ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ЭКОНОМ КЛАССА – ОРИЕНТАЦИЯ НА МАЛЫЙ БИЗНЕС.

Антон С.В. Экономическая Академия

мастерант

Чеботарь П.П. Магистр


Abstract. Informational security of “econom” class – orientation for small business. At present in Moldova exists no market of informational security services. In this work the author tries to put forward the concept of informational security for small and medium enterprises.The author presents possible set of services, which could be suitable for the given category of enterprises.

Понимание информационной безопасности

На сегодняшний день на ранке отсутствует понимание ИБ как таковой.

Обычно ИБ сводится к компьютерной безопасности. При решении, какие услуги предлагать необходимо провести предварительные маркетинговые исследования и выяснить, на что ориентироваться.

В идеале необходимо продвижение «Информационной Безопасности». Необходимо делать акцент на том, что предлагается защита информации, а не просто защита компьютеров.

Рынок

Следствием низкого уровня развития информационных технологий является отсутствие обеспечения информационной безопасности бизнеса. Это приводит к тому, что большинство фирм являются потенциальными целями для умышленного постороннего вмешательства в их нормальную деятельность, со всеми вытекающими отсюда последствиями.

Однако если в настоящий момент потенциальный клиент, представитель небольшой фирмы решит обеспечить информационную безопасность своего бизнеса, он столкнется с отсутствием приемлемого для него предложения.

Рынок услуг информационной безопасности фактически не развит. Присутствуют "лоскутные" предложение и наработки по разным направлениям безопасности: криптография, цифровая подпись. Для банковской сферы практикуются эпизодические аудиты банковских информационных систем.

С другой стороны среди руководителей бизнеса отсутствует понимание в необходимости данной услуги как таковой, что приводит к отсутствию спроса на данные услуги. Таким образом, при предложении на рынок данной услуги необходимо исходить из необходимости помимо продажи услуги как таковой, занимается фактически "пропагандированием" и продвижением услуги в умах топ менеджмента, что естественно значительно усложняет выход на рынок с предложением данных услуг. Результатом подобных барьеров является "узость" предложения этих услуг для клиента. Образовывается замкнутый круг. Выходом из данной ситуации будет предложение эффективной и относительно недорогой системы безопасности эконом класса.

Клиентская база

При внедрении на молдавский рынок услуг связанных с информационной безопасностью необходимо четко представлять, на какой круг потребителей можно ориентироваться.

Разделение по принципу «крупный бизнес, средний бизнес и мелкий бизнес» не всегда является корректным. При оказании услуг в ИТ секторе необходима ориентировка на информационные системы – «АИС»1. Упростим существующие классификации и разделим информационные системы на 3 категории по количеству и качеству оборудования.

  1. Крупные системы:

    1. Используют широкий круг сетевых и информационных технологий для обеспечения и поддержки бизнес процессов.

    2. Комплексная автоматизация бизнес процессов.

    3. Существует система разграничения доступов не менее чем на 3 уровня (ограниченный доступ рядовых пользователей, расширенный доступ, доступ администраторов).

    4. Централизованная обработка и хранение информации на собственных серверах.

    5. Систематические вложения в информационную безопасность в виде отдельных статей бюджета.

    6. Количество АРМ2 (компьютеров и точек доступа к информационным ресурсам) для Молдовы более 50

  2. Средние системы:

    1. Используют стандартный набор3 сетевых и информационных технологий для обеспечения и поддержки бизнес процессов, отдавая предпочтение недорогим SOHO решения и программным комплексам.

    2. Автоматизация основных бизнес операций.

    3. Централизованная обработка и хранение информации на серверах.

    4. Понимание проблем информационной безопасности и спорадические вложения в нее.

    5. Наличие сотрудника, который занимается ограниченным набором функций обслуживания текущих ИТ потребностей.

    6. Количество для Молдовы АРМ 20 – 50.

  3. Малые системы:

    1. Набор используемых информационных технологий ограничивается возможностями операционных систем и недорогого сетевого оборудования.

    2. Фрагментарный уровень автоматизации.

    3. Частичная интеграция информационных систем.

    4. Понимание информационной безопасности отсутствует. Низкий неконтролируемый уровень безопасности: обеспечение безопасности данных и информации осуществляется усилиями пользователей.

    5. Отсутствие отдельного сотрудника, отвечающего за ИТ.

    6. Несистемный подход к планированию и развитию ИТ.

    7. Количество АРМ – до 20.

Большие компании (банки, коммуникационные компании), владеющие крупными АИС, как правило, имеют свои собственные структуры и методики для обеспечения ИБ. Из услуг такую компанию может заинтересовать только аудит ИБ (предоставление услуг аудита будет рассмотрено ниже).

Компании , владеющие средними АИС, как правило, заинтересованы в самом широком наборе услуг, связанных с ИБ: ИТ персонал таких компаний имеет высокую квалификацию, но обладает поверхностными или несистематизированными знаниями в области ИБ. Также имеют место понимание проблем ИБ и систематические вложения данную сферу. Возможные услуги4:

  1. Обучение системному подходу к ИБ.

  2. Консалтинг и внедрение методик, направленных на повышение уровня информационной безопасности.

  3. Оптимизация систем ИБ по экономическим и организационным направлениям.

  4. Организация служб внутренней безопасности.

  5. Услуги, связанные с конкурентной разведкой.

Компании, владеющие малыми АИС в ИБ не заинтересованы, но в соответствующих ситуациях могут стать одними из самых благодарных клиентов:

  1. В случаях, когда АИС такой компании подошла к той точке, когда она не покрывает бизнес нужд своего владельца и необходима реорганизация и переход к новым методикам и технологиям работы ИТ сектора.

  2. Руководство компании-владельца осознало экономическую, моральную и организационную необходимость ИБ.

  3. При переходе от малой к средней АИС возникает целый ряд вопросов, которые может решить только высоко квалифицированный персонал.

В таких случаях необходима активная работа коммерческого департамента по продвижению услуг в области ИБ и информационных технологий как таковых.

Ресурсы

Для реализации проектов по информационной безопасности необходим квалифицированный персонал в разных областях. Ниже приведены ресурсы для реализации проектов по ИБ

Специалисты

Лидер команды – ответственный за направление

Маркетолог

Специалист по средствам технической и физической безопасности

Специалист по организационным мерам безопасности

Специалист по аудиту

Специалист по компьютерному оборудованию

Специалист по сетевому оборудованию

Специалист по средства наблюдения и прослушивания


Направления работы

Области ИБ, в которых возможно оказание услуг очень различны. Для создания товара необходимо

  1. Провести фундаментальную работу по подготовке материалов по ИБ

  2. Провести маркетинговые исследования в выбранных областях

  3. Выделить одно или два направления работы

  4. Создать стратегию продвижения услуг в области ИБ

Ниже приведены возможные направления работы с кратким описанием.

Аудит АИС

Под аудитом АБ АИС понимаем комплексный аудит систем:

  1. Документооборота

  2. Хранения информации

  3. Организационных методик

  4. Кабельного хозяйства

  5. Коммуникационного хозяйства

Аудит персонала, как правило, не проводится.

Результатом аудита становится:

  1. Описание АИС

  2. Рекомендации по повышению безопасности рассмотренных подсистем

Организация системы электронного документооборота

Для клиентов переходящих от малых информационных систем к средним:

  1. Консультации по организации и/или внедрение новых форм документооборота

  2. Пакет документов и методик по ИБ

  3. Помощь в развертывании, настройке и наладке системы управления предприятием нового поколения.

Обучение персонала.

Обучение персонала заказчика основам ИБ и мерам по обеспечению качества бизнес процессов. Возможны организации тренингов по внедрению стандартов качества ISO 9000

Организация службы внутренней безопасности.

Подготовка работника заказчика к выполнению функций по внутреннему аудиту систем безопасности.

Подготовка заказчику пакета документов по физической, технической и информационной безопасности.

Внедрение процедур и норм по обеспечению безопасности бизнес процессов.

Консультации в подборе персонала.

Сбор досье на кандидата или работника в пределах законодательства РМ.

Услуги сетевого администратора

Для клиентов владельцев малых АИС предложить услуги сетевого администратора:

  1. Настройка компьютеров

  2. Настройка сетей

  3. Настройка периферии

  4. Набор услуг «Скорая Помощь»

  5. Модернизация компьютеров

  6. Телефонная поддержка




1 АИС – автоматизированная информационная система – совокупность программного обеспечения, компьютерного и сетевого оборудования. АИС обслуживает бизнес процессы компаний-владельцев

2 АРМ – автоматизированное рабочее место – как правило компьютер или консоль, с подключением к АИС

3 Под стандартным набором понимается: межсетевой экран (фаирвол), сервер Баз Данных, средства автоматизации документооборота, сервера хранения файловых архивов, антивирус, сетевое SOHO оборудование.

4 Подробно услуги раскрыты в соответствующих разделах.