Олег Карпович - Актуальные уголовно-правовые проблемы борьбы с финансовым мошенничеством

• исключить доступ к информации со стороны преступных группировок;

• исключить несанкционированное получение абонентами системной информации, не соответствующей их полномочиям.

Внедрение процесса информационной безопасности сегодня стало насущной необходимостью для большинства российских компаний.

Приведем пример десяти рекомендаций, выполнение которых позволяет наладить устойчивый процесс управления информационной безопасностью компании 2.

/. Изучение стандартов в области информационной безопасности.

В первую очередь следует изучить стандарты серии ISO 2700х. Они содержат вводную терминологию и дают представление об основных принципах и методах построения системы информационной защиты. В качестве первоочередных мероприятий, как правило,

1Как показали опросы работников правоохранительных органов в отношении банковского законодательства, и в частности, по поводу ст. 25 «Банковская тайна» (Закон РФ «О банках и банковской деятельности»), 91,5% опрошенных считают, что банковскую тайну хранить необходимо, но не от правоохранительных органов; следует разрешить получать справки всем ведущим борьбу с преступностью органам по письменным запросам. Еще 41,5% опрошенных сотрудников правоохранительных органов отметили, что статья противоречит другим нормативным актам, в частности, Законам РФ «О милиции» и «Об оперативнорозыскной деятельности в Российской Федерации»; ее требования не позволяют эффективно бороться с правонарушениями в банковской системе и другими экономическими правонарушениями.

2 Коптелов А. Как построить цифровую крепость // Экономическая безопасность. 2008. № 7—8. С. 58—63.

262

рекомендуется выработать политику или концепцию информационной безопасности, необходимо выстроить процесс, включающий в себя процедуры управления рисками, планирования, исполнения и контроля мероприятий по информационной безопасности.

Наиболее эффективный подход к определению приоритетов в области защиты информации основан на оценке рисков. Для построения системы управления рисками в сфере IT-безопасности часто используется метод GRAMM (UK Government Risk Analysis and Management Method), который был разработан и принят в качестве государственного стандарта в Великобритании. Метод GRAMM широко используется во всем мире. Одним из его основных достоинств является возможность экономически обосновать расходы организации на управление информационной безопасностью.

2. Структурирование информации и определение уровней конфиденциальности.

Структурировать информацию необходимо для того, чтобы была возможность определить объекты защиты. В большинстве случаев классификация информационных ресурсов строится по функциональному признаку. В соответствии с таким подходом следует назначить владельцев информационных ресурсов и определить уровни конфиденциальности.

Занимаясь наведением порядка в информационном окружении компании, целесообразно задуматься и о внедрении средств управления документооборотом.

3. Установление порядка доступа к материалам.

Процедуру предоставления доступа к информации необходимо описать и закрепить регламентом, причем срок выполнения этой процедуры должен быть минимальным, поскольку от этого зависит конкурентоспособность компании. В то же время излишнее упрощение данного порядка таит в себе другую опасность — появляется вероятность несанкционированного доступа к конфиденциальной информации.

Необходимо найти «золотую середину» между ограничениями, связанными с информационной защитой, и свободой обмена информацией внутри и вне компании.

4. Обсуждение вопросов информационной безопасности на совещаниях совета директоров.

В соответствии со стандартами следует создать специальный комитет по информационной безопасности.

5. Проведение экспертной оценки рисков информационной безопасности.

Результатом этой процедуры должен стать список всех потенциальных рисков. Поэтому после выявления рисков необходимо провести их оценку, для чего следует привлекать внутренних экспер-263 тов. После анализа и суммирования оценок нужно определить точку отсечения, иначе говоря, выделить ту группу рисков, которые являются наиболее приоритетными, а остальные риски достаточно просто принять к сведению.

6. Составление плана мероприятий по повышению уровня защищенности.

Планирование мероприятий по информационной безопасности необходимо для того, чтобы были определены сроки и составлен перечень работ, которые необходимы для предотвращения или минимизации ущерба в случае реализации риска.

Результатом процедуры планирования должен стать план-график работ по исключению или минимизации ущерба от реализованного риска.

Целью процесса управления информационной безопасностью является выполнение запланированных мероприятий по минимизации рисков, контроль качества полученных результатов и сроков их выполнения.

7. Определение группы риска среди сотрудников компании.

Внешние угрозы информационной безопасности уже не являются первоочередными для большинства компаний. Внутренняя угроза — вот откуда исходит главная опасность, с которой и нужно бороться. Нелояльность сотрудников часто становится причиной утечек информации и последующих скандалов. Поэтому основным методом борьбы с такими угрозами являются меры, повышающие лояльность персонала.

Не секрет, что в России разница в доходах владельцев компаний и наемных сотрудников намного выше европейского уровня. Следовательно, внедрение правильной системы мотивации менеджеров и сотрудников позволит избежать многих неприятностей, в том числе и в области информационной безопасности.

8. Обеспечение учета нарушений информационной безопасности.

Учет инцидентов обеспечивает статистический материал для налаживания обратной связи, которая необходима в процессе управления информационной безопасностью.

Регистрация нарушений информационной безопасности должна вестись на регулярной основе. По сути, необходимо наладить учет всех произошедших инцидентов, что позволит оценить убытки, вызванные нарушениями информационной защиты. С целью стимулирования сотрудников неплохо внедрить систему премий за выявление нарушений информационной безопасности.

9. Организация процесса тестирования уровня информационной безопасности.

Необходимо регулярно осуществлять тестирование текущего уровня информационной безопасности. Под тестированием информационной безопасности понимается аудит правильности выполне-264 ния всех процедур по предотвращению рисков, их регистрации, предоставления доступа и т.д. Такое тестирование позволит проверить результативность существующих превентивных контрольных процедур и наметить направления их совершенствования. Например, всякий документ, исходящий из компании, должен быть создан с участием как минимум двух человек, или доступ к материалам должны подтвердить два человека из разных функциональных подразделений и т.д.