Разработка комплекса рекомендаций на основе анализа крупных и малых предприятий
В любой компании политика безопасности играет очень важную роль. В крупной компании директор или руководитель отдела, как правило, не является специалистом в области компьютерной безопасности, и его попытки вмешиваться в техническую сторону вопроса будут всегда приводить к неприятным последствиям. Если же в организации разработана политика информационной безопасности, в которой четко прописаны… Читать ещё >
Разработка комплекса рекомендаций на основе анализа крупных и малых предприятий (реферат, курсовая, диплом, контрольная)
Анализ крупного предприятия
Вследствие высоких тенденций к повсеместной информатизации, крупные предприятия обычно обладают разветвленной инфраструктурой. В крупных компаниях имеющих разветвленную структуру, важным является возможность головной компании контролировать ситуацию в своих дочерних предприятиях. Причем контролировать необходимо не только рядовых сотрудников, но и тех, кто отвечает за информационную безопасность на местах. Этот контроль необходим для того, чтобы принимаемые в головной компании стандарты и политики безопасности в обязательном порядке применялись на местах. Организация такого контроля является одной из важнейших задач службы безопасности головной компании. Подобные инфраструктуры, так же очень чувствительны к любым деструктивным воздействиям. Поэтому крупные предприятия тратят много денег и прочих ресурсов на периодический анализ защищенности информационной инфраструктуры, в идеале охватывая все виды угроз, а также динамику их развития. Для крупной компании с «неповоротливой» системой информационной безопасности прогнозирование угроз и своевременная, а иногда и опережающая, реакция на угрозы крайне необходима для минимизации возможных повреждений. Однако, крупные компании имеют одно очень важное свойство: они могут, с очень большой вероятностью, восстановиться после атаки до изначального состояния. Это отнимет огромное количество ресурсов, средств и времени, но подобный исход крайне вероятен для крупной компании, пострадавшей от атаки или какого-либо другого вредоносного воздействия со стороны.
Аудит информационной безопасности является одним из основных средств для объективной оценки текущего состояния информационной безопасности компании, а также ее адекватности поставленным целям и задачам бизнеса. Так же он способствует оценки количества вложений в информационную безопасность, ведь для крупных компаний затраты на информационную безопасность являются очень ощутимыми. Очень важно, для крупной компании, балансировать на грани «стоимость или эффективность», величина вложения должна быть достаточной для эффективной работы системы информационной безопасности, ведь возможный ущерб от несанкционированных действий может быть гораздо большим и очень важно не допустить его, а если это не возможно то снизить его на столько, на сколько это возможно. Однако, вследствие невозможности постоянной качественной оценки эффективности инвестиций в информационную безопасность, руководство крупных предприятий нередко стремится снизить эти затраты, сомневаясь в необходимости значительных вложений в данную область.
В любой компании политика безопасности играет очень важную роль. В крупной компании директор или руководитель отдела, как правило, не является специалистом в области компьютерной безопасности, и его попытки вмешиваться в техническую сторону вопроса будут всегда приводить к неприятным последствиям. Если же в организации разработана политика информационной безопасности, в которой четко прописаны обязанности и уровень доступа самых разных сотрудников, то руководство может легко, и что главное, с пользой для общего дела, контролировать выполнение этих правил. Вовлечение руководства компании в дело информационной безопасности приносит огромную вспомогательную выгоду — оно значительно увеличивает приоритет безопасности, что положительно сказывается на общем уровне безопасности компании. Так как сейчас, как правило, политика безопасности публикуется, она может служить дополнительным доводом для потенциальных клиентов или инвесторов, специалисты другой компании могут сами оценить уровень компетентности ваших специалистов. Все большее число крупных российских, а тем более иностранных, компаний требуют доказательства обеспечения достаточного уровня надежности и безопасности, в том числе и информационной, своих инвестиций и ресурсов. Без наличия в организации профессиональной политики безопасности с ней, в большинстве случаев, просто не будут иметь никаких контактов. Также политика безопасности это — совершенный стандарт, которым может быть измерена целесообразность и окупаемость затрат на компьютерную защиту. Но у подобной политики безопасности есть несколько важных минусов. Первый, и основной, обычно подобные политики очень массивны, и наполнены специальными терминами, не всегда понятными обывателям. (см Приложение 1).
Из прочих методов и средств обеспечения информационной безопасности крупные компании предпочитают системы обеспечения информационной безопасности и им подобные комплексы. Используются они для упрощения, ведь основной минус подобных комплексов — цена, крупные предприятия почти не тревожит из-за сильного упрощения процесса управления информационной безопасностью.