Аудит информационной безопасности предприятия.

ВВЕДЕНИЕ

Актуальность исследования вопросов аудита информационной безопасности предприятия, заключается в акцентах на безопасность CRM-систем, которые создают условия для безопасного учета и анализа контактов с клиентами. Наиболее востребована она будет у компаний с разветвленной клиентской базой, когда взаимодействие с клиентами носит регулярный и длительный характер, а перечень товаров и услуг очень разноплановый. CRM-системы создают дополнительные возможности для контроля за продажами, учета структуры клиентов, находящихся на обслуживании, помогают в дальнейшем анализе состоявшихся сделок для принятия управленческих решений.
Применение CRM-системы может кардинально изменить организацию труда и эффективность деятельности работников компании. Поэтому необходимо заранее сформулировать задачи, которые будут поставлены для аудита информационной безопасности предприятия, чтобы, приступая к их внедрению в конкретную компанию, получить максимальный эффект. При необходимости для этого можно привлечь профильных специалистов-консультантов.
Аудит информационной безопасности нужен компаниям, имеющим обширную клиентскую базу, где CRM-система работает с большим количеством клиентов, когда требуются многократные контакты и имеется многопрофильный спектр товаров и услуг. Выбор CRM-систем проводится, как правило, исходя из двух критериев:
Бизнес-задачи, которые решает CRM-система. Следует учитывать, что системы, ориентированные на работу в бизнес-среде предприятия, могут быть малоэффективны в сфере розничного сегмента. Поэтому, когда встает вопрос о приобретении CRM-системы, надо сразу обратить внимание, имеет ли она возможность кроме выполнения базовых функций решать задачи узкой специализации, относящиеся к конкретной сфере деятельности.
Количество пользователей. К примеру, число пользователей в среде малого и среднего бизнеса может составлять несколько десятков. Этой ситуации соответствует SalesLogix от компании Sage и Microsoft Dynamics CRM.
Большому бизнес-пространству с многопрофильными, нестандартными проблемами и сотнями сотрудников в штате нужны варианты систем с промышленным уклоном, например Oracle Siebel CRM. Однако подобные решения неплохо зарекомендовали себя в среде российских предпринимателей среднего и малого бизнеса финансовой отрасли (банки и страхование), а также в розничных продажах. Они показали свою эффективность и при создании программ лояльности в среднем розничном бизнесе разных отраслей при грамотном аудите информационной безопасности.
Цель исследования: раскрыть основные вопросы аудита информационной безопасности предприятия.
Задачи исследования:
- раскрыть основы аудита информационной безопасности предприятия;
- сформулировать основы обеспечения аудита информационной безопасности;
- представить особенности аудита информационной безопасности предприятия
- проанализировать аудит информационной безопасности Call-центра;
- сформулировать алгоритм информационной безопасности IТ-аутсорсинга;
- выявить проблемы информационной безопасности «облачных» решений.
Объект исследования: компания «Tell» — агентство, созданное в марте 2010 года. Специализируется на подборе персонала высшего и среднего звена для компаний инвестиционно-банковского сектора, FMCG, финансовой сферы и бухгалтерии, HR и IT.
Предмет исследования: информационная безопаность.
Метод исследования: контент-анализ теории и успешных практик реализации аудита информационной безопасности предприятия.



1. Теоретические аспекты аудита информационной безопасности предприятия

1.1. Основы аудита информационной безопасности предприятия
Число инцидентов в области кибербезопасности постоянно растет, и единственный способ избежать серьезных проблем — выполнять регулярный аудит информационных ресурсов компании.
Ни одна организация в мире не может выявить и устранить абсолютно все угрозы информационной безопасности.
Но чем лучше представлять слабые места системы, тем проще сотрудникам отдела IT-безопасности сосредоточить на них свое внимание и разработать план снижения рисков. Защитить ценные данные, навести порядок в файловых хранилищах и предоставить сотрудникам только необходимый доступ.
Аудит информационной безопасности предприятия [30, с. 187]:
1. Перечислить все IT-активы, потеря или раскрытие которых нанесет ущерб бизнесу. Проанализировать бизнес-процессы, которые зависят от IT-активов.
Продумать, какие именно события могут повлиять на эти активы.
Насколько они вероятны?
2. Сформулировать угрозы, которые нужно устранить для смягчения рисков.
3. Разработать новый план снижения рисков или скорректировать старый.
Аудит рисков информационных ресурсов можно выполнить самостоятельно с помощью штатных инструментов Windows. Но лучше использовать автоматизированные средства, которые проанализируют слабые места и усилят кибербезопасность современными методами.
Представим, зачем бизнесу тратить ресурсы на аудит информационной безопасности предприятия:
Оценка рисков информационных ресурсов требует затрат, но экономить точно не стоит, и вот почему. Узнать профиль риска — значит найти слабые места IT-системы. Например: определить источники внутренних угроз:
- уволенные сотрудники с сохраненным доступом к ресурсам компании;
- характер риска: отсутствие контроля за доступом к коммерческой тайне;
- вероятность наступления инцидента.
Проранжировать риски от наиболее вероятных — к менее.
Особое внимание — первым.
Выявить и устранить уязвимости [12, с. 114]:
Методология оценки рисков в регламентах информационной безопасности предприятия помогает не только найти уязвимости, но и понять, как их устранить.
Тот, кто проводит аудит, ставит себя на место злоумышленника:
Какая информация представляет интерес?
Какую выгоду можно из нее извлечь?
Благодаря такому подходу можно сравнить желаемый уровень безопасности с реальным и определить шаги к достижению более высокого уровня.
Иногда, чтобы проверить надежность средств безопасности и протоколов, приглашают специалиста с навыками хакера.
Закрыть информацию для посторонних, убрать секретные документы из общего доступа, убедиться, что конфиденциальные бумаги не копируют.
Провести инвентаризацию информационных активов:
Далеко не каждый руководитель бизнеса представляет себе объем всех IT-активов. Оценка риска кибер-угроз помогает разобраться в структуре ценной для компании информации.
Информационные активы — это важные для бизнеса данные на любом носителе.
IT-активы бывают [6, с. 105]:
- открытыми — можно распространить без ущерба;
- для служебного пользования — огласка спровоцирует репутационные и финансовые риски;
- конфиденциальными — с ограниченным доступом или с грифом «Секретно».
Доступна только нескольким людям из топ-менеджмента.
Утечка нанесет непоправимый вред компании.
Без понимания того, что нужно защищать, в каком объеме и где эта информация находится, дальнейшие шаги в области безопасности бессмысленны.
Снизить расходы:
Точная оценка IT-активов и их защищенности означает, что можно увидеть, куда именно направить ресурсы, чтобы снизить риски.
Это дешевле, чем постоянно сканировать все участки IT-контура и активно защищать те, где риски минимальны.
Беречь информацию от утечки важно не только в интересах компании.
Этого требует законодательство [24, с. 97]:
№152-ФЗ «О персональных данных»;
Требования ФСТЭК по обеспечению мер безопасности для объектов КИИ;
Стандарт по обеспечению информационной безопасности банков РФ СТО БР ИББС.
Если компания вышла на международный уровень, она обязана подчиняться и требованиям международного законодательства в области раскрытия данных.
Так, проводить оценку по GDPR и соблюдать стандарты PCI DSS или SOX при работе с контрагентами из ЕС.
Также отраслевая специфика накладывает дополнительные обязательства: например, медицинские организации обязаны соблюдать HIPAA, который обеспечивает сохранность баз данных пациентов.
Что в итоге:
Утечки финансовых отчетов, информации о новом продукте, персональных данных сотрудников и клиентской базы опасны для компании.
Придется платить штрафы, уступать конкурентам, отчитываться перед Роскомнадзором, отрабатывать негатив в СМИ.
Самый надежный способ профилактики неприятностей — регулярно проводить аудит рисков информационной безопасности предприятия. Это не просто сохранит компании критически важные данные, но и поможет в создании эффективной политики безопасности, наладит взаимопонимание между руководством компании, IT-отделом и офицерами безопасности. Поэтому так важно реализовать четкую программу кибербезопасности, которая сэкономит деньги и защитит от ненужного внимания Роскомнадзора и негатива в СМИ.