Вопросы практического применения анализа рисков в процессах управления информационной безопасностью, а также общая проблематика самого процесса анализа рисков информационной безопасности.

В процессе управления любым направлением деятельности необходимо вырабатывать осознанные и эффективные решения, принятие которых помогает достичь определенных целей. На наш взгляд, адекватное решение можно принять только на основании фактов и анализа причинно-следственных связей. Конечно, в ряде случаев решения принимаются и на интуитивном уровне, но качество интуитивного решения очень сильно зависит от опыта менеджера и в меньшей степени - от удачного стечения обстоятельств.

Для иллюстрации того, насколько сложен процесс принятия обоснованного и соответствующего реалиям решения, приведем пример из области управления информационной безопасностью (ИБ). Возьмем типичную ситуацию: начальнику отдела ИБ необходимо понять, в каких направлениях двигаться в целях эффективной отработки своей основной функции - обеспечения информационной безопасности организации. С одной стороны, все очень просто. Есть ряд стандартных подходов к решению проблем безопасности: защита периметров, защита от инсайдеров, защита от обстоятельств форс-мажорного характера. И существует множество продуктов, позволяющих решить ту или иную задачу (защититься от той или иной угрозы).

Однако есть небольшое «но». Специалисты отдела ИБ сталкиваются с тем, что выбор продуктов различного класса очень широк, информационная инфраструктура организации очень масштабна, количество потенциальных целей атак нарушителей велико, а деятельность подразделений организации разнородна и не поддается унификации. При этом каждый специалист отдела имеет собственное мнение о приоритетности направлений деятельности, соответствующее его специализации и личным приоритетам. А внедрение одного технического решения или разработка одного регламента или инструкции в крупной организации выливается в небольшой проект со всей атрибутикой проектной деятельности: планирование, бюджет, ответственные, сроки сдачи и т. п.

Таким образом, защититься повсюду и от всего, во-первых, не представляется возможным физически, а во-вторых, лишено смысла. Что в данном случае может сделать начальник отдела ИБ?

Во-первых, он может не делать ничего до первого серьезного инцидента. Во-вторых - попытаться реализовать какой-либо общепринятый стандарт обеспечения ИБ. В-третьих - довериться маркетинговым материалам производителей программно-аппаратных средств и интеграторам или консультантам в области ИБ. Тем не менее есть и другой путь.

Определение целей управления информационной безопасностью

Можно попытаться - при помощи руководства и работников организации - понять, что же на самом деле нужно защищать и от кого. С этого момента начинается специфическая деятельность на стыке технологий и основного бизнеса, которая состоит в определении того направления деятельности и (если возможно) целевого состояния обеспечения ИБ, которое будет сформулировано одновременно и в бизнес-терминах, и в терминах ИБ.

Процесс анализа рисков - это и есть инструмент, с помощью которого можно определить цели управления ИБ, оценить основные критичные факторы, негативно влияющие на ключевые бизнес-процессы компании, и выработать осознанные, эффективные и обоснованные решения для их контроля или минимизации.

Ниже мы расскажем, какие задачи решаются в рамках анализа рисков ИБ для получения перечисленных результатов и каким образом эти результаты достигаются в рамках анализа рисков.

Идентификация и оценка активов

Цель управления ИБ состоит в сохранении конфиденциальности, целостности и доступности информации. Вопрос только в том, какую именно информацию необходимо охранять и какие усилия прилагать для обеспечения ее сохранности (рис. 1).

Любое управление основано на осознании ситуации, в которой оно происходит. В терминах анализа рисков осознание ситуации выражается в инвентаризации и оценке активов организации и их окружения, т. е. всего того, что обеспечивает ведение бизнес-деятельности. С точки зрения анализа рисков ИБ к основным активам относятся непосредственно информация, инфраструктура, персонал, имидж и репутация компании. Без инвентаризации активов на уровне бизнес-деятельности невозможно ответить на вопрос, что именно нужно защищать. Очень важно понять, какая информация обрабатывается в организации и где выполняется ее обработка.

В условиях крупной современной организации количество информационных активов может быть очень велико. Если деятельность организации автоматизирована при помощи ERP-системы, то можно говорить, что практически любому материальному объекту, использующемуся в этой деятельности, соответствует какой-либо информационный объект. Поэтому первоочередной задачей управления рисками становится определение наиболее значимых активов.

Решить эту задачу невозможно без привлечения менеджеров основного направления деятельности организации как среднего, так и высшего звена. Оптимальна ситуация, когда высший менеджмент организации лично задает наиболее критичные направления деятельности, для которых крайне важно обеспечить информационную безопасность. Мнение высшего руководства по поводу приоритетов в обеспечении ИБ очень важно и ценно в процессе анализа рисков, но в любом случае оно должно уточняться путем сбора сведений о критичности активов на среднем уровне управления компанией. При этом дальнейший анализ целесообразно проводить именно по обозначенным высшим менеджментом направлениям бизнес-деятельности. Полученная информация обрабатывается, агрегируется и передается высшему менеджменту для комплексной оценки ситуации (но об этом чуть позже).

Идентифицировать и локализовать информацию можно на основании описания бизнес-процессов, в рамках которых информация рассматривается как один из типов ресурсов. Задача несколько упрощается, если в организации принят подход регламентации бизнес-деятельности (например, в целях управления качеством и оптимизации бизнес-процессов). Формализованные описания бизнес-процессов служат хорошей стартовой точкой для инвентаризации активов. Если описаний нет, можно идентифицировать активы на основании сведений, полученных от сотрудников организации. После того как активы идентифицированы, необходимо определить их ценность.

Работа по определению ценности информационных активов в разрезе всей организации одновременно наиболее значима и сложна. Именно оценка информационных активов позволит начальнику отдела ИБ выбрать основные направления деятельности по обеспечению информационной безопасности.

Ценность актива выражается величиной потерь, которые понесет организация в случае нарушения безопасности актива. Определение ценности проблематично, потому что в большинстве случаев менеджеры организации не могут сразу же дать ответ на вопрос, что произойдет, если, к примеру, информация о закупочных ценах, хранящаяся на файловом сервере, уйдет к конкуренту. Вернее сказать, в большинстве случаев менеджеры организации никогда не задумывались о таких ситуациях.

Но экономическая эффективность процесса управления ИБ во многом зависит именно от осознания того, что нужно защищать и какие усилия для этого потребуются, так как в большинстве случаев объем прилагаемых усилий прямо пропорционален объему затрачиваемых денег и операционных расходов. Управление рисками позволяет ответить на вопрос, где можно рисковать, а где нельзя. В случае ИБ термин «рисковать» означает, что в определенной области можно не прилагать значительных усилий для защиты информационных активов и при этом в случае нарушения безопасности организация не понесет значимых потерь. Здесь можно провести аналогию с классами защиты автоматизированных систем: чем значительнее риски, тем более жесткими должны быть требования к защите.

Чтобы определить последствия нарушения безопасности, нужно либо иметь сведения о зафиксированных инцидентах аналогичного характера, либо провести сценарный анализ. В рамках сценарного анализа изучаются причинно-следственные связи между событиями нарушения безопасности активов и последствиями этих событий для бизнес-деятельности организации. Последствия сценариев должны оцениваться несколькими людьми, итерационным или совещательным методом. Следует отметить, что разработка и оценка таких сценариев не может быть полностью оторвана от реальности. Всегда нужно помнить, что сценарий должен быть вероятным. Критерии и шкалы определения ценности индивидуальны для каждой организации. По результатам сценарного анализа можно получить информацию о ценности активов.

Если активы идентифицированы и определена их ценность, можно говорить о том, что цели обеспечения ИБ частично установлены: определены объекты защиты и значимость поддержания их в состоянии информационной безопасности для организации. Пожалуй, осталось только определить, от кого необходимо защищаться.

Анализ источников проблем

После определения целей управления ИБ следует проанализировать проблемы, которые мешают приблизиться к целевому состоянию. На этом уровне процесс анализа рисков спускается до информационной инфраструктуры и традиционных понятий ИБ - нарушителей, угроз и уязвимостей (рис. 2).

Модель нарушителя

Для оценки рисков недостаточно ввести стандартную модель нарушителя, разделяющую всех нарушителей по типу доступа к активу и знаниям о структуре активов. Такое разделение помогает определить, какие угрозы могут быть направлены на актив, но не дает ответа на вопрос, могут ли эти угрозы быть в принципе реализованы.

В процессе анализа рисков необходимо оценить мотивированность нарушителей при реализации угроз. При этом под нарушителем подразумевается не абстрактный внешний хакер или инсайдер, а сторона, заинтересованная в получении выгоды путем нарушения безопасности актива.

Первоначальную информацию о модели нарушителя, как и в случае с выбором изначальных направлений деятельности по обеспечению ИБ, целесообразно получить у высшего менеджмента, представляющего себе положение организации на рынке, имеющего сведения о конкурентах и о том, каких методов воздействия можно от них ожидать. Сведения, необходимые для разработки модели нарушителя, можно получить и из специализированных исследований по нарушениям в области компьютерной безопасности в той сфере бизнеса, для которой проводится анализ рисков. Правильно проработанная модель нарушителя дополняет цели обеспечения ИБ, определенные при оценке активов организации.

Модель угроз

Разработка модели угроз и идентификация уязвимостей неразрывно связаны с инвентаризацией окружения информационных активов организации. Сама собой информация не хранится и не обрабатывается. Доступ к ней обеспечивается при помощи информационной инфраструктуры, автоматизирующей бизнес-процессы организации. Важно понять, как информационная инфраструктура и информационные активы организации связаны между собой. С позиции управления ИБ значимость информационной инфраструктуры может быть установлена только после определения связи между информационными активами и инфраструктурой. В том случае, если процессы поддержания и эксплуатации информационной инфраструктуры в организации регламентированы и прозрачны, сбор информации, необходимый для идентификации угроз и оценки уязвимостей, значительно упрощается.

Разработка модели угроз - работа для профессионалов в области ИБ, которые хорошо представляют себе, каким образом нарушитель может получить неавторизованный доступ к информации, нарушая периметр защиты или действуя методами социальной инженерии. При разработке модели угроз можно также говорить о сценариях как о последовательных шагах, в соответствии с которыми могут быть реализованы угрозы. Очень редко случается, что угрозы реализуются в один шаг путем эксплуатации единственного уязвимого места системы.

В модель угроз следует включить все угрозы, выявленные по результатам смежных процессов управления ИБ, таких как управление уязвимостями и инцидентами. Нужно помнить, что угрозы необходимо будет ранжировать друг относительно друга по уровню вероятности их реализации. Для этого в процессе разработки модели угроз для каждой угрозы необходимо указать наиболее значимые факторы, существование которых оказывает влияние на ее реализацию.

Идентификация уязвимостей

Соответственно после разработки модели угроз необходимо идентифицировать уязвимости в окружении активов. Идентификация и оценка уязвимостей может выполняться в рамках еще одного процесса управления ИБ - аудита. Тут не стоит забывать, что для проведения аудита ИБ необходимо разработать критерии проверки. А критерии проверки могут быть разработаны как раз на основании модели угроз и модели нарушителя.

По результатам разработки модели угроз, модели нарушителя и идентификации уязвимостей можно говорить о том, что определены причины, влияющие на достижение целевого состояния информационной безопасности организации.

Оценка рисков

Идентифицировать и оценить активы, разработать модель нарушителя и модель угроз, идентифицировать уязвимости - все это стандартные шаги, описание которых должно присутствовать в любой методике анализа рисков. Все перечисленные шаги могут выполняться с различным уровнем качества и детализации. Очень важно понять, что и как можно сделать с огромным количеством накопленной информации и формализованными моделями. На наш взгляд, этот вопрос наиболее важен, и ответ на него должна давать используемая методика анализа рисков.

Полученные результаты необходимо оценить, агрегировать, классифицировать и отобразить. Так как ущерб определяется на этапе идентификации и оценки активов, необходимо оценить вероятность событий риска. Как и в случае с оценкой активов, оценку вероятности можно получить на основании статистики по инцидентам, причины которых совпадают с рассматриваемыми угрозами ИБ, либо методом прогнозирования - на основании взвешивания факторов, соответствующих разработанной модели угроз.

Хорошей практикой для оценки вероятности станет классификация уязвимостей по выделенному набору факторов, характеризующих простоту эксплуатации уязвимостей. Прогнозирование вероятности угроз проводится уже на основании свойств уязвимости и групп нарушителей, от которых исходят угрозы.

В качестве примера системы классификации уязвимостей можно привести стандарт CVSS - common vulnerability scoring system. Следует отметить, что в процессе идентификации и оценки уязвимостей очень важен экспертный опыт специалистов по ИБ, выполняющих оценку рисков, и используемые статистические материалы и отчеты по уязвимостям и угрозам в области информационной безопасности.

Величину (уровень) риска следует определить для всех идентифицированных и соответствующих друг другу наборов «актив - угроза». При этом величина ущерба и вероятности не обязательно должны быть выражены в абсолютных денежных показателях и процентах; более того, как правило, представить результаты в такой форме не удается. Причина этого - используемые методы анализа и оценки рисков информационной безопасности: сценарный анализ и прогнозирование.

Принятие решения

Что же можно сделать с полученным результатом оценки?

В первую очередь следует разработать простой и наглядный отчет об анализе рисков, основной целью которого будет презентация собранной информации о значимости и структуре рисков ИБ в организации. Отчет следует представить высшему руководству организации. Распространенная ошибка состоит в том, что вместо выводов высшему руководству представляют промежуточные результаты. Несомненно, все выводы должны быть подтверждены аргументами - к отчету необходимо приложить все промежуточные выкладки.

Для наглядности отчета риски необходимо классифицировать в привычных для организации бизнес-терминах, сходные риски - агрегировать. В целом классификация рисков может быть многогранной. С одной стороны, речь идет о рисках информационной безопасности, с другой - о рисках ущерба для репутации или потери клиента. Классифицированные риски необходимо ранжировать по вероятности их возникновения и по значимости для организации.

Отчет об анализе рисков отражает следующие сведения:

• наиболее проблемные области обеспечения ИБ в организации;
• влияние угроз ИБ на общую структуру рисков организации;
• первоочередные направления деятельности отдела ИБ по повышению эффективности обеспечения ИБ.

На основании отчета об анализе рисков руководитель отдела ИБ может разработать план работы отдела на среднесрочный период и заложить бюджет исходя из характера мероприятий, необходимых для снижения рисков. Отметим, что правильно составленный отчет об анализе рисков позволяет начальнику отдела ИБ найти общий язык с высшим менеджментом организации и решить актуальные проблемы, связанные с управлением ИБ (рис. 3).

Политика обработки рисков

Очень важный вопрос - политика управления рисками организации. Политика задает правила обработки рисков. Например, в политике может быть сказано, что риски потери репутации следует снижать в первую очередь, а снижение рисков средней значимости, не подтвержденных инцидентами ИБ, откладывается на конец очереди. Политику управления рисками может определять подразделение, занимающееся корпоративным управлением рисками.

Политика обработки рисков может пояснять вопросы страхования рисков и реструктуризации деятельности в том случае, если потенциальные риски превышают приемлемый уровень. Если политика не определена, то последовательность работ по снижению рисков должна базироваться на принципе максимальной эффективности, но определять ее все равно должно высшее руководство.

Подведем итоги

Анализ рисков - достаточно трудоемкая процедура. В процессе анализа рисков должны применяться методические материалы и инструментальные средства. Однако для успешного внедрения повторяемого процесса этого недостаточно; еще одна важная его составляющая - регламент управления рисками. Он может быть самодостаточным и затрагивать только риски ИБ, а может быть интегрирован с общим процессом управления рисками в организации.

В процессе анализа рисков задействованы многие структурные подразделения организации: подразделения, ведущие основные направления ее деятельности, подразделение управления информационной инфраструктурой, подразделение управления ИБ. Кроме того, для успешного проведения анализа рисков и эффективного использования его результатов необходимо привлечь высший менеджмент организации, обеспечив тем самым взаимодействие между структурными подразделениями.

Одной лишь методики анализа рисков или специализированного инструментального средства для оценки рисков ИБ недостаточно. Необходимы процедуры идентификации активов, определения значимости активов, разработки моделей нарушителя и угроз, идентификации уязвимостей, агрегирования и классификации рисков. В различных организациях все перечисленные процедуры могут существенно различаться. Цели и масштаб проведения анализа рисков ИБ также влияют на требования, предъявляемые к сопутствующим анализу рисков процессам.

Применение метода анализа рисков для управления ИБ требует от организации достаточного уровня зрелости, на котором можно будет реализовать все необходимые в рамках анализа рисков процессы.

Управление рисками позволяет структурировать деятельность отдела ИБ, найти общий язык с высшим менеджментом организации, оценить эффективность работы отдела ИБ и обосновать решения по выбору конкретных технических и организационных мер защиты перед высшим менеджментом.

Процесс анализа рисков непрерывен, так как верхнеуровневые цели обеспечения ИБ могут оставаться неизменными на протяжении длительного времени, а информационная инфраструктура, методы обработки информации и риски, связанные с использованием ИТ, постоянно меняются.

Отдел ИБ и организация в целом в случае структурирования своей деятельности путем непрерывного анализа рисков получают следующие весьма значимые преимущества:

• идентификация целей управления;
• определение методов управления;
• эффективность управления, основанная на принятии обоснованных и своевременных решений.

В связи с управлением рисками и управлением ИБ необходимо отметить еще несколько моментов.

Анализ рисков, управление инцидентами и аудит ИБ неразрывно связаны друг с другом, поскольку связаны входы и выходы перечисленных процессов. Разработку и внедрение процесса управления рисками необходимо вести с оглядкой на управление инцидентами и аудитами ИБ.

Установленный процесс анализа рисков - это обязательное требование стандарта СТО-БР ИББС-1.0-2006 по обеспечению информационной безопасности в банковской сфере.

Постановка процесса анализа рисков необходима организации, если в ней принято решение о прохождении сертификации на соответствие требованиям международного стандарта ISO/IEC 27001:2005.

Установление режима защиты коммерческой тайны и персональных данных неразрывно связано с анализом рисков, так как все перечисленные процессы используют сходные методы идентификации и оценки активов, разработки модели нарушителя и модели угроз.

Ключевым элементом риска является актив, подверженный этому риску. Риски информационной безопасности обусловлены наличием у организации информационных активов. К информационным активам относится любая информация, представляющая ценность для организации. Они включают в себя информацию, напечатанную или записанную на бумаге, пересылаемую по почте или демонстрируемую в видеозаписях, передаваемую устно, информацию, хранимую в электронном виде на серверах, веб-сайтах, мобильных устройствах, магнитных и оптических носителях и т.п., информацию, обрабатываемую в корпоративных информационных системах и передаваемую по каналам связи, а также программное обеспечение: операционные системы, приложения, утилиты, программную документацию и т.п.

Помимо информации организация располагает и другими видами материальных и нематериальных активов, которые она использует для достижения своих бизнес-целей. Это имущество организации, имущественные и неимущественные права, интеллектуальная собственность, кадровые ресурсы, а также имидж и репутация организации. Современные международные стандарты также определяют еще одну категорию активов – это процессы, а также информационные и неинформационные сервисы. Это агрегированные типы активов, которые оперируют другими активами для достижения бизнес-целей.

_____________________________________

Виды активов организации

материальные;

финансовые;

имущественные и неимущественные права;

интеллектуальная собственность;

кадровые;

информационные;

процессы и сервисы;

имидж и репутация.

_______________________________________

Все активы определенным образом взаимосвязаны. Реализация угроз в отношении одних активов, например помещений или оборудования, может приводить к нарушению безопасности других активов, например информации, хранимой в этих помещениях или обрабатываемой на данном оборудовании, и т.д. В свою очередь нарушение безопасности информации, например ее конфиденциальности или достоверности, может обуславливать финансовые или политические риски. Сбой сервера влияет на доступность хранящихся на нем информации и приложений, а его ремонт отвлекает людские ресурсы, создавая их дефицит на определенном участке работ и вызывая дезорганизацию бизнес-процессов, при этом временная недоступность клиентских сервисов может негативно повлиять на имидж компании.

Таким образом, во многих видах бизнес-рисков есть информационная составляющая, обусловленная тем, что все активы организации и соответствующие риски в отношении этих активов связаны между собой.

Рассмотрим, например, физические угрозы, такие как пожар или землетрясение. С этими угрозами связаны, прежде всего, риски для жизни и здоровья людей, также с ними связаны риски потери оборудования и помещений, нарушения бизнес-операций, а также риски потери информационных активов, которые размещаются на этом оборудовании и в этих помещениях. Мы видим, что с одной и той же угрозой связано множество активов и уязвимостей, т.е. множество различных рисков, которые находятся в сфере компетенции различных людей: работников службы безопасности, пожарников, кадровиков, IT -специалистов, специалистов по управлению непрерывностью бизнеса.

Поэтому руководству организации, вообще говоря, было бы проще рассматривать все эти взаимосвязанные бизнес-риски в совокупности, в рамках единого процесса и общей методологии, охватывающей все виды информационных, физических и операционных рисков.

Все виды активов важны для организации. Однако у каждой организации есть основные активы и есть вспомогательные. Определить, какой актив является основным и жизненно важным, очень просто, т.к. бизнес организации построен вокруг основного актива. Так, бизнес может быть построен на владении и использовании материальных активов (земля, недвижимость, оборудование, полезные ископаемые), бизнес может быть построен на управлении финансовыми активами (кредитные организации, страхование, инвестирование), бизнес может быть основан на компетенции и авторитете конкретных специалистов (консалтинг, аудит, обучение, высокотехнологичные и наукоемкие отрасли) или все может вращаться вокруг информационных активов (разработка ПО, информационных продуктов, электронная коммерция, бизнес в Интернет).

Риски основных активов чреваты потерей бизнеса и невосполнимыми потерями, поэтому на этих рисках в первую очередь сосредоточено внимание владельцев бизнеса и ими руководство организации занимается лично и в первую очередь. Риски вспомогательных активов приводят к восполнимому ущербу и не являются основным приоритетом в системе управления организации. Обычно управлением такими рисками занимаются специально назначаемые люди, либо эти риски передаются, скажем, аутсорсинговой организации. Управление такими неосновными рисками – это вопрос эффективности управления, а не выживания для организации.

Активы (ресурсы) – это все, что имеет ценность или находит полезное применение для организации, ее деловых операций и обеспечения их непрерывности. Поэтому активы нуждаются в защите для того, чтобы обеспечить корректность деловых операций и непрерывность бизнеса. Надлежащее управление и учет активов должны являться одной из основных обязанностей руководителей всех уровней.

Важные активы внутри области действия СУИБ должны быть четко идентифицированы и должным образом оценены, а реестры, описывающие различные виды активов, должны быть взаимоувязаны и поддерживаться в актуальном состоянии. Для того чтобы быть уверенным в том, что ни один из активов не был пропущен или забыт, должна быть определена область действия СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий.

________________________________________

Идентификация активов:

формирование модели бизнес-процессов;

инвентаризация активов;

формирование реестров активов;

определение взаимосвязей между реестрами активов;

построение модели активов;

определение владельцев активов и их обязанностей;

делегирование обязанностей по обеспечению безопасности активов;

определение правил допустимого использования активов.

_________________________________________

Важно идентифицировать не только информационные активы, но другие активы, с которыми они связаны. Взаимосвязи между активами описываются моделью активов. Активы надо структурировать, категорировать и классифицировать по уровню конфиденциальности, критичности и другим признакам. Группирование похожих или связанных активов позволяет упростить процесс оценки рисков.

Нельзя обеспечить адекватный уровень информационной безопасности без установления подотчетности за активы. Для каждого из идентифицированных активов или группы активов должен быть определен владелец, на которого возлагается ответственность за осуществление контроля производства, разработки, сопровождения, использования и безопасности этих активов. Обязанности по внедрению механизмов безопасности могут быть делегированы, однако ответственность должна оставаться за назначенным владельцем актива.

Владелец актива должен нести ответственность за определение соответствующей классификации и прав доступа к этому активу, согласование и документирование этих решений, а также поддержание соответствующих механизмов контроля. В обязанности владельца актива также входит периодический пересмотр прав доступа и классификаций безопасности. Кроме того, следует определить, документировать и внедрить правила допустимого использования активов, описывающие разрешенные и запрещенные действия при повседневном использовании активов. Лица, использующие активы, должны быть осведомлены об этих правилах.

Для финансовых компаний риски информационной безопасности являются, пожалуй, наиболее критичными из всего многообразия операционных рисков. От того, насколько эффективно банки, страховые и инвестиционные компании и другие организации финансового сектора управляют этими рисками, зависит их конкурентоспособность и капитализация. Существует множество подходов к обеспечению информационной безопасности. Часть из них отражена в различных международных, национальных и отраслевых стандартах, в частности, в стандарте ISO 27001:2005, на основе которого была построена система управления рисками информационной безопасности в «Банке24.ру». Методология внедрения системы была разработана сотрудниками банка совместно со специалистами консалтинговой компании «Траектория роста».

В ее основе лежат четыре основных принципа:

• Для эффективного обеспечения информационной безопасности требуются системные решения;
• Система менеджмента информационной безопасности должна быть основана на подходах современного риск-менеджмента;
• Система менеджмента информационной безопасности должна быть интегрирована в общую систему управления операционным риском организации;
• Для обеспечения информационной безопасности необходимо формирование соответствующей корпоративной культуры.

Стандарт ISO 27001:2005 «Требования к системе менеджмента информационной безопасности» был опубликован Международной организацией по стандартизации в ноябре 2005 года и сейчас активно внедряется в организациях по всему миру. 1 В апреле 2007 года Банк24.ру стал первым российским банком, успешно прошедшим сертификацию на соответствие требованиям этого стандарта.

По результатам исследования IT Governance Institute , объявление об инциденте информационной безопасности негативно влияет на рыночную стоимость компании. Организации, в которых произошел инцидент информационной безопасности, в среднем потеряли 2,1% рыночной стоимости в течение двух дней после объявления – около $1,65 млрд. на один инцидент.

Зачастую информационная безопасность ассоциируется в первую очередь с защитой от вирусов и хакеров, однако деятельность по ее обеспечению значительно шире. Она подразумевает систематическую защиту всех информационных активов компании. Под определение информационного актива, согласно ISO 27001:2005, подпадает все, что так или иначе связано с информацией и имеет ценность для организации – документы, серверы, компьютеры, программное обеспечение, базы данных, сотрудники и т.д. Естественно, найти в банке бизнес-процесс, который так или иначе не был бы связан с информационными активами, сложно.

Любой информационный актив обладает как минимум тремя нуждающимися в защите свойствами, сохранение соответствия которых заданным значениям и определяет уровень информационной безопасности. Это конфиденциальность, целостность и доступность (рис.1). Информационная безопасность – это сохранение всех свойств актива.

Рис. 1 Свойства информационных активов

Сохранение свойства конфиденциальности подразумевает, что, например, к информации о банковских счетах клиентов будут иметь доступ только сотрудники, получившие соответствующую авторизацию, и эта информация не будет разглашена.

Если же вдруг из-за сбоя в работе базы данных у клиента на счете вместо тысячи рублей окажется миллион (или наоборот), это будет ярким примером нарушения свойства целостности информационного актива.

Если же информация из базы никуда не ушла, сохранена целостность данных, однако сведения недоступны, – это нарушение третьего свойства, которое определяет нашу возможность воспользоваться информационным активом, когда это необходимо.

Эффективный менеджмент информационной безопасности не может быть «точечным». Подобное несистемное управление информационной безопасностью чаще всего приводит к тому, что проблемы возникают совсем не там, где их ожидали.

Риск-ориентированный подход к обеспечению информационной безопасности

Не зная рисков информационной безопасности и не управляя ими, очень сложно оценить адекватность мер защиты. А это очень важно, поскольку:

• безопасность, безусловно, необходима, однако ее меры зачастую тормозят бизнес;
• у проектов по обеспечению безопасности очень сложно посчитать ROI или NPV.

К примеру, ни один аэропорт в мире с точки зрения эффективности бизнеса не заинтересован во внедрении мер обеспечения безопасности: досмотр пассажиров уменьшает пропускную способность, а специальное оборудование стоит дорого. Но при этом очевидно, что безопасность, во-первых, необходима, во-вторых, должна быть не больше и не меньше, чем это на самом деле требуется.

Единственный способ определить адекватность мер информационной безопасности – принимать решения об их внедрении на основе анализа рисков. Необходимо идентифицировать риски, реализация которых может повлечь наиболее тяжелые последствия, и рассматривать меры обеспечения информационной безопасности как стратегию управления этими рисками.

Почему был выбран стандарт ISO 27001:2005

Риски информационной безопасности – это операционные риски. Поэтому совершенно естественно, что система управления информационной безопасностью, а это, по сути, система управления рисками информационной безопасности, должна быть интегрирована в общую систему управления операционным риском.

В «Банке24.ру» система управления операционным риском основана на подходах, определенных в международном стандарте ISO 9001:2000 (в 2003 году «Банк24.ру» стал первым российским банком, успешно прошедшим сертификацию на соответствие ISO 9001:2000).

Возможность интеграции системы управления информационной безопасностью в общую систему управления операционным риском была одним из немаловажных факторов, повлиявших на то, что в качестве основы для построения системы был выбран стандарт ISO 27001:2005.

Решение ISO 27001:2005 было выбрано «Банком24.ру», поскольку оно позволяет реализовать четыре основных принципа, перечисленных в начале статьи. Помимо того, что ISO 27001:2005 – это система, которая интегрируется в общую систему управления операционным риском (первый и третий принципы), она основана на подходах современного риск-менеджмента, а также позволяет сформировать корпоративную культуру, необходимую для обеспечения информационной безопасности (второй и четвертый принципы). Еще одно немаловажное достоинство ISO 27001:2005 – это возможность использовать инструменты аккредитованной сертификации на соответствие международным стандартам, благодаря чему компания может получить дополнительную экспертизу и независимую оценку системы, подтверждаемую международным сертификатом от признанного сертифицирующего органа.

Как на практике работает система менеджмента информационной безопасности ISO 27001:2005

Для того чтобы понять, как работает на практике система менеджмента информационной безопасности, необходимо, в первую очередь, представить себе более общую систему – систему управления операционным риском. Система управления операционным риском «Банка24.ру» основана на ISO 9001:2000. Это задает общий формат управления бизнес-процессами банка и помимо прочего определяет общую процедуру управления операционным риском. В банке разработана процедура, в которой определены методы:

• идентификации операционного риска;
• проведения оценки риска;
• формирования рабочей группы;
• определения уязвимостей и причин риска;
• определения стратегий управления риском (на языке ISO 9001 – это «корректирующие и предупреждающие действия»);
• внедрения стратегий управления риском;
• оценки результативности внедренных стратегий управления риском.

Как известно, названия функций процесса управления риском (идентификация – оценка – определение и внедрение стратегии управления – оценка действий) мало зависят от типа рисков. Специфика заключается в том, как реализовать эти функции применительно к тому или иному виду рисков. Идентификация операционных рисков может проходить по-разному. В «Банке24.ру» информация об операционных рисках (их идентификация) поступает из трех основных источников:

• наблюдения сотрудников – каждый сотрудник может зарегистрировать несоответствие (реализовавшийся риск) или наблюдение (риск) во внутрикорпоративной сети (рис. 2);

Рис. 2 Форма регистрации несоответствия

• результаты обратной связи с клиентами – жалоба клиента – это реализовавшийся риск, анализ обратной связи позволяет выявить риски (рис.3);

• результаты внутренних аудитов.

Процесс управления операционным риском реализуется в интранете (внутренней компьютерной сети банка) с помощью специальных форм, поля которых отображают типовой процесс управления риском.

Процесс управления риском информационной безопасности незначительно отличается от общего процесса управления риском. Разница заключается в технологии идентификации рисков и в определении стратегий управления ими. ISO 27001:2005 как раз содержит рекомендации о том, каким образом идентифицировать риски информационной безопасности (для этого необходимо внедрить соответствующие процессы, речь о которых пойдет далее) и каким образом их смягчать (для этого необходимо внедрить множество процедур).

Общая логика системы управления операционным риском в соответствии с ISO 27001:2005 показана на рис. 4, из которого видно, что после интеграции системы ISO 27001:2005 операционные риски идентифицируются из четырех источников: «от сотрудников», по результатам анализа обратной связи с клиентом, на основе результатов внутренних аудитов, на основе идентификации рисков информационной безопасности. После того как риски идентифицированы, они проходят через стандартный процесс «отработки» риска (процесс управления риском типичен для всех видов рисков).

Рис 4. Система управления операционным риском

Управление рисками информационной безопасности

С организационной точки зрения процедуры управления рисками информационной безопасности курируются группой координации информационной безопасности, которая включает в себя представителей различных функциональных подразделений и занимается разработкой политик, целей в области информационной безопасности, систематическим анализом работы системы. Для идентификации рисков информационной безопасности в системе ISO 27001:2005 функционируют два процесса: управление информационными активами и управление информационными рисками. Эти два процесса задают общую логику системы (рис. 5).

Рис. 5 Логика системы менеджмента информационной безопасности

Управление информационными активами

Этот процесс дает ответ на вопрос «Что мы защищаем?». Для определения информационных рисков в первую очередь необходим всегда актуальный перечень информационных активов, проранжированных по важности. Для этого в банке разработан процесс «Управление информационными активами» – это одна из ключевых, основополагающих процедур, обеспечивающая функционирование системы. Логика здесь очень проста: поскольку информационные активы – это объекты, к изменению свойств которых приводит реализация рисков информационной безопасности, перечень этих объектов вместе с их свойствами должен быть перед глазами как у сотрудников отдела и группы координации информационной безопасности, так и у собственников бизнеса.

В банке разработан реестр информационных активов – это список, в котором отражены уровни конфиденциальности, целостности и доступности каждого актива и получающийся из них общий уровень критичности актива. Наряду с этим для каждого актива в реестре определен сотрудник (или подразделение), несущий ответственность за этот актив (то есть владелец информационного актива), и сотрудники (подразделения), которые этим активом пользуются. Процесс управления информационными активами – это процесс актуализации реестра. В общем виде он представлен в табл. 1.

Таблица 1 Реестр информационных активов

Управление информационными рисками

После получения ответа на вопрос «Что мы защищаем?» необходимо понять «От чего мы защищаем?». Для этого в системе функционирует процесс «Управление информационными рисками». По каждому информационному активу систематически определяются информационные риски, причем применяется как регулярная, системная, так и спонтанная идентификация рисков (когда любой сотрудник, который видит риск, может его зарегистрировать). Систематическая идентификация рисков информационной безопасности проходит в банке регулярно под эгидой отдела информационной безопасности. «Под эгидой» означает, что риски активов определяют их владельцы, а группируют и обрабатывают информацию сотрудники отдела информационной безопасности. Они же проводят количественную оценку и анализ рисков и в результате получают проранжированный перечень рисков, по каждому из которых (совместно с владельцами информационных активов) определяют стратегии управления. Отчет о рисках рассматривается группой координации информационной безопасности. Основная роль данной группы заключается в выделении ресурсов, необходимых для внедрения процедур, помогающих смягчить риски.

Внедрение мер управления рисками

Поняв, от чего мы защищаем активы, можно перейти к определению адекватных мер защиты – к внедрению стратегий управления рисками, которые определяются на основе анализа рисков. Действия по смягчению информационных рисков внедряются в практику точно так же, как и любые другие стратегии управления операционными рисками, – через общий механизм.

В большинстве случаев смягчение рисков информационной безопасности подразумевает внедрение процедур: например, для смягчения риска несанкционированного доступа внедряется процедура «управление правами доступа пользователей». В приложении А к стандарту ISO 27001:2005 приведен перечень контролей – процедур, которые должны быть внедрены в организации для систематического смягчения рисков информационной безопасности. Это типовые методы смягчения некоторых рисков. Если организация соответствующие риски не принимает, то эти процедуры обязательны к внедрению. Без детализации перечень процедур выглядит следующим образом:

• организация информационной безопасности;
• обеспечение безопасности персонала;
• обеспечение физической безопасности;
• операционный менеджмент;
• управление правами доступа;
• управление инцидентами информационной безопасности;
• приобретение, разработка и поддержка информационных систем;
• управление непрерывностью бизнеса;
• обеспечение соответствия законодательным требованиям.

Результат процесса управления рисками информационной безопасности можно свести в таблицу (табл. 2).

Таблица 2. Результаты процесса управления рисками

Если для управления риском в стандарте предусмотрено внедрение процедуры (контроля), в таблице делается ссылка на соответствующий пункт стандарта. Также важно, что при определении стратегии управления риском оценивается остаточный риск – то есть риск после внедрения процедур по его смягчению.

Как и в ситуации с любыми другими рисками, управление рисками информационной безопасности требует инвестиций. В принципе такие риски могут быть приняты высшим руководством (в «Банке24.ру» это председатель координации группы информационной безопасности). В этом случае в реестре рисков делается соответствующая отметка.

Таким образом, по результатам процесса управления рисками в банке был внедрен ряд процедур, направленных на систематическое адекватное обеспечение информационной безопасности. Эти процедуры регулярно оцениваются в ходе внутренних аудитов, что гарантирует их функционирование и задает основу для непрерывного повышения их эффективности.

Сертификация системы

Проект внедрения системы менеджмента информационной безопасности в «Банке24.ру» реализовывался в течение 15 месяцев силами консалтинговой компании и сотрудников отдела информационной безопасности банка. В ходе проекта были идентифицированы тысячи информационных активов, было отработано около 380 рисков. Сегодня действие системы распространяется только на процессы обслуживания клиентов через интернет – услуги, для которых обеспечение информационной безопасности наиболее критично. В дальнейшем система будет распространена на все услуги банка. В проекте было задействовано 18 структурных подразделений банка, которые так или иначе участвовали во внедрении процедур, определенных международным стандартом ISO 27001:2005. Все эти действия были направлены на реальное предотвращение информационных рисков и на внедрение процессов, которые сделают управление информационными рисками системной деятельностью.

Когда стало очевидно, что система менеджмента информационной безопасности созрела для сертификации, в банк были приглашены международные аудиторы для проведения независимой оценки – компания Bureau Veritas Cetrification (BVC). В ходе четырехдневного аудита были проанализированы все процедуры обеспечения информационной безопасности и все процессы, входящие в область сертификации.

В роли главного аудитора выступил сотрудник израильского отделения BVC Ярив Диамант, который выявил несколько слабых мест системы. Такая информация очень важна, поскольку внедрение системы – лишь начало пути ее непрерывного совершенствования, и информация о слабых местах системы необходима для повышения ее эффективности.

Аудит был проведен на высокопрофессиональном уровне – помимо прочего, оценивая обеспечение сохранности конфиденциальной информации, ведущий аудитор потрудился посмотреть, не выкидывают ли сотрудники банка конфиденциальные документы в мусорные корзины. Для этого потребовалось довольно тщательное исследование последних. Со стороны процесс выглядел весьма забавно, но что поделать – в этом хлеб аудитора. Возможно, такая доскональность была навеяна получившим широкую огласку случаем, когда администрация Белого дома выкинула в помойку подробный график перемещения президента Буша во время одной из его поездок, документ, естественно, секретный.

Всего в результате аудита была выявлено около 10 несоответствий, которые затем были зарегистрированы в системе, что означало, что по ним началась работа и что они пройдут стандартный цикл управления риском. В ходе следующего надзорного аудита работа по выявленным несоответствиям будет проанализирована в первую очередь. Внешние аудиты помогают реализовать процесс непрерывного улучшения менеджмента информационной безопасности. Международная сертификация в случаях, когда аудит проводится на высоком профессиональном уровне, служит экспертизой, которая позволяет организации все время быть «в тонусе», а это необходимо для постоянного повышения конкурентоспособности бизнеса.

Внедрение и сертификация системы менеджмента информационной безопасности вовсе не гарантирует избавления компании от рисков. Главным результатом проекта стало не столько выявление конкретных рисков, сколько организация процесса систематического управления рисками информационной безопасности. Это означает, что банк готовится к возможной реализации рисков и внедряет механизмы, которые позволяют смягчить их последствия. Кроме того, за время реализации проекта сотрудники банка осознали важность информационной безопасности и знают, как действовать, если произошел инцидент.

1 Полный перечень организаций, сертифицированных по стандарту, опубликован на сайте

На данном этапе мы должны идентифицировать информационные активы, входящие в область оценки.

1) Определить ценность этих активов

2) Определить перечень угроз и вероятность их реализации

3) Произвести оценивание и ранжирование рисков

Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении.

Типы активов ООО «Торговый Дом ЛФЗ»:

· Информация (база данных бухгалтерии – содержит информацию обо всех сотрудниках компании, финансовых операциях которые происходят как внутри, так и вне компании, а так же информацию о проведенных транзакциях и их статусе)

· Документы (договора, контракты, служебные записки)

· Программное обеспечение, включая прикладные программы

· Аппаратные средства (персональные компьютеры – необходимые для работы сотрудников). Сервер баз данных, телефоны, медные и оптоволоконные кабели, коммутаторы, принтеры, почтовый сервер.

ООО «Торговый Дом ЛФЗ» - является коммерческой организацией основной ее целью является получение прибыли за счет предоставляемых ею услуг.

Основными рыночными функциями является реализация продукции Петербургского завода «Императорский Фарфоровый Завод» на Московском рынке.

Данные по оценке информационных активов сведена в таблицу 1.2.1.1. Результаты ранжирования активов представлены в таблице 1.2.1.3.

Таблица 1.2.1.1

Оценка информационных активов ООО «Торговый Дом ЛФЗ».

Продолжение Таблицы 1.2.1.1

Продолжение Таблицы 1.2.1.1

Результат ранжирования представляет собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале (Таблица 1.2.1.1). Самый ценный информационный актив имеет ранг 5, наименее ценный – ранг 1.

Активы, имеющие наибольшую ценность (ранг) в последующем рассматриваются в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия. В рамках поставленной задачи разработки политики безопасности по защите персональных данных выделим наиболее ценные информационные активы (имеющие максимальный ранг).

Таблица 1.2.1.3

Результаты ранжирования активов ООО «Торговый Дом ЛФЗ»

По результатам ранжирования (Таблица1.2.1.3) выделим активы, имеющие наибольшую ценность (имеющие ранг 5 и 4):

1. База данных бухгалтерии;

2. Почтовый сервер;

3. База данных поставщиков;

4. Сервер баз данных;

5. Персональные данные о сотрудниках;

6. Оборудование для обеспечения связи;

7. Учетная Система;

Перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, представлены в таблице 1.2.1.2.

Таблица 1.2.1.2

Перечень сведений конфиденциального характера ООО «Торговый Дом ЛФЗ»

Оценка уязвимостей активов.

Уязвимость информационных активов - тот или иной недостаток, из-за которого становится возможным нежелательное воздействие на актив со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (например, вирусов или программ-шпионов).

Уязвимость – есть событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в защищаемых системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.

В компьютерной безопасности, термин уязвимость используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.

Уязвимости информационной системы компании можно определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы информационной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.

Основанием для проведения оценки уязвимости является оценка критичности информационных активов и определения адекватности предпринимаемых мер безопасности по отношению к их значимости.

Показателями уязвимости актива и его особо важных зон являются степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая).

После проведения оценки уязвимости предоставляется отчет, который должен в себя включать описание уязвимостей и уязвимых систем. Уязвимости должны быть отсортированы сначала по степени важности, а затем по серверам/сервисам. Уязвимости должны быть расположены в начале отчёта и расставлены в порядке убывания критичности, то есть сначала критические уязвимости, затем с высоким уровнем важности, потом со средним и низким.

Результаты оценки уязвимости активов представлены в таблице 3 .

Оценка угроз активам.

Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению, как режима управления, так и его качества в условиях ложной или неполной информации. На рисунке 2 представлены основные виды угроз.

Рисунок 2. Основные виды угроз информационной безопасности.

Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

Ниже приведены некоторые наиболее часто встречающиеся варианты угроз:

Ошибки и упущения;
- мошенничество и кража;
- случаи вредительства со стороны персонала;
- ухудшение состояния материальной части и инфраструктуры;
- программное обеспечение хакеров, например имитация действий законного пользователя;

Программное обеспечение, нарушающее нормальную работу системы;

Промышленный шпионаж.

При использовании материалов каталогов угроз или результатов ранее проводившихся оценок угроз следует иметь в виду, что угрозы постоянно меняются, особенно в случае смены организацией деловой направленности или информационных технологий. Например, компьютерные вирусы 90-х годов представляют гораздо более серьезную угрозу, чем компьютерные вирусы 80-х. Нужно также отметить, что следствием внедрения таких мер защиты, как антивирусные программы, вероятно, является постоянное появление новых вирусов, не поддающихся воздействию действующих антивирусных программ.

После идентификации источника угроз (кто и что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы.

При этом следует учитывать:
- частоту появления угрозы (как часто она может возникать согласно статистическим, опытным и другим данным), если имеются соответствующие статистические и другие материалы;
- мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю и, возможно, имеющиеся в его распоряжении; степень привлекательности и уязвимости активов системы информационных технологий с точки зрения возможного нарушителя и источника умышленной угрозы;
- географические факторы - такие как наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий, а также факторов, которые могут вызвать ошибки у персонала, выход из строя оборудования и послужить причиной реализации случайной угрозы.

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Результаты оценки угроз активам представлена в таблице 4.

1.2.4 Оценка существующих и планируемых средств защиты.

Под защитой информации– понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.

Организация защиты информации в организации – это один из важнейших моментов, который ни в коем случае нельзя упускать из вида. Последствия будут очень серьезными, если произойдет утрата баз данных, результатов аналитических исследований, исходных кодов, программных продуктов. При плохой организации защиты информации это возможно, что приведет к достаточно проблематичному дальнейшему ведению бизнеса, а в определенных случаях невозможным вообще.

Задачи по защите информации возлагаются на службу информационных технологий.

Организационная структура службы информационных технологий:

1. Структуру и штаты Службы информационных технологий, а также их изменения утверждает Генеральный директор по представлению заместителя генерального директора по информационным технологиям.

2. Служба состоит из одного подразделения, возглавляемого заместителем генерального директора по информационным технологиям.

Функции службы информационных технологий:

1. Анализ и изучение проблем обслуживания автоматизированных систем управления Компанией и ее подразделений;

2. Контроль состояния и безопасности сети и сетевого оборудования;

3. Назначение пользователям сети прав доступа;

4. Обеспечение бесперебойного функционирования системы и оборудования и принятие оперативных мер по устранению возникающих в процессе работы нарушений;

5. Установка, настройка и управление программными и аппаратными системами Организации;

6. Подготовка планов проектирования и внедрения автоматизированных систем управления Компанией и контроль за их выполнением;

7. Согласование технических заданий на разработку и внедрения нового программного обеспечения в отрасли на предмет обеспечения сетевого и системного взаимодействия;

8. Поддержка Internet-технологий в отрасли, обеспечение доступа к Internet-услугам;

9. Обеспечение правильности переноса исходных данных на машинные носители;

10. Проводит мониторинг развития и использования информационно-коммуникационных технологий и подготавливает по его результатам аналитические и отчетные материалы;

11. Сопровождение системного, сетевого и сопутствующего программного обеспечения.