Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме

Экономическая безопасность предприятия ИТ-зависимых предприятий

Государственные законы, как превентивная мера защиты отрасли, можно рассматривать как руководящие документы верхнего уровня, они разрабатываются на основе уже имеющегося опыта и призваны обеспечить как интересы государства в целом, так и интересы бизнеса и отдельных граждан, а развитость законодательной системы, отраженная в степени проработки и регулирования системных процессов определяет устойчивость этих отношений и экономической системы в целом.

Зарубежное законодательство в стратегически значимых сферах вынуждают бизнес к разработке мер по организации ЭБ и планированию в бюджетах компаний средств на их обеспечение. Акт Сарбейнса-Оксли (SOX) в США 2002г., как реактивная мера на известные события на фондовом рынке США, разработан для предотвращения финансовых махинаций, один из его разделов (404 секция) полностью посвящен организации информационной безопасности предприятия и, в частности, предусматривает обязательное внедрение требований и рекомендаций соответствующих национальных и международных стандартов в публичных компаниях. Результат превзошел ожидания - несмотря на сложность реализации требований, гарантированная экономическая безопасность компаний, возведенная в ранг закона, обеспечила превосходство национальных компаний резко возросшим качеством услуг и предоставляемой информации, что вынудило зарубежные компании следовать примеру для сохранения уровня конкурентоспособности на мировом фондовом рынке.

Российский бизнес также не остался в стороне - одним из условием для заключения серьезных контрактов стало обязательное проведение внешнего аудита информационной безопасности на соответствие требованиям международных стандартов при отсутствии российских аналогов. Под "законодательный пресс" попали и импортеры, и сырьевые компании, и даже разработчики программного обеспечения, включая игровое ПО. Бизнес стал заинтересован в экономической благонадежности партнеров.

Показательна и общая статистика - количество законов и нормативных актов, регулирующих организацию информационной безопасности в экономике США без учета ведомственных насчитывается более 500, в то время как даже немногочисленные российские пока слабо обеспечены инструментами для их исполнения.

Где и как получить необходимую методическую информацию? Где найти кадры в достаточном количестве для реализации механизмов обеспечения ЭБ? Какие для этого потребуются средства? Кто, наконец, будет проверять и подтверждать достигнутые результаты? Эти вопросы неоднократно обсуждались на тематических конференциях и семинарах и имеют единственное решение - необходимо создание новой структуры, осуществляющей государственный надзор в сфере информационной безопасности. Конечно, увеличение списка пожарных, санитарных, энергетических и иных инспекций еще одной не добавят оптимизма бизнесу и не будет оправдано ни с чьей точки зрения, если ее появление опередит разработку организационных документов, методик и иных инструментов и механизмов реализации требований по ИБ.

Возникает парадоксальная и противоречивая ситуация - с одной стороны, для успешного развития бизнеса и предпринимательства необходимо ликвидировать бюрократические препятствия в виде многочисленных инспекций и проверок. С другой - в этот список попадает и еще несуществующая, значимость которой уже не ставится под сомнение, как жизненно необходимая для обеспечения ЭБ предприятия. Сами по себе разрозненные в законах требования по сохранности информации (конфиденциальной, страховой, персональной, служебной), не отвечают комплексной задаче организации экономической безопасности. Законы декларируют ответственность, но не предоставляют инструментарий для реализации требований, а специализированные методики ФСТЭК, ФСБ и/или Мининформсвязи фактически неприменимы для любого бизнеса в силу их насыщенности спецификой и фактически недоступны в открытом виде.

Извечный русский вопрос: что делать? Проникновение зарубежных компаний на внутренний рынок, как и желание выхода отечественных на внешний не предвещают ничего хорошего ИТ-зависимому бизнесу, как совершенно неподготовленному к новому уровню конкуренции. Куда, к примеру, пойдет бизнес, осознавший необходимость страхования информационных рисков? Естественно, к тому, кто сможет их оценить - отечественные страховые компании предпочитают иметь дело с материальными объектами и их рисками, а культура ведения страхового дела, к сожалению, не характеризуется повышенным вниманием к сфере ИБ, как это требует законодательство. А кому достанется честь работать с финансовыми активами физических физическими лицами и их персональной информацией? Тем компаниям, которые смогут обеспечить адекватную защиту доверенной информации, но текущее состояние российского бизнеса в этих отраслях пока не внушает доверия.

Обеспечение экономической (читаем - информационной) безопасности предприятия, как задачи, не свойственной основному бизнесу, самостоятельно решаема под силу лишь предприятиям, имеющим достаточные ресурсы для создания собственной службы с одноименным названием. Предприятиям, бизнес которых неосуществим без информационных технологий, единственное эффективное решение проблемы ИБ заключается в передаче значительной части несвойственных технологических функций на ауторсинг в специализированные организации с квалифицированным штатом. И нет ничего проще, как, к примеру, не приходится задумываться о сантехниках и электриках, хотя функционирование своих систем они обеспечивают ежедневно.

В заключение упомянем еще одну производную характеристику конкурирующих процессов: сохранение конкурентных преимуществ на неизменном уровне фактически означает постоянное отставание, а удержание преимуществ требует их наращивания с постоянным опережением конкурентных и никак иначе. Не стоит ждать вступления РФ в ВТО, лучшее обеспечить защиту бизнеса заранее, в более благоприятных условиях.

В.Б.

Страница 1 2

© Центр Сетевой Безопасности Арнис, 2008

о компании | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница