2019
Prioriteti kibernetičke sigurnosti malih i srednjih poduzeća
Tvrtke iz SMB segmenta privučene su oblacima, uslužnom modelu potrošnje usluga prema MSSP (Managed Security Service Provider) modelu. To im pomaže značajno smanjiti operativne troškove u području informacijske sigurnosti.
| Sada neki dobavljači svojim klijentima nude usluge informacijske sigurnosti temeljene na oblaku na modelu pretplate. Po mom mišljenju, srednja i mala poduzeća će ići upravo na takav model usluge informacijske sigurnosti, - napominje Dmitry Livshits, direktor tvrtke"Digitalni dizajn". |
Uslužni model potrošnje IS-a postaje sve traženiji od strane malih i srednjih poduzeća, budući da si ta poduzeća ne mogu priuštiti veliki broj sigurnosnih stručnjaka.
Prema riječima Vladimira Balanina, voditelja Odjela informacijske sigurnosti I-Teco Grupe, SMB segment postaje glavni potrošač usluga pružatelja usluga koji usluge pružaju odmah s integriranim uslugama informacijske sigurnosti: nema troškova administracije, nadzora i održavanje vlastite infrastrukture, a rizike regulatorne zahtjeve snosi sam pružatelj usluge.
U isto vrijeme, rusko tržište sada karakterizira vrlo ograničena ponuda informacijske sigurnosti za mala i srednja poduzeća. Kao što Andrey Yankin, direktor Centra za informacijsku sigurnost u Jet Infosystemsu, napominje, gotovo sve usluge usmjerene su na velike kupce. Tipične i jeftine, ali ne i primitivne usluge informacijske sigurnosti za SMB, prema njegovim riječima, praktički ne postoje, iako je u nizu drugih zemalja ovo tržište dobro razvijeno.
Istodobno, s razvojem segmenta usluga upravljane informacijske sigurnosti i perspektivom razvoja tržišta osiguranja od kibernetičkih rizika, ovoj kategoriji korisnika na raspolaganju će biti mjere primjerene suvremenim prijetnjama.
U međuvremenu, mala i srednja poduzeća implementiraju osnovnu IT sigurnost, rijetko se dižući na razinu poslovnih procesa.
Prema riječima Dmitrija Pudova, zamjenika generalnog direktora Angara Technologies Group za tehnologiju i razvoj, predstavnici malih i srednjih poduzeća, s njihovim proračunima, nemaju gotovo nikakav pristup visokotehnološkim ili složenim rješenjima. To nije samo zbog cijene rješenja, već i zbog operativnih troškova koje nose.
Glavna rješenja koja kupuju korisnici u segmentu malih i srednjih poduzeća su antivirusi i softverski vatrozidi, kaže Yakov Grodzensky, voditelj informacijske sigurnosti u System Software. Osim toga, poduzeća ovaj segment aktivno se počinju zanimati za pitanja revizije informacijske sigurnosti i pentestinga, jer takve organizacije nemaju uvijek zasebnog stručnjaka za informacijsku sigurnost u osoblju, a da ne spominjemo pentestere.
Vjačeslav Medvedev, vodeći analitičar Doctor Weba, dodaje da su ankete među poduzećima srednje veličine pokazale da takve tvrtke nemaju sredstava za sigurnosna rješenja osim osnovnih.
Prioriteti kibernetičke sigurnosti velikih poduzeća
Dioničarima, vlasnicima i top menadžmentu uvijek je važno imati objektivnu sliku informacijske sigurnosti i tehnološki procesi unutar organizacije, tako da ukupna razina zrelosti informacijske sigurnosti u tvrtkama raste svake godine. Međutim, nekim velikim organizacijama još uvijek nedostaje elementarni red u poslovnim procesima koji osiguravaju rad informacijskih sustava, što može dovesti do kaosa u informacijskoj sigurnosti. Stoga je glavni prioritet za velike tvrtke- u rješavanju ovih problema, kaže Nikolay Zabusov, direktor odjela za informacijsku i mrežnu sigurnost "Step Logic".
Osim toga, veliki biznis se fokusira na usklađenost sa zahtjevima regulatora i internim standardima, pokušavajući stvoriti koliko-toliko ravnomjerno zaštićenu infrastrukturu. Industrijski standardi u području informacijske sigurnosti razvijeni su i "implementirani" u mnogim korporacijama.
Velike komercijalne tvrtke u suštini su se našle pred izborom: ići putem digitalne transformacije ili raditi bez promjene poslovne paradigme. Ali u drugom slučaju, oni će prije ili kasnije biti prisiljeni prepustiti svoje pozicije na tržištu konkurentima koji su pokazali veću fleksibilnost.
| Od prioriteta za enterprise segment, s jedne strane, mogu istaknuti povećanje učinkovitosti korištenja klasičnih rješenja informacijske sigurnosti, as druge strane, uvođenje zaštite od novih vrsta prijetnji u sklopu implementacije projekte digitalizacije. Potonje je vrlo važno, budući da su sigurnosna ograničenja često jedan od glavnih razloga sporog napretka na putu digitalne transformacije, - napominje Oleg Shaburov, voditelj Odjela za informacijsku sigurnost u Softlineu. |
Sa stajališta praktične sigurnosti, vektor se sve više pomiče od sprječavanja napada prema njihovom otkrivanju i odgovoru na njih, kaže Andrey Zaikin, voditelj informacijske sigurnosti u Croc-u. To dovodi do činjenice da relativno mlade klase rješenja postaju sve popularnije i traženije: EDR, IRP. Automatizirani sustavi odgovora imaju različite skupove skripti i scenarija i dopuštaju blokiranje pokušaja širenja prijetnji.
usluge kibernetičke sigurnosti
Mala i srednja poduzeća koja razumiju kritičnost informacijske sigurnosti za svoje poslovanje slijede put korištenja uslužnih modela.
Prije nego što počnemo govoriti o tome koji vas rizici za informacijsku sigurnost mogu čekati na poslu, želim se predstaviti: zovem se Kamila Iosipova. Ja sam viši voditelj informacijske sigurnosti u IT tvrtki ICL Services, u ovoj organizaciji radim 5 godina. Također sam CISA certificirani revizor informacijskih sustava (ISACA certifikat je skraćenica od Certified Information Systems Auditor).
U 2018. obujam povreda podataka u tvrtkama porastao je za 5%. Ljudski faktor jedan je od glavnih uzroka incidenata informacijske sigurnosti. Nepažnja, neopreznost, motiv, namjera – to su razlozi zbog kojih zaposlenici vaših tvrtki mogu namjerno ili nenamjerno spustiti poslovanje na dno. Kako zaštititi sebe i svoje klijente, što učiniti za razvoj kulture rada s podacima među zaposlenicima i koje metode primijeniti u ovom slučaju, reći ću dalje.
Plan uspostave rada u području informacijske sigurnosti
Ako pogledate globalno, možete vidjeti da se određeni obrazac može pratiti u području informacijske sigurnosti: pažnja informacijskoj sigurnosti uvelike ovisi o aktivnostima tvrtke. Na primjer, u tijela vlasti ili bankarstvo stroži su zahtjevi, stoga se više pozornosti posvećuje edukaciji zaposlenika, što znači da je kultura rada s podacima razvijenija. Međutim, danas bi svi trebali obratiti pozornost na ovaj problem.
Dakle, evo nekoliko praktičnih koraka koji će vam pomoći da obavite svoj posao u području informacijske sigurnosti:
1 korak. Izraditi i implementirati opću politiku informacijske sigurnosti koja će sadržavati osnovna načela rada tvrtke, ciljeve i zadatke u području upravljanja informacijskom sigurnošću.
2 korak. Unesite pravila klasifikacije i razine privatnosti.
Istovremeno, potrebno je ne samo napisati dokument kojem će zaposlenik imati pristup 24 sata dnevno, 7 dana u tjednu, već i provesti različite treninge i razgovarati o promjenama koje se uvode. Držite se pravila: unaprijed upozoren je unaprijed naoružan. Neka tvrtka kontinuirano radi u tom smjeru.
3 korak. Razvijte proaktivan pristup.
To je kao preventiva u medicini. Slažem se, puno je jeftinije i lakše podvrgnuti se preventivnom pregledu nego liječiti uznapredovalu bolest. Na primjer, u našoj tvrtki proaktivni pristup funkcionira ovako: za rad s informacijama u komercijalnim projektima razvili smo standard upravljanja informacijskim sustavom u projektima koji sadrži potrebne minimalne zahtjeve za informacijski sustav kako bi se osigurala određena razina zrelosti procesa informacijskog sustava u komercijalni projekt. Opisuje što je potrebno učiniti kako bi se održala određena razina zrelosti procesa upravljanja sigurnošću. Ovaj smo standard implementirali u projekte i sada ga provodimo interne revizije: provjeravamo kako projekti ispunjavaju ove zahtjeve, identificiramo rizike informacijske sigurnosti i najbolje prakse koje mogu pomoći drugim voditeljima projekata.
Osim revizija, dijeljenje znanja dobro funkcionira. Ako je u jedan od projekata "udario grom", dobro je da ostali znaju za to i imaju vremena poduzeti potrebne mjere.
4 korak. Napravite sve dokumente koji objašnjavaju pravila: strukturirani, jasni i sažeti.
Kao što praksa pokazuje, nitko ne čita duge tekstove na više stranica. Dokument mora biti napisan jednostavnim jezikom. Također, ono mora biti u skladu s poslovnim ciljevima i odobreno od strane najvišeg menadžmenta – to će zaposlenicima biti snažniji argument zašto se ova pravila trebaju pridržavati.
5 korak. Provoditi treninge, razgovore, poslovne igre i slično.
Vrlo često ljudi ne razumiju kako su određena pravila povezana s njihovim konkretnim radom, pa morate dati primjere, objasniti, pokazati kako to mogu primijeniti. Ovdje je važno prikazati posljedice, sve do gubitka posla, te koje konkretne posljedice čekaju zaposlenika, sve do kaznene odgovornosti.
Za implementaciju svega navedenog u poduzeće potrebni su resursi, materijalni i ljudski. Stoga se sada u mnogim tvrtkama počelo pojavljivati mjesto direktora informacijske sigurnosti (CISO). Zahvaljujući ovoj poziciji, moguće je prenijeti poslovnim liderima važnost promicanja bilo kakvih odluka, raspodjele sredstava itd. CISO je u mogućnosti promovirati informacijsku sigurnost u tvrtki na svim razinama.
Zadaci koje preuzima su opsežni: komunikacija s top menadžmentom, obrazloženje određenih odluka, komunikacija s vlasnicima procesa za implementaciju sigurnosti u svim područjima. Sa stajališta kibernetičkih prijetnji on je točka kontakta, pri čemu upravlja, utvrđuje strategije odgovora na kibernetičke prijetnje i koordinira rad na odgovoru na napade.
Obuka zaposlenika: teška, duga, ali neophodna
Međutim, prije nego podučite ljude određenim pravilima, morate shvatiti jednu stvar: ne možete se zadržavati na ljudskom faktoru, iza toga može biti nešto drugo - nedostatak resursa, znanja ili tehnologije. Ovdje je najučinkovitija metoda analizirati prave uzroke, doći do temelja.
U radu s ljudima potrebno je odabrati ključ doslovno svima. Svi su ljudi različiti, pa su stoga i metode koje se primjenjuju različite. U jednom od razgovora sa zaposlenikom, specijalist mi je rekao: Nešto ću učiniti samo ako znam da ću dobiti zbog neispunjavanja zahtjeva. I obrnuto, na neke djeluje samo pozitivna motivacija, kao što je dobra procjena kvalitete rada, poticaj za uspješan završetak treninga.
Postoji mišljenje da stručnjaci za informacijsku sigurnost često djeluju kao kočnica inovacijama, posebice kada ograničavaju korištenje novih tehnologija i poslovnih modela. To bi doista mogao biti slučaj, međutim, važno je zapamtiti sljedeće: “Sigurnost je poput kočnica na vašem automobilu. Njihova funkcija je da vas uspore. Ali njihova je svrha omogućiti vam da idete brzo. Dr. Gary Hinson” (“Sigurnost je poput kočnica na vašem automobilu. Njihova je funkcija da vas uspore. Ali njihova je svrha omogućiti vam da vozite brzo”). Važno je razumjeti da je bez ovih pravila nemoguće krenuti dalje, jer u jednom trenutku jednostavno nećete moći razvijati svoje poslovanje ako se ne zaštitite od kibernetičkih prijetnji i upravljate rizicima informacijske sigurnosti. Kako bismo održali ravnotežu, naša tvrtka koristi pristup temeljen na riziku, koji je u osnovi ISO standard 27001. Ovaj nam pristup omogućuje odabir zahtjeva koji se odnose na nas i sigurnosnih mjera koje su potrebne kako bismo se zaštitili od prijetnji koje su relevantne za nas. Uz pomoć ovog pristupa možemo birati i s financijske strane: koliko je primjereno primijeniti određene mjere. Na primjer, možemo staviti biometrijski skener u svaku sobu za sastanke, ali koliko nam je potreban, koju vrijednost donosi, koje rizike smanjuje? Odgovor nije uvijek očit.
Mi u ICL Services razumijemo da nam je važna povjerljivost informacija s kojima radimo, za to šifriramo prijenosna računala, jer čak i ako se prijenosno računalo izgubi, podaci neće pasti u ruke uljeza. Ovo je kritično i spremni smo potrošiti novac na to.
Vjerujem da je to jedini način da se postigne ravnoteža između sigurnosti i poslovne vrijednosti: birajte, budite svjesni inovacija i uvijek procjenjujte rizike (u kojoj je mjeri trošak implementacije rizika usporediv s troškom kupnje jednog ili drugog sigurnosnog rješenja ).
Integrirani pristup idealan je recept za informacijsku sigurnost
Po mom mišljenju, integrirani pristup radu sa sigurnošću je najučinkovitiji, jer je informacijska sigurnost stvar ljudske svijesti, ponašanja i pravilne organizacije poslovnih procesa, uvažavajući sigurnosne zahtjeve. Incidenti se najčešće događaju zbog zaposlenika: ljudi griješe, umore se, znaju pritisnuti krivu tipku, pa su ovdje pola uspjeha tehnička ograničenja, od slučajnih nenamjernih incidenata, druga polovica sigurnosna kultura svakog zaposlenika.
Stoga je važno provoditi preventivne razgovore i edukacije. U današnjem svijetu kibernetičke prijetnje osmišljene su za ljude: ako primite phishing e-poštu, ona je bezopasna sve dok ne dođete do veze i kliknete na nju. U našoj tvrtki naglasak je na svijesti osoblja, na radu s ljudima, na svijesti. Pa treća točka je organizacijska, ljudi moraju znati pravila, pravila moraju biti zapisana, mora postojati određena politika koju svi trebaju slijediti.
Zapamtite: cyber prijetnje vrlo su česte u svijetu, a istovremeno su posljedice napada vrlo ozbiljne - do potpunog gubitka posla, bankrota. Naravno, pitanje je na dnevnom redu. Sigurnost u naše vrijeme jednostavno mora biti dio toga korporativna kultura, a top menadžment je prvi dionik ovo pitanje, budući da upravlja poslovanjem, te će u slučaju realizacije rizika u prvom redu snositi odgovornost.
Evo nekoliko savjeta koji će pomoći vašim zaposlenicima da izbjegnu kibersigurnosne incidente:
- Ne možete slijediti neprovjerene veze;
- Nemojte distribuirati povjerljive informacije;
- Ne možete zapisati lozinku na komad papira i zalijepiti naljepnicu;
- Ne koristite USB medije za koje niste sigurni (napadač može ostaviti zaraženi fizički uređaj na mjestu gdje će ga žrtva sigurno pronaći);
- Prilikom registracije na stranicama, navodeći telefonski broj i poštansku adresu, pažljivo potražite za što su ti podaci potrebni, možda se na taj način pretplatite na plaćeni newsletter.
Nadam se da će s vremenom sigurnost postati ključni element korporativne kulture svake tvrtke.
Na fakultetu savršeno svladate vještine za rad u području informacijske sigurnosti.
Uvod
Poslovni lideri moraju prepoznati važnost informacijske sigurnosti, naučiti kako predvidjeti i upravljati trendovima u ovom području.
Današnje poslovanje ne može postojati bez informacijske tehnologije. Poznato je da oko 70% ukupnog svjetskog nacionalnog proizvoda na ovaj ili onaj način ovisi o informacijama pohranjenim u informacijskim sustavima. Široko uvođenje računala stvorilo je ne samo dobro poznate pogodnosti, već i probleme, od kojih je najozbiljniji problem informacijske sigurnosti.
Uz kontrole za računala i računalne mreže, standard posvećuje veliku pozornost razvoju sigurnosnih politika, radu s osobljem (zapošljavanje, obuka, otpuštanje), osiguravanju kontinuiteta proces proizvodnje, pravni zahtjevi.
Bez sumnje, ova tema kolegija je vrlo relevantna u modernim uvjetima.
Predmet kolegija: informacijska sigurnost profesionalna djelatnost organizacije.
Predmet studija: osiguranje informacijske sigurnosti.
NA seminarski rad planira se izraditi nacrt upravljačke odluke o organizaciji informacijske sigurnosti na temelju organizacije iz stvarnog života.
Poglavlje 1. Informacijska sigurnost profesionalne djelatnosti
Osiguranje informacijske sigurnosti relativno je novo područje profesionalne aktivnosti specijalista. Glavni ciljevi takvih aktivnosti su:
Osiguravanje zaštite od vanjskih i unutarnjih prijetnji u području formiranja, distribucije i korištenja informacijskih resursa;
Sprječavanje kršenja prava građana i organizacija na čuvanje povjerljivosti i tajnosti podataka;
Osiguravanje uvjeta koji sprječavaju namjerno iskrivljavanje ili prikrivanje informacija u nedostatku zakonske osnove za to.
Kupci stručnjaka u ovoj oblasti su:
Savezna tijela državne vlasti i uprave Ruske Federacije;
Državna tijela konstitutivnih entiteta Ruske Federacije;
Državne institucije, organizacije i poduzeća;
Obrambena industrija;
Tijela lokalne samouprave;
Ustanove, organizacije i poduzeća nedržavnog oblika
vlasništvo.
Nastup u slobodnoj, iako nezakonitoj prodaji baze podataka kupaca tvrtke mobilna komunikacija MTS nas uvijek iznova tjera da se okrenemo problemu računalne sigurnosti. Čini se da je ova tema neiscrpna. Njegova je relevantnost to veća što je viši stupanj informatizacije trgovačkih tvrtki i neprofitne organizacije. Visoka tehnologija, igrajući revolucionarnu ulogu u razvoju poslovanja i gotovo svih drugih strana moderno društvo, čine svoje korisnike vrlo ranjivim u smislu informacijske, a u konačnici i ekonomske sigurnosti.
To nije problem samo u Rusiji, već iu većini zemalja svijeta, prvenstveno zapadnih, iako postoje zakoni koji ograničavaju pristup osobnim podacima i nameću stroge zahtjeve za njihovu pohranu. Tržišta nude različite sustave za zaštitu računalnih mreža. Ali kako se zaštititi od vlastite "pete kolone" - beskrupuloznih, nelojalnih ili jednostavno nemarnih zaposlenika koji imaju pristup tajnim podacima? Skandalozno curenje baze podataka klijenata MTS-a očito se nije moglo dogoditi bez tajnog dogovora ili kriminalnog nemara zaposlenika tvrtke.
Čini se da mnogi, ako ne i većina, poduzetnici jednostavno ne shvaćaju težinu problema. Čak iu zemljama s razvijenim tržišnim gospodarstvom, prema nekim istraživanjima, 80% poduzeća nema promišljen, planiran sustav zaštite skladišta, operativne baze podataka. Što tek reći o nama, naviknutim na ono famozno "možda".
Stoga nije beskorisno okrenuti se temi opasnosti koju nosi curenje povjerljivih informacija, govoriti o mjerama za smanjenje takvih rizika. Tome će pomoći objava u “Legal Timesu” (21. listopada 2002.) - publikacija posvećena pravne stvari(Mark M. Martin, Evan Wagner, Ranjivost i informacijska sigurnost). Autori navode najtipičnije vrste i metode informacijskih prijetnji. Što točno?
Deklasifikacija i krađa poslovne tajne. Ovdje je sve više-manje jasno. Klasika, idemo drevna povijest, ekonomska špijunaža. Dok su se ranije tajne čuvale na tajnim mjestima, u masivnim sefovima, pod pouzdanom fizičkom i (kasnije) elektroničkom zaštitom, danas mnogi zaposlenici imaju pristup uredskim bazama podataka, često sadržavajući vrlo osjetljive informacije, primjerice, podatke o istim klijentima.
Distribucija kompromitirajućeg materijala. Ovdje autori misle na namjernu ili slučajnu upotrebu od strane zaposlenika u e-pošta takve informacije koje bacaju sjenu na ugled tvrtke. Primjerice, naziv tvrtke se ogleda u domeni dopisnika, koji u svojim pismima dopušta klevete, uvrede, ukratko, sve što može kompromitirati organizaciju.
Povreda intelektualnog vlasništva. Važno je ne zaboraviti da svaki intelektualni proizvod proizveden u organizaciji pripada organizaciji i ne mogu ga koristiti zaposlenici (uključujući generatore i autore intelektualnih vrijednosti) osim u interesu organizacije. U međuvremenu, u Rusiji se po ovom pitanju često javljaju sukobi između organizacija i zaposlenika koji polažu pravo na intelektualni proizvod koji su sami stvorili i koriste ga za osobne interese, a na štetu organizacije. To je često zbog nejasne pravne situacije u poduzeću, kada ugovor o radu ne postoje jasno definirane norme i pravila koja definiraju prava i obveze zaposlenika.
Distribucija (često nenamjerna) povlaštenih informacija koje nisu tajne, ali mogu biti korisne konkurentima. Na primjer, o novim slobodnim radnim mjestima zbog širenja poslovanja, o službenim putovanjima i pregovorima.
Posjeti web stranicama konkurenata. Sada sve više i više tvrtki koristi programe na svojim otvorenim stranicama (posebno dizajnirane za CRM), koji vam omogućuju prepoznavanje posjetitelja i detaljno praćenje njihovih ruta, bilježenje vremena i trajanja pregledavanja stranica stranice od strane njih. Jasno je da ako je vaš posjet web stranici konkurencije do detalja poznat njezinom operateru, potonjemu nije teško zaključiti što vas točno zanima. Ovo nije poziv na napuštanje najvažnijeg kanala konkurentskih informacija. Web stranice konkurenata bile su i ostale vrijedan izvor za analizu i predviđanje. Ali kada posjećujete stranice, morate imati na umu da ostavljate tragove i da vas također promatraju.
Zlouporaba uredske komunikacije u osobne svrhe (slušanje, gledanje glazbe i drugih sadržaja koji nisu vezani uz posao, preuzimanje uredskog računala) ne predstavlja izravnu prijetnju informacijskoj sigurnosti, ali stvara dodatni stres na korporativnoj mreži, smanjuje učinkovitost i ometa uz rad kolega.
I, konačno, vanjske prijetnje - neovlašteni upadi itd. Ovo je tema za posebnu ozbiljnu raspravu.
Kako se zaštititi od unutarnjih prijetnji? Jednostavno ne postoji 100% jamstvo protiv štete koju mogu uzrokovati vaši zaposlenici. Riječ je o ljudskom faktoru koji se ne može u potpunosti i bezuvjetno kontrolirati. Istodobno, spomenuti autori daju korisne savjete - razviti i implementirati jasno formuliranu komunikacijsku (ili informacijsku) politiku unutar poduzeća. Takva bi politika trebala povući jasnu granicu između onoga što je dopušteno i onoga što nije dopušteno u korištenju uredskih komunikacija. Prelazak granice dovodi do kazne. Treba postojati sustav praćenja, tko i kako koristi računalne mreže. Pravila koja donosi tvrtka moraju biti u skladu s nacionalnim i međunarodno priznatim standardima za zaštitu državnih i poslovnih tajni, osobnih i privatnih podataka.
Poglavlje 2. Osiguravanje informacijske sigurnosti
profesionalna djelatnost u doo "Laspi"
2.1. kratak opis OOO "Laspi"
Laspi LLC osnovan je 1995. godine kao predstavništvo češke tvrtke u Rusiji. Tvrtka se bavi nabavom češke opreme i Pribor za proizvodnju raznih betonskih proizvoda (počevši od ploče za popločavanje a završava s ogradama, saksijama za cvijeće itd.). Oprema je visoke kvalitete i razumne cijene. Kupci koji se prijavljuju u ured u Samari su organizacije iz raznih gradova Rusije i ZND-a (Kazan, Ufa, Izhevsk, Moskva, Nižnji Novgorod itd.). Naravno, takva velika aktivnost zahtijeva poseban odnos prema informacijskoj sigurnosti unutar tvrtke.
Današnja informacijska sigurnost ostavlja mnogo toga za poželjeti. Raznu dokumentaciju (tehničku, ekonomsku) možete pronaći u otvoreni pristup, što omogućuje gotovo svakom zaposleniku tvrtke (od osnivača do vozača) da se slobodno upozna s njim.
Posebno važni dokumenti čuvaju se u sefu. Ključeve sefa imaju samo direktor i njegova tajnica. Ali ovdje takozvani ljudski faktor igra značajnu ulogu. Često su ključevi zaboravljeni u uredu na stolu, a sef može otvoriti čak i čistačica.
Gospodarska dokumentacija (izvješća, računi, računi, dostavnice i sl.) složena je u fascikle i police u ormaru koji se ne zaključava.
Zaposlenici prilikom prijavljivanja na posao ne potpisuju ugovore o neotkrivanju poslovnih tajni, što im ne zabranjuje davanje takvih informacija.
Zapošljavanje zaposlenika provodi se putem razgovora koji se sastoji od dvije faze: 1. komunikacija s neposrednim rukovoditeljem (koja otkriva vještine i sposobnosti potencijalnog zaposlenika) 2. komunikacija s osnivačem (više od osobni karakter a zaključak takvog dijaloga može biti ili “radit ćemo zajedno” ili “nećemo raditi zajedno”).
Sve to zahtijeva veću pozornost uprave i kompetentan program za osiguranje informacijske sigurnosti tvrtke, jer danas Laspi LLC ima puno konkurenata koji vjerojatno neće propustiti priliku da iskoriste, na primjer, bazu klijenata tvrtke ili baza dobavljača.
2.2. Nacrt odluke uprave za osiguranje informacijske sigurnosti profesionalnih aktivnosti Laspi doo.
Važno mjesto u sustavu organizacijskih, administrativnih, pravnih i drugih mjera koje nam omogućuju kvalitetno rješavanje problema informacijske podrške znanstvenim, industrijskim i komercijalne djelatnosti, fizičku sigurnost materijalnih nositelja klasificiranih podataka, sprječavanje njihovog curenja, čuvanje poslovne tajne, zauzima permisivni sustav pristupa izvođača klasificiranim dokumentima i podacima.
Uzimajući u obzir Zakon RSFSR-a "O poduzećima i poduzetničke aktivnosti„Voditelj poduzeća (firme), bez obzira na oblik vlasništva, može uspostaviti posebna pravila za pristup informacijama koje ostavljaju poslovna tajna, i njegovih nosača, čime se osigurava njihova sigurnost.
U sustavu sigurnosnih mjera bitna je optimalna raspodjela proizvodnih, komercijalnih, financijskih i kreditnih informacija koje ostavljaju tajnu poduzeća između pojedinih izvođača relevantnih poslova i dokumenata. Prilikom distribucije informacija, s jedne strane, potrebno je osigurati da se konkretnom zaposleniku pruži puna količina podataka za kvalitetno i pravodobno obavljanje posla koji mu je dodijeljen, as druge strane, isključiti upoznavanje izvođača s nepotrebnim, klasificiranim podacima koji mu nisu potrebni za rad.
Kako bi se osigurao zakonit i razuman pristup izvođača informacijama koje predstavljaju poslovnu tajnu tvrtke, preporučuje se razviti i implementirati odgovarajući sustav dozvola u poduzećima.
Pristup se podrazumijeva kao dobivanje pisanog dopuštenja od čelnika tvrtke (ili, uz njegovu dozvolu, drugih rukovoditelja) za izdavanje određenih (ili u cijelosti) klasificiranih podataka jednom ili drugom zaposleniku, uzimajući u obzir njegovu službene dužnosti(službena vlast).
Prijava pristupa CT-u može se provoditi sukladno Pravilniku o sustavu izdavanja dozvola za pristup koji donosi ravnatelj, a gdje su ovlasti zakonski utvrđene. dužnosnici poduzeća za distribuciju informacija i njihovu upotrebu. Voditelj organizacije može dopustiti korištenje bilo koje zaštićene informacije bilo kojem zaposleniku ovog poduzeća ili osobi koja je stigla u objekt iz druge organizacije radi rješavanja bilo kakvih problema, ako te informacije ne podliježu ograničenjima upoznavanja proizvodnih i komercijalnih partnera u zajedničkoj proizvodnji itd. P. Stoga Laspi doo preporuča ograničiti pristup informacijama koje su poslovna tajna (ugovori s dobavljačima i kupcima, završna izvješća o transakcijama) sljedećim zaposlenicima:
1. Osnivač društva.
2.direktor firme.
3. tajnica ravnatelja.
Samo osnivač i direktor društva može dati dopuštenje za pristup informacijama drugim zaposlenicima.
Pristup informacijama o tekućim transakcijama s klijentima trebaju imati svi gore navedeni zaposlenici i rukovoditelji koji vode te transakcije.
Početne informacije o nabavnim cijenama opreme također bi trebale biti ograničene. Pristup ima samo osnivač, direktor tvrtke, koji ostalim zaposlenicima daje samo već razrađene cijene (uz razne “nadoplate”), kao i tajnica koja vodi cjelokupni dokumentarni promet u organizaciji.
Učinkovit rad sustava licenciranja moguć je samo ako se poštuju određena pravila:
1. Permisivni sustav, kao obvezno pravilo, uključuje diferenciran pristup dopuštanju pristupa, uzimajući u obzir važnost klasificiranih podataka o kojima se odlučuje o pitanju pristupa.
2. Potrebno je dokumentirati izdano dopuštenje za pravo korištenja pojedinog zaštićenog podatka. To znači da upravitelj koji je dao dozvolu za pravo korištenja mora to popraviti u pisanom obliku na relevantnom dokumentu ili u trenutnom poduzeću knjigovodstveni obrazac. Nikakve usmene upute ili bilo čiji zahtjevi za pristup (osim čelnika poduzeća) nisu pravno obvezujući. Ovaj se zahtjev odnosi i na rukovoditelje na svim razinama koji rade s klasificiranim podacima i njihovim nositeljima. Dakle, samo pisano dopuštenje pročelnika (u granicama ovlasti) je dopuštenje za izdavanje zaštićenih podataka jednoj ili drugoj osobi.
3. Treba se strogo pridržavati načela kontrole. Svaka dozvola mora imati datum izdavanja i izdavanja.
Takva tradicionalna vrsta dopuštenja kao što je rezolucija glave na najpovjerljivijem dokumentu naširoko se koristi. Takva dozvola mora sadržavati popis imena zaposlenika koji su dužni upoznati se s dokumentima ili ih izvršiti, rok izvršenja, druge upute, potpis voditelja i datum. Voditelj može, po potrebi, predvidjeti ograničenja pristupa pojedinim zaposlenicima određenim informacijama.
Rezolucija, kao vrsta dopuštenja, koristi se uglavnom za brzo priopćavanje zainteresiranim stranama klasificiranih podataka sadržanih u dokumentima i proizvodima primljenim izvana i stvorenim u poduzeću.
Šef poduzeća može dati dozvolu za pristup administrativne isprave: naredbe, upute, upute za poduzeće. Trebaju sadržavati imena, položaje osoba, specifične klasifikacijske dokumente i proizvode s kojima se mogu primiti (upoznati).
Druga vrsta dozvola - prema obiteljskim popisima osoba koje imaju pravo upoznati se i obavljati bilo kakve radnje s klasificiranim dokumentima i proizvodima. Prema obiteljskim listama, odobrava ih direktor poduzeća ili, u skladu s važećim sustavom dozvola, rukovoditelji koji, u pravilu, ne zauzimaju niže položaje od voditelja odgovarajućih odjela.
Prema obiteljskim popisima osoba, mogu se koristiti prilikom organiziranja pristupa klasificiranim dokumentima i proizvodima koji su od posebnog značaja za poduzeće, prilikom registracije pristupa sigurnim prostorijama, raznim vrstama zatvorenih događanja (konferencije, sastanci, izložbe, sastanci). znanstveno-tehničkih vijeća i dr.). U obiteljskim popisima mogu se identificirati određeni voditelji, kojima glavar dopušta pristup svim zatvorenim dokumentima i proizvodima bez odgovarajuće pismene dozvole. Oni označavaju puno ime. izvođač, odjel, radno mjesto, kategorija dokumenata i proizvoda u koje je primljen. U praksi je primjenjiva i varijanta popisa poslova koji označavaju: poziciju izvođača, količinu dokumenata (kategorije dokumenata) i vrste proizvoda koje trebaju koristiti zaposlenici poduzeća koji zauzimaju radno mjesto koje odgovara popis. Treba napomenuti da za poduzeća s malom količinom klasificiranih dokumenata i proizvoda može biti dovoljno koristiti takve vrste dopuštenja kao što je rezolucija glave na samom dokumentu, popisima obitelji, popisima poslova.
NA organizacijski plan popise obitelji trebaju pripremiti zainteresirani voditelji strukturne podjele. Popis zaposlenika uključenih u popis potvrđuje čelnik Vijeća sigurnosti, a odobrava ga čelnik poduzeća, koji može prenijeti pravo suglasnosti na druge osobe iz reda uprave.
Sustav licenciranja mora ispunjavati sljedeće zahtjeve:
primjenjuju se na sve vrste klasificiranih dokumenata i proizvoda dostupnih u poduzeću, bez obzira na njihovu lokaciju i stvaranje;
odrediti postupak pristupa za sve kategorije zaposlenika koji su dobili pravo na rad s CT-om, kao i stručnjake koji su privremeno stigli u poduzeće i povezani su sa zajedničkim zatvorenim narudžbama;
uspostaviti jednostavan i pouzdan postupak za izdavanje dozvola za pristup zaštićenim dokumentima i proizvodima, omogućujući vam da odmah odgovorite na promjene u području informacija u poduzeću;
· jasno razgraničiti prava menadžera različitih službenih razina u oblikovanju pristupa relevantnim kategorijama izvođača;
isključiti mogućnost nekontroliranog i neovlaštenog izdavanja dokumenata i proizvoda bilo kome;
· ne dopuštati osobama koje rade s klasificiranim podacima i predmetima izmjene čak i podataka, kao ni zamjenu knjigovodstvenih isprava.
Prilikom izrade sustava dozvola posebnu pozornost treba posvetiti isticanju glavnih, posebno vrijednih informacija za poduzeće, što će osigurati strogo ograničen pristup njima. U prisustvu zajedničkog rada s drugim poduzećima (organizacijama), stranim tvrtkama ili njihovim pojedinačnim predstavnicima, potrebno je predvidjeti postupak za pristup ovih kategorija poslovnoj tajni poduzeća. Preporučljivo je odrediti postupak interakcije s predstavnicima državnih službi: tehnički nadzor, sanitarna i epidemiološka stanica itd.
U Pravilniku o sustavu licenciranja poduzeća potrebno je naznačiti da je prijenos klasificiranih dokumenata i proizvoda od izvođača do izvođača moguć samo unutar ustrojstvene jedinice i uz dopuštenje njezina voditelja. Prijenos, povrat takvih dokumenata proizvoda provodi se prema postupku koji je utvrdila tvrtka i samo tijekom radnog vremena određenog dana.
Svu povjerljivu dokumentaciju i proizvode koje je poduzeće primilo i razvilo na njemu prihvaćaju i uzimaju u obzir srednji menadžment i tajnik. Nakon registracije, dokumentacija se podnosi na razmatranje voditelju poduzeća uz potvrdu o primitku.
U Pravilniku o sustavu dozvola tvrtke potrebno je naznačiti da se zatvoreni sastanci o službenim pitanjima održavaju samo uz dopuštenje čelnika tvrtke ili njegovih zamjenika. Posebni zahtjevi mogu se odnositi na sastanke akademskih vijeća, sastanke za pregled rezultata istraživanja i razvoja te financijskih i komercijalnih aktivnosti itd. Za takve događaje preporuča se obavezno sastavljanje popisa dozvola i uključivanje u njih samo onih zaposlenika poduzeća koji su izravno povezani s planiranim događajima i sudjelovanje u kojima je uzrokovano službenom potrebom.
Kao što je gore navedeno, zaposlenici drugih tvrtki mogu sudjelovati na zatvorenim sastancima samo uz osobno dopuštenje uprave tvrtke. Sastavlja liste, u pravilu, odgovornih za organizaciju sastanka u kontaktu sa zainteresiranim voditeljima ustrojstvenih jedinica. Popis je osnova za organiziranje kontrole pristupa na ovaj skup. Prije početka sjednice nazočni se upozoravaju da su podaci o kojima se raspravlja povjerljivi i da ne podliježu širenju izvan okvira prometa koji utvrđuje društvo, te se izdaje uputa o načinu vođenja evidencije.
Važno je naglasiti da uspostava određenog postupka postupanja s klasificiranim podacima i proizvodima u poduzeću značajno povećava pouzdanost zaštite poslovne tajne, smanjuje vjerojatnost otkrivanja, gubitka nositelja tih podataka.
Kako bi se osigurala sigurnost dokumenata, predlaže se kupnja odgovarajućeg namještaja koji vam omogućuje sigurno zaključavanje dokumenata. Također je potrebno svaki dan, prije odlaska, zapečatiti ormare.
Ključeve od sefa i ormara potrebno je uz potpis predati zaštitarskoj službi. Također je preporučljivo kupiti posebnu cijev za čuvanje ključeva i zatvoriti je na isti način.
Posebnu pozornost treba posvetiti sigurnosti računalnih informacija. Danas je u Laspi LLC stvoreno nekoliko baza podataka: klijenti tvrtke (u kojima se navode ne samo njihove poslovne adrese i telefonski brojevi, već i njihove kućne adrese, kao i osobni podaci); baza podataka koja sadrži cijene i karakteristike isporučene opreme; baza podataka zaposlenika organizacije. U računalu se također pohranjuju razni ugovori, sporazumi i sl.
U svakom slučaju, vrlo je nepoželjno da ove informacije dođu u ruke konkurenata. Kako bi se spriječio ovaj scenarij, preporučuje se kreiranje lozinki za pristup svakoj bazi podataka (a softverski alati to omogućuju). Prilikom dizanja računala također je preporučljivo postaviti dvorazinsku zaštitu (pri učitavanju BIOS-a i pri učitavanju OS Windows'2000, koji ne dopušta pristup sadržaju tvrdog diska bez lozinke, za razliku od prethodnih verzija ovog operativnog sustava) . Naravno, lozinke bi također trebale biti dostupne samo onim zaposlenicima tvrtke koji izravno rade s tim bazama podataka (tajnici, menadžeri, programeri).
U slučaju bilo kakvih problema vezanih uz računalo i potrebe kontaktiranja vanjske tvrtke, potrebno je u potpunosti kontrolirati proces popravka opreme. Budući da upravo u trenutku kada su sve lozinke uklonjene, kada programer "izvana" ima slobodan i nesmetan pristup sadržaju tvrdog diska, moguće je da se dočepa informacija i dalje ih koristi u razne svrhe.
Morate održavati svoj antivirusni softver ažuriranim kako biste spriječili ulazak virusa i širenje na vašim računalima.
Posebnu pozornost treba posvetiti zapošljavanju novih djelatnika. Danas mnoge organizacije prakticiraju stroži pristup ovom procesu, što je povezano sa željom da se informacije zadrže unutar tvrtke i ne dopuste da izađu izvan nje zbog "ljudskog faktora".
Gdje se većina zapošljavanja odvija u dvije faze (kao što je gore sažeto), ovdje se predlažu četiri faze.
1. Razgovor s voditeljem kadrovske službe. Voditelj kadrovske službe upoznaje se s kandidatom, njegovim životopisom, postavlja pitanja o profesionalnim aktivnostima, izrađuje preliminarne bilješke. Ovaj korak je profesionalan. Zatim voditelj kadrovske službe analizira informacije primljene od kandidata i prenosi ih voditelju.
2. Uspijte se upoznati sa životopisima kandidata i bilješkama o njima od strane voditelja kadrovske službe, odabrati najprikladnije i pozvati ih na razgovor. Intervju je osobne prirode i uključuje nestandardna pitanja (na primjer, što osoba voli jesti, koji mu je hobi, itd.) Dakle, menadžer dobiva informacije kako bi odlučio koliko je ta osoba prikladna za njega, predviđa mogući problemi na koje može naići u komunikaciji s ovim kandidatom.
3. Ispitivanje. Ovdje je već određena razina inteligencije zaposlenika, njegov psihološki portret sastavljen je na temelju različitih testova. Ali prvo morate odrediti kako menadžer i kolege žele vidjeti novog zaposlenika.
4. Zaštitarska služba. Ovdje se predlažu dvije faze: a) provjera kandidata na različitim instancama (je li doveden na sud, je li služio kaznu u mjestima lišenja slobode, je li registriran u narkološkom dispanzeru, jesu li podaci koje je dao o prethodna mjesta raditi); b) provjera na posebnoj opremi, koja se najčešće naziva "detektor laži". U drugoj fazi utvrđuje se koliko je zaposlenik lojalan tvrtki, kakve reakcije ima na provokativna pitanja (primjerice, što će učiniti ako sazna da mu netko od kolega nosi dokumente kući) itd.
I tek nakon što kandidat prođe sve ove četiri faze, možete odlučiti hoćete li ga zaposliti ili ne.
Nakon donošenja pozitivne odluke, zaposleniku se daje probni rok (prema zakonodavstvu Ruske Federacije, može varirati od 1 do 3 mjeseca, ali preporučuje se najmanje 2 mjeseca, a po mogućnosti 3). Tijekom probni rad Uprava i zaštitarska služba trebaju paziti na novog zaposlenika, promatrati njegove aktivnosti.
Osim toga, odmah pri zapošljavanju potrebno je uz zaključak ugovor o radu potpisivanje ugovora o neodavanju poslovne tajne. Preporučene klauzule ovog ugovora:
Ovo nije potpuni popis onoga što može biti uključeno u ugovor.
Zaključak
Danas je pitanje organiziranja informacijske sigurnosti zabrinjavajuće za organizacije bilo koje razine - od velikih korporacija do poduzetnika bez osnivanja pravne osobe. Natjecanje u modernom tržišni odnosi daleko od savršenog i često se provodi na manje od legalnih načina. Industrijska špijunaža cvjeta. Ali postoje i slučajevi nenamjernog širenja informacija povezanih s poslovnom tajnom organizacije. Tu u pravilu igra ulogu nemar zaposlenika, njihovo nerazumijevanje situacije, drugim riječima, "ljudski faktor".
Predmetni rad predstavlja nacrt upravljačke odluke o organizaciji informacijske sigurnosti u Laspi doo. Projekt utječe na tri glavna područja sigurnosne organizacije: 1. dokumentacijsko područje (pristup materijalima prezentiranim na papiru, s razgraničenjem tog pristupa); 2.računalna sigurnost; 3. sigurnost u pogledu zapošljavanja novih djelatnika.
Treba uzeti u obzir da čak Ovaj projekt i dizajniran za određenu organizaciju, njegove se odredbe također mogu koristiti za organiziranje sigurnosti u drugim tvrtkama srednje veličine.
Ništa se poslu ne daje tako jeftino i ne košta tako skupo kao greške u sustavu zaštite korporativnih informacija. Bolje je učiti na tuđim sigurnosnim pogreškama.
Cyber napadi i DLP-sustavi
2010. djelatnik HSBC- staklenka , jedna od pedeset najpouzdanijih banaka na svijetu, nakon otkaza, sa sobom je ponio podatke o 15 tisuća klijenata (uglavnom iz Švicarske i Francuske). Ovaj je banku koštao 94 milijuna dolara za zamjenu neučinkovitog sigurnosnog sustava.
Puno više štete uglednim građanima napravili su kibernetički kriminalci koji su hakirali Cvrkut-račun Associated Press. Provalnici su kratko "cvrkutali": "Dvije eksplozije u Bijeloj kući, Barack Obama ozlijeđen." Indeks Dow Jones pao za 150 bodova, a blue chipovi smanjili svoju ukupnu kapitalizaciju za 200 milijardi dolara.No, nakon što se pojavilo pobijanje, panika je prestala, a indeks se vratio na prethodnu vrijednost. Ali oni koji su požurili s izbacivanjem dionica po cijenama koje su se spuštale prilično su izgorjeli. Određena "Sirijska elektronička vojska" preuzela je odgovornost za hakiranje. Međutim, nemoguće je sa sigurnošću tvrditi da se nije radilo o isključivo gospodarskoj sabotaži. Vrijeme je bilo precizno: odmah nakon bombaškog napada na Bostonskom maratonu.
Na Svjetski ekonomski forum Među globalnim rizicima za svjetsku ekonomiju, poput korupcije, demografske krize, iscrpljivanja prirodnih resursa, prvi put u povijesti navedeni su i cyber napadi. Prijetnje koje vrebaju i tvrtke i državne agencije mogu biti vanjske i unutarnje. Zapravo, cyber napadi su vanjska prijetnja. Unutarnje prijetnje nisu nužno rezultat zle namjere. Prilično lojalni, ali nekompetentni u IT području, zaposlenici mogu slučajno pokrenuti maliciozni program priložen uz e-mail, greškom obrisati željenu mapu, odlutati na stranicu krcatu trojancima. Zbog toga informacije važne za tvrtku mogu ili netragom nestati, ili pasti u ruke konkurenata ili nekih „boraca za pravdu“ opsjednutih idejama spašavanja čovječanstva od globalizma i drugih pošasti kapitalizma, totalitarizma itd. Statistike pokazuju da tvrtke najviše štete svojim zaposlenicima.
Problem računalne sigurnosti pojavio se čim je američka tvrtka Eckert Mauchly Computer Corporation 1951. izdao prvo računalo masovne proizvodnje UNIVAC I. Dugo je vrijeme ovaj problem bio više teorijske prirode. Sve se promijenilo izumom Interneta i eksplozijom World Wide Weba.
Za borbu protiv kibernetičkog kriminala bila je potrebna potpuno nova industrija. Svake godine ruske i strane tvrtke izdaju sve više antivirusa, kriptografskih programa, proizvoda koji sprječavaju phishing i ddos napade itd. Programi se stalno poboljšavaju, pojavljuju se nove vrste. Konkretno, relativno nedavno, alati za informacijsku sigurnost ušli su na tržište DLP-sustavi ( Sprječavanje curenja podataka) koji sprječavaju curenje informacija iz korporativnih mreža.
Kompletan i potpuno funkcionalan DLP sustav ima sljedeće karakteristike:
- potpuna i stalna kontrola svih kanala potencijalnog curenja informacija;
- analiza cjelokupnog prometa koji ide izvan korporativne mreže na prisutnost povjerljivih informacija;
- blokiranje prijenosa povjerljivih informacija, što se ne odnosi samo na korporativne tajne podatke, već i na uvredljive izjave, opscene videozapise, kao i mailing liste koje, iz ovog ili onog razloga, negativno utječu na korporativni imidž;
- blokiranje prijema neželjenih i zlonamjernih informacija;
- arhiviranje presretnutog neovlaštenog prometa kako bi se istražili nastali incidenti.
Treba napomenuti da DLP sustavi ne poništavaju relevantnost prethodnih kategorija proizvoda, kao što su antivirusi, kriptografski programi, elektroničke brave s visokim stupnjem identifikacije korisnika i tako dalje. Međutim, svi su ti alati postali ranjiviji u posljednje 2-3 godine. Razlog tome su dva globalna IT trenda: ekspanzija mobilnih uređaja i računalstva u oblaku.
Nove ranjivosti
NA ovaj trenutak Rusi imaju oko 50 milijuna mobilnih uređaja u svojim rukama - pametne telefone, tablete, netbooke, prijenosna računala itd. Ove će se godine ta brojka povećati za još 12 milijuna, a do 2015. premašit će 70 milijuna Prema predviđanju analitičke tvrtke International Data Corporation, mobilni uređaji će u nadolazećim mjesecima premašiti osobna računala po učestalosti pristupa internetu.
A svi ti uređaji stvaraju potencijalnu ranjivost kako za samu korporativnu mrežu tako i za povjerljive informacije pohranjene u njoj. Hakeri su sada u velikoj modi zlonamjerni softver za pametne telefone s OS-om Android. A budući da zaposlenici koriste pametne telefone na poslu, kod kuće, na odmoru i u prijevozu, vjerojatnost infekcije poslužitelja koji su dio korporativne mreže dramatično se povećava.
Postoji još jedna vrsta prijetnje. Postoje najmanje tri slučaja kada su lažni ili prezaposleni zaposlenici britanske protuobavještajne službe MI-5 izgubili prijenosna računala s povjerljivim podacima na najneprikladnijim mjestima - u podzemnoj željeznici, taksiju, kafiću. Pametni telefon, vidite, puno je lakše izgubiti nego prijenosno računalo.
Beskorisno je boriti se protiv "totalne mobilizacije" ureda. I nije isplativo: na kraju krajeva, zahvaljujući pametnim telefonima i tabletima, zaposlenici mogu raditi kod kuće ili na odmoru. Prema "Kaspersky Lab" sada je strogo zabranjeno korištenje mobilnih uređaja na poslu samo četvrtini zaposlenika svih tvrtki. 34% vlasnika pametnih telefona, 38% tableta, 45% prijenosnih računala ima puni pristup korporativnim resursima. Za ostalo su uvedena ograničenja različitih razina pristupa.
Kako osigurati informacijsku sigurnost u eri mobilni internet i računalstvo u oblaku? Zadatak nije lak. Uostalom, radne stanice i mrežni poslužitelji tvrtke rade pod istim OS-om ( Windows ili Unix), njihovu sigurnost podržavaju sredstva ugrađena u sustav. A mobilni uređaji ne samo da koriste vlastite operativne sustave, već nemaju ni učinkovita sredstva zaštite, jer su zamišljeni kao uređaji za individualnu, a ne korporativnu upotrebu. Situaciju otežava činjenica da je za kontrolu lokacije mobilnog uređaja i izvora veze, kao i u čijim je rukama, organizacijske metode nemoguće.
U pravilu se ti problemi rješavaju softverski jačanjem zaštitne konture sustava, prilagodbom korporativnog sigurnosnog sustava cijelom nizu mobilnih uređaja i instaliranjem potrebnih zaštitnih aplikacija na njih. No, moguć je i drugi način - zaposlenicima izdati korporativne sigurne tablete i pametne telefone.
Domaći proizvođač računalnih sigurnosnih alata "Sigurnosni kod" izdao tablet "Kontinent T-10", koji pokreće Android 4 i opremljen je svim potrebnim alatima za sigurno daljinsko upravljanje kako samim tabletom tako i aplikacijama korporativnog sustava na koje se povezuje putem sigurnog pristupnika. Ovaj mobilni uređaj u potpunosti je integriran u korporativni sustav sigurnost i ne zahtijeva nikakve dodatne mjere prilagodbe.
Računalstvo u oblaku također stvara ozbiljne probleme. Rusko tržište usluga u oblaku već je premašilo godišnji promet od 150 milijuna dolara i godišnje raste za 50%. Pritom najveći dio tržišta otpada na privatne oblake, odnosno one nastale unutar korporacije. Privatni oblaci značajno se razlikuju od tvrdo konfiguriranih korporativnih mreža u pogledu informacijske sigurnosti. I potražnja vlastita sredstva zaštita.
Po ravnalu
Rusko tržište informacijske sigurnosti brzo se razvija i već je premašilo 600 milijuna dolara. 15% tržišta kontrolira pet glavni igrači: Asteros, Croc, Informzashchita, Leta i "Jet Infosustavi". Što se tiče svjetskog tržišta, s godišnjim porastom od 30%, njegov se obujam približio milijardu dolara.Među međunarodnim vodećima su takvi divovi kao Symantec, McAffee, TrendMicro, Check Point, Cisco Systems.
I ruski i zapadni proizvođači, odlučujući opći zadaci proizvode slične proizvode. Kako bi se zajamčila zaštita informacija od čitavog niza postojećih prijetnji, potreban je integrirani pristup koji uzima u obzir sve aspekte funkcioniranja korporativnih mreža, ne samo tehničke, već i psihološke, povezane s ljudskim faktorom. Najbolji rezultati postižu se korištenjem cijele linije proizvoda za zaštitu informacija: antivirusi, vatrozidi, anti-spam, kriptografski alati, sustavi za sprječavanje gubitka podataka, itd. Jedan proboj u zaštitnom krugu sustava može dovesti do nepredvidive štete.
Ali svaki pojedini domaći proizvođač ne nudi sve linija proizvoda. Nastaje situacija, nazvana "zoološki vrt sustava", kada korištenje različitih proizvoda s različitim ideologijama zahtijeva stvaranje složenih kontrolnih shema. U iznimnim slučajevima to može dovesti do kvara sustava.
Stoga se pri odabiru sigurnosnog sustava treba voditi ne samo cjelovitošću funkcionalnosti i skalabilnosti, već i upravljivošću, koja ovisi o jedinstvu koncepta svih njegovih komponenti. Od ruskih dobavljača ovaj zahtjev zadovoljava, na primjer, Code of Security, koji ima najširu liniju proizvoda. Njegovi proizvodi, instalirani korištenjem "bešavne" tehnologije, omogućuju vam brzo praćenje događaja s jedne točke kontrole svih sigurnosnih sustava.
Ministarstvo obrazovanja i znanosti Ruske Federacije
savezni državni proračun obrazovna ustanova
"PERMSKO NACIONALNO ISTRAŽIVANJE
VELIKOTEHNIČKO SVEUČILIŠTE"
Test
po disciplini
INFORMACIJSKA SIGURNOST PODUZEĆA
Tema "Informacijska sigurnost u poslovanju na primjeru Alfa-Bank"
Ispunio učenik
Grupa FK-11B:
Smišljajeva Marija Sergejevna
Provjerio nastavnik:
Šaburov Andrej Sergejevič
Perm - 2013
Uvod
Zaključak
Bibliografija
Uvod
Informacijski resursi većine tvrtki među najvrjednijim su resursima. Iz tog razloga komercijalne, povjerljive informacije i osobni podaci moraju biti pouzdano zaštićeni od zlouporabe, ali ujedno i lako dostupni subjektima koji sudjeluju u obradi tih informacija ili ih koriste u procesu obavljanja postavljenih zadataka. Koristite za ovo posebna sredstva pridonosi održivosti poslovanja poduzeća i njegovoj održivosti.
Kao što praksa pokazuje, pitanje organizacije zaštite poslovanja u suvremenim uvjetima postalo je najrelevantnije. Internetske trgovine se hakiraju i kreditne kartice kupaca se prazne, kockarnice i nagradne igre se ucjenjuju, korporativne mreže se manipuliraju, računala se zombificiraju u botnetove, a prijevare identiteta postaju nacionalna katastrofa.
Stoga čelnici poduzeća moraju biti svjesni važnosti informacijske sigurnosti, naučiti predviđati i upravljati trendovima u ovom području.
Svrha ovog rada je identificirati prednosti i nedostatke sustava poslovne informacijske sigurnosti na primjeru Alfa-Bank.
Obilježja aktivnosti Alfa-Bank OJSC
Alfa-Bank je osnovana 1990. Alfa-Bank je univerzalna banka koja obavlja sve glavne vrste bankarskih operacija na tržištu financijskih usluga, uključujući servisiranje privatnih i korporativni klijenti, investicija bankarski poslovi, financiranje trgovine i upravljanje imovinom.
Glavni ured Alfa-Bank nalazi se u Moskvi; ukupno je otvoreno 444 poslovnice i poslovnice banke u regijama Rusije i inozemstva, uključujući banku kćer u Nizozemskoj i financijske podružnice u SAD-u, Velikoj Britaniji i Cipru. Alfa-Bank zapošljava oko 17.000 zaposlenika.
Alfa-Bank je najveća ruska privatna banka u pogledu ukupne imovine, ukupni kapital i iznos depozita. Banka ima veliku bazu klijenata kako pravnih tako i fizičkih osoba. Alfa-Bank se razvija kao univerzalna banka u glavnim područjima: korporativni i investicijski posao(uključujući mala i srednja poduzeća (SME), trgovinu i strukturirano financiranje, leasing i faktoring), maloprodajni posao(uključujući sustav bankovnih poslovnica, auto kredite i hipoteke). Posebna pažnja posvećena je razvoju bankarskih proizvoda za korporativno poslovanje u masovnom i malom i srednjem segmentu, kao i razvoju daljinskih samouslužnih kanala i Internet akviringa. Strateški prioriteti Alfa-Bank su zadržati svoj status vodeće privatne banke u Rusiji, ojačati stabilnost, povećati profitabilnost i postaviti industrijske standarde za tehnologiju, učinkovitost, korisničku uslugu i timski rad.
Alfa-Bank je jedna od najaktivnijih ruskih banaka na globalnom tržištu kapitala. Vodeće međunarodne rejting agencije daju Alfa-Bank jednu od najviših ocjena među ruskim privatnim bankama. Četiri puta zaredom rangiran je kao #1 u Indeksu korisničkog iskustva. Sektor bankarstva sa stanovništvom nakon financijske krize, provodi Senteo zajedno s PricewaterhouseCoopers. Također u 2012., Alfa-Bank je prepoznata najbolji internet banka prema izboru časopisa GlobalFinance, nagrađena za najbolju analitiku od strane Nacionalne udruge burzovnih sudionika (NAUFOR), postala najbolja ruska privatna banka prema indeksu povjerenja koji izračunava istraživački holding Romir.
Danas Banka ima mrežu savezne razine, uključujući 83 prodajna mjesta. Alfa banka ima jednu od najvećih mreža među komercijalnim bankama, koja se sastoji od 55 ureda i pokriva 23 grada. Kao rezultat širenja mreže, Banka ima dodatne mogućnosti povećanja baze klijenata, proširenja asortimana i kvalitete bankarskih proizvoda, provedbe međuregionalnih programa i pružanja sveobuhvatnih usluga glavnim klijentima iz redova najvećih poduzeća.
Analiza teorijskih osnova problematike sigurnosti poslovnih informacija
Relevantnosta važnost problematike osiguranja informacijske sigurnosti uvjetovana je sljedećim čimbenicima:
· Suvremene razine i stope razvoja alata informacijske sigurnosti uvelike zaostaju za razinama i brzinama razvoja informacijskih tehnologija.
· Visoka stopa rasta parka osobnih računala koristi se u raznim područjima ljudske djelatnosti. Prema istraživanju Gartner Dataquesta, trenutno u svijetu postoji više od milijardu osobnih računala.
informacijska sigurnost poslovna banka
· Naglo proširenje kruga korisnika s izravnim pristupom računalnim resursima i nizovima podataka;
Trenutno je važnost informacija pohranjenih u bankama značajno porasla, koncentrirane su važne i često tajne informacije o financijskim i ekonomska aktivnost mnogi ljudi, tvrtke, organizacije pa čak i cijele države. Banka pohranjuje i obrađuje vrijedne informacije koje utječu na interese velikog broja ljudi. Banka pohranjuje važne podatke o svojim klijentima, čime se širi krug potencijalnih uljeza zainteresiranih za krađu ili oštećenje takvih podataka.
Preko 90% svih kaznenih djela povezano je s korištenjem sustava automatizirane obrade informacija banke. Stoga banke pri izradi i modernizaciji ASOIB-a moraju obratiti veliku pozornost na osiguranje njegove sigurnosti.
Glavnu pozornost treba posvetiti računalnoj sigurnosti banaka, tj. sigurnost sustava automatizirane obrade informacija banke, kao najrelevantniji, najsloženiji i urgentni problem u području bankovne informacijske sigurnosti.
Brz razvoj informacijske tehnologije otvorio je nove poslovne mogućnosti, ali i doveo do pojave novih prijetnji. Zbog konkurencije, moderni softverski proizvodi prodaju se s pogreškama i nedostacima. Programeri, uključujući različite funkcije u svoje proizvode, nemaju vremena za kvalitetno uklanjanje pogrešaka stvorenog programski sustavi. Greške i nedostaci ostavljeni u tim sustavima dovode do slučajnog i namjernog kršenja informacijske sigurnosti. Primjerice, uzroci većine slučajnih gubitaka informacija su kvarovi u radu softvera i hardvera, a većina napada na računalne sustave temelji se na greškama i nedostacima pronađenim u softveru. Tako je, primjerice, u prvih šest mjeseci nakon izlaska serverskog operacijskog sustava Microsoft Windows otkriveno 14 ranjivosti, od kojih je 6 kritičnih. Iako s vremenom Microsoft razvija servisne pakete koji rješavaju identificirane nedostatke, korisnici već pate od kršenja informacijske sigurnosti zbog preostalih pogrešaka. Dok se ovi brojni drugi problemi ne riješe, nedovoljna razina informacijske sigurnosti bit će ozbiljna kočnica razvoju informacijskih tehnologija.
Pod, ispod sigurnost informacijapodrazumijeva se sigurnost informacijske i prateće infrastrukture od slučajnih ili namjernih utjecaja prirodne ili umjetne prirode koji mogu prouzročiti neprihvatljivu štetu subjektima informacijskih odnosa, uključujući vlasnike i korisnike informacijske i prateće infrastrukture.
U suvremenom poslovnom svijetu odvija se proces migracije materijalnih sredstava prema informacijskim. Kako se organizacija razvija, njezin informacijski sustav postaje sve složeniji, čija je glavna zadaća pružanje maksimalnu učinkovitost poslovanje na konkurentnom tržištu koje se stalno mijenja.
Promatrajući informaciju kao robu, možemo reći da osiguranje informacijske sigurnosti općenito može dovesti do značajnih ušteda na troškovima, dok šteta koja joj nastaje dovodi do materijalnih troškova. Na primjer, otkrivanje tehnologije proizvodnje izvornog proizvoda dovest će do pojave sličnog proizvoda, ali od drugog proizvođača, a kao rezultat kršenja informacijske sigurnosti, vlasnik tehnologije, a možda i autor, izgubiti dio tržišta itd. S druge strane, informacija je predmet kontrole, a njezina promjena može dovesti do katastrofalnih posljedica u objektu kontrole.
Prema GOST R 50922-2006, osiguranje informacijske sigurnosti je aktivnost usmjerena na sprječavanje curenja informacija, neovlaštenih i nenamjernih utjecaja na zaštićene informacije. Sigurnost informacija važna je i za poduzeća i za vladine agencije. U svrhu sveobuhvatne zaštite informacijskih izvora, radi se na izgradnji i razvoju sustava informacijske sigurnosti.
Mnogo je razloga koji mogu ozbiljno utjecati na rad lokalnih i globalne mreže, dovesti do gubitka vrijednih informacija. Među njima su sljedeći:
Neovlašteni pristup izvana, kopiranje ili mijenjanje informacija, slučajne ili namjerne radnje koje dovode do:
iskrivljavanje ili uništavanje podataka;
upoznavanje neovlaštenih osoba s podacima koji predstavljaju bankarsku, financijsku ili državnu tajnu.
Neispravan rad softvera, što dovodi do gubitka ili oštećenja podataka zbog:
pogreške u aplikacijskom ili mrežnom softveru;
zaraza računalnim virusom.
Kvarovi tehničke opreme uzrokovani:
nestanka struje;
kvar diskovnih sustava i sustava za arhiviranje podataka;
smetnje u radu poslužitelja, radnih stanica, mrežnih kartica, modema.
Pogreške servisnog osoblja.
Naravno, ne postoji jedinstveno rješenje za sve, ali mnoge su organizacije razvile i implementirale tehničke i administrativne mjere za smanjenje rizika od gubitka podataka ili neovlaštenog pristupa.
Do danas postoji veliki arsenal metoda za osiguranje informacijske sigurnosti, koji se također koristi u Alfa-Bank:
· sredstva identifikacije i autentifikacije korisnika (tzv. kompleks 3A);
· Sredstva za šifriranje informacija pohranjenih na računalima i prenesenih preko mreža;
· vatrozidi;
· virtualne privatne mreže;
· alati za filtriranje sadržaja;
· alati za provjeru cjelovitosti sadržaja diskova;
· sredstva za zaštitu od virusa;
· sustavi za otkrivanje mrežnih ranjivosti i analizatori mrežnih napada.
"Kompleks 3A" uključuje autentifikaciju (ili identifikaciju), autorizaciju i administraciju. Identifikacijai autorizacija ključni su elementi informacijske sigurnosti. Kada pokušate pristupiti bilo kojem programu, funkcija identifikacije daje odgovor na pitanje: "Tko ste vi?" i "Gdje si?", da li ste ovlašteni korisnik programa. Funkcija autorizacije je odgovorna za resurse kojima određeni korisnik ima pristup. Funkcija administracije je pružiti korisniku određene identifikacijske značajke unutar određene mreže i odrediti opseg radnji koje su mu dopuštene. U Alfa-Bank, prilikom otvaranja programa, traži se lozinka i prijava svakog zaposlenika, a prilikom obavljanja bilo kakvih operacija, u nekim slučajevima, potrebno je ovlaštenje voditelja ili njegovog zamjenika u odjelu.
Sustavi šifriranjaomogućuju minimiziranje gubitaka u slučaju neovlaštenog pristupa podacima pohranjenim na tvrdom disku ili drugom mediju, kao i presretanje informacija kada se šalju e-poštom ili prenose preko mrežnih protokola. Zadatak ovaj alat zaštita - osiguranje povjerljivosti. Osnovni zahtjevi za sustave šifriranja - visoka razina kriptografska stabilnost i zakonitost korištenja u Rusiji (ili drugim državama).
Vatrozidje sustav ili kombinacija sustava koji stvara zaštitnu barijeru između dvije ili više mreža koja sprječava neovlaštene pakete podataka da uđu ili izađu iz mreže. Osnovni princip rada vatrozida. provjeravajući svaki paket podataka za podudaranje dolazne i odlazne IP_adrese s dopuštenom bazom adresa. Dakle, vatrozidi uvelike proširuju mogućnosti šardinga informacijske mreže i kontrolu cirkulacije podataka.
Govoreći o kriptografiji i vatrozidima, treba spomenuti sigurne virtualne privatne mreže (Virtual Private Network - VPN). Njihova uporaba omogućuje rješavanje problema povjerljivosti i cjelovitosti podataka tijekom njihovog prijenosa otvorenim komunikacijskim kanalima.
Učinkovito sredstvo zaštite od gubitka povjerljivih informacija. Filtriranje ulaznog i izlaznog sadržaja E-mail. Provjera valjanosti poruka e-pošte i njihovih privitaka na temelju pravila koje je postavila organizacija također pomaže u zaštiti tvrtki od pravne odgovornosti i zaštiti njihovih zaposlenika od neželjene pošte. Alati za filtriranje sadržaja omogućuju vam skeniranje datoteka svih uobičajenih formata, uključujući komprimirane i grafičke. pri čemu propusnost mreža ostaje gotovo nepromijenjena.
Moderno antivirusnotehnologije omogućuju otkrivanje gotovo svih već poznatih virusnih programa usporedbom koda sumnjive datoteke s uzorcima pohranjenima u antivirusnoj bazi podataka. Osim toga, razvijene su tehnologije modeliranja ponašanja za otkrivanje novostvorenih virusnih programa. Otkriveni objekti mogu se dezinficirati, izolirati (staviti u karantenu) ili izbrisati. Zaštita od virusa može se instalirati na radne stanice, poslužitelje datoteka i pošte, vatrozide koji rade pod gotovo svim uobičajenim operativnim sustavima (Windows, Unix - i Linux_systems, Novell) na različitim tipovima procesora. Filtri neželjene pošte značajno smanjuju neproduktivne troškove rada povezane s analiziranjem neželjene pošte, smanjuju promet i opterećenje poslužitelja, poboljšavaju psihološku pozadinu u timu i smanjuju rizik da zaposlenici tvrtke budu uključeni u lažne transakcije. Osim toga, filtri neželjene pošte smanjuju rizik od zaraze novim virusima, budući da poruke koje sadrže viruse (čak i one koje još nisu uključene u antivirusne baze podataka) često pokazuju znakove neželjene pošte i bivaju filtrirane. Istina, pozitivan učinak filtriranja neželjene pošte može se prekrižiti ako filter uz neželjenu poštu uklanja ili označava kao neželjenu poštu i korisne poruke, poslovne ili osobne.
Postoji nekoliko tipičnih vrsta i metoda informacijske prijetnje:
Deklasifikacija i krađa poslovne tajne. Dok su se ranije tajne čuvale na tajnim mjestima, u masivnim sefovima, pod pouzdanom fizičkom i (kasnije) elektroničkom zaštitom, danas mnogi zaposlenici imaju pristup uredskim bazama podataka, često sadržavajući vrlo osjetljive informacije, primjerice, podatke o istim klijentima.
Distribucija kompromitirajućeg materijala. Odnosno, namjerno ili slučajno korištenje takvih informacija od strane zaposlenika u elektroničkoj korespondenciji koje bacaju sjenu na ugled banke.
Povreda intelektualnog vlasništva. Važno je ne zaboraviti da svaki intelektualni proizvod proizveden u banci, kao iu svakoj organizaciji, pripada banci i ne može se koristiti od strane zaposlenika (uključujući generatore i autore intelektualnih vrijednosti) osim u interesu organizacije. U međuvremenu, u Rusiji se po ovom pitanju često javljaju sukobi između organizacija i zaposlenika koji polažu pravo na intelektualni proizvod koji su sami stvorili i koriste ga za osobne interese, a na štetu organizacije. To se često događa zbog nejasne pravne situacije u poduzeću, kada ugovor o radu ne sadrži jasno definirane norme i pravila koja ocrtavaju prava i obveze zaposlenika.
Distribucija (često nenamjerna) povlaštenih informacija koje nisu tajne, ali mogu biti korisne konkurentima (drugim bankama).
Posjeti web stranicama konkurentskih banaka. Sada sve više i više tvrtki koristi programe na svojim otvorenim stranicama (posebno dizajnirane za CRM), koji vam omogućuju prepoznavanje posjetitelja i detaljno praćenje njihovih ruta, bilježenje vremena i trajanja pregledavanja stranica stranice od strane njih. Web stranice konkurenata bile su i ostale vrijedan izvor za analizu i predviđanje.
Zlouporaba uredske komunikacije u osobne svrhe (slušanje, gledanje glazbe i drugih sadržaja koji nisu vezani uz posao, preuzimanje uredskog računala) ne predstavlja izravnu prijetnju informacijskoj sigurnosti, ali stvara dodatni stres na korporativnoj mreži, smanjuje učinkovitost i ometa uz rad kolega.
I, konačno, vanjske prijetnje - neovlašteni upadi itd.
Pravila koja donosi banka moraju biti u skladu s nacionalnim i međunarodno priznatim standardima zaštite državnih i poslovnih tajni, osobnih i privatnih podataka.
Organizacijska zaštita informacija u Alfa-Bank
Alfa Bank OJSC implementirala je sigurnosnu politiku temeljenu na selektivnoj metodi kontrole pristupa. Takvo upravljanje u Alfa Bank OJSC karakterizira skup dopuštenih odnosa pristupa koje je odredio administrator. Pristupnu matricu popunjava izravno administrator sustava tvrtke. Primjena selektivne politike informacijske sigurnosti u skladu je sa zahtjevima menadžmenta i zahtjevima za informacijskom sigurnošću i kontrolom pristupa, odgovornosti, a također ima prihvatljivu cijenu organizacije. Provedba politike informacijske sigurnosti u potpunosti je povjerena administratoru sustava Alfa Bank OJSC.
Uz postojeću sigurnosnu politiku, Alfa Bank OJSC koristi specijalizirani sigurnosni hardver i softver.
Sigurnosni hardver je Cisco 1605. Usmjerivač je opremljen s dva Ethernet sučelja (jedno s TP i AUI sučeljima, drugo samo s TP) za LAN i jednim utorom za proširenje za instalaciju jednog od modula za usmjerivače serije Cisco 1600. Osim toga, softver Cisco IOSFirewallFeatureSet čini Cisco 1605-R idealnim fleksibilnim usmjerivačem/sigurnosnim rješenjem za male urede. Ovisno o instaliranom modulu, usmjerivač može podržavati povezivanje i putem ISDN-a i putem dial-up linije ili iznajmljene linije od 1200 bps do 2 Mbps, FrameRelay, SMDS, x.25.
Da bi zaštitio informacije, vlasnik LAN-a mora osigurati "perimetar" mreže, na primjer, uspostavljanjem kontrole na spoju unutarnje mreže s vanjskom mrežom. Cisco IOS pruža visoku fleksibilnost i sigurnost s obje standardne značajke kao što su proširene pristupne liste (ACL), sustavi zaključavanja (dinamički ACL) i autorizacija usmjeravanja. Uz to, Cisco IOS FirewallFeatureSet dostupan za usmjerivače serije 1600 i 2500 pruža opsežne sigurnosne značajke uključujući:
upravljanje kontekstom Pristup (CBAC)
java zaključavanje
brodski dnevnik
otkrivanje i prevencija napada
trenutna obavijest
Osim toga, usmjerivač podržava virtualne preklopne mreže, tunele, sustav upravljanja prioritetima, sustav rezervacije resursa i razne metode kontrole usmjeravanja.
Rješenje KasperskyOpenSpaceSecurity koristi se kao alat za zaštitu softvera. KasperskyOpenSpaceSecurity u potpunosti ispunjava moderne zahtjeve za korporativne mrežne sustave zaštite:
rješenje za zaštitu svih vrsta mrežnih čvorova;
zaštita od svih vrsta računalnih prijetnji;
učinkovita tehnička podrška;
"proaktivne" tehnologije u kombinaciji s tradicionalnom zaštitom temeljenom na potpisu;
inovativne tehnologije i novi antivirusni mehanizam koji poboljšava performanse;
sustav zaštite spreman za korištenje;
puna zaštita korisnika izvan mreže;
kompatibilnost s rješenjima trećih strana;
učinkovito korištenje mrežnih resursa.
Razvijeni sustav trebao bi osigurati potpunu kontrolu, automatizirano računovodstvo i analizu zaštite osobnih podataka, smanjiti vrijeme korisničke službe, primati informacije o informacijskim sigurnosnim kodovima i osobnim podacima.
Za formiranje zahtjeva za sustav koji se razvija potrebno je formirati zahtjeve za organizaciju baze podataka, informacijsku kompatibilnost za sustav koji se razvija.
Dizajn baze podataka trebao bi se temeljiti na stajalištima krajnjih korisnika određene organizacije – konceptualnim zahtjevima za sustav.
U ovom slučaju IS sadrži podatke o zaposlenicima poduzeća. Jedna od tehnologija koja značajno ilustrira rad informacijskog sustava je izrada sheme tijeka rada za dokumente.
Funkcije razvijenog sustava mogu se ostvariti korištenjem računalne tehnologije i softvera. S obzirom da potraga za informacijama, informacijama i računovodstvenim dokumentima u poslovima bankovnih stručnjaka iznosi oko 30% radnog vremena, uvod automatizirani sustav računovodstvo će značajno osloboditi kvalificirane stručnjake, može dovesti do ušteda u fondu plaća, smanjenja osoblja, međutim, također može dovesti do uvođenja zaposlenika odjela u osoblje jedinica osoblja operater, čija će odgovornost uključivati unos podataka o tekućim poslovnim procesima: osobni podaci knjigovodstvene isprave i pristupne šifre.
Valja napomenuti da će se uvođenjem razvijenog sustava smanjiti, a idealno i potpuno eliminirati pogreške u obračunu osobnih podataka i sigurnosnih kodova. Dakle, uvođenje automatiziranog radnog mjesta za menadžera dovest će do značajnog ekonomskog učinka, smanjenja broja zaposlenih za 1/3, uštede u fondu plaća i povećanja produktivnosti rada.
Alfa-Bank, kao i svaka druga banka, razvila je Politiku informacijske sigurnosti koja definira sustav pogleda na problem osiguravanja informacijske sigurnosti i predstavlja sustavnu izjavu o ciljevima i ciljevima zaštite, kao jedno ili više pravila, postupaka, praksi te smjernice u području informacijske sigurnosti.
Politika uzima u obzir stanje tehnike i neposredne perspektive razvoja informacijskih tehnologija u Banci, ciljeve, zadatke i pravni okvir za njihovo djelovanje, načine rada, a također sadrži analizu sigurnosnih prijetnji objektima i subjektima informacijskih odnosa Banke.
Glavne odredbe i zahtjevi ovog dokumenta odnose se na sve strukturne odjele Banke, uključujući dodatne urede. Ključna pitanja Politika se također odnosi na druge organizacije i institucije koje su u interakciji s Bankom kao dobavljači i korisnici informacijskih resursa Banke u ovom ili onom svojstvu.
Pravna osnova ove Politike je Ustav Ruske Federacije, Građanski i Kazneni zakonik, zakoni, uredbe, rezolucije itd. propisi trenutno zakonodavstvo Ruska Federacija, dokumenti Državne tehničke komisije pri predsjedniku Ruske Federacije, Federalne agencije za vladine komunikacije i informiranje pri predsjedniku Ruske Federacije.
Politika je metodološka osnova za:
· formiranje i provođenje jedinstvene politike u području informacijske sigurnosti u Banci;
· donošenje upravljačkih odluka i razvoj praktičnih mjera za provedbu politike informacijske sigurnosti te razvoj skupa koordiniranih mjera usmjerenih na prepoznavanje, odražavanje i otklanjanje posljedica provedbe razne vrste prijetnje informacijskoj sigurnosti;
· koordiniranje aktivnosti strukturnih pododjela Banke pri obavljanju poslova na stvaranju, razvoju i radu informacijskih tehnologija u skladu sa zahtjevima za osiguranje informacijske sigurnosti;
· izrada prijedloga za poboljšanje pravne, regulatorne, tehničke i organizacijske sigurnosti informacija u Banci.
Sustavni pristup izgradnji sustava informacijske sigurnosti u Banci podrazumijeva uvažavanje svih međusobno povezanih, međusobno promjenjivih i vremenski promjenjivih elemenata, stanja i čimbenika koji su značajni za razumijevanje i rješavanje problematike osiguranja informacijske sigurnosti Banke.
Osiguravanje informacijske sigurnosti- proces koji provodi Uprava Banke, jedinice za informacijsku sigurnost i zaposlenici na svim razinama. Ovo nije samo i ne toliko procedura ili politika koja se provodi u određenom vremenskom razdoblju ili skup mjera, već proces koji se stalno mora odvijati na svim razinama unutar Banke iu kojem mora sudjelovati svaki zaposlenik Banke. u ovom procesu. Poslovi informacijske sigurnosti sastavni su dio svakodnevnih aktivnosti Banke. A njegova učinkovitost ovisi o sudjelovanju menadžmenta Banke u osiguravanju informacijske sigurnosti.
Osim toga, većina fizičkih i tehničkih sredstava zaštite za učinkovito obavljanje svojih funkcija zahtijeva stalnu organizacijsku (administrativnu) potporu (pravovremenu promjenu i osiguranje ispravne pohrane i uporabe imena, lozinki, ključeva za šifriranje, redefiniranje ovlasti i dr.). ). Prekidi u radu zaštitnih alata napadači mogu iskoristiti za analizu korištenih metoda i sredstava zaštite, uvođenje posebnih programskih i hardverskih "bookmarka" i drugih načina nadvladavanja zaštite.
Osobna odgovornostpreuzima dodjelu odgovornosti za osiguranje sigurnosti informacija i sustava za njihovu obradu svakom zaposleniku u granicama svojih ovlasti. U skladu s ovim načelom raspodjela prava i obveza zaposlenika izgrađena je na način da se u slučaju bilo kakvog kršenja jasno zna ili minimizira krug počinitelja.
Alfa-Bank neprestano nadzire aktivnosti svakog korisnika, svaki sigurnosni alat iu odnosu na bilo koji objekt zaštita se treba provoditi na temelju upotrebe operativnih alata za kontrolu i registraciju i treba pokrivati i neovlaštene i ovlaštene radnje korisnika.
Banka je izradila sljedeće organizacijske i administrativne dokumente:
· Propisi o poslovnoj tajni. Ovom Uredbom uređuje se organizacija, postupak rada s podacima koji predstavljaju poslovnu tajnu Banke, dužnosti i odgovornosti zaposlenika koji su dopušteni tim podacima, postupak prijenosa materijala koji sadrže podatke koji predstavljaju poslovnu tajnu Banke u državnu (poslovnu) tajnu. institucije i organizacije;
· Popis podataka koji predstavljaju službenu i poslovnu tajnu. Popis definira informacije klasificirane kao povjerljive, razinu i vrijeme ograničenja pristupa zaštićenim informacijama;
· Naredbe i upute za uspostavljanje režima informacijske sigurnosti:
· dopuštanje zaposlenika na rad s ograničenim podacima;
· imenovanje administratora i osoba odgovornih za rad s ograničenim informacijama u korporativnom informacijskom sustavu;
· Upute i funkcionalne odgovornosti zaposlenici:
· o organizaciji režima sigurnosnog pristupa;
· o organizaciji uredskog rada;
· administracija informacijskih resursa korporativnog informacijskog sustava;
· drugi regulatorni dokumenti.
Zaključak
Danas je pitanje organiziranja informacijske sigurnosti zabrinjavajuće za organizacije bilo koje razine - od velikih korporacija do poduzetnika bez osnivanja pravne osobe. Konkurencija u suvremenim tržišnim odnosima daleko je od savršene i često se ne provodi na najzakonitije načine. Industrijska špijunaža cvjeta. Ali slučajevi nenamjernog širenja informacija koje se odnose na poslovnu tajnu organizacije nisu neuobičajeni. Tu u pravilu igra ulogu nemar zaposlenika, njihovo nerazumijevanje situacije, drugim riječima, "ljudski faktor".
Alfa-Bank osigurava zaštitu sljedećih podataka:
poslovna tajna
osobni podaci (klijenti, zaposlenici banke)
bankarska tajna
bankovne dokumente (izvješća Odjela sigurnosti, godišnji predračun banke, podatke o primanjima zaposlenika banke i dr.)
Podaci u banci zaštićeni su prijetnjama kao što su:
Prirodno
· Umjetne prijetnje (nenamjerne (nenamjerne, slučajne) prijetnje uzrokovane pogreškama u dizajnu informacijskog sustava i njegovih elemenata, pogreškama u postupanju osoblja itd.; namjerne (namjerne) prijetnje povezane sa sebičnim, ideološkim ili drugim težnjama ljudi ( uljezi).
Izvori prijetnji u odnosu na sam informacijski sustav mogu biti vanjski i unutarnji.
Bibliografija
1. Ukaz predsjednika Ruske Federacije "O mjerama za osiguranje informacijske sigurnosti Ruske Federacije pri korištenju informacijskih i telekomunikacijskih mreža međunarodne razmjene informacija" od 17. ožujka 2008. br. 351;
Galatenko, V.A. Osnove informacijske sigurnosti. Internetsko sveučilište informacijske tehnologije. INTUIT. ru, 2008.;
Galatenko, V.A. Standardi informacijske sigurnosti. Internetsko sveučilište informacijske tehnologije. INTUIT. ru, 2005.;
Lopatin, V.N. Informacijska sigurnost Rusije: čovjek, društvo, država. Serija: Sigurnost čovjeka i društva. M.: 2000. - 428 str.;
Šangin, V.F. Zaštita računalnih informacija. Učinkovite metode i sredstva. M.: DMK Press, 2008. - 544 str.
Shcherbakov, A.Yu. Suvremena računalna sigurnost. Teorijska osnova. Praktični aspekti. M.: Knizhny Mir, 2009. - 352 str.
Časopis Pravna vremena , izdanje od 21.10.2013
Upute za rad s povjerljivim dokumentima u Banci
Podučavanje
Trebate li pomoć u učenju teme?
Naši stručnjaci će vam savjetovati ili pružiti usluge podučavanja o temama koje vas zanimaju.
Pošaljite prijavu naznačite temu upravo sada kako biste saznali o mogućnosti dobivanja konzultacija.
