» »

İş bilgi güvenliğinin sağlanması. Siber güvenlik kolaylaştı

İş yerinde sizi hangi bilgi güvenliği risklerinin bekleyebileceğinden bahsetmeden önce kendimi tanıtmak istiyorum: adım Kamila Iosipova. Bilişim şirketi ICL Services'de kıdemli bilgi güvenliği yöneticisiyim, 5 yıldır bu organizasyonda çalışıyorum. Aynı zamanda CISA Sertifikalı Bilgi Sistemleri Denetçisiyim (ISACA sertifikası Sertifikalı Bilgi Sistemleri Denetçisi anlamına gelir).

2018 yılında şirketlerdeki veri ihlallerinin hacmi %5 arttı. İnsan faktörü, bilgi güvenliği olaylarının ana nedenlerinden biridir. Dikkatsizlik, dikkatsizlik, güdü, niyet - bunlar, şirketinizin çalışanlarının kasıtlı veya kasıtsız olarak işi dibe çekmesinin nedenleridir. Kendinizi ve müşterilerinizi nasıl koruyacağınızı, çalışanlar arasında veriyle çalışma kültürünü geliştirmek için neler yapabileceğinizi ve bu durumda hangi yöntemlerin uygulanacağını daha sonra anlatacağım.

Bilgi güvenliği alanında iş kurma planı

Global olarak bakarsanız, bilgi güvenliği alanında belirli bir modelin izlenebildiğini görebilirsiniz: bilgi güvenliğine verilen önem büyük ölçüde şirketin faaliyetlerine bağlıdır. Örneğin, devlette veya bankacılıkta daha katı gereksinimler vardır, bu nedenle çalışan eğitimine daha fazla önem verilir, bu da verilerle çalışma kültürünün daha gelişmiş olduğu anlamına gelir. Ancak, bugün herkes bu soruna dikkat etmelidir.

İşte bilgi güvenliği alanında işinizi yapmanıza yardımcı olacak birkaç pratik adım:

1 adım. Bilgi güvenliği yönetimi alanında şirketin çalışmalarının temel ilkelerini, amaç ve hedeflerini içerecek genel bir bilgi güvenliği politikası geliştirmek ve uygulamak.

2 adım. Sınıflandırma politikasını ve gizlilik seviyelerini girin.

Aynı zamanda çalışanın 7 gün 24 saat erişebileceği bir belge yazmakla kalmayıp, çeşitli eğitim etkinlikleri yapmak ve yapılan değişikliklerden bahsetmek de gerekiyor. Kurala bağlı kalın: önceden uyarılmış, önceden silahlandırılmıştır. Şirketin sürekli bu yönde çalışmasına izin verin.

3 adım. Proaktif bir yaklaşım geliştirin.

Tıpta önleme gibi. Katılıyorum, önleyici muayeneden geçmek, ilerlemiş bir hastalığı tedavi etmekten çok daha ucuz ve daha kolaydır. Örneğin şirketimizde proaktif yaklaşım şu şekilde çalışır: ticari projelerde bilgi ile çalışmak için, belirli bir düzeyde bilgi olgunluğunu sağlamak için gerekli minimum bilgi güvenliği gereksinimlerini içeren projelerde bir Bilgi Güvenliği Yönetim Standardı geliştirdik. ticari bir projede güvenlik süreçleri. Güvenlik yönetimi sürecinin belirli bir olgunluk düzeyini korumak için yapılması gerekenleri açıklar. Bu standardı projelerde uyguladık ve şimdi her yıl iç denetimler yapıyoruz: projelerin bu gereksinimlere nasıl uyduğunu kontrol ediyor, bilgi güvenliği risklerini ve diğer proje yöneticilerine de yardımcı olabilecek en iyi uygulamaları belirliyoruz.

Denetimlere ek olarak, Bilgi paylaşımı iyi çalışır. Projelerden birinde "gök gürültüsü" olursa, geri kalanının bunu bilmesi ve gerekli önlemleri almak için zamana sahip olması iyidir.

4 adım. Kuralları açıklayan tüm belgeleri hazırlayın: yapılandırılmış, açık ve özlü.

Uygulamanın gösterdiği gibi, hiç kimse çok sayfalı uzun metinleri okumaz. Belge sade bir dille yazılmalıdır. Ayrıca, iş hedefleriyle uyumlu olmalı ve üst yönetim tarafından onaylanmalıdır - bu, çalışanlar için bu kurallara neden uyulması gerektiği konusunda daha güçlü bir argüman olacaktır.

5 adım. Eğitimler, konuşmalar, iş oyunları ve benzerlerini gerçekleştirin.

Çoğu zaman insanlar belirli kuralların kendi işleriyle nasıl ilişkili olduğunu anlamazlar, bu nedenle örnekler vermeniz, açıklamanız, nasıl uygulayabileceklerini göstermeniz gerekir. Burada, iş kaybına kadar sonuçları ve cezai sorumluluğa kadar çalışanı hangi özel sonuçların beklediğini göstermek önemlidir.

Yukarıdakilerin tümünü bir şirkette uygulamak için hem maddi hem de insani kaynaklara ihtiyaç vardır. Bu nedenle artık birçok şirkette Bilgi Güvenliği Direktörü (CISO) pozisyonu ortaya çıkmaya başladı. Bu pozisyon sayesinde, iş liderlerine herhangi bir kararı teşvik etmenin, fon tahsis etmenin vb. önemini iletmek mümkündür. CISO, şirkette bilgi güvenliğini her düzeyde teşvik edebilir.

Üstlendiği görevler kapsamlıdır: üst yönetimle iletişim, belirli kararların gerekçelendirilmesi, tüm alanlarda güvenliği uygulamak için süreç sahipleri ile iletişim. Siber tehditler açısından, yönetirken, siber tehditlere yanıt verme stratejilerini belirlerken ve saldırılara yanıt vermek için çalışmaları koordine ederken temas noktasıdır.

Çalışan eğitimi: zor, uzun ama gerekli

Ancak, insanlara belirli kuralları öğretmeden önce, bir şeyi anlamanız gerekir: insan faktörü üzerinde duramazsınız, arkasında başka bir şey olabilir - kaynak, bilgi veya teknoloji eksikliği. Burada en etkili yöntem, gerçek nedenleri analiz etmek, kök nedene ulaşmaktır.

İnsanlarla çalışırken, kelimenin tam anlamıyla herkes için anahtarı seçmek gerekir. Tüm insanlar farklıdır ve bu nedenle uygulanacak yöntemler de farklıdır. Bir çalışanla yapılan görüşmelerden birinde uzman bana şunları söyledi: Bir şeyi ancak şartı yerine getirmediğim için cezalandırılacağımı bilirsem yaparım. Ve bunun tersi, bazıları için, yalnızca işin kalitesinin iyi bir değerlendirmesi, eğitimlerin başarılı bir şekilde tamamlanması için teşvik gibi olumlu motivasyon eylemleri.

Bilgi güvenliği uzmanlarının, özellikle yeni teknolojilerin ve iş modellerinin kullanımını sınırladıklarında, genellikle inovasyon üzerinde fren görevi gördüğüne dair bir görüş var. Durum gerçekten böyle olabilir, ancak aşağıdakileri hatırlamak önemlidir: “Güvenlik, arabanızdaki frenler gibidir. İşlevleri sizi yavaşlatmaktır. Ama amaçları hızlı gitmenize izin vermektir. Gary Hinson” (“Güvenlik, arabanızdaki frenler gibidir. İşlevleri sizi yavaşlatmaktır. Ama amaçları hızlı gitmenizi sağlamaktır”). Bu kurallar olmadan ilerlemenin imkansız olduğunu anlamak önemlidir, çünkü bir noktada kendinizi siber tehditlerden korumaz ve bilgi güvenliği risklerini yönetmezseniz işinizi geliştiremezsiniz. Şirketimiz, dengeyi sağlamak için ISO 27001 standardının temeli olan risk temelli bir yaklaşım kullanmaktadır.Bu yaklaşım, bizim için geçerli olan gereksinimleri ve kendimizi korumak için gerekli olan güvenlik önlemlerini seçmemizi sağlar. bizi ilgilendiren tehditlerden. Bu yaklaşımla, finansal açıdan da seçim yapabiliriz: belirli önlemlerin uygulanmasının ne kadar uygun olduğu. Örneğin her toplantı odasına biyometrik tarayıcı koyabiliriz ama buna ne kadar ihtiyacımız var, hangi değeri getiriyor, hangi riskleri azaltıyor? Cevap her zaman açık değildir.

ICL Hizmetleri olarak, birlikte çalıştığımız bilgilerin gizliliğinin bizim için önemli olduğunu anlıyoruz, bunun için dizüstü bilgisayarları şifreliyoruz, çünkü dizüstü bilgisayar kaybolsa bile bilgiler davetsiz misafirlerin eline geçmez. Bu çok önemli ve bunun için para harcamaya hazırız.

Güvenlik ve iş değeri arasında bir denge kurmanın tek yolunun bu olduğuna inanıyorum: seçin, yeniliklerin farkında olun ve her zaman riskleri değerlendirin (bir riski uygulamanın maliyeti, şu veya bu güvenlik çözümünü satın alma maliyetiyle ne ölçüde karşılaştırılabilir?) ).

Entegre bir yaklaşım, bilgi güvenliği için ideal reçetedir

Benim düşünceme göre, güvenlikle çalışmak için entegre bir yaklaşım en etkili olanıdır, çünkü bilgi güvenliği, güvenlik gereksinimlerini dikkate alarak insan bilinci, davranışı ve iş süreçlerinin uygun şekilde düzenlenmesi meselesidir. Olaylar çoğunlukla çalışanlar yüzünden olur: insanlar hata yapar, yorulur, yanlış düğmeye basabilirler, bu yüzden burada başarının yarısı teknik sınırlamalar, rastgele kasıtsız olaylardan, diğer yarısı ise her çalışanın güvenlik kültürüdür.

Bu nedenle önleyici konuşmalar ve eğitimler yapılması önemlidir. Günümüz dünyasında siber tehditler insanlar için tasarlanmıştır: Bir kimlik avı e-postası alırsanız, bağlantıya ulaşıp tıklayana kadar zararsızdır. Şirketimizde personel bilincine, insanlarla çalışmaya, farkındalığa önem verilmektedir. Peki, üçüncü nokta örgütseldir, insanlar kuralları bilmeli, kurallar yazılı olmalı, herkesin uyması gereken belli bir politika olmalı.

Unutmayın: siber tehditler dünyada çok yaygındır ve aynı zamanda saldırıların sonuçları çok ciddidir - tamamen iş kaybına, iflasa kadar. Doğal olarak konu gündemde. Çağımızda güvenlik zaten basitçe kurum kültürünün bir parçası olmak zorundadır ve üst yönetim, işi yönettiği için bu konuda ilk ilgilenen taraftır ve risklerin uygulanmasında ilk etapta sorumluluk alacaktır.

Çalışanlarınızın siber güvenlik olaylarından kaçınmasına yardımcı olacak bazı ipuçları:

  1. Doğrulanmamış bağlantıları takip edemezsiniz;
  2. Gizli bilgileri dağıtmayın;
  3. Şifreyi bir kağıda yazıp bir çıkartma yapıştıramazsınız;
  4. Emin olmadığınız USB ortamını kullanmayın (saldırgan, virüslü bir fiziksel cihazı kurbanın kesinlikle bulacağı bir yere bırakabilir);
  5. Telefon numarasını ve posta adresini belirterek sitelere kaydolurken, bu bilgilerin ne için gerekli olduğuna dikkatlice bakın, belki de bu şekilde ücretli bir bültene abone olursunuz.

Umarım zaman içinde güvenlik her şirkette kurumsal kültürün temel bir unsuru haline gelir.

Fakültede bilgi güvenliği alanında çalışma becerilerine mükemmel bir şekilde hakim olabilirsiniz.

giriiş

İş liderleri, bilgi güvenliğinin önemini anlamalı, bu alandaki eğilimleri nasıl tahmin edip yöneteceklerini öğrenmelidir.

Bugünün işi bilgi teknolojisi olmadan var olamaz. Dünyanın toplam ulusal üretiminin yaklaşık %70'inin bir şekilde bilgi sistemlerinde depolanan bilgilere bağlı olduğu bilinmektedir. Bilgisayarların yaygınlaşması, yalnızca bilinen kolaylıklar değil, aynı zamanda en ciddi olanı bilgi güvenliği sorunu olan sorunlar da yaratmıştır.

Standart, bilgisayar ve bilgisayar ağlarına yönelik kontrollerin yanı sıra güvenlik politikalarının geliştirilmesine, personelle çalışmaya (işe alma, eğitim, işten çıkarma), üretim sürecinin sürekliliğinin sağlanmasına ve yasal gerekliliklere büyük önem vermektedir.

Kuşkusuz, bu ders çalışması konusu modern koşullarda çok önemlidir.

Kurs çalışmasının amacı: kuruluşun mesleki faaliyetlerinin bilgi güvenliği.

Çalışma konusu: bilgi güvenliğinin sağlanması.

Ders çalışmasında, gerçek hayattaki bir organizasyon bazında bilgi güvenliğinin organizasyonu ile ilgili bir proje yönetim kararının oluşturulması planlanmaktadır.

Bölüm 1. Mesleki faaliyetin bilgi güvenliği

Bilgi güvenliğini sağlamak, uzmanlar için nispeten yeni bir profesyonel faaliyet alanıdır. Bu tür faaliyetlerin ana hedefleri şunlardır:

Bilgi kaynaklarının oluşumu, dağıtımı ve kullanımı alanında dış ve iç tehditlerden korunmayı sağlamak;

Vatandaşların ve kuruluşların bilgilerin gizliliğini ve gizliliğini koruma haklarının ihlal edilmesinin önlenmesi;

Bunun için yasal dayanak bulunmadığında bilgilerin kasıtlı olarak tahrif edilmesini veya gizlenmesini önleyecek koşulların sağlanması.

Bu alandaki uzmanların müşterileri:

Rusya Federasyonu'nun devlet iktidarı ve idaresinin federal organları;

Rusya Federasyonu'nun kurucu kuruluşlarının devlet makamları;

Devlet kurum, kuruluş ve teşebbüsleri;

Savunma Sanayii;

Yerel yönetimler;

Devlet dışı kurum, kuruluş ve işletmeler
Emlak.

MTS hücresel iletişim şirketinin müşterilerinin bir veritabanının yasadışı da olsa ücretsiz satışındaki görünüm, bizi tekrar tekrar bilgisayar güvenliği sorununa dönmeye zorluyor. Görünüşe göre bu konu tükenmez. Alaka düzeyi ne kadar büyükse, ticari firmaların ve kar amacı gütmeyen kuruluşların bilgisayarlaşma düzeyi o kadar yüksek olur. İş dünyasının ve modern toplumun neredeyse tüm diğer yönlerinde devrim niteliğinde bir rol oynayan yüksek teknolojiler, kullanıcılarını bilgi ve nihayetinde ekonomik güvenlik açısından çok savunmasız hale getiriyor.

Bu, yalnızca Rusya'da değil, kişisel bilgilere erişimi kısıtlayan ve saklanması için katı gereksinimler getiren yasalar olmasına rağmen, başta Batı olmak üzere dünyanın çoğu ülkesinde bir sorundur. Piyasalar, bilgisayar ağlarını korumak için çeşitli sistemler sunar. Ancak kendinizi kendi "beşinci sütununuzdan" nasıl korursunuz - vicdansız, sadakatsiz veya sadece gizli bilgilere erişimi olan dikkatsiz çalışanlar? MTS müşteri veritabanının skandallı sızıntısı, görünüşe göre, şirket çalışanlarının gizli anlaşmaları veya cezai ihmalleri olmadan gerçekleşemezdi.

Görünen o ki, çoğu olmasa da çoğu girişimci, sorunun ciddiyetinin farkında değil. Piyasa ekonomisi gelişmiş ülkelerde bile bazı araştırmalara göre şirketlerin %80'i iyi düşünülmüş, planlanmış bir depolama koruma sistemine, operasyonel veri tabanlarına sahip değil. Ünlü "belki" ye güvenmeye alışkın olan hakkımızda ne söyleyebiliriz.

Bu nedenle, gizli bilgilerin sızdırılmasının yarattığı tehlikeler konusuna dönmek, bu tür riskleri azaltmak için alınacak önlemlerden bahsetmek boşuna değildir. Legal Times'da yayınlanan bir yayın (21 Ekim 2002), yasal bir yayın (Mark M. Martin, Evan Wagner, “Information Vulnerability and Security”) bu konuda bize yardımcı olacaktır. Yazarlar, bilgi tehditlerinin en tipik türlerini ve yöntemlerini listeler. Tam olarak ne?

Ticari sırların sınıflandırılması ve çalınması. Burada her şey az çok açıktır. Klasik, eski tarih, ekonomik casusluk. Daha önce sırlar gizli yerlerde, büyük kasalarda, güvenilir fiziksel ve (daha sonra) elektronik koruma altında tutulurken, bugün birçok çalışan, genellikle aynı müşteri verileri gibi çok hassas bilgileri içeren ofis veritabanlarına erişebiliyor.

Ödün veren malzemelerin dağıtımı. Burada yazarlar, şirketin itibarına gölge düşüren bu tür bilgilerin elektronik yazışmalarda çalışanlar tarafından kasıtlı veya kazara kullanılması anlamına gelir. Örneğin şirketin adı, mektuplarında hakarete, hakarete, kısacası organizasyonu tehlikeye atabilecek her şeye izin veren muhabirin etki alanına yansır.

Fikri mülkiyet ihlali. Bir kuruluşta üretilen herhangi bir fikri ürünün kuruluşa ait olduğunu ve kuruluşun menfaatleri dışında çalışanlar tarafından (fikri değer üretenler ve yazarlar dahil) kullanılamayacağını unutmamak önemlidir. Bu arada Rusya'da, yarattıkları entelektüel ürünü sahiplenen ve kişisel çıkarları için, kuruluşun zararına kullanan kuruluşlar ve çalışanlar arasında bu konuda sıklıkla çatışmalar ortaya çıkıyor. Bu genellikle, iş sözleşmesinin çalışanların hak ve yükümlülüklerini özetleyen açıkça tanımlanmış normlar ve kurallar içermediği zaman, işletmedeki belirsiz yasal durum nedeniyle olur.

Gizli olmayan ancak rakipler için faydalı olabilecek şirket içi bilgilerin (genellikle kasıtsız olarak) dağıtımı. Örneğin, iş genişlemesi nedeniyle yeni boş pozisyonlar, iş gezileri ve müzakereler hakkında.

Rakiplerin web sitelerine ziyaretler. Artık daha fazla şirket, açık sitelerinde (özellikle CRM için tasarlanmış olanlar) ziyaretçileri tanımanıza ve rotalarını ayrıntılı olarak izlemenize, sitedeki sayfaların görüntülenme süresini ve süresini kaydetmenize olanak tanıyan programlar kullanıyor. Bir rakibin web sitesini ziyaretiniz operatörü tarafından ayrıntılı olarak biliniyorsa, ikincisinin sizi tam olarak neyin ilgilendirdiği sonucuna varmasının zor olmadığı açıktır. Bu, en önemli rekabetçi bilgi kanalından vazgeçme çağrısı değildir. Rakip web siteleri, analiz ve tahmin için değerli bir kaynak olmuştur ve olmaya devam etmektedir. Ancak siteleri ziyaret ederken iz bıraktığınızı ve izlendiğinizi de unutmamalısınız.

Ofis iletişiminin kişisel amaçlarla kötüye kullanılması (dinleme, müzik ve işle ilgili olmayan diğer içerikleri görüntüleme, ofis bilgisayarı indirme) bilgi güvenliğine doğrudan bir tehdit oluşturmaz, ancak kurumsal ağ üzerinde ek stres yaratır, verimliliği azaltır ve müdahale eder. meslektaşlarının çalışmalarıyla.

Ve son olarak, dış tehditler - yetkisiz izinsiz girişler vb. Bu ayrı bir ciddi tartışma için bir konudur.

Kendinizi iç tehditlerden nasıl korursunuz? Kendi çalışanlarınızın neden olabileceği zarara karşı %100 garanti yoktur. Bu tamamen ve koşulsuz olarak kontrol edilemeyen bir insan faktörüdür. Aynı zamanda, yukarıda bahsedilen yazarlar, şirket içinde açıkça formüle edilmiş bir iletişim (veya bilgi) politikası geliştirmek ve uygulamak için faydalı tavsiyelerde bulunurlar. Böyle bir politika, ofis iletişiminin kullanımında neye izin verildiği ve neye izin verilmediği arasında net bir çizgi çizmelidir. Sınırı geçmek cezaya yol açar. Bilgisayar ağlarını kimin ve nasıl kullandığını izlemek için bir sistem olmalıdır. Şirket tarafından benimsenen kurallar, devlet ve ticari sırların, kişisel ve özel bilgilerin korunması için hem ulusal hem de uluslararası kabul görmüş standartlara uygun olmalıdır.


Bölüm 2. Bilgi güvenliğinin sağlanması

LLC "Laspi" de profesyonel faaliyet

2.1. Laspi LLC'nin kısa açıklaması

Laspi LLC, 1995 yılında bir Çek şirketinin Rusya'daki temsilciliği olarak kuruldu. Şirket, çeşitli beton ürünlerin üretimi için Çek ekipman ve sarf malzemelerinin tedariği ile uğraşmaktadır (kaldırım levhaları ile başlayan ve çitler, saksılar vb. ile biten). Ekipman yüksek kaliteli ve uygun maliyetlidir. Samara ofisine başvuran müşteriler, Rusya ve BDT'nin çeşitli şehirlerinden (Kazan, Ufa, Izhevsk, Moskova, Nizhny Novgorod, vb.) kuruluşlardır. Doğal olarak, bu kadar büyük ölçekli bir faaliyet, şirket içinde bilgi güvenliği konusunda özel bir tutum gerektirir.

Bugün bilgi güvenliği arzulanan çok şey bırakıyor. Çeşitli belgeler (teknik, ekonomik) kamuya açık olup, şirketin hemen hemen her çalışanının (kurucudan sürücüye) herhangi bir engel olmadan kendilerini tanımasına izin verir.

Özellikle önemli belgeler bir kasada saklanır. Sadece müdür ve sekreteri kasanın anahtarlarına sahiptir. Ancak burada sözde insan faktörü önemli bir rol oynamaktadır. Anahtarlar genellikle ofiste masanın üzerinde unutulur ve kasa temizleyici tarafından bile açılabilir.

Ekonomik belgeler (raporlar, faturalar, faturalar, faturalar vb.) kilitli olmayan bir dolapta klasörler ve raflar halinde düzenlenir.

Çalışanlar bir işe başvururken ticari sırlara ilişkin herhangi bir ifşa etmeme sözleşmesi imzalamazlar ve bu bilgilerin dağıtılmasını engellemez.

Çalışanların işe alınması, iki aşamadan oluşan bir görüşme ile gerçekleştirilir: 1. Acil amirle iletişim (potansiyel bir çalışanın beceri ve yeteneklerinin ortaya çıkarıldığı) 2. Kurucu ile iletişim (doğası gereği daha kişiseldir) ve böyle bir diyaloğun sonucu ya “birlikte çalışma” ya da “çalışmayacağız”) olabilir.

İşletmenin bilgi güvenliğini sağlamak Andrianov V.V.

1.3. İş bilgi güvenliği modeli

1.3.1. Motivasyon

Yakın geçmişteki bilgi güvenliğinin (IS) düzenlenmesine ilişkin Rus ve dünya uygulaması, RD yönergeleri şeklinde hazırlanan ulusal yetkili organların zorunlu gerekliliklerinden oluşuyordu. Bu nedenle, üst yönetim ve kuruluş sahipleri için, onlarla uyum konusunda yalnızca bir sorun (uyum) ve bunu çözmenin tek bir yolu vardı - önerilen gereksinimlerin minimum maliyetle nasıl karşılanacağı. Yetkili organların kendi sorunları vardı - hem olası tüm faaliyet türlerini kapsamanın imkansızlığı hem de uygulama koşullarının yanı sıra faaliyetlerin hedeflerindeki önemli farklılıklar nedeniyle evrensel bir gereksinimler dizisi sunmak. Bunu yapmak için, bilgi güvenliği sorunu, faaliyete, hedeflere, koşullara bağlı olmayan kendi kendine yeterli bir varlık olarak kabul edildi ve ayrıca evrensellik adına içeriği önemli ölçüde azaltıldı.

Her iki yaklaşım (kuruluşlar ve düzenleyiciler) mevcut gerçekliğe yetersizdir ve onu önemli ölçüde çarpık bir biçimde sunar. Bu nedenle, IS faaliyetlerine ilişkin temel esaslı kısıtlamalar, varlıklara (bilgilere) zarar vermek isteyen bir saldırganın zorunlu varlığını varsayan ve buna göre bilgileri böyle bir öznenin eylemlerinden korumaya odaklanan geleneksel IS modeliyle ilişkilidir. (konu grubu). Aynı zamanda, örneğin uygulama yazılımındaki düzenli değişikliklerle ilgili olaylar bir saldırgana atfedilemez. Olası nedenleri, zayıf gelişmiş yönetim ve zayıf bir teknolojik temeldir. Kuruluşun (yönetim, temel iş süreçleri) genel olarak mevcut koşullara göre kendi yetersizliği, bir saldırganla bağlantı kurmanın imkansızlığı nedeniyle göz ardı edilen çok güçlü bir sorun kaynağıdır.

Bilgi güvenliği modellerinin daha fazla evrimi, mal sahibinin (sahibinin) rolünün güçlendirilmesiyle ilişkilendirildi ve kendisine sunulan standart koruyucu önlemler setinden kendisinin (kendi tehlikesi ve riski altında) seçtiği gerçeğine indi. ihtiyaç duyduğu, yani onun görüşüne göre kabul edilebilir bir güvenlik düzeyi sağlayabilecek olanlar. Bu ileriye doğru atılmış önemli bir adımdı, çünkü bilgi güvenliğinin varlığı için belirli koşullara sahip belirli bir nesneye bağlanmasını sağladı ve bilgi güvenliği sorununun kendi kendine yeterliliği ile ilgili çelişkileri kısmen çözdü. Bununla birlikte, seçilen tipik koruyucu önlemlere (koruma profilleri) sahip bir nesne kataloğu oluşturmak dışında, sahibine yapıcı bir mekanizma sunmak mümkün değildi. Profiller, uzman buluşsal yöntem kullanılarak oluşturulmuştur. Aynı zamanda mal sahibinin ne tür bir risk aldığı da meçhul kaldı ve uygulamada belirlendi.

Daha fazla gelişme, bilgi güvenliğinin faaliyet amaçları için zarar yaratabileceği (yaratabileceği) ve bu nedenle bilgi güvenliği risklerinin (kendi kendine yeterli kalan) kuruluşun riskleri ile koordine edilmesi (bağlantılı) olması gerektiği tezine geldi. Geriye, bunların nasıl bağlanacağını ve bilgi güvenliği yönetim sisteminin (BGYS) kurumsal yönetime izole ve bağımsız bir süreçler sistemi olarak değil, entegre, güçlü bir şekilde bağlı bir yönetim bileşeni olarak nasıl entegre edileceğini göstermek kaldı. Bu başarısız oldu. Ancak bu yaklaşım, IS riskleri de dahil olmak üzere bir dizi IS değerlendirme kategorisini iyi bir şekilde geliştirdi.

Toplam sahip olma maliyetinin (IS ile ilgili olarak) ve IS'deki yatırımların "geri dönüşünün" değerlendirilmesine dayanan Pragmatik IS modelleri de bilinmektedir. Bu yaklaşım çerçevesinde, kuruluşların amaç ve faaliyet koşulları açısından benzer bir grup kuruluş, periyodik olarak IS uygulama alanlarını değerlendirir ve grup için en iyi uygulamalardan oluşan bir model oluşturur. Ayrıca kuruluşların her biri, en iyi uygulamaların gerisinde kalmasına ve koşullarına (oluşmuş olaylara) göre yatırımların yönünü ve hacmini belirlemektedir. Yatırımların etkinliği, yapılan yatırımlar alanında sonlanan ve bu nedenle büyük zararlara yol açmayan olaylardan kaynaklanan zararları azaltarak önümüzdeki dönemde değerlendirilmektedir.

Bununla birlikte, bu yaklaşım, birçok avantajıyla, geniş bir hassas bilgi alışverişini gerektirir ve değişime katılanların çıkar çatışması, herhangi bir kalite güven artırıcı önlemin oluşturulmasını dışlar, bu nedenle yaygın olarak kullanılmaz.

Rusya Federasyonu Merkez Bankası standardında önerilen IS modeli, sorunu hem entegrasyonu (faaliyetin hedefleriyle ilişkili) hem de "davetsiz misafirin" özünün yorumunu genişletmek açısından daha da geliştirdi. . Saldırgan, sahibiyle yüzleşebilen ve kendi amacını gerçekleştiren, kuruluşun varlıkları üzerinde kontrol sahibi olan bir kişidir.

Bu yaklaşım, çözümlerinin en rasyonel olduğu yerde, IS değerlendirme kapsamına giren kuruluşa verilen zarar türlerini ve kaynaklarını önemli ölçüde genişletir. Ancak, birçok açıdan uzlaşmacı bir yaklaşımdı ve bilgi güvenliği sorunlarının faaliyetin nihai sonucuna (üretilen ürün) acilen daha fazla yakınlaştırılmasını gerektiriyor. Davetsiz misafirlere karşı mücadele de dahil olmak üzere güvenli ve güvenilir bir bilgi alanının oluşturulması ve sürdürülmesi yoluyla işletmeye gerçekten yardımcı olan, performansına ve gerekli iyileştirmeye doğrudan katkıda bulunan bir modele ihtiyacımız var. Sadece böyle bir model iş dünyası tarafından algılanabilir. Diğerleri onlar tarafından reddedilecektir.

Bu metin bir giriş parçasıdır. Elektronik Bankacılık Teknolojilerini Uygulamak: Riske Dayalı Bir Yaklaşım kitabından yazar Lyamin L.V.

5.4. Bilgi güvenliği güvencesinin uyarlanması Uzaktan bankacılığa geçiş bağlamında bilgi güvenliği sorununun ağırlaşmasının temel nedeni, İKBD'nin oluşumuyla bağlantılı olarak bankacılık faaliyetlerinin güvenilirliğine yönelik tehditlerin bileşimindeki temel değişiklikte yatmaktadır. yani yenilerinin ortaya çıkması.

yazar Andrianov V.V.

1. İş Bilgi Güvenliği Felsefesi

İş Bilgi Güvenliği kitabından yazar Andrianov V.V.

1.1.4. Bilgi güvenliğinin tanımı Bir iş süreci (yönetimi üzerindeki) üzerindeki bilgi etkisinin maddi veya finansal etkiden daha etkili olabileceği gerçeğinin kademeli olarak gerçekleştirilmesi ve bu tür etkiler için düşük kaynak eşiği

İş Bilgi Güvenliği kitabından yazar Andrianov V.V.

2. İşletme bilgi güvenliğini sağlamak için uygulanabilen mevcut yönetim (yönetim) modelleri Bir kuruluşun sınırsız kaynağı varsa, işinin bilgi güvenliğini sağlamak için herhangi bir yönetim sorunu yoktur. Eğer bir

İş Bilgi Güvenliği kitabından yazar Andrianov V.V.

3. İş bilgi güvenliğinin değerlendirilmesi. İş bilgi güvenliğini ölçme ve değerlendirme sorunu 3.1. Bilgi güvenliğini değerlendirme yolları İş hedeflerine ulaşmak için işi büyük ölçüde bilgi alanına bağlı olan kuruluşlar

İş Bilgi Güvenliği kitabından yazar Andrianov V.V.

3.1. Bilgi güvenliğini değerlendirme yöntemleri İşleri büyük ölçüde bilgi alanına bağlı olan kuruluşlar, iş hedeflerine ulaşmak için gerekli düzeyde bir bilgi güvenliği sistemini (IS Bakım Sistemi) sürdürmek zorundadır. IŞİD bir takım

İş Bilgi Güvenliği kitabından yazar Andrianov V.V.

3.2. Bilgi güvenliği değerlendirme süreci 3.2.1. Değerlendirme sürecinin ana unsurları BS değerlendirme süreci, aşağıdaki değerlendirme unsurlarını içerir: - girdi verilerini belirleyen değerlendirme bağlamı: BS değerlendirmesinin amaçları ve amacı, değerlendirme türü (bağımsız değerlendirme,

İş Bilgi Güvenliği kitabından yazar Andrianov V.V.

3.2.2. Kuruluşun bilgi güvenliği değerlendirmesinin bağlamı IS değerlendirmesinin içeriği, IS değerlendirmesinin amaçlarını ve amacını, değerlendirmenin türünü, IS değerlendirmesinin amacını ve alanlarını, değerlendirme kısıtlamalarını, rolleri ve kaynakları içerir. değerlendirme sürecinin uygulanması organizatörü içerir,

İş Bilgi Güvenliği kitabından yazar Andrianov V.V.

Rusya Federasyonu Eğitim ve Bilim Bakanlığı

federal devlet bütçe eğitim kurumu

yüksek mesleki eğitim

"PERM ULUSAL ARAŞTIRMA

POLİTEKNİK ÜNİVERSİTESİ"

Ölçek

disipline göre

İŞLETMENİN BİLGİ GÜVENLİĞİ

Konu "Alfa-Bank örneğinde iş dünyasında bilgi güvenliği"

Bir öğrenci tarafından tamamlandı

FK-11B grubu:

Smyshlyaeva Maria Sergeyevna

Öğretmen tarafından kontrol edildi:

Shaburov Andrey Sergeevich

Perma - 2013

giriiş

Çözüm

bibliyografya

giriiş

Çoğu şirketin bilgi kaynakları en değerli kaynaklar arasındadır. Bu nedenle, ticari, gizli bilgiler ve kişisel veriler kötüye kullanımdan güvenilir bir şekilde korunmalı, ancak aynı zamanda bu bilgilerin işlenmesinde yer alan veya kendisine verilen görevlerin yerine getirilmesi sürecinde bu bilgileri kullanan kuruluşlar tarafından kolayca erişilebilir olmalıdır. Bunun için özel araçların kullanılması, şirketin işinin sürdürülebilirliğine ve yaşayabilirliğine katkıda bulunur.

Uygulamanın gösterdiği gibi, modern koşullarda iş korumasını organize etme konusu en alakalı hale geldi. Çevrimiçi mağazalar "açılıyor" ve müşterilerin kredi kartları boşaltılıyor, kumarhaneler ve çekilişlere şantaj yapılıyor, kurumsal ağlar manipüle ediliyor, bilgisayarlar botnetlere "zombize ediliyor" ve kimlik sahtekarlığı ulusal bir felakete dönüşüyor.

Bu nedenle şirket liderleri bilgi güvenliğinin öneminin farkında olmalı, bu alandaki trendleri nasıl tahmin edip yöneteceklerini öğrenmelidir.

Bu çalışmanın amacı, Alfa-Bank örneğini kullanarak işletme bilgi güvenliği sisteminin avantaj ve dezavantajlarını belirlemektir.

Alfa-Bank OJSC'nin faaliyetlerinin özellikleri

Alfa-Bank 1990 yılında kuruldu. Alfa-Bank, özel ve kurumsal müşterilere hizmet vermek, yatırım bankacılığı, ticaret finansmanı ve varlık yönetimi dahil olmak üzere finansal hizmetler pazarındaki tüm önemli bankacılık işlemlerini gerçekleştiren evrensel bir bankadır.

Alfa-Bank'ın genel merkezi Moskova'da olup, bankanın Hollanda'da bir yan banka ve ABD, Büyük Britanya ve Kıbrıs'ta mali yan kuruluşları da dahil olmak üzere Rusya bölgelerinde ve yurtdışında toplam 444 şubesi ve şubesi bulunmaktadır. Alfa-Bank yaklaşık 17.000 çalışanı istihdam etmektedir.

Alfa-Bank, toplam aktifler, toplam sermaye ve mevduat açısından en büyük Rus özel bankasıdır. Banka, hem kurumsal hem de bireylerden oluşan geniş bir müşteri tabanına sahiptir. Alfa-Bank, ana alanlarda evrensel bir banka olarak gelişiyor: kurumsal ve yatırım işi (küçük ve orta ölçekli işletmeler (KOBİ dahil), ticaret ve yapılandırılmış finansman, leasing ve faktoring), perakende ticaret (banka şubeleri sistemi dahil), araba kredileri ve ipotek). Kitle ve KOBİ segmentlerinde kurumsal bankacılık ürünlerinin geliştirilmesine ve ayrıca uzaktan self servis kanallarının ve İnternet ediniminin geliştirilmesine özel önem verilmektedir. Alfa-Bank'ın stratejik öncelikleri, Rusya'daki lider özel banka statüsünü korumak, istikrarı güçlendirmek, karlılığı artırmak ve teknoloji, verimlilik, müşteri hizmetleri ve ekip çalışması için endüstri standartlarını belirlemektir.

Alfa-Bank, küresel sermaye piyasalarında en aktif Rus bankalarından biridir. Lider uluslararası derecelendirme kuruluşları, Alfa-Bank'a Rus özel bankaları arasında en yüksek notlardan birini veriyor. Müşteri Deneyimi Endeksi'nde arka arkaya dört kez 1. sırada yer aldı. Senteo'nun PricewaterhouseCoopers ile birlikte yürüttüğü Finansal Kriz Sonrası Perakende Bankacılık Sektörü". Yine 2012 yılında Alfa-Bank, GlobalFinance dergisi tarafından en iyi internet bankası seçilmiş ve Ulusal Borsa Katılımcıları Birliği (NAUFOR) tarafından en iyi analiz ödülüne layık görülmüştür. araştırma holdingi Romir tarafından hesaplanan güven endeksine göre en iyi Rus özel bankası oldu.

Bugün Banka'nın 83 satış noktası da dahil olmak üzere federal ölçekte bir ağı var. Alfa Bank, 55 ofisten oluşan ve 23 şehri kapsayan ticari bankalar arasında en büyük ağlardan birine sahiptir. Ağın genişletilmesi sonucunda, Banka, müşteri tabanını artırmak, bankacılık ürün yelpazesini ve kalitesini genişletmek, bölgeler arası programları uygulamak ve en büyük işletmeler arasından omurga müşterilerine kapsamlı hizmetler sunmak için ek fırsatlara sahiptir.

İş bilgi güvenliği konusunun teorik temelinin analizi

alakave bilgi güvenliğinin sağlanması sorununun önemi aşağıdaki faktörlerden kaynaklanmaktadır:

· Bilgi güvenliği araçlarının modern gelişim düzeyleri ve oranları, bilgi teknolojilerinin gelişme düzeylerinin ve oranlarının çok gerisinde kalmaktadır.

· İnsan faaliyetinin çeşitli alanlarında kullanılan kişisel bilgisayar parkının yüksek büyüme oranları. Gartner Dataquest'in araştırmasına göre, şu anda dünyada bir milyardan fazla kişisel bilgisayar var.

bilgi güvenliği iş bankası

· Bilgi işlem kaynaklarına ve veri dizilerine doğrudan erişimi olan kullanıcı çemberinin keskin bir şekilde genişlemesi;

Günümüzde bankalarda depolanan bilgilerin önemi önemli ölçüde artmıştır, birçok kişinin, şirketin, kuruluşun ve hatta tüm devletin mali ve ekonomik faaliyetleri hakkında önemli ve çoğu zaman gizli bilgiler yoğunlaşmıştır. Banka, çok sayıda insanın çıkarlarını etkileyen değerli bilgileri depolar ve işler. Banka, müşterileri hakkında, bu tür bilgileri çalmak veya bunlara zarar vermekle ilgilenen potansiyel davetsiz misafirlerin çemberini genişleten önemli bilgileri depolar.

Tüm suçların %90'ından fazlası bankanın otomatik bilgi işleme sistemlerinin kullanımıyla ilgilidir. Bu nedenle, ASOIB'yi oluştururken ve modernize ederken, bankaların güvenliğini sağlamaya çok dikkat etmesi gerekiyor.

Bankaların bilgisayar güvenliğine özellikle dikkat edilmelidir, i. bankacılık bilgi güvenliği alanındaki en alakalı, karmaşık ve acil sorun olarak bankanın otomatik bilgi işlem sistemlerinin güvenliği.

Bilgi teknolojisinin hızlı gelişimi, yeni iş fırsatlarının önünü açarken, aynı zamanda yeni tehditlerin ortaya çıkmasına da neden oldu. Rekabet nedeniyle, modern yazılım ürünleri hata ve eksikliklerle satılmaktadır. Ürünlerindeki çeşitli işlevler de dahil olmak üzere geliştiricilerin, oluşturulan yazılım sistemlerinde yüksek kaliteli hata ayıklama yapmak için zamanları yoktur. Bu sistemlerde kalan hata ve kusurlar, bilgi güvenliğinin kazara ve kasıtlı ihlallerine yol açmaktadır. Örneğin, çoğu kazara bilgi kaybının nedeni, yazılım ve donanımın işleyişindeki hatalardır ve bilgisayar sistemlerine yapılan saldırıların çoğu, yazılımda bulunan hatalara ve kusurlara dayanmaktadır. Örneğin, Microsoft Windows sunucu işletim sisteminin piyasaya sürülmesinden sonraki ilk altı ayda, 6'sı kritik olmak üzere 14 güvenlik açığı keşfedildi. Zaman içinde Microsoft, belirlenen kusurları gideren hizmet paketleri geliştirse de, kullanıcılar zaten kalan hatalar nedeniyle bilgi güvenliği ihlallerinden muzdariptir. Bu diğer birçok sorun çözülünceye kadar, yetersiz bilgi güvenliği seviyesi, bilgi teknolojilerinin gelişimine ciddi bir fren olacaktır.

Altında bilgi Güvenliğibilgi ve destekleyici altyapı sahipleri ve kullanıcıları da dahil olmak üzere bilgi ilişkilerinin konularına kabul edilemez zararlar verebilecek doğal veya yapay nitelikteki tesadüfi veya kasıtlı etkilerden bilgi ve destekleyici altyapının güvenliği anlaşılır.

Modern iş dünyasında, maddi varlıkların bilgi varlıklarına doğru bir göç süreci vardır. Organizasyon geliştikçe, temel görevi pazarda sürekli değişen rekabet koşullarında iş yapmanın maksimum verimliliğini sağlamak olan bilgi sistemi daha karmaşık hale gelir.

Bilgiyi bir meta olarak ele aldığımızda, genel olarak bilgi güvenliğinin sağlanmasının önemli maliyet tasarrufları sağlayabileceği, buna verilen zararın ise maddi maliyetlere yol açabileceği söylenebilir. Örneğin, orijinal ürünün üretim teknolojisinin açıklanması, benzer bir ürünün, ancak farklı bir üreticiden görünmesine neden olacak ve bilgi güvenliği ihlali sonucunda, teknolojinin sahibi veya belki yazarı, pazarın bir kısmını kaybetmek vb. Öte yandan, bilgi kontrolün konusudur ve değişimi kontrol nesnesinde feci sonuçlara yol açabilir.

GOST R 50922-2006'ya göre bilgi güvenliğinin sağlanması, bilgi sızıntısını, korunan bilgiler üzerinde yetkisiz ve kasıtsız etkileri önlemeyi amaçlayan bir faaliyettir. Bilgi güvenliği hem işletmeler hem de devlet kurumları için önemlidir. Bilgi kaynaklarının kapsamlı bir şekilde korunması amacıyla bilgi güvenliği sistemlerinin oluşturulması ve geliştirilmesine yönelik çalışmalar yürütülmektedir.

Yerel ve küresel ağların çalışmasını ciddi şekilde etkileyebilecek ve değerli bilgilerin kaybolmasına neden olabilecek birçok neden vardır. Bunlar arasında şunlar vardır:

Dışarıdan yetkisiz erişim, bilgilerin kopyalanması veya değiştirilmesi, yanlışlıkla veya kasıtlı olarak aşağıdakilere yol açan eylemler:

verilerin bozulması veya yok edilmesi;

yetkisiz kişilerin bankacılık, finans veya devlet sırrı oluşturan bilgileri tanıması.

Yazılımın hatalı çalışması, aşağıdakilerden dolayı veri kaybına veya bozulmasına yol açar:

uygulama veya ağ yazılımındaki hatalar;

bilgisayar virüsleri ile sistem enfeksiyonu.

Aşağıdakilerden kaynaklanan teknik ekipman arızaları:

elektrik kesintisi;

disk sistemlerinin ve veri arşivleme sistemlerinin arızalanması;

sunucuların, iş istasyonlarının, ağ kartlarının, modemlerin bozulması.

Servis personelinin hataları.

Elbette, herkese uyan tek bir çözüm yoktur, ancak birçok kuruluş, veri kaybı veya yetkisiz erişim riskini en aza indirmek için teknik ve idari önlemler geliştirmiş ve uygulamıştır.

Bugüne kadar, Alfa-Bank'ta da kullanılan bilgi güvenliğini sağlamak için çok sayıda yöntem var:

· kullanıcıların kimlik ve kimlik doğrulama araçları (karmaşık 3A olarak adlandırılır);

· bilgisayarlarda depolanan ve ağlar üzerinden iletilen bilgilerin şifrelenmesi araçları;

· güvenlik duvarları;

· sanal özel ağlar;

· içerik filtreleme araçları;

· disk içeriğinin bütünlüğünü kontrol etmek için araçlar;

· anti-virüs koruma araçları;

· ağ güvenlik açığı algılama sistemleri ve ağ saldırısı analizörleri.

"Karmaşık 3A", kimlik doğrulama (veya tanımlama), yetkilendirme ve yönetimi içerir. Kimlikve yetkilendirme, bilgi güvenliğinin temel unsurlarıdır. Herhangi bir programa erişmeye çalıştığınızda, tanımlama işlevi şu soruya cevap verir: "Sen kimsin?" ve "Neredesin?", programın yetkili kullanıcısı olup olmadığınızı. Yetkilendirme işlevi, belirli bir kullanıcının hangi kaynaklara erişebildiğinden sorumludur. Yönetimin işlevi, kullanıcıya belirli bir ağ içinde belirli tanımlama özellikleri sağlamak ve onun için izin verilen eylemlerin kapsamını belirlemektir. Alfa-Bank'ta programlar açılırken her çalışanın şifresi ve oturum açma bilgileri istenmekte, herhangi bir işlem yapılırken bazı durumlarda departman başkanının veya yardımcısının yetkilendirilmesi istenmektedir.

güvenlik duvarıİki veya daha fazla ağ arasında, yetkisiz veri paketlerinin ağa girmesini veya ağa girmesini engelleyen koruyucu bir bariyer oluşturan bir sistem veya sistemler kombinasyonudur. Güvenlik duvarlarının temel çalışma prensibi. gelen ve giden IP adresini izin verilen adres tabanıyla eşleştirmek için her veri paketini kontrol etme. Böylece, güvenlik duvarları bilgi ağlarını bölümlere ayırma ve veri dolaşımını kontrol etme olanaklarını önemli ölçüde genişletir.

Kriptografi ve güvenlik duvarlarından bahsetmişken, güvenli sanal özel ağlardan (Sanal Özel Ağ - VPN) bahsetmeliyiz. Kullanımları, açık iletişim kanalları üzerinden iletimleri sırasında veri gizliliği ve bütünlüğü sorunlarının çözülmesine olanak tanır.

Gizli bilgilerin kaybolmasına karşı etkili bir koruma aracı. Gelen ve giden e-postalar için içerik filtreleme. E-posta mesajlarını ve eklerini kuruluşunuz tarafından belirlenen kurallara göre doğrulamak, şirketleri yasal sorumluluktan ve çalışanlarını istenmeyen postalardan koruyabilir. İçerik filtreleme araçları, sıkıştırılmış ve grafik dahil tüm yaygın biçimlerdeki dosyaları taramanıza olanak tanır. Aynı zamanda, ağ bant genişliği pratikte değişmeden kalır.

Modern antiviralteknolojiler, şüpheli bir dosyanın kodunu anti-virüs veritabanında saklanan örneklerle karşılaştırarak neredeyse tüm bilinen virüs programlarının tespit edilmesini sağlar. Ayrıca yeni oluşturulan virüs programlarını tespit etmek için davranış modelleme teknolojileri geliştirilmiştir. Algılanan nesneler dezenfekte edilebilir, izole edilebilir (karantinaya alınabilir) veya silinebilir. Virüs koruması iş istasyonlarına, dosya ve posta sunucularına, çeşitli işlemci türlerinde neredeyse tüm yaygın işletim sistemlerinde (Windows, Unix - ve Linux_systems, Novell) çalışan güvenlik duvarlarına kurulabilir. İstenmeyen e-posta filtreleri, istenmeyen postaların ayrıştırılmasıyla ilişkili verimsiz işçilik maliyetlerini önemli ölçüde azaltır, trafiği ve sunucu yükünü azaltır, ekipteki psikolojik arka planı iyileştirir ve şirket çalışanlarının dolandırıcılık işlemlerine karışma riskini azaltır. Ayrıca spam filtreleri, virüs içeren iletiler (henüz anti-virüs veritabanlarına dahil edilmemiş olanlar bile) sıklıkla istenmeyen posta belirtileri gösterdiğinden ve filtrelendiğinden, yeni virüslerin bulaşma riskini azaltır. Doğru, spam filtrelemenin olumlu etkisi, filtre önemsiz ile birlikte spam ve faydalı mesajlar, iş veya kişisel olarak kaldırır veya işaretlerse, çizilebilir.

En tipik birkaç tür ve yöntem vardır bilgi tehditleri:

Ticari sırların sınıflandırılması ve çalınması. Daha önce sırlar gizli yerlerde, büyük kasalarda, güvenilir fiziksel ve (daha sonra) elektronik koruma altında tutulurken, bugün birçok çalışan, genellikle aynı müşteri verileri gibi çok hassas bilgileri içeren ofis veritabanlarına erişebiliyor.

Ödün veren malzemelerin dağıtımı. Yani, bankanın itibarına gölge düşüren bu tür bilgilerin elektronik yazışmalarda çalışanlar tarafından kasıtlı veya kazara kullanılması.

Fikri mülkiyet ihlali. Herhangi bir kuruluşta olduğu gibi bankalarda da üretilen herhangi bir fikri ürünün kendisine ait olduğunu ve kuruluşun menfaatleri dışında çalışanlar (üreticiler ve fikri değer yazarları dahil) tarafından kullanılamayacağını unutmamak önemlidir. Bu arada Rusya'da, yarattıkları entelektüel ürünü sahiplenen ve kişisel çıkarları için, kuruluşun zararına kullanan kuruluşlar ve çalışanlar arasında bu konuda sıklıkla çatışmalar ortaya çıkıyor. Bu genellikle, iş sözleşmesinin çalışanların hak ve yükümlülüklerini özetleyen açıkça tanımlanmış normlar ve kurallar içermediği zaman, işletmedeki belirsiz yasal durum nedeniyle olur.

Gizli olmayan ancak rakipler (diğer bankalar) için faydalı olabilecek (genellikle kasıtsız) içeriden bilgilerin dağıtımı.

Rakip bankaların web sitelerine ziyaretler. Artık daha fazla şirket, açık sitelerinde (özellikle CRM için tasarlanmış olanlar) ziyaretçileri tanımanıza ve rotalarını ayrıntılı olarak izlemenize, sitedeki sayfaların görüntülenme süresini ve süresini kaydetmenize olanak tanıyan programlar kullanıyor. Rakip web siteleri, analiz ve tahmin için değerli bir kaynak olmuştur ve olmaya devam etmektedir.

Ofis iletişiminin kişisel amaçlarla kötüye kullanılması (dinleme, müzik ve işle ilgili olmayan diğer içerikleri görüntüleme, ofis bilgisayarı indirme) bilgi güvenliğine doğrudan bir tehdit oluşturmaz, ancak kurumsal ağ üzerinde ek stres yaratır, verimliliği azaltır ve müdahale eder. meslektaşlarının çalışmalarıyla.

Ve son olarak, dış tehditler - yetkisiz izinsiz girişler vb.

Banka tarafından benimsenen kurallar, devlet ve ticari sırların, kişisel ve özel bilgilerin korunması için hem ulusal hem de uluslararası kabul görmüş standartlara uygun olmalıdır.

Alfa-Bank'ta bilgilerin kurumsal olarak korunması

Alfa Bank OJSC, seçici bir erişim kontrol yöntemine dayalı bir güvenlik politikası uygulamıştır. Alfa Bank OJSC'deki bu tür yönetim, yönetici tarafından belirtilen bir dizi izin verilen erişim ilişkisi ile karakterize edilir. Erişim matrisi doğrudan şirketin sistem yöneticisi tarafından doldurulur. Seçici bir bilgi güvenliği politikasının uygulanması, yönetimin gereksinimlerine ve bilgi güvenliği ve erişim kontrolü, hesap verebilirlik gereksinimlerine uygundur ve ayrıca organizasyonunun kabul edilebilir bir maliyeti vardır. Bilgi güvenliği politikasının uygulanması tamamen Alfa Bank OJSC'nin sistem yöneticisine emanet edilmiştir.

Mevcut güvenlik politikasının yanı sıra Alfa Bank OJSC, özel güvenlik donanımı ve yazılımı kullanır.

Güvenlik donanımı Cisco 1605'tir. Yönlendirici, LAN için iki Ethernet arayüzü (biri TP ve AUI arayüzlü, diğeri sadece TP ile) ve Cisco 1600 serisi yönlendiriciler için modüllerden birini kurmak için bir genişletme yuvası ile donatılmıştır. Cisco IOSFirewallFeatureSet yazılımı, Cisco 1605-R'yi küçük ofis için ideal esnek yönlendirici/güvenlik çözümü yapar. Kurulu modüle bağlı olarak, yönlendirici hem ISDN hem de çevirmeli hat veya 1200 bps'den 2 Mbps'ye kadar kiralık hat, FrameRelay, SMDS, x.25 üzerinden bağlantıyı destekleyebilir.

Bilgileri korumak için, LAN sahibi, örneğin dahili ağ ile harici ağ bağlantısında kontrol kurarak ağın "çevresini" güvence altına almalıdır. Cisco IOS, Genişletilmiş Erişim Listeleri (ACL'ler), Kilitleme Sistemleri (Dinamik ACL'ler) ve Yönlendirme Yetkilendirmesi gibi standart özelliklerle yüksek esneklik ve güvenlik sağlar. Ayrıca, 1600 ve 2500 serisi yönlendiriciler için mevcut olan Cisco IOS FirewallFeatureSet, aşağıdakileri içeren kapsamlı güvenlik özellikleri sağlar:

bağlamsal erişim denetimi (CBAC)

java kilidi

seyir defteri

saldırı algılama ve önleme

anında bildirim

Ayrıca yönlendirici, sanal bindirme ağlarını, tünelleri, bir öncelik yönetim sistemini, bir kaynak rezervasyon sistemini ve çeşitli yönlendirme kontrol yöntemlerini destekler.

KasperskyOpenSpaceSecurity çözümü, bir yazılım koruma aracı olarak kullanılır. KasperskyOpenSpaceSecurity, kurumsal ağ koruma sistemleri için modern gereksinimleri tam olarak karşılar:

her tür ağ düğümünün korunması için çözüm;

her türlü bilgisayar tehdidine karşı koruma;

etkili teknik destek;

geleneksel imza tabanlı koruma ile birleştirilmiş "proaktif" teknolojiler;

yenilikçi teknolojiler ve performansı artıran yeni bir anti-virüs motoru;

kullanıma hazır koruma sistemi;

merkezi yönetim;

ağ dışındaki kullanıcıların tam korunması;

üçüncü taraf çözümleriyle uyumluluk;

ağ kaynaklarının verimli kullanımı.

Geliştirilen sistem, kişisel bilgilerin korunmasının tam kontrolünü, otomatik muhasebesini ve analizini sağlamalı, müşteri hizmetlerinin süresini azaltmalı, bilgi güvenliği kodları ve kişisel veriler hakkında bilgi almalıdır.

Geliştirilmekte olan sistem için gereksinimleri oluşturmak için, veritabanının organizasyonu, geliştirilmekte olan sistem için bilgi uyumluluğu için gereksinimlerin oluşturulması gerekir.

Veritabanı tasarımı, belirli bir organizasyonun son kullanıcılarının görüşlerine - sistemin kavramsal gereksinimlerine - dayanmalıdır.

Bu durumda IS, şirketin çalışanları hakkında veriler içerir. Bir bilgi sisteminin işleyişini önemli ölçüde gösteren teknolojilerden biri, belgeler için bir iş akışı şemasının geliştirilmesidir.

Geliştirilen sistemin işlevleri, bilgisayar teknolojisi ve yazılımı kullanılarak gerçekleştirilebilir. Banka uzmanlarının faaliyetlerinde bilgi, bilgi ve muhasebe belgelerinin aranmasının çalışma süresinin yaklaşık% 30'u olduğu göz önüne alındığında, otomatik bir muhasebe sisteminin getirilmesi nitelikli uzmanları önemli ölçüde serbest bırakacak, bordro fonunda tasarruf sağlayabilir. , personelin azaltılması, ancak görevleri devam eden iş süreçleri hakkında bilgi girmeyi içerecek olan operatörün personel biriminin departmanının personeline tanıtılmasına da yol açabilir: kişisel veri muhasebe belgeleri ve erişim kodları.

Geliştirilen sistemin devreye alınmasının, kişisel bilgi ve güvenlik kodlarının muhasebeleştirilmesindeki hataları azaltacağı ve ideal olarak tamamen ortadan kaldıracağı belirtilmelidir. Böylece, bir yönetici için otomatik bir işyerinin getirilmesi, önemli bir ekonomik etkiye, personelde 1/3 oranında azalmaya, ücret fonunda tasarrufa ve işgücü verimliliğinin artmasına yol açacaktır.

Alfa-Bank, diğer herhangi bir banka gibi, bilgi güvenliğini sağlama sorununa ilişkin bir görüş sistemi tanımlayan ve bir veya daha fazla kural, prosedür, uygulama olarak korumanın amaç ve hedeflerinin sistematik bir ifadesi olan bir Bilgi Güvenliği Politikası geliştirmiştir. ve bilgi güvenliği alanındaki yönergeler.

Politika, Banka'daki bilgi teknolojilerinin geliştirilmesine yönelik mevcut durumu ve yakın beklentileri, operasyonlarının amaçlarını, hedeflerini ve yasal çerçevesini, çalışma şekillerini dikkate alır ve ayrıca bilgi nesnelerine ve konularına yönelik güvenlik tehditlerinin bir analizini içerir. Banka ilişkileri.

Bu belgenin ana hükümleri ve gereklilikleri, ek ofisler de dahil olmak üzere Banka'nın tüm yapısal bölümleri için geçerlidir. Temel Hususlar Politika aynı zamanda Banka'nın bilgi kaynaklarının tedarikçileri ve tüketicileri olarak şu veya bu kapasitede Banka ile etkileşimde bulunan diğer kurum ve kuruluşlar için de geçerlidir.

Bu Politikanın yasal dayanağı, Rusya Federasyonu Anayasası, Medeni ve Ceza Kanunları, kanunlar, kararnameler, kararlar, Rusya Federasyonu'nun mevcut mevzuatının diğer düzenleyici belgeleri, Rusya Devlet Başkanı altındaki Devlet Teknik Komisyonu belgeleridir. Federasyon, Rusya Federasyonu Başkanına bağlı Federal Hükümet İletişim ve Bilgi Ajansı.

Politika, aşağıdakiler için metodolojik temeldir:

· Banka'da bilgi güvenliği alanında birleşik bir politikanın oluşturulması ve uygulanması;

· bilgi güvenliği politikasını uygulamak için yönetimsel kararlar almak ve pratik önlemler geliştirmek ve çeşitli bilgi güvenliği tehditlerinin uygulanmasının sonuçlarını belirlemeye, püskürtmeye ve ortadan kaldırmaya yönelik bir dizi koordineli önlem geliştirmek;

· Bilgi güvenliğinin sağlanmasına yönelik gerekliliklere uygun bilgi teknolojilerinin oluşturulması, geliştirilmesi ve işletilmesine yönelik çalışmalar yapılırken Banka'nın yapısal alt bölümlerinin faaliyetlerini koordine etmek;

· Banka'daki bilgilerin yasal, düzenleyici, teknik ve organizasyonel güvenliğinin iyileştirilmesine yönelik tekliflerin geliştirilmesi.

Banka'da bir bilgi güvenliği sistemi oluşturmaya yönelik sistematik bir yaklaşım, Banka bilgilerinin güvenliğini sağlama sorununu anlamak ve çözmek için önemli olan birbiriyle ilişkili, etkileşimli ve zamanla değişen tüm unsurları, koşulları ve faktörleri dikkate almayı içerir.

Bilgi Güvenliğinin Sağlanması- Banka Yönetimi, bilgi güvenliği birimleri ve her seviyedeki çalışanlar tarafından yürütülen bir süreç. Bu, belirli bir zaman diliminde veya bir takım çareler içinde uygulanan bir prosedür veya politika olmaktan çok, Banka içinde her düzeyde sürekli devam etmesi ve Banka'nın her çalışanının katılması gereken bir süreçtir. bu süreçte. Bilgi güvenliği faaliyetleri, Banka'nın günlük faaliyetlerinin ayrılmaz bir parçasıdır. Etkinliği ise bilgi güvenliğinin sağlanmasında Banka yönetiminin katılımına bağlıdır.

Ek olarak, işlevlerinin etkin bir şekilde yerine getirilmesi için fiziksel ve teknik koruma araçlarının çoğu, sürekli organizasyonel (idari) destek gerektirir (zamanında değişiklik ve adların, şifrelerin, şifreleme anahtarlarının, yetkilerin yeniden tanımlanmasının vb. doğru depolanması ve kullanılmasının sağlanması). ). Koruma araçlarının çalışmasındaki kesintiler, saldırganlar tarafından kullanılan koruma yöntemlerini ve araçlarını analiz etmek, özel yazılım ve donanım "yer imleri" ve korumanın üstesinden gelmek için diğer araçları tanıtmak için kullanılabilir.

Kişisel sorumlulukyetkisi dahilindeki her bir çalışana bilgi güvenliğinin ve işlenmesine ilişkin sistemin sağlanması için sorumluluk verilmesini içerir. Bu ilkeye uygun olarak, çalışanların hak ve yükümlülüklerinin dağılımı, herhangi bir ihlal durumunda fail çemberi açıkça bilinecek veya en aza indirilecek şekilde oluşturulmuştur.

Alfa-Bank, herhangi bir kullanıcının, her bir koruma aracının ve herhangi bir koruma nesnesi ile ilgili faaliyetlerini sürekli olarak izler ve operasyonel kontrol ve kayıt araçlarının kullanımı temelinde gerçekleştirilmelidir ve kullanıcıların hem yetkisiz hem de yetkili eylemlerini kapsamalıdır.

Banka aşağıdaki organizasyonel ve idari belgeleri geliştirmiştir:

· Ticari sırlara ilişkin düzenlemeler. Bu Yönetmelik, Bankanın ticari sırrını oluşturan bilgilerle çalışma prosedürünü, bu bilgilere kabul edilen çalışanların görev ve sorumluluklarını, Bankanın ticari sırrını oluşturan bilgileri içeren materyalleri devlete (ticari) aktarma prosedürünü düzenler. kurum ve kuruluşlar;

· Resmi ve ticari sır oluşturan bilgilerin listesi. Liste, gizli olarak sınıflandırılan bilgileri, korunan bilgilere erişim üzerindeki kısıtlamaların düzeyini ve zamanlamasını tanımlar;

· Bilgi güvenliği rejimini oluşturmaya yönelik emir ve yönergeler:

· kısıtlı bilgilerle çalışmak üzere çalışanların kabulü;

· kurumsal bilgi sisteminde kısıtlı bilgilerle çalışmaktan sorumlu yönetici ve kişilerin atanması;

· Çalışanlar için talimat ve sorumluluklar:

· güvenlik erişim rejiminin organizasyonu hakkında;

· ofis işlerinin organizasyonu hakkında;

· kurumsal bilgi sisteminin bilgi kaynaklarının yönetimi;

· diğer düzenleyici belgeler.

Çözüm

Bugün, bilgi güvenliğini organize etme konusu, tüzel kişilik oluşturmadan büyük şirketlerden girişimcilere kadar her düzeydeki kuruluşu ilgilendirmektedir. Modern piyasa ilişkilerinde rekabet mükemmel olmaktan uzaktır ve çoğu zaman en yasal yollarla yürütülmez. Endüstriyel casusluk gelişiyor. Ancak, örgütün ticari sırrına ilişkin bilgilerin kasıtsız olarak yayılması vakaları nadir değildir. Kural olarak, çalışanların ihmali, durumu anlamamaları, yani “insan faktörü” burada rol oynamaktadır.

Alfa-Bank, aşağıdaki bilgilerin korunmasını sağlar:

meslek sırrı

bankacılık sırrı

banka belgeleri (Güvenlik Dairesi raporları, bankanın yıllık tahmini, banka çalışanlarının gelirlerine ilişkin bilgiler vb.)

Bankadaki bilgiler aşağıdaki gibi tehditlerle korunmaktadır:

· doğal

· Yapay tehditler (kasıtsız (kasıtsız, kazara) tehditler, bilgi sisteminin tasarımındaki ve elemanlarındaki hatalardan, personelin eylemlerindeki hatalar vb. davetsiz misafirler).

Bilgi sisteminin kendisiyle ilgili tehdit kaynakları hem harici hem de dahili olabilir.

bibliyografya

1. Rusya Federasyonu Cumhurbaşkanının 17 Mart 2008 tarih ve 351 sayılı "Uluslararası bilgi alışverişi bilgi ve telekomünikasyon ağlarını kullanırken Rusya Federasyonu'nun bilgi güvenliğini sağlamaya yönelik tedbirler hakkında" Kararnamesi;

Galatenko, V.A. Bilgi güvenliğinin temelleri. İnternet Bilgi Teknolojileri Üniversitesi. INTUIT. ru, 2008;

Galatenko, V.A. Bilgi güvenliği standartları. İnternet Bilgi Teknolojileri Üniversitesi. INTUIT. ru, 2005;

2019

KOBİ siber güvenlik öncelikleri

KOBİ segmenti şirketleri bulutlara, MSSP (Yönetilen Güvenlik Hizmet Sağlayıcı) modeline göre hizmet tüketiminin hizmet modeline çekilir. Bu, bilgi güvenliği alanındaki operasyonel maliyetleri önemli ölçüde azaltmalarına yardımcı olur.

Artık bazı satıcılar, müşterilerine bir abonelik modeli üzerinde bulut tabanlı bilgi güvenliği hizmetleri sunuyor. Digital Design CEO'su Dmitry Livshits, bence orta ve küçük ölçekli işletmeler tam da böyle bir bilgi güvenliği hizmeti modeline gidecekler.

IS tüketiminin hizmet modeli, küçük ve orta ölçekli işletmeler tarafından giderek daha fazla talep görüyor, çünkü bu şirketler geniş bir güvenlik uzmanı kadrosunu karşılayamıyor.


I-Teco Group'un Bilgi Güvenliği Departmanı Başkanı Vladimir Balanin'e göre, KOBİ segmenti, entegre bilgi güvenliği hizmetleriyle anında hizmet veren hizmet sağlayıcıların hizmetlerinin ana tüketicisi haline geliyor: yönetim maliyeti yok, kendi altyapılarının izlenmesi ve bakımı ve risk düzenleyici gereklilikleri hizmet sağlayıcının kendisi tarafından karşılanır.

Aynı zamanda, Rusya pazarı artık KOBİ'ler için çok sınırlı bir bilgi güvenliği arzı ile karakterize edilmektedir. Jet Infosystems'deki Bilgi Güvenliği Merkezi Müdürü Andrey Yankin'in belirttiği gibi, neredeyse tüm hizmetler büyük müşterilere yöneliktir. Ona göre, KOBİ'ler için tipik ve ucuz, ancak ilkel olmayan bilgi güvenliği hizmetleri pratikte mevcut değil, ancak bir dizi başka ülkede bu pazar iyi gelişmiş durumda.

Aynı zamanda, yönetilen bilgi güvenliği hizmetleri segmentinin gelişmesi ve siber risk sigortası pazarının gelişme olasılığı ile birlikte, bu müşteri kategorisi, modern tehditlere uygun önlemlere sahip olacaktır.

Bu arada, KOBİ şirketleri, nadiren iş süreçleri düzeyine yükselen temel BT güvenliğini uyguluyor.


Angara Technologies Teknoloji ve Geliştirme Grubu Genel Müdür Yardımcısı Dmitry Pudov'a göre, KOBİ'lerin temsilcileri bütçeleriyle birlikte yüksek teknolojili veya karmaşık çözümlere neredeyse hiç erişime sahip değiller. Bu sadece çözümlerin maliyetinden değil, taşıdıkları OPEX'ten kaynaklanmaktadır.

System Software'in bilgi güvenliği başkanı Yakov Grodzensky, KOBİ segmentindeki müşteriler tarafından satın alınan ana çözümlerin antivirüsler ve yazılım güvenlik duvarları olduğunu söylüyor. Buna ek olarak, bu segmentteki şirketler bilgi güvenliği denetimi ve sızma testleri konuları ile aktif olarak ilgilenmeye başlamaktadır, çünkü bu tür kuruluşlar her zaman personellerinde ayrı bir bilgi güvenliği uzmanı bulundurmazlar, hatta sızmacılardan bahsetmiyorum bile.

Doctor Web'in önde gelen analistlerinden Vyacheslav Medvedev, orta ölçekli işletmelerde yapılan anketlerin, bu tür şirketlerin temel çözümler dışında güvenlik çözümleri için fonları olmadığını gösterdiğini ekliyor.

Büyük işletmelerin siber güvenlik öncelikleri

Şirket içindeki bilgi güvenliği ve teknolojik süreçlerin nesnel bir resmine sahip olmak hissedarlar, sahipler ve üst yönetim için her zaman önemlidir, bu nedenle şirketlerdeki genel bilgi güvenliği olgunluk düzeyi her yıl artmaktadır. Bununla birlikte, bazı büyük kuruluşlar, bilgi güvenliğinde kaosa yol açabilecek bilgi sistemlerinin işleyişini sağlayan iş süreçlerinde hala temel düzenden yoksundur. Step Logic'in bilgi ve ağ güvenliği departmanı müdürü Nikolay Zabusov, bu nedenle, büyük şirketler için ana önceliğin bu sorunları çözmek olduğunu söylüyor.

Buna ek olarak, büyük işletmeler, az ya da çok eşit şekilde korunan bir altyapı oluşturmaya çalışarak, düzenleyicilerin gereksinimlerine ve iç standartlara uymaya odaklanmaktadır. Bilgi güvenliği alanındaki endüstri standartları birçok şirkette geliştirilmiş ve "uygulanmıştır".

Büyük ticari şirketler esasen bir seçimle karşı karşıya kaldı: dijital dönüşümün yolunu takip edin veya iş paradigmasını değiştirmeden çalışın. Ancak ikinci durumda, er ya da geç pazardaki konumlarını daha fazla esneklik gösteren rakiplere bırakmak zorunda kalacaklar.

Kurumsal segment için öncelikler arasında, bir yandan klasik bilgi güvenliği çözümlerini kullanmanın verimliliğinin artmasını, diğer yandan da yeni tehdit türlerine karşı korumanın uygulanmasının bir parçası olarak tanıtılmasını belirtebilirim. dijitalleşme projeleri Softline'ın bilgi güvenliği departmanı başkanı Oleg Shaburov, güvenlik kısıtlamalarının genellikle dijital dönüşüm yolundaki yavaş ilerlemenin ana nedenlerinden biri olduğu için son derece önemlidir.

Croc Bilgi Güvenliği Başkanı Andrey Zaikin, pratik güvenlik açısından bakıldığında, vektörün saldırıları önlemekten onları tespit etmeye ve bunlara yanıt vermeye giderek daha fazla kaydığını söylüyor. Bu, nispeten genç çözüm sınıflarının giderek daha popüler hale gelmesine ve talep görmesine yol açmaktadır: EDR, IRP. Otomatik yanıt sistemleri, farklı komut dizileri ve senaryolara sahiptir ve tehditleri yayma girişimlerini engellemenize olanak tanır.

siber güvenlik hizmetleri

İşletmeleri için bilgi güvenliğinin önemini anlayan KOBİ şirketleri, hizmet modellerini kullanma yolunu takip etmektedir.