2019
VKEde küberturvalisuse prioriteedid
SMB segmendi ettevõtted tõmbavad pilvede poole, MSSP (Managed Security Service Provider) mudeli järgi teenuse tarbimise teenusemudeli juurde. See aitab neil oluliselt vähendada infoturbe valdkonna tegevuskulusid.
| Nüüd pakuvad mõned müüjad oma klientidele pilvepõhiseid infoturbeteenuseid tellimismudeli alusel. Minu arvates lähevad keskmised ja väikesed ettevõtted just sellisele infoturbe teenuse mudelile, - märgib Dmitri Livshits, tegevdirektor"Digitaalne disain". |
IS tarbimise teenindusmudel on muutumas üha nõudlikumaks väikeste ja keskmise suurusega ettevõtete poolt, kuna need ettevõtted ei saa endale lubada suurt turvaspetsialistide koosseisu.
I-Teco Grupi infoturbe osakonna juhataja Vladimir Balanini sõnul on SMB segmendist saamas integreeritud infoturbeteenustega kohe teenuseid pakkuvate teenusepakkujate teenuste peamine tarbija: puuduvad haldus-, jälgimiskulud. oma infrastruktuuri ja hoolduse eest ning riskid regulatiivsed nõuded kannab teenusepakkuja ise.
Samal ajal iseloomustab Venemaa turgu praegu VKEde jaoks väga piiratud infoturbe pakkumine. Nagu märgib Jet Infosystemsi infoturbekeskuse direktor Andrey Yankin, on peaaegu kõik teenused suunatud suurklientidele. Tüüpilisi ja odavaid, kuid mitte primitiivseid infoturbeteenuseid SMB-le tema sõnul praktiliselt ei eksisteeri, kuigi mitmes teises riigis on see turg hästi arenenud.
Ühtlasi saavad hallatavate infoturbeteenuste segmendi arenedes ja küberriskide kindlustusturu arendamise perspektiiviga selle klientide käsutusse kaasaegsetele ohtudele adekvaatsed meetmed.
Vahepeal juurutavad VKE-d IT-turvet, tõustes harva äriprotsesside tasemele.
Angara Technologies Groupi tehnoloogia ja arenduse peadirektori asetäitja Dmitri Pudovi sõnul ei ole VKEde esindajatel oma eelarvega peaaegu mingit ligipääsu kõrgtehnoloogilistele või keerukatele lahendustele. See ei ole tingitud ainult lahenduste maksumusest, vaid pigem nende pakutava OPEXi põhjusest.
Peamised lahendused, mida SMB segmendi kliendid ostavad, on viirusetõrje ja tarkvara tulemüürid, ütleb System Software infoturbe juht Yakov Grodzensky. Lisaks ettevõtted see segment hakatakse aktiivselt huvi tundma infoturbe auditi ja pentestimise teemade vastu, sest sellistes organisatsioonides ei ole alati eraldi infoturbespetsialisti, rääkimata pentestijatest.
Doctor Webi juhtivanalüütik Vjatšeslav Medvedev lisab, et keskmise suurusega ettevõtete küsitlused on näidanud, et sellistel ettevõtetel pole peale põhiliste turvalahenduste jaoks raha.
Suurettevõtete küberturvalisuse prioriteedid
Aktsionäridele, omanikele ja tippjuhtkonnale on alati oluline objektiivne pilt infoturbest ja tehnoloogilised protsessid organisatsiooni sees, seega kasvab ettevõtete üldine infoturbe küpsuse tase iga aastaga. Mõnel suurel organisatsioonil aga puudub infosüsteemide toimimist tagavates äriprotsessides veel elementaarne kord, mis võib kaasa tuua kaose infoturbe vallas. Seetõttu on peamine prioriteet suured ettevõtted- nende probleemide lahendamisel, ütleb "Step Logic" info- ja võrguturbe osakonna direktor Nikolai Zabusov.
Lisaks keskendub suurettevõte regulaatorite nõuete ja sisestandardite täitmisele, püüdes luua enam-vähem ühtlaselt kaitstud taristut. Tööstusstandardid infoturbe valdkonnas on välja töötatud ja "rakendatud" paljudes ettevõtetes.
Suured äriettevõtted seisid sisuliselt valiku ees: järgida digitaalse transformatsiooni teed või töötada ilma äriparadigmat muutmata. Kuid teisel juhul on nad varem või hiljem sunnitud oma positsioonid turul loovutama suuremat paindlikkust näidanud konkurentidele.
| Ettevõtlussegmendi prioriteetidest võin ühelt poolt märkida klassikaliste infoturbelahenduste kasutamise efektiivsuse tõusu ning teisalt uut tüüpi ohtude vastase kaitse juurutamist osana infoturbe rakendamisest. digitaliseerimisprojektid. Viimane on väga oluline, kuna turvapiirangud on sageli üks peamisi põhjusi aeglasele arengule digitaalse ümberkujundamise teel, - märgib Softline'i infoturbe osakonna juhataja Oleg Shaburov. |
Praktilise turvalisuse seisukohalt on vektor üha enam nihkumas rünnete ennetamisest nende tuvastamisele ja neile reageerimisele, ütleb Croci infoturbe juht Andrey Zaikin. See toob kaasa asjaolu, et suhteliselt noored lahenduste klassid muutuvad üha populaarsemaks ja nõudlikumaks: EDR, IRP. Automatiseeritud reageerimissüsteemidel on erinevad skriptide ja stsenaariumide komplektid ning need võimaldavad blokeerida katseid ohtude levitamiseks.
küberturvateenused
VKE-ettevõtted, kes mõistavad infoturbe olulisust oma äri jaoks, järgivad teenusemudelite kasutamist.
Enne kui räägin sellest, millised infoturberiskid võivad teid tööl ees oodata, tahan end tutvustada: minu nimi on Kamila Iosipova. Olen infoturbe vanemjuht IT-ettevõttes ICL Services, olen selles organisatsioonis töötanud 5 aastat. Olen ka CISA Certified Information Systems Auditor (ISACA sertifikaat tähendab Certified Information Systems Auditor).
2018. aastal kasvas andmerikkumiste maht ettevõtetes 5%. Inimfaktor on üks peamisi infoturbeintsidentide põhjuseid. Ettevaatamatus, hoolimatus, motiiv, kavatsus – need on põhjused, miks teie ettevõtete töötajad võivad tahtlikult või tahtmatult ettevõtte põhja viia. Kuidas kaitsta ennast ja oma kliente, mida teha, et töötajate seas arendada andmetega töötamise kultuuri ja milliseid meetodeid sel juhul rakendada, räägin edasi.
Infoturbe valdkonna töö sisseseadmise plaan
Kui vaadata globaalselt, siis on näha, et infoturbe vallas on jälgitav teatud muster: infoturbele tähelepanu pööramine sõltub suuresti ettevõtte tegevusest. Näiteks sisse valitsusorganid või pangandus on karmimad nõuded, seetõttu pööratakse rohkem tähelepanu töötajate koolitamisele, mis tähendab, et andmetega töötamise kultuur on rohkem arenenud. Kuid täna peaksid kõik sellele probleemile tähelepanu pöörama.
Siin on mõned praktilised sammud, mis aitavad teil infoturbe vallas oma tööd teha:
1 samm. Töötada välja ja rakendada üldist infoturbepoliitikat, mis sisaldab ettevõtte infoturbe juhtimise valdkonna töö põhialuseid, eesmärke ja eesmärke.
2 sammu. Sisestage klassifitseerimispoliitika ja privaatsustasemed.
Samal ajal on vaja mitte ainult kirjutada dokumenti, millele töötaja on 24/7 juurdepääs, vaid ka läbi viia erinevaid koolitusi ja rääkida tehtavatest muudatustest. Pidage kinni reeglist: ette hoiatatud on eeskätt. Laske ettevõttel pidevalt selles suunas töötada.
3 sammu. Töötage välja ennetav lähenemisviis.
See on nagu ennetus meditsiinis. Nõus, ennetava läbivaatuse läbimine on palju odavam ja lihtsam kui kaugelearenenud haiguse ravimine. Näiteks meie ettevõttes toimib proaktiivne lähenemine nii: kommertsprojektides teabega töötamiseks oleme välja töötanud projektides IS-i haldusstandardi, mis sisaldab vajalikke minimaalseid IS-i nõudeid, et tagada IS-i protsesside teatud küpsusaste aastal. kommertsprojekt. See kirjeldab, mida tuleb teha, et säilitada turbehaldusprotsessi teatud küpsusaste. Oleme seda standardit projektides rakendanud ja nüüd teostame siseauditid: kontrollime, kuidas projektid nendele nõuetele vastavad, tuvastame infoturberiskid ja parimad tavad, mis võivad aidata teisi projektijuhte.
Lisaks audititele toimib hästi Teadmiste jagamine. Kui mõnes projektis "äike" lõi, on teistel hea sellest teada ja aega vajalike meetmete võtmiseks.
4 samm. Tehke kõik reegleid selgitavad dokumendid: struktureeritud, selged ja kokkuvõtlikud.
Nagu praktika näitab, ei loe keegi pikki mitmeleheküljelisi tekste. Dokument peab olema kirjutatud lihtsas keeles. Samuti peab see olema kooskõlas ärieesmärkidega ja tippjuhtkonna poolt heaks kiidetud – see on töötajatele võimsam argument, miks neid reegleid on vaja järgida.
5 samm. Vii läbi koolitusi, vestlusi, ärimänge jms.
Väga sageli ei saa inimesed aru, kuidas teatud reeglid on nende konkreetse tööga seotud, seega tuleb tuua näiteid, selgitada, näidata, kuidas nad seda rakendavad. Siin on oluline näidata, millised on tagajärjed kuni äri kaotamiseni ja millised konkreetsed tagajärjed töötajat ootavad, kuni kriminaalvastutuseni.
Kõige eelneva rakendamiseks ettevõttes on vaja ressursse, nii materiaalseid kui inimlikke. Seetõttu on nüüdseks paljudes ettevõtetes hakanud tekkima infoturbe direktori (CISO) ametikoht. Tänu sellele ametikohale on võimalik ärijuhtidele edastada igasuguste otsuste propageerimise, raha eraldamise jms tähtsust. CISO suudab edendada infoturvet ettevõttes kõigil tasanditel.
Ülesanded, mida ta võtab, on mahukad: suhtlemine tippjuhtkonnaga, teatud otsuste põhjendamine, suhtlus protsesside omanikega, et rakendada turvalisust kõikides valdkondades. Küberohtude osas on ta kontaktpunkt, samal ajal kui ta juhib, määrab küberohtudele reageerimise strateegiad ja koordineerib rünnakutele reageerimist.
Töötajate koolitus: raske, pikk, kuid vajalik
Enne inimestele teatud reeglite õpetamist peate aga mõistma üht: te ei saa inimfaktoril peatuda, selle taga võib olla midagi muud - ressursside, teadmiste või tehnoloogia puudus. Siin on kõige tõhusam meetod tegelike põhjuste analüüsimine, algpõhjuseni jõudmine.
Inimestega töötades on vaja valida võti sõna otseses mõttes kõigile. Kõik inimesed on erinevad ja seetõttu on ka kasutatavad meetodid erinevad. Ühel vestlusel töötajaga ütles spetsialist mulle: teen midagi ainult siis, kui tean, et saan nõude täitmata jätmise eest. Ja vastupidi, mõne jaoks mõjub ainult positiivne motivatsioon, näiteks hea hinnang töö kvaliteedile, julgustamine koolituste edukaks läbimiseks.
Arvatakse, et infoturbe spetsialistid toimivad sageli innovatsiooni pidurina, eriti kui nad piiravad uute tehnoloogiate ja ärimudelite kasutamist. See võib tõesti nii olla, kuid oluline on meeles pidada järgmist: "Turvalisus on nagu teie auto pidurid. Nende ülesanne on teid aeglustada. Kuid nende eesmärk on võimaldada teil kiiresti liikuda. Dr Gary Hinson” (“Ohutus on nagu sinu auto pidurid. Nende funktsioon on sind aeglustada. Aga nende eesmärk on võimaldada sul kiiresti minna”). Oluline on mõista, et ilma nende reegliteta on võimatu edasi liikuda, sest ühel hetkel lihtsalt ei saa te oma äri arendada, kui te ei kaitse end küberohtude eest ja ei maanda infoturbe riske. Tasakaalu hoidmiseks kasutab meie ettevõte riskipõhist lähenemist, mis on aluseks ISO standard 27001. Selline lähenemine võimaldab valida meile kehtivad nõuded ja turvameetmed, mis on vajalikud selleks, et end kaitsta meie jaoks oluliste ohtude eest. Selle lähenemise abil saame valida ka rahalisest aspektist: kui otstarbekas on teatud meetmeid rakendada. Näiteks biomeetrilise skanneri võime panna igasse koosolekuruumi, aga kui palju me seda vajame, millist väärtust see toob, milliseid riske vähendab? Vastus ei ole alati ilmne.
Meie ICL Services mõistame, et meie jaoks on oluline teabe konfidentsiaalsus, millega töötame, selleks krüpteerime sülearvutid, sest isegi sülearvuti kadumise korral ei satu teave sissetungijate kätte. See on kriitilise tähtsusega ja oleme valmis selleks raha kulutama.
Usun, et ainult nii on võimalik saavutada tasakaal turvalisuse ja ärilise väärtuse vahel: valida, olla uuendustega kursis ja alati hinnata riske (mil määral on riski juurutamise maksumus võrreldav ühe või teise turvalahenduse soetamise kuluga ).
Integreeritud lähenemine on ideaalne infoturbe retsept
Minu arvates on integreeritud lähenemine turvalisusega töötamisel kõige tõhusam, sest infoturve on inimese teadlikkuse, käitumise ja äriprotsesside nõuetekohase korraldamise küsimus, arvestades turvanõudeid. Intsidendid juhtuvad kõige sagedamini töötajate süül: inimesed eksivad, väsivad, võivad valele nupule vajutada, nii et siin on poole edust tehnilised piirangud, juhuslikest juhuslikest juhtumitest, teine pool iga töötaja ohutuskultuur.
Seetõttu on oluline läbi viia ennetavaid vestlusi ja koolitusi. Tänapäeva maailmas on küberohud mõeldud inimestele: kui saate andmepüügimeili, on see kahjutu, kuni jõuate lingini ja klõpsate sellel. Meie ettevõttes on rõhk personali teadlikkusel, inimestega töötamisel, teadlikkusel. Noh, kolmas punkt on korralduslik, inimesed peavad teadma reegleid, reeglid peavad olema kirjas, peab olema kindel poliitika, mida kõik peavad järgima.
Pidage meeles: küberohud on maailmas väga levinud ja samal ajal on rünnakute tagajärjed väga tõsised – kuni äritegevuse täieliku kaotamiseni, pankrotini. Loomulikult on see küsimus päevakorras. Meie aja turvalisus on lihtsalt kohustatud olema osa sellest ärikultuuri ja tippjuhtkond on esimene sidusrühm see küsimus, kuna ta juhib ettevõtet ja riskide realiseerumise korral kannab ta eelkõige vastutust.
Siin on mõned näpunäited, mis aitavad teie töötajatel küberjulgeolekujuhtumeid vältida.
- Te ei saa jälgida kinnitamata linke;
- Ärge levitage konfidentsiaalset teavet;
- Te ei saa parooli paberile üles kirjutada ja kleebist kleepida;
- Ärge kasutage USB-meediumit, milles te pole kindel (ründaja võib jätta nakatunud füüsilise seadme kohta, kust ohver selle kindlasti leiab);
- Saitidel registreerudes, märkides telefoninumbri ja postiaadressi, otsige hoolikalt, milleks seda teavet vaja on, võib-olla tellite sel viisil tasulise uudiskirja.
Loodan, et aja jooksul muutub turvalisus igas ettevõttes ettevõtte kultuuri võtmeelemendiks.
Oskad suurepäraselt omandada oskused teaduskonnas infoturbe valdkonnas töötamiseks.
Sissejuhatus
Ettevõtlusjuhid peavad mõistma infoturbe tähtsust, õppima ennustama ja juhtima selle valdkonna suundumusi.
Tänapäeva äri ei saa eksisteerida ilma infotehnoloogiad. Teatavasti sõltub umbes 70% maailma rahvuslikust kogutoodangust ühel või teisel viisil infosüsteemidesse salvestatud teabest. Arvutite laialdane kasutuselevõtt on tekitanud lisaks üldtuntud mugavustele ka probleeme, millest tõsiseim on infoturbe probleem.
Lisaks arvutite ja arvutivõrkude juhtseadmetele pööratakse standardis suurt tähelepanu turvapoliitika väljatöötamisele, personaliga tööle (värbamine, väljaõpe, vallandamine), järjepidevuse tagamisele. tootmisprotsess, seaduslikud nõudmised.
Kahtlemata on see kursusetöö teema aastal väga aktuaalne kaasaegsed tingimused.
Kursusetöö objekt: infoturve ametialane tegevus organisatsioonid.
Õppeaine: infoturbe tagamine.
AT referaat plaanitakse luua reaalse elukorralduse baasil infoturbe korraldamise juhtimisotsuse eelnõu.
Peatükk 1. Kutsetegevuse infoturve
Infoturbe tagamine on suhteliselt uus piirkond spetsialistide kutsetegevus. Selliste tegevuste peamised eesmärgid on:
Kaitse tagamine välis- ja siseohtude eest inforessursside moodustamise, levitamise ja kasutamise valdkonnas;
Kodanike ja organisatsioonide teabe konfidentsiaalsuse ja saladuse hoidmise õiguste rikkumise ennetamine;
Tingimuste tagamine, mis takistavad teabe tahtlikku moonutamist või varjamist selleks õigusliku aluse puudumisel.
Selle valdkonna spetsialistide kliendid on:
Vene Föderatsiooni föderaalsed riigivõimu ja haldusorganid;
Vene Föderatsiooni moodustavate üksuste riigiasutused;
Riigiasutused, organisatsioonid ja ettevõtted;
Kaitsetööstus;
Kohalikud omavalitsusorganid;
Mitteriikliku vormi asutused, organisatsioonid ja ettevõtted
vara.
Ilmumine ettevõtte kliendiandmebaasi tasuta, kuigi ebaseaduslikus müügis mobiilside MTS sunnib ikka ja jälle pöörduma arvutiturbe probleemi poole. Tundub, et see teema on ammendamatu. Selle asjakohasus on seda suurem, mida kõrgem on äriettevõtete arvutistamise tase ja mittetulundusühingud. Kõrgtehnoloogiline, mängides revolutsioonilist rolli nii äri kui ka praktiliselt kõigi teiste osapoolte arengus kaasaegne ühiskond, muudavad nende kasutajad teabe ja lõpuks majandusliku turvalisuse osas väga haavatavaks.
See pole probleem mitte ainult Venemaal, vaid enamikus maailma riikides, eelkõige lääneriikides, kuigi on olemas seadused, mis piiravad juurdepääsu isikuandmetele ja seavad selle säilitamisele ranged nõuded. Turud pakuvad erinevaid süsteeme arvutivõrkude kaitsmiseks. Kuidas aga kaitsta end omaenda "viienda kolonni" eest – hoolimatute, ebalojaalsete või lihtsalt hoolimatute töötajate eest, kellel on juurdepääs salastatud teabele? MTS-i kliendiandmebaasi skandaalne leke ei saanud ilmselt toimuda ilma ettevõtte töötajate kokkumängu või kuritegeliku hooletuseta.
Tundub, et paljud, kui mitte enamik ettevõtjaid lihtsalt ei mõista probleemi tõsidust. Isegi arenenud turumajandusega riikides ei ole mõne uuringu järgi 80% ettevõtetest läbimõeldud, planeeritud hoidlate kaitsesüsteemi, toimivaid andmebaase. Mida me saame öelda meie kohta, kes oleme harjunud lootma kuulsale "võib-olla".
Seetõttu ei ole asjatu pöörduda konfidentsiaalse teabe lekkimisest tulenevate ohtude teema juurde, rääkida meetmetest selliste riskide vähendamiseks. Sellele aitab kaasa väljaanne “Legal Times” (21. oktoober 2002) - väljaanne, mis on pühendatud juriidilistes küsimustes(Mark M. Martin, Evan Wagner, Haavatavus ja infoturve). Autorid loetlevad teabeohtude tüüpilisemad tüübid ja meetodid. Mida täpsemalt?
Ärisaladuste salastatuse kustutamine ja vargus. Siin on kõik enam-vähem selge. Klassika, läheb iidne ajalugu, majanduslik spionaaž. Kui varem hoiti saladusi salajastes kohtades, massiivsetes seifides, usaldusväärse füüsilise ja (hiljem) elektroonilise kaitse all, siis tänapäeval on paljudel töötajatel juurdepääs kontori andmebaasidele, mis sisaldavad sageli väga tundlikku teavet, näiteks samu kliendiandmeid.
Kompromiteerivate materjalide levitamine. Siin peavad autorid silmas töötajate tahtlikku või juhuslikku kasutamist e-mail sellist teavet, mis heidab varju ettevõtte mainele. Näiteks kajastub ettevõtte nimi korrespondendi domeenis, kes lubab oma kirjades laimamist, solvanguid, ühesõnaga kõike, mis võib organisatsiooni kompromiteerida.
Intellektuaalomandi rikkumine. Oluline on mitte unustada, et igasugune organisatsioonis toodetud intellektuaalne toode kuulub organisatsioonile ja seda ei saa töötajad (sh intellektuaalsete väärtuste generaatorid ja autorid) kasutada, välja arvatud organisatsiooni huvides. Samal ajal tekivad Venemaal selles küsimuses sageli konfliktid organisatsioonide ja töötajate vahel, kes nõuavad enda loodud intellektuaalset toodet ja kasutavad seda organisatsiooni kahjuks isiklikes huvides. Selle põhjuseks on sageli ebamäärane õiguslik olukord ettevõttes, millal töölepingut puuduvad selgelt määratletud normid ja reeglid, mis kirjeldaksid töötajate õigusi ja kohustusi.
Siseteabe (sageli tahtmatu) levitamine, mis ei ole salajane, kuid võib olla kasulik konkurentidele. Näiteks uutest vabadest töökohtadest seoses äri laienemisega, ärireisidest ja läbirääkimistest.
Konkurentide veebisaitide külastused. Nüüd kasutab üha rohkem ettevõtteid oma avatud saitidel (eriti CRM-i jaoks mõeldud) programme, mis võimaldavad teil külastajaid ära tunda ja nende marsruute üksikasjalikult jälgida, salvestada saidi lehtede vaatamise aja ja kestuse. Selge on see, et kui sinu külastus konkurendi veebilehele on tema operaatorile detailselt teada, siis pole viimasel raske järeldada, mis sind täpselt huvitab. See ei ole üleskutse loobuda kõige olulisemast konkurentsiinfo kanalist. Konkurentide veebisaidid on olnud ja jäävad väärtuslikuks analüüsi ja prognoosimise allikaks. Aga saite külastades tuleb meeles pidada, et jätad jälgi ja sind ka jälgitakse.
Kontorisuhtluse kuritarvitamine isiklikuks otstarbeks (muusika ja muu tööga mitteseotud sisu kuulamine, vaatamine, kontoriarvuti allalaadimine) ei kujuta otsest ohtu infoturbele, vaid tekitab lisapinget ettevõtte võrgus, vähendab efektiivsust ja segab. kolleegide tööga.
Ja lõpuks välised ohud – volitamata sissetungid jne. See on eraldi tõsise arutelu teema.
Kuidas kaitsta end sisemiste ohtude eest? Lihtsalt ei ole 100% garantiid kahjude vastu, mida teie enda töötajad võivad tekitada. See on inimlik tegur, mida ei saa täielikult ja tingimusteta kontrollida. Samas annavad eelpool mainitud autorid kasulikke nõuandeid – arendada ja rakendada ettevõtte sees selgelt sõnastatud kommunikatsiooni (või info) poliitika. Selline poliitika peaks tõmbama selge piiri selle vahel, mis on lubatud ja mis mitte kontoriside kasutamisel. Piiriületus toob kaasa karistuse. Peaks olema jälgimissüsteem, kes ja kuidas kasutab arvutivõrgud. Ettevõtte poolt vastuvõetud reeglid peavad vastama nii siseriiklikele kui ka rahvusvaheliselt tunnustatud riigi- ja ärisaladuse, isiku- ja eraandmete kaitse standarditele.
Peatükk 2. Infoturbe tagamine
kutsetegevus OÜ-s "Laspi"
2.1. lühikirjeldus OOO "Laspi"
Laspi LLC asutati 1995. aastal Tšehhi ettevõtte esindusena Venemaal. Ettevõte tegeleb Tšehhi seadmete tarnimisega ja Varud erinevate betoontoodete tootmiseks (alates sillutusplaadid ja lõpetades piirdeaedade, lillepottidega jne). Seadmed on kvaliteetsed ja mõistlikud. Samara kontorisse pöörduvad kliendid organisatsioonid erinevatest Venemaa ja SRÜ linnadest (Kaasan, Ufa, Iževsk, Moskva, Nižni Novgorod jne.). Loomulikult nõuab selline mastaapne tegevus ettevõttesiseselt erilist suhtumist infoturbesse.
Tänapäeval jätab infoturve palju soovida. Erinevat dokumentatsiooni (tehniline, majanduslik) leiate avatud juurdepääs, mis võimaldab peaaegu igal ettevõtte töötajal (asutajast juhini) sellega vabalt tutvuda.
Eriti tähtsaid dokumente hoitakse seifis. Seifi võtmed on ainult direktoril ja tema sekretäril. Kuid siin mängib olulist rolli niinimetatud inimfaktor. Tihti unustatakse võtmed kontorisse lauale ja seifi saab avada isegi koristaja.
Majandusdokumentatsioon (aruanded, arved, arved, arved jne) on paigutatud kaustadesse ja riiulitesse kapis, mis ei ole lukustatud.
Töötajad ei sõlmi tööle kandideerimisel ärisaladusi puudutavaid mitteavaldamise lepinguid, mis ei keela neil sellist teavet levitada.
Töötajate värbamine toimub vestluse teel, mis koosneb kahest etapist: 1. suhtlemine vahetu juhiga (millest selgub potentsiaalse töötaja oskused ja võimed) 2. suhtlemine asutajaga (veel isiklik iseloom ja sellise dialoogi järeldus võib olla kas „teeme koos“ või „me ei tööta koos“).
Kõik see nõuab juhtkonnalt suuremat tähelepanu ja kompetentset programmi ettevõtte infoturbe tagamiseks, sest täna on Laspi OÜ-l palju konkurente, kes tõenäoliselt ei jäta kasutamata võimalust kasutada näiteks kliendibaasi või ettevõtte baasi. ettevõtte tarnijad.
2.2. Laspi OÜ kutsetegevuse infoturbe tagamiseks juhtimisotsuse eelnõu.
Oluline on võtta koht organisatsiooniliste, halduslike, õiguslike ja muude meetmete süsteemis, mis võimaldavad kvalitatiivselt lahendada teadus-, tööstus- ja teabetoetuse probleeme. äritegevus, salastatud teabe materiaalsete kandjate füüsiline ohutus, nende lekkimise tõkestamine, ärisaladuse säilitamine on hõivatud esitajate salastatud dokumentidele ja teabele juurdepääsu lubava süsteemiga.
Võttes arvesse RSFSRi seadust "Ettevõtete ja ettevõtlustegevus„Ettevõtte (firma) juht võib sõltumata omandivormist kehtestada erireeglid teabele juurdepääsuks, mis väljub. ärisaladus ja selle kandjad, tagades sellega nende ohutuse.
Turvameetmete süsteemis on oluline ettevõtte saladust jätva tootmis-, äri- ja finants- ja krediidiinfo optimaalne jaotus vastavate tööde ja dokumentide konkreetsete tegijate vahel. Teabe jagamisel tuleb ühelt poolt tagada, et konkreetsele töötajale antakse talle pandud töö kvaliteetseks ja õigeaegseks täitmiseks täielik andmemaht, teiselt poolt aga välistada esineja tutvustamine mittevajaliku salastatud teabega, mida ta tööks ei vaja.
Töövõtja seadusliku ja põhjendatud juurdepääsu tagamiseks ettevõtte ärisaladuseks olevale teabele on soovitatav välja töötada ja rakendada ettevõtetes asjakohane lubade süsteem.
Juurdepääsu all mõistetakse ettevõtte juhilt (või tema sanktsiooniga teistelt juhtidelt) kirjaliku loa saamist konkreetse (või täieliku) salastatud teabe väljastamiseks ühele või teisele töötajale, arvestades tema ametlikud kohustused(ametkond).
Juurdepääsu CT-le saab registreerida vastavalt direktori kinnitatud juurdepääsulubade süsteemi eeskirjadele, kus volitused on seadusega fikseeritud ametnikud ettevõtetele teabe levitamiseks ja selle kasutamiseks. Organisatsiooni juht võib lubada mis tahes kaitstud teabe kasutamist selle ettevõtte igal töötajal või mõnest teisest organisatsioonist objekti saabunud isikule probleemide lahendamiseks, kui selle teabe suhtes ei kehti tootmis- ja äripartnerite tutvumispiirangud. ühistootmises jne P. Seega soovitab Laspi OÜ piirata juurdepääsu ärisaladuseks olevale teabele (lepingud tarnijate ja klientidega, tehingute lõpparuanded) järgmistel töötajatel:
1. Ettevõtte asutaja.
2.ettevõtte direktor.
3. direktori sekretär.
Teistele töötajatele teabele juurdepääsu loa saab anda ainult ettevõtte asutaja ja direktor.
Juurdepääs teabele klientidega praeguste tehingute kohta peaks olema kõigil ülalnimetatud töötajatel ja juhtidel, kes neid tehinguid teevad.
Samuti peaks olema piiratud esialgne teave seadmete ostuhindade kohta. Sellele pääsevad ligi ainult asutaja, ettevõtte direktor, kes annavad ülejäänud töötajatele ainult juba välja töötatud hinnad (erinevate “lisadega”), samuti sekretär, kes juhib kogu organisatsiooni dokumendivoogu.
Litsentsisüsteemi tõhus toimimine on võimalik ainult siis, kui järgitakse teatud reegleid:
1. Lubamissüsteem hõlmab kohustusliku reeglina juurdepääsu võimaldamisel diferentseeritud lähenemist, võttes arvesse selle salastatud teabe tähtsust, mille suhtes juurdepääsu küsimust otsustatakse.
2. Teatud kaitstud teabe kasutamise õiguse saamiseks on vaja dokumenteerida väljastatud luba. See tähendab, et kasutusõiguse andnud juht peab selle kirjalikult fikseerima vastaval dokumendil või praeguses ettevõttes raamatupidamise vorm. Ükski suuline juhis või juurdepääsutaotlus kellegi (v.a ettevõtte juhi) poolt ei ole õiguslikult siduv. See nõue kehtib ka kõikide tasandite juhtide kohta, kes töötavad salastatud teabe ja selle kandjatega. Seega on ainult juhi kirjalik luba (volituste piires) loaks ühele või teisele isikule kaitstud teabe väljastamiseks.
3. Kontrolli põhimõtet tuleks rangelt järgida. Igal loal peab olema selle väljaandmise ja väljaandmise kuupäev.
Laialdaselt kasutatakse sellist traditsioonilist loa tüüpi, nagu pea resolutsioon kõige salastatud dokumendil. Selline luba peab sisaldama dokumentidega tutvuma või vormistama kohustatud töötajate nimesid, täitmise tähtaega, muid juhiseid, juhataja allkirja ja kuupäeva. Juht saab vajadusel ette näha piirangud konkreetsete töötajate juurdepääsule teatud teabele.
Lahutust kui loa tüüpi kasutatakse peamiselt väljastpoolt saadud ja ettevõttes loodud dokumentides ja toodetes sisalduva salastatud teabe viivitamatuks edastamiseks huvitatud isikutele.
Juurdepääsuloa saab anda ettevõtte juht haldusdokumendid: tellimused, juhised, juhised ettevõttele. Need peaksid sisaldama isikute nimesid, ametikohti, konkreetseid klassifitseerimisdokumente ja tooteid, millesse neid saab lubada (tutvuda).
Teist tüüpi load - vastavalt nende isikute perekonnanimekirjadele, kellel on õigus tutvuda ja teha mis tahes toiminguid salastatud dokumentide ja toodetega. Perekonnanimekirjade järgi kinnitab need ettevõtte direktor või kehtiva lubade süsteemi kohaselt juhid, kes reeglina ei tööta vastavate osakondade juhatajatest madalamatel ametikohtadel.
Vastavalt isikute perekonnanimekirjadele saab neid kasutada ettevõtte jaoks eriti olulistele salastatud dokumentidele ja toodetele juurdepääsu korraldamisel, turvaruumidesse juurdepääsu registreerimisel, erinevatele kinnistele üritustele (konverentsid, koosolekud, näitused, koosolekud). teadus- ja tehnikanõukogude jne.). Perenimekirjades saab välja tuua konkreetsed juhid, keda pea lubab ilma vastava kirjaliku loata kõikidele suletud dokumentidele ja toodetele. Need näitavad täisnime. töövõtja, osakond, ametikoht, dokumentide ja toodete kategooria, millele ta on lubatud. Praktikas on rakendatav ka töönimekirjade versioon, mis näitab: töövõtja ametikohta, dokumentide mahtu (dokumentide kategooriaid) ja toodete tüüpe, mida peavad kasutama ettevõtte töötajad, kes täidavad ametikohale vastavat ametikohta. nimekirja. Tuleb märkida, et ettevõtete jaoks, kus on väike hulk salastatud dokumente ja tooteid, võib piisata selliste lubade kasutamisest nagu pea resolutsioon dokumendil endal, perekonnanimekirjade, töönimekirjade kaupa.
AT organisatsiooniline plaan perede nimekirjad peaksid koostama huvitatud juhid struktuurijaotused. Nimekirja kantud töötajate nimekirja kinnitab Julgeolekunõukogu juht ja kinnitab ettevõtte juht, kes võib delegeerida kooskõlastusõigusi direktoraadi hulgast teistele isikutele.
Litsentsisüsteem peab vastama järgmistele nõuetele:
kohaldada kõiki ettevõttes saadaolevate salastatud dokumentide ja toodete tüüpe, olenemata nende asukohast ja loomisest;
määrab juurdepääsu korra kõigile CT-ga töötamise õiguse saanud töötajate kategooriatele, samuti ajutiselt ettevõttesse saabunud ja suletud ühistellimustega seotud spetsialistidele;
kehtestama kaitstud dokumentidele ja toodetele juurdepääsulubade väljaandmiseks lihtsa ja usaldusväärse korra, mis võimaldab teil koheselt reageerida ettevõtte teabevaldkonna muutustele;
· selgelt piiritleda erinevate ametlike tasandite juhtide õigused asjakohastele esitajate kategooriatele juurdepääsu kujundamisel;
välistada dokumentide ja toodete kontrollimatu ja volitamata väljastamise võimalus kellelegi;
· mitte lubada salastatud teabe ja objektidega töötavatel isikutel teha ühtlastes andmetes muudatusi, samuti asendada raamatupidamisdokumente.
Lubade süsteemi väljatöötamisel tuleks erilist tähelepanu pöörata ettevõtte jaoks põhilise, eriti väärtusliku teabe esiletoomisele, mis tagab sellele rangelt piiratud juurdepääsu. Teiste ettevõtete (organisatsioonide), välismaiste ettevõtete või nende üksikute esindajatega ühise töö korral on vaja ette näha nende kategooriate ettevõtte ärisaladusele juurdepääsu kord. Soovitatav on kindlaks määrata riiklike teenindusorganisatsioonide esindajatega suhtlemise kord: tehniline järelevalve, sanitaar- ja epidemioloogiajaam jne.
Ettevõtte litsentsimissüsteemi eeskirjades on vaja märkida, et salastatud dokumentide ja toodete üleandmine töövõtjalt töövõtjale on võimalik ainult struktuuriüksuse sees ja selle juhi loal. Toodete selliste dokumentide üleandmine, tagastamine toimub ettevõtte poolt kehtestatud korras ja ainult antud päeva tööajal.
Kõik salastatud dokumendid ja tooted, mille ettevõte saab ja sellel arendatakse, aktsepteerivad ja võtavad arvesse keskastme juhtkonda ja sekretäri. Pärast registreerimist esitatakse dokumentatsioon kviitungi vastu vaatamiseks ettevõtte juhile.
Ettevõtte lubade süsteemi reglemendis on vaja märkida, et kinnised koosolekud ametlikes küsimustes toimuvad ainult ettevõtte juhi või tema asetäitjate loal. Erinõuded võivad kehtida teadusnõukogude koosolekutele, T&A ning finants- ja äritegevuse tulemuste ülevaatamise koosolekutele jms. Selliste ürituste jaoks on soovitatav koostada tõrgeteta lubade nimekirjad ja lisada neisse ainult need ettevõtte töötajad, kes on otseselt seotud kavandatavate sündmustega ja millest osavõtt on tingitud ametlikust vajadusest.
Nagu eespool märgitud, võivad teiste ettevõtete töötajad kinnistel koosolekutel osaleda ainult ettevõtte juhtkonna isiklikul loal. Koostab reeglina nimekirjad, mis vastutavad koosoleku korraldamise eest, kontaktides huvitatud struktuuriüksuste juhtidega. Nimekiri on aluseks sellele koosolekule pääsemise kontrolli korraldamisel. Enne koosoleku algust hoiatatakse kohalviibijaid, et arutatav teave on konfidentsiaalne ega kuulu levitamisele väljaspool ettevõtte kehtestatud käibe ulatust ning annab juhiseid arvestuse pidamiseks.
Oluline on rõhutada, et salastatud teabe ja toodete käitlemise teatud korra kehtestamine ettevõttes suurendab oluliselt ärisaladuse kaitsmise usaldusväärsust, vähendab selle teabe avalikustamise, kandjate kadumise tõenäosust.
Dokumentide ohutuse tagamiseks tehakse ettepanek soetada sobiv mööbel, mis võimaldab dokumente turvaliselt lukustada. Samuti on vaja iga päev, enne lahkumist, kapid pitseerida.
Seifi ja kappide võtmed tuleb anda allkirja vastu üle turvateenistusele. Samuti on soovitatav soetada võtmete hoidmiseks spetsiaalne toru ja sulgeda see samamoodi.
Erilist tähelepanu tuleks pöörata arvutiteabe turvalisusele. Laspi OÜ-s on tänaseks loodud mitmeid andmebaase: ettevõtte kliendid (märkides lisaks töökoha aadressidele ja telefoninumbritele ka kodused aadressid, samuti isikuandmed); andmebaas, mis sisaldab tarnitavate seadmete hindu ja omadusi; organisatsiooni töötajate andmebaas. Samuti on arvutisse salvestatud erinevad lepingud, kokkulepped jms.
Igal juhul on selle teabe konkurentide kätte saamine äärmiselt ebasoovitav. Sündmuste sellise arengu vältimiseks on soovitatav luua igale andmebaasile juurdepääsuks paroolid (ja tarkvaratööriistad võimaldavad seda). Arvuti käivitamisel on soovitatav seadistada ka kahetasemeline kaitse (BIOS-i laadimisel ja Windows'2000 laadimisel, mis erinevalt selle operatsioonisüsteemi eelmistest versioonidest ei võimalda paroolivaba juurdepääsu kõvaketta sisule) . Loomulikult peaksid paroolid olema kättesaadavad ka ainult nendele ettevõtte töötajatele, kes nende andmebaasidega otseselt töötavad (sekretär, juhid, programmeerijad).
Arvutiga seotud probleemide ja välisfirma poole pöördumise vajaduse korral on vaja seadmete parandamise protsessi täielikult kontrollida. Kuna just sel hetkel, kui kõik paroolid eemaldatakse, on programmeerijal "väljastpoolt" vaba ja takistamatu juurdepääs kõvaketta sisule, on tal võimalik infot kinni võtta ja seda edasi erinevatel eesmärkidel kasutada.
Peate hoidma oma viirusetõrjetarkvara ajakohasena, et vältida viiruste sattumist arvutisse ja nende levikut.
Erilist tähelepanu tuleks pöörata uute töötajate värbamisele. Tänapäeval praktiseerivad paljud organisatsioonid sellele protsessile karmimat lähenemist, mis on seotud sooviga hoida infot ettevõtte sees ja mitte lasta sellel "inimfaktori" tõttu sellest kaugemale minna.
Kui enamikul juhtudel toimub töölevõtmine kahes etapis (nagu eespool kokku võetud), siis siin soovitatakse nelja etappi.
1. Vestlus personaliosakonna juhatajaga. Personaliosakonna juhataja tutvub kandidaadiga, tema CV-ga, esitab küsimusi kutsetegevuse kohta, teeb eelmärkmeid. See samm on professionaalne. Seejärel analüüsib personaliosakonna juhataja kandidaatidelt saadud infot ja edastab selle juhatajale.
2. Jõua tutvuda kandidaatide CV-de ja märkmetega nende kohta personaliosakonna juhataja poolt, valides välja sobivaimad ning kutsub vestlusele. Intervjuu on oma olemuselt personaalne ja sisaldab ebastandardseid küsimusi (näiteks mida inimene süüa meeldib, mis on tema hobi jne) Seega saab juht infot, et otsustada, kui sobiv see inimene talle sobib, ennustab võimalikud probleemid millega ta võib selle kandidaadiga suheldes kokku puutuda.
3. Testimine. Siin määratakse juba töötaja intelligentsuse tase, tema psühholoogiline portree koostatakse erinevate testide põhjal. Kuid kõigepealt peate kindlaks määrama, kuidas juht ja kolleegid soovivad uut töötajat näha.
4. Turvateenus. Siin on välja pakutud kaks etappi: a) kandidaatide kontrollimine erinevates astmetes (kas ta anti kohtu ette, kas ta oli vabadusekaotuse kohas ajateenistuses, kas ta on arvel narkodispanseris, kas tema antud teave varasemad kohad töö); b) eriseadmete kontrollimine, mida kõige sagedamini nimetatakse "valedetektoriks". Teises etapis tehakse kindlaks, kui lojaalne on töötaja ettevõttele, millised on tema reaktsioonid provokatiivsetele küsimustele (näiteks mida ta teeb, kui saab teada, et keegi kolleegidest viib dokumente koju) jne.
Ja alles pärast seda, kui kandidaat on kõik need neli etappi läbinud, saate otsustada, kas võtta ta tööle või mitte.
Pärast positiivse otsuse tegemist määratakse töötajale katseaeg (Vene Föderatsiooni seaduste kohaselt võib see varieeruda 1 kuni 3 kuud, kuid soovitatav on vähemalt 2 kuud ja eelistatavalt 3 kuud). ajal katseaeg juhtkond ja turvateenistus peaksid uuel töötajal silma peal hoidma, tema tegevust jälgima.
Lisaks on kohe tööle asumisel vajalik koos järeldusega töölepingärisaladuse mitteavaldamise lepingu allkirjastamine. Selle lepingu soovitatavad klauslid:
See ei ole täielik loetelu sellest, mida leping võib sisaldada.
Järeldus
Tänapäeval teeb infoturbe korraldamise teema muret igasuguse tasemega organisatsioonidele – suurkorporatsioonidest kuni juriidilist isikut moodustamata ettevõtjateni. Võistlus kaasaegses turusuhted kaugel täiuslikkusest ja seda tehakse sageli vähem kui seaduslikul viisil. Tööstusspionaaž õitseb. Kuid on ka organisatsiooni ärisaladusega seotud teabe tahtmatu levitamise juhtumeid. Reeglina mängib siin rolli töötajate hoolimatus, olukorra mittemõistmine ehk teisisõnu "inimfaktor".
Kursusetöös esitatakse Laspi OÜ-s infoturbe korraldamise juhtimisotsuse eelnõu. Projekt puudutab kolme peamist turvakorralduse valdkonda: 1. dokumentatsiooniala (juurdepääs paberkandjal esitatud materjalidele koos selle juurdepääsu piiritlemisega); 2.arvuti turvalisus; 3. turvalisus uute töötajate palkamisel.
Arvestada tuleks sellega, et isegi see projekt ja mõeldud konkreetsele organisatsioonile, saab selle sätteid kasutada ka turvalisuse korraldamiseks teistes keskmise suurusega ettevõtetes.
Midagi ei anta ettevõtlusele nii odavalt ja see ei maksa nii palju kui vead ettevõtte infokaitse süsteemis. Parem on õppida teiste inimeste turvavigadest.
Küberrünnakud ja DLP- süsteemid
Aastal 2010 töötaja HSBC- purk , üks maailma viiekümne kõige usaldusväärsema panga hulgast võttis vallandamisel endaga kaasa 15 tuhande kliendi andmed (peamiselt Šveitsist ja Prantsusmaalt). See läks pangale maksma 94 miljonit dollarit, et asendada ebatõhus turvasüsteem.
Häkkinud küberkurjategijad tegid soliidsetele kodanikele palju rohkem kahju Twitter-konto Associated Press. Sissemurdjad lühidalt "säutsusid": "Valges Majas toimus kaks plahvatust, Barack Obama sai vigastada." Indeks Dow Jones langes 150 punkti võrra ja blue chipid vähendasid oma kapitalisatsiooni kogusummas 200 miljardi dollari võrra.Kuid pärast ümberlükkamise ilmnemist paanika lakkas ja indeks naasis endisele väärtusele. Kuid need, kes kiirustasid aktsiaid alla hiilivate hindadega maha laskma, põlesid üsna läbi. Teatud "Süüria elektrooniline armee" võttis vastutuse häkkimise eest. Siiski on võimatu kindlalt väita, et tegemist polnud puhtalt majandusliku sabotaažiga. Ajastus oli liiga täpne: vahetult pärast Bostoni maratoni pommitamist.
peal Maailma majandusfoorum Globaalsetest maailmamajanduse riskidest, nagu korruptsioon, demograafiline kriis, loodusvarade ammendumine, nimetati esimest korda ajaloos ka küberrünnakuid. Ohud, mis varitsevad nii ettevõtteid kui ka riigiasutusi, võivad olla nii välised kui ka sisemised. Tegelikult on küberrünnakud väline oht. Sisemised ohud ei pruugi olla pahatahtlike kavatsuste tagajärg. Üsna lojaalsed, kuid IT-valdkonnas ebakompetentsed töötajad võivad kogemata käivitada meilile lisatud pahatahtliku programmi, kustutada ekslikult soovitud kausta, eksida troojalastega täidetud saidile. Selle tulemusena võib ettevõtte jaoks oluline info kas jäljetult kaduda või sattuda konkurentide või mõne “õigluse eest võitleja” kätte, kes on kinnisideeks inimkonna päästmise ideedest globalismist ja muudest kapitalismi, totalitarismi jne nuhtlustest. Statistika näitab, et ettevõtted kannatavad kõige rohkem kahju oma töötajate tõttu.
Arvutiturvalisuse probleem tekkis kohe, kui Ameerika ettevõte Eckert Mauchly arvutikorporatsioon aastal 1951 välja esimene masstoodanguna toodetud arvuti UNIVAC I. Pikka aega oli see probleem pigem teoreetilist laadi. Kõik muutus koos Interneti leiutamisega ja World Wide Web plahvatusliku levikuga.
Küberkuritegevuse vastu võitlemiseks oli vaja täiesti uut tööstust. Igal aastal lasevad Venemaa ja välismaised ettevõtted välja üha uusi viirusetõrjeid, krüptoprogramme, andmepüügi- ja ddos-rünnakuid takistavaid tooteid jne. Programme täiustatakse pidevalt, ilmub uusi sorte. Eelkõige on suhteliselt hiljuti turule tulnud infoturbe vahendid DLP- süsteemid ( Andmelekke ennetamine), mis takistavad teabeleket ettevõtete võrkudest.
Täielikul ja täielikult toimival DLP-süsteemil on järgmised funktsioonid:
- kõigi võimaliku teabelekke kanalite täielik ja pidev kontroll;
- kogu liikluse analüüs, mis väljub ettevõtte võrgust konfidentsiaalse teabe olemasolu kohta;
- konfidentsiaalse teabe edastamise blokeerimine, mis ei viita mitte ainult ettevõtte salajastele andmetele, vaid ka solvavatele avaldustele, nilbetele videotele, samuti meililistidele, mis ühel või teisel põhjusel ettevõtte mainet negatiivselt mõjutavad;
- soovimatu ja pahatahtliku teabe vastuvõtmise blokeerimine;
- arhiveerida pealtkuulatud volitamata liiklust, et uurida tekkinud intsidente.
Tuleb märkida, et DLP-süsteemid ei tühista eelmiste tootekategooriate asjakohasust, nagu viirusetõrjed, krüptoprogrammid, kõrge kasutajatuvastusastmega elektroonilised lukud jne. Kuid kõik need tööriistad on viimase 2–3 aasta jooksul muutunud haavatavamaks. Selle põhjuseks on kaks globaalset IT-trendi: mobiilseadmete ja pilvandmetöötluse laienemine.
Uued haavatavused
AT Sel hetkel Venelaste käes on umbes 50 miljonit mobiilset seadet - nutitelefonid, tahvelarvutid, netbookid, sülearvutid jne. Sel aastal kasvab see näitaja veel 12 miljoni võrra ning aastaks 2015 ületab see 70 miljoni piiri. Analüütilise ettevõtte prognoosi kohaselt Rahvusvaheline andmekorporatsioon, ületavad mobiilseadmed lähikuudel personaalarvuteid Interneti-juurdepääsu sageduse poolest.
Ja kõik need seadmed loovad potentsiaalseid haavatavusi nii ettevõtte võrgu enda kui ka sellesse salvestatud konfidentsiaalse teabe jaoks. Häkkerid on OS-i kasutavate nutitelefonide jaoks nüüd suures moes pahavara Android. Ja kuna töötajad kasutavad nutitelefone tööl, kodus, puhkusel ja transpordis, suureneb ettevõtte võrku kuuluvate serverite nakatumise tõenäosus järsult.
On ka teist tüüpi oht. On vähemalt kolm juhtumit, kus Briti vastuluure MI-5 võlts- või ületöötanud töötajad kaotasid oma salastatud teabega sülearvutid kõige ebasobivamates kohtades - metroos, taksos, kohvikus. Näete, nutitelefoni on palju lihtsam kaotada kui sülearvutit.
Ameti "totaalse mobilisatsiooni" vastu on mõttetu võidelda. Ja see pole kasumlik: lõppude lõpuks saavad töötajad tänu nutitelefonidele ja tahvelarvutitele töötada kodus või puhkusel. Vastavalt "Kaspersky Lab" praegu on mobiilsete seadmete kasutamine tööl rangelt keelatud vaid neljandikul kõigi ettevõtete töötajatest. 34% nutitelefonide, 38% tahvelarvutite, 45% sülearvutite omanikest omavad täielikku juurdepääsu ettevõtte ressurssidele. Ülejäänud osas on kehtestatud erineva tasemega juurdepääsupiirangud.
Kuidas tagada infoturve ajastul mobiilne internet ja pilvandmetöötlus? Ülesanne pole kerge. Lõppude lõpuks töötavad tööjaamad ja ettevõtte võrguserverid sama OS-i all ( Windows või Unix), toetavad nende turvalisust süsteemi sisseehitatud vahendid. Ja mobiilseadmed ei kasuta mitte ainult oma operatsioonisüsteeme, vaid neil pole ka tõhusaid kaitsevahendeid, kuna need olid mõeldud seadmetena isiklikuks, mitte ettevõtte kasutamiseks. Olukorda raskendab asjaolu, et mobiilseadme asukoha ja ühenduse allika kontrollimiseks, samuti selle, kelle käes see on, organisatsioonilised meetodid võimatu.
Reeglina lahendatakse need probleemid tarkvara abil, tugevdades süsteemi kaitsekontuuri, kohandades ettevõtte turvasüsteemi mitmesuguste mobiilseadmetega ja installides neile vajalikud kaitserakendused. Samas on võimalik ka teine võimalus – väljastada töötajatele ettevõtte turvalisi tahvelarvuteid ja nutitelefone.
Kodumaine arvutiturbetööriistade tootja "Turvakood" vabastas tahvelarvuti "Mandri T-10", milles töötab Android 4 OS ja mis on varustatud kõigi vajalike tööriistadega nii tahvelarvuti enda kui ka ettevõtte süsteemirakenduste turvaliseks kaugjuhtimiseks, millega see turvalise lüüsi kaudu ühendub. See mobiilseade on täielikult integreeritud ettevõtte süsteem ohutu ja ei nõua täiendavaid kohandamismeetmeid.
Pilvandmetöötlus tekitab ka tõsiseid probleeme. Venemaa pilveteenuste turg on juba ületanud 150 miljoni dollari suuruse aastakäibe ja kasvab aastas 50%. Samal ajal langeb suurem osa turust privaatpilvedele, st nendele, mis on loodud ettevõtte sees. Privaatpilved erinevad infoturbe poolest oluliselt kõvasti konfigureeritud ettevõtete võrkudest. Ja nõuda omavahendid kaitse.
Valitseja poolt
Venemaa infoturbe turg areneb kiiresti ja on ületanud juba 600 miljonit dollarit.15% turust kontrollib viis suuremad tegijad: Asteros, Croc, Informzaštšita, Leta ja "Jet Infosüsteemid". Mis puudutab maailmaturgu, siis 30% aastakasvuga ulatus selle maht 1 miljardi dollarini.Rahvusvaheliste liidrite hulgas on sellised hiiglased nagu Symantec, McAffee, TrendMicro, Check Point, Cisco Systems.
Nii Venemaa kui ka lääne tootjad, otsustades üldised ülesanded toota sarnaseid tooteid. Selleks, et tagada teabe kaitse kõigi olemasolevate ohtude eest, on vaja integreeritud lähenemisviisi, mis võtab arvesse ettevõtte võrkude toimimise kõiki aspekte, mitte ainult tehnilisi, vaid ka psühholoogilisi, mis on seotud inimfaktoriga. Parimad tulemused saavutatakse kogu teabekaitsetoodete sarja abil: viirusetõrjed, tulemüürid, rämpspostitõrje, krüptotööriistad, andmekao vältimise süsteemid jne. Üksainus rikkumine süsteemi kaitseahelas võib põhjustada ettearvamatuid kahjustusi.
Kuid iga kodumaine tootja ei paku kõike tootesari. Tekib olukord, mida nimetatakse "süsteemide loomaaiaks", kus erinevate erinevate ideoloogiatega toodete kasutamine nõuab keerukate kontrolliskeemide loomist. Erandjuhtudel võib see põhjustada süsteemi rikke.
Seetõttu tuleks turvasüsteemi valimisel juhinduda mitte ainult funktsionaalsuse ja mastaapsuse täielikkusest, vaid ka juhitavusest, mis sõltub kõigi selle komponentide kontseptsiooni ühtsusest. Venemaa müüjatest täidab selle nõude näiteks kõige laiema tootevalikuga Code of Security. Selle "õmblusteta" tehnoloogia abil paigaldatud tooted võimaldavad teil kiiresti jälgida sündmusi kõigi kaitsesüsteemide ühest juhtimispunktist.
Vene Föderatsiooni haridus- ja teadusministeerium
föderaalriigi eelarve haridusasutus
kõrgemale kutseharidus
"PERM RIIKLIKU UURIMUS
POLITEHNILINE ÜLIKOOL"
Test
distsipliini järgi
ETTEVÕTE TURVALISUS
Teema "Infoturve ettevõtluses Alfa-Panga näitel"
Lõpetanud õpilane
FK-11B grupp:
Smyshlyaeva Maria Sergeevna
Õpetaja kontrollis:
Šaburov Andrei Sergejevitš
Perm – 2013
Sissejuhatus
Järeldus
Bibliograafia
Sissejuhatus
Enamiku ettevõtete inforessursid kuuluvad kõige väärtuslikumate ressursside hulka. Sel põhjusel peavad ärilised, konfidentsiaalsed andmed ja isikuandmed olema usaldusväärselt kaitstud väärkasutuse eest, kuid samal ajal kergesti juurdepääsetavad üksustele, kes on seotud selle teabe töötlemisega või kasutavad seda määratud ülesannete täitmisel. Kasutage selleks erilised vahendid aitab kaasa ettevõtte äritegevuse jätkusuutlikkusele ja elujõulisusele.
Nagu näitab praktika, on ärikaitse korraldamise küsimus tänapäevastes tingimustes muutunud kõige aktuaalsemaks. "Avatakse" veebipoode ja tühjendatakse klientide krediitkaarte, šantažeeritakse kasiinosid ja loosimisi, manipuleeritakse ettevõtete võrkudega, arvutid "zombeeritakse" botnettideks ning identiteedipettused on muutumas riiklikuks katastroofiks.
Seetõttu peavad ettevõtete juhid teadvustama infoturbe olulisust, õppima ennustama ja juhtima selle valdkonna trende.
Käesoleva töö eesmärgiks on Alfa-Panga näitel välja selgitada äriinfo turvasüsteemi eelised ja puudused.
Alfa-Bank OJSC tegevuse omadused
Alfa-Bank asutati 1990. aastal. Alfa-Bank on universaalpank, mis teostab finantsteenuste turul kõiki peamisi pangaoperatsioone, sealhulgas teenindab era- ja ärikliendid, investeering pangandusäri, kaubanduse finantseerimine ja varahaldus.
Alfa-Banki peakontor asub Moskvas, kokku on avatud 444 panga filiaali ja filiaali Venemaa piirkondades ja välismaal, sealhulgas tütarpank Hollandis ning finantstütarettevõtted USA-s, Suurbritannias ja Küprosel. Alfa-Pank annab tööd umbes 17 000 töötajale.
Alfa-Bank on koguvarade poolest suurim Venemaa erapank, kogukapital ja hoiuste summa. Pangal on suur kliendibaas nii äriklientidest kui ka eraisikutest. Alfa-Pank areneb universaalpangana põhivaldkondades: ettevõtete ja investeerimisäri(sealhulgas väikesed ja keskmise suurusega ettevõtted (VKEd), kaubandus ja struktureeritud finantseerimine, liising ja faktooring), jaekaubandus(sh pangakontorite süsteem, autolaenud ja hüpoteegid). Erilist tähelepanu pööratakse ettevõtete äritegevusele mõeldud pangatoodete arendamisele massi- ja VKE-segmendis, samuti kaugiseteeninduskanalite ja Interneti-aktiarvestuse arendamisele. Alfa-Banki strateegilised prioriteedid on säilitada Venemaa juhtiva erapanga staatus, tugevdada stabiilsust, suurendada kasumlikkust ning seada valdkonna standardid tehnoloogiale, efektiivsusele, klienditeenindusele ja meeskonnatööle.
Alfa-Bank on üks aktiivsemaid Venemaa panku globaalsetel kapitaliturgudel. Juhtivad rahvusvahelised reitinguagentuurid annavad Alfa-Bankile Venemaa erapankade seas ühe kõrgeima reitingu. See on olnud kliendikogemuse indeksis 1. kohal neli korda järjest. Jaepangandussektor pärast finantskriisi, mille viis läbi Senteo koos PricewaterhouseCoopersiga. Ka 2012. aastal tunnustati Alfa-Bank parim internet Ajakirja GlobalFinance andmetel pälvis pank parima analüütika eest Rahvusliku Börsiosaliste Assotsiatsiooni (NAUFOR) poolt, sai parimaks Venemaa erapangaks uuringufirma Romir arvutatud usaldusindeksis.
Praegu on pangal föderaalse tasandi võrgustik, mis hõlmab 83 müügikohta. Alfa Pangal on kommertspankade seas üks suurimaid võrgustikke, mis koosneb 55 kontorist ja hõlmab 23 linna. Võrgustiku laienemise tulemusena on pangal täiendavad võimalused suurendada oma kliendibaasi, laiendada pangatoodete valikut ja kvaliteeti, rakendada piirkondadevahelisi programme ning pakkuda terviklikke teenuseid põhiklientidele suuremate ettevõtete hulgast.
Äriinfoturbe küsimuse teoreetiliste aluste analüüs
Asjakohasusja infoturbe tagamise probleemi olulisus on tingitud järgmistest teguritest:
· Infoturbevahendite kaasaegsed arengutasemed ja -määrad jäävad infotehnoloogiate arengutasemetest ja -kiirustest kõvasti maha.
· Pargi kõrge kasvutempo personaalarvutid kasutatakse erinevates inimtegevuse valdkondades. Gartner Dataquesti uuringute kohaselt on maailmas praegu üle miljardi personaalarvuti.
infoturbe äripank
· Kasutajate ringi järsk laienemine, kellel on otsene juurdepääs arvutusressurssidele ja andmemassiividele;
Praegusel ajal on oluliselt suurenenud pankades hoitava teabe tähtsus, mis on koondanud olulise ja sageli ka salajase teabe finants- ja majanduslik tegevus paljud inimesed, ettevõtted, organisatsioonid ja isegi terved osariigid. Pank salvestab ja töötleb väärtuslikku teavet, mis mõjutab paljude inimeste huve. Pank salvestab olulist teavet oma klientide kohta, mis laiendab potentsiaalsete sissetungijate ringi, kes on huvitatud sellise teabe vargusest või kahjustamisest.
Üle 90% kõigist kuritegudest on seotud panga automatiseeritud infotöötlussüsteemide kasutamisega. Seetõttu peavad pangad ASOIB loomisel ja kaasajastamisel pöörama suurt tähelepanu selle turvalisuse tagamisele.
Põhitähelepanu tuleks pöörata pankade arvutiturvalisusele, st. panga infoturbe valdkonna kõige aktuaalsema, keerulisema ja pakilisema probleemina panga automatiseeritud infotöötlussüsteemide turvalisus.
Infotehnoloogia kiire areng on avanud uusi ärivõimalusi, aga toonud kaasa ka uute ohtude esilekerkimise. Konkurentsi tõttu müüakse kaasaegseid tarkvaratooteid vigade ja puudustega. Arendajatel, sealhulgas oma toodetes erinevate funktsioonidega, pole aega loodud kvaliteetsete silumiste tegemiseks. tarkvarasüsteemid. Nendesse süsteemidesse jäetud vead ja vead põhjustavad juhuslikke ja tahtlikke infoturbe rikkumisi. Näiteks enamiku juhusliku teabekao põhjusteks on tõrked tarkvara ja riistvara töös ning enamik arvutisüsteemide vastu suunatud ründeid põhinevad tarkvaras leitud vigadel ja vigadel. Nii avastati näiteks esimese kuue kuu jooksul pärast Microsoft Windowsi serveri operatsioonisüsteemi väljaandmist 14 turvaauku, millest 6 on kriitilised. Kuigi aja jooksul töötab Microsoft välja hoolduspakette, mis parandavad tuvastatud puudusi, kannatavad kasutajad juba allesjäänud vigade tõttu infoturbe rikkumiste all. Kuni need paljud teised probleemid pole lahendatud, on infotehnoloogia arengule tõsine pidur infoturbe ebapiisav tase.
Under infoturbemõistetakse teabe ja seda toetava infrastruktuuri turvalisust juhuslike või tahtlike loomulike või tehislike mõjude eest, mis võivad tekitada lubamatut kahju teabesuhete subjektidele, sealhulgas teabe ja tugiinfrastruktuuri omanikele ja kasutajatele.
Kaasaegses ärimaailmas toimub materiaalsete varade migreerumine teabele. Organisatsiooni arenedes muutub keerukamaks tema infosüsteem, mille põhiülesanne on pakkuda maksimaalne efektiivsusäritegevus pidevalt muutuval konkurentsil turul.
Infot kaubana käsitledes võib öelda, et infoturbe tagamine üldiselt võib kaasa tuua märkimisväärse kulude kokkuhoiu, sellele tekitatud kahju aga materiaalseid kulutusi. Näiteks originaaltoote tootmistehnoloogia avalikustamine toob kaasa sarnase toote ilmumise, kuid teiselt tootjalt ning infoturbe rikkumise tagajärjel kaotab tehnoloogia omanik ja võib-olla ka autor osa turust jne. Teisest küljest on informatsioon kontrolli subjekt ja selle muutumine võib juhtobjektis kaasa tuua katastroofilisi tagajärgi.
Vastavalt standardile GOST R 50922-2006 on infoturbe tagamine tegevus, mille eesmärk on vältida teabe lekkimist, volitamata ja tahtmatut mõju kaitstud teabele. Infoturve on oluline nii ettevõtetele kui ka riigiasutustele. Inforessursside igakülgse kaitse eesmärgil tegeletakse infoturbesüsteemide ehitamise ja arendamisega.
Põhjuseid, mis võivad tõsiselt mõjutada kohalike ja ülemaailmsed võrgud, viib väärtusliku teabe kadumiseni. Nende hulgas on järgmised:
Volitamata juurdepääs väljastpoolt, teabe kopeerimine või muutmine juhuslikud või tahtlikud tegevused, mis põhjustavad:
andmete moonutamine või hävitamine;
kõrvalistele isikutele panga-, finants- või riigisaladust sisaldava teabe tutvustamine.
Tarkvara ebaõige töö, mis põhjustab andmete kadumist või riknemist järgmistel põhjustel:
vead rakenduses või võrgutarkvaras;
arvutiviirusnakkus.
Tehniliste seadmete rikked, mis on põhjustatud:
voolukatkestus;
kettasüsteemide ja andmete arhiveerimise süsteemide rike;
serverite, tööjaamade, võrgukaartide, modemite häired.
Teeninduspersonali vead.
Loomulikult ei ole kõigile sobivat lahendust, kuid paljud organisatsioonid on välja töötanud ja rakendanud tehnilisi ja administratiivseid meetmeid, et minimeerida andmete kadumise või volitamata juurdepääsu ohtu.
Praeguseks on infoturbe tagamiseks olemas suur meetodite arsenal, mida kasutatakse ka Alfa-Bankis:
· kasutajate tuvastamise ja autentimise vahendid (nn kompleks 3A);
· Arvutitesse salvestatud ja võrkude kaudu edastatava teabe krüpteerimisvahendid;
· tulemüürid;
· virtuaalsed privaatvõrgud;
· sisu filtreerimise tööriistad;
· tööriistad ketaste sisu terviklikkuse kontrollimiseks;
· viirusetõrjevahendid;
· võrgu haavatavuse tuvastamise süsteemid ja võrgurünnakute analüsaatorid.
"Kompleks 3A" hõlmab autentimist (või tuvastamist), autoriseerimist ja haldust. Identifitseerimineja autoriseerimine on infoturbe põhielemendid. Kui proovite pääseda juurde mis tahes programmile, annab identifitseerimisfunktsioon vastuse küsimusele: "Kes sa oled?" ja "Kus sa oled?", kas olete programmi volitatud kasutaja. Autoriseerimisfunktsioon vastutab selle eest, millistele ressurssidele konkreetsel kasutajal on juurdepääs. Haldamise funktsioon on pakkuda kasutajale teatud identifitseerimisfunktsioone antud võrgus ja määrata talle lubatud toimingute ulatus. Alfa-Pangas küsitakse programmide avamisel iga töötaja parooli ja sisselogimist ning mis tahes toimingute tegemisel on mõnel juhul vaja osakonnajuhataja või tema asetäitja volitusi.
Krüpteerimissüsteemidvõimaldavad minimeerida kadusid kõvakettale või muule andmekandjale salvestatud andmetele volitamata juurdepääsu korral, samuti teabe pealtkuulamist, kui see saadetakse e-postiga või edastatakse võrguprotokollide kaudu. Ülesanne seda tööriista kaitse – konfidentsiaalsuse tagamine. Põhinõuded krüpteerimissüsteemidele - kõrge tase krüptograafiline stabiilsus ja kasutamise seaduslikkus Venemaal (või teistes riikides).
Tulemüüron süsteem või süsteemide kombinatsioon, mis moodustab kahe või enama võrgu vahele kaitsebarjääri, mis takistab volitamata andmepakettide võrku sisenemist või sealt lahkumist. Tulemüüride tööpõhimõte. iga andmepaketi kontrollimine sissetuleva ja väljamineva IP_aadressi vastavuse osas lubatud aadressibaasiga. Seega avardavad tulemüürid oluliselt killustamise võimalusi infovõrgustikud ja andmeringluse kontroll.
Krüptograafiast ja tulemüüridest rääkides tuleks mainida turvalisi virtuaalseid privaatvõrke (Virtual Private Network – VPN). Nende kasutamine võimaldab lahendada andmete konfidentsiaalsuse ja terviklikkuse probleeme nende edastamisel avatud sidekanalite kaudu.
Tõhus vahend konfidentsiaalse teabe kaotsimineku eest kaitsmiseks. Sissetuleva ja väljamineva sisu filtreerimine Meil. E-kirjade endi ja nende manuste valideerimine organisatsiooni kehtestatud reeglite alusel aitab kaitsta ka ettevõtteid vastutuse eest kohtuasjades ning kaitsta oma töötajaid rämpsposti eest. Sisu filtreerimise tööriistad võimaldavad teil skannida kõigi levinud vormingute faile, sealhulgas tihendatud ja graafilisi faile. Kus läbilaskevõime võrk jääb praktiliselt muutumatuks.
Kaasaegne viirusevastanetehnoloogiad võimaldavad tuvastada peaaegu kõik juba teadaolevad viirusprogrammid, võrreldes kahtlase faili koodi viirusetõrje andmebaasi salvestatud näidistega. Lisaks on välja töötatud käitumise modelleerimise tehnoloogiad vastloodud viirusprogrammide tuvastamiseks. Tuvastatud objekte saab desinfitseerida, isoleerida (karantiiniseerida) või kustutada. Viirusetõrjet saab installida tööjaamadesse, faili- ja meiliserveritesse, tulemüüridesse, mis töötavad peaaegu kõigis levinud operatsioonisüsteemides (Windows, Unix - ja Linux_systems, Novell) erinevat tüüpi protsessorites. Rämpspostifiltrid vähendavad oluliselt rämpsposti sõelumisega seotud ebaproduktiivseid tööjõukulusid, vähendavad liiklust ja serverikoormust, parandavad meeskonna psühholoogilist tausta ja vähendavad ettevõtte töötajate petturlike tehingutega seotud riski. Lisaks vähendavad rämpspostifiltrid uute viirustega nakatumise ohtu, kuna viiruseid sisaldavad sõnumid (isegi need, mis pole veel viirusetõrje andmebaasides sisalduvad) näitavad sageli rämpsposti märke ja need filtreeritakse välja. Tõsi, rämpsposti filtreerimise positiivse mõju saab läbi kriipsutada, kui filter koos rämpspostiga eemaldab või märgib rämpspostiks ja kasulikud, äri- või isiklikud sõnumid.
Seal on mitu kõige tüüpilisemat tüüpi ja meetodit teabeohud:
Ärisaladuste salastatuse kustutamine ja vargus. Kui varem hoiti saladusi salajastes kohtades, massiivsetes seifides, usaldusväärse füüsilise ja (hiljem) elektroonilise kaitse all, siis tänapäeval on paljudel töötajatel juurdepääs kontori andmebaasidele, mis sisaldavad sageli väga tundlikku teavet, näiteks samu kliendiandmeid.
Kompromiteerivate materjalide levitamine. See tähendab, et töötajad kasutavad elektroonilises kirjavahetuses tahtlikult või juhuslikult sellist teavet, mis heidab varju panga mainele.
Intellektuaalomandi rikkumine. Oluline on mitte unustada, et igasugune pankades toodetud intellektuaalne toode, nagu igas organisatsioonis, kuulub sinna ja seda ei saa töötajad (sh intellektuaalsete väärtuste generaatorid ja autorid) kasutada, välja arvatud organisatsiooni huvides. Samal ajal tekivad Venemaal selles küsimuses sageli konfliktid organisatsioonide ja töötajate vahel, kes nõuavad enda loodud intellektuaalset toodet ja kasutavad seda organisatsiooni kahjuks isiklikes huvides. Selle põhjuseks on sageli ebamäärane õiguslik olukord ettevõttes, kui tööleping ei sisalda selgelt määratletud norme ja reegleid, mis kirjeldaksid töötajate õigusi ja kohustusi.
Siseteabe (sageli tahtmatu) levitamine, mis ei ole salajane, kuid võib olla kasulik konkurentidele (teistele pankadele).
Konkureerivate pankade veebisaitide külastamine. Nüüd kasutab üha rohkem ettevõtteid oma avatud saitidel (eriti CRM-i jaoks mõeldud) programme, mis võimaldavad teil külastajaid ära tunda ja nende marsruute üksikasjalikult jälgida, salvestada saidi lehtede vaatamise aja ja kestuse. Konkurentide veebisaidid on olnud ja jäävad väärtuslikuks analüüsi ja prognoosimise allikaks.
Kontorisuhtluse kuritarvitamine isiklikuks otstarbeks (muusika ja muu tööga mitteseotud sisu kuulamine, vaatamine, kontoriarvuti allalaadimine) ei kujuta otsest ohtu infoturbele, vaid tekitab lisapinget ettevõtte võrgus, vähendab efektiivsust ja segab. kolleegide tööga.
Ja lõpuks välised ohud – volitamata sissetungid jne.
Panga poolt vastuvõetud reeglid peavad vastama nii siseriiklikele kui ka rahvusvaheliselt tunnustatud riigi- ja ärisaladuse, isiku- ja erateabe kaitse standarditele.
Teabe organisatsiooniline kaitse Alfa-Pangas
Alfa Bank OJSC on rakendanud selektiivsel juurdepääsukontrolli meetodil põhinevat turvapoliitikat. Sellist juhtimist Alfa Bank OJSC-s iseloomustab administraatori määratud lubatud juurdepääsusuhete kogum. Juurdepääsumaatriksi täidab otse ettevõtte süsteemiadministraator. Valikulise infoturbepoliitika rakendamine vastab juhtkonna nõuetele ning infoturbe ja juurdepääsukontrolli, aruandekohustuse nõuetele ning on ka selle korraldamise vastuvõetava kuluga. Infoturbepoliitika rakendamine on täielikult usaldatud Alfa Bank OJSC süsteemiadministraatorile.
Koos olemasoleva turvapoliitikaga kasutab Alfa Bank OJSC spetsiaalset turvariist- ja -tarkvara.
Turvariistvaraks on Cisco 1605. Ruuter on varustatud kahe Etherneti liidesega (üks TP ja AUI liidestega, teine ainult TP-ga) kohtvõrgu jaoks ja ühe laienduspesaga ühe mooduli paigaldamiseks Cisco 1600 seeria ruuteritele. Cisco IOSFirewallFeatureSet tarkvara teeb Cisco 1605-R-st ideaalse paindliku ruuteri/turvalahenduse väikese kontori jaoks. Olenevalt paigaldatud moodulist võib ruuter toetada ühendust nii ISDN-i kui ka sissehelistamisliini või püsiliiniga 1200 bps kuni 2 Mbps, FrameRelay, SMDS, x.25.
Teabe kaitsmiseks peab kohtvõrgu omanik turvama võrgu "perimeetri", näiteks kehtestades kontrolli sisevõrgu ja välisvõrgu ristumiskohas. Cisco IOS pakub suurt paindlikkust ja turvalisust nii standardfunktsioonidega nagu: laiendatud juurdepääsuloendid (ACL), lukustussüsteemid (dünaamilised ACL-id) ja marsruutimise autoriseerimine. Lisaks pakub 1600. ja 2500. seeria ruuterite jaoks saadaval olev Cisco IOS FirewallFeatureSet kõikehõlmavaid turvafunktsioone, sealhulgas:
konteksti haldamine Juurdepääs (CBAC)
java lukk
sõidupäevik
rünnakute avastamine ja ennetamine
kohest teatamist
Lisaks toetab ruuter virtuaalseid ülekattevõrke, tunneleid, prioriteetide haldussüsteemi, ressursside broneerimise süsteemi ja erinevaid marsruutimise kontrolli meetodeid.
KasperskyOpenSpaceSecurity lahendust kasutatakse tarkvara kaitsevahendina. KasperskyOpenSpaceSecurity vastab täielikult ettevõtete võrgukaitsesüsteemide kaasaegsetele nõuetele:
lahendus igat tüüpi võrgusõlmede kaitsmiseks;
kaitse igat tüüpi arvutiohtude eest;
tõhus tehniline tugi;
"proaktiivsed" tehnoloogiad kombineerituna traditsioonilise allkirjapõhise kaitsega;
uuenduslikud tehnoloogiad ja uus viirusetõrje mootor, mis parandab jõudlust;
kasutusvalmis kaitsesüsteem;
kasutajate täielik kaitse väljaspool võrku;
ühilduvus kolmandate osapoolte lahendustega;
võrguressursside tõhus kasutamine.
Arendatud süsteem peaks võimaldama täielikku kontrolli, automatiseeritud arvestust ja isikuandmete kaitse analüüsi, vähendama klienditeeninduse aega, saama infot infoturbe koodide ja isikuandmete kohta.
Arendatavale süsteemile nõuete kujundamiseks on vaja vormistada nõuded andmebaasi korraldusele, info ühilduvusele arendatavale süsteemile.
Andmebaasi ülesehitus peaks põhinema konkreetse organisatsiooni lõppkasutajate seisukohtadel – süsteemi kontseptuaalsetel nõuetel.
Sel juhul sisaldab IS andmeid ettevõtte töötajate kohta. Üks infosüsteemi toimimist oluliselt ilmestav tehnoloogia on dokumentide töövooskeemi väljatöötamine.
Arendatud süsteemi funktsioone on võimalik saavutada arvutitehnoloogia ja tarkvara kasutamisega. Arvestades, et info, info ja raamatupidamisdokumentide otsimine pangaspetsialistide tegevuses moodustab ca 30% tööajast, siis tutvustus. automatiseeritud süsteem raamatupidamine vabastab oluliselt kvalifitseeritud spetsialiste, võib kaasa tuua kokkuhoiu palgafondis, töötajate arvu vähenemise, kuid see võib kaasa tuua ka osakonna töötajate sissetoomise personali staabiüksus operaator, kelle kohustuste hulka kuulub teabe sisestamine käimasolevate äriprotsesside kohta: isikuandmete arvestusdokumendid ja juurdepääsukoodid.
Tuleb märkida, et väljatöötatud süsteemi kasutuselevõtt vähendab ja ideaaljuhul täielikult välistab vead isikuandmete ja turvakoodide arvestuses. Seega toob juhi automatiseeritud töökoha juurutamine kaasa olulise majandusliku efekti, töötajate arvu vähenemise 1/3 võrra, kokkuhoiu palgafondis ja tööviljakuse tõusu.
Alfa-Pank, nagu iga teine pank, on välja töötanud Infoturbepoliitika, mis määratleb vaadete süsteemi infoturbe tagamise probleemile ning on süstemaatiline väljaütlemine kaitse eesmärkidest ja eesmärkidest ühe või mitme reegli, protseduuri, praktikana. ja juhised infoturbe valdkonnas.
Poliitika arvestab tipptasemel ja lähimad väljavaated infotehnoloogia arendamiseks pangas, eesmärgid, eesmärgid ja nende toimimise õiguslik raamistik, toimimisviisid, samuti sisaldab analüüsi Panga infosuhete objekte ja subjekte ähvardavate turvaohtude kohta.
Käesoleva dokumendi põhisätted ja nõuded kehtivad kõikidele Panga struktuuriüksustele, sealhulgas täiendavatele kontoritele. Põhiküsimused Poliitika kehtib ka teistele organisatsioonidele ja asutustele, kes suhtlevad Pangaga ühel või teisel viisil panga teaberessursside tarnijate ja tarbijatena.
Selle poliitika seadusandlik alus on Vene Föderatsiooni põhiseadus, tsiviil- ja kriminaalkoodeks, seadused, dekreedid, resolutsioonid jne. määrused kehtivad õigusaktid Venemaa Föderatsioon, Vene Föderatsiooni presidendi alluvuse riikliku tehnilise komisjoni, Vene Föderatsiooni presidendi alluvuses oleva valitsuskommunikatsiooni ja teabe föderaalse agentuuri dokumendid.
Poliitika on metodoloogiline alus:
· ühtse infoturbe valdkonna poliitika kujundamine ja rakendamine pangas;
· juhtimisotsuste tegemine ja praktiliste meetmete väljatöötamine infoturbepoliitika elluviimiseks ning koordineeritud meetmete komplekti väljatöötamine, mille eesmärk on elluviimise tagajärgede väljaselgitamine, kajastamine ja kõrvaldamine mitmesugused infoturbe ohud;
· Panga struktuuriüksuste tegevuse koordineerimine infotehnoloogia loomise, arendamise ja käitamise alaste tööde tegemisel vastavalt infoturbe tagamise nõuetele;
· ettepanekute väljatöötamine teabe õigusliku, regulatiivse, tehnilise ja organisatsioonilise turvalisuse parandamiseks pangas.
Pangas infoturbesüsteemi ülesehitamise süsteemne lähenemine hõlmab kõigi omavahel seotud, vastastikku mõjutavate ja ajas muutuvate elementide, tingimuste ja tegurite arvestamist, mis on olulised Panga teabe turvalisuse tagamise probleemi mõistmiseks ja lahendamiseks.
Infoturbe tagamine- Panga juhtkonna, infoturbe osakondade ja kõikide tasandite töötajate poolt läbiviidav protsess. See ei ole mitte ainult ja mitte niivõrd protseduur või poliitika, mida rakendatakse teatud aja jooksul või abinõud, vaid protsess, mis peab pidevalt käima kõigil panga tasanditel ja millest peab osa võtma iga panga töötaja. selles protsessis. Infoturbealased tegevused on Panga igapäevategevuse lahutamatu osa. Ja selle tulemuslikkus sõltub panga juhtkonna osalemisest infoturbe tagamisel.
Lisaks vajab suurem osa füüsilistest ja tehnilistest kaitsevahenditest pidevat organisatsioonilist (administratiivset) tuge oma funktsioonide tõhusaks täitmiseks (nimede, paroolide, krüpteerimisvõtmete, volituste ümberdefineerimine jne õigeaegne muutmine ja õige säilitamise ja kasutamise tagamine). Katkestused kaitsevahendite töös saavad ründajad analüüsida kasutatavaid kaitsemeetodeid ja -vahendeid, võtta kasutusele spetsiaalseid tarkvara- ja riistvaralisi "järjehoidjaid" ning muid kaitsest ülesaamise vahendeid.
Isiklik vastutusvõtab vastutuse teabe ja selle töötlemise süsteemi turvalisuse tagamise eest igale töötajale tema volituste piires. Selle põhimõtte kohaselt on töötajate õiguste ja kohustuste jaotus üles ehitatud selliselt, et mistahes rikkumise korral on toimepanijate ring selgelt teada või minimeeritud.
Alfa-Pank jälgib pidevalt iga kasutaja tegevust, iga kaitsevahend ja mis tahes kaitseobjekti puhul tuleks läbi viia operatiivjuhtimis- ja registreerimisvahendite kasutamisest lähtuvalt ning see peaks hõlmama nii kasutajate volitamata kui ka volitatud toiminguid.
Pank on välja töötanud järgmised organisatsioonilised ja haldusdokumendid:
· Määrused ärisaladuste kohta. Käesolev määrus reguleerib Panga ärisaladust moodustava teabega töötamise korraldust, töökorda, selle teabega tutvumiseks lubatud töötajate ülesandeid ja vastutust, panga ärisaladust sisaldavat teavet sisaldavate materjalide riigile (ärisaladust) üleandmise korda. asutused ja organisatsioonid;
· Ameti- ja ärisaladust sisaldava teabe loetelu. Nimekirjas on määratletud konfidentsiaalseks liigitatud teave, kaitstud teabele juurdepääsupiirangute tase ja ajastus;
· Käsud ja käskkirjad infoturbe režiimi kehtestamiseks:
· töötajate lubamine piiratud teabega tööle;
· ettevõtte infosüsteemis piiratud juurdepääsuga teabega töötamise eest vastutavate administraatorite ja isikute määramine;
· Juhised ja funktsionaalsed kohustused töötajad:
· turvajuurdepääsu režiimi korralduse kohta;
· kontoritöö korraldamise kohta;
· ettevõtte infosüsteemi inforessursside administreerimine;
· muud reguleerivad dokumendid.
Järeldus
Tänapäeval teeb infoturbe korraldamise teema muret igasuguse tasemega organisatsioonidele – suurkorporatsioonidest kuni juriidilist isikut moodustamata ettevõtjateni. Konkurents tänapäevastes turusuhetes pole kaugeltki täiuslik ja seda ei teostata sageli kõige seaduslikumal viisil. Tööstusspionaaž õitseb. Kuid organisatsiooni ärisaladusega seotud teabe tahtmatu levitamise juhtumid ei ole haruldased. Reeglina mängib siin rolli töötajate hoolimatus, olukorra mittemõistmine ehk teisisõnu "inimfaktor".
Alfa-Pank tagab järgmise teabe kaitse:
ärisaladus
isikuandmed (kliendid, pangatöötajad)
pangasaladus
pangadokumendid (turvaosakonna aruanded, panga aastaarvestus, andmed pangatöötajate sissetulekute kohta jne)
Pangas olev teave on kaitstud selliste ohtudega nagu:
Loomulik
· Kunstlikud ohud (tahtmatud (tahtmatud, juhuslikud) ohud, mis on põhjustatud vigadest infosüsteemi ja selle elementide disainis, vigadest personali tegevuses jne; tahtlikud (tahtlikud) ohud, mis on seotud inimeste isekate, ideoloogiliste või muude püüdlustega ( sissetungijad).
Infosüsteemi endaga seotud ohtude allikad võivad olla nii välised kui ka sisemised.
Bibliograafia
1. Vene Föderatsiooni presidendi 17. märtsi 2008. aasta dekreet "Vene Föderatsiooni infoturbe tagamise meetmete kohta rahvusvahelise teabevahetuse teabe- ja telekommunikatsioonivõrkude kasutamisel" nr 351;
Galatenko, V.A. Infoturbe alused. Interneti Infotehnoloogia Ülikool. INTUIT. ru, 2008;
Galatenko, V.A. Infoturbe standardid. Interneti Infotehnoloogia Ülikool. INTUIT. ru, 2005;
Lopatin, V.N. Venemaa infoturve: inimene, ühiskond, riik. Sari: Inimese ja ühiskonna turvalisus. M.: 2000. - 428 lk;
Shangin, V.F. Arvutiteabe kaitse. Tõhusad meetodid ja rahalised vahendid. M.: DMK Press, 2008. - 544 lk.
Štšerbakov, A. Yu. Kaasaegne arvuti turvalisus. Teoreetiline alus. Praktilised aspektid. M.: Knižni Mir, 2009. - 352 lk.
Ajakiri Õiguslikud ajad , väljaanne 21. oktoobril 2013
Juhised konfidentsiaalsete dokumentidega töötamiseks pangas
Õpetamine
Vajad abi teema õppimisel?
Meie eksperdid nõustavad või pakuvad juhendamisteenust teile huvipakkuvatel teemadel.
Esitage taotlus märkides teema kohe ära, et saada teada konsultatsiooni saamise võimalusest.
