Компанія "Бюро економічної безпеки (бізнесу)" професійно займається забезпеченням інформаційної безпеки на підприємствах.
За статистикою, більше половини всіх проблем бізнесу виникають через «прогалини» в інформаційній безпеці. Витік інформації до конкурентів, втрата даних, передача в чужі руки секретної інформації компанії – це несе великий ризик для бізнесу.
На першому місці – захист фінансових даних, на другому – захист від витоків, а на третьому – захист від DdoS-атак. І якщо перші два пункти вже давно у трійці лідерів, то проблема з атаками виникла лише нещодавно. Причина такого інтересу – кількість DdoS-атак, що зросла, на компанії малого та середнього сегменту.
Основні методи інформаційного захисту бізнесу:
1. Захист від вторгнень
– встановлення програм або обладнання, необхідного для контролю трафіку у мережі. З появою першої ж небезпеки (вторгнення) система реагує та блокує доступ. Водночас відбувається повідомлення відповідального співробітника.
2. Захист від витоків
– набір заходів, які дозволяють запобігти попаданню конфіденційної інформації в сторонні руки. Витік може статися двома способами:
- шляхом зловмисного крадіжки (шпигунство, рейдери, інсайдери);
- через помилку персоналу (втрата носія, відсилання пароля поштою, перехід на сторінку з вірусом, відсутність відповідальних людей за передачу прав на доступ до даних тощо).
При зловмисному крадіжці способи захисту такі – обмеження режиму допуску на підприємство, встановлення камер спостереження, монтаж засобів знищення даних на серверах, шифрування інформації, зберігання даних на зарубіжних серверах.
Крім цього, для захисту від випадкових помилок важливо організувати запис телефонних розмов, моніторинг трафіку та роботи співробітника за ПК, шифрування USB карт, застосування RMS, впровадження DLP систем і так далі.
3. Захист IP-мереж
бурхливий розвиток IP-мереж, у тому числі мережі Інтернет, сприяв створенню та вдосконаленню великої кількості перевірених часом та бізнесом засобів та механізмів забезпечення безпеки. Їх застосування дозволяє зробити інформаційний обмін IP-мережами набагато безпечнішим, ніж передачу даних по спеціалізованих лініях зв'язку.
Безпека в IP-мережах – це реальність.
4. Захист файлів
має на увазі збереження всієї найважливішої інформації, яка зберігається на комп'ютерах та серверах усередині компанії. Вона реалізується так:
- Шифруванням файлових систем (даних)- Застосування систем EFS, Qnap, CryptoPro і так далі;
- шифруванням ноутбуків (нетбуків),носіїв інформації, мобільних апаратів – програмні рішення (Kasperskiy, SecretDisk, Endpoint Encryption) чи модулі шифрування від Sony, Asus та інших компаній;
- Захист інформації від системного адміністратора, Наприклад, за допомогою TrueCrypt;
- реєстрація мобільного на трекерах моніторингових систем(за допомогою Касперського або Prey);
— заборона (обмеження) доступу до різних електронних файлів(один із найкращих варіантів — Active Directory Rights Management Services).
- Єдина аутентифікація.Можна використовувати дві схеми – на доменній авторизації (обладнання прив'язується до доменної структури), за допомогою електронного ключа E-token або за допомогою оповіщення SMS.
5. Оптимізація та захист 1С
- при роботі з базою 1С– шифрування дисків, обмеження прав доступу, встановлення системи захисту процесів обміну даними та фалів;
- при роботі з СУБД бази 1С– обмеження прав адміністратора у користувачів, використання систем шифрування, виконання заходів щодо обмеження віддаленого чи фізичного доступу до серверів тощо;
- Захист конфіденційних данихх.
Крім перелічених вище заходів, до способів забезпечення інформаційної безпеки належить:
- Захист корпоративних комунікацій;
- Швидке видалення інформації з сервера;
- Контроль роботи співробітників;
- Забезпечення відмовостійкості та стабільності всіх бізнес процесів.
2019
ІБ-пріоритети СМБ
Компанії СМБ-сегменту тягнуться до хмар, до сервісної моделі споживання послуг за моделлю MSSP (Managed Security Service Provider). Це допомагає їм суттєво скорочувати операційні витрати у галузі ІБ.
| Зараз деякі вендори пропонує своїм клієнтам хмарні ІБ-сервіси за підписною моделлю. На мій погляд, середній та малий бізнес йтиме саме до такої, сервісної моделі ІБ, – зазначає Дмитро Лівшиць, генеральний директор «Діджітал Дизайн». |
Сервісна модель споживання ІБ стає все більш затребуваною суб'єктами малого та середнього підприємництва, оскільки ці компанії не можуть собі дозволити численний штат фахівців з безпеки.
За словами Володимира Баланіна, керівника Департаменту інформаційної безпеки ДК «Ай-Теко», СМБ-сегмент стає основним споживачем послуг сервіс-провайдерів, які надають послуги одночасно з інтегрованими сервісами інформаційної безпеки: немає витрат на адміністрування, моніторинг та утримання власної інфраструктури, а ризики регуляторних вимог несе сервіс-провайдер.
У той же час для російського ринку зараз характерно дуже обмежену пропозицію щодо ІБ для СМБ. Як зазначає Андрій Янкін, директор Центру інформаційної безпеки компанії "Інфосистеми Джет", майже всі сервісні послуги направлені на великих замовників. Типових і недорогих, але не примітивних ІБ-сервісів для СМБ, за його словами, практично не існує, хоча в інших країнах цей ринок непогано розвинений.
Разом з тим, з розвитком сегмента керованих сервісів ІБ та перспективою розвитку ринку страхування кіберрисків, ця категорія замовників отримає у своє розпорядження адекватні сучасним загрозам заходи.
Поки що СМБ-компанії реалізують базову ІТ-безпеку, рідко піднімаючись на рівень бізнес-процесів.
За словами Дмитра Пудова, заступника гендиректора Angara Technologies Group з технологій та розвитку, представникам СМБ, за їхніх бюджетів, доступ до високотехнологічних чи складних рішень практично закритий. Це не обумовлено виключно вартістю рішень, швидше за причина в OPEX, яку вони несуть.
Основні рішення, які купують замовники СМБ-сегменту – антивіруси та програмні міжмережові екрани, каже Яків Гродзенський, керівник напряму інформаційної безпеки компанії «Системний софт». Крім того, компанії даного сегмента активно починають цікавитися питаннями аудиту ІБ та проведення пентестів, адже такі організації не завжди тримають у штаті окремого спеціаліста з інформаційної безпеки, не кажучи вже про пентестерів.
В'ячеслав Медведєв, провідний аналітик компанії «Доктор Веб», додає, що опитування середнього бізнесу показали відсутність таких компаній коштів на захисні рішення, відмінні від базових.
ІБ-пріоритети великого бізнесу
Для акціонерів, власників та топ-менеджменту завжди важливо мати об'єктивну картину ІБ та технологічних процесів усередині організації, тому загальний рівень зрілості ІБ у компаніях зростає з кожним роком. Однак деяким великим організаціям, як і раніше, не вистачає елементарного порядку в бізнес-процесах, які забезпечують роботу інформаційних систем, що може призвести до хаосу в ІБ. Тому основний пріоритет для великих компаній – у вирішенні цих завдань, вважає Микола Забусов, директор департаменту інформаційної та мережевої безпеки «Степ Лоджік».
Крім того, великий бізнес наголошує на виконанні вимог регуляторів та внутрішніх стандартів, намагаючись створити більш-менш рівномірно захищену інфраструктуру. Галузеві стандарти в галузі інформаційної безпеки розроблені та «впроваджені» у багатьох корпораціях.
Великі комерційні компанії по суті опинилися перед вибором: йти шляхом цифрової трансформації, або працювати, не змінюючи парадигму ведення бізнесу. Але в другому випадку вони рано чи пізно будуть змушені поступитися своїми позиціями на ринку конкурентам, що виявили велику гнучкість.
| Серед пріоритетів для сегменту enterprise можу відзначити, з одного боку, підвищення ефективності використання класичних ІБ-рішень, а з іншого – впровадження засобів захисту від загроз нового типу в рамках реалізації проектів з диджиталізації. Останнє дуже важливо, оскільки обмеження з точки зору безпеки найчастіше є однією з головних причин повільного проходження шляхом цифрової трансформації, - зазначає Олег Шабуров, керівник департаменту інформаційної безпеки компанії Softline. |
З погляду практичної безпеки вектор все більше зміщується із запобігання атакам до їх виявлення та реагування, вважає Андрій Заїкін, керівник напряму інформаційної безпеки компанії «Крок». Це призводить до того, що стають все більш популярними і затребувані щодо молоді класи рішень: EDR, IRP. Автоматизовані системи реагування мають різні набори скриптів, сценаріїв та дозволяють блокувати спроби поширення загроз.
ІБ-сервіси
СМБ-компанії, які розуміють критичність забезпечення інформаційної безпеки для свого бізнесу, йдуть шляхом використання сервісних моделей.
Перш ніж розповідати про те, які ризики інформаційної безпеки можуть чекати на вас під час роботи, хочу представитися: мене звуть Каміла Йосипова. Я старший менеджер з інформаційної безпеки IT-компанії ICL Services, працюю в даній організації вже 5 років. Також я сертифікований аудитор інформаційних систем CISA (сертифікація ISACA, розшифровується як Certified Information Systems Auditor).
У 2018 обсяг витоків даних у компаніях зріс на 5%. Людський фактор є однією з основних причин виникнення інцидентів, пов'язаних із інформаційною безпекою. Безтурботність, необережність, мотив, умисел – ось ті причини, через які співробітники ваших компаній можуть навмисне або ненавмисне звести бізнес на дно. Як убезпечити себе та своїх клієнтів, що робити для розвитку культури роботи з даними у співробітників, і які при цьому застосовувати методи розповім далі.
План з налагодження роботи в галузі ІБ
Якщо поглянути глобально, можна побачити, що у сфері інформаційної безпеки простежується певна закономірність: увагу ІБ багато в чому залежить від діяльності компанії. Наприклад, у державних органах чи банківській сфері існують жорсткіші вимоги, отже, приділяється більше уваги навчанню співробітників, отже, і культура роботи з даними більш розвинена. Проте сьогодні звернути увагу на цю проблему варто кожному.
Отже, ось кілька практичних кроків, які допоможуть вам налагодити роботу в галузі ІБ:
1 крок. Розробте та впровадьте загальну політику інформаційної безпеки, яка міститиме основні принципи роботи компанії, цілі та завдання в галузі управління ІБ.
2 крок. Введіть політику класифікацій та рівні конфіденційності.
При цьому необхідно не просто написати документ, до якого співробітник матиме доступ 24 на 7, а й проводити різні навчальні заходи, розповідати про зміни, що вносяться. Дотримуйтесь правил: попереджений – значить озброєний. Нехай у компанії ведеться постійна робота у цьому напрямку.
3 крок. Розвивайте проактивний підхід.
Це як профілактика у медицині. Погодьтеся, набагато дешевше та простіше пройти профілактичне обстеження, ніж лікувати занедбану хворобу. Наприклад, у нашій компанії проактивний підхід працює так: для роботи з інформацією у комерційних проектах ми розробили Стандарт управління ІБ у проектах, який містить необхідний мінімум вимог щодо ІБ для забезпечення певного рівня зрілості процесів ІБ у комерційному проекті. Там описано, що потрібно робити, щоб підтримувати певний рівень зрілості процесу управління безпекою. Цей стандарт ми впровадили у проекти і тепер щорічно проводимо внутрішні аудити: перевіряємо наскільки проекти відповідають цим вимогам, виявляємо ризики ІБ та кращі практики, які можуть допомогти іншим проектним менеджерам.
Крім аудитів, добре працює Knowledge sharing. Якщо «грім гримнув» в одному з проектів, іншим добре про це дізнатися і встигнути вжити необхідних заходів.
4 крок. Усі документи, що пояснюють правила, робіть: структурованими, зрозумілими та ємними.
Як показує практика, довгі багатосторінкові тексти ніхто не читає. Документ слід писати зрозумілою мовою. Також, він має бути у згоді з бізнес-цілями та санкціоновано топ-менеджментом – це буде більш вагомим аргументом для співробітників, чому цим правилам слід дотримуватися.
5 крок. Проводьте тренінги, бесіди, ділові ігри тощо.
Дуже часто люди не розуміють, як деякі правила пов'язані з їхньою конкретною роботою, тому потрібно наводити приклади, пояснювати, показувати, як вони можуть це застосувати. Тут важливо показати наслідки, аж до втрати бізнесу, і які конкретно наслідки чекають на співробітника, аж до кримінальної відповідальності.
Щоб впроваджувати все вищезгадане в компанії, необхідні ресурси, як матеріальні, так і людські. Тому зараз у багатьох компаніях почала з'являтися посада Директора з інформаційної безпеки (CISO). Завдяки цій посаді є можливість донести до керівників бізнесу важливість просування будь-яких рішень, виділення коштів тощо. CISO здатний просувати інформаційну безпеку компанії на всіх рівнях.
Завдання, які він бере на себе, великі: комунікації з топ-менеджментом, обґрунтування тих чи інших рішень, комунікації з власниками процесів для впровадження безпеки в усіх напрямках. З погляду кіберзагроз, він є точкою контакту, при цьому він управляє, визначає стратегії з реагування на кіберзагрози, координує роботу з реагування на атаки.
Навчання співробітників: складно, довго, але необхідно
Однак, перш ніж вчити людей певним правилам, необхідно розуміти одну річ: не можна зупинятися на людському факторі, за ним може бути щось інше – нестача ресурсів, знань чи технологій. Тут найефективніший метод – проводити аналіз справжніх причин, діставатися кореневої причини.
Під час роботи з людьми необхідно підбирати ключик буквально до кожного. Усі люди різні, відповідно і методи застосовувати потрібно різні. В одному з інтерв'ю зі співробітником, фахівець сказав мені: я щось робитиму, тільки якщо знатиму, що мені потрапить за невиконання вимоги. І навпаки, на деяких діє лише позитивна мотивація, така як хороша оцінка якості роботи, заохочення за успішне проходження тренінгів.
Існує думка, що фахівці ІБ часто виступають як «гальма» інновацій, особливо коли вони обмежують застосування нових технологій та моделей роботи бізнесу. Це дійсно може бути так, однак важливо пам'ятати наступне: «Security is like brakes on your car. Їхня функція is to slow you down. Але їх purpose is to allow you to go fast. Dr.Gary Hinson» («Безпека – це як гальма на твоїй машині. Їхня функція – уповільнити тебе. Але їхня мета в тому, щоб дати тобі можливість рухатися швидко»). Важливо розуміти, що без цих правил неможливо йти далі, адже в якийсь момент ти просто не зможеш розвивати свій бізнес, якщо не захищатимешся від кіберзагроз і управлятиме ризиками ІБ. Для того, щоб дотриматися балансу, у нашій компанії використовується ризик-орієнтований підхід, який лежить в основі стандарту ISO 27001. Цей підхід дозволяє вибрати застосовні до нас вимоги та заходи безпеки, які необхідні для того, щоб захиститись від актуальних для нас загроз. За допомогою цього підходу ми можемо вибирати і з фінансової точки зору: наскільки доцільним є застосування тих чи інших заходів. Наприклад, ми можемо встановити біометричний сканер на кожній переговорці, але наскільки це нам потрібно, яку цінність приносить, які ризики знижує? Не завжди відповідь очевидна.
Ми в ICL Services розуміємо, що нам важлива конфіденційність інформації, з якою ми працюємо, для цього ми шифруємо ноутбуки, адже навіть якщо ноутбук загубиться, інформація не потрапить до рук зловмисників. Оце критично, і на це ми готові витрачати кошти.
Я вважаю, що тільки таким чином можна дотриматися балансу між безпекою та цінністю для бізнесу: вибирати, бути в курсі інновацій і завжди оцінювати ризики (наскільки вартість реалізації ризику можна порівняти з витратами на закупівлю того чи іншого рішення для захисту).
Комплексний підхід - ідеальний рецепт ІБ
На мій погляд, комплексний підхід у роботі з безпекою є найефективнішим, адже ІБ – це питання людської поінформованості, поведінки та правильної організації бізнес-процесів з урахуванням вимог безпеки. Інциденти найчастіше трапляються через співробітників: люди помиляються, втомлюються, можуть натиснути не на ту кнопку, тому половина успіху – це технічні обмеження, від випадкових ненавмисних інцидентів, друга половина – культура безпеки кожного співробітника.
Тому важливо проводити профілактичні бесіди, тренінги. У сучасному світі кіберзагрози розраховані на людей: якщо ти отримав фішинговий лист, він нешкідливий, доки ти не дістанешся до заслання і не кликнеш на неї. У нашій компанії йде наголос на свідомість персоналу, на роботу з людьми, на поінформованість. Ну і третій момент – організаційний, люди повинні знати правила, правила мають бути прописані, має бути певна політика, яку всім слід слідувати.
Пам'ятайте: у світі кіберзагрози є дуже поширеними, і при цьому наслідки атак дуже серйозні – до повної втрати бізнесу, банкрутства. Звичайно, питання стоїть на порядку денному. Безпека в наш час вже просто повинна бути частиною корпоративної культури, і топ-менеджмент є першою зацікавленою стороною в даному питанні, оскільки управляє бізнесом, і при реалізації ризиків відповідає в першу чергу.
Ось кілька порад, які дозволять вашим співробітникам уникнути інцидентів ІБ:
- Не можна проходити за неперевіреними посиланнями;
- Не можна розповсюджувати конфіденційну інформацію;
- Не можна записувати пароль на папірці та клеїти стікер;
- Не можна користуватися USB-носіями, в яких ви не впевнені (зловмисник може залишати заражений фізичний пристрій там, де його обов'язково знайде жертва);
- При реєстрації на сайтах, вказуючи номер телефону та поштову адресу, уважно дивіться, для чого потрібна ця інформація, можливо таким чином ви підпишіться на платне розсилання.
Я сподіваюся, що згодом безпека стане ключовим елементом корпоративної культури у кожній компанії.
Досконало опанувати навички для роботи в галузі інформаційної безпеки ви можете на факультеті.
Забезпечення інформаційної безпеки бізнесу Андріанов В.В.
1.3. Модель інформаційної безпеки бізнесу
1.3.1. Мотивація
Російська та світова практика регулювання інформаційної безпеки (ІБ) недавнього минулого складалася з обов'язкових вимог національних уповноважених органів, що оформлюються у вигляді керівних документів РД. Тому для топ-менеджменту та власників організацій існувала лише одна проблема відповідності їм (комплаєнс) і лише один спосіб її вирішення – як з мінімальними витратами виконати запропоновані вимоги. Для уповноважених органів існувала своя проблема - як через неможливість охоплення всіх можливих видів діяльності та умов їх реалізації, а також суттєвих відмінностей з метою діяльності запропонувати універсальний набір вимог. Для цього проблема ІБ розглядалася як самодостатня сутність, інваріантна до діяльності, цілей, умов, а також суттєво уживалася у змістовності для універсальності.
Обидва підходи (організацій та регуляторів) неадекватні існуючій реальності та представляють її у суттєво спотвореному вигляді. Так, основні змістові обмеження на діяльність із забезпечення ІБ пов'язані з традиційною моделлю ІБ, що передбачає обов'язкову наявність зловмисника, який прагне завдати шкоди активам (інформації), і, відповідно, орієнтованої на захист інформації від дій такого суб'єкта (групи суб'єктів). При цьому інциденти, пов'язані, наприклад зі штатними змінами прикладного софту, не можуть бути віднесені до зловмисника. Їх можливі причини – слабо розвинений менеджмент та слабка технологічна база. Власна неадекватність організації (менеджменту, процесів основної діяльності) умовам, що склалися, взагалі є дуже потужним джерелом проблем, яке ігнорується через неможливість його прив'язки до зловмисника.
Подальша еволюція моделей ІБ була пов'язана з посиленням ролі власника (власника) і зводилася до того, що він сам вибирав (на свій страх та ризик) із запропонованого йому стандартного набору захисних заходів ті, які йому необхідні, тобто такі, що, на його думку, можуть забезпечити прийнятний рівень безпеки. Це був суттєвий крок уперед, оскільки він забезпечував прив'язку ІБ до конкретного об'єкта з конкретними умовами його існування, частково вирішуючи протиріччя, пов'язані із самодостатністю проблеми ІБ. Однак конструктивного механізму для власника запропонувати не вдалося, крім створення каталогу об'єктів з вибраними типовими захисними заходами (профілів захисту). Самі профілі створювалися у своїй експертно-евристическим методом. При цьому який все-таки ризик приймав він власник, залишалося невідомим і визначалося практично.
Подальша еволюція звелася до тези у тому, що ІБ може створювати (породжувати) збитків з метою діяльності і тому ризики ІБ (яка залишалася самодостатньою) мають бути узгоджені (пов'язані) з ризиками організації. Залишалося лише вказати, як їх пов'язувати, та інтегрувати систему менеджменту ІБ (СМІБ) у загальнокорпоративний менеджмент не як ізольовану та незалежну систему процесів, бо як невід'ємну, сильно пов'язану складову частину менеджменту. Цього не вдалося зробити. Однак цей підхід добре просунув ряд оцінних категорій ІБ, включаючи ризик ІБ.
Відомі також прагматичні моделі ІБ, засновані на оцінці сукупної вартості володіння (стосовно ІБ) та «поверненні» інвестицій в ІБ. У рамках цього підходу група близьких за цілями та умовами діяльності організацій періодично здійснює оцінку за напрямками реалізації ІБ та формує модель, що складається з кращих практик по групі. Далі кожна з організацій відповідно до своїх відставань від кращих практик і своїх умов (інцидентів, що відбулися) визначає напрямок та обсяг інвестицій. Ефективність інвестицій оцінюється у наступному періоді щодо зниження збитків від інцидентів, що опинилися в галузі вироблених інвестицій і не спричинили тому великих збитків.
Однак цей підхід при багатьох своїх перевагах вимагає широкого обміну чутливою інформацією, а конфлікт інтересів учасників обміну виключає створення скільки-небудь якісних заходів довіри, тому він не має широкого розповсюдження.
Модель ІБ, запропонована у стандарті ЦБ РФ, ще більше просунула проблему як у частині її інтеграції (пов'язала з цілями діяльності), і у частині розширення тлумачення сутності «зловмисник». Під зловмисником розуміється особа, здатна вести протиборство з власником і має свою мету, що він реалізує, досягаючи контролю за активами організації.
Такий підхід істотно розширює види та джерела збитків організації, що потрапляють в область розгляду ІБ, де їх вирішення є найбільш раціональним. Він, однак, був багато в чому компромісним підходом і вимагає подальшого наближення проблем ІБ до кінцевого результату діяльності (виготовленому продукту). Потрібна модель, яка реально допомагає бізнесу, безпосередньо сприяє його результативності та необхідному покращенню за допомогою створення та підтримки безпечної та довіреної інформаційної сфери, у тому числі через боротьбу зі зловмисником. Тільки така модель може сприйматися бізнесом. Будь-яка інша їм відторгатиметься.
Цей текст є ознайомлювальним фрагментом.З книги Застосування технологій електронного банкінгу: ризик-орієнтований підхід автора Лямін Л. В.5.4. Адаптація забезпечення інформаційної безпеки Базова причина погіршення проблеми ОІБ в умовах переходу до ДБО полягає в принциповій зміні складу загроз надійності банківської діяльності у зв'язку з формуванням ІКБД, тобто виникнення їх нових
автора Андріанов В. В.1. Філософія інформаційної безпеки бізнесу
З книги Забезпечення інформаційної безпеки бізнесу автора Андріанов В. В.1.1.4. Визначення інформаційної безпеки Поступове усвідомлення факту, що інформаційний вплив на бізнес-процес (на управління ним) може бути ефективнішим, ніж матеріальний чи фінансовий вплив, а також низький ресурсний поріг таких впливів
З книги Забезпечення інформаційної безпеки бізнесу автора Андріанов В. В.2. Існуючі моделі менеджменту (управління), які застосовуються для забезпечення інформаційної безпеки бізнесу Якщо організація має необмежений ресурс, то проблеми управління для забезпечення інформаційної безпеки її бізнесу не існує. Якщо
З книги Забезпечення інформаційної безпеки бізнесу автора Андріанов В. В.3. Оцінка інформаційної безпеки бізнесу. Проблема вимірювання та оцінювання інформаційної безпеки бізнесу 3.1. Способи оцінки інформаційної безпеки Організації, бізнес яких багато в чому залежить від інформаційної сфери для досягнення цілей бізнесу
З книги Забезпечення інформаційної безпеки бізнесу автора Андріанов В. В.3.1. Способи оцінки інформаційної безпеки Організації, бізнес яких великою мірою залежить від інформаційної сфери, задля досягнення цілей бізнесу мають підтримувати необхідному рівні систему забезпечення ІБ (СОІБ). СОІБ є сукупністю
З книги Забезпечення інформаційної безпеки бізнесу автора Андріанов В. В.3.2. Процес оцінки інформаційної безпеки 3.2.1. Основні елементи процесу оцінки Процес оцінки ІБ включає такі елементи проведення оцінки: - контекст оцінки, який визначає вхідні дані: цілі та призначення оцінки ІБ, вид оцінки (незалежна оцінка,
З книги Забезпечення інформаційної безпеки бізнесу автора Андріанов В. В.3.2.2. Контекст оцінки інформаційної безпеки організації Контекст оцінки ІБ включає цілі та призначення оцінки ІБ, вид оцінки, об'єкт та області оцінки ІБ, обмеження оцінки, ролі та ресурси.
З книги Забезпечення інформаційної безпеки бізнесу автора Андріанов В. В.Вступ
Керівники компаній повинні усвідомити важливість інформаційної безпеки, навчитися прогнозувати тенденції у цій галузі та керувати ними.
Сьогоднішній бізнес може існувати без інформаційних технологій. Відомо, що близько 70% світового сукупного національного продукту залежить тим чи іншим чином від інформації, що зберігається в інформаційних системах. Повсюдне впровадження комп'ютерів створило як відомі зручності, а й проблеми, найсерйознішою з яких є проблема інформаційної безпеки.
Поряд із елементами управління для комп'ютерів та комп'ютерних мереж стандарт приділяє велику увагу питанням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпечення безперервності виробничого процесу, юридичних вимог.
Безперечно, ця тема курсової роботи дуже актуальна в сучасних умовах.
Об'єкт курсової: інформаційна безпека професійної діяльності організації.
Предмет дослідження: забезпечення інформаційної безпеки.
У курсовій роботі планується створити проект управлінського рішення щодо організації інформаційної безпеки на базі реально існуючої організації.
Глава 1. Інформаційна безпека професійної діяльності
Забезпечення інформаційної безпеки є порівняно новою галуззю професійної діяльності спеціалістів. Основними цілями такої діяльності є:
Забезпечення захищеності від зовнішніх та внутрішніх загроз у сфері формування, розповсюдження та використання інформаційних ресурсів;
Запобігання порушенням прав громадян та організацій на збереження конфіденційності та таємності інформації;
Забезпечення умов, що перешкоджають навмисному перекручування або приховування інформації за відсутності для цього законних підстав.
Замовниками фахівців у цій галузі є:
Федеральні органи державної влади та управління РФ;
Органи структурі державної влади суб'єктів РФ;
Державні установи, організації та підприємства;
Оборонна промисловість;
Органи місцевого самоврядування;
Установи, організації та підприємства недержавної форми
власності.
Поява у вільному, хоч і нелегальному продажу бази даних клієнтів компанії стільникового зв'язку МТС знову і знову змушує звертатися до проблеми комп'ютерної безпеки. Схоже, ця тема невичерпна. Її актуальність тим більше, що вищий рівень комп'ютеризації комерційних фірм та некомерційних організацій. Високі технології, граючи революційну роль розвитку бізнесу і майже всіх інших сторін сучасного суспільства, роблять їх користувачів дуже вразливими з погляду інформаційної, а кінцевому підсумку економічної безпеки.
Це проблема не тільки Росії, але більшості країн світу, насамперед західних, хоча там і діють закони, що обмежують доступ до персональної інформації та висувають жорсткі вимоги до її зберігання. На ринках пропонують різноманітні системи захисту комп'ютерних мереж. Але як захиститися від власної "п'ятої колони" - недобросовісних, нелояльних, або просто безладних співробітників, які мають доступ до закритої інформації? Скандальна витік клієнтської бази даних МТС було, мабуть, статися без змови, чи злочинної недбалості співробітників підприємства.
Таке враження, що багато хто, якщо не більшість підприємців просто не усвідомлює всієї серйозності проблеми. Навіть у країнах розвиненої ринкової економіки, згідно з деякими дослідженнями, 80% компаній не мають продуманої, спланованої системи захисту сховищ, операційних баз даних. Що ж говорити про нас, які звикли покладатися на знамените "можна".
Тому не марно звернутися до теми небезпек, якими загрожують витоку конфіденційної інформації, поговорити про заходи щодо зниження таких ризиків. У цьому нам допоможе публікація в “Legal Times” (October 21, 2002) – виданні, присвяченому правовим питанням (Марк М. Мартін, Еван Вагнер, “Вразливість та захист інформації”). Автори перераховують найбільш типові види та способи інформаційних загроз. Які саме?
Розсекречення та крадіжка комерційної таємниці. Тут все більш менш зрозуміло. Класичний, що у стародавню історію, економічний шпигунство. Якщо раніше секрети зберігалися в потайних місцях, в масивних сейфах, під надійним фізичним і (пізніше) електронним захистом, то сьогодні багато службовців мають доступ до офісних баз даних, які часто містять дуже чутливу інформацію, наприклад, ті ж дані про клієнтів.
Поширення компрометуючих матеріалів. Тут автори мають на увазі навмисне або випадкове використання співробітниками в електронному листуванні таких відомостей, що кидають тінь на репутацію фірми. Наприклад, назва компанії відображена в домені кореспондента, що допускає у своїх листах дифамацію, образу, коротше все, що може скомпрометувати організацію.
Зазіхання інтелектуальну власність. Важливо пам'ятати, що будь-який інтелектуальний продукт, вироблений у створенні, належить організації та може використовуватися співробітниками (зокрема генераторами і авторами інтелектуальних цінностей) інакше як у сфері організації. Тим часом, у Росії із цього приводу часто виникають конфлікти між організаціями та службовцями, які претендують на створений ними інтелектуальний продукт і використовують його в особистих інтересах, на шкоду організації. Це часто відбувається через розпливчастої правової ситуації для підприємства, як у трудовому договорі немає чітко прописаних і правил, що окреслюють правничий та обов'язки службовців.
Поширення (часто ненавмисне) внутрішньої інформації, не секретної, але може бути корисною для конкурентів. Наприклад, про нові вакансії у зв'язку з розширенням бізнесу, про відрядження та переговори.
Відвідування сайтів конкурентів. Зараз все більше компаній використовують на своїх відкритих сайтах програми (зокрема призначені для CRM), які дозволяють розпізнавати відвідувачів та детально відстежувати їх маршрути, фіксувати час, тривалість перегляду ними сторінок сайту. Зрозуміло, якщо ваш захід на сайт конкурента в подробицях відомий його оператору, то останньому не важко зробити висновок, що саме вас цікавить. Це не заклик відмовитись від найважливішого каналу конкурентної інформації. Сайти конкурентів були і залишаються цінним джерелом для аналізу та прогнозу. Але, відвідуючи сайти, треба пам'ятати, що ви залишаєте сліди і за вами також спостерігають.
Зловживання офісними комунікаціями в особистих цілях (прослуховування, перегляд музичного та іншого контенту, що не має відношення до роботи, завантаження офісного комп'ютера) не несе прямої загрози інформаційній безпеці, але створює додаткові навантаження на корпоративну мережу, знижує ефективність, заважає роботі колег.
І, нарешті, зовнішні загрози – несанкціоновані вторгнення тощо. Це тема окремої серйозної розмови.
Як захиститись від внутрішніх загроз? 100% гарантії від шкоди, яку можуть завдати власні працівники, просто не існує. Це людський фактор, який не піддається повному та безумовному контролю. Разом з тим, згадані вище автори дають корисну пораду – розробляти та впроваджувати всередині компанії чітко сформульовану комунікаційну (або інформаційну) політику. Така політика має провести чіткий кордон між дозволеним та недозволеним у використанні офісних комунікацій. Перехід кордону веде до покарання. Має бути система моніторингу, хто і як використовує комп'ютерні мережі. Правила, прийняті в компанії, повинні відповідати як національному, так і міжнародно визнаним нормам захисту державних та комерційних таємниць, персональної, приватної інформації.
Глава 2. Забезпечення інформаційної безпеки
професійної діяльності у ТОВ «Ласпі»
2.1. Коротка характеристика ТОВ «Ласпі»
ТОВ «Ласпі» було створено 1995 року як представництво чеської компанії у Росії. Фірма займається поставкою чеського обладнання та витратних матеріалів для виробництва різних бетонних виробів (починаючи з тротуарної плитки та закінчуючи парканами, вазонами тощо). Обладнання відрізняється високою якістю та прийнятною вартістю. Замовниками, що звертаються в Самарський офіс, є організації з різних міст Росії та СНД (Казань, Уфа, Іжевськ, Москва, Нижній Новгород тощо). Звичайно, така широкомасштабна діяльність потребує особливого відношення до інформаційної безпеки всередині фірми.
На сьогоднішній день інформаційна безпека залишає бажати кращого. Різна документація (технічна, економічна) знаходиться у відкритому доступі, що дозволяє практично будь-якому співробітнику фірми (починаючи з засновника та закінчуючи водієм) безперешкодно з нею ознайомитись.
Особливо важлива документація зберігається у сейфі. Ключі від сейфа є тільки директор і його секретар. Але тут важливу роль відіграє так званий людський фактор. Нерідко ключі забуваються в кабінеті на столі і сейф може бути розкритий навіть прибиральницею.
Економічна документація (звіти, накладні, рахунки, рахунки-фактури тощо) розкладені по папках та полицях у шафі, яка не замикається.
Співробітники не підписують при влаштуванні на роботу жодних угод про нерозголошення відомостей, що належать до комерційної таємниці, що не забороняє їм розповсюджувати таку інформацію.
Набір співробітників проводиться за допомогою співбесіди, що складається з двох етапів: 1. спілкування з безпосереднім начальником (на якому виявляються вміння та здібності потенційного працівника) 2. спілкування з засновником (носить більш особистісний характер і виведенням подібного діалогу може бути або «спрацюємося», або « не спрацюємося»).
Все це вимагає більш пильної уваги з боку керівництва та грамотної програми із забезпечення інформаційної безпеки фірми, тому що сьогодні у ТОВ «Ласпі» з'явилося досить багато конкурентів, які навряд чи проґавлять можливість скористатися, наприклад, клієнтською базою або базою постачальників фірми.
2.2. Проект управлінського рішення щодо забезпечення інформаційної безпеки професійної діяльності ТОВ «Ласпі».
Важливо місце в системі організаційних, адміністративних, правових та інших заходів, що дозволяють якісно вирішувати завдання інформаційного забезпечення науково-виробничої та комерційної діяльності, фізичної безпеки матеріальних носіїв закритих відомостей, запобігання їх витоку, збереження комерційної таємниці займає дозвільна система доступу виконавців до класифікованих документів та відомостей .
З урахуванням Закону РРФСР "Про підприємства та підприємницьку діяльність" керівник підприємства (фірми) незалежно від форм власності може встановлювати спеціальні правила доступу до відомостей, що залишають комерційну таємницю, та її носіїв, тим самим забезпечуючи їхню безпеку.
У системі заходів безпеки істотне значення має оптимальний розподіл виробничих, комерційних та фінансово-кредитних відомостей, що залишають таємницю підприємства, між конкретними виконавцями відповідних робіт та документів. При розподілі інформації, з одного боку, необхідно забезпечити надання конкретному співробітнику для якісного та своєчасного виконання доручених йому робіт повного обсягу даних, а з іншого боку, виключити ознайомлення виконавця із зайвими, не потрібними йому для роботи, класифікованими відомостями.
З метою забезпечення правомірного та обґрунтованого доступу виконавця до відомостей, що становлять комерційну таємницю фірми, рекомендується розробляти та впроваджувати на підприємствах відповідну дозвільну систему.
Під доступом розуміється отримання письмового дозволу керівника фірми (чи, з його санкції, інших керівних осіб) видачу тому чи іншому співробітнику конкретних (чи повному обсязі) закритих відомостей з урахуванням його службових обов'язків (посадових повноважень).
Оформлення доступу до КТ може здійснюватися відповідно до затвердженого директора Положення про дозвільну систему доступу, де юридично закріплюються повноваження посадових осіб підприємства щодо розподілу інформації та користування нею. Керівник організації може дозволити користування будь-якою інформацією, що охороняється будь-якому працівнику даного підприємства або особі, що прибула на об'єкт з іншої організації для вирішення будь-яких питань, якщо щодо цих відомостей не встановлено обмеження на ознайомлення з боку виробничо-комерційних партнерів по спільному виробництву тощо. п. Так, у ТОВ «Ласпі» рекомендується обмежити доступ до інформації, що є комерційною таємницею (договори з постачальниками та клієнтами, підсумкові звіти про угоди), такими:
1.засновник фірми.
2. директор фірми.
3.секретар директора.
Санкцію на доступ до інформації іншим співробітникам можуть давати лише засновник та директор фірми.
Доступ до інформації про поточні угоди з клієнтами повинні мати перераховані вище співробітники та менеджери, які ведуть ці угоди.
Вихідна інформація про закупівельні ціни на обладнання повинна бути так само обмежена. Доступ до неї мають тільки засновник, директор фірми, які решті співробітників надають лише вже опрацьовані ціни (з різними «накрутками»), а також секретар, який веде весь документообіг в організації.
Ефективна робота дозвільної системи можлива лише за дотримання певних правил:
1. Дозвільна система як обов'язковий для виконання правила включає диференційований підхід до дозволу доступу, що враховує важливість класифікованих відомостей, щодо яких вирішується питання про доступ.
2. Необхідне документальне відображення виданого дозволу на право користування тими чи іншими відомостями, що захищаються. Це означає, що керівник, який дав дозволи на право користування, повинен його в обов'язковому порядку зафіксувати письмово на відповідному документі або обліковій формі, що діє на підприємстві. Ніякі усні вказівки та прохання про доступ будь-кого (за винятком керівника підприємства) не мають юридичної сили. Ця вимога відноситься і до керівників усіх рівнів, що працюють із класифікованою інформацією та її носіями. Таким чином, тільки письмовий дозвіл керівника (в рамках повноважень) є дозволом для видачі тій чи іншій особі даних, що охороняються.
3. Слід суворо дотримуватися принципу контролю. Кожен дозвіл повинен мати дату його оформлення та видачі.
Широке поширення має такий традиційний вид дозволу, як резолюція керівника на самому класифікованому документі. Такий дозвіл має містити перелік прізвищ співробітників, які зобов'язані ознайомитися з документами або їх виконати, термін виконання, інші вказівки, підпис керівника та дату. Керівник може за необхідності передбачити обмеження доступу конкретних працівників до певних відомостей.
Резолюція, як вид дозволу, застосовується головним чином оперативного доведення до зацікавлених осіб закритої інформації, які у документах і виробах, що надходять ззовні і створюваних для підприємства.
Керівник підприємства може дати дозвіл на доступ у розпорядчих документах: накази, вказівки, розпорядження по підприємству. Вони повинні містити прізвища, посади осіб, конкретні класифікаційні документи та вироби, яких можуть бути допущені (ознайомлені).
Інший вид дозволів - за фамільними списками осіб, які мають право знайомитись і робити будь-які дії з класифікованими документами та виробами. За фамільними списками затверджуються директором підприємства або відповідно до діючої дозвільної системи керівниками, які займають, як правило, посади не нижчі за керівників відповідних підрозділів.
За фамільними списками осіб можуть використовуватися при організації доступу до класифікованих документів та виробів, що мають особливо важливе значення для підприємства, при оформленні доступу до режимних приміщень, на різноманітні закриті заходи (конференції, наради, виставки, засідання науково-технічних рад тощо) .). За фамільними списками можуть бути визначені конкретні керівники, які допускаються керівником до всіх закритих документів та виробів без відповідних письмових дозволів. Вони вказується П.І.Б. виконавця робіт, відділ, посада, категорія документів та виробів, до яких він допущений. Насправді застосуємо і варіант посадових списків, у яких вказується: посада виконавця, обсяг документів (категорії документів) і типи виробів, якими потрібно скористатися працівникам підприємств, котрі обіймають відповідну списку посаду. Слід зазначити, що для підприємств з невеликим обсягом класифікованих документів та виробів може виявитися достатнім використання таких видів дозволу, як резолюція керівника на самому документі, за фамільними списками, посадовими списками.
В організаційному плані за фамільними списками мають готуватися зацікавлені керівники структурних підрозділів. Перелік співробітників, що увійшли до списку, візується начальником РБ та затверджується керівником підприємства, який може делегувати права затвердження іншим особам у складі дирекції.
Дозвільна система повинна відповідати таким вимогам:
· поширюватися на всі види класифікованих документів та виробів, що є на підприємстві, незалежно від їхнього місця знаходження та створення;
· визначати порядок доступу всіх категорій співробітників, які отримали право працювати з КТ, а також фахівців, які тимчасово прибули на підприємство та мають відношення до спільних закритих замовлень;
· Встановлювати простий і надійний порядок оформлення дозволів на доступ до документів і виробів, що охороняються, що дозволяє негайно реагувати на зміни в галузі інформації на підприємстві;
· Чітко розмежовувати права керівників різних посадових рівнів в оформленні доступу відповідних категорій виконавців;
· виключати можливість безконтрольної та несанкціонованої видачі документів та виробів будь-кому;
· Не дозволяти особам, які працюють з класифікованою інформацією та об'єктами, вносити зміни до парних даних, а також підміняти облікові документи.
При розробці дозвільної системи особливу увагу має бути приділено виділенню основних, особливо цінних підприємствам відомостей, що дозволить забезпечити до них суворо обмежений доступ. За наявності спільних робіт з іншими підприємствами (організаціями), іноземними фірмами або їх окремими представниками необхідно передбачити порядок доступу цих категорій до комерційної таємниці підприємства. Доцільно визначити порядок взаємодії з представниками обслуговуючих державних організацій: технаглядом, санепідемстанцією та ін.
У Положення про дозвільну систему фірми необхідно вказати, що передача класифікованих документів та виробів від виконавця до виконавця можлива лише в межах структурного підрозділу та з дозволу його керівника. Передача, повернення таких документів виробів здійснюється за встановленим на фірмі порядком і лише протягом робочого часу даного дня.
Вся класифікована документація та вироби, що надійшли на підприємство та розроблені на ньому, приймаються та враховуються керівництвом середньої ланки та секретарем. Після реєстрації документація передається на розгляд керівника підприємства під розписку.
У Положення про дозвільну систему фірми необхідно зазначити, що закриті наради із службових питань проводяться лише з дозволу керівника фірми або його заступників. Особливі вимоги можуть поширюватися на засідання вчених рад, наради щодо розгляду результатів НДДКР та фінансово-комерційної діяльності тощо. На такі заходи рекомендується в обов'язковому порядку оформляти дозвільні списки та включати до них лише тих працівників підприємства, які мають безпосереднє відношення до запланованих заходів та участь у яких викликається службовою необхідністю.
Як зазначалося вище, співробітники інших фірм можуть брати участь у закритих нарадах лише з персонального дозволу керівництва фірми. Готує списки, як правило, відповідальний за організацію наради у контакті із зацікавленими керівниками структурних підрозділів. Список є підставою для організації контролю за допуском на цю нараду. Перед початком наради присутні попереджаються, що обговорювана інформація має закритий характері і не підлягає поширенню межі встановленої фірмою сфери звернення, і видає інструкції з порядку ведення записів.
Важливо підкреслити, що встановлення на фірмі певного порядку поводження із закритою інформацією та виробами істотно підвищує надійність захисту комерційної таємниці, знижує ймовірність розголошення, втрати носіїв цих відомостей.
Для забезпечення збереження документації пропонується закупити відповідні меблі, які дозволяють надійно замикати документи. Також необхідно щодня, перед доглядом, опечатувати шафи.
Ключі від сейфа та шаф повинні здаватися службі безпеки під розпис. Також рекомендується придбати спеціальний тубус для зберігання ключів і його опечатувати.
Особливу увагу слід приділити безпеці комп'ютерної інформації. У ТОВ «Ласпі» сьогодні створено кілька баз даних: клієнти фірми (із зазначенням не тільки їхніх робочих адрес і телефонів, а й домашніх, а також відомостей, що мають особистий характер); база даних, що містить ціни і характеристику обладнання, що поставляється; база даних працівників організації. Також у комп'ютері зберігаються різні договори, угоди тощо.
У будь-якому випадку, попадання цієї інформації в руки конкурентів є вкрай небажаним. Для запобігання такому розвитку подій рекомендується створення паролів для доступу до кожної бази даних (а програмні засоби дозволяють це реалізувати). При завантаженні комп'ютера також рекомендується ставити дворівневий захист (при завантаженні BIOS і завантаженні OS Windows'2000, яка не дозволяє безпарольний доступ до вмісту вінчестера, на відміну від попередніх версій цієї операційної системи). Природно, паролі так само мають бути доступні лише тим співробітникам фірми, які працюють з цими базами даних (секретар, керівники, програмісти).
У разі виникнення будь-яких проблем, пов'язаних з комп'ютером та необхідності звернення до сторонньої фірми, необхідно повністю контролювати процес ремонту техніки. Так як саме в такий момент, коли знято всі паролі, коли програміст «з боку» має вільний і безперешкодний доступ до вмісту жорсткого диска, можливе вилучення ним інформації та подальше її використання в різних цілях.
Необхідно постійно оновлювати антивірусні програми з метою запобігання попаданню та розповсюдженню вірусів у комп'ютерах.
Особливу увагу необхідно приділити питанням прийому нових працівників працювати. Сьогодні у багатьох організаціях практикується жорсткий підхід до цього процесу, що пов'язане з бажанням зберегти інформацію всередині фірми і не дати їй вийти за її межі через «людський фактор».
Якщо в більшості випадків прийом на роботу здійснюється у два етапи (вони коротко викладені вище), то тут пропонується чотири етапи.
1. Розмова із начальником відділу кадрів. Начальник відділу кадрів знайомиться з кандидатом, його резюме, ставить питання щодо професійної діяльності, роблячи попередні позначки. Цей етап має професійний характер. Потім начальник відділу кадрів аналізує отриману інформацію від кандидатів та передає її керівнику.
2. Керувати ознайомлюватися з резюме кандидатів та нотатками про них начальника відділу кадрів, обираючи найбільш підходящих та запрошує до себе на співбесіду. Співбесіда носить особистісний характер і передбачає нестандартні питання (наприклад, що людина любить їсти, яке у неї хобі тощо). Таким чином керівник отримує інформацію для ухвалення рішення про те, наскільки для неї підходить ця людина, прогнозує можливі проблеми, з якими він може зіткнутися під час спілкування з цим кандидатом.
3. Тестування. Тут визначається рівень інтелекту співробітника, складається його психологічний портрет з урахуванням різних тестів. Але спочатку необхідно визначити, яким бажають бачити нового співробітника його керівник та колеги.
4. Служба безпеки. Тут пропонуються два етапи: а) перевірка кандидатів у різних інстанціях (чи залучався до суду, чи відбував термін у місцях позбавлення волі, чи стоїть на обліку в наркологічному диспансері, чи відповідають дійсності відомості, які він надав про попередні місця роботи); б) перевірка на спеціальній апаратурі, яку найчастіше називають «детектором брехні». На другому етапі визначається, наскільки співробітник лояльний до фірми, які у нього реакції на провокаційні питання (наприклад, що він робитиме, якщо дізнається, що хтось із його колег бере документи додому) тощо.
І лише після того, як кандидат пройшов усі ці чотири стадії, можна приймати рішення – брати його на роботу чи ні.
Після того, як винесено позитивне рішення, співробітнику встановлюється випробувальний термін (за законодавством РФ може варіюватися від 1 місяця до трьох, але рекомендується не менше 2 місяців, а краще 3). Протягом випробувального терміну керівництво та служба безпеки повинні придивлятися до нового співробітника, спостерігати за його діяльністю.
Крім того, відразу ж після прийому на роботу необхідно поряд із укладенням трудового договору, підписання угоди про нерозголошення комерційної таємниці. Рекомендовані пункти цієї угоди:
Це не повний перелік того, що може бути включено до угоди.
Висновок
Сьогодні питання про організацію інформаційної безпеки хвилює організації будь-якого рівня – починаючи з великих корпорацій та закінчуючи підприємцями без утворення юридичної особи. Конкуренція в сучасних ринкових відносин далеко від досконалості і часто ведеться не найлегальнішими способами. Процвітає промислове шпигунство. Але нерідкі й разі ненавмисного поширення інформації, що належить до комерційної таємниці організації. Як правило, тут грає роль недбалість співробітників, нерозуміння ними обстановки, іншими словами, «людський фактор».
У курсовій роботі представлений проект управлінського рішення щодо організації інформаційної безпеки у ТОВ «Ласпі». Проект торкається трьох основних сфер організації безпеки: 1. документаційна сфера (доступ до матеріалів, представлених на паперових носіях, з розмежуванням цього доступу); 2.комп'ютерна безпека; 3. безпеку щодо прийому працювати нових сотрудников.
Слід враховувати, що це проект і розроблений під конкретну організацію, його становища можна використовувати й у організації безпеки інших фірмах, які стосуються розряду середніх.