İş dünyasında bilgi güvenliği araçları. İş sürekliliğinin sağlanmasında bilgi güvenliğinin rolü. İşletmenin bilgi güvenliği: bir iç tehdit

Ekonomik Güvenlik Bürosu (İş), profesyonel olarak bilgi Güvenliği işletmelerde.

İstatistiklere göre, tüm iş sorunlarının yarısından fazlası bilgi güvenliğindeki "boşluklardan" kaynaklanmaktadır. Rakiplere bilgi sızması, veri kaybı, şirkete ait gizli bilgilerin yanlış ellere geçmesi - tüm bunlar işletme için büyük risk taşır.

Birincisi finansal verilerin korunması, ikincisi - sızıntılara karşı koruma ve üçüncüsü - DDoS saldırılarına karşı koruma. Ve eğer ilk iki puan uzun zamandır ilk üç içindeyse, o zaman saldırılarla ilgili sorun ancak son zamanlarda ortaya çıktı. Bu ilginin nedeni, küçük ve orta ölçekli şirketlere yönelik artan DDoS saldırı sayısıdır.

İş bilgilerini korumanın ana yöntemleri:

1. İzinsiz giriş koruması

– ağdaki trafiği kontrol etmek için gerekli programların veya ekipmanın kurulumu. İlk tehlike (izinsiz giriş) ortaya çıktığında sistem tepki verir ve erişimi engeller. Aynı zamanda sorumlu çalışana bilgi verilir.

2. Sızıntı koruması

- gizli bilgilerin yetkisiz ellere geçmesini önlemek için bir dizi önlem. Bir sızıntı iki şekilde olabilir:

- kötü niyetli hırsızlık (casusluk, akıncılar, içeriden öğrenenler);
- personel gözetimi nedeniyle (medya kaybı, postayla parola gönderme, virüslü bir sayfaya gitme, veri erişim haklarının aktarılmasından sorumlu kişilerin bulunmaması vb.).

Kötü niyetli hırsızlık durumunda koruma yöntemleri şunlardır: işletmeye erişimi kısıtlamak, gözetleme kameraları kurmak, sunuculara veri yok etme araçları kurmak, bilgileri şifrelemek, yabancı sunucularda veri depolamak.

Ayrıca, yanlışlıkla yapılan hatalara karşı koruma sağlamak için, telefon konuşmalarını kaydetmek, trafiği ve bir PC'de çalışan çalışmalarını izlemek, USB kartlarını şifrelemek, RMS kullanmak, DLP sistemlerini uygulamak vb.

3. IP ağlarının korunması

İnternet dahil olmak üzere IP ağlarının hızlı gelişimi, çok sayıda zaman içinde test edilmiş ve ticari olarak kanıtlanmış güvenlik araçları ve mekanizmalarının oluşturulmasına ve iyileştirilmesine katkıda bulunmuştur. Kullanımları, IP ağları üzerinden bilgi alışverişini, özel iletişim hatları üzerinden veri iletiminden çok daha güvenli hale getirmeyi mümkün kılar.

IP ağlarında güvenlik bir gerçektir.

4. Dosya koruması

şirket içindeki bilgisayarlarda ve sunucularda saklanan tüm en önemli bilgilerin güvenliğini ifade eder. Aşağıdaki gibi uygulanır:

- dosya sistemlerinin (verilerin) şifrelenmesi– EFS, Qnap, CryptoPro sistemleri vb. kullanımı;

- dizüstü bilgisayarların (netbook'ların) şifrelenmesi, depolama ortamı, mobil cihazlar - Sony, Asus ve diğer şirketlerden yazılım çözümleri (Kasperskiy, SecretDisk, Endpoint Encryption) veya şifreleme modülleri;

— sistem yöneticisinden bilgilerin korunmasıörneğin, TrueCrypt kullanarak;

- izleme sistemlerinin izleyicilerine cep telefonu kaydı(Kaspersky veya Prey kullanarak);

- çeşitli elektronik dosyalara erişimin yasaklanması (kısıtlanması)(en iyi seçeneklerden biri Active Directory Rights Management Services'dir).

- tek kimlik doğrulama.İki şema kullanılabilir - alan yetkilendirmesinde (ekipman bir alan yapısına bağlıdır), bir E-token elektronik anahtarı kullanarak veya bir SMS bildirimi kullanarak.

5. 1C'nin optimizasyonu ve korunması

- 1C tabanı ile çalışırken- disklerin şifrelenmesi, erişim haklarının kısıtlanması, veri alışverişi süreçleri ve dosyalarının korunması için bir sistemin kurulması;

- DBMS base 1C ile çalışırken- kullanıcılar için yönetici haklarının kısıtlanması, şifreleme sistemlerinin kullanılması, sunuculara uzaktan veya fiziksel erişimi kısıtlamak için önlemlerin uygulanması ve benzeri;

- gizli verilerin korunması X.

Yukarıda sıralanan önlemlere ek olarak, bilgi güvenliği yöntemleri şunları içerir:

— kurumsal iletişimin korunması;
- sunucudan bilgilerin hızlı bir şekilde kaldırılması;
- çalışanların çalışmalarını izlemek;
— tüm iş süreçlerinde hata toleransı ve istikrarın sağlanması.

2019

KOBİ siber güvenlik öncelikleri

KOBİ segmenti şirketleri bulutlara, MSSP (Yönetilen Güvenlik Hizmet Sağlayıcı) modeline göre hizmet tüketiminin hizmet modeline çekilir. Bu, bilgi güvenliği alanındaki operasyonel maliyetleri önemli ölçüde azaltmalarına yardımcı olur.

Artık bazı satıcılar, müşterilerine bir abonelik modeli üzerinde bulut tabanlı bilgi güvenliği hizmetleri sunuyor. Bana göre orta ve küçük işletmeler tam da böyle bir bilgi güvenliği hizmet modeline geçecekler, - Dmitry Livshits, CEO"Dijital tasarım".

IS tüketiminin hizmet modeli, küçük ve orta ölçekli işletmeler tarafından giderek daha fazla talep görüyor, çünkü bu şirketler geniş bir güvenlik uzmanı kadrosunu karşılayamıyor.


I-Teco Group'un Bilgi Güvenliği Departmanı Başkanı Vladimir Balanin'e göre, KOBİ segmenti, entegre bilgi güvenliği hizmetleriyle anında hizmet veren hizmet sağlayıcıların hizmetlerinin ana tüketicisi haline geliyor: yönetim, izleme maliyetleri yok ve kendi altyapılarının bakımı ve risk düzenleyici gereklilikleri hizmet sağlayıcının kendisi tarafından karşılanır.

için aynı zamanda Rus pazarı artık KOBİ'ler için çok sınırlı bir bilgi güvenliği arzı ile karakterize edilmektedir. Jet Infosystems'deki Bilgi Güvenliği Merkezi Direktörü Andrey Yankin'in belirttiği gibi, neredeyse tüm hizmetler büyük müşterilere yöneliktir. Ona göre, KOBİ'ler için tipik ve ucuz, ancak ilkel olmayan bilgi güvenliği hizmetleri pratikte mevcut değil, ancak bir dizi başka ülkede bu pazar iyi gelişmiş durumda.

Aynı zamanda, yönetilen bilgi güvenliği hizmetleri bölümünün gelişmesi ve siber risk sigortası pazarının gelişme olasılığı ile birlikte, bu müşteri kategorisi, modern tehditlere uygun önlemlere sahip olacaktır.

Bu arada, KOBİ şirketleri, nadiren iş süreçleri düzeyine yükselen temel BT güvenliğini uygulamaktadır.


Angara Technologies Teknoloji ve Geliştirme Grubu Genel Müdür Yardımcısı Dmitry Pudov'a göre, KOBİ'lerin temsilcileri bütçeleriyle birlikte yüksek teknolojiye veya karmaşık çözümlere neredeyse hiç erişime sahip değiller. Bu, yalnızca çözümlerin maliyetinden değil, taşıdıkları OPEX'in nedenidir.

System Software bilgi güvenliği başkanı Yakov Grodzensky, KOBİ segmentindeki müşteriler tarafından satın alınan ana çözümlerin antivirüsler ve yazılım güvenlik duvarları olduğunu söylüyor. Buna ek olarak, bu segmentteki şirketler bilgi güvenliği denetimi ve sızma testleri konuları ile aktif olarak ilgilenmeye başlıyorlar, çünkü bu tür kuruluşlar her zaman personellerinde ayrı bir bilgi güvenliği uzmanı bulundurmazlar, sızmacılardan bahsetmiyorum bile.

Doctor Web'in önde gelen analistlerinden Vyacheslav Medvedev, orta ölçekli işletmelere yönelik anketlerin, bu tür şirketlerin temel çözümler dışında güvenlik çözümleri için fonları olmadığını gösterdiğini ekliyor.

Büyük işletmelerin siber güvenlik öncelikleri

Hissedarlar, sahipler ve üst yönetim için bilgi güvenliği ve bilgi güvenliği konusunda objektif bir resme sahip olmak her zaman önemlidir. teknolojik süreçler organizasyon içinde, bu nedenle şirketlerdeki genel bilgi güvenliği olgunluk düzeyi her yıl artıyor. Bununla birlikte, bazı büyük kuruluşlar, bilgi güvenliğinde kaosa yol açabilecek bilgi sistemlerinin işleyişini sağlayan iş süreçlerinde hala temel düzenden yoksundur. Bu nedenle, ana öncelik büyük şirketler- bu sorunları çözmede, diyor bilgi ve ağ güvenliği "Step Logic" bölümünün müdürü Nikolay Zabusov.

Buna ek olarak, büyük işletmeler, az ya da çok eşit şekilde korunan bir altyapı oluşturmaya çalışarak, düzenleyicilerin gereksinimlerine ve iç standartlara uymaya odaklanıyor. Bilgi güvenliği alanındaki endüstri standartları birçok şirkette geliştirilmiş ve "uygulanmıştır".

Büyük ticari şirketler esasen bir seçimle karşı karşıya kaldı: dijital dönüşümün yolunu takip edin veya iş paradigmasını değiştirmeden çalışın. Ancak ikinci durumda, er ya da geç pazardaki konumlarını daha fazla esneklik gösteren rakiplere bırakmak zorunda kalacaklar.

Kurumsal segment için öncelikler arasında, bir yandan klasik bilgi güvenliği çözümlerini kullanmanın verimliliğinin artmasını, diğer yandan da yeni tehdit türlerine karşı korumanın uygulanmasının bir parçası olarak tanıtılmasını belirtebilirim. dijitalleşme projeleri Softline'ın bilgi güvenliği departmanı başkanı Oleg Shaburov, güvenlik kısıtlamalarının genellikle dijital dönüşüm yolundaki yavaş ilerlemenin ana nedenlerinden biri olması nedeniyle son derece önemlidir.

Croc Bilgi Güvenliği Başkanı Andrey Zaikin, pratik güvenlik açısından bakıldığında, vektörün saldırıları önlemekten onları tespit etmeye ve bunlara yanıt vermeye doğru kaydığını söylüyor. Bu, nispeten genç çözüm sınıflarının giderek daha popüler hale gelmesine ve talep görmesine yol açmaktadır: EDR, IRP. Otomatik yanıt sistemleri, farklı komut dizileri ve senaryolara sahiptir ve tehditleri yayma girişimlerini engellemeye izin verir.

siber güvenlik hizmetleri

İşletmeleri için bilgi güvenliğinin önemini anlayan KOBİ şirketleri, hizmet modellerini kullanma yolunu takip etmektedir.

İş yerinde sizi hangi bilgi güvenliği risklerinin bekleyebileceğinden bahsetmeden önce kendimi tanıtmak istiyorum: benim adım Kamila Iosipova. Bilişim şirketi ICL Services'de kıdemli bilgi güvenliği yöneticisiyim, 5 yıldır bu organizasyonda çalışıyorum. Aynı zamanda CISA Sertifikalı Bilgi Sistemleri Denetçisiyim (ISACA sertifikası Sertifikalı Bilgi Sistemleri Denetçisi anlamına gelir).

2018 yılında şirketlerdeki veri ihlallerinin hacmi %5 arttı. İnsan faktörü, bilgi güvenliği olaylarının ana nedenlerinden biridir. Dikkatsizlik, dikkatsizlik, güdü, niyet - bunlar, şirketinizin çalışanlarının kasıtlı veya kasıtsız olarak işi dibe çekmesinin nedenleridir. Kendinizi ve müşterilerinizi nasıl koruyacağınızı, çalışanlar arasında veriyle çalışma kültürünü geliştirmek için neler yapmanız gerektiğini ve bu durumda hangi yöntemlerin uygulanacağını daha sonra anlatacağım.

Bilgi güvenliği alanında iş kurma planı

Küresel olarak bakarsanız, bilgi güvenliği alanında belirli bir modelin izlenebildiğini görebilirsiniz: bilgi güvenliğine verilen önem büyük ölçüde şirketin faaliyetlerine bağlıdır. örneğin, devlet organları ya da bankacılık sektöründe, daha katı gereksinimler vardır, bu nedenle çalışan eğitimine daha fazla önem verilir, bu da verilerle çalışma kültürünün daha gelişmiş olduğu anlamına gelir. Ancak, bugün herkes bu soruna dikkat etmelidir.

İşte bilgi güvenliği alanındaki işinizi yapmanıza yardımcı olacak birkaç pratik adım:

1 adım. Bilgi güvenliği yönetimi alanında şirketin çalışmalarının temel ilkelerini, amaç ve hedeflerini içerecek genel bir bilgi güvenliği politikası geliştirmek ve uygulamak.

2 adım. Sınıflandırma politikasını ve gizlilik seviyelerini girin.

Aynı zamanda çalışanın 7 gün 24 saat erişebileceği bir belge yazmakla kalmayıp, çeşitli eğitim etkinlikleri yapmak ve yapılan değişikliklerden bahsetmek de gerekiyor. Kurala bağlı kalın: önceden uyarılmış, önceden silahlanmış. Şirketin sürekli bu yönde çalışmasına izin verin.

3 adım. Proaktif bir yaklaşım geliştirin.

Tıpta önleme gibi. Katılıyorum, önleyici bir muayeneden geçmek, ilerlemiş bir hastalığı tedavi etmekten çok daha ucuz ve daha kolaydır. Örneğin, şirketimizde proaktif yaklaşım şu şekilde çalışır: ticari projelerde bilgi ile çalışmak için, projelerde BS süreçlerinin belirli bir olgunluk düzeyini sağlamak için gerekli minimum BS gereksinimlerini içeren bir BS yönetim standardı geliştirdik. ticari bir proje. Güvenlik yönetimi sürecinin belirli bir olgunluk düzeyini korumak için yapılması gerekenleri açıklar. Bu standardı projelerde uyguladık ve şimdi her yıl iç denetimler yapıyoruz: projelerin bu gereksinimlere nasıl uyduğunu kontrol ediyor, bilgi güvenliği risklerini ve diğer proje yöneticilerine de yardımcı olabilecek en iyi uygulamaları belirliyoruz.

Denetimlere ek olarak, Bilgi paylaşımı iyi çalışır. Projelerden birinde "gök gürültüsü" olursa, geri kalanının bunu bilmesi ve gerekli önlemleri almak için zamana sahip olması iyidir.

4 adım. Kuralları açıklayan tüm belgeleri hazırlayın: yapılandırılmış, açık ve özlü.

Uygulamanın gösterdiği gibi, hiç kimse çok sayfalı uzun metinleri okumaz. Belge yazılmalıdır sade dil. Ayrıca, iş hedefleriyle uyumlu olmalı ve üst yönetim tarafından onaylanmalıdır - bu, çalışanlar için bu kurallara neden uyulması gerektiği konusunda daha güçlü bir argüman olacaktır.

5 adım. Eğitimler, konuşmalar, iş oyunları ve benzerlerini gerçekleştirin.

Çoğu zaman insanlar belirli kuralların kendi işleriyle nasıl ilişkili olduğunu anlamazlar, bu nedenle örnekler vermeniz, açıklamanız, nasıl uygulayabileceklerini göstermeniz gerekir. Burada, iş kaybına kadar sonuçları ve cezai sorumluluğa kadar çalışanı hangi özel sonuçların beklediğini göstermek önemlidir.

Yukarıdakilerin tümünü bir şirkette uygulamak için hem maddi hem de insani kaynaklara ihtiyaç vardır. Bu nedenle artık birçok şirkette Bilgi Güvenliği Direktörü (CISO) pozisyonu ortaya çıkmaya başladı. Bu pozisyon sayesinde, iş liderlerine herhangi bir kararı teşvik etmenin, fon tahsis etmenin vb. önemini iletmek mümkündür. CISO, şirkette bilgi güvenliğini her düzeyde teşvik edebilir.

Üstlendiği görevler kapsamlıdır: üst yönetimle iletişim, belirli kararların gerekçelendirilmesi, tüm alanlarda güvenliği uygulamak için süreç sahipleri ile iletişim. Siber tehditler açısından bakıldığında, siber tehditleri yönetirken, siber tehditlere yanıt verme stratejilerini belirlerken ve saldırılara yanıt vermek için çalışmaları koordine ederken temas noktasıdır.

Çalışan eğitimi: zor, uzun ama gerekli

Bununla birlikte, insanlara belirli kuralları öğretmeden önce, bir şeyi anlamanız gerekir: insan faktörü üzerinde duramazsınız, arkasında başka bir şey olabilir - kaynak, bilgi veya teknoloji eksikliği. İşte en etkili yöntem– gerçek nedenleri analiz edin, temel nedene ulaşın.

İnsanlarla çalışırken, kelimenin tam anlamıyla herkes için anahtarı seçmek gerekir. Tüm insanlar farklıdır ve bu nedenle uygulanacak yöntemler de farklıdır. Bir çalışanla yapılan görüşmelerden birinde uzman bana şunları söyledi: Bir şeyi ancak şartı yerine getirmediğim için alacağımı bilirsem yaparım. Ve bunun tersi, bazıları için, yalnızca işin kalitesinin iyi bir değerlendirmesi, eğitimlerin başarılı bir şekilde tamamlanması için teşvik gibi olumlu motivasyon eylemleri.

Bilgi güvenliği uzmanlarının, özellikle yeni teknolojilerin ve iş modellerinin kullanımını sınırladıklarında, genellikle inovasyon üzerinde fren görevi gördüğüne dair bir görüş var. Durum gerçekten böyle olabilir, ancak aşağıdakileri hatırlamak önemlidir: “Güvenlik, arabanızdaki frenler gibidir. İşlevleri sizi yavaşlatmaktır. Ama amaçları hızlı gitmenize izin vermektir. Gary Hinson” (“Güvenlik, arabanızdaki frenler gibidir. İşlevleri sizi yavaşlatmaktır. Ama amaçları hızlı gitmenizi sağlamaktır”). Bu kurallar olmadan ilerlemenin imkansız olduğunu anlamak önemlidir, çünkü bir noktada kendinizi siber tehditlerden korumaz ve bilgi güvenliği risklerini yönetmezseniz işinizi geliştiremezsiniz. Şirketimiz, dengeyi korumak için risk temelli bir yaklaşım benimsemektedir. ISO standardı 27001. Bu yaklaşım, bizi ilgilendiren tehditlerden kendimizi korumak için bizim için geçerli olan gereksinimleri ve gerekli güvenlik önlemlerini seçmemize olanak tanır. Bu yaklaşımın yardımıyla, finansal açıdan da seçim yapabiliriz: belirli önlemleri uygulamanın ne kadar uygun olduğunu. Örneğin her toplantı odasına biyometrik tarayıcı koyabiliriz ama buna ne kadar ihtiyacımız var, hangi değeri getiriyor, hangi riskleri azaltıyor? Cevap her zaman açık değildir.

ICL Hizmetleri olarak, birlikte çalıştığımız bilgilerin gizliliğinin bizim için önemli olduğunu anlıyoruz, bunun için dizüstü bilgisayarları şifreleriz, çünkü dizüstü bilgisayar kaybolsa bile bilgiler davetsiz misafirlerin eline geçmez. Bu çok önemli ve bunun için para harcamaya hazırız.

Güvenlik ve iş değeri arasında bir denge kurmanın tek yolunun bu olduğuna inanıyorum: seçin, yeniliklerin farkında olun ve her zaman riskleri değerlendirin (bir riski uygulamanın maliyeti, şu veya bu güvenlik çözümünü satın alma maliyetiyle ne ölçüde karşılaştırılabilir?) ).

Entegre bir yaklaşım, bilgi güvenliği için ideal reçetedir

Bana göre, güvenlikle çalışmak için bütünleşik bir yaklaşım en etkili olanıdır, çünkü bilgi güvenliği bir insan bilinci, davranışı ve uygun organizasyon güvenlik gereksinimlerini dikkate alarak iş süreçleri. Olaylar çoğunlukla çalışanlar yüzünden olur: insanlar hata yapar, yorulur, yanlış düğmeye basabilirler, yani buradaki başarının yarısı buradadır. teknik sınırlamalar, rastgele kasıtsız olaylardan, diğer yarısı her çalışanın güvenlik kültürüdür.

Bu nedenle önleyici konuşmalar ve eğitimler yapılması önemlidir. Günümüz dünyasında siber tehditler insanlar için tasarlanmıştır: Bir kimlik avı e-postası alırsanız, bağlantıya ulaşıp tıklayana kadar zararsızdır. Şirketimizde personel bilincine, insanlarla çalışmaya, farkındalığa önem verilmektedir. Peki, üçüncü nokta örgütseldir, insanlar kuralları bilmeli, kurallar yazılı olmalı, herkesin uyması gereken belli bir politika olmalı.

Unutmayın: siber tehditler dünyada çok yaygındır ve aynı zamanda saldırıların sonuçları çok ciddidir - tamamen iş kaybına, iflasa kadar. Doğal olarak konu gündemde. Çağımızda güvenlik, basitçe kurum kültürünün bir parçası olmak zorundadır ve üst yönetim, işi yönettiği için bu konuda ilk ilgilenen taraftır ve riskler gerçekleştiğinde ilk etapta sorumlu tutulacaktır.

Çalışanlarınızın siber güvenlik olaylarından kaçınmasına yardımcı olacak bazı ipuçları:

  1. Doğrulanmamış bağlantıları takip edemezsiniz;
  2. Gizli bilgileri dağıtmayın;
  3. Şifreyi bir kağıda yazıp bir çıkartma yapıştıramazsınız;
  4. Emin olmadığınız USB ortamını kullanmayın (saldırgan, virüslü bir fiziksel cihazı kurbanın kesinlikle bulacağı bir yere bırakabilir);
  5. Sitelere kayıt olurken, telefon numarasını ve posta adresi, bu bilgilerin ne için gerekli olduğunu dikkatlice araştırın, belki bu şekilde ücretli bir bültene abone olursunuz.

Umarım zaman içinde güvenlik her şirkette kurumsal kültürün temel bir unsuru haline gelir.

Fakültede bilgi güvenliği alanında çalışma becerilerine mükemmel bir şekilde hakim olabilirsiniz.

İşletmenin bilgi güvenliğini sağlamak Andrianov V.V.

1.3. İş bilgi güvenliği modeli

1.3.1. Motivasyon

Yakın geçmişteki bilgi güvenliğinin (IS) düzenlenmesine ilişkin Rus ve dünya pratiği şunlardan oluşuyordu: zorunlu gereklilikler RD'nin rehber belgeleri şeklinde hazırlanan ulusal yetkili organlar. Bu nedenle, üst yönetim ve kuruluşların sahipleri için, onlarla uyum konusunda yalnızca bir sorun (uyum) ve bunu çözmenin tek bir yolu vardı - önerilen gereksinimlerin minimum maliyetle nasıl karşılanacağı. Yetkili organların kendi sorunları vardı - hem olası tüm faaliyet türlerini kapsamanın imkansızlığı hem de uygulama koşullarının yanı sıra faaliyetlerin hedeflerindeki önemli farklılıklar nedeniyle evrensel bir gereksinimler dizisi sunmak. Bunu yapmak için, bilgi güvenliği sorunu, faaliyetlere, hedeflere, koşullara bağlı olmayan kendi kendine yeterli bir varlık olarak kabul edildi ve evrensellik adına içeriği de önemli ölçüde azaltıldı.

Her iki yaklaşım (kuruluşlar ve düzenleyiciler) mevcut gerçekliğe yetersizdir ve onu önemli ölçüde çarpık bir biçimde sunar. Bu nedenle, IS faaliyetlerine ilişkin temel esaslı kısıtlamalar, varlıklara (bilgilere) zarar vermek isteyen bir saldırganın zorunlu varlığını varsayan ve buna göre bilgileri böyle bir öznenin eylemlerinden korumaya odaklanan geleneksel IS modeliyle ilişkilidir. (konu grubu). Aynı zamanda, örneğin uygulama yazılımındaki düzenli değişikliklerle ilgili olaylar bir saldırgana atfedilemez. Olası nedenleri, zayıf gelişmiş yönetim ve zayıf teknolojik temeldir. Kuruluşun (yönetim, temel iş süreçleri) genel olarak hakim koşullara göre kendi yetersizliği, bir saldırgana bağlamanın imkansızlığı nedeniyle göz ardı edilen çok güçlü bir sorun kaynağıdır.

IS modellerinin daha ileri evrimi, mal sahibinin (sahibinin) rolünün güçlendirilmesiyle ilişkilendirildi ve kendisine sunulan standart koruyucu önlemler setinden kendisinin (kendi tehlikesi ve riski altında) seçtiği gerçeğine geldi. ihtiyaç duyduğu, yani onun görüşüne göre kabul edilebilir bir güvenlik düzeyi sağlayabilecek olanlara. Bu ileriye doğru atılmış önemli bir adımdı, çünkü bilgi güvenliğinin varlığı için belirli koşullara sahip belirli bir nesneye bağlanmasını sağladı ve bilgi güvenliği sorununun kendi kendine yeterliliği ile ilgili çelişkileri kısmen çözdü. Bununla birlikte, seçilen tipik koruyucu önlemlere (koruma profilleri) sahip bir nesne kataloğu oluşturmak dışında, sahibine yapıcı bir mekanizma sunmak mümkün değildi. Profiller, uzman buluşsal yöntem kullanılarak oluşturulmuştur. Aynı zamanda mal sahibinin ne tür bir risk aldığı da meçhul kaldı ve uygulamada belirlendi.

Daha fazla gelişme, bilgi güvenliğinin faaliyet amaçları için hasar oluşturabileceği (yaratabileceği) ve bu nedenle (kendi kendine yeterli kalan) bilgi güvenliği risklerinin kuruluşun riskleri ile koordine edilmesi (bağlantılı) olması gerektiği tezine indirgenmiştir. Geriye, bunların nasıl bağlanacağını ve bilgi güvenliği yönetim sisteminin (BGYS) kurumsal yönetime izole ve bağımsız bir süreçler sistemi olarak değil, entegre, güçlü bir şekilde bağlı bir yönetim bileşeni olarak nasıl entegre edileceğini göstermek kaldı. Bu başarısız oldu. Ancak bu yaklaşım, IS riskleri de dahil olmak üzere bir dizi IS değerlendirme kategorisini iyi bir şekilde geliştirdi.

Pragmatik IS modelleri, toplam sahip olma maliyetinin (IS ile ilgili olarak) ve IS'deki yatırımların "geri dönüşünün" değerlendirilmesine dayalı olarak da bilinmektedir. Bu yaklaşım çerçevesinde amaç ve faaliyet koşulları açısından benzer bir grup kuruluş, periyodik olarak IS uygulama alanlarını değerlendirir ve grup için en iyi uygulamalardan oluşan bir model oluşturur. Ayrıca kuruluşların her biri, en iyi uygulamaların gerisinde kalmasına ve koşullarına (oluşmuş olaylara) göre yatırımların yönünü ve hacmini belirlemektedir. Yapılan yatırımlar alanında son bulan ve bu nedenle büyük zararlara yol açmayan olaylardan kaynaklanan zararlar azaltılarak, yatırımların etkinliği önümüzdeki dönemde değerlendirilmektedir.

Bununla birlikte, bu yaklaşım, pek çok avantajıyla, geniş bir hassas bilgi alışverişini gerektirir ve değişime katılanların çıkar çatışması, herhangi bir kalite güven artırıcı önlemin oluşturulmasını dışlar, bu nedenle yaygın olarak kullanılmaz.

Rusya Federasyonu Merkez Bankası standardında önerilen IS modeli, sorunu hem entegrasyonu (faaliyetin hedefleriyle ilişkili) hem de "davetsiz misafirin" özünün yorumunu genişletmek açısından daha da geliştirdi. . Saldırgan, sahibiyle yüzleşebilen ve kendi amacına sahip olan ve kuruluşun varlıkları üzerinde kontrol sahibi olmayı başaran bir kişidir.

Bu yaklaşım, çözümlerinin en rasyonel olduğu yerde, IS değerlendirme kapsamına giren kuruluşa verilen zarar türlerini ve kaynaklarını önemli ölçüde genişletir. Ancak, büyük ölçüde uzlaşmacı bir yaklaşımdı ve bilgi güvenliği sorunlarının faaliyetin nihai sonucuna (üretilen ürün) acilen daha fazla yaklaştırılmasını gerektiriyor. Davetsiz misafirlere karşı mücadele de dahil olmak üzere güvenli ve güvenilir bir bilgi alanının oluşturulması ve sürdürülmesi yoluyla işletmeye gerçekten yardımcı olan, performansına ve gerekli iyileştirmeye doğrudan katkıda bulunan bir modele ihtiyacımız var. Sadece böyle bir model iş dünyası tarafından algılanabilir. Diğerleri onlar tarafından reddedilecektir.

Bu metin bir giriş parçasıdır. Elektronik Bankacılık Teknolojilerini Uygulamak: Riske Dayalı Bir Yaklaşım kitabından yazar Lyamin L.V.

5.4. Bilgi güvenliği uyarlaması bankacılık ICBD'nin oluşumu ile bağlantılı olarak, yani. yenilerinin ortaya çıkması

yazar Andrianov V.V.

1. İş Bilgi Güvenliği Felsefesi

İş Bilgi Güvenliği kitabından yazar Andrianov V.V.

1.1.4. Bilgi güvenliğinin tanımı Bir iş süreci (yönetimi üzerindeki) üzerindeki bilgi etkisinin maddi veya finansal etkiden daha etkili olabileceği gerçeğinin ve bu tür etkiler için düşük kaynak eşiğinin kademeli olarak gerçekleştirilmesi

İş Bilgi Güvenliği kitabından yazar Andrianov V.V.

2. İşletme bilgi güvenliğini sağlamak için uygulanabilen mevcut yönetim (yönetim) modelleri Bir kuruluşun sınırsız bir kaynağı varsa, işinin bilgi güvenliğini sağlamak için herhangi bir yönetim sorunu yoktur. Eğer bir

İş Bilgi Güvenliği kitabından yazar Andrianov V.V.

3. İş bilgi güvenliğinin değerlendirilmesi. İş bilgi güvenliğini ölçme ve değerlendirme sorunu 3.1. Bilgi güvenliğini değerlendirme yolları İş hedeflerine ulaşmak için işi büyük ölçüde bilgi alanına bağlı olan kuruluşlar

İş Bilgi Güvenliği kitabından yazar Andrianov V.V.

3.1. Bilgi güvenliğini değerlendirme yöntemleri İşleri büyük ölçüde bilgi alanına bağlı olan kuruluşlar, iş hedeflerine ulaşmak için gerekli düzeyde bir bilgi güvenliği sistemi (IS Bakım Sistemi) sağlamalıdır. IŞİD bir takım

İş Bilgi Güvenliği kitabından yazar Andrianov V.V.

3.2. Bilgi güvenliği değerlendirme süreci 3.2.1. Değerlendirme sürecinin ana unsurları BS değerlendirme süreci, aşağıdaki değerlendirme unsurlarını içerir: - girdi verilerini belirleyen değerlendirme bağlamı: BS değerlendirmesinin amaçları ve amacı, değerlendirme türü (bağımsız değerlendirme,

İş Bilgi Güvenliği kitabından yazar Andrianov V.V.

3.2.2. Kuruluşun bilgi güvenliği değerlendirmesinin bağlamı IS değerlendirmesinin içeriği, IS değerlendirmesinin amaçlarını ve amacını, değerlendirmenin türünü, IS değerlendirmesinin amacını ve alanlarını, değerlendirme kısıtlamalarını, rolleri ve kaynakları içerir. değerlendirme sürecinin uygulanması organizatörü içerir,

İş Bilgi Güvenliği kitabından yazar Andrianov V.V.

Tanıtım

İş liderleri, bilgi güvenliğinin önemini anlamalı, bu alandaki eğilimleri nasıl tahmin edip yöneteceklerini öğrenmelidir.

Bugünün işi onsuz var olamaz Bilişim Teknolojileri. Dünyanın toplam ulusal üretiminin yaklaşık %70'inin bir şekilde bilgi sistemlerinde depolanan bilgilere bağlı olduğu bilinmektedir. Bilgisayarların yaygınlaşması, yalnızca bilinen kolaylıklar değil, aynı zamanda en ciddi olanı bilgi güvenliği sorunu olan sorunlar da yaratmıştır.

Standart, bilgisayar ve bilgisayar ağlarına yönelik kontrollerin yanı sıra güvenlik politikalarının geliştirilmesine, personelle çalışmaya (işe alma, eğitim, işten çıkarma), üretim sürecinin sürekliliğinin sağlanmasına ve yasal gerekliliklere büyük önem vermektedir.

Kuşkusuz, bu ders çalışması konusu modern koşullarda çok önemlidir.

Ders çalışmasının amacı: bilgi güvenliği profesyonel aktivite kuruluşlar.

Çalışma konusu: bilgi güvenliğinin sağlanması.

AT dönem ödevi bir proje oluşturmayı planladı Yönetim kararı gerçek hayattaki bir organizasyon temelinde bilgi güvenliğinin organizasyonu hakkında.

Bölüm 1. Mesleki faaliyetin bilgi güvenliği

Bilgi güvenliğini sağlamak, uzmanlar için nispeten yeni bir profesyonel faaliyet alanıdır. Bu tür faaliyetlerin ana hedefleri şunlardır:

Bilgi kaynaklarının oluşumu, dağıtımı ve kullanımı alanında dış ve iç tehditlerden korunmayı sağlamak;

Vatandaşların ve kuruluşların bilgilerin gizliliğini ve gizliliğini koruma haklarının ihlal edilmesinin önlenmesi;

Bunun için yasal bir dayanağın bulunmadığı durumlarda bilgilerin kasıtlı olarak tahrif edilmesini veya gizlenmesini önleyecek koşulların sağlanması.

Bu alandaki uzmanların müşterileri:

Federal yetkililer Devlet gücü Rusya Federasyonu'nun yönetimi ve yönetimi;

Rusya Federasyonu'nun kurucu kuruluşlarının devlet makamları;

Devlet kurum, kuruluş ve teşebbüsleri;

Savunma Sanayii;

Yerel özyönetim organları;

Devlet dışı kurum, kuruluş ve işletmeler
Emlak.

MTS hücresel iletişim şirketinin müşterilerinin bir veritabanının yasadışı da olsa ücretsiz satışındaki görünüm, bizi tekrar tekrar bilgisayar güvenliği sorununa dönmeye zorluyor. Görünüşe göre bu konu tükenmez. Alaka düzeyi ne kadar büyükse, ticari firmaların bilgisayarlaşma düzeyi o kadar yüksek ve kar amacı gütmeyen kuruluşlar. İş dünyasının ve modern toplumun neredeyse tüm diğer yönlerinde devrim niteliğinde bir rol oynayan yüksek teknolojiler, kullanıcılarını bilgi ve nihayetinde ekonomik güvenlik açısından çok savunmasız hale getiriyor.

Bu, yalnızca Rusya'da değil, kişisel bilgilere erişimi kısıtlayan ve saklanması için katı gereksinimler getiren yasalar olmasına rağmen, başta Batı olmak üzere dünyanın çoğu ülkesinde bir sorundur. Piyasalar, bilgisayar ağlarını korumak için çeşitli sistemler sunar. Ancak kendinizi kendi "beşinci sütununuzdan" nasıl korursunuz - vicdansız, sadakatsiz veya sadece gizli bilgilere erişimi olan dikkatsiz çalışanlar? MTS müşteri veritabanının skandallı sızıntısı, görünüşe göre, şirket çalışanlarının gizli anlaşmaları veya cezai ihmalleri olmadan gerçekleşemezdi.

Öyle görünüyor ki, çoğu olmasa da çoğu girişimci, sorunun ciddiyetinin farkında değil. Piyasa ekonomisi gelişmiş ülkelerde bile bazı araştırmalara göre şirketlerin %80'i iyi düşünülmüş, planlanmış bir depolama koruma sistemine, operasyonel veri tabanlarına sahip değil. Ünlü "belki" ye güvenmeye alışmış hakkımızda ne söyleyebiliriz.

Bu nedenle, gizli bilgilerin sızdırılmasının yarattığı tehlikeler konusuna dönmek, bu tür riskleri azaltmak için alınacak önlemlerden bahsetmek yersiz değildir. Legal Times'da yayınlanan bir yayın (21 Ekim 2002), yasal bir yayın (Mark M. Martin, Evan Wagner, “Information Vulnerability and Security”) bu konuda bize yardımcı olacaktır. Yazarlar, bilgi tehditlerinin en tipik türlerini ve yöntemlerini listeler. Tam olarak ne?

Ticari sırların sınıflandırılması ve çalınması. Burada her şey az çok açıktır. Klasik, eski tarih, ekonomik casusluk. Daha önce sırlar, güvenilir fiziksel ve (daha sonra) elektronik koruma altında, gizli yerlerde, devasa kasalarda tutulurken, bugün birçok çalışan, genellikle aynı müşteri verileri gibi çok hassas bilgileri içeren ofis veri tabanlarına erişebilmektedir.

Ödün veren malzemelerin dağıtımı. Burada yazarlar, şirketin itibarına gölge düşüren bu tür bilgilerin elektronik yazışmalarda çalışanlar tarafından kasıtlı veya kazara kullanılması anlamına gelir. Örneğin şirketin adı, mektuplarında hakarete, hakarete, kısacası organizasyonu tehlikeye atabilecek her şeye izin veren muhabirin etki alanına yansır.

Fikri mülkiyet ihlali. Bir kuruluşta üretilen herhangi bir fikri ürünün kuruluşa ait olduğunu ve kuruluşun çıkarları dışında çalışanlar tarafından (fikri değer üretenler ve yazarlar dahil) kullanılamayacağını unutmamak önemlidir. Bu arada Rusya'da, yarattıkları entelektüel ürünü sahiplenen ve kişisel çıkarları için, kuruluşun zararına kullanan kuruluşlar ve çalışanlar arasında bu konuda sıklıkla çatışmalar ortaya çıkıyor. Bu genellikle, iş sözleşmesinin çalışanların hak ve yükümlülüklerini özetleyen açıkça tanımlanmış normlar ve kurallar içermediği zaman, işletmedeki belirsiz yasal durum nedeniyle olur.

Gizli olmayan ancak rakipler için faydalı olabilecek şirket içi bilgilerin (genellikle kasıtsız olarak) dağıtımı. Örneğin, iş genişlemesi nedeniyle yeni boş pozisyonlar, iş gezileri ve müzakereler hakkında.

Rakiplerin web sitelerine ziyaretler. Artık daha fazla şirket, açık sitelerinde (özellikle CRM için tasarlanmış) ziyaretçileri tanımanıza ve rotalarını ayrıntılı olarak izlemenize, sitedeki sayfaların görüntülenme süresini ve süresini kaydetmenize olanak tanıyan programlar kullanıyor. Bir rakibin web sitesini ziyaretiniz, operatörü tarafından ayrıntılı olarak biliniyorsa, ikincisinin sizi tam olarak neyin ilgilendirdiği sonucuna varmasının zor olmadığı açıktır. Bu, en önemli rekabetçi bilgi kanalını terk etme çağrısı değildir. Rakip web siteleri, analiz ve tahmin için değerli bir kaynak olmuştur ve olmaya devam etmektedir. Ancak siteleri ziyaret ederken iz bıraktığınızı ve izlendiğinizi de unutmamalısınız.

Ofis iletişiminin kişisel amaçlarla kötüye kullanılması (dinleme, müzik ve işle ilgili olmayan diğer içerikleri görüntüleme, ofis bilgisayarı indirme) bilgi güvenliğine doğrudan bir tehdit oluşturmaz, ancak kurumsal ağ üzerinde ek stres yaratır, verimliliği azaltır ve müdahale eder. meslektaşlarının çalışmalarıyla.

Ve son olarak, dış tehditler - yetkisiz izinsiz girişler vb. Bu ayrı bir ciddi tartışma için bir konudur.

Kendinizi iç tehditlerden nasıl korursunuz? Kendi çalışanlarınızın neden olabileceği hasara karşı %100 garanti yoktur. Bu tamamen ve koşulsuz olarak kontrol edilemeyen bir insan faktörüdür. Aynı zamanda, yukarıda bahsedilen yazarlar, şirket içinde açıkça formüle edilmiş bir iletişim (veya bilgi) politikası geliştirmek ve uygulamak için faydalı tavsiyelerde bulunurlar. Böyle bir politika, ofis iletişimlerinin kullanımında neye izin verildiği ve neye izin verilmediği arasında net bir çizgi çizmelidir. Sınırı geçmek cezaya yol açar. Bilgisayar ağlarını kimin ve nasıl kullandığını izlemek için bir sistem olmalıdır. Şirket tarafından benimsenen kurallar, devlet ve ticari sırların, kişisel ve özel bilgilerin korunması için hem ulusal hem de uluslararası kabul görmüş standartlara uygun olmalıdır.


Bölüm 2. Bilgi güvenliğinin sağlanması

LLC "Laspi" de profesyonel faaliyet

2.1. Laspi LLC'nin kısa açıklaması

Laspi LLC, 1995 yılında bir Çek şirketinin Rusya'daki temsilciliği olarak kuruldu. Şirket, çeşitli beton ürünlerin üretimi için Çek ekipman ve sarf malzemelerinin tedariği ile uğraşmaktadır (kaldırım levhaları ile başlayan ve çitler, saksılar vb. ile biten). Donanım farklıdır yüksek kalite ve kabul edilebilir maliyet. Samara ofisine başvuran müşteriler, Rusya ve BDT'nin çeşitli şehirlerinden (Kazan, Ufa, Izhevsk, Moskova, Nizhny Novgorod, vb.) kuruluşlardır. Doğal olarak, bu kadar büyük ölçekli bir faaliyet, şirket içinde bilgi güvenliği konusunda özel bir tutum gerektirir.

Bugün bilgi güvenliği arzulanan çok şey bırakıyor. Kamuya açık çeşitli belgeler (teknik, ekonomik) vardır ve bu, şirketin hemen hemen her çalışanının (kurucudan sürücüye) herhangi bir engel olmadan kendilerini tanımasına izin verir.

Özellikle önemli belgeler bir kasada saklanır. Sadece müdür ve sekreteri kasanın anahtarlarına sahiptir. Ancak burada sözde insan faktörü önemli bir rol oynamaktadır. Anahtarlar genellikle ofiste masanın üzerinde unutulur ve kasa temizleyici tarafından bile açılabilir.

Ekonomik belgeler (raporlar, faturalar, faturalar, faturalar vb.) kilitli olmayan bir dolapta klasörler ve raflar halinde düzenlenir.

Çalışanlar bir işe başvururken ticari sırlara ilişkin herhangi bir ifşa etmeme sözleşmesi imzalamazlar ve bu bilgilerin dağıtılmasını engellemez.

Çalışanların işe alınması, iki aşamadan oluşan bir görüşme yoluyla gerçekleştirilir: 1. Acil amirle iletişim (potansiyel bir çalışanın beceri ve yeteneklerinin ortaya çıkarıldığı) 2. Kurucu ile iletişim (doğası gereği daha kişiseldir) ve böyle bir diyaloğun sonucu “birlikte çalışıyoruz” veya “çalışmayacağız”) olabilir.

Tüm bunlar, şirketin bilgi güvenliğini sağlamak için yönetimden ve yetkin bir programdan daha fazla dikkat gerektirir, çünkü bugün Laspi LLC'nin, örneğin müşteri tabanını veya tabanını kullanma fırsatını kaçırması muhtemel olmayan birçok rakibi vardır. şirketin tedarikçileri.

2.2. Laspi LLC'nin mesleki faaliyetlerinin bilgi güvenliğini sağlamak için taslak yönetim kararı.

Sorunları niteliksel olarak çözmeyi mümkün kılan örgütsel, idari, yasal ve diğer önlemler sisteminde önemli bir yer bilgi desteği araştırma ve üretim ve ticari faaliyetler, sınıflandırılmış bilgilerin maddi taşıyıcılarının fiziksel güvenliği, sızıntılarının önlenmesi, ticari sırların korunması, sanatçıların sınıflandırılmış belgelere ve bilgilere izin veren erişim sistemi tarafından işgal edilir.

RSFSR Yasasını dikkate alarak "İşletmeler ve girişimcilik faaliyeti"Bir işletmenin (firmanın) başkanı, mülkiyet biçiminden bağımsız olarak, ticari sır bırakan bilgilere ve taşıyıcılarına erişim için özel kurallar belirleyebilir ve böylece güvenliklerini sağlayabilir.

Güvenlik önlemleri sisteminde, işletmenin sırrını bırakan üretim, ticari, finansal ve kredi bilgilerinin ilgili işin belirli icracıları ve belgeler arasında optimal dağılımı esastır. Bilgi dağıtırken, bir yandan, belirli bir çalışana, kendisine verilen işin yüksek kaliteli ve zamanında performansı için tam miktarda veri sağlanması ve diğer yandan, hariç tutulması gerekir. sanatçının iş için ihtiyaç duymadığı gereksiz sınıflandırılmış bilgilere aşina olması.

Yüklenicinin şirketin ticari sırrını oluşturan bilgilere yasal ve makul erişimini sağlamak için işletmelerde uygun bir izin sisteminin geliştirilmesi ve uygulanması tavsiye edilir.

Erişim, resmi görevlerini (resmi makam) dikkate alarak bir veya başka bir çalışana belirli (veya tam olarak) gizli bilgilerin verilmesi için şirket başkanından (veya yaptırımı ile diğer yöneticilerden) yazılı izin alınması olarak anlaşılır. ).

CT'ye erişim kaydı, şirket yetkililerinin bilgi dağıtma ve kullanma yetkilerini yasal olarak belirleyen, yönetici tarafından onaylanan İzin Erişim Sistemi Yönetmeliğine uygun olarak gerçekleştirilebilir. Kuruluşun başkanı, herhangi bir sorunu çözmek için bu işletmenin herhangi bir çalışanına veya tesise başka bir kuruluştan gelen bir kişiye, bu bilgiler üretim ve ticari ortaklar tarafından aşinalık kısıtlamalarına tabi değilse, korunan bilgilerin kullanılmasına izin verebilir. ortak üretimde, vb. P. Bu nedenle, Laspi LLC, ticari sır niteliğindeki bilgilere (tedarikçiler ve müşterilerle yapılan sözleşmeler, işlemlerle ilgili nihai raporlar) erişimin aşağıdaki çalışanlarla sınırlandırılmasını önerir:

1. Şirketin kurucusu.

2.firmanın müdürü.

3. yönetmenin sekreteri.

Sadece şirketin kurucusu ve yöneticisi diğer çalışanların bilgilere erişmesine izin verebilir.

Müşterilerle yapılan cari işlemlerle ilgili bilgilere erişim, bu işlemleri yürüten yukarıdaki tüm çalışanlara ve yöneticilere sahip olmalıdır.

Ekipman satın alma fiyatlarına ilişkin ilk bilgiler de sınırlı olmalıdır. Yalnızca şirketin kurucusu, yöneticisi, çalışanların geri kalanına yalnızca önceden belirlenmiş fiyatlar (çeşitli “markalar” ile) sağlayan ve ayrıca kuruluştaki tüm belge akışını yöneten sekretere erişebilir.

Lisanslama sisteminin etkin bir şekilde çalışması ancak belirli kurallara uyulması halinde mümkündür:

1. İzinli sistem, zorunlu bir kural olarak, erişim konusuna karar verilen gizli bilgilerin önemini dikkate alarak, erişime izin vermek için farklı bir yaklaşım içerir.

2. Belirli korunan bilgileri kullanma hakkı için verilen iznin belgelenmesi gerekir. Bu, kullanım hakkını veren yöneticinin, bunu mutlaka uygun belgede veya işletmede yürürlükte olan muhasebe formunda yazılı olarak düzeltmesi gerektiği anlamına gelir. Hiç kimse tarafından (işletme başkanı hariç) hiçbir sözlü talimat veya erişim talebi yasal olarak bağlayıcı değildir. Bu gereklilik, sınıflandırılmış bilgiler ve onun taşıyıcıları ile çalışan her seviyedeki yöneticiler için de geçerlidir. Bu nedenle, yalnızca başın yazılı izni (yetki sınırları dahilinde), korunan bilgilerin bir veya başka bir kişiye verilmesi için bir izindir.

3. Kontrol ilkesine kesinlikle uyulmalıdır. Her ruhsatın veriliş ve düzenlenme tarihi olmalıdır.

En gizli belgede başın çözünürlüğü gibi geleneksel bir izin türü yaygın olarak kullanılmaktadır. Böyle bir izin, belgelere aşina olması veya bunları yerine getirmesi gereken çalışanların adlarının bir listesini, son teslim tarihini, diğer talimatları, baş imzasını ve tarihi içermelidir. Yönetici, gerekirse, belirli çalışanların belirli bilgilere erişimi konusunda kısıtlamalar getirebilir.

Çözünürlük, bir tür izin olarak, esas olarak, dışarıdan alınan ve işletmede oluşturulan belge ve ürünlerde yer alan sınıflandırılmış bilgilerin ilgili taraflara hızlı bir şekilde iletilmesi için kullanılır.

İşletmenin başkanı erişim izni verebilir. idari belgeler: işletme için siparişler, talimatlar, talimatlar. Kişilerin isimlerini, pozisyonlarını, özel sınıflandırma belgelerini ve kabul edilebilecekleri (tanıdık) ürünleri içermelidir.

Başka bir izin türü - sınıflandırılmış belgeler ve ürünlerle tanışma ve herhangi bir işlem yapma hakkına sahip kişilerin aile listelerine göre. Aile listelerine göre, işletme müdürü veya mevcut izin sistemine göre, kural olarak ilgili departman başkanlarından daha düşük olmayan pozisyonlarda görev yapan yöneticiler tarafından onaylanırlar.

Kişilerin aile listelerine göre, işletme için özel önem taşıyan sınıflandırılmış belgelere ve ürünlere erişim düzenlenirken, güvenli odalara erişim kaydedilirken, çeşitli kapalı etkinliklere (konferanslar, toplantılar, sergiler, toplantılar) kullanılabilirler. bilimsel ve teknik konseyler, vb.). Aile listelerinde, şef tarafından herkese izin verilen belirli liderler tanımlanabilir. kapalı belgeler ve uygun yazılı izinleri olmayan ürünler. Tam adı belirtirler. yüklenici, departman, tutulan pozisyon, kabul edildiği belge ve ürünler kategorisi. Uygulamada, aşağıdakileri belirten iş listelerinin versiyonu da geçerlidir: yüklenicinin pozisyonu, belgelerin hacmi (belge kategorileri) ve pozisyona karşılık gelen pozisyonu işgal eden işletmelerin çalışanları tarafından kullanılması gereken ürün türleri. liste. Küçük hacimli sınıflandırılmış belge ve ürünlere sahip işletmeler için, başın belgenin kendisinde, aile listelerinde, iş listelerinde çözülmesi gibi izin türlerinin kullanılması yeterli olabilir.

Organizasyonel anlamda, aile listeleri ilgili liderler tarafından hazırlanmalıdır. yapısal bölümler. Listede yer alan çalışanların listesi Güvenlik Konseyi başkanı tarafından onaylanır ve onay haklarını müdürlük içinden diğer kişilere devredebilecek olan işletme başkanı tarafından onaylanır.

Lisanslama sistemi aşağıdaki gereksinimleri karşılamalıdır:

yeri ve yaratılışı ne olursa olsun, işletmede bulunan her türlü sınıflandırılmış belge ve ürüne uygulanır;

CT ile çalışma hakkını alan tüm çalışan kategorileri ve ayrıca işletmeye geçici olarak gelen ve ortak kapalı siparişlerle ilgili uzmanlar için erişim prosedürünü belirlemek;

korunan belgelere ve ürünlere erişim izinleri vermek için basit ve güvenilir bir prosedür oluşturmak, kuruluştaki bilgi alanındaki değişikliklere anında yanıt vermenizi sağlar;

· ilgili icracı kategorilerine erişimin tasarımında çeşitli resmi seviyelerdeki yöneticilerin haklarını açıkça tanımlayın;

belge ve ürünlerin herhangi birine kontrolsüz ve yetkisiz verilmesi olasılığını dışlamak;

· sınıflandırılmış bilgi ve nesnelerle çalışan kişilerin eşit verilerde değişiklik yapmasına ve muhasebe belgelerini değiştirmesine izin vermeyin.

Bir izin sistemi geliştirirken, işletme için kesinlikle sınırlı erişim sağlayacak olan ana, özellikle değerli bilgilerin vurgulanmasına özel dikkat gösterilmelidir. Diğer işletmeler (kuruluşlar), yabancı firmalar veya bireysel temsilcileri ile ortak çalışmanın varlığında, bu kategorilerin işletmenin ticari sırrına erişim prosedürünü sağlamak gerekir. Devlet hizmet kuruluşlarının temsilcileriyle etkileşim prosedürünün belirlenmesi tavsiye edilir: teknik denetim, sıhhi ve epidemiyolojik istasyon vb.

Gizli belge ve ürünlerin müteahhitten müteahhitliğe devrinin ancak yapı birimi içinde ve başkanının izni ile mümkün olduğunun şirketin lisanslama sistemine ilişkin Yönetmelikte belirtilmesi gerekmektedir. Bu tür ürünlerin devri, iadesi, şirket tarafından belirlenen prosedüre göre ve sadece belirtilen günün mesai saatleri içinde gerçekleştirilir.

İşletme tarafından alınan ve üzerinde geliştirilen tüm sınıflandırılmış dokümantasyon ve ürünler, orta yönetim ve sekreter tarafından kabul edilir ve dikkate alınır. Kayıttan sonra, belgeler makbuz karşılığında işletme başkanına değerlendirilmek üzere sunulur.

Resmi konulardaki kapalı toplantıların sadece şirket başkanının veya vekillerinin izni ile yapıldığının şirketin izin sistemine ilişkin Yönetmelikte belirtilmesi gerekir. Akademik konsey toplantıları, Ar-Ge ve finansal ve ticari faaliyetlerin sonuçlarını gözden geçirme toplantıları vb. için özel şartlar geçerli olabilir. Bu tür olaylar için, mutlaka izin verilen listelerin hazırlanması ve bunlara yalnızca resmi zorunluluktan kaynaklanan planlanan etkinlikler ve katılımla doğrudan ilgili olan işletme çalışanlarının dahil edilmesi önerilir.

Yukarıda belirtildiği gibi, diğer firmaların çalışanları sadece firma yönetiminin kişisel izni ile kapalı toplantılara katılabilir. Kural olarak, ilgili yapısal birimlerin başkanlarıyla temas halinde toplantıyı düzenlemekten sorumlu listeler hazırlar. Liste, bu toplantıya kabul üzerindeki kontrolü organize etmenin temelidir. Toplantı başlamadan önce hazır bulunanlar, görüşülen bilgilerin gizli olduğu ve şirket tarafından belirlenen dolaşım kapsamı dışında herhangi bir dağıtıma konu olmadığı konusunda uyarılır ve kayıtların nasıl tutulacağı konusunda talimat verir.

Bir şirkette sınıflandırılmış bilgi ve ürünleri işlemek için belirli bir prosedürün oluşturulmasının, ticari sırların korunmasının güvenilirliğini önemli ölçüde artırdığını, ifşa olasılığını, bu bilgilerin taşıyıcılarının kaybını azalttığını vurgulamak önemlidir.

Belgelerin güvenliğini sağlamak için, belgeleri güvenli bir şekilde kilitlemenizi sağlayan uygun mobilyaların satın alınması önerilir. Dolapları kapatmak için her gün ayrılmadan önce de gereklidir.

Kasa ve dolapların anahtarları imza karşılığı güvenlik servisine teslim edilmelidir. Anahtarları saklamak için özel bir tüp satın almanız ve aynı şekilde mühürlemeniz de önerilir.

Bilgisayar bilgilerinin güvenliğine özellikle dikkat edilmelidir. Bugün Laspi LLC'de çeşitli veri tabanları oluşturulmuştur: şirketin müşterileri (yalnızca iş adreslerini ve telefon numaralarını değil, aynı zamanda ev adreslerini ve kişisel bilgilerini de belirtir); tedarik edilen ekipmanın fiyatlarını ve özelliklerini içeren bir veri tabanı; kuruluşun çalışanlarının veritabanı. Bilgisayarda ayrıca çeşitli sözleşmeler, sözleşmeler vb.

Her durumda, bu bilgilerin rakiplerin eline geçmesi son derece istenmeyen bir durumdur. Olayların bu şekilde gelişmesini önlemek için, her veritabanına erişim için parolalar oluşturulması önerilir (ve yazılım araçları buna izin verir). Bilgisayarı başlatırken, iki seviyeli korumanın ayarlanması da önerilir (BIOS'u yüklerken ve bu işletim sisteminin önceki sürümlerinin aksine, sabit sürücünün içeriğine parolasız erişime izin vermeyen Windows'2000'i yüklerken) . Doğal olarak, parolalar yalnızca şirketin bu veritabanlarıyla doğrudan çalışan çalışanlarına (sekreter, yöneticiler, programcılar) açık olmalıdır.

Bilgisayarla ilgili herhangi bir sorun olması ve dışarıdan bir firmayla iletişime geçilmesi gerektiğinde, ekipmanın onarım sürecini tam olarak kontrol etmek gerekir. Tüm şifrelerin kaldırıldığı, programcının "dışarıdan" sabit diskin içeriğine serbest ve engelsiz erişimi olduğu bir anda olduğu için, onun bilgileri ele geçirmesi ve çeşitli amaçlar için daha fazla kullanması mümkündür.

Virüslerin bilgisayarlarınıza girip yayılmasını önlemek için anti-virüs yazılımınızı güncel tutmanız gerekir.

Yeni çalışanların işe alınmasına özellikle dikkat edilmelidir. Günümüzde birçok kuruluş, bilgiyi şirket içinde tutma ve "insan faktörü" nedeniyle ötesine bırakmama arzusuyla ilişkili olan bu sürece daha sert bir yaklaşım uygulamaktadır.

Çoğu işe almanın iki aşamada gerçekleştiği durumlarda (yukarıda özetlendiği gibi), burada dört aşama önerilmektedir.

1. Personel departmanı başkanı ile görüşme. Personel departmanı başkanı adayla tanışır, özgeçmişi, mesleki faaliyetler hakkında sorular sorar, ön notlar alır. Bu adım profesyoneldir. Daha sonra personel daire başkanı adaylardan aldığı bilgileri analiz ederek müdüre iletir.

2. Personel departmanı başkanı tarafından adayların özgeçmişleri ve bunlarla ilgili notlar ile tanışmayı, en uygun olanları seçmeyi ve onları mülakata davet etmeyi başarır. Mülakat doğası gereği kişiseldir ve standart olmayan sorular içerir (örneğin, bir kişi ne yemeyi sever, hobisi nedir vb.) Böylece yönetici, bu kişinin kendisine ne kadar uygun olduğuna karar vermek için bilgi alır, tahminler yapar. olası problemler bu adayla iletişim kurarken karşılaşabileceği

3. Test. Burada çalışanın zeka seviyesi zaten belirlenir, psikolojik portresi çeşitli testler temelinde derlenir. Ancak önce yöneticinin ve iş arkadaşlarının yeni çalışanı nasıl görmek istediğini belirlemeniz gerekir.

4. Güvenlik hizmeti. Burada iki aşama önerilmektedir: a) çeşitli durumlarda adayların doğrulanması (mahkemeye getirilip getirilmediği, hürriyetinden yoksun bırakıldığı yerlerde yatıp yatmadığı, uyuşturucu bağımlılığı dispanserine kayıtlı olup olmadığı, hakkında verdiği bilgilerin olup olmadığı). önceki işler doğrudur); b) genellikle "yalan dedektörü" olarak adlandırılan özel ekipmanın kontrol edilmesi. İkinci aşamada, çalışanın şirkete ne kadar sadık olduğu, kışkırtıcı sorulara ne gibi tepkiler verdiği (örneğin, iş arkadaşlarından birinin eve evrak götürdüğünü öğrenirse ne yapacağı) vb. belirlenir.

Ve ancak aday tüm bu dört aşamayı geçtikten sonra onu işe alıp almamaya karar verebilirsiniz.

Olumlu bir karar verildikten sonra çalışana bir deneme süresi verilir (Rusya Federasyonu mevzuatına göre 1 ila 3 ay arasında değişebilir, ancak en az 2 ay ve tercihen 3 ay önerilir). Deneme süresi boyunca, yönetim ve güvenlik servisi yeni çalışana göz kulak olmalı, faaliyetlerini gözlemlemelidir.

Ek olarak, istihdamdan hemen sonra, sonuçla birlikte gereklidir. iş sözleşmesi ticari sırların ifşa edilmemesi konusunda bir anlaşma imzalanması. Bu anlaşmanın önerilen maddeleri:

Bu, bir anlaşmaya dahil edilebileceklerin tam listesi değildir.


Çözüm

Bugün, bilgi güvenliğini organize etme konusu, büyük şirketlerden eğitimsiz girişimcilere kadar her düzeydeki kuruluşu ilgilendirmektedir. tüzel kişilik. Modern piyasa ilişkilerinde rekabet mükemmel olmaktan uzaktır ve çoğu zaman en yasal yollarla yürütülmez. Endüstriyel casusluk gelişiyor. Ancak, örgütün ticari sırrına ilişkin bilgilerin kasıtsız olarak dağıtıldığı durumlar da vardır. Kural olarak, çalışanların ihmali, durumu anlamamaları, diğer bir deyişle “insan faktörü” burada rol oynamaktadır.

Kurs çalışması, Laspi LLC'de bilgi güvenliğinin organizasyonu hakkında bir taslak yönetim kararı sunar. Proje, güvenlik organizasyonunun üç ana alanını etkiler: 1. dokümantasyon alanı (kağıt üzerinde sunulan materyallere erişim, bu erişimin sınırlandırılması); 2.bilgisayar güvenliği; 3. Yeni çalışanları işe alma açısından güvenlik.

Bu proje kapsamında geliştirilmiş olmasına rağmen akılda tutulmalıdır. özel organizasyon, hükümleri diğer orta ölçekli firmalarda güvenliği düzenlemek için de kullanılabilir.