Az információbiztonság eszközei az üzleti életben. Az információbiztonság szerepe az üzletmenet folytonosságának biztosításában. A vállalkozás információbiztonsága: belső fenyegetés

A Gazdasági Biztonsági (Üzleti) Iroda szakmailag foglalkozik a vállalkozások információbiztonságának biztosításával.

A statisztikák szerint az összes üzleti probléma több mint fele az információbiztonsági „hiányosságokból” adódik. Információk kiszivárogtatása a versenytársak felé, adatvesztés, vállalati titkos információk rossz kezekbe kerülése – mindez nagy kockázatot jelent a vállalkozás számára.

Az első helyen a pénzügyi adatok védelme, a másodikon a szivárgások elleni védelem, a harmadikon pedig a DDoS támadások elleni védelem áll. És ha az első két pont már régóta az első háromban van, akkor a támadásokkal kapcsolatos probléma csak mostanában jelent meg. Az érdeklődés oka a kis- és középvállalatok elleni DDoS támadások megnövekedett száma.

Az üzleti információ védelmének fő módjai:

1. Behatolásvédelem

– a hálózati forgalom szabályozásához szükséges programok vagy berendezések telepítése. Az első veszély (behatolás) megjelenésekor a rendszer reagál és blokkolja a hozzáférést. Ezzel egyidejűleg a felelős alkalmazottat értesítik.

2. Szivárgás elleni védelem

– olyan intézkedések összessége, amelyek megakadályozzák, hogy bizalmas információk illetéktelen kezekbe kerüljenek. A szivárgás kétféleképpen történhet:

- rosszindulatú lopással (kémkedés, portyázók, bennfentesek);
- a személyzet felügyelete miatt (adathordozó elvesztése, jelszó levélben történő elküldése, vírusos oldal felkeresése, az adathozzáférési jogok átadásáért felelős személyek hiánya stb.).

Rosszindulatú lopás esetén a védekezés módjai a következők - a vállalkozáshoz való hozzáférés korlátozása, térfigyelő kamerák telepítése, adatmegsemmisítő eszközök telepítése a szervereken, információk titkosítása, adatok tárolása külföldi szervereken.

Ezenkívül a véletlen hibák elleni védelem érdekében fontos a rendszerezés - telefonbeszélgetések rögzítése, forgalom és alkalmazottak PC-n végzett munkájának figyelése, USB-kártyák titkosítása, RMS használata, DLP-rendszerek megvalósítása stb.

3. IP hálózatok védelme

Az IP-hálózatok, köztük az Internet gyors fejlődése nagyszámú, jól bevált és üzletileg bevált biztonsági eszköz és mechanizmus létrehozásához és fejlesztéséhez járult hozzá. Használatuk sokkal biztonságosabbá teszi az IP-hálózatokon keresztüli információcserét, mint a speciális kommunikációs vonalakon történő adatátvitelt.

Az IP-hálózatok biztonsága valóság.

4. Fájlvédelem

magában foglalja a vállalaton belüli számítógépeken és szervereken tárolt összes legfontosabb információ biztonságát. Ennek végrehajtása a következőképpen történik:

- fájlrendszerek (adatok) titkosítása– EFS, Qnap, CryptoPro rendszerek és így tovább;

- laptopok (netbookok) titkosítása, adathordozók, mobil eszközök - szoftvermegoldások (Kasperskiy, SecretDisk, Endpoint Encryption) vagy titkosítási modulok a Sony, Asus és más cégektől;

— információk védelme a rendszergazdától például a TrueCrypt használatával;

– mobil regisztráció a felügyeleti rendszerek nyomkövetőin(Kaspersky vagy Prey használatával);

– a különféle elektronikus aktákhoz való hozzáférés tilalma (korlátozása).(az egyik legjobb lehetőség az Active Directory Rights Management Services).

- egyszeri hitelesítés. Két séma használható - tartományi jogosultságon (a berendezés tartománystruktúrához van kötve), E-token elektronikus kulcs használatával, vagy SMS értesítéssel.

5. Az 1C optimalizálása és védelme

- ha az 1C alappal dolgozik- lemezek titkosítása, hozzáférési jogok korlátozása, adatcsere folyamatokat és fájlokat védő rendszer telepítése;

- ha az 1C DBMS-rendszerrel dolgozik- a felhasználók rendszergazdai jogainak korlátozása, titkosítási rendszerek használata, a szerverekhez való távoli vagy fizikai hozzáférés korlátozására irányuló intézkedések végrehajtása stb.;

— a bizalmas adatok védelme X.

A fent felsorolt ​​intézkedéseken kívül az információbiztonsági módszerek a következők:

— a vállalati kommunikáció védelme;
- információk gyors eltávolítása a szerverről;
- a dolgozók munkájának figyelemmel kísérése;
— minden üzleti folyamat hibatűrésének és stabilitásának biztosítása.

2019

KKV-k kiberbiztonsági prioritásai

Az SMB szegmens vállalatait a felhők, a szolgáltatásfogyasztás MSSP (Managed Security Service Provider) modellje szerinti szolgáltatási modellje vonzzák. Ezzel jelentősen csökkenthetik működési költségeiket az információbiztonság területén.

Mostanra egyes szállítók felhőalapú információbiztonsági szolgáltatásokat kínálnak ügyfeleiknek előfizetéses modellen. Véleményem szerint a közép- és kisvállalkozások pont egy ilyen információbiztonsági szolgáltatási modellt fognak alkalmazni – jegyzi meg Dmitrij Livszits, a Digital Design vezérigazgatója.

Az IS-felhasználás szolgáltatási modellje egyre nagyobb keresletet jelent a kis- és középvállalkozások körében, mivel ezek a cégek nem engedhetik meg maguknak a biztonsági szakemberek nagy létszámát.


Vlagyimir Balanin, az I-Teco Csoport Információbiztonsági Főosztályának vezetője szerint az SMB szegmens válik az integrált információbiztonsági szolgáltatásokkal azonnali szolgáltatást nyújtó szolgáltatók szolgáltatásainak fő fogyasztójává: nincs adminisztrációs, monitorozási költség. saját infrastruktúrájuk karbantartása és karbantartása, valamint a kockázatok szabályozási követelményei a szolgáltatót terhelik.

Ugyanakkor az orosz piacot manapság a kis- és középvállalkozások információbiztonságának igen korlátozott kínálata jellemzi. Amint Andrey Yankin, a Jet Infosystems Információbiztonsági Központjának igazgatója megjegyzi, szinte minden szolgáltatás a nagy ügyfeleket célozza meg. A kis- és középvállalkozások számára jellemző és olcsó, de nem primitív információbiztonsági szolgáltatások szerinte gyakorlatilag nem léteznek, bár számos más országban ez a piac jól fejlett.

Ugyanakkor a menedzselt információbiztonsági szolgáltatások szegmensének fejlődésével és a kiberkockázati biztosítási piac fejlődésének kilátásba helyezésével az ügyfelek ezen kategóriája a modern veszélyeknek megfelelő intézkedésekkel is rendelkezésükre áll.

Eközben a kis- és középvállalkozások alapvető informatikai biztonságot valósítanak meg, ritkán emelkedve az üzleti folyamatok szintjére.


Dmitrij Pudov, az Angara Technologies Group technológiai és fejlesztési vezérigazgató-helyettese szerint a kkv-k képviselői költségvetésükkel szinte nem férnek hozzá a csúcstechnológiás vagy komplex megoldásokhoz. Ez nem kizárólag a megoldások költségeinek köszönhető, hanem az általuk szállított OPEX-nek.

Az SMB szegmensben az ügyfelek által vásárolt fő megoldások a vírusirtó és a szoftveres tűzfalak – mondja Yakov Grodzensky, a System Software információbiztonsági vezetője. Emellett az ebbe a szegmensbe tartozó cégek aktívan érdeklődnek az információbiztonsági auditálás és a pentesztelés iránt, mert az ilyen szervezetek nem mindig tartanak állományban külön információbiztonsági szakembert, nem is beszélve a pentesztelőkről.

Vjacseszlav Medvegyev, a Doctor Web vezető elemzője hozzáteszi, hogy a középvállalkozások körében végzett felmérések azt mutatják, hogy az ilyen cégeknek nincs pénzük az alapvető biztonsági megoldásokon kívül.

A nagyvállalatok kiberbiztonsági prioritásai

A részvényesek, a tulajdonosok és a felső vezetés számára mindig fontos, hogy objektív képük legyen a szervezeten belüli információbiztonságról és technológiai folyamatokról, így a vállalatok információbiztonsági érettségének általános szintje évről évre nő. Egyes nagy szervezetekben azonban még mindig hiányzik az információs rendszerek működését biztosító üzleti folyamatok elemi rendje, ami káoszhoz vezethet az információbiztonságban. Ezért a nagyvállalatok számára ezeknek a problémáknak a megoldása a fő prioritás – mondja Nyikolaj Zabusov, a Step Logic információs és hálózatbiztonsági osztályának igazgatója.

Emellett a nagyvállalatok a szabályozók és a belső szabványok követelményeinek való megfelelésre koncentrálnak, és igyekeznek többé-kevésbé egyenletesen védett infrastruktúrát kialakítani. Az információbiztonság területén iparági szabványokat dolgoztak ki és „bevezettek” számos vállalatnál.

A nagy kereskedelmi vállalatok alapvetően választás előtt álltak: követik a digitális átalakulás útját, vagy az üzleti paradigma megváltoztatása nélkül dolgoznak. De a második esetben előbb-utóbb kénytelenek lesznek feladni piaci pozícióikat a nagyobb rugalmasságot tanúsító versenytársaknak.

A vállalati szegmens prioritásai között egyrészt a klasszikus információbiztonsági megoldások alkalmazásának hatékonyságának növelését, másrészt az új típusú fenyegetésekkel szembeni védelem bevezetését tudom kiemelni a megvalósítás részeként. digitalizációs projektek. Ez utóbbi nagyon fontos, mivel a biztonsági korlátozások gyakran az egyik fő oka a digitális átalakulás lassú előrehaladásának – jegyzi meg Oleg Shaburov, a Softline információbiztonsági osztályának vezetője.

A gyakorlati biztonság szempontjából a vektor egyre inkább eltolódik a támadások megelőzése helyett az észlelés és az azokra való reagálás felé, mondja Andrey Zaikin, a Croc információbiztonsági vezetője. Ez oda vezet, hogy a viszonylag fiatal megoldásosztályok egyre népszerűbbek és keresletesebbek: EDR, IRP. Az automatizált válaszrendszerek különböző szkriptekkel és forgatókönyvekkel rendelkeznek, és lehetővé teszik a fenyegetések terjesztésére irányuló kísérletek blokkolását.

kiberbiztonsági szolgáltatások

Az olyan kis- és középvállalkozások, amelyek megértik az információbiztonság kritikus fontosságát vállalkozásuk számára, a szolgáltatási modellek használatának útját követik.

Mielőtt arról beszélnék, milyen információbiztonsági kockázatok várhatnak Önre a munkahelyén, szeretnék bemutatkozni: a nevem Kamila Iosipova. Az ICL Services informatikai cégnél vezető információbiztonsági vezető vagyok, 5 éve dolgozom ebben a szervezetben. Emellett CISA Certified Information Systems Auditor vagyok (az ISACA tanúsítvány a Certified Information Systems Auditor rövidítése).

2018-ban 5%-kal nőtt a cégeknél történt adatszivárgások száma. Az emberi tényező az információbiztonsági incidensek egyik fő oka. Gondatlanság, figyelmetlenség, indíték, szándékosság – ezek az okok, amelyek miatt cége alkalmazottai akarva-akaratlanul is a mélypontra tudják juttatni az üzletet. A továbbiakban elmondom, hogyan védheti meg magát és ügyfeleit, mit kell tennie az adatokkal való munkavégzés kultúrájának kialakítása érdekében az alkalmazottak körében, és milyen módszereket kell alkalmazni ebben az esetben.

Terv az információbiztonság területén végzett munka megalapozására

Ha globálisan nézzük, akkor látható, hogy az információbiztonság területén egy bizonyos minta nyomon követhető: az információbiztonságra való odafigyelés nagymértékben függ a vállalat tevékenységétől. Például a kormányzatban vagy a bankszektorban szigorúbbak a követelmények, ezért nagyobb figyelmet fordítanak a munkavállalók képzésére, ami azt jelenti, hogy fejlettebb az adatokkal való munkavégzés kultúrája. Ma azonban mindenkinek oda kell figyelnie erre a problémára.

Íme tehát néhány gyakorlati lépés, amelyek segítik az információbiztonság területén végzett munkáját:

1 lépés. Olyan általános információbiztonsági politikát dolgozzon ki és valósítson meg, amely tartalmazza a vállalati munka alapelveit, céljait és célkitűzéseit az információbiztonság menedzsment területén.

2 lépés. Adja meg az osztályozási szabályzatot és az adatvédelmi szinteket.

Ugyanakkor nemcsak egy dokumentumot kell írni, amelyhez a munkavállaló a nap 24 órájában hozzáférhet, hanem különféle képzési eseményeket is kell tartani, és beszélni kell a változásokról. Tartsa be a szabályt: az előre figyelmeztetett az előfegyverzett. Hagyja, hogy a cég folyamatosan ebben az irányban dolgozzon.

3 lépés. Proaktív megközelítés kialakítása.

Ez olyan, mint a megelőzés az orvostudományban. Egyetértek, sokkal olcsóbb és könnyebb megelőző vizsgálatot végezni, mint egy előrehaladott betegséget kezelni. Cégünknél például a proaktív megközelítés így működik: a kereskedelmi projektekben való információkezeléshez kidolgoztunk egy projektekben egy IS-kezelési szabványt, amely tartalmazza a szükséges minimális IS követelményeket az IS folyamatok bizonyos szintű érettségének biztosításához. kereskedelmi projekt. Leírja, hogy mit kell tenni a biztonságkezelési folyamat bizonyos szintű érettségének fenntartásához. Ezt a szabványt bevezettük a projektekbe, és mostanra minden évben belső auditot végzünk: ellenőrizzük, hogy a projektek megfelelnek-e ezeknek a követelményeknek, azonosítjuk azokat az információbiztonsági kockázatokat és a legjobb gyakorlatokat, amelyek a többi projektmenedzsernek is segítségére lehetnek.

Az auditokon kívül jól működik a Tudásmegosztás. Ha valamelyik projektben "mennydörgés" támadt, jó, ha a többiek is tudnak róla, és van idejük megtenni a szükséges intézkedéseket.

4 lépés. A szabályokat magyarázó összes dokumentum legyen strukturált, világos és tömör.

A gyakorlat azt mutatja, hogy senki sem olvas hosszú, többoldalas szövegeket. A dokumentumot közérthető nyelven kell megírni. Ezenkívül összhangban kell lennie az üzleti célkitűzésekkel, és a felső vezetésnek jóvá kell hagynia – ez erősebb érv lesz az alkalmazottak számára, hogy miért kell ezeket a szabályokat betartani.

5 lépés. Tartson tréningeket, beszélgetéseket, üzleti játékokat és hasonlókat.

Nagyon gyakran az emberek nem értik, hogy bizonyos szabályok hogyan kapcsolódnak az adott munkájukhoz, ezért példákat kell hozni, elmagyarázni, megmutatni, hogyan tudják alkalmazni. Itt fontos bemutatni, hogy az üzlet elvesztéséig milyen következményekkel jár, és milyen konkrét következmények várnak a munkavállalóra, egészen a büntetőjogi felelősségig.

A fentiek megvalósításához egy vállalaton belül anyagi és emberi erőforrásokra van szükség. Ezért mostanra sok vállalatnál megjelent az információbiztonsági igazgató (CISO) pozíciója. Ennek a pozíciónak köszönhetően közvetíteni lehet a cégvezetők számára a döntések elősegítésének fontosságát, a források elosztását stb. A CISO minden szinten képes előmozdítani az információbiztonságot a vállalaton belül.

Az általa vállalt feladatok széleskörűek: kommunikáció a felső vezetéssel, egyes döntések indoklása, kommunikáció a folyamattulajdonosokkal a biztonság megvalósítása érdekében minden területen. A kiberfenyegetések szempontjából ő a kapcsolattartási pont, miközben ő irányít, meghatározza a kiberfenyegetésekre reagáló stratégiákat, és koordinálja a támadásokra reagáló munkát.

Munkavállalói képzés: nehéz, hosszú, de szükséges

Mielőtt azonban bizonyos szabályokat tanítana az embereknek, meg kell értenie egy dolgot: nem lehet az emberi tényezőn elidőzni, más is lehet mögötte - erőforrások, tudás vagy technológia hiánya. Itt a leghatékonyabb módszer a valódi okok elemzése, a kiváltó ok elérése.

Amikor emberekkel dolgozik, ki kell választani a kulcsot szó szerint mindenkinek. Minden ember más, ezért más és más az alkalmazandó módszerek is. Az egyik alkalmazottal készült interjúban a szakember azt mondta: csak akkor fogok tenni valamit, ha tudom, hogy a követelmény nem teljesítése miatt kapok. És fordítva, egyesek számára csak pozitív motiváció hat, mint például a munka minőségének jó értékelése, a képzések sikeres elvégzésére való ösztönzés.

Az a vélemény, hogy az információbiztonsági szakemberek gyakran fékeznek az innovációban, különösen akkor, ha korlátozzák az új technológiák és üzleti modellek alkalmazását. Ez valóban így is lehet, azonban fontos észben tartani a következőket: „A biztonság olyan, mint a fékek az autón. Feladatuk, hogy lelassítsák. De az a céljuk, hogy gyorsan haladj. Dr. Gary Hinson” („A biztonság olyan, mint a fékek az autón. A funkciójuk az, hogy lelassítsák. De a céljuk az, hogy lehetővé tegyék a gyors haladást”). Fontos megérteni, hogy e szabályok nélkül lehetetlen továbblépni, mert egy bizonyos ponton egyszerűen nem lesz képes fejleszteni vállalkozását, ha nem védi meg magát a kiberfenyegetésektől és nem kezeli az információbiztonsági kockázatokat. Cégünk az egyensúly megteremtése érdekében az ISO 27001 szabvány alapját képező kockázatalapú megközelítést alkalmazza, amely lehetővé teszi számunkra, hogy megválasszuk a ránk vonatkozó követelményeket és a védekezéshez szükséges biztonsági intézkedéseket. a számunkra releváns fenyegetésektől. Ennek a megközelítésnek a segítségével pénzügyi szempontból is választhatunk: mennyire célszerű bizonyos intézkedéseket alkalmazni. Például minden tárgyalóba elhelyezhetünk biometrikus szkennert, de mennyire van rá szükségünk, milyen értéket hoz, milyen kockázatokat csökkent? A válasz nem mindig egyértelmű.

Mi, az ICL Services-nél tisztában vagyunk azzal, hogy fontos számunkra azoknak az információknak a bizalmas kezelése, amelyekkel dolgozunk, ehhez titkosítjuk a laptopokat, mert a laptop elvesztése esetén sem kerül behatolók kezébe az információ. Ez kritikus, és készek vagyunk erre pénzt költeni.

Meggyőződésem, hogy csak így lehet egyensúlyt teremteni a biztonság és az üzleti érték között: válasszon, legyen tisztában az innovációkkal és mindig mérje fel a kockázatokat (mennyiben hasonlítható össze egy kockázat megvalósításának költsége egyik vagy másik biztonsági megoldás megvásárlásának költségével). ).

Az integrált megközelítés az információbiztonság ideális receptje

Véleményem szerint a biztonsággal való munka integrált megközelítése a leghatékonyabb, mert az információbiztonság az emberi tudatosság, magatartás és az üzleti folyamatok megfelelő megszervezése a biztonsági követelmények figyelembevételével. Az incidensek leggyakrabban az alkalmazottak miatt történnek: az emberek hibáznak, elfáradnak, megnyomhatják a rossz gombot, így itt a siker fele a technikai korlátok, a véletlenszerű véletlen eseményekből, a másik fele az egyes dolgozók biztonsági kultúrája.

Ezért fontos a megelőző beszélgetések, tréningek lebonyolítása. A mai világban a kiberfenyegetések az emberek számára készültek: ha adathalász e-mailt kap, az mindaddig ártalmatlan, amíg el nem éri a hivatkozást, és rá nem kattint. Cégünknél hangsúlyt kap a munkatársak tudatossága, az emberekkel való munka, a tudatosság. Nos, a harmadik pont szervezési, az embereknek ismerniük kell a szabályokat, le kell írni a szabályokat, kell egy bizonyos szabályzat, amit mindenkinek be kell tartania.

Ne feledje: a kiberfenyegetések nagyon gyakoriak a világon, ugyanakkor a támadások következményei nagyon súlyosak - akár teljes üzletvesztésig, csődig. A kérdés természetesen napirenden van. A biztonság korunkban egyszerűen köteles a vállalati kultúra részét képezni, és ebben a kérdésben a felső vezetés az első érdekelt fél, hiszen ő irányítja az üzletet, és a kockázatok realizálódása esetén elsősorban ők lesznek számonkérve.

Íme néhány tipp, amelyek segítségével munkatársai elkerülhetik a kiberbiztonsági incidenseket:

  1. Nem követheti az ellenőrizetlen linkeket;
  2. Ne terjesszen bizalmas információkat;
  3. Nem írhatja fel a jelszót egy papírra, és nem ragaszthat fel matricát;
  4. Ne használjon olyan USB adathordozót, amelyben nem biztos (a támadó olyan helyen hagyhatja a fertőzött fizikai eszközt, ahol az áldozat biztosan megtalálja azt);
  5. Az oldalakon történő regisztrációkor a telefonszám és a postacím megadásával alaposan nézze meg, hogy mire van szükség ezekre az információkra, esetleg így feliratkozik egy fizetős hírlevélre.

Remélem, hogy idővel a biztonság minden vállalatnál a vállalati kultúra kulcselemévé válik.

Tökéletesen elsajátíthatja a karon az információbiztonsági területen való munkavégzéshez szükséges ismereteket.

Az üzleti élet információbiztonságának biztosítása Andrianov V.V.

1.3. Üzleti információbiztonsági modell

1.3.1. Motiváció

Az információbiztonság (IS) szabályozásának közelmúltbeli orosz és világi gyakorlata a nemzeti felhatalmazott szervek kötelező követelményeiből állt, amelyeket RD iránymutatások formájában fogalmaztak meg. Ezért a szervezetek felső vezetése és tulajdonosai számára csak egy probléma volt a betartásukkal (megfelelés), és ennek egyetlen módja volt a megoldásnak - hogyan lehet minimális költséggel teljesíteni a javasolt követelményeket. A felhatalmazott szerveknek megvolt a maguk problémája - mind az összes lehetséges tevékenységtípus lefedésének, mind a megvalósítás feltételeinek lehetetlensége, valamint a tevékenységi célok jelentős eltérései miatt, hogy egyetemes követelményrendszert kínáljanak. Ennek érdekében az információbiztonság problémáját önálló, tevékenységekre, célokra, feltételekre invariáns entitásként tekintették, és az univerzalitás érdekében tartalmilag is jelentősen lecsökkentették.

Mindkét megközelítés (szervezeti és szabályozói) nem megfelelő a fennálló valósághoz, és azt jelentősen torz formában mutatja be. Így az IS-tevékenységekre vonatkozó fő tartalmi korlátozások a hagyományos IS-modellhez kapcsolódnak, amely magában foglalja a támadó kötelező jelenlétét, aki meg akarja károsítani az eszközöket (információkat), és ennek megfelelően az információ védelmére összpontosít egy ilyen alany cselekedeteitől. (tantárgycsoport). Ugyanakkor az olyan incidensek, amelyek például az alkalmazásszoftverek rendszeres változásaihoz kapcsolódnak, nem tulajdoníthatók támadónak. Lehetséges okuk a rosszul fejlett menedzsment és a gyenge technológiai bázis. A szervezet (menedzsment, alapvető üzleti folyamatok) saját maga alkalmatlansága az uralkodó viszonyokhoz általában igen erőteljes problémaforrás, amelyet figyelmen kívül hagynak, mivel nem lehet támadóhoz kötni.

Az IS-modellek továbbfejlődése a tulajdonosi (tulajdonos) szerep erősödésével járt, és abból a tényből fakadt, hogy ő maga választotta (saját kárára és kockázatára) a számára felkínált standard védelmi intézkedések közül azokat, szüksége volt, vagyis olyanokra, amelyek véleménye szerint elfogadható szintű biztonságot tudnak nyújtani. Ez jelentős előrelépés volt, hiszen biztosította, hogy az információbiztonság meghatározott objektumhoz kapcsolódjon, amelynek létezésének meghatározott feltételei vannak, részben feloldva az információbiztonsági probléma önellátásával kapcsolatos ellentmondásokat. Konstruktív mechanizmust azonban nem lehetett felkínálni a tulajdonos számára, kivéve a kiválasztott tipikus védelmi intézkedésekkel (védelmi profilokkal) rendelkező objektumok katalógusának elkészítését. Maguk a profilok szakértői heurisztikus módszerrel készültek. Az ugyanakkor, hogy a tulajdonos milyen kockázatot vállalt, ismeretlen maradt, és a gyakorlatban határozták meg.

Tovább fejlődött az a tézis, hogy az információbiztonság károkat okozhat (termelhet) a tevékenység céljaira, ezért az információbiztonság kockázatait (amelyek továbbra is önellátóak) össze kell hangolni (kapcsolni) a szervezet kockázataival. Már csak az volt hátra, hogy megmutassuk, hogyan lehet ezeket összekapcsolni, és az információbiztonsági irányítási rendszert (ISMS) nem elszigetelt és független folyamatrendszerként, hanem a menedzsment szerves, egymással szorosan összefüggő összetevőjeként integrálni a vállalati menedzsmentbe. Ez nem sikerült. Ez a megközelítés azonban számos IS értékelési kategóriát jól előre vitt, beleértve az IS kockázatokat is.

Ismertek pragmatikus IS modellek is, amelyek a teljes birtoklási költség (az IS-hez viszonyítva) és az IS-be történő befektetések „megtérülése” értékelésén alapulnak. E megközelítés keretében a szervezetek céljait és tevékenységi feltételeit tekintve hasonló szervezetek csoportja időszakosan értékeli az IS megvalósítási területeit, és modellt alkot a csoport számára a legjobb gyakorlatokból. Továbbá mindegyik szervezet a legjobb gyakorlatoktól való lemaradása és feltételei (megtörtént incidensek) szerint határozza meg a beruházások irányát és volumenét. A beruházások eredményességét a következő időszakban úgy értékelik, hogy csökkentik az olyan eseményekből származó károkat, amelyek a végrehajtott beruházások területére kerültek, és ezért nem okoztak nagy károkat.

Ez a megközelítés azonban – számos érdemével együtt – az érzékeny információk széleskörű cseréjét igényli, a cserében résztvevők összeférhetetlensége pedig kizárja a minőségi bizalomépítő intézkedések megalkotását, ezért nem terjedt el széles körben.

Az Orosz Föderáció Központi Bankjának szabványában javasolt IS-modell tovább vitte a problémát mind integrációja (a tevékenység céljaihoz kapcsolódva), mind a „behatoló” lényegének értelmezésének kiterjesztése szempontjából. . A támadó az a személy, aki szembe tud szállni a tulajdonossal, és megvan a saját célja, amit megvalósít, irányítást szerezve a szervezet eszközei felett.

Ez a megközelítés jelentősen kibővíti az IS mérlegelési körébe tartozó szervezeti kártípusokat és -forrásokat, ahol azok megoldása a legracionálisabb. Ez azonban nagyrészt kompromisszumos megközelítés volt, és sürgősen szükségessé teszi az információbiztonsági problémák további közelítését a tevékenység végeredményéhez (előállított termékhez). Olyan modellre van szükségünk, amely valóban segíti a vállalkozást, közvetlenül hozzájárul annak teljesítményéhez és a szükséges fejlesztésekhez egy biztonságos és megbízható információs szféra kialakításával és fenntartásával, beleértve a behatolók elleni küzdelmet is. Csak egy ilyen modellt érzékelhet az üzlet. Minden mást elutasítanak.

Ez a szöveg egy bevezető darab. Az Elektronikus banki technológiák alkalmazása: kockázatalapú megközelítés című könyvből szerző Lyamin L. V.

5.4. Információbiztonsági adaptáció

szerző Andrianov V.V.

1. Üzleti információbiztonsági filozófia

A Business Information Security című könyvből szerző Andrianov V.V.

1.1.4. Az információbiztonság meghatározása Annak fokozatos felismerése, hogy az üzleti folyamatra (annak irányítására) gyakorolt ​​információs hatás hatékonyabb lehet, mint az anyagi vagy pénzügyi hatás, valamint az ilyen hatások alacsony erőforrás-küszöbe

A Business Information Security című könyvből szerző Andrianov V.V.

2. Az üzleti információ biztonságának biztosítására alkalmazható meglévő irányítási (menedzsment) modellek Ha egy szervezet korlátlan erőforrással rendelkezik, akkor nincs irányítási probléma a vállalkozása információbiztonságának biztosításában. Ha

A Business Information Security című könyvből szerző Andrianov V.V.

3. Az üzleti információbiztonság felmérése. Az üzleti információbiztonság mérésének és értékelésének problémája 3.1. Az információbiztonság értékelésének módjai Olyan szervezetek, amelyek tevékenysége nagymértékben függ az információs szférától az üzleti célok elérése érdekében

A Business Information Security című könyvből szerző Andrianov V.V.

3.1. Az információbiztonság értékelésének módszerei Azoknak a szervezeteknek, amelyek tevékenysége nagymértékben az információs szférától függ, az üzleti célok elérése érdekében az információbiztonsági rendszert (IS Maintenance System) kellő színvonalon kell fenntartaniuk. Az ISIS egy halmaz

A Business Information Security című könyvből szerző Andrianov V.V.

3.2. Információbiztonsági értékelési folyamat 3.2.1. Az értékelési folyamat főbb elemei Az IS értékelési folyamat az értékelés alábbi elemeit tartalmazza: - az értékelés kontextusa, amely meghatározza a bemeneti adatokat: az IS értékelés céljai és célja, az értékelés típusa (független értékelés,

A Business Information Security című könyvből szerző Andrianov V.V.

3.2.2. A szervezet információbiztonsági felmérésének kontextusa Az IS felmérés kontextusa magában foglalja az IS felmérés céljait és célját, az értékelés típusát, az IS felmérés tárgyát és területeit, az értékelési korlátokat, szerepeket és erőforrásokat. az értékelési folyamat végrehajtásába a szervező,

A Business Information Security című könyvből szerző Andrianov V.V.

Bevezetés

A vállalatvezetőknek fel kell ismerniük az információbiztonság fontosságát, meg kell tanulniuk előre jelezni és kezelni a trendeket ezen a területen.

A mai üzlet nem létezhet információs technológia nélkül. Ismeretes, hogy a világ nemzeti össztermékének mintegy 70%-a így vagy úgy függ az információs rendszerekben tárolt információktól. A számítógépek széles körű elterjedése nemcsak közismert kényelmeket, hanem problémákat is teremtett, amelyek közül a legsúlyosabb az információbiztonság problémája.

A szabvány a számítógépek és számítógépes hálózatok vezérlése mellett nagy figyelmet fordít a biztonsági politikák kialakítására, a személyzettel való munkavégzésre (felvétel, betanítás, elbocsátás), a gyártási folyamat folytonosságának biztosítására, valamint a jogszabályi előírásokra.

Kétségtelen, hogy ez a kurzusmunka témája nagyon aktuális a modern körülmények között.

A tantárgyi munka tárgya: a szervezet szakmai tevékenységének információbiztonsága.

Tanulmányi tárgy: információbiztonság biztosítása.

A tanfolyami munkában az információbiztonság megszervezésére vonatkozó projektmenedzseri döntés megalkotását tervezik valós szervezés alapján.

1. fejezet A szakmai tevékenység információbiztonsága

Az információbiztonság biztosítása viszonylag új szakmai tevékenységi terület a szakemberek számára. Az ilyen tevékenységek fő céljai a következők:

A külső és belső fenyegetésekkel szembeni védelem biztosítása az információs források kialakítása, elosztása és felhasználása terén;

A polgárok és szervezetek információk bizalmas kezeléséhez és titkosságához fűződő jogai megsértésének megelőzése;

Olyan feltételek biztosítása, amelyek törvényi okok hiányában megakadályozzák az információk szándékos elferdítését vagy eltitkolását.

Az ezen a területen dolgozó szakemberek ügyfelei:

Az Orosz Föderáció szövetségi államhatalmi és igazgatási szervei;

az Orosz Föderációt alkotó jogalanyok állami hatóságai;

Állami intézmények, szervezetek és vállalkozások;

Védelmi ipar;

Helyi önkormányzati szervek;

Nem állami formájú intézmények, szervezetek és vállalkozások
ingatlan.

Az MTS mobilkommunikációs cég ügyféladatbázisának ingyenes, bár illegális értékesítésében való megjelenése újra és újra rákényszerít bennünket, hogy a számítógépes biztonság problémája felé forduljunk. Úgy tűnik, ez a téma kimeríthetetlen. Relevanciája minél nagyobb, minél magasabb a kereskedelmi cégek és non-profit szervezetek számítógépesítettsége. A csúcstechnológiák, amelyek forradalmi szerepet játszanak az üzleti élet fejlődésében és a modern társadalom szinte minden más aspektusában, nagyon sebezhetővé teszik felhasználóikat az információs és végső soron a gazdasági biztonság szempontjából.

Ez nemcsak Oroszországban, hanem a világ legtöbb országában, elsősorban nyugati országban probléma, bár vannak olyan törvények, amelyek korlátozzák a személyes adatokhoz való hozzáférést, és szigorú követelményeket támasztanak azok tárolására. A piacok különféle rendszereket kínálnak a számítógépes hálózatok védelmére. De hogyan védheti meg magát a saját "ötödik oszlopától" - a gátlástalan, hűtlen vagy egyszerűen hanyag alkalmazottaktól, akik hozzáférnek a minősített információkhoz? Az MTS ügyféladatbázisának botrányos kiszivárogtatása a jelek szerint nem történhetett volna meg a cég alkalmazottainak összejátszása vagy bűnös hanyagsága nélkül.

Úgy tűnik, sok, ha nem a legtöbb vállalkozó egyszerűen nem veszi észre a probléma súlyát. Még a fejlett piacgazdaságú országokban is egyes tanulmányok szerint a cégek 80%-a nem rendelkezik átgondolt, megtervezett tárolóvédelmi rendszerrel, működő adatbázisokkal. Mit is mondhatnánk magunkról, akik megszoktuk, hogy a híres „talán” támaszkodjunk.

Ezért nem haszontalan a bizalmas információk kiszivárogtatása által jelentett veszélyek témája felé fordulni, az ilyen kockázatok csökkentését szolgáló intézkedésekről beszélni. A Legal Times-ban (2002. október 21-én) megjelent kiadvány (Mark M. Martin, Evan Wagner, „Information Vulnerability and Security”) segít ebben. A szerzők felsorolják az információs fenyegetések legjellemzőbb típusait és módszereit. Pontosan mit?

Az üzleti titkok titkosságának megszüntetése és eltulajdonítása. Itt többé-kevésbé világos minden. Klasszikus, ókori történelem, gazdasági kémkedés. Míg korábban titkos helyeken, hatalmas széfekben, megbízható fizikai és (később) elektronikus védelem alatt őrizték a titkokat, addig ma már sok dolgozó fér hozzá az irodai adatbázisokhoz, amelyek gyakran nagyon érzékeny információkat tartalmaznak, például ugyanazokat az ügyfelek adatait.

Kompromittáló anyagok forgalmazása. A szerzők itt arra gondolnak, hogy az alkalmazottak szándékosan vagy véletlenül olyan információkat használnak fel elektronikus levelezésben, amelyek árnyékot vetnek a vállalat hírnevére. Például a cég neve tükröződik a tudósító tartományában, aki megengedi a leveleiben a rágalmazást, sértegetést, egyszóval mindent, ami kompromittálhatja a szervezetet.

A szellemi tulajdon megsértése. Nem szabad megfeledkezni arról, hogy a szervezetben előállított bármely szellemi termék a szervezethez tartozik, és azt a munkavállalók (ideértve a szellemi értékek generálóit és szerzőit is) csak a szervezet érdekeiből használhatják. Mindeközben Oroszországban gyakran adódnak konfliktusok ebben a kérdésben a szervezetek és az alkalmazottak között, akik igényt tartanak az általuk létrehozott szellemi termékre, és azt személyes érdekeik érdekében, a szervezet rovására használják. Ez gyakran a vállalkozás homályos jogi helyzete miatt következik be, amikor a munkaszerződés nem tartalmaz egyértelműen meghatározott normákat és szabályokat, amelyek körvonalazzák a munkavállalók jogait és kötelezettségeit.

Nem titkos, de a versenytársak számára hasznos bennfentes információ (gyakran nem szándékos) terjesztése. Például az üzletbővítés miatti új álláshelyekről, az üzleti utakról, tárgyalásokról.

A versenytársak webhelyeinek látogatása. Manapság egyre több cég használ olyan (főleg CRM-re tervezett) programokat a nyílt oldalain, amelyek lehetővé teszik a látogatók felismerését és az útvonalak részletes nyomon követését, rögzítik az oldalak általuk történő megtekintés idejét és időtartamát. Nyilvánvaló, hogy ha egy versenytárs weboldalán tett látogatását részletesen ismeri annak üzemeltetője, akkor az utóbbinak nem nehéz arra következtetni, hogy pontosan mi érdekli Önt. Ez nem arra szólít fel, hogy elhagyjuk a versenyinformáció legfontosabb csatornáját. A versenytársak webhelyei az elemzések és előrejelzések értékes forrásai voltak és maradnak is. A webhelyek látogatásakor azonban emlékeznie kell arra, hogy nyomokat hagy maga után, és Önt is figyelik.

Az irodai kommunikáció személyes célú visszaélése (zene és egyéb, munkához nem kapcsolódó tartalmak hallgatása, nézése, irodai számítógép letöltése) nem jelent közvetlen veszélyt az információbiztonságra, de további feszültséget okoz a vállalati hálózaton, csökkenti a hatékonyságot, zavarja. a kollégák munkájával.

És végül a külső fenyegetések - illetéktelen behatolás stb. Ez egy külön komoly beszélgetés témája.

Hogyan védekezhet a belső fenyegetésekkel szemben? Egyszerűen nincs 100%-os garancia a saját alkalmazottai által okozott károkra. Ez egy emberi tényező, amelyet nem lehet teljesen és feltétel nélkül ellenőrizni. A fent említett szerzők ugyanakkor hasznos tanácsokat adnak - egy világosan megfogalmazott kommunikációs (vagy információs) politika kialakításához és megvalósításához a vállalaton belül. Egy ilyen politikának világos határvonalat kell húznia aközött, hogy mi megengedett és mi nem megengedett az irodai kommunikáció használatában. A határátlépés büntetéshez vezet. Létre kell hozni egy rendszert annak ellenőrzésére, hogy ki és hogyan használja a számítógépes hálózatokat. A társaság által elfogadott szabályoknak meg kell felelniük az állam- és üzleti titok, a személyes és magánjellegű adatok védelmére vonatkozó nemzeti és nemzetközileg elismert szabványoknak.


2. fejezet Az információbiztonság biztosítása

szakmai tevékenység a "Laspi" LLC-ben

2.1. A Laspi LLC rövid leírása

A Laspi LLC-t 1995-ben alapították egy cseh cég oroszországi képviseleteként. A cég cseh berendezések és fogyóeszközök szállításával foglalkozik különféle betontermékek gyártásához (kezdve a járdalapokkal és a kerítésekkel, virágcserepekkel stb.). A berendezés kiváló minőségű és elfogadható áron. A Samara irodába jelentkező ügyfelek Oroszország és a FÁK különböző városaiból (Kazan, Ufa, Izhevsk, Moszkva, Nyizsnyij Novgorod stb.) Természetesen egy ilyen nagyszabású tevékenységhez sajátos hozzáállás szükséges az információbiztonsághoz a vállalaton belül.

Ma az információbiztonság sok kívánnivalót hagy maga után. A különféle (műszaki, gazdasági) dokumentációk nyilvánosak, amelyek lehetővé teszik, hogy a cég szinte minden dolgozója (az alapítótól a sofőrig) akadálytalanul megismerkedjen vele.

A különösen fontos dokumentumokat széfben tárolják. Csak az igazgatónak és a titkárnőjének van kulcsa a széfhez. De itt jelentős szerepet játszik az úgynevezett emberi tényező. A kulcsokat gyakran az irodában felejtik az asztalon, és a széfet még a takarító is ki tudja nyitni.

A gazdasági dokumentációk (beszámolók, számlák, számlák, számlák stb.) nem zárható szekrényben, mappákba, polcokra kerülnek.

Az alkalmazottak állásra jelentkezéskor nem kötnek üzleti titokra vonatkozó titoktartási megállapodást, ami nem tiltja meg az ilyen információk terjesztését.

Az alkalmazottak toborzása interjúval történik, amely két szakaszból áll: 1. kommunikáció a közvetlen felettessel (ahol a potenciális munkavállaló készségei és képességei derülnek ki) 2. kommunikáció az alapítóval (ez inkább személyes jellegű és egy ilyen párbeszéd lezárása lehet „együtt dolgozunk” vagy „nem fogunk dolgozni”).

Mindez fokozott odafigyelést igényel a menedzsmenttől és egy hozzáértő programot a cég információbiztonságának biztosítására, mert a Laspi LLC-nek ma már nagyon sok versenytársa van, akik valószínűleg nem fogják elszalasztani a lehetőséget, hogy kihasználják például a cég ügyfélkörét, ill. beszállítói bázis.

2.2. Vezetői határozattervezet a Laspi LLC szakmai tevékenysége információbiztonságának biztosítására.

Fontos hely a szervezeti, adminisztratív, jogi és egyéb intézkedések rendszerében, amelyek lehetővé teszik a tudományos, ipari és kereskedelmi tevékenységek információs támogatásának, a minősített információk anyagi hordozóinak fizikai biztonságának, kiszivárgásának megakadályozásának problémáinak minőségi megoldását. , az üzleti titkok megőrzését az előadóművészek minősített dokumentumokhoz és információkhoz való hozzáférésének megengedő rendszere foglalja el.

Figyelembe véve az RSFSR „Vállalkozásokról és vállalkozói tevékenységről” szóló törvényét, a vállalkozás (cég) vezetője, függetlenül a tulajdoni formától, különleges szabályokat állapíthat meg az üzleti titkot hagyó információkhoz és azok hordozóihoz való hozzáférésre vonatkozóan, ezáltal biztosítva a biztonságukat.

A biztonsági intézkedések rendszerében elengedhetetlen a vállalkozás titkát meghagyó termelési, kereskedelmi, pénzügyi és hitelinformációk optimális elosztása az adott munkavégzők és dokumentumok között. A tájékoztatás során egyrészt gondoskodni kell arról, hogy az adott munkavállaló a rábízott munka minőségi és határidőre történő elvégzéséhez a teljes adatmennyiséget megkapja, másrészt ki kell zárni a az előadó megismertetése a munkához nem szükséges, szükségtelen, minősített információkkal.

A vállalkozó cég üzleti titkát képező információkhoz való jogszerű és ésszerű hozzáférésének biztosítása érdekében javasolt megfelelő engedélyezési rendszer kialakítása és bevezetése a vállalkozásoknál.

Hozzáférés alatt kell érteni a cégvezetőtől (vagy szankciójával más vezető tisztségviselőktől) adott (vagy teljes körű) minősített információ kiadására vonatkozó írásbeli engedély megszerzését egy vagy másik alkalmazott számára, figyelembe véve hivatali feladatait (hivatalos jogkörét). ).

A CT-hez való hozzáférés regisztrációja az igazgató által jóváhagyott, az Engedélyezési Rendszerről szóló Szabályzat szerint történhet, amely jogilag rögzíti a társaság tisztségviselőinek információterjesztési és felhasználási jogkörét. A szervezet vezetője engedélyezheti bármely védett információ felhasználását a vállalkozás bármely alkalmazottja vagy egy másik szervezettől a létesítménybe érkezett személy számára probléma megoldása érdekében, ha az információ nem vonatkozik a gyártó és kereskedelmi partnerek megismerésére vonatkozó korlátozásokra. közös gyártásban stb. P. Ezért a Laspi LLC azt javasolja, hogy korlátozza az üzleti titoknak minősülő információkhoz való hozzáférést (beszállítókkal és vevőkkel kötött szerződések, tranzakciók zárójelentései) a következő alkalmazottakra:

1. A társaság alapítója.

2.a cég igazgatója.

3. igazgatói titkár.

Csak a társaság alapítója és igazgatója adhat engedélyt az információkhoz való hozzáféréshez más munkavállalók számára.

Az ügyfelekkel folytatott aktuális tranzakciókra vonatkozó információkhoz az összes fenti alkalmazottnak és vezetőnek rendelkeznie kell, aki ezeket a tranzakciókat bonyolítja.

A berendezések beszerzési árára vonatkozó kezdeti információkat szintén korlátozni kell. Csak az alapító, a cég igazgatója férhet hozzá, akik a többi dolgozót csak a már kidolgozott árakkal látják el (különböző „felárakkal”), valamint a titkárnő, aki a szervezetben a teljes dokumentumáramlást irányítja.

Az engedélyezési rendszer hatékony működése csak bizonyos szabályok betartása esetén lehetséges:

1. A megengedő rendszer, mint kötelező szabály, a hozzáférés engedélyezésének differenciált megközelítését tartalmazza, figyelembe véve a minősített információ fontosságát, amelyre vonatkozóan a hozzáférés kérdését eldöntik.

2. Az egyes védett információk felhasználási jogához kiadott engedélyt dokumentálni szükséges. Ez azt jelenti, hogy a használati jogot engedélyező vezetőnek feltétlenül írásban kell rögzítenie a megfelelő bizonylaton vagy a vállalkozásnál hatályos számviteli űrlapon. A szóbeli utasítások vagy a hozzáférés iránti kérések senkitől (kivéve a vállalkozás vezetőjét) jogilag kötelező erejűek. Ez a követelmény vonatkozik a minősített információkkal és azok hordozóival dolgozó valamennyi szintű vezetőre is. Így csak a vezető írásbeli engedélye (a felhatalmazás keretein belül) engedély a védett információ egyik vagy másik személy részére történő kiadására.

3. Az ellenőrzés elvét szigorúan be kell tartani. Minden engedélyen fel kell tüntetni a kiállítás és a kiadás dátumát.

Széles körben elterjedt az olyan hagyományos típusú engedély, mint a fej határozata a leginkább titkosított dokumentumon. Az engedélynek tartalmaznia kell az iratokkal való megismerkedésre vagy azok elkészítésére kötelezett munkavállalók névsorát, a végrehajtás határidejét, egyéb utasításokat, a vezető aláírását és a dátumot. A vezető szükség esetén korlátozhatja az egyes alkalmazottak bizonyos információkhoz való hozzáférését.

A határozat, mint egyfajta engedély, elsősorban arra szolgál, hogy a vállalkozásnál keletkezett, kívülről átvett dokumentumokban és termékekben található minősített információkat az érdeklődőkkel haladéktalanul közöljék.

A vállalkozás vezetője adminisztratív iratokban, utasításokban, utasításokban, utasításokban adhat hozzáférést. Tartalmazniuk kell a személyek nevét, beosztását, konkrét besorolási okmányokat és termékeket, amelyekbe beengedhetők (megismerkedhetnek).

Az engedélyek másik típusa - azon személyek családlistája szerint, akik jogosultak megismerkedni és bármilyen műveletet végrehajtani a minősített dokumentumokkal és termékekkel. A családi listák szerint azokat a vállalkozás igazgatója, vagy a jelenlegi engedélyezési rendszernek megfelelően olyan vezetők hagyják jóvá, akik általában nem alacsonyabb beosztást töltenek be, mint az illetékes osztályok vezetői.

A személyi családlisták szerint felhasználhatók a vállalkozás számára kiemelten fontos minősített dokumentumokhoz, termékekhez való hozzáférés megszervezésekor, biztonságos helyiségekbe való belépés regisztrálásakor, különféle zárt rendezvényeken (konferenciák, értekezletek, kiállítások, értekezletek) tudományos és műszaki tanácsok stb.). A családi listákon konkrét vezetők azonosíthatók, akiket a vezető megfelelő írásos engedély nélkül minden lezárt dokumentumhoz, termékhez engedélyez. A teljes nevet jelzik. vállalkozó, részleg, betöltött pozíció, dokumentumok és termékek kategóriája, amelyre felveszik. A gyakorlatban alkalmazható a munkaköri listák változata is, amely feltünteti: a vállalkozó beosztását, a dokumentumok mennyiségét (dokumentumkategóriák), valamint a megfelelő munkakört betöltő vállalkozások alkalmazottainak milyen terméktípusokat kell használniuk. lista. Figyelembe kell venni, hogy a kis mennyiségű minősített dokumentummal és termékkel rendelkező vállalkozásoknál elegendő lehet olyan engedélytípus alkalmazása, mint a vezető állásfoglalása magán a dokumentumon, családlistákon, munkakörökönként.

Szervezeti szempontból a családlistákat az érdekelt szervezeti egységek vezetőinek kell elkészíteniük. A listán szereplő alkalmazottak listáját a Biztonsági Tanács vezetője hagyja jóvá, és hagyja jóvá a vállalkozás vezetője, aki az igazgatóság közül más személyekre is átruházhat jóváhagyási jogokat.

Az engedélyezési rendszernek meg kell felelnie a következő követelményeknek:

a vállalkozásnál elérhető minden típusú minősített dokumentumra és termékre vonatkozik, függetlenül azok helyétől és létrehozásától;

meghatározza a hozzáférési eljárást a CT-vel való munkavégzés jogát megszerző munkavállalók minden kategóriája, valamint a vállalkozáshoz ideiglenesen érkezett és közös zárt megrendelésekkel kapcsolatos szakemberek számára;

egyszerű és megbízható eljárást hoz létre a védett dokumentumokhoz és termékekhez való hozzáférésre vonatkozó engedélyek kiadására, amely lehetővé teszi, hogy azonnal reagáljon a vállalkozás információi területén bekövetkezett változásokra;

· egyértelműen körülhatárolja a különböző hatósági szintű menedzserek jogait az előadóművészek megfelelő kategóriáihoz való hozzáférés kialakítása során;

kizárja annak lehetőségét, hogy dokumentumokat és termékeket bárki számára ellenőrizetlen és jogosulatlan kiadjanak;

· ne engedje, hogy minősített információkkal, tárgyakkal dolgozó személyek páros adatokon változtatást hajtsanak végre, illetve számviteli bizonylatokat cseréljenek.

Az engedélyezési rendszer kialakítása során kiemelt figyelmet kell fordítani a fő, a vállalkozás számára különösen értékes információk kiemelésére, amelyek szigorúan korlátozott hozzáférést biztosítanak azokhoz. Más vállalkozásokkal (szervezetekkel), külföldi cégekkel vagy azok egyéni képviselőivel folytatott közös munka esetén elő kell írni az ezen kategóriák vállalkozás üzleti titkához való hozzáférési eljárását. Célszerű meghatározni az állami szolgáltató szervezetek képviselőivel való interakció eljárását: műszaki felügyelet, egészségügyi és járványügyi állomás stb.

A társaság engedélyezési rendjéről szóló Szabályzatban szükséges jelezni, hogy minősített iratok, termékek vállalkozótól vállalkozóhoz történő átadása csak a szerkezeti egységen belül és annak vezetőjének engedélyével lehetséges. A termékek ilyen okmányainak átadása, visszaküldése a cég által meghatározott eljárás szerint és kizárólag az adott nap munkaidejében történik.

Minden, a vállalkozáshoz beérkezett és azon kidolgozott minősített dokumentációt, terméket a középvezetés és a titkár elfogad és figyelembe vesz. A nyilvántartásba vételt követően a dokumentációt átvételi elismervény ellenében benyújtják a vállalkozás vezetőjének.

A társaság engedélyezési rendszeréről szóló Szabályzatban jelezni kell, hogy hatósági ügyekben zárt ülést csak a cégvezető vagy helyettesei engedélyével tartanak. Különleges követelmények vonatkozhatnak a tudományos tanácsok üléseire, a K+F, valamint a pénzügyi és kereskedelmi tevékenységek eredményeit áttekintő ülésekre stb. Az ilyen rendezvényekre javasolt az engedélyezési listák feltétlen összeállítása és csak a vállalkozás azon dolgozóinak feltüntetése, akik közvetlenül kapcsolódnak a tervezett rendezvényekhez, és amelyeken hatósági szükségszerűség indokolja a részvételt.

A fentiek szerint más cégek alkalmazottai zárt üléseken csak a cégvezetés személyes engedélyével vehetnek részt. Főszabály szerint listákat készít az értekezlet megszervezéséért felelős szervezeti egységek érdeklődő vezetőivel. A lista képezi az alapja a találkozóra való belépés ellenőrzésének megszervezésének. Az ülés megkezdése előtt figyelmeztetik a jelenlévőket, hogy a tárgyalt információk bizalmasak és a társaság által meghatározott terjesztési körön kívül nem terjeszthetők, valamint utasításokat adnak a nyilvántartások vezetésére.

Fontos hangsúlyozni, hogy a minősített információk és termékek kezelésének egy bizonyos eljárási rendjének kialakítása egy vállalatnál jelentősen megnöveli az üzleti titok védelmének megbízhatóságát, csökkenti ezen információk felfedésének, hordozóinak elvesztését.

A dokumentumok biztonsága érdekében javasolt megfelelő bútor vásárlása, amely lehetővé teszi a dokumentumok biztonságos zárását. Ezenkívül minden nap, indulás előtt le kell zárni a szekrényeket.

A széf és a szekrények kulcsait aláírás ellenében át kell adni a biztonsági szolgálatnak. Javasoljuk továbbá, hogy vásároljon egy speciális csövet a kulcsok tárolására és zárja le.

Különös figyelmet kell fordítani a számítógépes információk biztonságára. A Laspi LLC-nél mára több adatbázis is létrejött: a cég ügyfelei (nem csak munkahelyi címük és telefonszámuk feltüntetésével, hanem lakcímük, személyes adataik feltüntetésével is); a szállított berendezések árait és jellemzőit tartalmazó adatbázis; a szervezet alkalmazottainak adatbázisa. Különféle szerződések, megállapodások stb. is a számítógépen tárolódnak.

Mindenesetre nagyon nem kívánatos, hogy ezek az információk a versenytársak kezébe kerüljenek. Ennek a forgatókönyvnek a megelőzése érdekében ajánlatos jelszavakat létrehozni az egyes adatbázisokhoz való hozzáféréshez (és a szoftvereszközök ezt lehetővé teszik). A számítógép indításakor szintén ajánlott kétszintű védelmet beállítani (a BIOS betöltésekor és a Windows'2000 betöltésekor, amely nem teszi lehetővé a jelszó nélküli hozzáférést a merevlemez tartalmához, ellentétben az operációs rendszer korábbi verzióival) . Természetesen a jelszavakat is csak a cég azon dolgozói kaphatják meg, akik közvetlenül dolgoznak ezekkel az adatbázisokkal (titkár, vezetők, programozók).

A számítógéppel kapcsolatos bármilyen probléma és külső céggel való kapcsolatfelvétel szükségessége esetén teljes mértékben ellenőrizni kell a berendezés javítási folyamatát. Mivel abban a pillanatban, amikor az összes jelszót eltávolítják, amikor a programozó "kívülről" szabadon és akadálytalanul hozzáfér a merevlemez tartalmához, lehetősége van információk lefoglalására és további felhasználására különféle célokra.

A vírusirtó szoftverét naprakészen kell tartania, hogy megakadályozza a vírusok bejutását és terjedését a számítógépeken.

Különös figyelmet kell fordítani az új alkalmazottak toborzására. Manapság sok szervezet keményebben közelíti meg ezt a folyamatot, ami azzal a törekvéssel függ össze, hogy az információt a vállalaton belül tartsák, és ne engedjék túllépni az „emberi tényező” miatt.

Ahol a legtöbb felvétel két szakaszban történik (a fentebb összefoglalva), itt négy szakaszt javasolunk.

1. Beszélgetés a személyzeti osztály vezetőjével. A személyzeti osztály vezetője megismerkedik a jelölttel, önéletrajzával, kérdéseket tesz fel a szakmai tevékenységgel kapcsolatban, előzetes feljegyzéseket készít. Ez a lépés professzionális. Ezután a személyzeti osztály vezetője elemzi a jelöltektől kapott információkat és továbbítja a vezetőnek.

2. A jelöltek önéletrajzát és a róluk szóló jegyzeteket a személyzeti osztály vezetője megismerje, kiválasztva a legmegfelelőbbet és interjúra hívja őket. Az interjú személyes jellegű, és nem szabványos kérdéseket tartalmaz (például mit szeret enni az ember, mi a hobbija stb.) Így a menedzser információkat kap, hogy eldöntse, mennyire alkalmas ez a személy számára, előre jelez problémák, amelyekkel a jelölttel való kommunikáció során találkozhat.

3. Tesztelés. Itt már meghatározzák a munkavállaló intelligencia szintjét, pszichológiai portréját különféle tesztek alapján állítják össze. Először azonban meg kell határoznia, hogy a vezető és a kollégák hogyan szeretnék látni az új alkalmazottat.

4. Biztonsági szolgálat. Itt két szakaszt javasolunk: a) a jelöltek ellenőrzése különböző esetekben (hogy bíróság elé állították-e, letöltött-e szabadságvesztést, be van-e írva narkológiai rendelőbe, hogy milyen információkat adott a korábbi munkahelyek igaz); b) speciális berendezés ellenőrzése, amelyet leggyakrabban "hazugságvizsgálónak" neveznek. A második szakaszban meghatározzák, hogy a munkavállaló mennyire lojális a céghez, milyen reakciói vannak a provokatív kérdésekre (például mit tesz, ha megtudja, hogy valamelyik kollégája iratokat visz haza), stb.

És csak miután a jelölt mind a négy szakaszon túl van, eldöntheti, hogy felveszi-e vagy sem.

A pozitív döntés meghozatala után a munkavállaló próbaidőt kap (az Orosz Föderáció jogszabályai szerint ez 1 és 3 hónap között változhat, de legalább 2 hónap ajánlott, lehetőleg 3). A próbaidő alatt a vezetőség és a biztonsági szolgálat figyelje az új munkatársat, figyelje tevékenységét.

Ezen túlmenően azonnal a felvételt követően a munkaszerződés megkötésével egy megállapodást kell aláírni az üzleti titkok felfedésének tilalmáról. A megállapodás javasolt pontjai:

Ez nem egy teljes lista arról, hogy mit tartalmazhat a megállapodás.


Következtetés

Ma az információbiztonság megszervezésének kérdése minden szintű szervezetet foglalkoztat – a nagyvállalatoktól a jogi személy létrehozása nélküli vállalkozókig. A verseny a modern piaci viszonyok között korántsem tökéletes, és gyakran nem a legjogszerűbb módon zajlik. Az ipari kémkedés virágzik. De előfordulnak olyan esetek is, amikor a szervezet üzleti titkával kapcsolatos információk nem szándékos terjesztésére került sor. Itt általában az alkalmazottak hanyagsága, a helyzet megértésének hiánya, vagyis az „emberi tényező” játszik szerepet.

A tantárgyi munka bemutatja a Laspi LLC információbiztonságának megszervezéséről szóló vezetői határozattervezetet. A projekt a biztonsági szervezés három fő területét érinti: 1. dokumentációs terület (a papír alapon bemutatott anyagokhoz való hozzáférés, ennek lehatárolásával); 2.számítógép-biztonság; 3. biztonság új alkalmazottak felvétele szempontjából.

Nem szabad megfeledkezni arról, hogy bár ez a projekt egy adott szervezet számára készült, rendelkezései más középvállalatok biztonságának megszervezésére is felhasználhatók.