Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как донести до руководства важность защиты информации и обосновать затраты на нее?

Как донести до руководства важность защиты информации и обосновать затраты на нее?

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Как донести до руководства важность защиты информации и обосновать затраты на нее?

Защита информации – понятие эфемерное, зачастую даже специалисту трудно бывает с ходу назвать конкретные меры и конкретные суммы, тогда как руководство как раз интересует вопрос стоимости и времени.
Ксения Шудрова
специалист по защите информации
ОАО "Красноярсккрайгаз"

Предложение по защите информации на предприятии в первую очередь должно отвечать следующим требованиям – простое изложение и примеры из реальной жизни. Любой руководитель заинтересован  в  том,  чтобы сотрудники предлагали экономить  деньги,  поэтому важно показать, что затраты на ИБ не будут превышать ее стоимость и что многое делается почти бесплатно. Подготовку предложения условно можно представить в виде пяти этапов (шагов).

Шаг 1: определение ИБ-рисков

На данном этапе важно показать максимально наглядно, что будет, если произойдет утечка информации. Наиболее характерными последствиями утечек информации являются следующие:

  • При утечке информации, необходимой для работы с банками, возможны финансовые потери.
  • При утечке информации разрабатываемых проектах существует вероятность появления аналогичных планов у конкурентов.
  • При утечке информации о топологии сети, состоянии ее защищенности и слабых местах возможен дальнейший взлом с целью получения более важной информации или блокирования работы сети.
  • При утечке информациинедоработках, а также любых нарушениях весьма вероятны внеплановые проверки контролирующих органов.
  • При утечке секрета производства возможна полная остановка деятельности предприятия в результате потери уникальности оказываемых услуг.

Шаг 2: наглядное обоснование необходимости защиты

Лучше всего для данной цели подходят предписания контролирующих органов и судебная практика. Например, предписания по персональным данным можно найти на официальном сайте Роскомнадзора, они содержат в себе информацию по тем нарушениям, на которые обращают внимание в первую очередь. Также в своем предложении можно использовать данные статистики. Например, обосновывая необходимость покупки антивирусной программы, полезно будет привести количество существующих вирусных сигнатур, вирусную активность, возможный ущерб от заражения.

Шаг 3: перечисление преимуществ появления в организации комплексной системы ИБ

К таким преимуществам можно отнести:

  • Контроль за потоками информации и действиями сотрудников.
  • Выполнение обязательных требований законодательства.
  • Возможность сертификации на соответствие международным стандартам.
  • Повышение доверия со стороны других организаций.
  • Возможность отстаивать свои интересы в суде при возникновении утечки информации.
  • Уменьшение потерь данных, их компрометации и вынужденных простоев.
  • Оптимизация процессов обработки информации.

Шаг 4: предложение мероприятий, не требующих существенных финансовых затрат

Данные мероприятия можно условно разделить на восемь основных направлений:

  • Организационные меры: инструкции, порядки, положения, приказы и т.д.
  • Технические меры: защита встроенными в операционную систему средствами защиты информации.
  • Пропускной режим: вахта, турникет, бумажные пропуска для сотрудников и на материальные ценности.
  • Уничтожение документов: сжигание   с   комиссионным составлением акта.
  • Хранение носителей информации: закрывающиеся шкафы для документов и съемных носителей информации.
  • Учет носителей информации и  инвентаризация:  ведение бумажных журналов.
  • Работа с сотрудниками: самостоятельное обучение сотрудников, консультации.
  • Обнаружение инцидентов собственными силами.

Шаг 5: определение дальнейших перспектив защиты информации

Подготовку предложения условно можно представить в виде следующих шагов:

  • Определить основные ИБ-риски в результате утечки информации.
  • Рассказать об уже произошедших инцидентах в области ИБ и привести статистику.
  • Показать положительные моменты создания системы защиты информации.
  • Перечислить мероприятия, требующие минимум финансовых средств.
  • Предложить более дорогостоящие мероприятия, которые позволят автоматизировать работу по защите информации и сделать ее более эффективной.

Пятый шаг включает в себя:

  • Технические меры: антивирусная программа, межсетевой экран, система защиты от НСД.
  • Пропускной режим: электронная проходная.
  • Уничтожение документов: шредер.
  • Хранение носителей информации: сейфы.
  • Учет носителей информации и инвентаризация: программа для автоматического учета ресурсов.
  • Работа с сотрудниками: семинары, платное обучение.
  • Обнаружение инцидентов: средства обнаружения вторжений, система анализа уязвимостей.

Данный список является достаточно условным и его можно дополнить, исходя из задач и возможностей предприятия. По завершении пятого шага предложение по защите информации можно считать готовым. Используя приведенные советы и учитывая специфику конкретного предприятия, возможно создать грамотное предложение, которое будет положительно воспринято руководством.

Самым сложным является обоснование важности защиты информации в самом начале, в дальнейшем положительный эффект от проводимых мероприятий будет достаточным поводом для выделения необходимых финансовых, временных и человеческих ресурсов. Остается только набраться терпения и упорно работать!

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2011

Приобрести этот номер или подписаться

Статьи про теме