BIBLIOGRÁFIAI LISTÁJA
1. Khovanskova V.S., Rumyantsev K.E., Khovanskov S.A. Módszer az elosztott számítástechnika teljesítményének védelmének növelésére számítógépes hálózatokban // Izvestija a Déli Szövetségi Egyetemről. Műszaki tudomány. - 2012. - 4. szám (129). - P. 102-107.
2. Khovanskov S.A., Norkin O.R. Algoritmus az elosztott hálózati számítástechnika teljesítményének növelésére // Informatizálás és kommunikáció. - 2011. - 3. sz. - P. 96-98.
3. Litvinenko V.A., Khovanskov S.A. Problémák megoldása az elosztott számítástechnika hálózatba szervezésével // A Déli Szövetségi Egyetem Izvesztyija. Műszaki tudomány. - 2008. - 3. szám (80). - 16-21.o.
4. Khovanskov S.A., Norkin O.R. Egy decentralizált számítástechnikai rendszer konfigurációjának algoritmikus optimalizálása // Távközlés. - 2012. - 11. szám - P. 2-5.
5. Khovanskov S.A. Az elosztott számítástechnika szervezése hierarchikus kapcsolati struktúrával // Információs ellenakció a terrorizmus veszélyeivel szemben. - 2007. - 9. sz. - P. 170-178.
6. Litvinenko V.A., Khovanskov S.A. Algoritmus a számítógépes hálózati paraméterek optimalizálására a többügynökös rendszeren alapuló problémamegoldási idő csökkentésére // Izvestija a Déli Szövetségi Egyetemről. Műszaki tudomány. - 2007. - 2. szám (77). - 186-190.
7. Khovanskov S.A., Litvinenko V.A., Norkin O.R. Elosztott számítástechnika szervezése nyomkövetési problémák megoldására // News of the Southern Federal University. Műszaki tudomány. - 2010.
- 12. szám (113). - P. 48-55.
8. Kalasnyikov V.A., Trunov I.L., Khovanskov S.A. Párhuzamos elhelyezési algoritmus többprocesszoros számítástechnikai rendszeren // Izvestija a Déli Szövetségi Egyetemről. Műszaki tudomány.
1997. - 3. szám (6). - 181-184.
Rumyantsev Konstantin Evgenievich - Szövetségi Állami Autonóm Oktatási Felsőoktatási Intézmény "Déli Szövetségi Egyetem"; email: [e-mail védett]; 347900, Taganrog, st. Csehova, 2; tel.: 88634328725; IBTKS Osztály; fej osztály; a műszaki tudományok doktora; Egyetemi tanár,
Khovanskov Sergey Andreevich - e-mail: [e-mail védett]; tel.: 88634642530; IBTKS Osztály; Ph.D.; egyetemi adjunktus.
Khovanskova Vera Sergeevna - e-mail: [e-mail védett]; tel.: 88634676616; diák
Rumyantsev Constantine Evgen'evich - Szövetségi Állami Tulajdonú Autonómia Oktatási Felsőfokú Szakképzési Intézet „Déli Szövetségi Egyetem”; email: [e-mail védett]; 2, Csehov utca, Taganrog, 347900, Oroszország; telefon: +78634328725; az IBTKS osztálya; osztály vezetője; dr. az eng. sc.; Egyetemi tanár
Khovanskov Sergey Andreevich - e-mail: [e-mail védett]; telefon: 88634642530; az ISTCN osztálya; folypát. az eng. sc.; egyetemi docens
Khovanskova Vera Sergeevna - e-mail: [e-mail védett]; telefon: +78634676616; diák.
E.N. Efimov, G.M. Lapitskaya
INFORMÁCIÓBIZTONSÁG ÉS ÜZLETI FOLYAMATOK
VÁLLALATOK
A tanulmány célja annak bemutatása, hogy az információbiztonságot a vállalat üzleti céljainak megvalósítása keretein belül kell megteremteni és létezni. Ugyanakkor az üzleti folyamatok az elsődleges adatforrások a vállalat információbiztonságának megszervezéséhez.
Az információbiztonsági menedzsment stratégia kidolgozásakor a vállalat állapotának átfogó diagnózisát javasolják SWOT elemzéssel a hierarchiaelemzési módszerrel kapott eredmények feltételes kvantitatív értékelésével.
A kockázatok azonosítása szükséges a fenyegetések jelentőségének felméréséhez és a biztonsági rendszer kiépítéséhez. Az elemzés kimutatta, hogy a vállalat üzleti folyamatainak kockázatai a következő kategóriákba sorolhatók: tervezés során felmerülő kockázatok, újratervezés során felmerülő kockázatok és az üzleti folyamatok felhasználása során felmerülő kockázatok.
Célszerű egy vállalat információbiztonsági folyamatait egy GRC (Governance, Risk Management and Compliance) osztályú rendszerrel automatizálni, amely ma az információtechnológia és információbiztonság kezelésének egyik hatékony módja. Ebben az esetben célszerű a GRC rendszert a vállalat üzleti folyamatainak menedzselésére kialakított Business Process Management osztályú rendszerekkel integrálni.
Üzleti célok; Információ biztonság; üzleti folyamatok.
E.N. Efimov, G.M. Lapitskaya
A VÁLLALAT INFORMÁCIÓBIZTONSÁGA ÉS ÜZLETI FOLYAMATAI
A tanulmány célja, hogy bemutassa, hogy az információbiztonságot a vállalatok üzleti egész számának elérése keretein belül kell megteremteni és létezni. Az üzleti folyamatok első kézből állnak a vállalatok információbiztonságának megszervezéséhez.
A vezetői információs biztonság stratégiáinak kidolgozásakor komplex állapotdiagnosztikát kínálnak a vállalatoknak SWOT-analízissel, feltételes kvantitatív becslési eredménnyel, amelyet az elemzési hierarchia módszerével kapunk.
A rendszer fenyegetéseinek és épületeinek biztonsági értékének becsléséhez szükséges azonosítási kockázat. Az Elemzés kimutatta, hogy a vállalatokat érintő üzleti folyamatokat a következő kategóriákba soroljuk: kockázatok tervezéskor, kockázatok az újratervezés alatt és kockázatok az üzleti folyamatok felhasználási folyamatában.
Automatizálja a folyamatokat a vállalatok ésszerű biztonsága érdekében a GRC (Governance, Risk Management and Compliance) osztályba tartozó rendszerekkel, amelyeket ma az információtechnológia és információbiztonság egyik hatékony menedzsmentjének tekintenek. A Systems GRC szükséges komplexum a Business Process Management osztályú rendszerrel, amely a vállalatok üzleti folyamatainak irányítására szolgál.
Üzleti célok; információbiztonság; üzleti folyamatok.
A probléma megfogalmazása. Az információbiztonságot a vállalatok üzleti céljainak megvalósítása keretein belül kell megteremteni és létezni. A hatékony üzletvezetés lehetetlen a modern információs technológiák (IT) alkalmazása nélkül, amelyek egy modern vállalat szinte minden üzleti folyamatát támogatják. Mára azonban nyilvánvaló a tendencia: az információbiztonság az adott hálózatok, szerverek, információs erőforrások védelméről az IT által támogatott vállalatok üzleti folyamatainak biztonságává válik. Ez a vállalat biztonságának biztosításának két, egymásra épülő területének meglétét feltételezi: egyrészt az üzlet hatékony működését az üzleti folyamatok működése szempontjából; másrészt a támogató informatikai infrastruktúra normál működése. Jelenleg nincs egységes információbiztonsági megközelítés ebben az összefüggésben.
A vállalat fő biztonsági problémáinak megértéséhez célszerű a külső és belső üzleti környezet alapos elemzését elvégezni, kiemelni az igazán fontos összetevőket, információkat gyűjteni és nyomon követni az egyes komponensekről, és a valós helyzet felmérése alapján. , tájékozódjon a cég állapotáról és a helyzet okairól. A vállalat állapotának pontos, átfogó, időben történő diagnosztizálása az első lépés a biztonságos tevékenységek irányítását célzó stratégia kialakításában.
A vállalat stratégiai pozíciójának felmérésének legáltalánosabb módja a SWOT-elemzés1. A SWOT-elemző mátrix a következő halmazként jeleníthető meg:
SWOT =
ahol St (Strengths) a szervezet erősségeinek halmaza, St = (St1, St2, ..., Stmt); W (Gyengeségek) - a szervezet gyengeségeinek halmaza, W = (W1, W2, ..., Wnw); Op (Opportunities) - szervezési lehetőségek halmaza, Op = (Op1, Op2, ., Opnop); Th (Threats) - a szervezetet fenyegető veszélyek halmaza, Th = (Th1, Th2, ..., Thnth).
Fontos megérteni, hogy az erős St = (St1, St2, ..., Stnst) és a gyenge W = (W1, W2, ..., Wnw) felek a vállalat tevékenységének azon összetevői, amelyeket irányítani tud, és lehetőségek Op = (Op1, Op2, ., Opnop) és fenyegetések Th = (Th1, Th2, ..., Thnth) azok a tényezők, amelyek kívül esnek a vállalaton, és befolyásolhatják a fejlődés folyamatát.
A SWOT elemzés eredményei lehetővé teszik, hogy a fejlesztés ezen szakaszában megfogalmazzuk a vállalat biztonsági stratégiáját. Ez a feladat aligha formalizálható, azonban ezen adatok alapján az S = (S1, S2, ., Sn) rendezésére számos stratégia kidolgozható.
A SWOT-mátrix feltételes kvantitatív értékeléséhez lehetőség van például a hierarchiaelemzési módszer (MAI) alkalmazására. Ez a módszer biztosítja a leghatékonyabb módszert a mennyiségileg nem mérhető, de ugyanakkor fontos tényezők felmérésére a megalapozott döntések meghozatalához. Ráadásul a módszer ellentmondásos ítéletekkel működik, és nem követeli meg, hogy a fogyasztók vagy a döntéshozó (DM) preferenciái megfeleljenek a hasznossági axiómáknak. A MAI lehetővé teszi, hogy az összetett problémák tanulmányozását egyszerű eljárásra redukálják a szekvenciális páronkénti összehasonlítások elvégzésére.
Példaként egy távközlési iparágban működő vállalkozás (JSC Telecom) SWOT elemzésének eredményeit vettük figyelembe, amely a kommunikációs szolgáltatások teljes skáláját (vezetékes és vezeték nélküli telefonálás, internet hozzáférés, rádiókommunikációs szolgáltatások, információs szolgáltatások) nyújtja. város és régió (nem szerepel a cikkben). A táblázatban a SWOT-mátrix AHP segítségével történő utólagos értékelésének lehetőségét mutatjuk be. 1.
Asztal 1
SWOT mátrix értékelés
St W Op Th Prioritásvektor Normalizált vektor
St 1 1 0,33 0,33 0,58 0,10
W 1 1 0,2 0,14 0,41 0,07
Op 3 5 1 0,2 1,32 0,24
Th 3 7 5 1 3,20 0,58
IS konzisztencia index = 0,14 és az operációs rendszer konzisztencia aránya = 15,58< 20 % показывают удовлетворительную согласованность оценок ЛПР.
A normalizált vektor értékei a határokon belül vannak, ezért a szakértői számítások eredményei így értelmezhetők: a szervezet „fenyegetései” jelentősek (Op = 0,58), a szervezet „lehetőségei” a problémamegoldásra kielégítőek (Op = 0,24), a szervezet „erősségei” a problémák leküzdésében közepesek ^ = 0,1), a szervezet „gyengeségei” jelentéktelenek ^ = 0,07).
1 A SWOT egy mozaikszó, amely négy angol szó kezdőbetűiből áll: erő, gyengeség, lehetőségek és veszélyek.
A vállalat biztonsági problémájának ez a nézete lehetővé teszi céljainak és célkitűzéseinek, objektumainak és fenyegetéseinek meghatározását, cselekvési terv kidolgozását az üzleti folyamatok kockázatainak csökkentésére és a megtett intézkedések hatékonyságának értékelésére.
Az információbiztonsági kutatás üzleti folyamatbiztonsági szempontú sajátossága miatt a vállalatnak először azonosítania kell az üzleti folyamatok kockázatait. A kockázatazonosítás célja annak felmérése, hogy a vállalat mennyire van kitéve olyan veszélyeknek, amelyek jelentős károkat okozhatnak. A kockázatokkal kapcsolatos információk gyűjtéséhez a vállalat üzleti folyamatait elemzik, és a téma szakértőivel interjúkat készítenek. Ennek a folyamatnak az eredménye az összes lehetséges kockázat minősített listája.
Az üzleti folyamat kockázatainak azonosítása. Egy üzleti folyamat transzformációként ábrázolható:
P (X, I, I, I O) ^ Y, ahol P egy folyamat, amelynek formája egy művelethalmaz P = (Bx, B2, ..., Br);X = (Xx, X2,.. ., X) - üzleti folyamatok bemeneti folyamai és beszállítóik; Y = (Ux, U2,..., U) - az üzleti folyamat kimeneti áramlásai és fogyasztói; I = (Yakh, I2,..., I/) - egy üzleti folyamat végrehajtásához használt erőforrások összessége (műszaki, anyagi, információs); I = (I1, I2,..., Ian) - egy üzleti folyamatban megvalósított függvénykészlet; I = (2b 12,..., 1t) - az üzleti folyamat résztvevőinek és végrehajtóinak halmaza; O = (Ox, O2,..., O) - a folyamat határai és határfelületei.
Ebből a definícióból egyértelműen kitűnik, hogy az üzleti folyamatok jelentik az elsődleges adatforrást a vállalat információbiztonságának megszervezéséhez.
Először is meg kell határozni a védelem tárgyait, azaz. mit és milyen fenyegetésektől kell védeni. A védelem tárgyai természetesen magukban foglalják a vállalat információit, üzleti folyamatait és anyagi erőforrásait.
Az információbiztonsággal kapcsolatos munka ma nyilvánvaló kezdete a vállalati adatok osztályozása. Az osztályozás egy összetett folyamat, amely sok időt és pénzt igényel. A besorolás eredményessége érdekében folyamatosan karban kell tartani és frissíteni kell. Az osztályozás hasznossága abban rejlik, hogy lehetővé teszi az összes információ tárolási helyének azonosítását és a védendő információk azonosítását. Ez lehetővé teszi a bizalmas információk mennyiségének minimalizálását. A minősítés során olyan dokumentumokat azonosítanak, amelyek egykor titkosak voltak, de mára elvesztették relevanciájukat. Archiválhatók vagy véglegesen törölhetők.
Az információs eszközök (IA) mint védelmi objektumok megkövetelik az üzleti rendszerekben található információk integritásának, elérhetőségének és szükség esetén bizalmasságának megőrzését. A lehetséges fenyegetések elemzése kimutatta, hogy az információs infrastruktúrának rendelkeznie kell azzal a tulajdonsággal, hogy megvédje az üzleti folyamatokban használt információkat, pl. védelmet nyújtanak a kereskedelmi, védett vagy technológiai információk jogosulatlan (szándékos vagy véletlen) átvétele, módosítása, megsemmisülése vagy felhasználása ellen. Figyelembe véve az üzleti folyamat összetevőinek jelenlétét, valamint azok kapcsolatait, a potenciálisan veszélyes helyzetek közé tartozik: a szabálysértők (nem a folyamatok tulajdonosai és résztvevői) illetéktelen hozzáférése az automatizálási eszközökben tárolt és feldolgozott információkhoz megismertetés, torzítás vagy megsemmisítés céljából. . Ebben az esetben a belépési pontok lehetnek a folyamat interfészei, határai, valamint a folyamat funkcióinak (műveleteinek, eljárásainak) megvalósításához szükséges információk; információ elfogása, amikor azt kommunikációs csatornákon keresztül fogadják (továbbítják).
(hálózati) folyamatfunkciók, valamint adathordozók ellopása révén; információk véletlenszerű interferencia, technikai (szoftver) meghibásodása miatti megsemmisülése (megváltoztatása, torzulása) az információ továbbítása, tárolása és feldolgozása során; jogosulatlan befolyásolása a jogsértők üzleti folyamatára a tulajdonosok és (vagy) a folyamat résztvevői közül.
A témakör elemzése azt mutatta, hogy a vállalat üzleti folyamatainak kockázatait célszerű azonosítani azok életciklusának minden fő szakaszában: a tervezés, az újratervezés és az üzleti folyamatok felhasználásának szakaszában.
Kockázatok azonosítása az üzleti folyamatok tervezése és újratervezése során. Már a vállalat fő üzleti folyamatainak kezdeti leírása is kézzelfogható eredményeket hoz a működési hatékonyság növelésében és az esetleges veszteségeket (kockázatokat). Ezek mindenekelőtt a folyamattervezési hibákból adódó kockázatok: a hiányos hibák (a folyamatleírásban hiányosságok jelenléte); következetlenségi hibák (az információforrások nem megfelelő felhasználása a folyamat különböző részeiben, ami az információ torz észleléséhez vagy homályos utasításokhoz vezet); hierarchikus vagy „örökletes” inkompatibilitási hibák (a fő és az azt követő folyamatok közötti konfliktus jelenléte). Nyilvánvalóan más típusú hibákat is meg kell engedni.
A folyamatok leírásának módszertanában (vagy a „módszer - modell - jelölés - eszközök" paradigma) hibáiból a következő kockázatok sorozata merül fel: rendszerfunkciók megjelenítésekor; a funkciók ellátását biztosító folyamatok; a funkciók ellátását biztosító adatok és szervezeti struktúrák; anyag- és információáramlás a funkciók ellátása során.
Figyelembe kell venni továbbá a folyamattopológia inkonzisztenciáiból adódó kockázatokat, amelyek nem teszik lehetővé a folyamat legérthetőbb, akár a valós, akár az optimális állapotot tükröző lefolyását, figyelembe véve az előadók munkaterhét, a az erőforrások rendelkezésre állása vagy egyéb körülmények. A folyamattopológia hibáinak elemzése több iterációban is elvégezhető. Ennek eredményeként az elemzett folyamat drámaian megváltozhat. Például a korábban egymás után egymás után végrehajtott függvények párhuzamosan lesznek végrehajtva. Természetesen nem szabad torzítani a folyamat logikáját és az eredményt.
Kockázatok azonosítása az üzleti folyamatok használata során. A működési kockázat az üzleti folyamatok helytelen végrehajtásából, a belső ellenőrzési eljárások eredménytelenségéből, technológiai hibákból, a személyzet jogosulatlan tevékenységéből vagy külső behatásokból eredő közvetlen vagy közvetett veszteségek kockázataként definiálható. A működési kockázat kritikus fontosságú azoknál a folyamatoknál, amelyeket a szervezet egészének tevékenysége szempontjából jelentős jelentősége, az időegységenkénti tranzakciók nagy száma, valamint a komplex technikai támogatási rendszer jellemez. Az általában azonosított kockázati tényezők hasonlóak a belső működési környezet és az üzleti folyamatok állapotának mutatóihoz - a műveletek volumene, forgalom, a hibás cselekvések százalékos aránya. A működési kockázatkezelés átlátható és kezelhető üzleti folyamatok, a szakértői tudáson alapuló helyes szervezeti struktúra kiépítésével valósul meg.
Az üzleti folyamatok működési kockázatainak kiküszöbölésével kapcsolatos problémák megoldására a lean termelési rendszer használható - a Toyota termelési rendszere alapján létrehozott menedzsment koncepció. A lean célja a hulladék azonosítása, elemzése és megszüntetése a termelési folyamatokban. A lean koncepciónak megfelelően nyolcféle veszteség keletkezik az üzleti folyamatokban: a munkavállalókban rejlő potenciál kihasználásának elmulasztása; veszteség
túltermeléstől; szállítási veszteségek; hibákból, szükségtelen hulladékból és utómunkálatokból származó veszteségek; készletfenntartási veszteségek; a személyzet mozgásából és mozgásából eredő veszteségek; az állásidőből származó veszteségek; túlzott feldolgozás miatti veszteségek. A veszteség ebben az esetben olyan műveletnek minősül, amely időt és anyagi erőforrásokat pazarol anélkül, hogy a végfelhasználó számára hozzáadott értéket adna a termékhez vagy szolgáltatáshoz.
Így például meg kell védeni az üzleti folyamatokat végrehajtó személyzet jogellenes tevékenységét, a beszállítókra, az erőforrások mennyiségére és feltételeire gyakorolt jogosulatlan befolyásolást; az üzleti folyamatok végrehajtására vonatkozó előírások, beleértve a belső és külső interfészekre vonatkozó előírások; technológia az üzleti folyamatok végrehajtásához stb.
Az üzleti folyamatok leírása, modellezése, a megvalósítás utólagos nyomon követése és elemzése állandó és következetes tevékenység a működési kockázatok, így a veszteségek kiküszöbölésére.
Vállalata információbiztonsági folyamatait automatizálhatja a GRC (Governance, Risk Management and Compliance) osztályú rendszerekkel, amelyeket ma az információtechnológia és információbiztonság kezelésének egyik hatékony módjaként tartanak számon.
A GRC egy pillantást vet a dolgok kezelésére három szempontból: irányítás, kockázatkezelés és megfelelőség. A vállalat valamennyi részlegének tevékenységére vonatkozó információk feldolgozásának eredménye az üzleti szempontból megfogalmazott vizuális jelentések.2
Például az RSA Archer eGRC termék Enterprise Management modulja lehetővé teszi egy vállalat eszközeinek leltározását és osztályozását, egységes nyilvántartás létrehozását az egymással összefüggő eszközökről, beleértve az információs és technológiai eszközöket, az üzleti folyamatokat, az árukat és szolgáltatásokat, a részlegeket és az egyes üzleti egységeket, termelési létesítmények és berendezések, kapcsolatok a felelős vállalati alkalmazottakkal, partnerekkel és beszállítókkal. Minden eszköz esetében meghatározzák annak tulajdonosát és a vállalat értékét. A munka eredményei felhasználhatók további információbiztonsági kockázatértékelési eljárásokban. A SIEM- vagy DLP-sebezhetőség-kezelő rendszerekkel való integráció lehetővé teszi, hogy prioritást állítson fel a sérülékenységek orvoslására, és minden egyes eszköz esetében semlegesítse az incidenseket.3
Szinte lehetetlen azonban az összes GRC funkciót megvalósítani az üzleti folyamatok biztonságával összefüggésben egyetlen, akár jó informatikai megoldással is. Ennek a koncepciónak a problémáinak megoldásában segítséget nyújtó rendszernek olyan összetettnek kell lennie, mint maguknak a GRC feladatoknak.4 A GRC rendszerrel való integrációhoz célszerű a Business Process Management (BPM), Business" Performance Management ill. Üzleti intelligencia osztályok, az üzleti folyamatok automatizálására és menedzselésére Az üzleti folyamatok és a vállalat információbiztonságának fő alanyai közötti kapcsolat diagramja UML jelöléssel látható az 1. ábrán.
2 Jevgenyij Bezgodov Mi az OYAS, és hogyan lehet hasznos az információbiztonság szempontjából? [Elektronikus forrás] http://ru.deiteriy.com/what_is_grc_and_its_ ^аБИ-ityJnJnformation_security/.
3 OYAS – az információbiztonság-kezelési folyamatok optimalizálásának módja //Banking Review No. 9 (176) 2013. szeptember [elektronikus forrás] http://www.bosfera.ru/bo/put-k-optimizatsii-protsessov
4 Az SNF koncepciója az információbiztonsági piac fejlődésének következő szakaszává vált [Elektronikus forrás] http://www.cnews.ru/reviews/free/security2008/articles/grc.shtml.
Rizs. 1. Az üzleti folyamatok és az információ fő alanyai közötti kapcsolat
cégbiztonság
Az információbiztonsági rendszer keretein belül a vállalat üzleti folyamatai és a – elsősorban az üzleti folyamatokat fenyegető – környezet interakciója az alábbi ábrán látható (2. ábra).
Rizs. 2. Az üzleti folyamatok és a környezet kölcsönhatása, amely veszélyeket teremt
Főbb következtetések.
A vállalat állapotának átfogó diagnosztizálása az információbiztonsági menedzsment stratégia kidolgozásának első lépése, amelyet legjobban SWOT elemzéssel lehet elvégezni a javasolt feltételes kvantitatív értékeléssel.
Az elemzés kimutatta, hogy az üzleti folyamatok jelentik az elsődleges adatforrást a vállalat információbiztonságának megszervezéséhez.
Az üzleti folyamatok információbiztonságának biztosítását az adatosztályozás kialakításával kell kezdeni, amely lehetővé teszi a védendő információk azonosítását, a bizalmas információk mennyiségének minimalizálását, valamint minden olyan információ tárolási helyének azonosítását, amely felhasználható a vállalat üzleti folyamatainak optimalizálására. .
Az üzleti folyamatok lehetséges kockázatainak elemzése lehetővé tette a következő csoportok kialakítását: kockázatok a tervezés, újratervezés és az üzleti folyamatok felhasználása során.
A vállalat információbiztonsági folyamatait célszerű egy GRC (Governance, Risk Management and Compliance) osztályú rendszerrel automatizálni, amelyet integrálni kell az üzleti folyamatok automatizálására és menedzselésére tervezett Business Process Management, Business Performance Management vagy Business Intelligence osztályrendszerekkel.
BIBLIOGRÁFIAI LISTÁJA
1. Kamennova M.S., Gromov A.I., Ferapontov M.M., Shmataluk A.E. Üzleti modellezés. ARIS módszertan. - M.: Vest-MetaTechnology, 2001.
2. Saati T. Döntéshozatal. Hierarchia elemzési módszer. - M.: Rádió és kommunikáció, 1993.
3. Stelmashonok E.V. Információbiztonsági-üzleti folyamatok szervezése // Alkalmazott informatika. - 2006. - 2. sz. - P. 42-57.
4. Timokhin A. Hogyan lehet megtalálni az összes veszteséget: a lean módszertan alkalmazásának gyakorlata az NPO „ELSIB”-nél // „BOSS” No. 9, 2012.
5. Khanova A.A. A kiegyensúlyozott eredménymutató strukturális-funkcionális modellje vezetői döntések meghozatalakor // Bulletin of ASTU Ser.: Menedzsment, számítástechnika és számítástechnika. - 2012. - 1. sz. - P. 200-208.
Efimov Evgeniy Nikolaevich - Rosztovi Állami Gazdasági Egyetem (RINH); email: [e-mail védett]; 344002, Rostov-on-Don, B. Sadovaya, 69, szoba. 306 a; tel.: 89525721917; Információtechnológiai és Információbiztonsági Tanszék; Dan.; Egyetemi tanár.
Lapitskaya Galina Melkonovna - e-mail: [e-mail védett]; tel.: 89286050143; Információtechnológiai és Információbiztonsági Tanszék; Ph.D.; Egyetemi tanár.
Efimov Evgeniy Nikolayevich - Rosztovi Állami Gazdasági Egyetem; email: [e-mail védett]; 69, B. Sadovaya utca, 306 a szoba, Rostov-on-Don, 344002, Oroszország; telefon: +79525721917; az információs technológiák és információbiztonság osztálya; dr.ec. sc.; Egyetemi tanár
Lapickaya Galina Melkovna - e-mail: [e-mail védett]; telefon: +79286050143; az információs technológiák és információbiztonság osztálya; cand.ec. sc.; Egyetemi tanár
Üzleti biztonság olyan tevékenységek és intézkedések összessége, amelyek célja az üzleti tevékenységek átfogó védelme a különféle típusú (információs, jogi, fizikai, gazdasági és szervezeti és személyi) fenyegetésekkel szemben. A vállalkozás átfogó védelmével és a megtett intézkedésekkel kapcsolatos minden döntés meghozatalával a biztonsági szolgálatot, az illetékes osztályok vezetőit és a szervezet igazgatóját bízzák meg.
Az üzleti biztonsági problémák típusai és megoldásuk módjai
Bármilyen típusú üzletben mindig van hely a kockázatnak. Ugyanakkor a jó vezető nem várja meg a problémákat - időben megteszi az intézkedéseket, hogy megvédje magát az üzleti szféra legvalószínűbb problémáitól. Ezek tartalmazzák:
- vállalati gondok- a társaság részvényesei közötti viták és konfliktushelyzetek, a felsővezetők közötti konfliktusok vagy a társaság tulajdonosai és az osztályvezetők közötti kapcsolat bonyolultsága;
- külső veszélyek– bűnszervezetek fenyegetései, bűnüldöző szervekkel és kormányzati szervekkel való konfliktusok, portyázó támadások és így tovább;
- anyagi veszteségek– a személyzet (ügyfelek) csalárd tevékenysége, lopás, gátlástalan közvetítők vagy beszállítók, a vállalat erőforrásainak nem megfelelő felhasználása, kenőpénz felvétele bizonyos, a vállalat érdekeit sértő tevékenységekért;
- információs veszélyek– a társaság titkos információinak kiszivárogtatása (elrejtése vagy megsemmisítése), bizalmas adatokhoz való jogosulatlan hozzáférés, üzleti titkok nyilvánosságra hozatala stb.;
- biztonsági „rések”- anyagi és műszaki eszközök illetéktelen személy általi eltulajdonítása, illetéktelen belépés a cég területére, munkafegyelem megsértése;
- jó hírnévvel kapcsolatos problémák– rossz hírű munkavállalók jelenléte a struktúrában, együttműködés rossz hírű emberekkel (partnerekkel).
Az összes felsorolt üzleti probléma megoldásához a következő típusú védelem szükséges:
- fizikai– biztonsági rendszerek, biztonsági, térfigyelő kamerák és így tovább;
- gazdasági– partner ellenőrzése, ügyfélbank védelme, adóoptimalizálás;
- szervezeti és személyi– új személyzet ellenőrzése, meglévő alkalmazottak ellenőrzése;
- tájékoztató jellegű– behatolás elleni védelem, fájlok és dokumentumok védelme, 1C optimalizálása és védelme, egységes hitelesítés, információszivárgás elleni védelem stb.;
- jogi– lezárt ügyletek vizsgálata, bizonylattervezetek ellenőrzése, előfizetői szolgáltatások stb.
üzleti
A statisztikák szerint az összes üzleti problémának több mint fele az információbiztonsági „hézagokból” adódik. Információk kiszivárogtatása a versenytársak felé, adatvesztés, titkos céginformációk rossz kezekbe kerülése – mindez nagy kockázattal jár az üzletre nézve. Ilyen helyzetben a vállalat informatikai vezetői számos hatékony intézkedést tesznek a vállalat átfogó védelmének biztosítása érdekében. 
Az első helyen a pénzügyi adatok védelme áll, a második helyen a szivárgások elleni védelem, a harmadik helyen pedig a DDoS támadások elleni védelem áll. És ha az első két pont már régóta az első háromban van, akkor a támadásokkal kapcsolatos probléma csak nemrég jelent meg. Az érdeklődés oka a kis- és középvállalatok elleni DDoS támadások megnövekedett száma.
Az orosz vállalatok által a biztonság területén meghozott fő intézkedések közé tartozik a kártevők elleni védelem, a frissítéskezelés, az alkalmazások vezérlése, a hálózati struktúra, a pénzügyi átutalások védelmére szolgáló megoldások, a külső eszközök használatának figyelése, a mobiltelefonok védelme stb. 
Az üzleti információ védelmének fő módszerei a következők:
1. Behatolásvédelem– a hálózati forgalom szabályozásához szükséges programok vagy berendezések telepítése. Az első veszély (behatolás) megjelenésekor a rendszer reagál és blokkolja a hozzáférést. Ezzel egyidejűleg a felelős alkalmazottat értesítik.
A védelmi rendszer kétféleképpen valósul meg:
- IPS rendszer. Feladata minden gyanút keltő hálózati tevékenység blokkolása és az „extra” forgalom hatékony kiszűrése. A rendszer előnye, hogy nemcsak észleli, hanem megakadályozza is a behatolást. Hátránya a hamis pozitív eredmények magas százaléka, ami az alkalmazottak figyelmét folyamatosan elvonja a munkától és a tétlen számítógépes hálózatokról az ellenőrzés során;
- IDS rendszer– figyeli az aktuális kóros tevékenységet, és ha ez bekövetkezik, jelzést ad az adminisztrátornak. Pozitív tulajdonságok - hatékony behatolás elleni küzdelem, döntési jogok átadása az adminisztrátornak. Hátránya, hogy a felelős alkalmazottnak nem biztos, hogy lesz ideje intézkedni, és helyrehozhatatlan károk keletkeznek a rendszerben.
Egy ideális behatolásvédelmi rendszer így néz ki:
2. Szivárgás elleni védelem– olyan intézkedések összessége, amelyek megakadályozzák, hogy bizalmas információk illetéktelen kezekbe kerüljenek. A szivárgás kétféleképpen történhet:
Rosszindulatú lopás útján (kémkedés, portyázók, bennfentesek);
- a személyzet felügyelete miatt (adathordozó elvesztése, jelszó levélben történő elküldése, vírusos oldal felkeresése, az adatokhoz való hozzáférési jogok átruházásáért felelős személyek hiánya stb.).
Rosszindulatú lopás esetén a védekezési módok a következők: hozzáférési rendszer korlátozása, térfigyelő kamerák telepítése, adatmegsemmisítő eszközök telepítése a szerverekre, információk titkosítása, adatok tárolása külföldi szervereken.
A személyi hibák elleni védekezés érdekében az alábbi módszerek tekinthetők hatékonynak: a bizalmas információkhoz való hozzáférési jogok minimalizálása, a munkavállalók egyéni felelőssége, biztonságos csatornák használata, a munkavállalók számára a fontos dokumentumokkal való munkavégzésre vonatkozó szabályozás kialakítása, valamint az átadott adathordozók felelősségének bevezetése. alkalmazottak.
Emellett a véletlen hibák elleni védelem érdekében fontos a rendszerezés: telefonbeszélgetések rögzítése, forgalom és alkalmazottak PC-n végzett munkájának figyelése, USB kártyák titkosítása, RMS használata, DLP rendszerek megvalósítása stb.
3. Fájlvédelem magában foglalja a vállalaton belüli számítógépeken és szervereken tárolt összes legfontosabb információ biztonságát. Ennek végrehajtása a következőképpen történik:
- fájlrendszerek (adatok) titkosítása– EFS, Qnap, CryptoPro és így tovább rendszerek használata;
- laptopok (netbookok) titkosítása, adathordozók, mobileszközök - szoftvermegoldások (Kasperskiy, SecretDisk, Endpoint Encryption) vagy titkosítási modulok a Sony, Asus és más cégektől;
Mielőtt arról beszélnék, milyen információbiztonsági kockázatok várhatnak Önre a munkahelyén, bemutatkoznék: a nevem Kamila Iosipova. Az ICL Services IT cég vezető információbiztonsági menedzsere vagyok, és 5 éve dolgozom ebben a szervezetben. Emellett CISA Certified Information Systems Auditor vagyok (az ISACA tanúsítvány a Certified Information Systems Auditor rövidítése).
2018-ban 5%-kal nőtt a cégeknél kiszivárogtatott adatmennyiség. Az emberi tényező az információbiztonsági incidensek egyik fő oka. Gondatlanság, figyelmetlenség, indíték, szándékosság – ezek az okok, amelyek miatt cége alkalmazottai akarva-akaratlanul is a mélypontra tudják juttatni az üzletet. Az alábbiakban elmondom, hogyan védheti meg magát és ügyfeleit, mit kell tennie az adatokkal való munkavégzés kultúrájának kialakítása érdekében az alkalmazottak körében, és milyen módszereket kell alkalmazni.
Terv az információbiztonság területén végzett munka megalapozására
Ha globálisan nézzük, akkor látható, hogy az információbiztonság területén egy bizonyos minta nyomon követhető: az információbiztonságra való odafigyelés nagymértékben függ a vállalat tevékenységétől. Például a kormányzati szerveknél vagy a bankszektorban szigorúbb követelmények vannak érvényben, ezért nagyobb figyelmet fordítanak az alkalmazottak képzésére, így fejlettebb az adatokkal való munkavégzés kultúrája. Ma azonban mindenkinek oda kell figyelnie erre a problémára.
Íme tehát néhány gyakorlati lépés, amelyek segítenek az információbiztonsági munkában:
1 lépés. Olyan általános információbiztonsági politikát dolgozzon ki és valósítson meg, amely tartalmazza a vállalati munka alapelveit, céljait és célkitűzéseit az információbiztonság menedzsment területén.
2. lépés. Adja meg az osztályozási irányelveket és az adatvédelmi szinteket.
Ebben az esetben nem csak egy dokumentumot kell írni, amelyhez a munkavállaló a nap 24 órájában hozzáférhet, hanem különféle képzési eseményeket is kell tartani, és beszélni kell a változásokról. Kövesse a szabályt: az előre figyelmeztetett az előfegyverzett. Hagyja, hogy a cég folytonos munkát végezzen ebben az irányban.
3. lépés. Proaktív megközelítés kialakítása.
Ez olyan, mint a megelőzés az orvostudományban. Egyetértek, sokkal olcsóbb és könnyebb megelőző vizsgálatot végezni, mint egy előrehaladott betegséget kezelni. Cégünknél például a proaktív megközelítés így működik: a kereskedelmi projektekben való információkezeléshez kidolgoztunk egy információbiztonsági menedzsment szabványt projektekben, amely tartalmazza a szükséges minimális információbiztonsági követelményeket az információk bizonyos szintű érettségének biztosításához. biztonsági folyamatok egy kereskedelmi projektben. Leírja, hogy mit kell tenni a biztonságkezelési folyamat bizonyos szintű érettségének fenntartásához. Ezt a szabványt bevezettük a projektekbe, és mostantól évente belső auditokat végzünk: ellenőrizzük, hogy a projektek megfelelnek-e ezeknek a követelményeknek, azonosítjuk az információbiztonsági kockázatokat és a legjobb gyakorlatokat, amelyek segíthetnek más projektmenedzsereknek.
Az auditokon kívül jól működik a Tudásmegosztás. Ha valamelyik projektben „mennydörgés” támadt, jó, ha a többiek is tudnak róla, és van idejük megtenni a szükséges intézkedéseket.
4. lépés. A szabályokat magyarázó összes dokumentum legyen strukturált, érthető és tömör.
A gyakorlat azt mutatja, hogy senki sem olvas hosszú, többoldalas szövegeket. A dokumentumot érthető nyelven kell megírni. Ezenkívül összhangban kell lennie az üzleti célokkal, és a felső vezetésnek jóvá kell hagynia – ez erősebb érv lesz az alkalmazottak számára, hogy miért kell ezeket a szabályokat betartani.
5. lépés. Tartson tréningeket, beszélgetéseket, üzleti játékokat és hasonlókat.
Nagyon gyakran az emberek nem értik, hogy bizonyos szabályok hogyan kapcsolódnak konkrét munkájukhoz, ezért példákat kell hoznia, el kell magyaráznia, meg kell mutatnia, hogyan tudják alkalmazni. Itt fontos bemutatni, hogy milyen következményekkel jár az üzletvesztésig, és milyen konkrét következmények várnak a munkavállalóra, egészen a büntetőjogi felelősségig.
A fentiek megvalósításához egy cégben erőforrásokra van szükség, anyagi és emberi erőforrásokra egyaránt. Ezért mára sok cégnél kezdett megjelenni a Chief Information Security Officer (CISO) poszt. Ennek a pozíciónak köszönhetően közvetíteni lehet a cégvezetők számára a döntések elősegítésének fontosságát, a források elosztását stb. A CISO minden szinten képes előmozdítani az információbiztonságot a vállalatnál.
Az általa vállalt feladatok széleskörűek: kommunikáció a felső vezetéssel, egyes döntések indoklása, kommunikáció a folyamattulajdonosokkal a biztonság megvalósítása érdekében minden területen. A kiberfenyegetések szemszögéből ő a kapcsolattartási pont, ahol irányít, stratégiákat határoz meg a kiberfenyegetésekre való reagáláshoz, és koordinálja a támadásokra adott választ.
Munkavállalói képzés: nehéz, időigényes, de szükséges
Mielőtt azonban bizonyos szabályokat megtanítasz az embereknek, egy dolgot meg kell értened: nem lehet megállni az emberi tényezőnél, valami más állhat mögötte - forráshiány, tudás vagy technológia. A leghatékonyabb módszer itt a valódi okok elemzése, a kiváltó ok elérése.
Amikor emberekkel dolgozik, szó szerint mindenkinek meg kell találnia a kulcsot. Minden ember más, ezért különböző módszereket kell alkalmazni. Az egyik alkalmazottal készült interjún a szakember azt mondta: csak akkor fogok tenni valamit, ha tudom, mit kapok, ha nem teszem eleget a követelménynek. És fordítva, egyesekre csak a pozitív motiváció hat, mint például a munka minőségének jó értékelése, a képzés sikeres elvégzésére való ösztönzés.
Egyes vélemények szerint az információbiztonsági szakemberek gyakran fékezik az innovációt, különösen akkor, ha korlátozzák az új technológiák és üzleti modellek alkalmazását. Ez valóban így is lehet, azonban fontos észben tartani a következőket: „A biztonság olyan, mint a fékek az autón. Feladatuk, hogy lelassítsák. De az a céljuk, hogy gyorsan haladj. Dr. Gary Hinson" ("A biztonság olyan, mint a fékek az autón. Az a funkciójuk, hogy lelassítsák. De a céljuk az, hogy lehetővé tegyék a gyors haladást.") Fontos megérteni, hogy e szabályok nélkül lehetetlen előrelépni, mert egy bizonyos ponton egyszerűen nem lesz képes fejleszteni vállalkozását, ha nem védi meg magát a kiberfenyegetésektől és nem kezeli az információbiztonsági kockázatokat. Az egyensúly megteremtése érdekében cégünk kockázatalapú megközelítést alkalmaz, amely az ISO 27001 szabvány alapját képezi. Ez a megközelítés lehetővé teszi számunkra, hogy kiválasszuk a ránk vonatkozó követelményeket és azokat a biztonsági intézkedéseket, amelyek szükségesek ahhoz, hogy megvédjük magunkat a veszélyekkel szemben. amelyek relevánsak számunkra. Ezzel a megközelítéssel pénzügyi szempontból is választhatunk: mennyire célszerű bizonyos intézkedéseket alkalmazni. Például minden tárgyalóterembe telepíthetünk biometrikus szkennert, de mennyire van rá szükségünk, milyen értéket hoz, milyen kockázatokat csökkent? A válasz nem mindig egyértelmű.
Mi, az ICL Servicesnél tisztában vagyunk azzal, hogy fontos számunkra azoknak az információknak a bizalmas kezelése, amelyekkel dolgozunk, ehhez titkosítjuk a laptopokat, mert a laptop elvesztése esetén sem kerül behatolók kezébe az információ. Ez kritikus, és készek vagyunk erre pénzt költeni.
Meggyőződésem, hogy csak így lehet egyensúlyt teremteni a biztonság és az üzleti érték között: válasszon, tartson lépést az innovációval, és mindig mérje fel a kockázatokat (hogyan viszonyul a kockázat megvalósításának költsége egy adott biztonsági megoldás megvásárlásának költségeihez).
Az integrált megközelítés az ideális információbiztonsági recept
Véleményem szerint a biztonsággal való munka integrált megközelítése a leghatékonyabb, mert az információbiztonság az emberi tudatosság, magatartás és az üzleti folyamatok helyes megszervezése, a biztonsági követelmények figyelembe vétele. Az incidensek leggyakrabban az alkalmazottak miatt történnek: az emberek hibáznak, elfáradnak, rossz gombot nyomnak meg, így itt a siker felét technikai korlátok jelentik, véletlenszerű véletlen eseményekből, a másik fele az egyes dolgozók biztonsági kultúrája.
Ezért fontos a megelőző beszélgetések, tréningek lebonyolítása. A mai világban a kiberfenyegetések az embereket célozzák: ha adathalász e-mailt kapunk, az mindaddig ártalmatlan, amíg a linkhez nem nyúl, és rá nem kattint. Cégünknél hangsúlyt kap a munkatársak tudatossága, az emberekkel való munka, a tudatosság. Nos, a harmadik pont szervezési, az embereknek ismerniük kell a szabályokat, le kell írni a szabályokat, kell egy bizonyos szabályzat, amit mindenkinek be kell tartania.
Ne feledje: a kiberfenyegetések nagyon gyakoriak a világon, és a támadások következményei nagyon súlyosak - akár teljes üzletvesztésig, csődig. A kérdés természetesen napirenden van. A biztonság korunkban egyszerűen a vállalati kultúra része kell, hogy legyen, és ebben a kérdésben a felső vezetés az első érdekelt fél, hiszen ő irányítja az üzletet, és a kockázatok realizálása esetén lesz elsősorban felelős.
Íme néhány tipp, amelyek segítségével munkatársai elkerülhetik az információbiztonsági incidenseket:
- Nem követheti a nem ellenőrzött linkeket;
- Bizalmas információ nem terjeszthető;
- Nem írhatja fel a jelszót egy papírra, és nem ragaszthat rá matricát;
- Ne használjon olyan USB-meghajtókat, amelyekben nem biztos (a támadó olyan helyen hagyhatja a fertőzött fizikai eszközt, ahol az áldozat biztosan megtalálja azt);
- Az oldalakon való regisztráció során, telefonszám és postacím megadásával alaposan nézze meg, miért van szükség erre az információra, talán így feliratkozik egy fizetős hírlevélre.
Remélem, hogy idővel a biztonság minden vállalatnál a vállalati kultúra kulcselemévé válik.
A karon sajátíthatja el az információbiztonság területén való munkavégzés készségeit.
Küldje el a jó munkát a tudásbázis egyszerű. Használja az alábbi űrlapot
Diákok, végzős hallgatók, fiatal tudósok, akik a tudásbázist tanulmányaikban és munkájukban használják, nagyon hálásak lesznek Önnek.
Információbiztonság az üzleti életben
Bevezetés
Adatok, amelyeket védeni kell
Kitől kell megvédeni az információkat?
Adat védelem
Következtetés
Irodalom
Bevezetés
Ma a biztonság problémája az egyik legégetőbb probléma az üzleti életben. A biztonság azonban gyakran csak a személyzet és az anyagi javak fizikai védelmét jelenti. De így csak a bűnözésnek lehet ellenállni. Mindeközben a piaci kapcsolatok megkötésekor minden szervezet olyan intenzív versennyel szembesül, amely bármely civilizált piacon létezik. Ez a küzdelem pedig számos veszéllyel jár a vállalkozásra nézve. Ha egy vállalat sikereket ért el üzleti tevékenységében, kétségtelen, hogy jelentős érdeklődést vált ki a versengő vállalatok körében. A cég munkájával kapcsolatos minden információ fokozott figyelmet vonz tőlük. Ezért az információvédelem a modern üzleti biztonsági rendszer kritikus részévé válik.
"Aki birtokolja az információkat, az birtokolja a világot." Ez az igazság különösen a 21. század küszöbén válik aktuálissá, amikor a posztindusztriális korszakot felváltja az információs korszak. Az új évszázadban az üzleti információbiztonság kérdése még hangsúlyosabbá válik.
Ennek a munkának az a célja, hogy megvizsgálja az üzleti információbiztonság lényegét.
E célnak megfelelően a következő feladatokat tűzték ki:
Határozza meg a védendő információ típusait és forrásait;
Azonosítsa azokat az objektumokat, amelyekre valaki más információi érdekesek;
Ismertesse meg az információbiztonsági módszereket.
Adatok, amelyeket védeni kell
Az információbiztonság problémájának megértése érdekében három kérdésre válaszolunk:
Milyen információkat kell megvédenünk?
Kitől és mitől kell megvédenünk?
Hogyan kell megvédenünk az információkat?
Milyen információkat kell tehát megvédenünk? Információbiztonsági rendszerünk hatékonysága elsősorban attól függ, hogy mennyire helyesen adjuk meg a választ erre a kérdésre. Először is meg kell védeni az információkat: Gorokhov P.K. - M.: Rádió és kommunikáció, 2005.
A vállalat versenyelőnyeiről
Munkájának technológiáiról
A cég pénz- és anyagáramlásának mozgásáról
A cég stratégiai terveiről
Az új termékekről.
A cég tevékenységének jellegétől függően az információvédelmi objektumok listája bővíthető. Tehát a legtöbb vállalat számára célszerű az információkat titokban tartani a versenytársak elől: Gorokhov P.K. - M.: Rádió és kommunikáció, .2005
Az ügyfelekről,
A cég személyzetéről.
Fontos megérteni, hogy a vállalkozásnak nem szabad az összes birtokában lévő információt védenie, hanem csak azokat az információkat, amelyek harmadik fél általi felhasználása károsíthatja a vállalat tevékenységét. Éppen ellenkezőleg, vannak olyan információk is, amelyeket a vállalatnak egyszerűen nyilvánosságra kell hoznia. Tehát nincs értelme védeni az árainkra vonatkozó információkat a versenytársaktól. A termékek, nyersanyagok és anyagok vásárlására vonatkozó árakkal és feltételekkel kapcsolatos információkat azonban titokban kell tartani a versenytársak előtt. A vállalat túlzott titkolózása negatív hozzáállást válthat ki a potenciális partnerek, ügyfelek és befektetők részéről. Ez különösen igaz azokra a cégekre, amelyek értékpapírjaik kihelyezését tervezik. Ennek elkerülése érdekében a cégnek kezdetben meg kell határoznia, hogy milyen információkat, milyen mennyiségben és milyen gyakorisággal közöljön. Ebben az esetben összpontosíthat az információközlés nyugati szabványaira. A Szövetségi Értékpapírpiaci Bizottság ugyanazokat a szabványokat állapította meg az értékpapírokat kínáló társaságokra. A közzétételhez szükséges információk a következők: Modern üzlet: Etika, kultúra, biztonság. - M.: GPNTB, 2007.
Éves pénzügyi kimutatások (mérleg, eredménykimutatás, cash flow kimutatás)
Részvényes információk
Az alaptőkével kapcsolatos jelentős tranzakciók adatai.
A nyilvánosságra hozatalra nem kötelezett információkat a szervezetnek a titkosság foka szerint kell besorolnia, és kategóriánként információbiztonsági szabványokat kell kidolgoznia.
Kitől kell megvédeni az információkat?
Egy vállalkozás tevékenysége során a környezetét alkotó különféle szervezetekkel találkozik. Ez: Rastorguev S.P. Információs háború. - M.: Rádió és Hírközlés, 2007. versengő cégek, ügyfelek, partnerek, adóhatóságok, szabályozó hatóságok.
Ahogy fentebb megjegyeztük, a versenytársak különös érdeklődést mutatnak a különféle típusú információk iránt. És éppen az ő tetteik jelentik a legnagyobb veszélyt a cégre. Hiszen egy vállalat piaci részesedése mindig ízletes falat a versenytársak számára, és a különféle információk kiszivárgásából eredő károk, például a forgalomba hozatalra készülő termék tulajdonságairól, helyrehozhatatlannak bizonyulhatnak. .
Ami a partnereket illeti, az Ön cégével kapcsolatos információk iránti érdeklődésüket elsősorban saját biztonsági megfontolások okozhatják. Ezért meg kell teremteni a legkedvezőbb feltételeket ahhoz, hogy olyan információkat kapjanak a cégről, amelyek nem haladják meg a gyümölcsöző együttműködéshez szükséges mértéket. Itt egyértelműen meg kell határozni, hogy milyen információról van szó, hogy időben és teljes körűen rendelkezésre álljon, és korlátozzuk az egyéb információkhoz való hozzáférést.
Az információk, amelyeket az ügyfelek szeretnének megkapni, nagyon specifikus jellegűek. Ezek a következők: Információs társadalom: Információs háborúk. Információ menedzsment. Információbiztonság / Szerk. M. A. Vusa. - M.: Szentpétervári Könyvkiadó. Egyetem, 2006. általános információk a cégről és az általa kínált termékekről, adatok a cég megbízhatóságáról, információk az árakról.
Az ügyfelek számára fontos annak biztosítása, hogy ezek az információk a lehető legjobban hozzáférhetőek legyenek. Az információvédelemről szólva meg kell érteni, hogy a „piszkos ágynemű nyilvános mosása” nem kívánatos. Ugyanez vonatkozik azonban a partnerekkel való kapcsolatokra is. Ezért különösen fontos egyértelműen meghatározni, hogy mely belső információk nem hozhatók nyilvánosságra.
A cég kapcsolata az adó- és szabályozó hatóságokkal sajátos. Ezeknek a hatóságoknak megvannak a saját egyedi követelményei a számukra nyújtott információval kapcsolatban. A velük való kapcsolattartásban fontos, hogy maradéktalanul betartsák követelményeiket, időben és a szükséges mennyiségben, de ezt a mennyiséget meg nem haladva adják a tájékoztatást. Ebben az esetben a rendelkezésre bocsátott információ hiánya és túlzása is a legnemkívánatosabb következményekhez vezethet.
A következő fontos kérdés annak megértése, hogy milyen információkat kell védeni. A szervezet titkát képező információkkal végrehajtható nemkívánatos tevékenységek a következők: Információs társadalom: Információs háborúk. Információ menedzsment. Információbiztonság / Szerk. M. A. Vusa. - M.: Szentpétervári Könyvkiadó. Egyetem, 2006. fontos információk megsemmisítése, nyílt információk elferdítése, minősített információk elsajátítása, bizalmas elektronikus információk másolása, a cég számára szükséges információkhoz való hozzáférés lezárása, korlátozása, korlátozott hozzáférésű információkhoz való jogosulatlan hozzáférés.
Az információvédelmi intézkedések megfontolása előtt térjünk ki arra, hogy milyen eszközökkel és módszerekkel szerezhetjük meg a szükséges információkat a cégről. A gazdasági hírszerzés vagy ipari kémkedés eszközeinek és módszereinek két nagy csoportja van: Információbiztonság: Tankönyv. bölcsészettudományi egyetemek számára. és társadalmi-gazdasági. szakterületek. - M.: Nemzetközi. kapcsolatok: Krónikás, 2007.
Információgyűjtés módszerei speciális berendezésekkel
A töredékes információgyűjtés módszerei.
A speciális berendezések használatával összefüggő ipari kémkedés a következőket tartalmazza: Információbiztonság: Tankönyv. bölcsészettudományi egyetemek számára. és társadalmi-gazdasági. szakterületek. - M.: Nemzetközi. kapcsolatok: Krónikás, 2007.
Telefonlehallgatás
Szobák hallgatása
Televíziós megfigyelés
Behatolás számítógépes hálózatba
Információk olvasása a monitorokról.
Mindezek a módszerek nagyon munkaigényesek és drágák, és csak a nagy versenytársak és a rendvédelmi szervek használhatják. Az ilyen műveleteket csak szakember végezheti el, ami különösen veszélyessé teszi.
A töredékes információgyűjtés módszerei a következők: Információbiztonság: Tankönyv. bölcsészettudományi egyetemek számára. és társadalmi-gazdasági. szakterületek. - M.: Nemzetközi. kapcsolatok: Krónikás, 2007.
Telefonos intelligencia. Egy cégről sok információ szerezhető be telefonon, valamilyen elfogadható ürüggyel felhívva, például üzleti kapcsolatfelvétel vagy statisztikai felmérés céljából. Ha a vállalat alkalmazottai nincsenek kellően tisztában azzal, hogy mely információkat nem szabad nyilvánosságra hozni, akkor fennáll annak a veszélye, hogy ezek ismerete nélkül kiszivárogtatnak fontos információkat.
Hamis tárgyalások. Ezzel a nagyon elterjedt módszerrel versenytársai például úgy mutatkozhatnak be, mint potenciális ügyfelei vagy partnerei, és az előzetes tárgyalások során sok őket érdeklő információhoz jutnak, ha Ön nem veti alá előzetes ellenőrzésnek, és túl nyitott feléjük. A különféle kiállítások különösen termékeny talajt jelentenek az ilyen jellegű információk megszerzésére.
Orvvadász alkalmazottak. Ha egy konkurens cég szakembereit munkára hívja, időnként sokat tanulhat a tevékenységéről. Ha valaki tisztességes okokból nem is árul el olyan információkat, amelyek korábbi munkahelyén titkosak voltak, tudása, szokásai, magatartása alapján számos következtetés vonható le egy versengő cég munkájáról. Egyes cégek az alkalmazottak „hamis orvvadászatát” is gyakorolják, magas fizetésekkel csábítva őket. Számos interjún és interjún keresztül sok mindent megtudhatnak a cégéről, de soha nem kap új állást.
Saját alkalmazottak bemutatása a versenytárs stábjába. Az ipari kémkedésnek ez a módszere a legveszélyesebb, mivel ha saját személyét bevezeti valaki más csapatába, minden olyan információt megtudhat a cégről, amely ennek az alkalmazottnak a hatáskörébe tartozik. És ha a vállalat nem tesz intézkedéseket a belső információkhoz való hozzáférés korlátozására, akkor egy átlagos alkalmazott szinte mindent tudhat a vállalatról.
Így elérkeztünk az üzleti információbiztonság biztosításának legfontosabb kérdéséhez - hogyan védjük meg az információkat?
Adat védelem
Az üzleti információbiztonság biztosítása általában két fontos probléma megoldásán múlik: Stepanov E. A., Korneev I. K. Információbiztonság és információvédelem. - M.: INFRA-M, 2008.
Az információk integritásának és biztonságának biztosítása.
Az információk védelme a jogosulatlan hozzáférés ellen.
Fontolja meg az információk integritását és biztonságát biztosító intézkedéseket. Általában a következőket használják információk tárolására:
Papírhordozó
Elektronikus média.
A dokumentumokat általában papíron tárolják. A dokumentumok példányszáma korlátozott, esetenként egy példányban is létezhetnek. Akkor elvesztésük lehetetlenné teszi a felépülést. Ennek elkerülése érdekében minden dokumentumot szigorúan kell nyilvántartani, megfelelő körülmények között tárolni és hozzáférés-ellenőrzést biztosítani. Ahol lehetséges, az információk másolatait speciálisan felszerelt helyen kell tárolni és tárolni. Fontos, hogy az eredetiket és a másolatokat külön helyiségben tárolják. Ezen túlmenően, lehetőség szerint célszerű másolatokkal dolgozni, és az eredetiket titkos tárolókban tárolni. Ez különösen fontos lehet váratlan körülmények, például tűz vagy lopás esetén.
Jelenleg egyértelmű tendencia figyelhető meg az elektronikus média használatának bővülése felé. Sok cégnél az összes dokumentumáramlást elektronikusan bonyolítják le. A cégek információs szerkezetének szerves részét képezik a különféle elektronikus adatbázisok. A hang- és képinformációkat elektronikus adathordozókon is tárolják. Az elmúlt években még a fizetés is elektronikusan történik. Ugyanakkor az elektronikus információ a leginkább sebezhető a megsemmisüléssel és sérüléssel szemben. Az a tény, hogy az elektronikus adathordozók nem túl tartósak, és a berendezések nem megfelelő kezelése az információk véletlen megsemmisüléséhez vezethet. További komoly veszélyt jelentenek a számítógépes vírusok, amelyek az utóbbi időben rendkívül elterjedtek. Általában az elektronikus információk sérüléstől és megsemmisüléstől való védelmére szolgáló intézkedéseket alkalmazzák: Stepanov E. A., Korneev I. K. Információbiztonság és információvédelem. - M.: INFRA-M, 2008.
Biztonsági mentési információk. Naponta elvégzik, és lehetővé teszi az információk legfeljebb egy napos mélységig történő visszaállítását. A napi másolatokat általában a számítógépes hálózattól elkülönítve tárolják.
A tartalék szerverek elérhetősége a helyi hálózaton. Lehetővé teszi a munka folytatását, ha a fő szerver meghibásodik.
Szünetmentes tápegységek használata. Lehetővé teszi, hogy megvédje cége számítógépes hálózatát az elektromos hálózat problémáival kapcsolatos információvesztéstől.
Információs archívumok létrehozása. Az összes legfontosabb információt archiválják, cserélhető adathordozóra rögzítik, és egy speciálisan felszerelt helyiségben tárolják. Ezenkívül a megbízhatóság növelése érdekében több másolatot kell készíteni és egymástól függetlenül tárolni. A média kiválasztásakor különös figyelmet kell fordítani annak megbízhatóságára és tartósságára.
Vírusvédelem. A számítógépes hálózat vírustámadásokkal szembeni hatékony védelme érdekében minden kívülről érkező fájlt ellenőriznie kell. Ehhez javasolt a helyi hálózati munkaállomásokon leválasztani a lemezmeghajtókat, és minden külső fájlt csak a hálózati adminisztrátoron keresztül írni megfelelő víruskereső vizsgálat után. Javasoljuk, hogy a hajlékonylemezek használatát megtiltsa a szervezetben. A legnagyobb vírusveszélyt az internet használata jelenti. Szükséges egy vírusvédelmi rendszer kiépítése, hogy az interneten keresztül érkező összes fájlt használat előtt átvizsgálják. A biztonsági mentés előtt napi karbantartási ellenőrzést is el kell végeznie.
Hozzáférési korlátozás. A szükséges információk vagy szoftverek véletlen károsodásának vagy törlésének elkerülése érdekében korlátoznia kell minden felhasználó hozzáférését a vállalat helyi hálózatához, csak a számukra szükséges információkra. Azokban az esetekben, amikor az információkat magától a felhasználótól kell védeni, csak olvasási hozzáférést kell használni.
Most nézzük meg azokat az intézkedéseket, amelyek megvédik az információkat az illetéktelen hozzáféréstől.
Az információszivárgás elleni küzdelem legfontosabb módja a személyzettel való együttműködés. A legfontosabb szakasz a személyzet kiválasztása. Vállalat felvételekor nem csak a jelöltek üzleti és szakmai tulajdonságaira kell figyelni, hanem mindenekelőtt emberi tulajdonságaikra - tisztességre, őszinteségre, hűségre. A felvételt követően időről időre szükség van az alkalmazottak tevékenységének titkos ellenőrzésére az esetleges információszivárgás megelőzése érdekében. Az is szükséges, hogy a vezetés mindig tisztában legyen beosztottaik problémáival, hogy elkerülje azokat a helyzeteket, amikor a kiegészítő jövedelem keresése vagy a túlzott ambíció arra készteti az embert, hogy eladja a vállalkozás titkait.
Mindezek az intézkedések azonban nem hoznak eredményt, ha a vállalkozás nem alakít ki egyértelmű rendszert az információhoz való hozzáférés elhatárolására. A vállalatnál fennálló hierarchiától függően minden alkalmazottnak szigorúan meghatározott mennyiségű információhoz kell hozzáférnie. Ezen túlmenően szükség van a védett információkra és az üzleti titokra vonatkozó belső szabályozásra, és egyértelműen meg kell határozni az egyes dokumentumok titkosságának mértékét.
Az információk nem kívánt hozzáféréssel szembeni védelmének leghatékonyabb módja az információ töredezettsége. Ez az elv az, hogy minden alkalmazott csak a munkaterületére vonatkozó információkkal rendelkezzen. Így minden információ megoszlik az alkalmazottak között, és egyetlen titkos információ sem lehet teljesen hozzáférhető egy személy számára. Ebből kifolyólag sem tudatosan, sem öntudatlanul nem fogja tudni átadni az egész titkot senkinek.
Az ipari kémkedés elleni védekezéshez technikai eszközökkel speciális eszközöket kell alkalmazni. Jelenleg minden „hiba”-hoz tartozik „hibaellenes”. Fontos a megfelelő ellenőrzések rendszeres elvégzése és a sebezhetőségek folyamatos figyelemmel kísérése. Jelentősen csökkentheti annak lehetőségét, hogy a kémkedés technikai eszközeit alkalmazzák Ön ellen, ha jól működő beléptető rendszerrel rendelkezik a telephelyére. Az alkalmazottak és a vendégek vállalaton belüli mozgásának nyomon követése, valamint a belső és külső televíziós megfigyelés nem védi meg Önt teljes mértékben, de bizonyos esetekben segít azonosítani és megelőzni az Ön ellen irányuló fellépéseket. És természetesen az illetéktelen hozzáférés elleni védelem fő tárgya az elektronikus információ. Védelmének fő módszerei: Stepanov E. A., Korneev I. K. Információbiztonság és információvédelem. - M.: INFRA-M, 2008.
Hozzáférés-szabályozás. Mint fentebb megjegyeztük, minden alkalmazottnak csak a munkaköri feladatai ellátásához szükséges információkkal kell dolgoznia a helyi hálózaton. Ez különösen igaz azokra a szervezetekre, amelyek nagy integrált automatizált rendszereket használnak. A hozzáférés megosztásának elhanyagolása vagy helytelen alkalmazása oda vezethet, hogy a hétköznapi alkalmazottak szinte minden információval rendelkeznek a vállalat tevékenységéről. Szükséges továbbá rögzíteni és rendszeres időközönként figyelni a felhasználók hálózaton végzett tevékenységét.
Belső számítógépes hálózat lokalizálása. Az információszivárgás elkerülése érdekében olyan számítógépeket kell telepíteni a hálózatra, amelyek nem rendelkeznek lemezmeghajtóval és párhuzamos porttal. Ez lehetetlenné teszi az információk letöltését a cég számítógépeiről.
A legfontosabb számítógépek kizárása a helyi hálózatból. Az illetéktelen hozzáférés valószínűségének csökkentése érdekében ajánlatos csak egyetlen technológiai folyamathoz kapcsolódó számítógépeket csatlakoztatni a helyi hálózathoz. Igaz, általában az ilyen számítógépek többsége. Célszerű azonban a cégvezetőknek saját, független számítógéppel rendelkezniük, amelyhez csak ők maguk férhetnek hozzá.
Az interneten végzett munka lokalizálása. A világméretű számítógépes hálózat számos veszélyt rejt magában, nemcsak a vírustámadások, hanem a vállalati számítógépes hálózatok feltörése szempontjából is. Ennek elkerülése érdekében el kell választani a vállalat belső hálózatát és az internetet. Kis cégeknél lehetőség van külön helyi számítógép kijelölésére a világhálón való munkához. Egy nagyvállalatnál azonban, ahol a legtöbb alkalmazott az internetet használja, ez nem mindig lehetséges. Ebben az esetben a munkaállomásokat olyan üzemmódba kell állítani, amelyben a számítógép le van választva a helyi hálózatról, mielőtt bejelentkezik az internetre.
Az információk titkosítása. Ezt a módszert főként modemen keresztül telefonvonalon keresztül történő információtovábbításkor használják, mivel fennáll a lehetőség, hogy harmadik felek elkapják ezeket az információkat. Ma már léteznek tanúsított kriptográfiai programok, amelyeket használni kell, ha állandó elektronikus kommunikációs csatornákat használ.
Elektronikus digitális aláírás. Biztosítja a modemen keresztül továbbított információk megbízhatóságát. Védelmet nyújt a továbbított információ szándékos torzítása ellen. Jelenleg léteznek tanúsított elektronikus digitális aláírási programok különböző fokú védelemmel. Az ilyen eszközök alkalmazása különösen fontos az elektronikus fizetések és a szigorúan titkos üzenetek továbbítása során.
Következtetés
Az összes leírt intézkedést nem szabad egymástól elkülönítve alkalmazni. A hatékony információvédelem érdekében szükséges egy vállalati információbiztonsági rendszer kialakítása. Csak ezek az intézkedések együttesen védhetik meg megbízhatóan vállalkozását a nem kívánt veszteségektől. Minden szervezetnek megvannak a maga sajátosságai, és ennek megfelelően saját információbiztonsági rendszerstruktúrával kell rendelkeznie. A választás helyessége a problémában érintett alkalmazottak és a vállalat vezetőinek professzionalizmusától függ. Egy ilyen rendszer legfontosabb eleme a „gyenge pontok” rendszeres elemzése és a szükséges intézkedések meghozatala az esetleges bajok megelőzésére.
Végezetül szeretném megjegyezni, hogy egy információbiztonsági rendszer kialakításakor egyrészt fontos, hogy ne fukarkodjunk, hiszen a veszteségek mérhetetlenül nagyobbak lehetnek, másrészt ne vigyük túlzásba, nehogy pénzt pazarolni felesleges álbiztonsági intézkedésekre, és nem akadályozni az információáramlást. A biztonság soha nem lehet túl sok, de soha nem szabad elfelejteni, hogy a biztonsági rendszer fő célja a szervezet megbízható és zavartalan működésének biztosítása.
Irodalom
1. Gorokhov P.K. információbiztonság. - M.: Rádió és kommunikáció, 2002.
2. Információbiztonság: Tankönyv. bölcsészettudományi egyetemek számára. és társadalmi-gazdasági. szakterületek. - M.: Nemzetközi. kapcsolatok: Krónikás, 2007.
3. Információs társadalom: információs háborúk. Információ menedzsment. Információbiztonság / Szerk. M. A. Vusa. - M.: Szentpétervári Könyvkiadó. Egyetem, 2006.
4. Rastorguev S.P. Információs háború. - M.: Rádió és kommunikáció, 2005.
5. Modern üzlet: Etika, kultúra, biztonság. - M.: GPNTB, 2004.
6. Stepanov E. A., Korneev I. K. Információbiztonság és információvédelem. - M.: INFRA-M, 2008.
Hasonló dokumentumok
A Linux operációs rendszer felépítése és jellemzői, fejlesztésének története. Információbiztonság: koncepció és szabályozó dokumentumok, információszivárgás irányai és védelme. Információbiztonsági rendszer létrehozásának számítása, hatékonyságának kutatása.
tanfolyami munka, hozzáadva 2014.01.24
Az információszivárgás fő csatornái. A bizalmas információk fő forrásai. Az információvédelem főbb tárgyai. Az információbiztonsági rendszer fejlesztésének, fejlesztésének alapmunkája. A JSC Orosz Vasutak információbiztonsági védelmének modellje.
tanfolyami munka, hozzáadva 2013.09.05
Az információbiztonság biztosítása a modern Oroszországban. Az információk tulajdonosainak vagy felhasználóinak kárt okozó véletlen vagy szándékos interferencia elleni védelmére szolgáló módszerek elemzése. Az információbiztonság jogi támogatásának tanulmányozása.
teszt, hozzáadva 2016.02.26
Az információbiztonság jellemzői, jellemzői, amely az információ és az azt támogató infrastruktúra biztonságát jelenti a véletlen vagy rosszindulatú behatásoktól. Információbiztonság az interneten. Víruskereső funkciók.
teszt, hozzáadva: 2011.02.24
Az információbiztonság fogalma, fogalma és osztályozása, a fenyegetések típusai. Az információ véletlenszerű fenyegetésekkel és illetéktelen beavatkozással szembeni védelmének eszközeinek és módszereinek jellemzői. Az információvédelem kriptográfiai módszerei és a tűzfalak.
tanfolyami munka, hozzáadva 2009.10.30
Az információbiztonságot fenyegető külső veszélyek, megnyilvánulási formáik. Az ipari kémkedés elleni védekezés módszerei, eszközei, céljai: versenytársról információszerzés, információ megsemmisítése. A bizalmas információkhoz való jogosulatlan hozzáférés módszerei.
teszt, hozzáadva 2016.09.18
Az információbiztonság fogalma és alapelvei. A biztonság fogalma automatizált rendszerekben. Az orosz jogszabályok alapjai az információbiztonság és információvédelem, engedélyezési és tanúsítási folyamatok területén.
előadások tanfolyama, hozzáadva 2012.04.17
Az információbiztonságot károsító műveletek kategóriái, biztosításának módjai. A társaság tevékenységi köre és a pénzügyi mutatók elemzése. A társaság információbiztonsági rendszere és annak korszerűsítésére irányuló intézkedéscsomag kidolgozása.
szakdolgozat, hozzáadva: 2012.09.15
Információbiztonsági célok. Az Oroszországot érintő fő információs fenyegetések forrásai. Az információbiztonság fontossága a különböző szakemberek számára a vállalat és az érintettek oldaláról. Módszerek az információk szándékos információs fenyegetésekkel szembeni védelmére.
bemutató, hozzáadva 2010.12.27
Az információbiztonság fogalma, jelentése és irányai. Az információbiztonság megszervezésének szisztematikus megközelítése, az információk illetéktelen hozzáféréstől való védelme. Információbiztonsági eszközök. Információbiztonsági módszerek és rendszerek.
Semmi sem jön ilyen olcsón egy vállalkozásba, és sokkal többe kerül, mint a vállalati információbiztonsági rendszer hibái. Jobb tanulni mások biztonsági hibáiból.
Kibertámadások és DLP-rendszerek
2010-ben egy alkalmazott HSBC- befőttes üveg , a világ ötven legmegbízhatóbb bankja közé tartozott, távozásakor 15 ezer (főleg svájci és francia) ügyfél adatait vitte magával. Ez 94 millió dollárjába került a banknak egy nem hatékony biztonsági rendszer cseréjéhez.
Sokkal több kárt okoztak a tekintélyes állampolgároknak a feltörő kiberbűnözők Twitter-fiók Associated Press. A betörők röviden csicseregtek: „Két robbanás történt a Fehér Házban, Barack Obama megsebesült.” Index Dow Jones 150 ponttal esett, a blue chipek pedig 200 milliárd dollárral csökkentették a teljes kapitalizációjukat. De azok, akik rohantak lerakni a részvényeket kúszó áron, eléggé kiégtek. Egy bizonyos „Szíriai Elektronikus Hadsereg” vállalta a felelősséget a feltörésért. Azt azonban nem lehet biztosan megmondani, hogy ez nem pusztán gazdasági szabotázs volt. Az időzítés túl precíz volt: közvetlenül a bostoni maratoni terrortámadás után.
Tovább Gazdasági Világfórum A világgazdaságot fenyegető globális kockázatok között, mint például a korrupció, a demográfiai válság, a természeti erőforrások kimerülése, a történelemben először a kibertámadásokat is megnevezték. A vállalatokat és a kormányzati szerveket egyaránt fenyegető veszélyek lehetnek külsőek és belsőek is. Valójában a kibertámadások külső fenyegetést jelentenek. A bennfentes fenyegetés nem feltétlenül rosszindulatú szándék eredménye. A meglehetősen lojális, de hozzá nem értő informatikusok véletlenül elindíthatnak egy e-mailhez csatolt rosszindulatú programot, tévedésből törölhetnek egy kívánt mappát, vagy betévedhetnek egy trójaiaktól hemzsegő weboldalra. Ennek eredményeként a vállalat számára fontos információk vagy nyomtalanul eltűnhetnek, vagy a versenytársak, vagy néhány „igazságharcos” kezébe kerülhetnek, akik megszállottan az emberiséget megmentik a globalizmustól és a kapitalizmus, a totalitarizmus stb. A statisztikák azt mutatják, hogy a vállalatok saját munkatársaiktól szenvedik el a legnagyobb kárt.
A számítógépes biztonság problémája azonnal felmerült az amerikai cégnél Eckert-Mauchly Computer Corporation 1951-ben kiadta az első sorozatgyártású számítógépet UNIVAC I. Sokáig ez a probléma inkább elméleti volt. Minden megváltozott az internet feltalálása és a világháló lavinaszerű növekedése után.
Teljesen új iparágra volt szükség a kiberbűnözés elleni küzdelemhez. Az orosz és külföldi cégek évről évre egyre több vírusirtót, kriptográfiai programot, adathalászatot és DDoS támadást megakadályozó terméket adnak ki, stb. A programokat folyamatosan fejlesztik, és új fajták jelennek meg. Különösen nemrég jelent meg az információbiztonsági eszközök piaca DLP-rendszerek ( Adatszivárgás megelőzése), megakadályozza az információszivárgást a vállalati hálózatokból.
A teljes és teljesen működőképes DLP rendszer a következő funkciókkal rendelkezik:
- a lehetséges információszivárgás összes csatornájának teljes és állandó ellenőrzése;
- a vállalati hálózatot elhagyó összes forgalom elemzése bizalmas információk jelenléte érdekében;
- bizalmas információk átadásának blokkolása, ami nemcsak a vállalati titkos adatokat, hanem a sértő kijelentéseket, obszcén videókat, valamint a vállalati imázst ilyen vagy olyan okból negatívan befolyásoló levelezést is jelent;
- a nem kívánt és káros információk fogadásának blokkolása;
- az elfogott jogosulatlan forgalom archiválása az események kivizsgálása céljából.
Megjegyzendő, hogy a DLP-rendszerek nem helyettesítik a korábbi termékkategóriák relevanciáját, mint például az antivírusok, kriptográfiai programok, a magas szintű felhasználó-azonosítással rendelkező elektronikus zárak stb. Mindez az eszköztár azonban sebezhetőbbé vált az elmúlt 2-3 évben. Ennek oka két globális IT-trend: a mobileszközök térnyerése és a számítási felhő.
Új sebezhetőségek
Jelenleg mintegy 50 millió mobil eszköz van az oroszok kezében - okostelefonok, táblagépek, netbookok, laptopok stb. Idén ez a szám további 12 millióval nő, 2015-re pedig meghaladja a 70 milliót vállalat International Data Corporation, a következő hónapokban a mobileszközök az internet-hozzáférés gyakoriságában felülmúlják a személyi számítógépeket.
Mindezek az eszközök pedig potenciális sebezhetőséget jelentenek magának a vállalati hálózatnak és a benne tárolt bizalmas információknak is. Az operációs rendszert futtató okostelefonokra szánt rosszindulatú programok mára divatosak a hackerek körében. Android. És mivel az alkalmazottak okostelefonokat használnak a munkahelyükön, otthon, szabadságon és közlekedésben, a vállalati hálózat részét képező szerverek fertőzésének valószínűsége meredeken megnő.
Másfajta veszély fenyeget. Legalább három olyan eset ismert, amikor az MI5 brit kémelhárító szolgálat munkatársai – akár cselekvően, akár túlterhelten – a leginkább oda nem illő helyeken – metróban, taxiban, kávézóban – vesztették el titkosított információkkal ellátott laptopjukat. És látja, sokkal könnyebb elveszíteni egy okostelefont, mint egy laptopot.
A hivatal „totális mozgósítása” ellen fölösleges harcolni. És ez nem jövedelmező: végül is az okostelefonoknak és táblagépeknek köszönhetően az alkalmazottak otthon vagy szabadságon dolgozhatnak. Alapján "Kaspersky Lab" Jelenleg a vállalati alkalmazottak mindössze egynegyedének tilos szigorúan mobileszközöket használni a munkahelyén. Az okostelefon-tulajdonosok 34%-a, a táblagép-tulajdonosok 38%-a és a laptoptulajdonosok 45%-a rendelkezik teljes hozzáféréssel a vállalati erőforrásokhoz. A többire vonatkozóan különböző hozzáférési szintű korlátozásokat vezettek be.
Hogyan biztosítható az információbiztonság a mobilinternet és a számítási felhő korszakában? A feladat nem könnyű. Végül is a munkaállomások és a vállalati hálózati szerverek ugyanazt az operációs rendszert futtatják ( ablakok vagy Unix), biztonságukat a rendszerbe épített eszközök támogatják. A mobileszközök pedig nem csak saját operációs rendszert használnak, de hatékony biztonsági intézkedéseik sincsenek, mert egyéni, nem pedig vállalati használatra készültek. A helyzetet tovább nehezíti, hogy szervezési módszerekkel nem lehet ellenőrizni egy mobil eszköz helyét és a kapcsolat forrását, illetve azt, hogy kinek a kezében van.
Ezeket a problémákat általában szoftver oldja meg a rendszer védelmi áramkörének megerősítésével, a vállalati biztonsági rendszernek a mobileszközök teljes skálájához való igazításával és a szükséges biztonsági alkalmazások telepítésével. Egy másik mód azonban lehetséges - vállalati biztonságos táblagépek és okostelefonok kiadása az alkalmazottakra.
Számítógép-biztonsági termékek hazai gyártója "Biztonsági kód" kiadott egy tabletet "Continent T-10", amelyen Android 4 operációs rendszer fut, és minden szükséges eszközzel fel van szerelve mind magának a táblagépnek, mind a vállalati rendszeralkalmazásoknak a biztonságos távoli működtetéséhez, amelyekhez biztonságos átjárón keresztül csatlakozik. Ez a mobileszköz teljes mértékben integrálva van a vállalati biztonsági rendszerbe, és nem igényel további adaptációs intézkedéseket.
A számítási felhő is komoly problémákat vet fel. Az orosz felhőszolgáltatások piaca már meghaladta a 150 millió dolláros éves forgalmat, és évente 50%-kal növekszik. Ugyanakkor a piac nagy része a privát felhőkre, vagyis a vállalaton belül létrehozott felhőkre esik. A privát felhők információbiztonsági szempontból jelentősen eltérnek a mereven konfigurált vállalati hálózatoktól. És saját védelmi eszközt igényelnek.
Vonal szerint
Az orosz információbiztonsági piac gyorsan fejlődik, és már meghaladta a 600 millió dollárt, a piac 15%-át az öt legnagyobb szereplő irányítja: "Asteros", "Croc", "Informzashita", LetaÉs "Jet Inforendszerek". Ami a globális piacot illeti, éves szinten 30%-os növekedéssel a volumene megközelíti az 1 milliárd dollárt a nemzetközi vezetők között olyan óriások találhatók, mint Symantec, McAffee, TrendMicro, Check Point, Cisco Systems.
Mind az orosz, mind a nyugati gyártók a közös problémákat megoldva hasonló termékeket gyártanak. Ahhoz, hogy az információ védelme a létező fenyegetések teljes körével szemben garantálható legyen, olyan integrált megközelítésre van szükség, amely figyelembe veszi a vállalati hálózatok működésének minden, az emberi tényezőhöz kapcsolódó technikai, de pszichológiai szempontját is. A legjobb eredményeket a teljes információvédelmet biztosító termékcsalád használatával éri el: vírusirtók, tűzfalak, levélszemétszűrők, kriptográfiai eszközök, adatvesztés-megelőzési rendszerek stb. A rendszer biztonsági hurkának egyetlen megsértése beláthatatlan károkat okozhat.
De minden egyes hazai gyártó nem kínálja a teljes termékcsaládot. Olyan helyzet áll elő, amelyet „rendszerek állatkertjének” neveznek, amikor a különböző ideológiájú, különböző termékek használatához összetett ellenőrzési sémák létrehozása szükséges. Kivételes esetekben ez rendszerhibához vezethet.
Ezért a biztonsági rendszer kiválasztásakor nemcsak a funkcionalitás és a méretezhetőség teljessége, hanem az irányíthatóság is vezérelje, amely az összes összetevő koncepciójának egységétől függ. Az orosz gyártók közül ennek a követelménynek például a legszélesebb termékpalettával rendelkező Security Code cég tesz eleget. A „zökkenőmentes” technológiával telepített termékei lehetővé teszik a folyamatban lévő események gyors nyomon követését az összes biztonsági rendszer egyetlen vezérlési pontjáról.
