Требования по защите информации вводятся в ряде государств, в их законодательстве и нормативных актах регуляторов. Системы информационной безопасности компаний обязаны соответствовать этим требованиям. Значит, компании должны постоянно контролировать статус этого соответствия, т.е. выполнять мероприятия комплаенса.

Насколько важно для компании обеспечивать информационную безопасность (обозначим этот термин как ИБ)? Какие существуют подходы для обеспечения ИБ? Достаточно ли для этого комплаенса и безопасности ИТ систем? Как гарантировать компании стопроцентную ИБ?

Насколько важна ИБ для бизнеса компаний?

Компании во всем мире несут финансовые потери из-за недостаточной защищенности своих информационных ресурсов. IBM Security и Ponemon Institute в июне 2019 выпустили отчет «Стоимость нарушений данных 2019», основанный на интервью с представителями 500 компаний по всему миру. Речь шла о потерях от инцидентов ИБ. Отчет показал:

  • Средняя сумма потерь от одного инцидента составила $3,92 млн;
  • Наибольшая средняя сумма потерь от одного инцидента в одной стране (США) $8,19 млн;
  • Наибольшая средняя сумма потерь от одного инцидента в отрасли (здравоохранение) $6,4 млн.

Исследовательская компания Cybersecurity Ventures в отчете «2019 Официальный ежегодный отчет о киберпреступлениях» дала общий прогноз мировых убытков от инцидентов ИБ в размере $6 триллионов ежегодно, до 2021 года.

Подходы по обеспечению ИБ. Эффективные фреймворки

Лучшие мировые практики для обеспечения ИБ компаний предлагают использовать один или несколько фреймворков (framework) ИБ. Фреймворк представляет собой документ(ы), где описаны: методология и пошаговое руководство по развертыванию необходимых процессов, а также требования по применению необходимых инструментов и методов. На международном уровне наиболее известны четыре фреймворка.

COSO (The Committee of Sponsoring Organizations of the Treadway Commission). Комитет организаций-спонсоров Комиссии Тредвея, США – добровольная организация по борьбе с корпоративным мошенничеством. COSO использует мониторинг, контроль, аудит, отчетность. Эти процессы определяют систему внутреннего контроля и условия ее эффективности.

В COSO введены 17 принципов управления в пяти категориях: Контрольная среда, Оценка рисков, Контрольная деятельность, Информация и связь, Мониторинг и контроль. Соблюдение этих принципов обеспечивает:


Данный контент относится к категории «премиум»

Чтобы продолжить чтение, Вам необходимо авторизироватся ниже либо оформить подписку.

Читайте также: