22 сентября в Ташкенте, в гостинице “DEDEMAN SILK ROAD TASHKENT” прошел семинар посвященный информационной безопасности, проведенный компанией Делойт и Туш СНГ (Deloitte & Touche CIS), подразделением международной компании Deloitte Touche Tohmatsu.
Особо представлять компанию
Одной из сфер деятельности компании является управление рисками. Deloitte предоставляет клиентам консультации по управлению рисками, которые могут возникнуть на разных уровнях организации предприятия, включая стратегические, производственные, финансовые и прочие риски. Помимо этого компания предлагает организациям решения, направленные на выявление и измерение факторов риска, и оценку соответствия существующих систем и бизнес-процессов техническим требованиям, в целях увеличения надежности и эффективности работы всего предприятия.
Этим вопросам и был посвящен сегодняшний семинар. Открыл его Фаниль Мухамедгалиев с докладом «Создание и поддержка системы внутренних контролей».
Что же это такое и для чего они необходимы? Внутренние Контроли это механизмы управления (политики, процедуры, практики и организационные структуры) предназначенные для предоставления обоснованных гарантий достижения бизнес целей, а также предотвращения, обнаружения и корректировки нежелательных событий.
Предприятие без эффективной системы контролей заведомо обречено на неуспех. Ведь в этом случае никто, включая руководство, не в курсе того, что происходит на предприятии, куда уходят средства, чем и зачем занимаются сотрудники, какие локальные задачи и кому ставятся. Короче говоря, полная анархия.
Внедрение системы внутренних контролей повышает эффективность работы предприятия, снижает риски, предоставляет эффективный механизм контроля за деятельностью каждой рабочей группы и предприятия в целом и ведет, в конечном счете, к созданию высокоорганизованной, управляемой, безопасной ИТ инфраструктуры компании.
Построение системы внутренних контролей состоит из нескольких этапов:
- Определение цели (Где мы хотим быть?) - Создание высоко организованной, управляемой, безопасной ИТ инфраструктуры с измеряемыми показателями работы, с постоянно улучшающимся качеством предоставления ИТ услуг.
- Исследование и анализ (Где мы сейчас?) - Оценка и анализ текущей ситуации, анализ рисков связанных с использованием существующего подхода к управлению ИТ инфраструктурой.
- Реализация (Что нам нужно сделать?) - Составление по итогам анализа и оценки отчета и выработка на его основе плана действий по устранению недостатков и внедрению соответствующих процессов. В плане указываются приоритетные сроки с установлением контрольных точек и индикаторов достижения целей, оценочный объем необходимых ресурсов (время, сотрудники, технологии, оборудование и т.д.)
- Мониторинг и оценка (Достигли ли мы цели?) - Мониторинг и анализ каждого этапа выполнения задач из плана действий, Отчет по количественным и качественным показателям, Метрики для оценки достижения целей, Постоянный мониторинг и предоставление отчетности, Оптимизация и совершенствование процессов.
Семинар продолжил Искандер Конеев, рассказав собравшимся о новостях в области информационной безопасности и ситуации с нею в России и СНГ. По его словам, уровень зрелости ведущих компаний уже таков, что они переходят от покупки простых технических средств для обеспечения безопасности к покупке консалтинговых решений. Например, в банковской сфере большинство банков предоставляет клиентам сходные услуги. Клиенты же при прочих равных условиях стараются работать с теми банками, где уделено внимание вопросам информационной безопасности. И немудрено – речь идет о деньгах.
В сходной ситуации сейчас и телекоммуникационные компании – по сетям текут уже не только простые данные, но и деньги. Здесь так же обеспечение информационной безопасности выходит на первый план.
Как же обеспечить на предприятии приемлемый уровень информационной безопасности? Этому и был посвящен следующий доклад Искандера Конеева. В нем подробно рассматривались методы разработки политики информационной безопасности «сверху вниз», в виде некой иерархической структуры, приведенной ниже.
- Концепция (Политика верхнего уровня) – принципиальные основы функционирования информационной безопасности на предприятии.
- Стандарты (Политики по направлениям) – что должно присутствовать или быть достигнуто на предприятии, чтобы соответствовать принципиальным основам Концепции
- Процедуры – что должны делать или не делать сотрудники предприятия, чтобы соответствовать Стандартам
- Методики – как выполнять Процедуры, детальное пояснение
- Аварийный план – что и как делать, если случилась непредвиденная или угрожающая ситуация
Также говорилось о необходимости выработки стратегии, где описываются цели и методы их достижения.
Кроме того, были рассмотрены вопросы необходимости четкого распределения ролей в управлении информационной безопасностью, а также введения системы ключевых индикаторов производительности для контроля.
Наконец, последний доклад Искандера Конеева был посвящен основополагающему понятию – анализу информационных рисков, поскольку это – основа построения систем управления информационной безопасностью. Докладчик рассказал о технологии подсчета рисков, количественной и качественной, о типах защищаемых данных а также о сопутствующих проблемах и тонкостях анализа.
Семинар завершился вопросами по практическому применению изложенных в докладах принципов и концепций, а также мини-викториной по вопросам информационной безопасности.
Статистика просмотров страницы:
- за прошлый месяц (Февраль 2024) - 3;
- за последние 3 месяца (Декабрь 2023 - Февраль 2024) - 3;
- за последний год (Март 2023 - Февраль 2024) - 11;