5.8.
Ақпараттық қауіпті басқару
Ақпараттық қамтамасыз ету — заманауи кәсіпорынның негізгі
міндеттерінің бірі. Қауіп техникалық ақаулықтардан ғана емес,
сонымен бірге әртүрлі есептеу жүйелеріндегі деректердің
келіспеушілігінен болуы мүмкін, бұл әрбір екінші компанияда
кездеседі, сонымен бірге қызметкерлердің ақпараттарға шектеусіз
қол жеткізуі саналады.
Жоғарыда айтып өтілгендерді есепке ала отырып, ақпараттық
қауіптерді (IT-қауіптер) анықтау және оны төмендету өте маңызды
болып саналады.
А қ п а р а т т ы қ
қ а у і п т е р
—
бұл компаниялардың
ақпараттық технологияларды қолдану нәтиежесінде шығындар мен
зияндардың пайда болуы қаупі. Басқаша айтқанда, IT-қауіптер
ақпараттарды электронды тасығыштар мен басқа да байланыс
құралдарын құру, тарату, сақтау және қолдануға байланысты.
IT-қауіптерді екі санатқа бөлуге болады:
—
ақпараттардың ағылуымен және оны бәсекелестер немесе
187
қызметкерлердің бизнеске зиян тигізуі мақсатында қолдануынан
туындаған қауіптер;
—
шығындарға алып келуі ықтимал ақпараттарды тарату
арналар жұмысының техникалық ақаулық қауіптері.
IT-қауіптерді төмендету бойынша жұмыстар деректерге тыйым
салынбаған қол жетімділікті ескертуге, апаттар мен жабдықтардағы
ақаулықтарды болдырмауға негізделеді. IT-қауіптерді төмендету
үдерісін кешенді түрде қарастырған жөн: алдымен ықтимал
мәселелерді анықтайды, содан кейін, оларды қандай тәсілдермен
шешуге болатындығын анықтайды. Тәжірибеде IT-қауіптерді
анықтау тәсілдері, кез келген басқа қауіптерді анықтау тәсілдерінен
ешбір ерекшеленбейді: қауіп карталары толтырылады, сараптау
пікірлерінің жиыны жүргізіледі және т.б.
Анағұрлым қауіпті ақпараттық қауіптерді неғұрлым қарапайым
жолмен, келесі сұрақтарға жауап беру арқылы анықтауға болады.
1.
Фирма, қаржылық есептілік құрылатын және сақталатын
ақпараттық жүйелерге кіруді бақылай ала ма?
2.
Фирма тұтынушылары қажетті ақпараттық қолдаумен
қамтамасыз етілген бе?
3.
Фирма қысқа уақытта, қосу және сатып алу нысаны болып
табылатын кәсіпорын жүйесіндегі ақпараттармен қолданыстағы
жұмыс істеу технологияларын біріктіре ала ма? Мысалы,
компанияда бір немесе бірнеше есептеу жүйелері орнатылған, олар
арқылы қаржыгерлер шоғырландырылған есеп құру үшін деректерді
алады. Жаңа кәсіпорын сатып алу кезінде, онда басқа есептеу
жүйесі орнатылғаны анықталады. Сондықтан, фирмада бас
кәсіпорында қабылданған стандартта осындай есептілікті нақты
көрсету жоспары болуы қажет. Олай болмаған жағдайда, ол
жағдайды жедел бақылай алмауы мүмкін.
4.
Ұйым, фирманың құжат айналымын, негізгі қызметкерлер
жұмыстан кеткен жағдайда, қолданыстағы жүйелерде оның
қызметін бұрынғы тәртіпте жалғастыруына жол бере ме? Бұл
мәселе, ресейлік фирмалар үшін өте өзекті саналады, өйткені тіпті
қаржылық және бухгалтерлік ақпарат, клиенттерге қатысты
мәліметтерді айтпағанда, көбінесе ерікті түрле енгізіледі және
сақталады. Бұл жаңа қызметкерлердің іс барысына «кірісуіне»
қосымша уақыт жұмсауға алып келеді және де қателіктердің
туыындау ықтималдығын арттырады.
5.
Фирма мен оның тұтынушыларының зияткерлік меншігін
қорғау қамтамасыз етілген бе?
6.
Фирма, дағдарысты жағдайларда іс-әрекет алгоритмі бар ма?
Мысалы, компьютерлік жүйелер жұмысындағы ақаулықтар мен
вирустық шабуылдар жағдайында.
7.
Ақпараттық
жүйелердің
жұмысы
фирманың
жалпы
міндеттеріне сай келе ме? (Егер фирма алдында ақша ағындарын
басқарудың ортақ орталығы болса, әртүрлі бөлімшелерінде
188
орнатылған есептеу жүйелері өзара байланысты болмаса, онда
қойылған міндеттер шешілмейтін болады).
Көптеген IT-қауіптерден келетін ықтимал шығындарды дәл
анықтау өте қиын, бірақ оларды шамамен бағлауға болады.
Көптеген ресейлік компаниялардың тәжірибесі көрсеткендей, IT-
қауіптерін ескертудің анағұрлым табысты стратегиялары үш негізгі
ережеге негізделеді.
Екіншіден, ақпараттық жүйелер мен кәсіпорын құжаттарына
қызметкерлердің қол жетімділігі, құжат мазмұнының маңыздылығы
мен құпиялылығына байланысты әртүрлі болуы қажет. Екіншіден,
ақпаратқа кіруді бақылау және ақпараттық жүйелердің осал
тұстарын қорғауды қамтамасыз ету қажет. Үшіншіден, ақпараттық
жүйелер, оған тікелей кәсіпорын қызметі байланысты (стратегиялық
маңызды байланыс арналары, құжаттар мұрағаты, компьютерлік
желі), тіпті дағдарыс жағдайында үздіксіз жұмыс істеуі қажет.
Корпоративтік деңгей жүйелері үшін қолайлы қауіпсіздік
деңгейін қалай қамтамасыз етуге болады?
Ақпаратты қорғау — ішкі бизнес-үдерістерінің үздіксіздігін
және ақпараттық жүйелерді қолдану кезіндегі тұтынушылармен
деректер алмасу қауіпсіздігін қамтамасыз ету. Төтенше жағдайлар
туындаған жағдайда, негізгі серверге шабуыл секілді немесе оның
жұмысындағы ақаулықтар, транзакция журналындағы ақаулықтар
(яғни, жүйеде жүргізілетін операциялар тізімі) басқа үй-жайда
тұрған сақтау серверіне мерзімді көшірілуі қажет. Осындай
ұйымдастыру кезінде,жоғалуы мүмкін барынша көп ақпарат көлемі
— бұл жұмыстың соңғы сағатындағы деректер. Жалпыға ортақ
қолдану желілері арқылы деректерге тұтынушылардың кіруі үшін,
мысалы Интернет, жеке сервер бөлінеді. Оған негізгі серверден
деректер көшіріледі, ендеше егер қиратушалардың шабуылын
бейнелеу мүмкін болмаса, олар компанияның ішкі ақпараттарына,
сонымен бірге Интернетке шыға алмайтын тасығыштарда
сақталатын электронды мұрағаттарға кіре алмайды. Клиенттердің
деркетерге қол жетімділігі әртүрлі қорғаныс дәрежелерімен
қамтамасыз етілуі қажет, ол таратылатын ақпаратың құпиялылығы
мен анықтығына кепілдік береді.
IT-қауіптерге деректердің, ақпараттық жүйелердегі жұмыстардағы
ақаулықтардан, ақпараттардың жоғалуы, сонымен бірге ақпаратты
кәсіпорын қызметкерлерімен үшінші тұлғаға таратуынан болған
деректердің жоғалуын жатқызады. Осындай қауіптерді төмендету
ұйымдастыру және техникалық болып бөлінеді.
Ұйымдастыру қызметі деректерге шектелген қол жетімділікпен
байланысты. Бұл үшін барлық ақпарат жалпы ортақ қол жетімді,
189
қызмет бабында қолдану әне құпиялы деп топтастырылады. Бұдан
басқа, ақпараттық ағындардың мазмұнын қолдану мақсатына қарай
бөлуге болады:
—
жұмыс тобының ішінде кезеңге бөлінетін деректер (белгілі
жоба бойынша);
—
бөлімшенің орындаушылары мен басшыларына арналған
деректер (жалақы, жеке міндеттер және т.б.);
—
бөлімше басшылары мен топ-менеджерлер үшін арналған
деректер (стратегиялық даму жоспары).
Нәтижесінде ақпараттық ағындар қалыптамасы шығады, әрбір
деңгейге белгілі қол жетімділік деңгейі сәйкес еледі.
Ақпараттық қауіпсіздікке қатысты реттемелерді әзірлеумен
арнайы бөлім айналысады. Осы реттемелерді негізге ала отырып,
бөлімше өз қызметкерлері үшін лауазымдық нұсқаулар құрады және
өз бөлімшесі шегінде ақпараттық қауіпсіздіктің сақталуы үшін
жауапты тұлғаны тағайындайды.
Ақпараттық қауіпсіздікті қамтамасыз ету бойынша техникалық
жұмыстар, маңызды қызметтерді қайталауға негізделеді, және ол
ақпараттардың сақталуы мен бүтіндігі, сонымен бірге компания
жұмысының үздіксіздігі (мысалы, қосымша серверлерді, резервті
көшіру жүйелерін орнату) байланысты. Іркіліс қаупін төмендету
үшін, тек сенімді өндірушілерден техниканы қолдану қажет. Оған
кететін шығындар сатып алынбайды, себебі бірнеше сағат бойы
ақпараттық жүйелердің тұрып қалуынан болған зияндар олардың
құнынан бірнеше есеге асып түседі, ал ақпарттық жоғалуы
кәсіпорынның жұмысын мүлде әлсіретіп жіберуі мүмкін.
Ақпараттық қауіпсіздікті қамтамасыз ету — бірінші кезекте,
жұмсалған қаражаттардың тиімділік мәселесі, сондықтан да
қорғауға кеткен шығындар ықтимал залал сомасынан асып кетпеуі
қажет.
Себебі қауіптің алдын алуға кеткен кез келген шығындар негізді
болуы қажет, олардың экономикалық тиімділігін міндетті түрде
есептеу қажет.
IT-қауіптерден қажетті қорғау және қауіпсіздік бақылауды
қамтамасыз ету үшін, келесі іс-шараларды жүргізу қажет.
1.
Ақпараттық қауіпсіздік үшін жауап беретін адамдар тобын
анықтау, IT-қауіптерді болдырмауға бағытталған, компания
қызметкерлерінің әрекеті сипатталатын нормативтік құжаттарды
құру, сонымен қатар дағдарыс жағдайында жұмыс істеу үшін
резервті қуатты қамтамасыз ету.
2.
Ұйым шегінде ақпараттық жүйелерде бірыңғай стандарттар
190
әзірлеу, яғни, бірыңғай есеп беру нысанына, сонымен қатар осы
мақсатта қолданылатын, компанияның бырлық бағдарламалық
өнімінде қолданылатын бірыңғай есептік көрсеткіш ережелеріне
көшу керек.
3.
Деректерді құпиялылық дәрежесіне қарай сыныптау және
оған қол жетімділік құқығын шектеу.
4.
Ұйым ішінде кез келген құжаттардың компьютерлерге
орталықтандырылып орнатылған жүйелер арқылы құрылғанын
қадағалау. Кез келген бағдарламаны орнату тыйым салынуы тиіс,
олай болмаған жағдайда іркіліс қаупі мен вирустық шабылдар кенет
өседі.
5.
Барлық корпоративтік жүйелердегі жағдайды қадағалауға
мүмкіндік беретін бақылау құралдарын енгізу: тыйым салынбаған
қол жетімділік орын алған жағдайда, жүйе кіруге автоматты түрде
тыйым салуы немесе қызметкер шара қолдануы үшін қауіп туралы
белгі беруі қажет.
Атап көрсетілген шаралардан басқа, ықтимал дағдарысты
жағдай салдарына дайындалу және дағдарыстан шығу бойынша
компанияның әрекет етуін сипаттау қажет. Бұл үшін мыналарды
жүзеге асырған жөн:
—
Желінің ішкі ақпараттарына бөтен тұлғалар немесе компания
сәйкес уәкілеттігіне ие емес қызметкерлерінің өту қойылымын
талдау, сонымен бірге дағдарысты жағдайларда ақпараттық
қауіпсіздік үшін жауапты қызметкерлердің мінез-құлық үлгілерін
істеп бітіру жасау мақсатында оқу іс-шараларын жүргізу қажет;
—
Кадрлармен байланысты мәселені шешу нұсқаларын әзірлеу,
оған қоса компаниядан негізгі қызметкерлердің кетуі, мысалы,
қызметкерді кәсіпорынды басқару сабақтастығы жоспарымен
таныстыру;
—
Қосалқы ақпараттық қуатты (серверлер, компьютерлер),
сонымен бірге резервті байланыс желіліерін дайындау.
Қорыта келгенде, IT-қауіптерін төмендету бойынша саясатты
әзірлеу және жүзеге асыру, егер ұсынылған стандарттар мен
ережелер дұрыс қолданылмаса ешбір пайда әкелмейтіндігін атап өту
қажет, мысалы, егер қызметкерлер оларды қолдану бойынша
оқытылмаса және олардың маңыздылығын түсінбесе. Сондықтан да
IT-қауіпсіздігін қамтамасыз ету бойынша жұмыстар кешенді әрі
ойластырған болуы тиіс.
191
Достарыңызбен бөлісу: |