Osiguravanje sigurnosti poslovnih informacija. Cyber sigurnost je olakšana
Prije nego što pričam o tome koji rizici za sigurnost informacija mogu da vas očekuju na poslu, želim se predstaviti: moje ime je Kamila Iosipova. Ja sam viši menadžer informacione sigurnosti u IT kompaniji ICL Services, u ovoj organizaciji radim 5 godina. Takođe sam CISA sertifikovani revizor informacionih sistema (ISACA sertifikacija je skraćenica za sertifikovani revizor informacionih sistema).
U 2018. godini, obim povreda podataka u kompanijama porastao je za 5%. Ljudski faktor je jedan od glavnih uzroka incidenata u informacijskoj sigurnosti. Nepažnja, nepažnja, motiv, namjera - to su razlozi zbog kojih zaposleni u Vašim kompanijama mogu namjerno ili nenamjerno dovesti posao do dna. Kako zaštititi sebe i svoje kupce, što učiniti da razvijete kulturu rada s podacima među zaposlenima i koje metode primijeniti u ovom slučaju, reći ću dalje.
Plan za uspostavljanje rada u oblasti informacione bezbednosti
Ako pogledate globalno, možete uočiti da se u oblasti informacione sigurnosti može pratiti određeni obrazac: pažnja na informacijsku sigurnost u velikoj mjeri zavisi od aktivnosti kompanije. Na primjer, u državnim organima ili bankarstvo postoje stroži zahtjevi, pa se više pažnje poklanja obuci zaposlenih, što znači da je razvijenija kultura rada sa podacima. Međutim, danas bi svi trebali obratiti pažnju na ovaj problem.
Dakle, evo nekoliko praktičnih koraka koji će vam pomoći da završite svoj posao na polju informacione sigurnosti:
1 korak. Izraditi i implementirati opštu politiku informacione bezbednosti koja će sadržati osnovne principe rada kompanije, ciljeve i zadatke u oblasti upravljanja bezbednošću informacija.
2 korak. Unesite politiku klasifikacije i nivoe privatnosti.
Istovremeno, potrebno je ne samo pisati dokument kojem će zaposleni imati pristup 24/7, već i provoditi razne treninge i razgovarati o promjenama koje se prave. Držite se pravila: upozoren je naoružan. Neka kompanija kontinuirano radi u ovom pravcu.
3 korak. Razvijte proaktivan pristup.
To je kao prevencija u medicini. Slažete se, mnogo je jeftinije i lakše podvrgnuti se preventivnom pregledu nego liječiti uznapredovalu bolest. Na primjer, u našoj kompaniji proaktivni pristup funkcionira ovako: za rad s informacijama u komercijalnim projektima razvili smo standard upravljanja IS-om u projektima, koji sadrži neophodne minimalne zahtjeve IS-a kako bi se osigurao određeni nivo zrelosti IS procesa u komercijalni projekat. On opisuje šta je potrebno učiniti da bi se održao određeni nivo zrelosti procesa upravljanja bezbednošću. Ovaj standard smo implementirali u projekte i sada ga sprovodimo interne revizije: provjeravamo kako projekti ispunjavaju ove zahtjeve, identifikujemo rizike sigurnosti informacija i najbolje prakse koje mogu pomoći drugim projektnim menadžerima.
Pored revizija, razmjena znanja dobro funkcionira. Ako je u nekom od projekata "zagrmio", dobro je da i ostali znaju za to i imaju vremena da preduzmu potrebne mjere.
4 korak. Napravite sve dokumente koji objašnjavaju pravila: strukturirani, jasni i koncizni.
Kao što praksa pokazuje, duge tekstove na više stranica niko ne čita. Dokument mora biti napisan jednostavnim jezikom. Takođe, mora biti u skladu sa poslovnim ciljevima i odobreno od strane najvišeg menadžmenta – to će zaposlenima biti snažniji argument zašto se ova pravila moraju poštovati.
5 koraka. Voditi treninge, razgovore, poslovne igre i slično.
Vrlo često ljudi ne razumiju kako su određena pravila povezana s njihovim konkretnim poslom, pa morate navesti primjere, objasniti, pokazati kako to mogu primijeniti. Ovdje je važno prikazati posljedice, sve do gubitka posla, i kakve konkretne posljedice čekaju zaposlenog, pa sve do krivične odgovornosti.
Za implementaciju svega navedenog u kompaniji potrebni su resursi, materijalni i ljudski. Stoga se sada u mnogim kompanijama počela pojavljivati pozicija direktora informacione sigurnosti (CISO). Zahvaljujući ovoj poziciji, poslovnim liderima je moguće prenijeti važnost promocije bilo kakvih odluka, izdvajanja sredstava itd. CISO je u stanju promovirati sigurnost informacija u kompaniji na svim nivoima.
Zadaci koje preuzima su obimni: komunikacija sa najvišim menadžmentom, opravdavanje određenih odluka, komunikacija sa vlasnicima procesa radi implementacije sigurnosti u svim oblastima. Sa stanovišta sajber prijetnji, on je tačka kontakta, dok upravlja, utvrđuje strategije za odgovor na sajber prijetnje i koordinira rad na odgovoru na napade.
Obuka zaposlenih: teška, duga, ali neophodna
Međutim, prije nego podučavate ljude određenim pravilima, morate razumjeti jednu stvar: ne možete se baviti ljudskim faktorom, možda iza toga stoji nešto drugo - nedostatak resursa, znanja ili tehnologije. Ovdje je najefikasnija metoda analiziranje pravih uzroka, da se dođe do temeljnog uzroka.
Kada radite s ljudima, potrebno je odabrati ključ bukvalno svima. Svi ljudi su različiti, a samim tim i metode koje treba primijeniti su različite. U jednom od razgovora sa zaposlenikom, specijalista mi je rekao: Uradiću nešto samo ako znam da ću dobiti za neispunjavanje uslova. I obrnuto, kod nekih djeluje samo pozitivna motivacija, kao što je dobra ocjena kvaliteta rada, poticaj za uspješan završetak obuka.
Postoji mišljenje da stručnjaci za informacijsku sigurnost često djeluju kao kočnica inovacija, posebno kada ograničavaju korištenje novih tehnologija i poslovnih modela. Ovo bi zaista mogao biti slučaj, međutim, važno je zapamtiti sljedeće: „Sigurnost je kao kočnica vašeg automobila. Njihova funkcija je da vas uspore. Ali njihova svrha je da vam omoguće da idete brzo. Dr. Gary Hinson” („Sigurnost je kao kočnice na vašem automobilu. Njihova funkcija je da vas uspore. Ali njihova svrha je da vam omoguće da idete brzo”). Važno je shvatiti da je bez ovih pravila nemoguće ići dalje, jer u nekom trenutku jednostavno nećete moći razviti svoje poslovanje ako se ne zaštitite od cyber prijetnji i ne upravljate rizicima sigurnosti informacija. Kako bismo uspostavili ravnotežu, naša kompanija koristi pristup zasnovan na riziku, koji je osnova standarda ISO 27001. Ovaj pristup nam omogućava da odaberemo zahtjeve koji se odnose na nas i sigurnosne mjere koje su neophodne kako bismo se zaštitili od prijetnji koje su za nas relevantne. Uz pomoć ovog pristupa možemo birati i sa finansijske tačke gledišta: koliko je primjereno primijeniti određene mjere. Na primjer, u svaku salu za sastanke možemo postaviti biometrijski skener, ali koliko nam je potreban, koju vrijednost donosi, koje rizike smanjuje? Odgovor nije uvijek očigledan.
Mi u ICL Services-u razumijemo da nam je važna povjerljivost informacija s kojima radimo, zbog toga šifriramo laptope, jer čak i ako se laptop izgubi, informacije neće pasti u ruke uljeza. Ovo je kritično i spremni smo da potrošimo novac na to.
Vjerujem da je to jedini način da se uspostavi ravnoteža između sigurnosti i poslovne vrijednosti: birajte, budite svjesni inovacija i uvijek procijenite rizike (u kojoj mjeri je trošak implementacije rizika uporediv sa cijenom kupovine jednog ili drugog sigurnosnog rješenja ).
Integrisani pristup je idealan recept za sigurnost informacija
Po mom mišljenju, Kompleksan pristup u radu sa bezbednošću je najefikasnija, jer je informaciona bezbednost stvar ljudske svesti, ponašanja i pravilne organizacije poslovnih procesa, uzimajući u obzir bezbednosne zahteve. Incidenti se najčešće dešavaju zbog zaposlenih: ljudi griješe, umaraju se, mogu pritisnuti pogrešno dugme, pa je tu pola uspjeha tehnička ograničenja, od slučajnih nenamjernih incidenata, druga polovina je sigurnosna kultura svakog zaposlenog.
Stoga je važno voditi preventivne razgovore i obuke. U današnjem svijetu, sajber prijetnje su dizajnirane za ljude: ako primite phishing email, to je bezopasno dok ne dođete do linka i kliknete na njega. U našoj kompaniji akcenat je na svijesti osoblja, na radu sa ljudima, na svijesti. Pa treća tačka je organizaciona, ljudi moraju znati pravila, pravila moraju biti zapisana, mora postojati određena politika koju svi trebaju slijediti.
Zapamtite: sajber prijetnje su vrlo česte u svijetu, a istovremeno su posljedice napada vrlo ozbiljne - do potpunog gubitka poslovanja, bankrota. Naravno, ovo pitanje je na dnevnom redu. Sigurnost u današnje vrijeme jednostavno je u obavezi da bude dio korporativne kulture, a top menadžment je prva zainteresovana strana za to, budući da upravlja poslovanjem, a kada se rizici realizuju, oni će prije svega snositi odgovornost.
Evo nekoliko savjeta koji će pomoći vašim zaposlenicima da izbjegnu incidente u vezi s cyber sigurnošću:
- Ne možete pratiti neprovjerene veze;
- Nemojte distribuirati povjerljive informacije;
- Ne možete zapisati lozinku na komad papira i zalijepiti naljepnicu;
- Nemojte koristiti USB medij za koji niste sigurni (napadač može ostaviti zaraženi fizički uređaj na mjestu gdje će ga žrtva sigurno pronaći);
- Prilikom registracije na stranicama, navodeći broj telefona i poštansku adresu, pažljivo potražite za šta su ti podaci potrebni, možda se na taj način pretplatite na plaćeni newsletter.
Nadam se da će s vremenom sigurnost postati ključni element korporativne kulture u svakoj kompaniji.
Na fakultetu možete savršeno savladati veštine za rad u oblasti informacione bezbednosti.
Uvod
Poslovni lideri moraju prepoznati važnost informacione sigurnosti, naučiti kako predviđati i upravljati trendovima u ovoj oblasti.
Današnje poslovanje ne može postojati bez informacione tehnologije. Poznato je da oko 70% ukupnog svjetskog nacionalnog proizvoda ovisi na ovaj ili onaj način od informacija pohranjenih u informacionim sistemima. Široko uvođenje računara stvorilo je ne samo dobro poznate pogodnosti, već i probleme, od kojih je najozbiljniji problem informacione sigurnosti.
Uz kontrole za računare i računarske mreže, standard daje velika pažnja pitanja izrade bezbednosne politike, rad sa kadrovima (zapošljavanje, obuka, otpuštanje sa posla), obezbeđivanje kontinuiteta proizvodnog procesa, zakonski zahtevi.
Nesumnjivo je da je ova tema nastavnog rada veoma relevantna savremenim uslovima.
Predmet rada: informaciona sigurnost profesionalnih aktivnosti organizacije.
Predmet studija: osiguranje informacione sigurnosti.
IN seminarski rad planira se izrada nacrta upravljačke odluke o organizaciji informacione sigurnosti na bazi realne organizacije.
Poglavlje 1. Informaciona sigurnost profesionalne djelatnosti
Osiguravanje sigurnosti informacija je relativno nova oblast profesionalne djelatnosti stručnjaka. Glavni ciljevi ovakvih aktivnosti su:
Osiguravanje zaštite od vanjskih i unutrašnjih prijetnji u oblasti formiranja, distribucije i korištenja informacionih resursa;
Sprečavanje kršenja prava građana i organizacija na čuvanje povjerljivosti i tajnosti informacija;
Osiguravanje uslova koji sprečavaju namjerno iskrivljavanje ili prikrivanje informacija u nedostatku pravne osnove.
Kupci specijalista u ovoj oblasti su:
Savezne vlasti državna vlast i menadžment Ruske Federacije;
Državni organi konstitutivnih entiteta Ruske Federacije;
Vladine agencije, organizacije i preduzeća;
Odbrambena industrija;
Organi lokalne samouprave;
Institucije, organizacije i preduzeća nedržavnog oblika
imovine.
Pojavljivanje u slobodnoj, doduše nelegalnoj prodaji baze kupaca kompanije ćelijska komunikacija MTS nas iznova tera da se okrenemo problemu kompjuterske bezbednosti. Čini se da je ova tema neiscrpna. Njena relevantnost je veća, što je viši nivo kompjuterizacije komercijalnih firmi i neprofitne organizacije. Visoke tehnologije, koje imaju revolucionarnu ulogu u razvoju poslovanja i gotovo svih drugih aspekata modernog društva, čine svoje korisnike veoma ranjivim u informacionom, a u konačnici i ekonomska sigurnost.
To nije problem samo u Rusiji, već iu većini zemalja svijeta, prvenstveno zapadnih, iako postoje zakoni koji ograničavaju pristup ličnim podacima i nameću stroge zahtjeve za njihovo skladištenje. Tržišta nude razni sistemi zaštita računarskih mreža. Ali kako se zaštititi od vlastite "pete kolone" - beskrupuloznih, nelojalnih ili jednostavno nemarnih zaposlenika koji imaju pristup povjerljivim podacima? Do skandaloznog curenja baze podataka klijenata MTS-a, očigledno, nije moglo doći bez dosluha ili kriminalnog nemara zaposlenih u kompaniji.
Čini se da mnogi, ako ne i većina preduzetnika jednostavno ne shvataju težinu problema. Čak iu razvijenim zemljama tržišnu ekonomiju, prema nekim studijama, 80% kompanija nema dobro osmišljen, planiran sistem zaštite skladišta, operativne baze podataka. Šta tek reći o nama, naviklim da se oslanjamo na ono čuveno "možda".
Stoga nije beskorisno osvrnuti se na temu opasnosti od curenja povjerljivih informacija, govoriti o mjerama za smanjenje takvih rizika. U tome će nam pomoći publikacija u Legal Timesu (21. oktobar 2002), pravna publikacija (Mark M. Martin, Evan Wagner, “Informacijska ranjivost i sigurnost”). Autori navode najtipičnije vrste i metode informacionih prijetnji. Sta tacno?
Deklasifikacija i krađa poslovnih tajni. Ovdje je sve manje-više jasno. Klasika, antička istorija, ekonomska špijunaža. Dok su se ranije tajne čuvale na tajnim mjestima, u masivnim sefovima, pod pouzdanom fizičkom i (kasnije) elektronskom zaštitom, danas mnogi zaposleni imaju pristup kancelarijskim bazama podataka koje često sadrže vrlo osjetljive informacije, na primjer, iste podatke o korisnicima.
Distribucija kompromitujućeg materijala. Ovdje autori misle na namjerno ili slučajno korištenje od strane zaposlenih u elektronskoj korespondenciji takvih informacija koje bacaju sjenu na reputaciju kompanije. Na primjer, naziv kompanije se ogleda u domenu dopisnika, koji dozvoljava klevetu, uvrede u svojim pismima, ukratko, sve što može ugroziti organizaciju.
Povreda intelektualne svojine. Važno je ne zaboraviti da bilo koji intelektualni proizvod proizveden u organizaciji pripada organizaciji i da ga zaposleni (uključujući generatore i autore intelektualnih vrijednosti) ne mogu koristiti osim u interesu organizacije. U međuvremenu, u Rusiji se po ovom pitanju često javljaju sukobi između organizacija i zaposlenih koji polažu pravo na intelektualni proizvod koji su stvorili i koriste ga za lične interese, na štetu organizacije. To se često dešava zbog nejasne pravne situacije u preduzeću, kada ugovor o radu ne sadrži jasno definisane norme i pravila koja preciziraju prava i obaveze zaposlenih.
Distribucija (često nenamjerna) insajderskih informacija koje nisu tajne, ali mogu biti korisne konkurentima. Na primjer, o novim slobodnim radnim mjestima zbog proširenja poslovanja, o službenim putovanjima i pregovorima.
Posjete web stranicama konkurenata. Sada sve više kompanija koristi programe na svojim otvorenim stranicama (posebno dizajnirane za CRM), koji vam omogućavaju da prepoznate posjetitelje i detaljno pratite njihove rute, zabilježite vrijeme i trajanje pregleda stranica web stranice od strane njih. Jasno je da ako je vaša posjeta web stranici konkurenta detaljno poznata njegovom operateru, onda potonjem nije teško zaključiti šta vas tačno zanima. Ovo nije poziv da se napusti najvažniji kanal konkurentskih informacija. Internetske stranice konkurenata bile su i ostale vrijedan izvor za analizu i predviđanje. Ali kada posjećujete stranice, morate imati na umu da ostavljate tragove i da ste također promatrani.
Zloupotreba kancelarijske komunikacije u lične svrhe (slušanje, gledanje muzike i drugih sadržaja koji nisu vezani za posao, preuzimanje kancelarijskog računara) ne predstavlja direktnu prijetnju sigurnosti informacija, ali stvara dodatni stres na korporativnoj mreži, smanjuje efikasnost i ometa sa radom kolega.
I, konačno, vanjske prijetnje - neovlašteni upadi itd. Ovo je tema za posebnu ozbiljnu raspravu.
Kako se zaštititi od unutrašnjih prijetnji? 100% garancija na štetu koja može uzrokovati sopstvenih zaposlenih, jednostavno ne postoji. Ovo je ljudski faktor koji se ne može potpuno i bezuslovno kontrolisati. Istovremeno, gore navedeni autori daju korisne savjete – razviti i implementirati jasno formulisanu komunikacijsku (ili informatičku) politiku unutar kompanije. Takva politika treba da povuče jasnu granicu između onoga što je dozvoljeno i šta nije dozvoljeno u korišćenju kancelarijskih komunikacija. Prelazak granice vodi kažnjavanju. Treba postojati sistem praćenja, ko koristi i kako kompjuterske mreže. Pravila koja donosi kompanija moraju biti u skladu sa nacionalnim i međunarodno priznatim standardima za zaštitu državnih i poslovnih tajni, ličnih i privatnih podataka.
Poglavlje 2. Osiguravanje sigurnosti informacija
profesionalna djelatnost u DOO "Laspi"
2.1. kratak opis OOO "Laspi"
Laspi doo osnovan je 1995. godine kao predstavništvo češke kompanije u Rusiji. Kompanija se bavi isporukom češke opreme i potrošnog materijala za proizvodnju raznih betonskih proizvoda (od ploče za popločavanje i završava sa ogradama, saksijama, itd.). Hardver je drugačiji visoka kvaliteta i prihvatljivim troškovima. Klijenti koji se prijavljuju u kancelariju u Samari su organizacije iz raznih gradova Rusije i ZND (Kazanj, Ufa, Iževsk, Moskva, Nižnji Novgorod itd.). Naravno, ovako velika aktivnost zahteva poseban odnos prema informacionoj bezbednosti unutar kompanije.
Danas informacijska sigurnost ostavlja mnogo da se poželi. Razna dokumentacija (tehnička, ekonomska) je u javnom vlasništvu, što omogućava gotovo svakom zaposleniku kompanije (od osnivača do vozača) da se sa njom nesmetano upozna.
Posebno važna dokumenta čuvaju se u sefu. Ključeve od sefa imaju samo direktor i njegova sekretarica. Ali ovdje takozvani ljudski faktor igra značajnu ulogu. Često se ključevi zaborave u kancelariji na stolu, a sef može da otvori čak i čistačica.
Ekonomska dokumentacija (izvještaji, fakture, računi, fakture i sl.) složena je u fascikle i police u ormariću koji se ne zaključava.
Zaposleni prilikom konkurisanja za posao ne potpisuju nikakve ugovore o neotkrivanju poslovne tajne, što im ne zabranjuje da takve informacije distribuiraju.
Zapošljavanje zaposlenih vrši se putem intervjua koji se sastoji od dvije faze: 1. komunikacija sa neposredni rukovodilac(na kojoj se otkrivaju vještine i sposobnosti potencijalnog zaposlenika) 2. komunikacija sa osnivačem (više je lične prirode i zaključak takvog dijaloga može biti ili „radićemo zajedno“ ili „nećemo raditi zajedno“ ).
Osiguravanje informacione sigurnosti poslovanja Andrianov V.V.
1.3. Model sigurnosti poslovnih informacija
1.3.1. Motivacija
Ruska i svjetska praksa regulacije informacione sigurnosti (IS) iz nedavne prošlosti sastojala se od obaveznih zahtjeva nacionalnih ovlaštenih tijela, sastavljenih u obliku uputstva RD. Stoga je za top menadžment i vlasnike organizacija postojao samo jedan problem usklađenosti sa njima (compliance) i samo jedan način da ga se riješi – kako ispuniti predložene zahtjeve uz minimalne troškove. Nadležni organi su imali svoj problem – kako zbog nemogućnosti pokrivanja svih mogućih vrsta aktivnosti i uslova za njihovo sprovođenje, tako i zbog značajnih razlika u ciljevima aktivnosti, da ponude univerzalni set zahtjeva. Da bi se to postiglo, problem informacione sigurnosti razmatran je kao samodovoljan entitet, nepromjenjiv na aktivnosti, ciljeve, uslove, a sadržajno je značajno smanjen radi univerzalnosti.
Oba pristupa (organizacija i regulatora) su neadekvatna postojećoj stvarnosti i predstavljaju je u značajno iskrivljenom obliku. Dakle, glavna suštinska ograničenja aktivnosti IS-a povezana su s tradicionalnim IS modelom, koji podrazumijeva obavezno prisustvo napadača koji nastoji oštetiti imovinu (informacije), te je, shodno tome, usmjeren na zaštitu informacija od radnji takvog subjekta. (grupa predmeta). Istovremeno, incidenti povezani, na primjer, sa redovnim promjenama u aplikacijskom softveru, ne mogu se pripisati napadaču. Njihova mogući razlozi- Slabo razvijen menadžment i slaba tehnološka baza. Sopstvena neadekvatnost organizacije (menadžmenta, osnovnih poslovnih procesa) preovlađujućim uslovima uopšte je veoma snažan izvor problema, koji se ignoriše zbog nemogućnosti povezivanja sa napadačem.
Daljnja evolucija IS modela bila je povezana sa jačanjem uloge vlasnika (vlasnika) i svodila se na to da je on sam birao (na sopstvenu opasnost i rizik) iz standardnog seta zaštitnih mjera koje su mu bile ponuđene. potrebne, odnosno one koje, po njegovom mišljenju, mogu pružiti prihvatljiv nivo sigurnosti. Ovo je bio značajan iskorak, jer je osiguralo da se informaciona sigurnost poveže sa konkretnim objektom sa specifičnim uslovima za njegovo postojanje, djelimično razriješivši kontradikcije povezane sa samodovoljnošću problema informacione sigurnosti. Međutim, vlasniku nije bilo moguće ponuditi konstruktivan mehanizam, osim izrade kataloga objekata sa odabranim tipičnim mjerama zaštite (profili zaštite). Sami profili kreirani su ekspertskom heurističkom metodom. Pritom, kakav je rizik preuzeo vlasnik, ostalo je nepoznato i utvrđeno je u praksi.
Dalja evolucija se svela na tezu da informaciona bezbednost može stvoriti (generisati) štetu za potrebe delatnosti i stoga rizike informacione bezbednosti (koji su ostali samodovoljni) treba uskladiti (povezati) sa rizicima organizacije. Ostalo je samo da se naznači kako ih povezati, i integrisati sistem upravljanja bezbednošću informacija (ISMS) u korporativni menadžment ne kao izolovan i nezavisan sistem procesa, već kao integralnu, snažno povezanu komponentu menadžmenta. Ovo nije uspjelo. Međutim, ovaj pristup je dobro unaprijedio brojne kategorije procjene IS, uključujući rizike IS.
Poznati su i pragmatični modeli IS, zasnovani na procjeni ukupnog troška vlasništva (u odnosu na IS) i „povrata“ ulaganja u IS. U okviru ovog pristupa, grupa organizacija koje su slične po ciljevima i uslovima djelovanja organizacija periodično evaluira oblasti implementacije IS i formira model koji se sastoji od najbolje prakse po grupi. Dalje, svaka od organizacija, u skladu sa svojim zaostajanjem za najboljom praksom i svojim uslovima (incidentima koji su se desili), određuje pravac i obim ulaganja. Učinkovitost ulaganja se u narednom periodu procjenjuje smanjenjem štete od incidenata koji su završili u oblasti izvršenih investicija i stoga nisu izazvali velike štete.
Međutim, ovaj pristup, uz mnoge svoje prednosti, zahtijeva široku razmjenu osjetljivih informacija, a sukob interesa učesnika u razmjeni isključuje stvaranje bilo kakvih kvalitetnih mjera za izgradnju povjerenja, pa se ne koristi u širokoj upotrebi.
Model IS predložen u standardu Centralne banke Ruske Federacije dodatno je unaprijedio problem kako u pogledu njegove integracije (povezanih sa ciljevima aktivnosti), tako i u smislu proširenja tumačenja suštine „uljeza“. Napadač je osoba koja je u stanju da se suprotstavi vlasniku i ima svoj cilj, koji ostvaruje, ostvarujući kontrolu nad imovinom organizacije.
Ovakav pristup značajno proširuje vrste i izvore oštećenja organizacije koji spadaju u obim razmatranja IS-a, gdje je njihovo rješavanje najracionalnije. Međutim, to je u velikoj mjeri bio kompromisni pristup i hitno zahtijeva dalje približavanje problema sigurnosti informacija konačnom rezultatu aktivnosti (proizvedenom proizvodu). Potreban nam je model koji zaista pomaže poslovanju, direktno doprinosi njegovom učinku i neophodnom poboljšanju kroz stvaranje i održavanje sigurne i pouzdane informacione sfere, uključujući i borbu protiv uljeza. Samo takav model može da se percipira od strane biznisa. Bilo koji drugi će biti odbijen od strane njih.
Ovaj tekst je uvodni dio. Iz knjige Primjena tehnologija elektronskog bankarstva: pristup zasnovan na riziku autor Lyamin L. V.5.4. Adaptacija sigurnosti informacija
autor Andrianov V. V.1. Filozofija sigurnosti poslovnih informacija
Iz knjige Sigurnost poslovnih informacija autor Andrianov V. V.1.1.4. Definicija informacione sigurnosti Postepeno uviđanje činjenice da informacioni uticaj na poslovni proces (na njegovo upravljanje) može biti efikasniji od materijalnog ili finansijskog uticaja, kao i nizak prag resursa za takve uticaje
Iz knjige Sigurnost poslovnih informacija autor Andrianov V. V.2. Postojeći modeli upravljanja (upravljanja) primjenjivi za osiguranje sigurnosti poslovnih informacija Ako organizacija ima neograničene resurse, onda ne postoje problemi upravljanja kako bi se osigurala sigurnost informacija njenog poslovanja. Ako
Iz knjige Sigurnost poslovnih informacija autor Andrianov V. V.3. Procjena sigurnosti poslovnih informacija. Problem mjerenja i vrednovanja sigurnosti poslovnih informacija 3.1. Načini procene bezbednosti informacija Organizacije čije poslovanje u velikoj meri zavisi od informacione sfere u cilju postizanja poslovnih ciljeva
Iz knjige Sigurnost poslovnih informacija autor Andrianov V. V.3.1. Metode procene bezbednosti informacija Organizacije čije poslovanje u velikoj meri zavisi od informacione sfere, da bi ostvarile poslovne ciljeve, moraju održavati sistem informacione bezbednosti (IS Maintenance System) na potrebnom nivou. ISIS je komplet
Iz knjige Sigurnost poslovnih informacija autor Andrianov V. V.3.2. Proces procjene sigurnosti informacija 3.2.1. Ključni elementi procesa procjene Proces procjene sigurnosti informacija uključuje sledeće elemente evaluacija: - kontekst evaluacije koji određuje ulazne podatke: ciljevi i svrha evaluacije IS-a, vrsta evaluacije (nezavisna evaluacija,
Iz knjige Sigurnost poslovnih informacija autor Andrianov V. V.3.2.2. Kontekst procjene informacijske sigurnosti organizacije Kontekst procjene IS-a uključuje ciljeve i svrhu procjene IS-a, vrstu procjene, objekt i područja procjene IS-a, ograničenja procjene, uloge i resurse. sprovođenje procesa ocjenjivanja uključuje organizatora,
Iz knjige Sigurnost poslovnih informacija autor Andrianov V. V.Ministarstvo obrazovanja i nauke Ruske Federacije
savezna državna budžetska obrazovna ustanova
visoko stručno obrazovanje
„PERM NACIONALNO ISTRAŽIVANJE
POLITEHNIČKI UNIVERZITET"
Test
po disciplini
INFORMACIJSKA SIGURNOST PREDUZEĆA
Tema "Informaciona sigurnost u poslovanju na primjeru Alfa-Banke"
Završio student
FK-11B grupa:
Smyshlyaeva Maria Sergeevna
Provjerio nastavnik:
Šaburov Andrej Sergejevič
Perm - 2013
Uvod
Zaključak
Bibliografija
Uvod
Informacioni resursi većine kompanija su među najvrednijim resursima. Iz tog razloga komercijalne, povjerljive informacije i lični podaci moraju biti pouzdano zaštićeni od zloupotrebe, ali istovremeno lako dostupni subjektima koji su uključeni u obradu ovih informacija ili ih koriste u procesu obavljanja zadatih zadataka. Upotreba posebnih alata za to doprinosi održivosti poslovanja kompanije i njenoj održivosti.
Kao što pokazuje praksa, pitanje organizacije zaštite poslovanja u savremenim uslovima postalo je najrelevantnije. Internet prodavnice se hakuju i kreditne kartice kupaca prazne, kazina i nagradne igre ucenjuju, korporativnim mrežama se manipuliše, kompjuteri se zombiraju u botnete, a prevara identiteta postaje nacionalna katastrofa.
Stoga čelnici kompanija moraju biti svjesni važnosti informacione sigurnosti, naučiti kako predviđati i upravljati trendovima u ovoj oblasti.
Svrha ovog rada je da se na primeru Alfa-Banke identifikuju prednosti i nedostaci sistema bezbednosti poslovnih informacija.
Karakteristike aktivnosti Alfa-Bank OJSC
Alfa-Bank je osnovana 1990. godine. Alfa-Bank je univerzalna banka koja obavlja sve glavne vrste bankarskih poslova na tržištu finansijskih usluga, uključujući servisiranje privatnih i korporativni klijenti, investiciono bankarstvo, trgovinsko finansiranje i upravljanje imovinom.
Sjedište Alfa-Bank nalazi se u Moskvi; ukupno su otvorene 444 filijale i filijale banke u regionima Rusije i u inostranstvu, uključujući banku kćer u Holandiji i finansijsku pridružene kompanije u SAD-u, Velikoj Britaniji i na Kipru. Alfa-Bank zapošljava oko 17.000 radnika.
Alfa-Bank je najveća ruska privatna banka po ukupnoj aktivi, ukupnom kapitalu i depozitima. Banka ima veliku bazu klijenata kako pravnih tako i fizičkih lica. Alfa-Bank se razvija kao univerzalna banka u glavnim oblastima: korporativna i investiciono poslovanje(uključujući male i srednji biznis(MSP), trgovina i strukturirane finansije, lizing i faktoring), maloprodaja(uključujući sistem filijala banaka, auto kredite i hipoteke). Posebna pažnja posvećena je razvoju bankarskih proizvoda za korporativno poslovanje u masovnim i malim i srednjim segmentima, kao i razvoju daljinskih samouslužnih kanala i internet akvizicije. Strateški prioriteti Alfa-Bank-a su održavanje statusa vodeće privatne banke u Rusiji, jačanje stabilnosti, povećanje profitabilnosti i postavljanje industrijskih standarda za tehnologiju, efikasnost, korisničku uslugu i timski rad.
Alfa-Bank je jedna od najaktivnijih ruskih banaka na globalnom tržištu kapitala. Vodeće međunarodne rejting agencije daju Alfa-Bank jedan od najviših rejtinga među ruskim privatnim bankama. Bio je rangiran na #1 u Indeksu korisničkog iskustva četiri puta zaredom. Sektor bankarstva sa stanovništvom nakon finansijske krize, koji Senteo sprovodi zajedno sa PricewaterhouseCoopers-om.Takođe, Alfa-Bank je 2012. godine proglašena najboljom internet bankom od strane magazina GlobalFinance, nagrađena za najbolju analitiku od strane Nacionalne asocijacije učesnika na berzi (NAUFOR), postala najbolja ruska privatna banka prema indeksu povjerenja koji je izračunao istraživački holding Romir.
Danas Banka ima mrežu federalnog nivoa, uključujući 83 prodajna mjesta. Alfa banka ima jednu od najvećih mreža među komercijalnim bankama, koja se sastoji od 55 kancelarija i pokriva 23 grada. Kao rezultat širenja mreže, Banka je dodatne funkcije povećati bazu klijenata, proširiti asortiman i kvalitet bankarskih proizvoda, implementirati međuregionalne programe, kompleksna usluga glavni klijenti iz redova najvećih preduzeća.
Analiza teorijske osnove problematike sigurnosti poslovnih informacija
Relevantnosti značaj problema osiguravanja informacione sigurnosti sledeći faktori:
· Savremeni nivoi i stope razvoja alata za bezbednost informacija uveliko zaostaju za nivoima i stopama razvoja informacionih tehnologija. · Visoke stope rasta parka personalnih računara koji se koriste u različitim oblastima ljudska aktivnost. Prema istraživanju Gartner Dataquest, trenutno u svijetu postoji preko milijardu personalnih računara. poslovna banka za sigurnost informacija · Oštro širenje kruga korisnika sa direktnim pristupom računarskim resursima i nizovima podataka; Trenutno je značajno povećan značaj informacija koje se čuvaju u bankama, koncentrisane su važne i često tajne informacije o finansijskim i ekonomskim aktivnostima mnogih ljudi, kompanija, organizacija, pa čak i čitavih država. Banka čuva i obrađuje vrijedne informacije koje utiču na interese velikog broja ljudi. Banka čuva važne podatke o svojim klijentima, što proširuje krug potencijalnih uljeza zainteresovanih za krađu ili oštećenje takvih informacija. Preko 90% svih krivičnih djela odnosi se na korištenje automatizovanih sistema za obradu informacija banke. Stoga, prilikom kreiranja i modernizacije ASOIB-a, banke moraju posvetiti veliku pažnju osiguranju njegove sigurnosti. Glavnu pažnju treba posvetiti kompjuterskoj sigurnosti banaka, tj. sigurnost sistema automatizovane obrade informacija banke, kao najrelevantnijeg, najkompleksnijeg i urgentnog problema u oblasti bezbednosti bankarskih informacija. Brzi razvoj informacionih tehnologija otvorio je nove poslovne mogućnosti, ali i doveo do pojave novih prijetnji. Zbog konkurencije, savremeni softverski proizvodi se prodaju sa greškama i nedostacima. Programeri, uključujući različite funkcije u svojim proizvodima, nemaju vremena za kvalitetno otklanjanje grešaka stvorenog softverski sistemi. Greške i nedostaci koji su ostali u ovim sistemima dovode do slučajnog i namjernog kršenja informacione sigurnosti. Na primjer, uzroci većine slučajnih gubitaka informacija su kvarovi u radu softvera i hardvera, a većina napada na kompjuterske sisteme zasniva se na greškama i nedostacima pronađenim u softveru. Tako je, na primjer, u prvih šest mjeseci nakon izlaska operativnog sistema Microsoft Windows server otkriveno 14 ranjivosti, od kojih je 6 kritičnih. Iako s vremenom Microsoft razvija servisne pakete koji rješavaju identificirane nedostatke, korisnici već pate od kršenja sigurnosti informacija zbog preostalih grešaka. Dok se ovi brojni drugi problemi ne riješe, nedovoljan nivo informacione sigurnosti bit će ozbiljna kočnica razvoja informacionih tehnologija. Ispod sigurnost informacijapodrazumijeva se sigurnost informacija i prateće infrastrukture od slučajnih ili namjernih uticaja prirodne ili vještačke prirode koji mogu uzrokovati neprihvatljivu štetu subjektima informacionih odnosa, uključujući vlasnike i korisnike informacija i prateće infrastrukture. U savremenom poslovnom svijetu odvija se proces migracije materijalnih sredstava ka informacionim. Kako se organizacija razvija, njen informacioni sistem postaje sve složeniji, čiji je glavni zadatak da obezbedi maksimalnu poslovnu efikasnost na tržištu koje se stalno menja. Razmatrajući informacije kao robu, može se reći da osiguranje informacione sigurnosti općenito može dovesti do značajnih ušteda troškova, dok šteta koja im je nanesena dovodi do materijalni troškovi. Na primjer, otkrivanje tehnologije proizvodnje originalnog proizvoda dovest će do pojave sličnog proizvoda, ali drugog proizvođača, a kao rezultat kršenja sigurnosti informacija, vlasnik tehnologije, a možda i autor, će izgubiti dio tržišta itd. S druge strane, informacija je predmet kontrole, a njena promjena može dovesti do katastrofalnih posljedica u objektu upravljanja. Prema GOST R 50922-2006, osiguravanje sigurnosti informacija je aktivnost usmjerena na sprječavanje curenja informacija, neovlaštenih i nenamjernih uticaja na zaštićene informacije. Sigurnost informacija je relevantna i za preduzeća i za vladine agencije. U cilju sveobuhvatne zaštite informacionih resursa radi se na izgradnji i razvoju sistema informacione bezbednosti. Mnogo je razloga koji mogu ozbiljno uticati na rad lokalnih i globalnih mreža, dovodeći do gubitka vrijednih informacija. Među njima su sljedeće: Neovlašteni pristup izvana, kopiranje ili promjena informacija slučajne ili namjerne radnje koje dovode do: izobličenje ili uništavanje podataka; upoznavanje neovlašćenih lica sa podacima koji predstavljaju bankarsku, finansijsku ili državnu tajnu. Neispravan rad softvera, što dovodi do gubitka ili oštećenja podataka zbog: greške u aplikacijskom ili mrežnom softveru; infekcija kompjuterskim virusom. Kvarovi tehničke opreme uzrokovani: nestanak struje; kvar diskovnih sistema i sistema za arhiviranje podataka; prekid rada servera, radnih stanica, mrežnih kartica, modema. Greške servisnog osoblja. Naravno, ne postoji jedinstveno rješenje za sve, ali mnoge organizacije su razvile i implementirale tehničke i administrativne mjere kako bi smanjile rizik od gubitka podataka ili neovlaštenog pristupa. Do danas postoji veliki arsenal metoda za osiguravanje sigurnosti informacija, koje se također koriste u Alfa-Bank: · sredstva identifikacije i autentifikacije korisnika (tzv. kompleks 3A); · Sredstva za šifriranje informacija pohranjenih na računalima i prenošenih putem mreža; · zaštitni zidovi; · virtuelne privatne mreže; · Alati za filtriranje sadržaja; · alati za provjeru integriteta sadržaja diskova; · sredstva za antivirusnu zaštitu; · sistemi za otkrivanje ranjivosti mreže i analizatori mrežnih napada. "Kompleks 3A" uključuje autentifikaciju (ili identifikaciju), autorizaciju i administraciju. Identifikacijai autorizacija su ključni elementi informacione sigurnosti. Kada pokušate pristupiti bilo kojem programu, funkcija identifikacije daje odgovor na pitanje: "Ko si ti?" i "Gdje si?", da li ste ovlašteni korisnik programa. Funkcija autorizacije je odgovorna za to kojim resursima određeni korisnik ima pristup. Administrativna funkcija je da korisniku omogući određene karakteristike identifikacije unutar date mreže i odredi opseg radnji koje su mu dozvoljene. U Alfa-Bank-u se prilikom otvaranja programa traži lozinka i prijava svakog zaposlenog, a prilikom obavljanja bilo kakvih operacija u nekim slučajevima je potrebno i ovlaštenje rukovodioca ili njegovog zamjenika u odjelu. Firewallje sistem ili kombinacija sistema koji formira zaštitnu barijeru između dvije ili više mreža koja sprječava neovlaštene pakete podataka da uđu ili napuste mrežu. Osnovni princip rada firewall-a. provjeravanje svakog paketa podataka za podudaranje dolazne i odlazne IP_adrese sa dozvoljenom adresnom bazom. Tako zaštitni zidovi značajno proširuju mogućnosti segmentiranja informacionih mreža i kontrole cirkulacije podataka. Govoreći o kriptografiji i firewall-u, treba spomenuti sigurne virtuelne privatne mreže (Virtual Private Network - VPN). Njihova upotreba omogućava rješavanje problema povjerljivosti i integriteta podataka prilikom njihovog prijenosa otvorenim komunikacionim kanalima. Efikasno sredstvo zaštite od gubitka povjerljivih informacija. Filtriranje sadržaja za dolaznu i odlaznu e-poštu. Provjera e-mail poruka i njihovih priloga na osnovu pravila koja je postavila organizacija također pomaže u zaštiti kompanija od pravne odgovornosti i zaštiti njihovih zaposlenika od neželjene pošte. Alati za filtriranje sadržaja omogućavaju vam skeniranje datoteka svih uobičajenih formata, uključujući komprimirane i grafičke. Gde propusnost mreža ostaje gotovo nepromijenjena. Moderna antivirusnotehnologije omogućavaju otkrivanje gotovo svih već poznatih virusnih programa upoređivanjem koda sumnjive datoteke sa uzorcima pohranjenim u antivirusnoj bazi podataka. Osim toga, razvijene su tehnologije modeliranja ponašanja za otkrivanje novostvorenih virusnih programa. Otkriveni objekti se mogu dezinficirati, izolirati (u karantinu) ili izbrisati. Zaštita od virusa se može instalirati na radnim stanicama, serverima datoteka i pošte, zaštitnim zidovima koji rade pod gotovo svim uobičajenim operativnim sistemima (Windows, Unix - i Linux_systems, Novell) na različitim tipovima procesora. Spam filteri značajno smanjuju neproduktivne troškove rada povezane sa raščlanjivanjem neželjene pošte, smanjuju promet i opterećenje servera, poboljšavaju psihološku pozadinu u timu i smanjuju rizik da zaposleni u kompaniji budu uključeni u lažne transakcije. Osim toga, filteri za neželjenu poštu smanjuju rizik od zaraze novim virusima, budući da poruke koje sadrže viruse (čak i one koje još nisu uključene u antivirusne baze podataka) često pokazuju znakove neželjene pošte i filtriraju se. Istina, pozitivan efekat filtriranja neželjene pošte može se precrtati ako filter, zajedno sa smećem, uklanja ili označava kao neželjenu poštu i korisne poruke, poslovne ili lične. Postoji nekoliko tipičnih tipova i metoda informacijske prijetnje:
Deklasifikacija i krađa poslovnih tajni. Dok su se ranije tajne čuvale na tajnim mjestima, u masivnim sefovima, pod pouzdanom fizičkom i (kasnije) elektronskom zaštitom, danas mnogi zaposleni imaju pristup kancelarijskim bazama podataka koje često sadrže vrlo osjetljive informacije, na primjer, iste podatke o korisnicima. Distribucija kompromitujućeg materijala. Odnosno, namerno ili slučajno korišćenje od strane zaposlenih u elektronskoj korespondenciji takvih informacija koje bacaju senku na reputaciju banke. Povreda intelektualne svojine. Važno je ne zaboraviti da bilo koji intelektualni proizvod proizveden u bankama, kao iu svakoj organizaciji, pripada njima i ne mogu ga koristiti zaposleni (uključujući generatore i autore intelektualnih vrijednosti) osim u interesu organizacije. U međuvremenu, u Rusiji se po ovom pitanju često javljaju sukobi između organizacija i zaposlenih koji polažu pravo na intelektualni proizvod koji su stvorili i koriste ga za lične interese, na štetu organizacije. To se često dešava zbog nejasne pravne situacije u preduzeću, kada ugovor o radu ne sadrži jasno definisane norme i pravila koja preciziraju prava i obaveze zaposlenih. Distribucija (često nenamjerna) insajderskih informacija koje nisu tajne, ali mogu biti korisne konkurentima (drugim bankama). Posjete web stranicama konkurentskih banaka. Sada sve više kompanija koristi programe na svojim otvorenim stranicama (posebno dizajnirane za CRM), koji vam omogućavaju da prepoznate posjetitelje i detaljno pratite njihove rute, zabilježite vrijeme i trajanje pregleda stranica web stranice od strane njih. Internetske stranice konkurenata bile su i ostale vrijedan izvor za analizu i predviđanje. Zloupotreba kancelarijske komunikacije u lične svrhe (slušanje, gledanje muzike i drugih sadržaja koji nisu vezani za posao, preuzimanje kancelarijskog računara) ne predstavlja direktnu prijetnju sigurnosti informacija, ali stvara dodatni stres na korporativnoj mreži, smanjuje efikasnost i ometa sa radom kolega. I, konačno, vanjske prijetnje - neovlašteni upadi itd. Pravila koja donosi banka moraju biti u skladu sa nacionalnim i međunarodno priznatim standardima za zaštitu državnih i poslovnih tajni, ličnih i privatnih podataka. Organizaciona zaštita informacija u Alfa-Bank
Alfa Bank OJSC je implementirala bezbednosnu politiku zasnovanu na metodu selektivne kontrole pristupa. Takvo upravljanje u Alfa Bank OJSC karakteriše skup dozvoljenih pristupnih odnosa koje odredi administrator. Pristupnu matricu popunjava direktno sistem administrator kompanije. Primena selektivne politike bezbednosti informacija je u skladu sa zahtevima menadžmenta i zahtevima za bezbednost informacija i kontrolu pristupa, odgovornost, a takođe ima prihvatljive troškove svoje organizacije. Sprovođenje politike informacione bezbednosti u potpunosti je povereno administratoru sistema Alfa Bank OJSC. Uz postojeću bezbednosnu politiku, Alfa Bank OJSC koristi specijalizovani bezbednosni hardver i softver. Sigurnosni hardver je Cisco 1605. Ruter je opremljen sa dva Ethernet interfejsa (jedan sa TP i AUI interfejsom, drugi samo sa TP) za LAN i jednim utorom za proširenje za instaliranje jednog od modula za rutere serije Cisco 1600. Pored toga, Cisco IOSFirewallFeatureSet softver čini Cisco 1605-R idealnim fleksibilnim ruterom/sigurnosnim rješenjem za malu kancelariju. U zavisnosti od instaliranog modula, ruter može podržavati konekciju kako preko ISDN-a tako i preko dial-up linije ili iznajmljene linije od 1200 bps do 2 Mbps, FrameRelay, SMDS, x.25. Kako bi zaštitio informacije, vlasnik LAN-a mora osigurati "perimetar" mreže, na primjer, uspostavljanjem kontrole na spoju interne mreže sa eksternom mrežom. Cisco IOS pruža visoku fleksibilnost i sigurnost sa obe standardne funkcije kao što su proširene liste pristupa (ACL), sistemi zaključavanja (dinamički ACL-ovi) i autorizacija rutiranja. Pored toga, Cisco IOS FirewallFeatureSet dostupan za rutere serije 1600 i 2500 pruža sveobuhvatne sigurnosne funkcije uključujući: kontekstualna kontrola pristupa (CBAC) java lock dnevnik otkrivanje i prevencija napada trenutno obavještenje Pored toga, ruter podržava virtuelne mreže sa preklapanjem, tunele, sistem upravljanja prioritetima, sistem za rezervaciju resursa i različite metode kontrole rutiranja. Rešenje KasperskyOpenSpaceSecurity se koristi kao alat za zaštitu softvera. KasperskyOpenSpaceSecurity u potpunosti ispunjava savremene zahteve za sisteme zaštite korporativne mreže: rješenje za zaštitu svih vrsta mrežnih čvorova; zaštita od svih vrsta kompjuterskih prijetnji; efektivna tehnička podrška; "proaktivne" tehnologije u kombinaciji sa tradicionalnom zaštitom zasnovanom na potpisima; inovativne tehnologije i novi antivirusni mehanizam koji poboljšava performanse; sistem zaštite spreman za upotrebu; centralizovano upravljanje; potpuna zaštita korisnika izvan mreže; kompatibilnost sa rješenjima trećih strana; efikasno korišćenje mrežnih resursa. Razvijeni sistem treba da obezbedi potpunu kontrolu, automatizovano računovodstvo i analizu zaštite ličnih podataka, skrati vreme pružanja usluga korisnicima, prima informacije o bezbednosnim šiframa informacija i ličnim podacima. Za formiranje zahtjeva za sistem koji se razvija potrebno je formirati zahtjeve za organizaciju baze podataka, informatičku kompatibilnost za sistem koji se razvija. Dizajn baze podataka treba da se zasniva na stavovima krajnjih korisnika određene organizacije – konceptualnim zahtevima za sistem. U ovom slučaju, IS sadrži podatke o zaposlenima u kompaniji. Jedna od tehnologija koja značajno ilustruje rad informacionog sistema je razvoj šeme toka posla za dokumente. Funkcije razvijenog sistema mogu se ostvariti upotrebom računarske tehnologije i softverski alati. S obzirom da potraga za informacijama, informacijama i knjigovodstvenim dokumentima u aktivnostima bankarskih specijalista čini oko 30% radnog vremena, uvođenje automatizovanog računovodstvenog sistema značajno će osloboditi kvalifikovane stručnjake, može dovesti do ušteda u fondu za obračun plaća, smanjujući osoblja, međutim, to može dovesti i do upoznavanja osoblja odjela jedinice za osoblje operatera, čije će dužnosti uključivati unos informacija o tekućim poslovnim procesima: knjigovodstvene dokumentacije ličnih podataka i pristupnih kodova. Treba napomenuti da će uvođenje razvijenog sistema smanjiti, a idealno bi bilo i potpuno eliminisati greške u obračunu ličnih podataka i sigurnosnih kodova. Tako će uvođenje automatiziranog radnog mjesta za menadžera dovesti do značajnog ekonomskog efekta, smanjenja broja zaposlenih za 1/3, ušteda u platnom fondu i povećanja produktivnosti rada. Alfa-Bank je, kao i svaka druga banka, razvila Politiku informacione sigurnosti koja definiše sistem pogleda na problem obezbjeđivanja informacione sigurnosti i predstavlja sistematski iskaz ciljeva i zadataka zaštite, kao jednog ili više pravila, procedura, praksi. i smjernice u oblasti informacione sigurnosti. Politika uzima u obzir trenutno stanje i neposredne izglede za razvoj informacionih tehnologija u Banci, ciljeve, ciljeve i pravni okvir njihovog rada, načine rada, a sadrži i analizu sigurnosnih prijetnji objektima i subjektima informacija. odnosima Banke. Glavne odredbe i zahtjevi ovog dokumenta odnose se na sve strukturne odjele Banke, uključujući i dodatne urede. Ključna pitanja Politika se odnosi i na druge organizacije i institucije koje su u interakciji sa Bankom kao dobavljači i potrošači informacionih resursa Banke u ovom ili onom svojstvu. Zakonodavna osnova ove Politike je Ustav Ruske Federacije, Građanski i Krivični zakoni, zakoni, uredbe, rezolucije, drugi regulatorni dokumenti aktuelno zakonodavstvo Ruska Federacija, dokumenti Državne tehničke komisije pri predsjedniku Ruske Federacije, Federalne agencije za vladine komunikacije i informacije pri predsjedniku Ruske Federacije. Politika je metodološka osnova za: · formiranje i sprovođenje jedinstvene politike u oblasti informacione bezbednosti u Banci; · prihvatanje upravljačke odluke i razvoj praktičnih mera za sprovođenje politike informacione bezbednosti i razvoj seta koordinisanih mera za identifikaciju, odbijanje i otklanjanje posledica implementacije različitih vrsta pretnji bezbednosti informacija; · koordinacija aktivnosti strukturne podjele Banka prilikom obavljanja poslova na kreiranju, razvoju i radu informacionih tehnologija u skladu sa zahtevima za obezbeđivanje informacione bezbednosti; · izradu predloga za unapređenje pravne, regulatorne, tehničke i organizacione bezbednosti informacija u Banci. Sistematski pristup izgradnji sistema informacione bezbednosti u Banci podrazumeva uzimanje u obzir svih međusobno povezanih, međusobno povezanih i vremenski promenljivih elemenata, uslova i faktora koji su od značaja za razumevanje i rešavanje problema obezbeđenja bezbednosti informacija Banke. Osiguravanje sigurnosti informacija- proces koji sprovode Uprava Banke, jedinice za sigurnost informacija i zaposleni na svim nivoima. Ovo nije samo i ne toliko procedura ili politika koja se sprovodi u određenom vremenskom periodu ili skup pravnih lijekova, već proces koji se mora stalno odvijati na svim nivoima unutar Banke i u čemu mora učestvovati svaki zaposleni u Banci. u ovom procesu. Aktivnosti informacione sigurnosti sastavni su dio svakodnevnih aktivnosti Banke. A njegova efikasnost zavisi od učešća menadžmenta Banke u obezbeđivanju informacione bezbednosti. Osim toga, većina fizičkih i tehnička sredstva Za efikasno obavljanje njegovih funkcija potrebna je stalna organizacijska (administrativna) podrška (blagovremena promjena i osiguranje ispravnog pohranjivanja i korištenja imena, lozinki, ključeva za šifriranje, redefiniranje ovlaštenja, itd.). Prekide u radu zaštitnih alata napadači mogu iskoristiti za analizu korišćenih metoda i sredstava zaštite, za uvođenje posebnih softverskih i hardverskih „markera“ i drugih sredstava za prevazilaženje zaštite. Lična odgovornostpreuzima odgovornost za osiguranje sigurnosti informacija i sistema za njihovu obradu svakom zaposlenom u granicama svojih ovlaštenja. U skladu sa ovim principom, raspodjela prava i obaveza zaposlenih je izgrađena na način da se u slučaju bilo kakvog kršenja jasno poznaje ili minimizira krug počinitelja. Alfa-Bank konstantno prati aktivnosti svakog korisnika, svaki sigurnosni alat iu odnosu na bilo koji objekt zaštite treba da se vrši na osnovu upotrebe alata za operativnu kontrolu i registraciju i treba da pokriva kako neovlašćene tako i autorizovane radnje korisnika. Banka je izradila sljedeće organizacione i administrativne dokumente: · Pravilnik o poslovnoj tajni. Ovim Pravilnikom uređuje se organizacija, postupak rada sa podacima koji predstavljaju poslovnu tajnu Banke, dužnosti i odgovornosti zaposlenih kojima se te informacije priznaju, postupak prenošenja materijala koji sadrži podatke koji predstavljaju poslovnu tajnu Banke u državnu (komercijalnu) institucije i organizacije; · Spisak podataka koji predstavljaju službenu i poslovnu tajnu. Lista definiše informacije koje su klasifikovane kao poverljive, nivo i vreme ograničenja pristupa zaštićenim informacijama; · Naredbe i direktive za uspostavljanje režima informacione sigurnosti: · prijem zaposlenih na rad sa ograničenim informacijama; · imenovanje administratora i odgovornih osoba za rad sa ograničenim informacijama u korporativnom informacionom sistemu; · Uputstva i odgovornosti za zaposlene: · o organizaciji sigurnosnog pristupnog režima; · o organizaciji kancelarijskog rada; · upravljanje informacionim resursima korporativnog informacionog sistema; · drugi regulatorni dokumenti. Zaključak
Danas je pitanje organizacije informacione sigurnosti zabrinjavajuće za organizacije bilo kog nivoa - od velikih korporacija do preduzetnika bez obrazovanja. pravno lice. Konkurencija u savremenim tržišnim odnosima daleko je od savršene i često se ne odvija na najlegalnije načine. Industrijska špijunaža cvjeta. Ali slučajevi nenamjernog širenja informacija koje se odnose na poslovnu tajnu organizacije nisu rijetki. Po pravilu, tu ulogu igra nemar zaposlenih, njihovo nerazumijevanje situacije, drugim riječima, „ljudski faktor“. Alfa-Bank osigurava zaštitu sljedećih informacija: poslovna tajna bankarsku tajnu bankovni dokumenti (izvještaji Sektora sigurnosti, godišnji predračun banke, podaci o primanjima zaposlenih u banci itd.) Informacije u banci su zaštićene prijetnjama kao što su: · prirodno · Vještačke prijetnje (nenamjerne (nenamjerne, slučajne) prijetnje uzrokovane greškama u dizajnu informacionog sistema i njegovih elemenata, greškama u postupanju osoblja itd.; namjerne (namjerne) prijetnje povezane sa sebičnim, ideološkim ili drugim težnjama ljudi ( uljezi). Izvori prijetnji u odnosu na sam informacioni sistem mogu biti eksterni i unutrašnji. Bibliografija
1. Ukaz predsjednika Ruske Federacije „O mjerama za osiguranje informacione sigurnosti Ruske Federacije pri korištenju informacionih i telekomunikacionih mreža međunarodne razmjene informacija“ od 17. marta 2008. godine br. 351; Galatenko, V.A. Osnove informacione sigurnosti. Internet univerzitet informacionih tehnologija. INTUIT. ru, 2008; Galatenko, V.A. Standardi sigurnosti informacija. Internet univerzitet informacionih tehnologija. INTUIT. ru, 2005;
2019
Prioriteti cyber sigurnosti za mala i srednja preduzeća
Kompanije iz SMB segmenta privlače oblake, uslužni model potrošnje usluga prema MSSP (Managed Security Service Provider) modelu. To im pomaže da značajno smanje operativne troškove u oblasti informacione sigurnosti.
| Sada neki dobavljači nude svojim klijentima usluge informacione sigurnosti zasnovane na oblaku po modelu pretplate. Po mom mišljenju, srednja i mala preduzeća će ići na upravo takav model usluge informacione sigurnosti, - napominje Dmitry Livshits, CEO"Digitalni dizajn". |
Uslužni model potrošnje IS-a sve je traženiji od strane malih i srednjih preduzeća, budući da ove kompanije ne mogu priuštiti veliki kadar stručnjaka za sigurnost.
Prema riječima Vladimira Balanina, šefa Odjeljenja za informacionu sigurnost I-Teco Grupe, segment malih i srednjih preduzeća postaje glavni potrošač usluga provajdera koji odmah pružaju usluge sa integrisanim uslugama informacione sigurnosti: nema troškova za administraciju, praćenje i održavanje sopstvene infrastrukture, a rizike regulatorne zahteve snosi sam pružalac usluga.
Istovremeno za Rusko tržište sada karakteriše veoma ograničena ponuda bezbednosti informacija za mala i srednja preduzeća. Kako primjećuje Andrey Yankin, direktor Centra za sigurnost informacija u Jet Infosystemsu, gotovo sve usluge su usmjerene na velike korisnike. Tipične i jeftine, ali ne i primitivne usluge informacione bezbednosti za mala i srednja preduzeća, prema njegovim rečima, praktično ne postoje, iako je u nizu drugih zemalja ovo tržište dobro razvijeno.
Istovremeno, razvojem segmenta usluga upravljanja informacionom sigurnošću i perspektivom razvoja tržišta osiguranja od sajber rizika, ovoj kategoriji klijenata će biti na raspolaganju mjere adekvatne savremenim prijetnjama.
U međuvremenu, mala i srednja preduzeća implementiraju osnovnu IT sigurnost, retko se dižući na nivo poslovnih procesa.
Prema riječima Dmitrija Pudova, zamjenika generalnog direktora Angara Technologies grupe za tehnologiju i razvoj, predstavnici malih i srednjih preduzeća, sa svojim budžetima, nemaju gotovo nikakav pristup visokotehnološkim ili složenim rješenjima. To nije samo zbog cijene rješenja, već prije zbog OPEX-a koje oni nose.
Glavna rješenja koja kupuju kupci u segmentu malih i srednjih preduzeća su antivirusi i softverski zaštitni zidovi, kaže Yakov Grodzensky, šef informacione sigurnosti u System Software. Pored toga, kompanije u ovom segmentu se aktivno interesuju za reviziju informacione bezbednosti i pentestiranje, jer takve organizacije nemaju uvek posebnog stručnjaka za informacionu bezbednost u svom osoblju, da ne spominjemo pentestere.
Vjačeslav Medvedev, vodeći analitičar kompanije Doctor Web, dodaje da su istraživanja srednjih preduzeća pokazala da takve kompanije nemaju sredstava za druga sigurnosna rješenja osim osnovnih.
Prioriteti sajber sigurnosti velikih preduzeća
Za dioničare, vlasnike i top menadžment uvijek je važno da imaju objektivnu sliku o sigurnosti informacija i tehnološkim procesima unutar organizacije, pa ukupan nivo zrelosti informacione sigurnosti u kompanijama svake godine raste. Međutim, nekim velikim organizacijama još uvijek nedostaje elementarni red u poslovnim procesima koji osiguravaju rad informacionih sistema, što može dovesti do haosa u informacionoj bezbednosti. Stoga je glavni prioritet za velike kompanije- u rešavanju ovih problema kaže Nikolaj Zabusov, direktor odeljenja informacione i mrežne bezbednosti "Step Logic".
osim toga, veliki posao fokusira se na usklađenost sa zahtjevima regulatora i internih standarda, nastojeći stvoriti koliko-toliko ravnomjerno zaštićenu infrastrukturu. Industrijski standardi u oblasti informacione bezbednosti razvijeni su i "implementirani" u mnogim korporacijama.
Veliko komercijalne kompanije u stvari, bili su pred izborom: krenuti putem digitalne transformacije ili raditi bez promjene paradigme poslovanja. Ali u drugom slučaju, oni će prije ili kasnije biti primorani da ustupe svoje pozicije na tržištu konkurentima koji su pokazali veću fleksibilnost.
| Među prioritetima za poslovni segment, s jedne strane, mogu istaći povećanje efikasnosti korišćenja klasičnih rješenja za sigurnost informacija, as druge strane uvođenje zaštite od novih vrsta prijetnji u sklopu implementacije projekti digitalizacije. Ovo posljednje je vrlo važno, budući da su sigurnosna ograničenja često jedan od glavnih razloga sporog napretka na putu digitalne transformacije, - napominje Oleg Šaburov, šef odjela za informacijsku sigurnost u Softlineu. |
Sa stanovišta praktične sigurnosti, vektor se sve više pomjera sa sprječavanja napada na njihovo otkrivanje i reagovanje na njih, kaže Andrej Zaikin, voditelj informacijske sigurnosti u Croc-u. To dovodi do činjenice da relativno mlade klase rješenja postaju sve popularnije i traženije: EDR, IRP. Automatizovani sistemi odgovori imaju različite skupove skripti, skripti i omogućavaju vam da blokirate pokušaje širenja prijetnji.
usluge kibernetičke sigurnosti
SMB kompanije koje razumiju kritičnost informacione sigurnosti za svoje poslovanje idu putem korištenja modela usluga.
Popularno
- Projekti kuća 80 m Projekti malih kuća. Unutrašnjost i eksterijer objekta
- Etički, deontološki i pravni aspekti doktora hitne pomoći Zavod za vanbolničku i hitnu medicinsku pomoć, VolgGMU
- Kako se naviknuti na uslove na novom poslu
- Profesionalni izgledi za epilepsiju Epilepsija koja može raditi kao krojačica
- Diavzglyad: Od koga i kako može raditi pacijent sa dijabetesom
- Diavzglyad: Od koga i kako može raditi pacijent sa dijabetesom
- Modni časopisi za gojazne žene Časopis je moderan za gojazne žene
- Jeste li znali da se mnogi časopisi mogu čitati online i besplatno?
- Da biste ozdravili morate dobro raditi Boris obnosov taktičko raketno oružje
- Patrijarh Kiril je govorio o satu Breguet i stanu u Kući na nasipu Gundjajev sat