InfoSec

Info saugumo blogas

« PreviousNext »

Verslas ir informacijos saugumas – naujos tendencijos

27 rugpjūtis 2006

saugumasViena iš pagrindinių problemų, iki šiol varžančių informacijos saugumo vystymąsi pasaulyje, yra aukščiausių vadovų būtinybės rūpintis ne tik fiziniu, bet ir informaciniu saugumu nesupratimas. Šiandien kompiuterinio ar informacinio saugumo klausimai eilei kompanijų tampa ne tik verslo saugumo klausimais, bet ir gyvybine būtinybe tolimesniam vystymuisi – įėjimui į naują gyvybinį kompanijos verslo vystymosi ciklą.Koks yra tarpusavio santykis tarp verslo ir informacinio saugumo; kodėl šiandien daugelis stambių kompanijų yra priverstos užsiimti saugumo užtikrinimu ne tik informacinės rizikos mažinimui, bet dėl tiesioginės verslo būtinybės ir rinkos reikalavimų; kokie papildomi būdai egzistuoja IS supratimo radimui pas aukščiausiąją vadovybę – visi šie klausimai bus apžvelgti šioje ataskaitoje.Svarbiausia yra pabrėžti informacinio saugumo užtikrinimo svarbą – tai suprantama mums, profesionalams, ir čia nėra ko svarstyti – reikia veikti. Tiesa, tai ne visada suprantama aukščiausiai vadovybei. Pažvelkime į šia problemą kitu kampu. Kokie egzistuoja argumentai, dėl kurių dar kompanija esant tam tikrom sąlygom yra priversta įdiegti efektyvią saugumo valdymo sistemą, paremtą šiuolaikiniais tarptautiniais standartais:

Visų pirma tai Sarbanes-Oxley’s aktas, kuris yra skirtas kompanijos, kurios akcijos yra kotiruojamos Niujorko fondų biržoje, vidinės finansinės kontrolės mechanizmo diegimui. Su informaciniu saugumu susijęs 404 akto straipsnis, kuriame kalbama apie būtinybę įdiegti vidinės kompanijos procesų kontrolės mechanizmus, įskaitant ir procesus veikiančius informacinėje sistemoje. Akto nevykdymas veda prie tesinės kompanijos vadovybės atsakomybės ir jos akcijų išėmimo iš Niujorko fondu biržos. Pagal akto reikalavimus, atliekant finansinį auditą taip pat yra būtinas ir 404 straipsnio vykdymo patikrinimas, kas reikalauja, kad kompanija turėtų atitinkamas informacijos saugumo valdymo sistemas.

Antra, tai jau šiandien niekam nėra paslaptis, kad dauguma stambių kompanijų kviečia į finansinius auditorius didžiojo ketverto konsultacines kompanijas. Be to, finansinės didžiojo ketvirto auditoriaus išvados yra atvira informacija, kuri yra atidžiai analizuojama rinkoje. Neigiamos ataskaitos atveju rinka reaguoja atitinkamu būdu – krenta pasitikėjimas kompanijos akcijomis. Tačiau daugelis neatsižvelgia į faktą, kad finansinio audito, kuris užima pagrindinę auditoriaus laiko dalį, ir kuris yra pagrindinė jo užduotis, metu vyksta formalus kompanijos bazinių reikalavimų dėl informacinio saugumo užtikrinimo įvykdymo patikrinimas. Be abejo, čia kalba eina ne apie gilų technologinį saugumo auditą – formaliai yra vertinami tik pagrindiniai saugumo principai, kurių nevykdymas gali įtakoti bendrą auditoriaus ataskaitą, tuo pačiu sukeldamas kompanijos vadovybei nepageidaujamą rinkos reakciją.
Tokiu atveju auditoriai teisingai remiasi tuo faktu, kad finansinė informacija turi būti apdorojama patikimoje aplinkoje, tokioje, kur veikia informacijos saugumo valdymo sistema.

Rusijoje standartas dėl informacinio saugumo buvo įvestas 2004 metų gruodžio 1 dieną ir kol kas yra rekomendacinio pobūdžio. Vis dėlto yra akivaizdu, kad artimiausiu laiku įvyks „rekomendacinio“statuso pakeitimas į „privalomąjį“, kas nulems dar vieno normatyvinio reguliuotojo pasirodymą, priversiančio Rusijos bankus remtis šio standarto reikalavimais kuriant savo sistemas.

Dar vienas nedidelis faktas šia tema, kuris patvirtina matomą tendenciją: JAV Valstybės audito rūmai atlikdami finansinį auditą taip pat atlieka ir informacinio saugumo auditą, taikydami savo pačių standartą FISCAM.

Baigiant, galima prieiti prie išvados, kad paskutiniais metais išryškėjusi tendencija užsiimti rūpinimosi informacinio saugumo klausimais, ir, visų pirma, saugios sistemos kūrimu ne tik iš saugumo užtikrinimo, bet ir dėl tiesioginių ar netiesioginių rinkos reikalavimų arba dėl atitinkamų rinkos reguliuojančių – kontroliuojančių organų. Ir šiandien, iš anksto atpažinus šias tendencijas, mes, kaip informacinio saugumo specialistai, turime būti tam pasirengę – jau šiandien reikia pradėti aiškinti kompanijos vadovybei rinkos realijas kylančių rinkos reikalavimų informacijos valdymo saugumo akivaizdoje.

Panašūs įrašai:

Kategorija Straipsniai | Į viršų

Nėra komentarų

Parašyk komentarą