Влияние на безопасность информационных технологий со стороны подразделения автоматизации

Наиболее существенное влияние на безопасность ИТ организации в подразделении автоматизации оказывают специалисты подразделений разработки, внедрения и сопровождения ПО, эксплуатации технических средств и общего программного обеспечения, системные администраторы.

Программисты осуществляют разработку (приобретение и адаптацию) необходимых прикладных программ (задач) для автоматизации деятельности сотрудников организации. Влияние программистов может быть непреднамеренным (ошибки) и преднамеренным (закладки, люки). Практика показывает, что ошибки кода всегда присутствуют в любой программе.

Подразделение внедрения и сопровождения ПО обеспечивает нормальное функционирование прикладных программ (задач).

Подразделение эксплуатации обеспечивает нормальную работу и обслуживание технических (вычислительных средств и средств телекоммуникации) и общего (системного) программного обеспечения.

Администраторы серверов, приложений, баз данных и т.п. отвечают за эффективное применение штатных средств защиты и разграничения доступа всех используемых ОС и СУБД.

Для обеспечения безопасности ИТ необходимо повышение ответственности на основе регламентации процессов разработки, отладки и внедрения ПО (необходимо разделить сотрудников на группы разрабатывающих, тестирующих, внедряющих и сопровождающих ПО и регламентировать их взаимодействие). Кроме того, также необходимо обеспечить чёткое разделение и регламентацию обязанностей администраторов служб автоматизации и безопасности.

Влияние на безопасность информационных технологий со стороны сотрудников структурных подразделений организации

Сотрудники структурных подразделений (конечные пользователи системы) решают свои функциональные задачи с применением средств автоматизации. Совершение ошибок пользователями способствует порождению угроз, которые затем могут быть использованы злоумышленниками для нанесения вреда организации и её сотрудникам. К числу таких угроз можно отнести:

o создание предпосылок к осуществлению несанкционированного доступа со стороны других лиц (уязвимостей, каналов проникновения) к критичным ресурсам системы;

o разглашение (утечка) конфиденциальной информации (сведений, составляющих коммерческую тайну организации, персональных данных, паролей и др.);

o заражение рабочих станций вирусами, «троянскими» и другими вредоносными программами (внедрение вредоносных и шпионских кодов);

o создание помех для (или остановка) основных производственных процессов.

Способы нанесения ущерба организации (они же возможные цели злоумышленников):

o порча или утрата материального имущества (технических средств);

o искажение или утрата файлов с важной (ценной, чувствительной)информацией;

o потеря конкурентных преимуществ в результате разглашения сведений,составляющих коммерческую тайну;

o дезорганизация или снижение эффективности производственных процессов (нарушение работоспособности подсистем);

o непроизводительные траты ресурсов (материальных, информационных, операционных, рабочего времени и др.);

o судебные иски к организации, к её руководителям и сотрудникам (со стороны государственных органов, других юридических и физических лиц);

o потеря деловой репутации организации (с последующей потерей клиентов, партнёров и т.п.);

o физический или моральный ущерб персоналу (сотрудникам) организации или третьим лицам.

Выполнение сотрудниками ряда ограничительных мероприятий существенно повышает безопасность ИТ. Смысл безопасности ИТ - жёсткая регламентация всей деятельности сотрудников, сочетающаяся с высокой исполнительской дисциплиной. Необходимо учитывать, что регламентация деятельности сотрудников (непосредственно не подчинённых службе безопасности) может привести к конфликтам, поэтому дополнительные функции сотрудников должны быть чётко определены в соответствующих утверждённых руководством инструкциях.