Сознательный сотрудник – безопасная организация, часть 1

Мы начинаем серию статей «Сознательный сотрудник — безопасная организация»
Сегодня информация является ценным активом для организаций, ресурсом знаний компаний и оказывает решающее влияние на текущую деятельность и дальнейшее развитие. Основная цель управления информационной безопасностью — защита информации, собранной, а также обрабатываемой, что невозможно без участия сотрудников, начиная от высшего руководства и менеджмента, сотрудниками среднего звена и рядовыми работниками заканчивая.

Информационная безопасность организации
Информационная безопасность включает в себя защиту от утечек, кражи или изменений, как случайных, так и преднамеренных. Система управления информационной безопасности (СУИБ) в организациях является эффективным инструментом для защиты интересов владельцев и пользователей информации. Следует отметить, что СУИБ должна быть построена основываясь на хороших практиках, которые можно найти в международных стандартах, в частности ISO/IEC 27001, COBIT, PSI DSS. Потери могут быть вызваны не только несанкционированным доступом к информации, они могут быть результатом аппаратного сбоя, сбоя в электроснабжении или сбоев при передаче информации.
Углубляясь в тему информационной безопасности рассмотрим основные понятия, цели и роль информационной безопасности.
Термин «информационная безопасность» описывает ситуацию, исключающую доступ к ознакомлению, просмотра, проверки записи или уничтожения данных лицами без соответствующих разрешений. Это понятие включает в себя защиту систем обработки и хранения данных с помощью современных технологий и инновационных устройств.
Информационная безопасность охватывает весь комплекс мероприятий по обеспечению целостности и конфиденциальности информации, которая должна быть доступной для пользователей с соответствующими правами и/или разрешениями.
Три кита информационной безопасности:
• Конфиденциальность — обеспечение того, чтобы информация была доступна только для уполномоченных лиц;
• Целостность — обеспечение точности и полноты информации и методов ее обработки;
• Доступность — обеспечение уполномоченным лицам доступа к информации и связанных с ними активов, когда это необходимо (в необходимый для него время).
Целью информационной безопасности является минимизация ущерба в результате нарушения требований целостности, конфиденциальности и доступности.

Zobacz podobne  Уязвимости безопасности и их раскрытие. Обзор ISO/IEC 29147 и ISO 30111. Часть 1

Почему ангажированность и осведомленность играют важную роль в обеспечении информационной безопасности? 
Все аналитики сходятся в одном: «человеческий фактор» является наиболее уязвимым пунктом в каждой системе и несет наибольшую угрозу для информационной безопасности организации. Речь идет не только о тех, кто целенаправленно продает секреты организации, а о банальной глупости, легкомыслии, безответственности, отсутствии знаний или нежелании применять и придерживаться правил, которые могут привести к очень серьезным инцидентам, имеющим значительные финансовые последствия и отражающимся на имидже организации. Кроме того, хакеры — не идиоты, ломать современные системы безопасности — это сложно и дорого, а использовать сотрудника достаточно быстро, легко и дешево.
Каждый специалист, отвечающий за информационную безопасность в организации знает, что от 60 до 80% всех инцидентов и нарушений в области информационной безопасности вызвано персоналом. В то же время, большинство нарушений, в основном, связаны с отсутствием осведомленности сотрудников в вопросах информационной безопасности.

Zobacz podobne  Стандарт ISO 29993: 2017

Рис. Потери от различных источников угроз

При этом большинство сотрудников в организациях убеждены, что они не имеют ничего общего с информационной безопасностью.
Действительно, организации, особенно крупные, часто атакуют извне, но по крайней мере 925 известных значимых инцидентов были связаны с деятельностью сотрудников. И далеко не все сотрудники имели намерение навредить предприятию либо нанести ущерб. Утечки и потери данных, вызванные в первую очередь невнимательностью или недостаточной информированностью сотрудников, в том числе менеджеров — нередкость и появляются с довольно частой регулярностью. Несмотря на последствия, вызванные инцидентами, угроза изнутри является мировым лидером. Статистика прошлого года говорит о том, что если хакеры украли около 1,7 миллиарда записей, то внутренние факторы привели к потере 2,6 млрд записей!
Как вы видите достаточно много организационной работы в области информационной безопасности есть в каждой организации. Вам нужна помощь? Обратитесь к нам! Наши специалисты помогут Вам!

Zobacz podobne  Новый стандарт ISO/IEC 27001:2022

Продолжение следует;)

Прокрутить вверх