» »

Zagotavljanje varnosti poslovnih informacij. Kibernetska varnost je preprosta

Preden govorim o tem, kakšna tveganja za varnost informacij vas lahko čakajo na delovnem mestu, se želim predstaviti: moje ime je Kamila Iosipova. Sem višji vodja informacijske varnosti v IT podjetju ICL Services, v tej organizaciji delam že 5 let. Sem tudi pooblaščeni revizor informacijskih sistemov CISA (certificiranje ISACA pomeni pooblaščeni revizor informacijskih sistemov).

V letu 2018 se je obseg kršitev podatkov v podjetjih povečal za 5 %. Človeški dejavnik je eden glavnih vzrokov za incidente v zvezi z informacijsko varnostjo. Malomarnost, neprevidnost, motiv, naklep – to so razlogi, zakaj lahko zaposleni v vaših podjetjih hote ali nehote pripeljejo posel na dno. Kako zaščititi sebe in svoje stranke, kaj storiti za razvoj kulture dela s podatki med zaposlenimi in kakšne metode uporabiti v tem primeru, bom povedal naprej.

Načrt vzpostavitve dela na področju informacijske varnosti

Če pogledate globalno, lahko vidite, da je na področju informacijske varnosti zaslediti določen vzorec: pozornost do informacijske varnosti je v veliki meri odvisna od dejavnosti podjetja. Na primer, v državni ali bančništvu so zahteve strožje, zato se več pozornosti namenja izobraževanju zaposlenih, kar pomeni, da je kultura dela s podatki bolj razvita. Vendar bi morali danes vsi biti pozorni na to težavo.

Tukaj je torej nekaj praktičnih korakov, ki vam bodo pomagali opraviti svoje delo na področju informacijske varnosti:

1 korak. Izdelati in izvajati splošno politiko informacijske varnosti, ki bo vsebovala osnovna načela delovanja družbe, cilje in cilje na področju upravljanja informacijske varnosti.

2 korak. Vnesite pravilnik o klasifikaciji in ravni zasebnosti.

Hkrati je treba ne samo napisati dokument, do katerega bo imel zaposleni dostop 24 ur na dan, 7 dni v tednu, ampak tudi izvesti različna izobraževanja in govoriti o spremembah, ki se izvajajo. Držite se pravila: opozorjen je oborožen. Naj podjetje nenehno dela v tej smeri.

3 korak. Razvijte proaktiven pristop.

To je kot preventiva v medicini. Strinjam se, da je veliko ceneje in lažje opraviti preventivni pregled kot zdraviti napredovalo bolezen. V našem podjetju na primer proaktivni pristop deluje takole: za delo z informacijami v komercialnih projektih smo razvili standard upravljanja IS v projektih, ki vsebuje potrebne minimalne zahteve IS za zagotavljanje določene stopnje zrelosti procesov IS v komercialni projekt. Opisuje, kaj je treba storiti, da se ohrani določena raven zrelosti procesa upravljanja varnosti. Ta standard smo implementirali v projekte in zdaj vsako leto izvajamo notranje presoje: preverjamo, kako projekti izpolnjujejo te zahteve, identificiramo tveganja za informacijsko varnost in najboljše prakse, ki lahko pomagajo drugim vodjem projektov.

Poleg revizij dobro deluje tudi izmenjava znanja. Če je v enem od projektov »udarilo«, je dobro, da ostali vedo za to in imajo čas, da sprejmejo potrebne ukrepe.

4 korak. Naredite vse dokumente, ki pojasnjujejo pravila: strukturirano, jasno in jedrnato.

Kot kaže praksa, nihče ne bere dolgih večstranskih besedil. Dokument mora biti napisan v preprostem jeziku. Prav tako mora biti v skladu s poslovnimi cilji in potrjeno s strani najvišjega vodstva – to bo za zaposlene močnejši argument, zakaj je treba ta pravila upoštevati.

5 korak. Vodite izobraževanja, pogovore, poslovne igre ipd.

Zelo pogosto ljudje ne razumejo, kako so določena pravila povezana z njihovim delom, zato morate navesti primere, razložiti, pokazati, kako jih lahko uporabljajo. Tukaj je pomembno prikazati posledice, do izgube posla, in kakšne posebne posledice čakajo zaposlenega, do kazenske odgovornosti.

Za uresničitev vsega naštetega v podjetju so potrebni viri, tako materialni kot kadrovski. Zato se je zdaj v mnogih podjetjih začel pojavljati položaj direktorja informacijske varnosti (CISO). Zahvaljujoč temu položaju je mogoče vodjem podjetij posredovati pomen spodbujanja kakršnih koli odločitev, dodeljevanja sredstev itd. CISO je sposoben spodbujati informacijsko varnost v podjetju na vseh ravneh.

Naloge, ki jih prevzema, so obsežne: komunikacija z najvišjim vodstvom, utemeljitev določenih odločitev, komunikacija z lastniki procesov za uveljavitev varnosti na vseh področjih. Z vidika kibernetskih groženj je kontaktna točka, pri tem pa upravlja, določa strategije odzivanja na kibernetske grožnje in koordinira delo pri odzivanju na napade.

Usposabljanje zaposlenih: težko, dolgotrajno, a potrebno

Preden pa ljudi naučite določenih pravil, morate razumeti eno stvar: ne morete se zadrževati na človeškem dejavniku, za tem je lahko nekaj drugega - pomanjkanje virov, znanja ali tehnologije. Tukaj je najučinkovitejša metoda analiza resničnih vzrokov, da pridemo do temeljnega vzroka.

Pri delu z ljudmi je treba izbrati ključ dobesedno vsem. Vsi ljudje smo različni, zato so tudi metode, ki jih je treba uporabiti, različne. V enem od razgovorov z zaposlenim mi je strokovnjak rekel: nekaj bom naredil le, če bom vedel, da bom dobil zaradi neizpolnjevanja zahteve. In obratno, pri nekaterih deluje samo pozitivna motivacija, kot je dobra ocena kakovosti dela, spodbuda za uspešno opravljeno usposabljanje.

Obstaja mnenje, da strokovnjaki za informacijsko varnost pogosto delujejo kot zaviralci inovacij, zlasti ko omejujejo uporabo novih tehnologij in poslovnih modelov. Morda je res tako, vendar si je treba zapomniti naslednje: »Varnost je kot zavore na vašem avtomobilu. Njihova naloga je, da vas upočasnijo. Toda njihov namen je, da vam omogočijo hitro vožnjo. Dr. Gary Hinson« (»Varnost je kot zavore na vašem avtomobilu. Njihova funkcija je, da vas upočasnijo. Toda njihov namen je, da vam omogočijo hitro vožnjo«). Pomembno je razumeti, da brez teh pravil ni mogoče iti naprej, saj na neki točki preprosto ne boste mogli razvijati svojega poslovanja, če se ne boste zaščitili pred kibernetskimi grožnjami in obvladovali tveganja informacijske varnosti. Da bi dosegli ravnovesje, naše podjetje uporablja pristop, ki temelji na tveganju, ki je osnova standarda ISO 27001. Ta pristop nam omogoča, da izberemo zahteve, ki veljajo za nas, in varnostne ukrepe, ki so potrebni, da se zaščitimo. od groženj, ki so pomembne za nas. S pomočjo tega pristopa lahko izbiramo tudi s finančnega vidika: kako primerno je uporabiti določene ukrepe. Na primer, biometrični skener lahko postavimo v vsako sejno sobo, toda koliko ga potrebujemo, kakšno vrednost prinaša, kakšna tveganja zmanjšuje? Odgovor ni vedno očiten.

V ICL Services se zavedamo, da je zaupnost informacij, s katerimi delamo, pomembna za nas, zato šifriramo prenosne računalnike, saj tudi če se prenosnik izgubi, podatki ne bodo prišli v roke vsiljivcem. To je ključnega pomena in za to smo pripravljeni porabiti denar.

Menim, da je to edini način za doseganje ravnotežja med varnostjo in poslovno vrednostjo: izbiraj, bodi pozoren na novosti in vedno oceni tveganja (v kolikšni meri je strošek implementacije tveganja primerljiv s stroškom nakupa ene ali druge varnostne rešitve). ).

Integriran pristop je idealen recept za informacijsko varnost

Celostni pristop k delu z varnostjo je po mojem mnenju najučinkovitejši, saj je informacijska varnost stvar človekovega zavedanja, obnašanja in pravilne organizacije poslovnih procesov ob upoštevanju varnostnih zahtev. Incidenti se najpogosteje zgodijo zaradi zaposlenih: ljudje se zmotijo, se utrudijo, lahko pritisnejo na napačen gumb, zato je tu polovica uspeha tehnične omejitve, od naključnih nenamernih incidentov, druga polovica je varnostna kultura vsakega zaposlenega.

Zato je pomembno izvajati preventivne pogovore in izobraževanja. V današnjem svetu so kibernetske grožnje namenjene ljudem: če prejmete lažno e-poštno sporočilo, je neškodljivo, dokler ne pridete do povezave in kliknete nanjo. V našem podjetju je poudarek na zavesti kadra, na delu z ljudmi, na ozaveščenosti. No, tretja točka je organizacijska, ljudje morajo poznati pravila, pravila morajo biti zapisana, obstajati mora določena politika, ki se je morajo vsi držati.

Ne pozabite: kibernetske grožnje so v svetu zelo pogoste, hkrati pa so posledice napadov zelo resne - do popolne izgube posla, stečaja. Seveda je vprašanje na dnevnem redu. Varnost v našem času je preprosto dolžna biti del korporativne kulture, vrhovno vodstvo pa je prva zainteresirana stran v tej zadevi, saj vodi posel, in ko bodo tveganja realizirana, bodo v prvi vrsti odgovorni.

Tukaj je nekaj nasvetov, ki bodo vašim zaposlenim pomagali preprečiti kibernetske varnostne incidente:

  1. Ne morete slediti nepreverjenim povezavam;
  2. Ne razširjajte zaupnih informacij;
  3. Ne morete zapisati gesla na kos papirja in nalepiti nalepke;
  4. Ne uporabljajte USB medijev, za katere niste prepričani (napadalec lahko pusti okuženo fizično napravo na mestu, kjer jo bo žrtev zagotovo našla);
  5. Ko se registrirate na spletnih mestih z navedbo telefonske številke in poštnega naslova, natančno poiščite, za kaj so ti podatki potrebni, morda se na ta način naročite na plačljive novice.

Upam, da bo sčasoma varnost postala ključni element korporativne kulture v vsakem podjetju.

Veščine za delo na področju informacijske varnosti lahko odlično obvladate na fakulteti.

Uvod

Vodje podjetij morajo prepoznati pomen informacijske varnosti, se naučiti napovedovati in obvladovati trende na tem področju.

Današnje poslovanje ne more obstajati brez informacijske tehnologije. Znano je, da je približno 70 % celotnega svetovnega nacionalnega proizvoda tako ali drugače odvisnega od informacij, shranjenih v informacijskih sistemih. Široka uvedba računalnikov ni povzročila le dobro znanih ugodnosti, ampak tudi težave, med katerimi je najresnejša težava informacijske varnosti.

Poleg nadzora nad računalniki in računalniškimi omrežji standard namenja veliko pozornosti razvoju varnostnih politik, delu s kadri (zaposlovanje, usposabljanje, odpuščanje z dela), zagotavljanju kontinuitete proizvodnega procesa in zakonskim zahtevam.

Nedvomno je ta tema seveda zelo pomembna v sodobnih razmerah.

Predmet predmeta: informacijska varnost poklicnih dejavnosti organizacije.

Predmet študija: zagotavljanje informacijske varnosti.

Pri predmetu je predvidena izdelava projektne vodstvene odločitve o organizaciji informacijske varnosti na podlagi realne organizacije.

Poglavje 1. Informacijska varnost poklicne dejavnosti

Zagotavljanje informacijske varnosti je za strokovnjake razmeroma novo področje poklicne dejavnosti. Glavni cilji takih dejavnosti so:

Zagotavljanje zaščite pred zunanjimi in notranjimi grožnjami na področju oblikovanja, distribucije in uporabe informacijskih virov;

Preprečevanje kršitev pravic državljanov in organizacij do ohranjanja zaupnosti in tajnosti informacij;

Zagotavljanje pogojev, ki preprečujejo namerno izkrivljanje ali prikrivanje podatkov, če za to ni pravne podlage.

Stranke strokovnjakov na tem področju so:

Zvezni organi državne oblasti in uprave Ruske federacije;

Državni organi sestavnih subjektov Ruske federacije;

Državne ustanove, organizacije in podjetja;

obrambna industrija;

Organi lokalne samouprave;

Institucije, organizacije in podjetja nedržavne oblike
premoženje.

Pojav brezplačne, čeprav nezakonite prodaje baze podatkov strank mobilnega podjetja MTS, nas vedno znova prisili, da se obrnemo na problem računalniške varnosti. Zdi se, da je ta tema neizčrpna. Njen pomen je tem večji, čim višja je stopnja informatizacije gospodarskih podjetij in neprofitnih organizacij. Visoke tehnologije, ki igrajo revolucionarno vlogo v razvoju poslovanja in skoraj vseh drugih vidikov sodobne družbe, delajo svoje uporabnike zelo ranljive z vidika informacijske in navsezadnje ekonomske varnosti.

To ni problem le v Rusiji, ampak v večini držav sveta, predvsem zahodnih, čeprav obstajajo zakoni, ki omejujejo dostop do osebnih podatkov in nalagajo stroge zahteve za njihovo shranjevanje. Trg ponuja različne sisteme za zaščito računalniških omrežij. Toda kako se zaščititi pred lastno »peto kolono« – brezvestnimi, nelojalnimi ali preprosto malomarnimi zaposlenimi, ki imajo dostop do tajnih podatkov? Škandalozno uhajanje baze podatkov o strankah MTS se očitno ne bi moglo zgoditi brez tajnega dogovarjanja ali kriminalne malomarnosti zaposlenih v podjetju.

Zdi se, da se mnogi, če ne večina, podjetnikov enostavno ne zavedajo resnosti problema. Tudi v državah z razvitim tržnim gospodarstvom po nekaterih raziskavah 80% podjetij nima premišljenega, načrtovanega sistema zaščite shranjevanja, operativnih baz podatkov. Kaj naj rečemo o nas, navajenih zanašanja na slavni "morda".

Zato ni odveč, če se obrnemo na temo nevarnosti, ki jih predstavlja uhajanje zaupnih informacij, in govorimo o ukrepih za zmanjšanje takih tveganj. Pri tem nam bo v pomoč objava v Legal Times (21. oktober 2002), pravna publikacija (Mark M. Martin, Evan Wagner, “Information Vulnerability and Security”). Avtorji navajajo najbolj značilne vrste in načine informacijskih groženj. Kaj natanko?

Odprava tajnosti in kraja poslovnih skrivnosti. Tukaj je vse bolj ali manj jasno. Klasika, starodavna zgodovina, gospodarsko vohunjenje. Medtem ko so bile prej skrivnosti shranjene na skrivnih mestih, v ogromnih sefih, pod zanesljivim fizičnim in (kasneje) elektronskim varovanjem, imajo danes številni zaposleni dostop do pisarniških baz podatkov, ki pogosto vsebujejo zelo občutljive informacije, na primer podatke o istih strankah.

Distribucija kompromitujočega materiala. Tu avtorji mislijo na namerno ali nenamerno uporabo takšnih informacij s strani zaposlenih v elektronski korespondenci, ki mečejo senco na ugled podjetja. Ime podjetja se na primer odraža v domeni dopisnika, ki v pismih dovoljuje obrekovanje, žalitve, skratka vse, kar lahko kompromitira organizacijo.

Kršitev intelektualne lastnine. Pomembno je, da ne pozabite, da vsak intelektualni izdelek, proizveden v organizaciji, pripada organizaciji in ga zaposleni (vključno z generatorji in avtorji intelektualnih vrednosti) ne morejo uporabljati, razen v interesu organizacije. Medtem se v Rusiji o tem vprašanju pogosto pojavljajo konflikti med organizacijami in zaposlenimi, ki zahtevajo intelektualni izdelek, ki so ga ustvarili, in ga uporabljajo za osebne interese v škodo organizacije. To se pogosto zgodi zaradi nedorečenega pravnega položaja v podjetju, ko pogodba o zaposlitvi ne vsebuje jasno opredeljenih norm in pravil, ki opisujejo pravice in obveznosti zaposlenih.

Razširjanje (pogosto nenamerno) notranjih informacij, ki niso tajne, vendar so lahko koristne za konkurente. Na primer o novih prostih delovnih mestih zaradi širitve poslovanja, o službenih potovanjih in pogajanjih.

Obiski spletnih strani konkurentov. Zdaj vse več podjetij uporablja programe na svojih odprtih spletnih mestih (zlasti zasnovanih za CRM), ki vam omogočajo prepoznavanje obiskovalcev in podrobno spremljanje njihovih poti, beleženje časa in trajanja ogleda strani spletnega mesta. Jasno je, da če je vaš obisk konkurenčne spletne strani njen upravljavec do potankosti poznan, potem slednjemu ni težko sklepati, kaj točno vas zanima. To ni poziv k opustitvi najpomembnejšega kanala konkurenčnih informacij. Spletne strani konkurence so bile in ostajajo dragocen vir za analize in napovedi. Ko pa obiščete spletna mesta, se morate zavedati, da puščate sledi in vas tudi opazujejo.

Zloraba pisarniške komunikacije v osebne namene (poslušanje, gledanje glasbe in drugih vsebin, ki niso povezane z delom, nalaganje službenega računalnika) ne predstavlja neposredne grožnje informacijski varnosti, povzroča pa dodatno obremenitev korporativnega omrežja, zmanjšuje učinkovitost in moti z delom kolegov.

In končno, zunanje grožnje - nepooblaščeni vdori itd. To je tema za ločeno resno razpravo.

Kako se zaščititi pred notranjimi grožnjami? Preprosto ni 100-odstotnega jamstva za škodo, ki jo lahko povzročijo vaši zaposleni. To je človeški dejavnik, ki ga ni mogoče popolnoma in brezpogojno nadzorovati. Hkrati zgoraj omenjeni avtorji dajejo koristen nasvet - razviti in izvajati jasno oblikovano komunikacijsko (ali informacijsko) politiko v podjetju. Takšna politika bi morala potegniti jasno mejo med dovoljenim in nedovoljenim pri uporabi pisarniških komunikacij. Prestop meje vodi v kazen. Obstajati mora sistem nadzora, kdo in kako uporablja računalniška omrežja. Pravila, ki jih sprejme podjetje, morajo biti v skladu z nacionalnimi in mednarodno priznanimi standardi varovanja državnih in poslovnih skrivnosti ter osebnih in zasebnih podatkov.


Poglavje 2. Zagotavljanje informacijske varnosti

poklicna dejavnost v LLC "Laspi"

2.1. Kratek opis Laspi LLC

Laspi LLC je bilo ustanovljeno leta 1995 kot predstavništvo češkega podjetja v Rusiji. Podjetje se ukvarja z dobavo češke opreme in potrošnega materiala za proizvodnjo različnih betonskih izdelkov (začenši s tlakovci in konča z ograjami, cvetličnimi lončki itd.). Oprema je visoke kakovosti in razumnih stroškov. Stranke, ki se prijavijo v pisarno v Samari, so organizacije iz različnih mest Rusije in CIS (Kazan, Ufa, Iževsk, Moskva, Nižni Novgorod itd.). Tako obsežna dejavnost seveda zahteva poseben odnos do informacijske varnosti v podjetju.

Današnja informacijska varnost pušča veliko želenega. Različna dokumentacija (tehnična, ekonomska) je v javni domeni, kar omogoča, da se z njo nemoteno seznani skoraj vsak zaposleni v podjetju (od ustanovitelja do voznika).

Posebej pomembne dokumente hranimo v sefu. Ključe od sefa imata le direktor in njegova tajnica. Toda tu igra tako imenovani človeški dejavnik pomembno vlogo. Pogosto so ključi pozabljeni v pisarni na mizi in sef lahko odpre celo čistilka.

Gospodarska dokumentacija (poročila, računi, računi, fakture ipd.) je urejena v mapah in policah v omari, ki se ne zaklepa.

Zaposleni ob prijavi na delovno mesto ne podpisujejo pogodb o nerazkrivanju poslovnih skrivnosti, kar jim ne prepoveduje razširjanja teh informacij.

Zaposlovanje poteka prek razgovora, ki je sestavljen iz dveh stopenj: 1. komunikacija z neposredno nadrejenim (na katerem se razkrijejo veščine in sposobnosti potencialnega sodelavca) 2. komunikacija z ustanoviteljem (je bolj osebne narave). in zaključek takšnega dialoga je lahko "sodelujmo" ali "ne bomo delali").

Zagotavljanje informacijske varnosti poslovanja Andrianov V.V.

1.3. Varnostni model poslovnih informacij

1.3.1. Motivacija

Ruska in svetovna praksa urejanja informacijske varnosti (IS) nedavne preteklosti je bila sestavljena iz obveznih zahtev nacionalnih pooblaščenih organov, sestavljenih v obliki smernic RD. Zato je za najvišje vodstvo in lastnike organizacij obstajal le en problem skladnosti z njimi (skladnost) in samo en način za rešitev - kako izpolniti predlagane zahteve z minimalnimi stroški. Pooblaščeni organi so imeli svojo težavo - tako zaradi nezmožnosti pokrivanja vseh možnih vrst dejavnosti in pogojev za njihovo izvajanje, kot tudi bistvenih razlik v ciljih dejavnosti, ponuditi univerzalen nabor zahtev. Da bi to naredili, je bil problem informacijske varnosti obravnavan kot samozadostna entiteta, nespremenljiva glede na dejavnosti, cilje, pogoje, in je bil zaradi univerzalnosti tudi vsebinsko bistveno zmanjšan.

Oba pristopa (organizacij in regulatorjev) sta neadekvatna obstoječi realnosti in jo prikazujeta v bistveno izkrivljeni obliki. Tako so glavne vsebinske omejitve dejavnosti IS povezane s tradicionalnim modelom IS, ki pomeni obvezno prisotnost napadalca, ki želi poškodovati sredstva (informacije), in je v skladu s tem osredotočen na zaščito informacij pred dejanji takega subjekta. (skupina predmetov). Hkrati incidentov, povezanih na primer z rednimi spremembami aplikacijske programske opreme, ni mogoče pripisati napadalcu. Njihova možna razloga sta slabo razvito upravljanje in šibka tehnološka osnova. Lastna neprimernost organizacije (vodenje, temeljni poslovni procesi) nasploh prevladujočim razmeram je zelo močan vir težav, ki pa je zaradi nezmožnosti povezave z napadalcem zanemarjen.

Nadaljnji razvoj modelov IS je bil povezan s krepitvijo vloge lastnika (lastnika) in se je zmanjšal na dejstvo, da je sam izbral (na lastno nevarnost in tveganje) iz standardnega nabora zaščitnih ukrepov, ki so mu bili ponujeni, tiste, ki potrebuje, torej tiste, ki po njegovem mnenju zagotavljajo sprejemljivo raven varnosti. To je bil pomemben korak naprej, saj je zagotovilo, da je bila informacijska varnost povezana z določenim objektom s posebnimi pogoji za njegov obstoj, s čimer so bila delno razrešena protislovja, povezana s samozadostnostjo problema informacijske varnosti. Lastniku pa ni bilo mogoče ponuditi konstruktivnega mehanizma, razen izdelave kataloga objektov z izbranimi tipičnimi zaščitnimi ukrepi (profili zaščite). Sami profili so bili izdelani s pomočjo ekspertne hevristične metode. Pri tem je ostalo neznanka, kakšno tveganje je prevzel lastnik, ugotovljeno pa je bilo v praksi.

Nadaljnja evolucija se je skrčila na tezo, da lahko informacijska varnost ustvari (generira) škodo za namene delovanja, zato je treba tveganja informacijske varnosti (ki je ostala samozadostna) uskladiti (povezati) s tveganji organizacije. Ostalo je le nakazati, kako ju povezati in sistem upravljanja varnosti informacij (ISMS) integrirati v korporativno upravljanje ne kot izoliran in neodvisen sistem procesov, temveč kot integralno, močno povezano komponento upravljanja. To ni uspelo. Vendar je ta pristop dobro napredoval pri številnih kategorijah ocenjevanja IS, vključno s tveganji IS.

Poznani so tudi pragmatični modeli IS, ki temeljijo na oceni skupnih stroškov lastništva (glede na IS) in »donosnosti« vlaganj v IS. V okviru tega pristopa skupina organizacij, podobnih glede na cilje in pogoje delovanja organizacij, periodično ocenjuje področja implementacije IS in oblikuje model, sestavljen iz najboljših praks za skupino. Nadalje vsaka od organizacij v skladu s svojim zaostajanjem za najboljšimi praksami in svojimi pogoji (incidenti, ki so se zgodili) določi smer in obseg investicij. Učinkovitost naložb se v naslednjem obdobju ocenjuje z zmanjševanjem škode zaradi incidentov, ki so se znašli na območju izvedenih investicij in zato niso povzročili velike škode.

Vendar pa ta pristop s številnimi svojimi prednostmi zahteva široko izmenjavo občutljivih informacij, konflikt interesov udeležencev v izmenjavi pa onemogoča ustvarjanje kakršnih koli kakovostnih ukrepov za krepitev zaupanja, zato ni v široki uporabi.

Model IS, predlagan v standardu Centralne banke Ruske federacije, je problem še dodatno napredoval tako v smislu njegove integracije (povezane s cilji dejavnosti) kot v smislu razširitve interpretacije bistva "vsiljivca". Napadalec je oseba, ki se je sposobna zoperstaviti lastniku in ima svoj cilj, ki ga uresničuje, doseganje nadzora nad sredstvi organizacije.

Ta pristop bistveno razširi vrste in vire škode za organizacijo, ki spadajo v področje obravnave IS, kjer je njihova rešitev najbolj racionalna. Vendar je šlo v veliki meri za kompromisni pristop in nujno zahteva nadaljnje približevanje problematike informacijske varnosti končnemu rezultatu aktivnosti (izdelanemu izdelku). Potrebujemo model, ki resnično pomaga podjetju, neposredno prispeva k njegovi uspešnosti in potrebnim izboljšavam z ustvarjanjem in vzdrževanjem varne in zaupanja vredne informacijske sfere, tudi z bojem proti vsiljivcu. Samo takšen model lahko zazna posel. Vse druge bodo zavrnili.

To besedilo je uvodni del. Iz knjige Uporaba tehnologij elektronskega bančništva: Na tveganju temelječ pristop avtor Lyamin L. V.

5.4. Prilagoditev informacijske varnosti

avtor Andrianov V. V.

1. Filozofija varnosti poslovnih informacij

Iz knjige Varnost poslovnih informacij avtor Andrianov V. V.

1.1.4. Opredelitev informacijske varnosti Postopno spoznanje, da je lahko informacijski vpliv na poslovni proces (na njegovo upravljanje) učinkovitejši od materialnega ali finančnega vpliva, kot tudi nizek prag sredstev za tovrstne vplive.

Iz knjige Varnost poslovnih informacij avtor Andrianov V. V.

2. Obstoječi modeli upravljanja (upravljanja), ki se uporabljajo za zagotavljanje varnosti poslovnih informacij Če ima organizacija neomejen vir, potem ni težav z upravljanjem za zagotavljanje informacijske varnosti njenega poslovanja. Če

Iz knjige Varnost poslovnih informacij avtor Andrianov V. V.

3. Ocena varnosti poslovnih informacij. Problem merjenja in vrednotenja poslovne informacijske varnosti 3.1. Načini ocenjevanja informacijske varnosti Organizacije, katerih poslovanje je za doseganje poslovnih ciljev v veliki meri odvisno od informacijske sfere

Iz knjige Varnost poslovnih informacij avtor Andrianov V. V.

3.1. Metode ocenjevanja informacijske varnosti Organizacije, katerih poslovanje je v veliki meri odvisno od informacijske sfere, morajo za doseganje poslovnih ciljev vzdrževati sistem informacijske varnosti (IS Maintenance System) na zahtevani ravni. ISIS je komplet

Iz knjige Varnost poslovnih informacij avtor Andrianov V. V.

3.2. Postopek ocenjevanja informacijske varnosti 3.2.1. Glavni elementi procesa evalvacije Proces evalvacije IS vključuje naslednje elemente evalvacije: - kontekst evalvacije, ki določa vhodne podatke: cilje in namen evalvacije IS, vrsto evalvacije (neodvisna evalvacija,

Iz knjige Varnost poslovnih informacij avtor Andrianov V. V.

3.2.2. Kontekst ocene informacijske varnosti organizacije Kontekst ocene IS vključuje cilje in namen ocene IS, vrsto ocene, predmet in področja ocene IS, omejitve ocene, vloge in vire. izvedbo ocenjevalnega procesa vključuje organizator,

Iz knjige Varnost poslovnih informacij avtor Andrianov V. V.

Ministrstvo za izobraževanje in znanost Ruske federacije

zvezna državna proračunska izobraževalna ustanova

visoka strokovna izobrazba

"PERM NACIONALNE RAZISKAVE

POLITEHNIČNA UNIVERZA"

Test

po disciplini

INFORMACIJSKA VARNOST PODJETJA

Tema "Informacijska varnost v poslovanju na primeru Alfa-Bank"

Izpolnil študent

Skupina FK-11B:

Smyshlyaeva Maria Sergeevna

Preveril učitelj:

Šaburov Andrej Sergejevič

Perm - 2013

Uvod

Zaključek

Bibliografija

Uvod

Informacijski viri večine podjetij so med najbolj dragocenimi viri. Zaradi tega morajo biti komercialne, zaupne informacije in osebni podatki zanesljivo zaščiteni pred zlorabo, a hkrati lahko dostopni subjektom, ki te informacije obdelujejo ali uporabljajo pri izvajanju dodeljenih nalog. Uporaba posebnih orodij za to prispeva k trajnosti poslovanja podjetja in njegovemu preživetju.

Kot kaže praksa, je vprašanje organizacije poslovne zaščite v sodobnih razmerah postalo najbolj pomembno. V spletne trgovine se vdira in strankam praznijo kreditne kartice, igralnice in nagradne igre izsiljujejo, z omrežji podjetij se manipulira, računalnike zombirajo v botnete, goljufije z identiteto pa postajajo nacionalna katastrofa.

Zato se morajo vodje podjetij zavedati pomena informacijske varnosti, se naučiti napovedovati in obvladovati trende na tem področju.

Namen tega dela je ugotoviti prednosti in slabosti sistema varnosti poslovnih informacij na primeru Alfa-Bank.

Značilnosti dejavnosti Alfa-Bank OJSC

Alfa-Bank je bila ustanovljena leta 1990. Alfa-Bank je univerzalna banka, ki izvaja vse glavne vrste bančnih poslov na trgu finančnih storitev, vključno s servisiranjem zasebnih in poslovnih strank, investicijskim bančništvom, trgovinskim financiranjem in upravljanjem premoženja.

Sedež Alfa-Bank je v Moskvi, skupaj je bilo odprtih 444 podružnic in poslovalnic banke v regijah Rusije in v tujini, vključno s hčerinsko banko na Nizozemskem in finančnimi podružnicami v ZDA, Veliki Britaniji in na Cipru. Alfa-Bank zaposluje približno 17.000 zaposlenih.

Alfa-Bank je največja ruska zasebna banka glede na bilančno vsoto, skupni kapital in depozite. Banka ima veliko bazo strank tako podjetij kot fizičnih oseb. Alfa-Bank se razvija kot univerzalna banka na glavnih področjih: korporativno in investicijsko poslovanje (vključno z malimi in srednje velikimi podjetji (SMB), trgovina in strukturirano financiranje, lizing in faktoring), poslovanje s prebivalstvom (vključno s sistemom bančnih podružnic, avtomobilska posojila in hipoteke). Posebno pozornost namenjamo razvoju bančnih produktov za poslovanje s pravnimi osebami v množičnem in MSP segmentu ter razvoju samopostrežnih kanalov na daljavo in internetnega pridobivanja. Strateške prednostne naloge Alfa-Bank so ohraniti status vodilne zasebne banke v Rusiji, okrepiti stabilnost, povečati dobičkonosnost in postaviti industrijske standarde za tehnologijo, učinkovitost, storitve za stranke in timsko delo.

Alfa-Bank je ena najbolj aktivnih ruskih bank na svetovnih kapitalskih trgih. Vodilne mednarodne bonitetne agencije dajejo Alfa-Bank eno najvišjih ocen med ruskimi zasebnimi bankami. Štirikrat zapored je bil uvrščen na prvo mesto v indeksu uporabniške izkušnje. Sektor bančništva s prebivalstvom po finančni krizi, ki ga izvaja Senteo skupaj s PricewaterhouseCoopers Tudi v letu 2012 je Alfa-Bank prejela priznanje revije GlobalFinance za najboljšo internetno banko, nagrado za najboljšo analitiko s strani Nacionalnega združenja borznih udeležencev (NAUFOR), postala najboljša ruska zasebna banka po indeksu zaupanja, ki ga izračunava raziskovalni holding Romir.

Danes ima banka mrežo zveznega obsega, ki vključuje 83 prodajnih mest. Alfa Bank ima eno največjih mrež med poslovnimi bankami, ki jo sestavlja 55 poslovalnic in pokriva 23 mest. Zaradi širitve mreže ima banka dodatne priložnosti za povečanje svoje baze strank, razširitev obsega in kakovosti bančnih produktov, izvajanje medregionalnih programov in zagotavljanje celovitih storitev za hrbtenične stranke iz vrst največjih podjetij.

Analiza teoretičnih osnov problematike varnosti poslovnih informacij

Ustreznostin pomembnost problema zagotavljanja informacijske varnosti je posledica naslednjih dejavnikov:

· Sodobne stopnje in stopnje razvoja orodij za informacijsko varnost močno zaostajajo za stopnjami in stopnjami razvoja informacijskih tehnologij.

· Visoke stopnje rasti parka osebnih računalnikov, ki se uporabljajo na različnih področjih človeške dejavnosti. Po raziskavi Gartner Dataquest je trenutno na svetu več kot milijarda osebnih računalnikov.

informacijska varnost poslovne banke

· Močna širitev kroga uporabnikov z neposrednim dostopom do računalniških virov in podatkovnih nizov;

Trenutno se je pomembnost informacij, shranjenih v bankah, močno povečala, skoncentrirane so bile pomembne in pogosto tajne informacije o finančnih in gospodarskih dejavnostih številnih ljudi, podjetij, organizacij in celo celih držav. Banka hrani in obdeluje dragocene informacije, ki zadevajo interese velikega števila ljudi. Banka hrani pomembne podatke o svojih komitentih, s čimer širi krog morebitnih vsiljivcev, ki jih zanima kraja ali poškodovanje teh podatkov.

Več kot 90 % vseh kaznivih dejanj je povezanih z uporabo avtomatiziranih informacijskih sistemov banke. Zato morajo banke pri oblikovanju in posodobitvi ASOIB posvetiti veliko pozornosti zagotavljanju njegove varnosti.

Glavno pozornost je treba nameniti računalniški varnosti bank, tj. varnost sistemov za avtomatizirano obdelavo informacij banke, kot najbolj relevanten, kompleksen in pereč problem na področju bančne informacijske varnosti.

Hiter razvoj informacijske tehnologije je odprl nove poslovne priložnosti, hkrati pa privedel do novih groženj. Zaradi konkurence se sodobni programski izdelki prodajajo z napakami in pomanjkljivostmi. Razvijalci, vključno z različnimi funkcijami v svojih izdelkih, nimajo časa za kakovostno odpravljanje napak ustvarjenih programskih sistemov. Napake in pomanjkljivosti v teh sistemih vodijo do naključnih in namernih kršitev informacijske varnosti. Vzroki za večino naključnih izgub informacij so na primer okvare v delovanju programske in strojne opreme, večina napadov na računalniške sisteme pa temelji na napakah in pomanjkljivostih programske opreme. Tako je bilo na primer v prvih šestih mesecih po izdaji strežniškega operacijskega sistema Microsoft Windows odkritih 14 ranljivosti, od tega 6 kritičnih. Čeprav sčasoma Microsoft razvije servisne pakete, ki odpravljajo ugotovljene pomanjkljivosti, uporabniki že trpijo zaradi kršitev informacijske varnosti zaradi preostalih napak. Dokler ti številni drugi problemi ne bodo rešeni, bo nezadostna raven informacijske varnosti resna zaviralka razvoja informacijskih tehnologij.

Spodaj varnost informacijrazume se varnost informacijske in podporne infrastrukture pred naključnimi ali namernimi vplivi naravne ali umetne narave, ki lahko povzročijo nesprejemljivo škodo subjektom informacijskih razmerij, vključno z lastniki in uporabniki informacijske in podporne infrastrukture.

V sodobnem poslovnem svetu poteka proces selitve materialnih sredstev v informacijske. Z razvojem organizacije postaja vse kompleksnejši njen informacijski sistem, katerega glavna naloga je zagotavljanje čim večje učinkovitosti poslovanja na nenehno spreminjajočem se konkurenčnem trgu.

Če informacijo obravnavamo kot blago, lahko rečemo, da zagotavljanje informacijske varnosti na splošno lahko privede do znatnih prihrankov pri stroških, škoda, ki jo povzroča, pa materialne stroške. Na primer, razkritje proizvodne tehnologije izvirnega izdelka bo privedlo do pojava podobnega izdelka, vendar od drugega proizvajalca, zaradi kršitev informacijske varnosti pa bo lastnik tehnologije in morda avtor izgubiti del trga itd. Po drugi strani pa je informacija predmet nadzora in njena sprememba lahko povzroči katastrofalne posledice v objektu nadzora.

V skladu z GOST R 50922-2006 je zagotavljanje varnosti informacij dejavnost, namenjena preprečevanju uhajanja informacij, nepooblaščenih in nenamernih vplivov na zaščitene informacije. Informacijska varnost je pomembna tako za podjetja kot za vladne agencije. Za celovito zaščito informacijskih virov potekajo dela na izgradnji in razvoju sistemov informacijske varnosti.

Obstaja veliko razlogov, ki lahko resno vplivajo na delovanje lokalnih in globalnih omrežij, kar povzroči izgubo dragocenih informacij. Med njimi so naslednji:

Nepooblaščen dostop od zunaj, kopiranje ali spreminjanje informacij, naključna ali namerna dejanja, ki vodijo do:

izkrivljanje ali uničenje podatkov;

seznanjanje nepooblaščenih oseb s podatki, ki so bančna, finančna ali državna skrivnost.

Nepravilno delovanje programske opreme, ki povzroči izgubo ali poškodbo podatkov zaradi:

napake v aplikacijski ali omrežni programski opremi;

okužba z računalniškim virusom.

Okvare tehnične opreme zaradi:

izpad elektrike;

izpad diskovnih sistemov in sistemov za arhiviranje podatkov;

motnje v delovanju strežnikov, delovnih postaj, omrežnih kartic, modemov.

Napake servisnega osebja.

Seveda ni rešitve, ki bi ustrezala vsem, vendar so številne organizacije razvile in uvedle tehnične in administrativne ukrepe za zmanjšanje tveganja izgube podatkov ali nepooblaščenega dostopa.

Do danes obstaja velik arzenal metod za zagotavljanje informacijske varnosti, ki se uporablja tudi v Alfa-Bank:

· sredstva za identifikacijo in avtentikacijo uporabnikov (tako imenovani kompleks 3A);

· sredstva za šifriranje informacij, shranjenih na računalnikih in prenesenih preko omrežij;

· požarni zidovi;

· virtualna zasebna omrežja;

· orodja za filtriranje vsebine;

· orodja za preverjanje celovitosti vsebine diskov;

· sredstva protivirusne zaščite;

· sistemi za odkrivanje ranljivosti omrežja in analizatorji omrežnih napadov.

"Kompleks 3A" vključuje avtentikacijo (ali identifikacijo), avtorizacijo in administracijo. Identifikacijain avtorizacija sta ključna elementa informacijske varnosti. Ko poskušate dostopati do katerega koli programa, vam funkcija identifikacije odgovori na vprašanje: "Kdo ste?" in "Kje si?", ali ste pooblaščeni uporabnik programa. Funkcija avtorizacije je odgovorna za to, do katerih virov ima določen uporabnik dostop. Skrbniška funkcija je zagotoviti uporabniku določene identifikacijske funkcije v danem omrežju in določiti obseg dejanj, ki so mu dovoljena. V Alfa-Bank se pri odpiranju programov zahteva geslo in prijava vsakega zaposlenega, pri izvajanju kakršnih koli operacij pa je v nekaterih primerih potrebno pooblastilo vodje ali njegovega namestnika v oddelku.

Požarni zidje sistem ali kombinacija sistemov, ki tvori zaščitno oviro med dvema ali več omrežji, ki preprečuje nepooblaščenim podatkovnim paketom vstop v omrežje ali izstop iz njega. Osnovni princip delovanja požarnih zidov. preverjanje vsakega podatkovnega paketa glede ujemanja dohodnega in odhodnega IP_naslova z dovoljeno bazo naslovov. Tako požarni zidovi bistveno razširijo možnosti segmentacije informacijskih omrežij in nadzora kroženja podatkov.

Ko smo že pri kriptografiji in požarnih zidovih, je treba omeniti še varna navidezna zasebna omrežja (Virtual Private Network – VPN). Njihova uporaba omogoča reševanje problemov zaupnosti in celovitosti podatkov med njihovim prenosom po odprtih komunikacijskih kanalih.

Učinkovito sredstvo za zaščito pred izgubo zaupnih informacij. Filtriranje vsebine za dohodno in odhodno e-pošto. Preverjanje e-poštnih sporočil in njihovih prilog na podlagi pravil, ki jih je določila organizacija, prav tako pomaga zaščititi podjetja pred pravno odgovornostjo in zaščititi njihove zaposlene pred vsiljeno pošto. Orodja za filtriranje vsebine vam omogočajo skeniranje datotek vseh običajnih formatov, vključno s stisnjenimi in grafičnimi. Hkrati pa pasovna širina omrežja ostane praktično nespremenjena.

Moderno protivirusnotehnologije omogočajo odkrivanje skoraj vseh že znanih virusnih programov s primerjavo kode sumljive datoteke z vzorci, shranjenimi v protivirusni bazi podatkov. Poleg tega so bile razvite tehnologije modeliranja vedenja za odkrivanje novo ustvarjenih virusnih programov. Zaznane predmete je mogoče razkužiti, izolirati (v karanteno) ali izbrisati. Protivirusno zaščito je mogoče namestiti na delovne postaje, datotečne in poštne strežnike, požarne zidove, ki tečejo pod skoraj vsemi običajnimi operacijskimi sistemi (Windows, Unix - in Linux_systems, Novell) na različnih tipih procesorjev. Filtri za neželeno pošto znatno zmanjšajo neproduktivne stroške dela, povezane z razčlenjevanjem neželene pošte, zmanjšajo promet in obremenitev strežnika, izboljšajo psihološko ozadje v ekipi in zmanjšajo tveganje, da bi bili zaposleni v podjetju vpleteni v goljufive transakcije. Poleg tega filtri za neželeno pošto zmanjšujejo tveganje okužbe z novimi virusi, saj sporočila, ki vsebujejo viruse (tudi tista, ki še niso vključena v protivirusne baze) pogosto kažejo znake neželene pošte in so izločena. Res je, pozitivni učinek filtriranja neželene pošte je lahko prečrtan, če filter skupaj z neželeno pošto odstrani ali označi kot neželeno in koristna sporočila, poslovna ali osebna.

Obstaja več najbolj tipičnih vrst in metod informacijske grožnje:

Odprava tajnosti in kraja poslovnih skrivnosti. Medtem ko so bile prej skrivnosti shranjene na skrivnih mestih, v ogromnih sefih, pod zanesljivim fizičnim in (kasneje) elektronskim varovanjem, imajo danes številni zaposleni dostop do pisarniških baz podatkov, ki pogosto vsebujejo zelo občutljive informacije, na primer podatke o istih strankah.

Distribucija kompromitujočega materiala. To pomeni, da zaposleni v elektronski korespondenci namerno ali nenamerno uporabljajo takšne informacije, ki mečejo senco na ugled banke.

Kršitev intelektualne lastnine. Pomembno je, da ne pozabite, da vsak intelektualni izdelek, proizveden v banki, tako kot v vsaki organizaciji, pripada banki in ga zaposleni (vključno z ustvarjalci in avtorji intelektualnih vrednosti) ne morejo uporabljati, razen v interesu organizacije. Medtem se v Rusiji o tem vprašanju pogosto pojavljajo konflikti med organizacijami in zaposlenimi, ki zahtevajo intelektualni izdelek, ki so ga ustvarili, in ga uporabljajo za osebne interese v škodo organizacije. To se pogosto zgodi zaradi nedorečenega pravnega položaja v podjetju, ko pogodba o zaposlitvi ne vsebuje jasno opredeljenih norm in pravil, ki opisujejo pravice in obveznosti zaposlenih.

Razširjanje (pogosto nenamerno) notranjih informacij, ki niso tajne, vendar so lahko koristne za konkurente (druge banke).

Obiski spletnih strani konkurenčnih bank. Zdaj vse več podjetij uporablja programe na svojih odprtih spletnih mestih (zlasti zasnovanih za CRM), ki vam omogočajo prepoznavanje obiskovalcev in podrobno spremljanje njihovih poti, beleženje časa in trajanja ogleda strani spletnega mesta. Spletne strani konkurence so bile in ostajajo dragocen vir za analize in napovedi.

Zloraba pisarniške komunikacije v osebne namene (poslušanje, gledanje glasbe in drugih vsebin, ki niso povezane z delom, nalaganje službenega računalnika) ne predstavlja neposredne grožnje informacijski varnosti, povzroča pa dodatno obremenitev korporativnega omrežja, zmanjšuje učinkovitost in moti z delom kolegov.

In končno, zunanje grožnje - nepooblaščeni vdori itd.

Pravila, ki jih sprejema banka, morajo biti v skladu z nacionalnimi in mednarodno priznanimi standardi varovanja državnih in poslovnih skrivnosti ter osebnih in zasebnih podatkov.

Organizacijska zaščita informacij v Alfa-Bank

Alfa Bank OJSC je uvedla varnostno politiko, ki temelji na metodi selektivnega nadzora dostopa. Za takšno upravljanje v Alfa Bank OJSC je značilen nabor razmerij dovoljenega dostopa, ki jih določi skrbnik. Matriko dostopa izpolni neposredno sistemski skrbnik podjetja. Uporaba selektivne politike informacijske varnosti je skladna z zahtevami vodstva in zahtevami glede informacijske varnosti in nadzora dostopa, odgovornosti ter ima sprejemljive stroške njene organizacije. Izvajanje politike informacijske varnosti je v celoti zaupano sistemskemu skrbniku Alfa Bank OJSC.

Alfa Bank OJSC poleg obstoječe varnostne politike uporablja specializirano varnostno strojno in programsko opremo.

Varnostna strojna oprema je Cisco 1605. Usmerjevalnik je opremljen z dvema vmesnikoma Ethernet (eden z vmesnikoma TP in AUI, drugi samo s TP) za LAN in eno razširitveno režo za namestitev enega od modulov za usmerjevalnike serije Cisco 1600. Poleg tega programska oprema Cisco IOSFirewallFeatureSet naredi Cisco 1605-R idealno prilagodljivo usmerjevalnik/varnostno rešitev za majhne pisarne. Odvisno od nameščenega modula lahko usmerjevalnik podpira povezavo tako preko ISDN kot preko klicne linije ali zakupljene linije od 1200 bps do 2 Mbps, FrameRelay, SMDS, x.25.

Za zaščito informacij mora lastnik LAN zavarovati "obrobje" omrežja, na primer z vzpostavitvijo nadzora na stičišču notranjega omrežja z zunanjim omrežjem. Cisco IOS zagotavlja visoko prilagodljivost in varnost tako s standardnimi funkcijami, kot so razširjeni dostopni seznami (ACL), sistemi zaklepanja (dinamični ACL) in avtorizacija usmerjanja. Poleg tega Cisco IOS FirewallFeatureSet, ki je na voljo za usmerjevalnike serije 1600 in 2500, zagotavlja celovite varnostne funkcije, vključno z:

kontekstualni nadzor dostopa (CBAC)

java zaklepanje

ladijski dnevnik

odkrivanje in preprečevanje napadov

takojšnje obvestilo

Poleg tega usmerjevalnik podpira virtualna prekrivna omrežja, tunele, sistem za upravljanje prioritet, sistem za rezervacijo virov in različne metode nadzora usmerjanja.

Kot orodje za zaščito programske opreme se uporablja rešitev KasperskyOpenSpaceSecurity. KasperskyOpenSpaceSecurity v celoti izpolnjuje sodobne zahteve za sisteme za zaščito omrežij podjetij:

rešitev za zaščito vseh vrst omrežnih vozlišč;

zaščita pred vsemi vrstami računalniških groženj;

učinkovita tehnična podpora;

"proaktivne" tehnologije v kombinaciji s tradicionalno zaščito na podlagi podpisa;

inovativne tehnologije in nov protivirusni mehanizem, ki izboljšuje delovanje;

zaščitni sistem, pripravljen za uporabo;

centralizirano upravljanje;

popolna zaščita uporabnikov zunaj omrežja;

združljivost z rešitvami tretjih oseb;

učinkovita uporaba omrežnih virov.

Razviti sistem naj bi zagotovil popoln nadzor, avtomatizirano računovodstvo in analizo varstva osebnih podatkov, skrajšal čas storitve za stranke, prejemal informacije o varnostnih kodah informacij in osebnih podatkih.

Za oblikovanje zahteve za sistem, ki se razvija, je treba oblikovati zahteve za organizacijo baze podatkov, združljivost informacij za sistem, ki se razvija.

Zasnova podatkovne baze naj temelji na pogledih končnih uporabnikov posamezne organizacije – konceptualnih zahtevah za sistem.

V tem primeru IS vsebuje podatke o zaposlenih v podjetju. Ena od tehnologij, ki pomembno ponazarja delovanje informacijskega sistema, je izdelava sheme poteka dela za dokumente.

Funkcije razvitega sistema je mogoče doseči z uporabo računalniške tehnologije in programske opreme. Glede na to, da iskanje informacij, informacij in računovodskih dokumentov v dejavnostih bančnih strokovnjakov predstavlja približno 30% delovnega časa, bo uvedba avtomatiziranega računovodskega sistema znatno sprostila kvalificirane strokovnjake, lahko prihrani v skladu za plače, zmanjša osebje, lahko pa vodi tudi do uvedbe osebja oddelka osebja operaterja, katerega naloge bodo vključevale vnos informacij o tekočih poslovnih procesih: osebnih podatkov knjigovodskih listin in kod za dostop.

Treba je opozoriti, da bo uvedba razvitega sistema zmanjšala in v idealnem primeru popolnoma odpravila napake pri obračunavanju osebnih podatkov in varnostnih kod. Tako bo uvedba avtomatiziranega delovnega mesta za vodjo privedla do pomembnega gospodarskega učinka, zmanjšanja števila zaposlenih za 1/3, prihranka v skladu za plače in povečanja produktivnosti dela.

Alfa-Bank je, tako kot katera koli druga banka, razvila politiko informacijske varnosti, ki opredeljuje sistem pogledov na problem zagotavljanja informacijske varnosti in je sistematična izjava o ciljih in ciljih zaščite, kot eno ali več pravil, postopkov, praks. in smernice na področju informacijske varnosti.

Politika upošteva trenutno stanje in bližnje možnosti za razvoj informacijskih tehnologij v banki, cilje, cilje in pravni okvir za njihovo delovanje, načine delovanja, vsebuje pa tudi analizo varnostnih groženj objektom in subjektom informacij. odnosov banke.

Glavne določbe in zahteve tega dokumenta veljajo za vse strukturne oddelke banke, vključno z dodatnimi uradi. Ključna vprašanja Politika velja tudi za druge organizacije in institucije, ki v taki ali drugačni vlogi sodelujejo z banko kot dobavitelji in uporabniki informacijskih virov banke.

Zakonodajna podlaga te politike so ustava Ruske federacije, civilni in kazenski zakonik, zakoni, odloki, resolucije, drugi regulativni dokumenti veljavne zakonodaje Ruske federacije, dokumenti Državne tehnične komisije pri predsedniku Ruske federacije. Federacija, Zvezna agencija za vladne komunikacije in informacije pri predsedniku Ruske federacije.

Politika je metodološka podlaga za:

· oblikovanje in izvajanje enotne politike na področju informacijske varnosti v banki;

· sprejemanje upravljavskih odločitev in razvoj praktičnih ukrepov za izvajanje politike informacijske varnosti ter razvoj nabora usklajenih ukrepov za prepoznavanje, odganjanje in odpravljanje posledic izvajanja različnih vrst groženj informacijski varnosti;

· usklajevanje dejavnosti strukturnih enot banke pri izvajanju dela na ustvarjanju, razvoju in delovanju informacijskih tehnologij v skladu z zahtevami za zagotavljanje informacijske varnosti;

· priprava predlogov za izboljšanje pravne, regulativne, tehnične in organizacijske varnosti informacij v banki.

Sistematičen pristop k izgradnji sistema informacijske varnosti v banki vključuje upoštevanje vseh med seboj povezanih, medsebojno delujočih in časovno spremenljivih elementov, pogojev in dejavnikov, ki so pomembni za razumevanje in reševanje problematike zagotavljanja varnosti informacij banke.

Zagotavljanje informacijske varnosti- proces, ki ga izvajajo vodstvo banke, enote za informacijsko varnost in zaposleni na vseh ravneh. To ni samo in ne toliko postopek ali politika, ki se izvaja v določenem časovnem obdobju ali nabor ukrepov, temveč proces, ki mora nenehno potekati na vseh ravneh v banki in mora sodelovati vsak zaposleni v banki. v tem procesu. Dejavnosti informacijske varnosti so sestavni del vsakodnevnih aktivnosti banke. In njegova učinkovitost je odvisna od sodelovanja vodstva banke pri zagotavljanju informacijske varnosti.

Poleg tega večina fizičnih in tehničnih sredstev varovanja za učinkovito opravljanje svojih funkcij zahteva stalno organizacijsko (administrativno) podporo (pravočasno spreminjanje in zagotavljanje pravilnega shranjevanja in uporabe imen, gesel, šifrirnih ključev, redefinicija pooblastil itd.). ). Motnje v delovanju zaščitnih orodij lahko napadalci izkoristijo za analizo uporabljenih metod in sredstev zaščite, za uvedbo posebnih programskih in strojnih »zaznamkov« ter drugih sredstev za premagovanje zaščite.

Osebna odgovornostprevzema dodelitev odgovornosti za zagotavljanje varnosti informacij in sistema za njihovo obdelavo vsakemu zaposlenemu v okviru svojih pooblastil. V skladu s tem načelom je razdelitev pravic in obveznosti zaposlenih zgrajena tako, da je ob morebitni kršitvi krog storilcev jasno znan oziroma minimiziran.

Alfa-Bank nenehno spremlja dejavnosti katerega koli uporabnika, vsako varnostno orodje in v zvezi s katerim koli predmetom zaščite je treba izvajati na podlagi uporabe orodij za operativni nadzor in registracijo ter mora zajemati tako nepooblaščena kot pooblaščena dejanja uporabnikov.

Banka je razvila naslednje organizacijske in upravne dokumente:

· Predpisi o poslovni skrivnosti. Ta uredba ureja organizacijo, postopek dela s podatki, ki so poslovna skrivnost banke, dolžnosti in odgovornosti delavcev, ki so dopuščeni do teh informacij, postopek prenosa gradiva, ki vsebuje podatke, ki so poslovna skrivnost banke, v državno (poslovno) skrivnost. institucije in organizacije;

· Seznam informacij, ki so uradna in poslovna skrivnost. Seznam opredeljuje podatke, ki so zaupni, stopnjo in čas omejitev dostopa do varovanih podatkov;

· Odredbe in navodila za vzpostavitev režima varovanja informacij:

· sprejem delavcev na delo z omejenimi podatki;

· imenovanje skrbnikov in odgovornih oseb za delo z omejenimi podatki v korporativnem informacijskem sistemu;

· Navodila in odgovornosti za zaposlene:

· o organizaciji režima varnostnega dostopa;

· o organizaciji pisarniškega dela;

· Administracija informacijskih virov korporativnega informacijskega sistema;

· drugi regulativni dokumenti.

Zaključek

Danes je vprašanje organizacije informacijske varnosti zaskrbljujoče za organizacije katere koli ravni - od velikih korporacij do podjetnikov brez ustanovitve pravne osebe. Konkurenca v sodobnih tržnih odnosih še zdaleč ni popolna in se pogosto ne izvaja na najbolj zakonite načine. Industrijsko vohunjenje cveti. Toda primeri nenamernega širjenja informacij v zvezi s poslovno skrivnostjo organizacije niso redki. Praviloma tu igra malomarnost zaposlenih, njihovo nerazumevanje situacije, z drugimi besedami, "človeški dejavnik".

Alfa-Bank zagotavlja zaščito naslednjih podatkov:

poslovna skrivnost

bančna tajnost

bančne dokumente (poročila varnostne službe, letni predračun banke, podatki o dohodkih bančnih uslužbencev itd.)

Podatki v banki so zaščiteni pred grožnjami, kot so:

· naravno

· Umetne grožnje (nenamerne (nenamerne, naključne) grožnje, ki jih povzročajo napake pri oblikovanju informacijskega sistema in njegovih elementov, napake v dejanjih osebja itd.; namerne (namerno) grožnje, povezane s sebičnimi, ideološkimi ali drugimi težnjami ljudi ( vsiljivci).

Viri groženj v zvezi s samim informacijskim sistemom so lahko zunanji in notranji.

Bibliografija

1. Odlok predsednika Ruske federacije "O ukrepih za zagotavljanje informacijske varnosti Ruske federacije pri uporabi informacijskih in telekomunikacijskih omrežij mednarodne izmenjave informacij" z dne 17. marca 2008 št. 351;

Galatenko, V.A. Osnove informacijske varnosti. Internetna univerza za informacijsko tehnologijo. INTUIT. ru, 2008;

Galatenko, V.A. Standardi informacijske varnosti. Internetna univerza za informacijsko tehnologijo. INTUIT. ru, 2005;

2019

Prednostne naloge kibernetske varnosti malih in srednje velikih podjetij

Podjetja segmenta SMB vlečejo v oblake, v storitveni model porabe storitev po modelu MSSP (Managed Security Service Provider). S tem bistveno zmanjšajo operativne stroške na področju informacijske varnosti.

Zdaj nekateri prodajalci svojim strankam ponujajo storitve informacijske varnosti v oblaku po naročniškem modelu. Po mojem mnenju bodo srednja in mala podjetja šla ravno na tak model storitev informacijske varnosti, - ugotavlja Dmitry Livshits, izvršni direktor Digital Design.

Servisni model uporabe IS postaja vedno bolj zahtevan s strani malih in srednje velikih podjetij, saj si ta podjetja ne morejo privoščiti velikega števila varnostnih strokovnjakov.


Po besedah ​​Vladimirja Balanina, vodje oddelka za informacijsko varnost skupine I-Teco, postaja SMB segment glavni porabnik storitev ponudnikov storitev, ki storitve zagotavljajo takoj z integriranimi storitvami informacijske varnosti: ni stroškov za administracijo, nadzor in vzdrževanje lastne infrastrukture, tveganja regulativnih zahtev pa nosi ponudnik storitev sam.

Hkrati je za ruski trg zdaj značilna zelo omejena ponudba informacijske varnosti za mala in srednje velika podjetja. Kot ugotavlja Andrey Yankin, direktor centra za informacijsko varnost pri Jet Infosystems, so skoraj vse storitve namenjene velikim strankam. Tipične in poceni, a ne primitivne storitve informacijske varnosti za SMB po njegovem mnenju praktično ne obstajajo, čeprav je v številnih drugih državah ta trg dobro razvit.

Obenem pa bo ta kategorija strank z razvojem segmenta storitev upravljane informacijske varnosti in možnostjo razvoja trga zavarovanj kibernetskih tveganj imela na voljo ukrepe, primerne sodobnim grožnjam.

Medtem mala in srednje velika podjetja uvajajo osnovno informacijsko varnost, le redko se dvignejo na raven poslovnih procesov.


Po besedah ​​Dmitrija Pudova, namestnika generalnega direktorja Angara Technologies Group za tehnologijo in razvoj, predstavniki MSP s svojimi proračuni nimajo skoraj nobenega dostopa do visokotehnoloških ali kompleksnih rešitev. To ni le zaradi stroškov rešitev, temveč tudi zaradi stroškov, ki jih imajo.

Glavne rešitve, ki jih kupujejo stranke v segmentu SMB, so protivirusni programi in programski požarni zidovi, pravi Yakov Grodzensky, vodja informacijske varnosti pri System Software. Poleg tega se podjetja v tem segmentu aktivno zanimajo za revizijo in pentestiranje informacijske varnosti, saj takšne organizacije nimajo vedno ločenega strokovnjaka za informacijsko varnost v osebju, da ne omenjam pentesterjev.

Vjačeslav Medvedjev, vodilni analitik pri Doctor Webu, dodaja, da so raziskave srednje velikih podjetij pokazale, da takšna podjetja nimajo sredstev za varnostne rešitve, razen osnovnih.

Prednostne naloge velikega podjetja na področju kibernetske varnosti

Za delničarje, lastnike in najvišje vodstvo je vedno pomembno, da imajo objektivno sliko o informacijski varnosti in tehnoloških procesih v organizaciji, zato splošna stopnja zrelosti informacijske varnosti v podjetjih vsako leto raste. Vendar v nekaterih velikih organizacijah še vedno ni elementarne urejenosti poslovnih procesov, ki zagotavljajo delovanje informacijskih sistemov, kar lahko povzroči kaos v informacijski varnosti. Zato je glavna prednostna naloga velikih podjetij reševanje teh težav, pravi Nikolaj Zabusov, direktor oddelka za varnost informacij in omrežij pri Step Logic.

Poleg tega se velika podjetja osredotočajo na izpolnjevanje zahtev regulatorjev in notranjih standardov ter poskušajo ustvariti bolj ali manj enakomerno zaščiteno infrastrukturo. Industrijski standardi na področju informacijske varnosti so bili razviti in "implementirani" v številnih korporacijah.

Velika komercialna podjetja so se v bistvu znašla pred izbiro: slediti poti digitalne transformacije ali delovati brez spreminjanja poslovne paradigme. Toda v drugem primeru bodo prej ali slej prisiljeni prepustiti svoje položaje na trgu konkurentom, ki so pokazali večjo prilagodljivost.

Med prednostnimi nalogami za podjetniški segment lahko na eni strani označim povečanje učinkovitosti uporabe klasičnih informacijskovarnostnih rešitev, na drugi strani pa uvedbo zaščite pred novimi vrstami groženj v sklopu implementacije projekti digitalizacije. Slednje je zelo pomembno, saj so varnostne omejitve pogosto eden glavnih razlogov za počasen napredek na poti digitalne transformacije, - ugotavlja Oleg Shaburov, vodja oddelka za informacijsko varnost pri Softline.

Z vidika praktične varnosti se vektor vse bolj premika od preprečevanja napadov k njihovemu odkrivanju in odzivanju nanje, pravi Andrey Zaikin, vodja informacijske varnosti pri Croc. To vodi k dejstvu, da postajajo razmeroma mladi razredi rešitev vse bolj priljubljeni in zahtevani: EDR, IRP. Avtomatski odzivni sistemi imajo različne nabore skriptov in scenarijev ter omogočajo blokiranje poskusov širjenja groženj.

storitve kibernetske varnosti

MSP podjetja, ki razumejo kritičnost informacijske varnosti za svoje poslovanje, gredo po poti uporabe modelov storitev.