Сразу хочу сказать, что мне не нравится термин "безопасность". Мне гораздо больше по душе другой термин - "риск-менеджмент". Это связано с тем, что термин "безопасность" подразумевает "отсутствие рисков", что в нашем несовершенном мире попросту невозможно. Речь может идти лишь об оптимизации рисков, т.е., об их снижении до определённого приемлемого уровня, при котором вероятность его реализации достаточно низка.

При этом очевидно (правда, к сожалению, об этом нередко забывают), что затраты на снижение риска должны быть много меньше ожидаемых потерь от его реализации. Несколько лет назад мне приходилось работать с дистрибуторской компанией "Юнилэнд" (теперь это сеть супермаркетов "Дикси"); так вот у них вообще не было функционального подразделения, которое называлось бы "службой безопасности". У нхи была служба предотвращения потерь, возглавлявшаяся профессиональным финансистом.

Фактической целью этой службы была оптимизация потерь (которые с финансовой точки зрения есть не что иное, как издержки). Затраты на "обеспечение безопасности" (риск-менеджмент, то есть) - тоже издержки, поэтому руководители этой службы стремились (и небезуспешно) найти такое сочетание затрат на риск-менеджмент и потерь от реализации рисков, которое в сумме являлось бы минимальным (т.е., минимизировало финансовые издержки компании). При этом очевидно, что необходимо адекватно оценивать вероятность реализации рисков (нет смысла тратить огромные средства на защиту от реализации риска, вероятность реализации которого пренебрежимо мала).

Очевидно и то, что для всех рисков - в том числе, и информационных (для коммерческой структуры любой риск должен обязательно иметь финансовую оценку, максимально адекватную реальности).

Ключевыми рисками в информационной системе компании являются следующие:

• Утрата информации

• Недоступность информации в течение достаточно продолжительного промежутка времени

• Использование недостоверной информации в принятии ключевых управленческих решений

• Разглашение конфиденциальной информации (случайное или преднамеренное)

• Утрата оборудования, используемого в информационной системе

Очевидно, что каждой компании необходима комплексная система информационной безопасности (информационного риск-менеджмента), которая обеспечит минимальные суммарные издержки (затраты на создание и поддержание системы плюс финансовые потери от реализации риска), включающая в себя и соответствующее оборудование, и программные средства, и бизнес-процессы, и систему страхования. При этом необходимо не забывать, что самая серьёзная угроза информационной безопасности (да и вообще любой безопасности компании) находится между стулом и клавиатурой.

В идеале компании хотелось бы иметь дело с генеральным подрядчиком – интегратором системы комплексной информационной безопасности, который сможет обеспечить (самостоятельно либо с привлечением специализированных компаний) реализацию всех этапов создания этой системы:

1. Выявление и анализ (вероятностный, операционный и финансовый) всех ключевых информационных рисков в компании

2. Обследование и анализ существующей системы комплексной информационной безопасности в компании

3. Разработка проекта новой (желаемой) системы комплексной информационной безопасности в компании (оборудование, программные средства, сотрудники, бизнес-процессы, система страхования, бюджет и т.д.)

4. Разработка финансового и операционного плана построения желаемой системы комплексной информационной безопасности в компании (приобретение и установка оборудования и программных средств, найм и обучение сотрудников, оптимизацию бизнес-процессов, приобретение страховок и т.д.)

5. Реализацию финансового и операционного плана построения желаемой системы комплексной информационной безопасности

6. Оценку эффективности новой системы комплексной информационной безопасности