаций
При анализе проблем, представляющих угрозу для организации, необходимо подсчитывать величину соответственных рисков. Негативные последствия угроз могут быть довольно точно описаны с помощью анализа воздействий на бизнес (Business Impact Analysis -BIA). Оценив такие последствия, как снижение дохода, упущенные бизнес-возможности, нарушение законодательства и/или технических норм, неудовлетворенность клиентов, негативное воздействие на продвижение бренда, потеря доли рынка и др., можно изучить, в чем будет состоять финансовый ущерб конкретной угрозы для организации. Затем, как правило, утверждается план действий на случай возникновения конкретной угрозы. Однако проблема заключается в том, что прогнозирование вероятности возникновения угроз по своей природе не гарантирует точности оценки. Как бы вы определили вероятность проникновения преступника в ваш дом? Она мала, поскольку вы проживаете в районе с низким уровнем преступности или используете надежные дверные замки и охранную сигнализации? Но что, если в один прекрасный день в доме по соседству поселяется профессиональный грабитель и через окно примечает у вас дорогую аудио/видеотехнику? В этом случае вероятностный показатель угрозы взлома начинает повышаться. Если бы 10 сентября 2001 г. состоялась встреча сотни специалистов по безопасности мирового уровня, перед которыми была бы поставлена задача оценить вероятностный показатель уничтожения зданий Мирового торгового центра в США и гибели в течение суток 3000 человек, сколько бы из этих экспертов сказало: "Показатель фактически зашкаливает за шкалу измерений"? Проблема с вероятностным показателем по существу заключается в том, что он основан на субъективных суждениях и анализе фактов, уже имевших место быть. И чем наша осведомленность в этом отношении меньше, тем некорректнее оценка риска.
Ситуацию с прогнозированием возникновения рисков вполне можно перенести на уровень конкретной компании. Руководству каждого предприятия следует ответить на простой вопрос: угроза безопасности организации до сих пор не материализовалась благодаря
1) безупречному администрированию и контролю,
2) удачному стечению обстоятельств или
3) тому, что до сих пор компания просто не стала целью атаки.
К чему все эти вопросы? Дело в том, что при построении системы безопасности объекта всегда целесообразнее прогнозировать худший вариант развития событий.
В современном мире информация является важнейшей ценностью, поэтому следует также наиболее тщательным образом планировать реагирование на угрозы в области информационной безопасности (ИБ). Проверить гибкость плана непрерывности бизнеса можно с помощью прямого тренинга. Достаточно собрать в аудитории ответственных за обеспечение ИБ сотрудников, предложив им следующие сценарии: "Наш главный конкурент располагает конфиденциальными данными о наших бизнес-планах", или "Новый вирус преодолел защитную систему и проник в корпоративную сеть", или "Сотрудник за 5 лет присвоил N-ную сумму компании". Каждый из упомянутых сценариев требует не только начальной реакции для локализации угрозы, но также организации эффективного общения заинтересованных сторон и возможное ограничение ущерба. Подобные тренинги помогут понять, подходит ли существующий план обеспечения непрерывности бизнеса для борьбы с реальными угрозами ИБ.
Опубликовано: Журнал "Системы безопасности" #6, 2006
Посещений: 6416
В рубрику "Дайджест" | К списку рубрик | К списку авторов | К списку публикаций
