22 сентября в Ташкенте, в гостинице “DEDEMAN SILK ROAD TASHKENT” прошел семинар посвященный информационной безопасности, проведенный компанией Делойт и Туш СНГ (Deloitte & Touche CIS), подразделением международной компании Deloitte Touche Tohmatsu.
Особо представлять компанию не нужно – она входит в крупнейших в мире консалтинговых и аудиторских компаний. Deloitte пришла на рынок СНГ в далеком 1990 году. На сегодняшний день представительства компании находятся почти во всех государствах СНГ, в том числе и в Узбекистане. Компания предоставляет своим клиентам широкий спектр услуг, включая аудит и содействие в бухгалтерском учете, консультирование, услуги в области налогообложения, корпоративных финансов, корпоративного управления и права.
Одной из сфер деятельности компании является управление рисками. Deloitte предоставляет клиентам консультации по управлению рисками, которые могут возникнуть на разных уровнях организации предприятия, включая стратегические, производственные, финансовые и прочие риски. Помимо этого компания предлагает организациям решения, направленные на выявление и измерение факторов риска, и оценку соответствия существующих систем и бизнес-процессов техническим требованиям, в целях увеличения надежности и эффективности работы всего предприятия.
Этим вопросам и был посвящен сегодняшний семинар. Открыл его Фаниль Мухамедгалиев с докладом «Создание и поддержка системы внутренних контролей».
Что же это такое и для чего они необходимы? Внутренние Контроли это механизмы управления (политики, процедуры, практики и организационные структуры) предназначенные для предоставления обоснованных гарантий достижения бизнес целей, а также предотвращения, обнаружения и корректировки нежелательных событий.
Предприятие без эффективной системы контролей заведомо обречено на неуспех. Ведь в этом случае никто, включая руководство, не в курсе того, что происходит на предприятии, куда уходят средства, чем и зачем занимаются сотрудники, какие локальные задачи и кому ставятся. Короче говоря, полная анархия.
Внедрение системы внутренних контролей повышает эффективность работы предприятия, снижает риски, предоставляет эффективный механизм контроля за деятельностью каждой рабочей группы и предприятия в целом и ведет, в конечном счете, к созданию высокоорганизованной, управляемой, безопасной ИТ инфраструктуры компании.
Построение системы внутренних контролей состоит из нескольких этапов:
- Определение цели (Где мы хотим быть?) - Создание высоко организованной, управляемой, безопасной ИТ инфраструктуры с измеряемыми показателями работы, с постоянно улучшающимся качеством предоставления ИТ услуг.
- Исследование и анализ (Где мы сейчас?) - Оценка и анализ текущей ситуации, анализ рисков связанных с использованием существующего подхода к управлению ИТ инфраструктурой.
- Реализация (Что нам нужно сделать?) - Составление по итогам анализа и оценки отчета и выработка на его основе плана действий по устранению недостатков и внедрению соответствующих процессов. В плане указываются приоритетные сроки с установлением контрольных точек и индикаторов достижения целей, оценочный объем необходимых ресурсов (время, сотрудники, технологии, оборудование и т.д.)
- Мониторинг и оценка (Достигли ли мы цели?) - Мониторинг и анализ каждого этапа выполнения задач из плана действий, Отчет по количественным и качественным показателям, Метрики для оценки достижения целей, Постоянный мониторинг и предоставление отчетности, Оптимизация и совершенствование процессов.
Семинар продолжил Искандер Конеев, рассказав собравшимся о новостях в области информационной безопасности и ситуации с нею в России и СНГ. По его словам, уровень зрелости ведущих компаний уже таков, что они переходят от покупки простых технических средств для обеспечения безопасности к покупке консалтинговых решений. Например, в банковской сфере большинство банков предоставляет клиентам сходные услуги. Клиенты же при прочих равных условиях стараются работать с теми банками, где уделено внимание вопросам информационной безопасности. И немудрено – речь идет о деньгах.
В сходной ситуации сейчас и телекоммуникационные компании – по сетям текут уже не только простые данные, но и деньги. Здесь так же обеспечение информационной безопасности выходит на первый план.
Как же обеспечить на предприятии приемлемый уровень информационной безопасности? Этому и был посвящен следующий доклад Искандера Конеева. В нем подробно рассматривались методы разработки политики информационной безопасности «сверху вниз», в виде некой иерархической структуры, приведенной ниже.
- Концепция (Политика верхнего уровня) – принципиальные основы функционирования информационной безопасности на предприятии.
- Стандарты (Политики по направлениям) – что должно присутствовать или быть достигнуто на предприятии, чтобы соответствовать принципиальным основам Концепции
- Процедуры – что должны делать или не делать сотрудники предприятия, чтобы соответствовать Стандартам
- Методики – как выполнять Процедуры, детальное пояснение
- Аварийный план – что и как делать, если случилась непредвиденная или угрожающая ситуация
Также говорилось о необходимости выработки стратегии, где описываются цели и методы их достижения.
Кроме того, были рассмотрены вопросы необходимости четкого распределения ролей в управлении информационной безопасностью, а также введения системы ключевых индикаторов производительности для контроля.
Наконец, последний доклад Искандера Конеева был посвящен основополагающему понятию – анализу информационных рисков, поскольку это – основа построения систем управления информационной безопасностью. Докладчик рассказал о технологии подсчета рисков, количественной и качественной, о типах защищаемых данных а также о сопутствующих проблемах и тонкостях анализа.
Семинар завершился вопросами по практическому применению изложенных в докладах принципов и концепций, а также мини-викториной по вопросам информационной безопасности.
