Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Информационная безопасность в бизнесе
Введение
Информация, которую необходимо защищать
От кого следует оберегать информацию?
Защита информации
Заключение
Литература
Введение
На сегодняшний день проблема обеспечения безопасности является одной из самых актуальных в бизнесе. Однако зачастую, под обеспечением безопасности понимается только физическая охрана персонала и материальных ценностей. Но таким способом можно противостоять только криминалу. Между тем, вступая в рыночные отношения, любая организация сталкивается с острой конкурентной борьбой, существующей на любом цивилизованном рынке. И эта борьба таит в себе немало опасностей для предприятия. Если компания достигла каких-либо успехов в своём бизнесе, можно не сомневаться в том, что она вызывает немалый интерес со стороны компаний-конкурентов. Любая информация о работе фирмы будет привлекать повышенное внимание с их стороны. Поэтому защита информации становится важнейшей частью современной системы безопасности бизнеса.
“Кто владеет информацией, тот владеет миром”. Эта истина становится особенно актуальной на пороге XXI века, когда на смену постиндустриальной эпохе приходит информационная эпоха. В новом веке вопрос информационной безопасности бизнеса становится ещё более значимым.
Цель данной работы - рассмотреть сущность информационной безопасности в бизнесе.
В соответствии с указанной целью были поставлены следующие задачи:
Определить виды и источники информации, которые следует защищать;
Выявить объекты, для которых составляет интерес чужая информация;
Раскрыть методы защиты информации.
Информация, которую необходимо защищать
Для того чтобы разобраться в проблеме защиты информации ответим на три вопроса:
Какую информацию нам необходимо защищать?
От кого и чего нам необходимо её защищать?
Каким образом нам необходимо осуществлять защиту информации?
Итак, какую же информацию нам необходимо защищать? От того, насколько правильно мы определим ответ на этот вопрос, главным образом зависит эффективность нашей системы защиты информации. В первую очередь необходимо защищать информацию: Горохов П. К. Информационная безопасность. - М.: Радио и связь, 2005.
О тех конкурентных преимуществах, которыми владеет компании
О технологиях её работы
О движении денежных и материальных потоков компании
О стратегических планах компании
О новых продуктах.
В зависимости от характера деятельности компании список объектов информационной защиты может быть расширен. Так, большинству компаний есть смысл хранить в тайне от конкурентов также информацию: Горохов П. К. Информационная безопасность. - М.: Радио и связь, .2005
О своих клиентах,
О персонале компании.
Важно понять, что предприятие должно оберегать далеко не всю информацию, которой оно владеет, а лишь ту, использование которой третьими лицами может нанести ущерб деятельности компании. Напротив, существует и такая информация, которую компании просто необходимо разглашать. Так, нет никакого смысла оберегать от конкурентов информацию о наших ценах. А вот информацию о ценах и условиях, на которых мы приобретаем продукцию, сырьё и материалы необходимо хранить в тайне от конкурентов. Излишняя закрытость компании может стать причиной негативного отношения к ней со стороны потенциальных партнёров, клиентов и инвесторов. Особенно это касается фирм, планирующих проводить размещение своих ценных бумаг. Для того чтобы этого не произошло, компания должна изначально определить, какую информацию, в каком объёме и с какой регулярностью ей следует раскрывать. При этом можно ориентироваться на западные стандарты раскрытия информации. Эти же стандарты установила и Федеральная комиссия по рынку ценных бумаг для компаний, осуществляющих размещение ценных бумаг. К информации, обязательной для раскрытия, относятся: Современный бизнес: Этика, культура, безопасность. - М.: ГПНТБ, 2007.
Ежегодная бухгалтерская отчётность (баланс, отчёт о прибылях и убытках, отчёт о движении денежных средств)
Данные об акционерах
Данные о существенных операциях с акционерным капиталом.
Что же касается той информации, которая не подлежит разглашению, то организация должна классифицировать её по степени секретности и выработать нормы информационной безопасности для каждой категории.
От кого следует оберегать информацию?
В своей деятельности предприятие сталкивается с различными организациями, составляющими её окружение. Это: Расторгуев С. П. Информационная война. - М.: Радио и связь, 2007. компании-конкуренты, клиенты, партнёры, налоговые органы, регулирующие органы.
Как уже отмечалось выше, особый интерес к различного рода информации проявляют конкуренты. И именно их действия таят в себе наибольшую опасность для компании. Ведь доля рынка, которую занимает компания, всегда является лакомым куском для конкурентов, и ущерб от утечки разного рода информации, например, о характеристиках готовящегося к выпуску продукта, может оказаться невосполнимым.
Что касается партнёров, то их интерес по отношению к информации о вашей компании, может быть вызван, прежде всего, соображениями собственной безопасности. Поэтому необходимо создать наиболее благоприятные условия для получения ими информации о компании, не выходящей за рамки необходимой для плодотворного сотрудничества. Здесь необходимо чётко определить, какая это информация, с тем, чтобы своевременно и в полном объёме предоставлять её и ограничить доступ к иной информации.
Информация, которую хотят получить клиенты, носит совершенно определённый характер. Это: Информационное общество: Информационные войны. Информационное управление. Информационная безопасность / Под ред. М. А. Вуса. - М.: Изд-во СПб. ун-та, 2006. общие сведения о компании и предлагаемой ею продукции, данные о надёжности компании, информация о ценах.
В отношении клиентов важно обеспечить максимальную доступность такой информации. Говоря о защите информации, следует понимать, что нежелательным был бы “вынос сора из избы”. Впрочем, то же самое касается и отношений с партнёрами. Поэтому особенно важно чётко определить, какая внутрифирменная информация не может подлежать разглашению.
Отношения компании с налоговыми и регулирующими органами носят специфический характер. Эти органы предъявляют свои особые требования к предоставлению им информации. В отношениях с ними важно полностью соблюдать предъявляемые ими требования, предоставлять информацию своевременно и в требуемом объёме, но не превышая этот объём. В данном случае как недостаток, так и избыток предоставляемой информации может привести к самым нежелательным последствиям.
Следующим важным вопросом является понимание того, от чего следует оберегать информацию. Нежелательными действиями, которые могут быть осуществлены с информацией, составляющей тайну организации, являются: Информационное общество: Информационные войны. Информационное управление. Информационная безопасность / Под ред. М. А. Вуса. - М.: Изд-во СПб. ун-та, 2006. уничтожение важной информации, искажение открытой информации, овладение секретной информацией, копирование конфиденциальной электронной информации, закрытие или ограничение доступа к информации, необходимой компании, несанкционированный доступ к информации с ограниченным доступом.
Прежде, чем рассмотреть меры по защите информации, остановимся на том, какие средства и методы могут быть использованы для получения необходимой информации о компании. Существует две большие группы средств и методов экономической разведки или промышленного шпионажа: Информационная безопасность: Учеб. для вузов по гуманитар. и социально- экон. специальностям. - М.: Междунар. отношения: Летописец, 2007.
Методы сбора информации с применением специальной техники
Методы фрагментарного сбора информации.
К промышленному шпионажу, связанному с применением специальной техники, относятся: Информационная безопасность: Учеб. для вузов по гуманитар. и социально- экон. специальностям. - М.: Междунар. отношения: Летописец, 2007.
Прослушивание телефонных разговоров
Прослушивание помещений
Телевизионное наблюдение
Вторжение в компьютерную сеть
Считывание информации с мониторов.
Все эти методы весьма трудоёмки и дорогостоящи, и могут применяться только крупными конкурентами и силовыми структурами. Осуществление таких действий под силу лишь профессионалом, что делает подобные действия особенно опасными.
К методам фрагментарного сбора информации относятся: Информационная безопасность: Учеб. для вузов по гуманитар. и социально- экон. специальностям. - М.: Междунар. отношения: Летописец, 2007.
Телефонная разведка. Многие сведения о фирме можно получить по телефону, позвонив под каким-либо благовидным предлогом, например для установления деловых контактов или проведения статистического опроса. Если персонал компании не достаточно осведомлён о том, какую информацию не следует разглашать, то вы рискуете допустить утечку важной информации, сами того не подозревая.
Лжепереговоры. Пользуясь этим очень распространённым методом, ваши конкуренты могут представиться, например, вашими потенциальными клиентами или партнёрами и во время предварительных переговоров получить множество интересующей их информации в случае, если вы не подвергнете их предварительной проверке и будете излишне открыты по отношению к ним. Особенно благодатной почвой для получения такого рода информации являются различные выставки.
Переманивание сотрудников. Приглашение специалистов компании-конкурента на работу порой позволяет очень многое узнать о его деятельности. Даже, если человек из соображений порядочности не будет выдавать информацию, являвшуюся тайной на его предыдущем месте работы, по его знаниям, привычкам, поведению можно сделать многочисленные выводы о работе компании-конкурента. Некоторые компании практикуют и “лжепереманивание” сотрудников, завлекая их высоким уровнем зарплаты. На многочисленных собеседованиях и интервью они могут узнать многое о его компании, при этом новое место работы он так и не получит.
Внедрение в штат конкурента собственных сотрудников. Этот метод промышленного шпионажа наиболее опасен, поскольку, внедрив своего человека в чужую команду, можно узнать о компании любую информацию, находящуюся в компетенции этого сотрудника. А если компания не предпринимает мер по разграничению доступа к внутренней информации, то рядовому сотруднику может быть известно о компании практически всё.
Таким образом, мы подошли к самому важному вопросу обеспечения информационной безопасности бизнеса - как защитить информацию?
Защита информации
В целом обеспечение информационной безопасности бизнеса сводится к решению двух важнейших задач: Степанов Е. А., Корнеев И. К. Информационная безопасность и защита информации. - М.: ИНФРА-М, 2008.
Обеспечение целостности и сохранности информации.
Защита информации от несанкционированного доступа.
Рассмотрим меры по обеспечению целостности и сохранности информации. Как правило, для хранения информации используются:
Бумажные носители
Электронные носители.
На бумажных носителях, как правило, хранятся документы. Количество копий документов ограничено, иногда они могут существовать в единственном экземпляре. Тогда их потеря сделает невозможным восстановление. Чтобы этого не произошло, необходимо вести строгий учёт всех документов, хранить их в соответствующих условиях и обеспечивать контроль доступа к ним. В тех случаях, когда это возможно, следует иметь копии информации и хранить их в специально оборудованных местах. При этом важно, чтобы оригиналы и копии хранились в независимых друг от друга помещениях. Причём желательно по возможности работать с копиями, а оригиналы хранить в секретных хранилищах. Это может быть особенно важно при непредвиденных обстоятельствах, таких как пожар или кража.
В настоящее время наблюдается явная тенденция к расширению использования электронных носителей. Во многих компаниях весь документооборот осуществляется в электронном виде. Неотъемлемой частью информационной структуры компаний являются различные электронные базы данных. На электронных носителях хранится также аудио- и видеоинформация. В последние годы даже платежи проходят в электронном виде. И в то же время именно электронная информация является наиболее уязвимой в плане уничтожения и порчи. Дело в том, что электронные носители не слишком долговечны, а неправильное обращение с техникой может привести к случайному уничтожению информации. Другой серьёзнейшей опасностью являются компьютерные вирусы, получившие громадное распространение в последнее время. В качестве мер, используемых для защиты электронной информации от повреждения и уничтожения, обычно используют: Степанов Е. А., Корнеев И. К. Информационная безопасность и защита информации. - М.: ИНФРА-М, 2008.
Резервное копирование информации. Осуществляется ежедневно и обеспечивает возможность восстановления информации на глубину не более суток. Ежедневные копии, как правило, хранятся отдельно от компьютерной сети.
Наличие резервных серверов в локальной сети. Позволяет при отказе основного сервера не прекращать работу.
Использование источников бесперебойного питания. Позволяет защитить компьютерную сеть компании от потерь информации, связанных с неполадками в электрической сети.
Создание архивов информации. Вся наиболее важная информация архивируется, записывается на съемные носители и хранится в специально оборудованном помещении. Причём для повышения надежности следует делать несколько копий и хранить их независимо друг от друга. При выборе носителя следует особое внимание уделять его надёжности и долговечности.
Антивирусная защита. Для эффективной защиты компьютерной сети от вирусной атаки следует контролировать все файлы, приходящие извне. Для этого рекомендуется отключать дисководы на рабочих станциях локальной сети, а все внешние файлы записывать только через сетевого администратора после соответствующей антивирусной проверки. Рекомендуется запретить использование дискет в организации. Наибольшую вирусную опасность таит в себе использование Internet. Необходимо так построить систему антивирусной защиты, чтобы все файлы приходящие через Internet перед использованием проходили проверку. Необходимо также проводить ежедневную профилактическую проверку перед резервным копированием.
Ограничение доступа. Во избежание случайного повреждения или удаления необходимой информации или программного обеспечения следует ограничивать доступ каждого пользователя локальной сети компании только к необходимой ему информации. В тех случаях, когда информацию следует защищать от самого пользователя, следует применять доступ “только для чтения”.
Теперь рассмотрим меры по защите информации от несанкционированного доступа.
Наиболее важным средством борьбы с утечкой информации является работа с персоналом. Самым важным этапом является отбор персонала. При приёме на работу в компанию следует уделять внимание не только деловым и профессиональным качествам кандидатов, а в первую очередь их человеческим качествам - порядочности, честности, лояльности. После приёма на работу необходимо время от времени проводить негласный контроль деятельности сотрудников с целью предотвратить возможные утечки информации. Необходимо, чтобы руководство также всегда было в курсе проблем своих подчинённых, дабы избежать таких ситуаций, когда поиск дополнительного заработка или излишнее честолюбие толкают человека на продажу секретов предприятия.
Однако все эти меры не принесут никакого результата, если на предприятии не будет выработано чёткой системы разграничения доступа к информации. В зависимости от существующей на предприятии иерархии, каждый сотрудник должен иметь доступ к строго определённому количеству информации. Помимо этого необходимо иметь внутреннее положение о служебной информации и коммерческой тайне и чётко определять степень секретности каждого документа.
Наиболее эффективным способом защиты информации от нежелательного доступа является дробление информации. Этот принцип заключается в том, что любой из сотрудников должен владеть только информацией, касающейся своего участка работы. Таким образом, любая информация дробится между сотрудниками, и никакая секретная информация не может быть полностью доступна одному человеку. В результате он ни сознательно, ни бессознательно не сможет передать кому-либо всю тайну.
Для защиты от промышленного шпионажа с применением технических средств необходимо применять специальные средства. В настоящее время на каждый “жучок” существует “антижучок”. Важно регулярно осуществлять соответствующие проверки, постоянно контролировать уязвимые места. Значительно снизить возможность применения против вас технических средств шпионажа можно, если у вас отлажена система контроля доступа в помещения. Учёт всех перемещений сотрудников и гостей внутри компании и внутреннее и наружное телевизионное наблюдение полностью не обезопасят вас, но в некоторых случаях помогут выявить и предотвратить действия против вас. И, конечно же, главным объектом защиты от несанкционированного доступа является электронная информация. Основными методами её защиты являются: Степанов Е. А., Корнеев И. К. Информационная безопасность и защита информации. - М.: ИНФРА-М, 2008.
Разграничение доступа. Как уже отмечалось выше, каждый сотрудник должен работать в локальной сети только с той информацией, которая ему необходима для выполнения своих должностных обязанностей. Особенно это актуально в организациях, использующих крупные интегрированные автоматизированные системы. Пренебрежение разделением доступа или неправильное его применение может привести к тому, что рядовые сотрудники будут иметь практически всю информацию о деятельности компании. Также необходимо фиксировать и периодически отслеживать работу пользователей в сети.
Локализация внутренней компьютерной сети. Для предотвращения утечки информации следует устанавливать в сеть компьютеры, не имеющие дисководов и параллельных портов. Это сделает невозможным скачивание информации с компьютеров фирмы.
Исключение наиболее важных компьютеров от локальной сети. Для уменьшения вероятности несанкционированного доступа рекомендуется объединять в локальную сеть только компьютеры, завязанные на единый технологический процесс. Правда, как правило, таких компьютеров большинство. Однако руководителям компании желательно иметь собственные независимые компьютеры, доступ к которым имеют только они сами.
Локализация работы с Internet. Всемирная компьютерная сеть таит в себе немало опасностей не только с точки зрения вирусных атак, но и с точки зрения взлома компьютерных сетей предприятий. Чтобы этого не произошло, необходимо разделить внутреннюю сеть предприятия и Internet. На небольших фирмах возможно выделение отдельного локального компьютера для работы во всемирной сети. Однако на крупном предприятии, где большинство сотрудников пользуются Internet, это не всегда возможно. В таком случае на рабочих станциях следует устанавливать режим, при котором перед входом в Internet компьютер отключается от локальной сети.
Шифрование информации. Этот метод применяется в основном при передаче информации по модему через телефонные линии, поскольку существует вероятность перехвата такой информации третьими лицами. В настоящее время существуют сертифицированные криптографические программы, и их необходимо использовать в том случае, если вы используете какие-либо постоянные каналы передачи электронной информации.
Электронно-цифровая подпись. Обеспечивает достоверность передаваемой по модему информации. Служит защитой от намеренного искажения передаваемой информации. В настоящее время существуют сертифицированные программы электронно-цифровой подписи с различной степенью защиты. Особое значение применение таких средств имеет при использовании электронных платежей и передаче сообщений повышенной секретности.
Заключение
Все описанные меры не должны применяться отдельно друг от друга. Для того чтобы обеспечить эффективную защиту информации, необходимо выработать систему информационной безопасности предприятия. Только предпринятые в комплексе эти меры смогут надёжно обезопасить ваш бизнес от нежелательных потерь. Каждая организация имеет свою специфику и соответственно должна иметь свою структуру системы информационной защиты. Правильность её выбора зависит от профессионализма сотрудников, занимающихся этой проблемой, и руководителей компании. Важнейшим компонентом такой системы должен стать регулярный анализ “слабых мест” и принятия необходимых мер для предотвращения возможных неприятностей.
В заключение хочу отметить, что, создавая систему информационной безопасности, важно, с одной стороны, не скупиться, поскольку потери могут оказаться неизмеримо больше, а с другой стороны, не переборщить, чтобы не выбрасывать деньги на ненужные псевдозащитные мероприятия и не затруднять прохождение информационных потоков. Безопасности никогда не бывает много, но никогда нельзя забывать, что главная цель системы безопасности - обеспечение надёжного и бесперебойного функционирования организации.
Литература
1. Горохов П. К. Информационная безопасность. - М.: Радио и связь, 2002.
2. Информационная безопасность: Учеб. для вузов по гуманитар. и социально- экон. специальностям. - М.: Междунар. отношения: Летописец, 2007.
3. Информационное общество: Информационные войны. Информационное управление. Информационная безопасность / Под ред. М. А. Вуса. - М.: Изд-во СПб. ун-та, 2006.
4. Расторгуев С. П. Информационная война. - М.: Радио и связь, 2005.
5. Современный бизнес: Этика, культура, безопасность. - М.: ГПНТБ, 2004.
6. Степанов Е. А., Корнеев И. К. Информационная безопасность и защита информации. - М.: ИНФРА-М, 2008.
Подобные документы
Структура и особенности ОС Linux, история ее развития. Информационная безопасность: понятие и регламентирующие документы, направления утечки информации и ее защиты. Расчет создания системы информационной безопасности и исследование ее эффективности.
курсовая работа , добавлен 24.01.2014
Главные каналы утечки информации. Основные источники конфиденциальной информации. Основные объекты защиты информации. Основные работы по развитию и совершенствованию системы защиты информации. Модель защиты информационной безопасности ОАО "РЖД".
курсовая работа , добавлен 05.09.2013
Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
контрольная работа , добавлен 26.02.2016
Характеристика и особенности информационной безопасности, под которой понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий. Информационная безопасность в сети Интернет. Функции антивирусов.
контрольная работа , добавлен 24.02.2011
Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.
курсовая работа , добавлен 30.10.2009
Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа , добавлен 18.09.2016
Понятие и основные принципы обеспечения информационной безопасности. Понятие защищенности в автоматизированных системах. Основы законодательства РФ в области информационной безопасности и защиты информации, процессы лицензирования и сертификации.
курс лекций , добавлен 17.04.2012
Категории действий, способных нанести вред информационной безопасности, методы её обеспечения. Сфера деятельности фирмы и анализ финансовых показателей. Система информационной безопасности фирмы и разработка комплекса мероприятий по её модернизации.
дипломная работа , добавлен 15.09.2012
Цели информационной безопасности. Источники основных информационных угроз для России. Значимость безопасности информации для различных специалистов с позиции компании и заинтересованных лиц. Методы защиты информации от преднамеренных информационных угроз.
презентация , добавлен 27.12.2010
Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
Прежде чем рассказывать о том, какие риски информационной безопасности могут поджидать вас при работе, хочу представиться: меня зовут Камила Иосипова. Я являюсь старшим менеджером по информационной безопасности IT-компании ICL Services, работаю в данной организации уже 5 лет. Также я являюсь сертифицированным аудитором информационных систем CISA (сертификация ISACA, расшифровывается как Certified Information Systems Auditor).
В 2018 объем утечек данных в компаниях вырос на 5% . Человеческий фактор является одной из основных причин возникновения инцидентов, связанных с информационной безопасностью. Беспечность, неосторожность, мотив, умысел – вот те причины, по которым сотрудники ваших компаний могут умышленно или неумышленно свести бизнес на дно. Как обезопасить себя и своих клиентов, что делать для развития культуры работы с данными у сотрудников, и какие при этом применять методы расскажу далее.
План по налаживанию работы в области ИБ
Если взглянуть глобально, то можно увидеть, что в области информационной безопасности прослеживается определенная закономерность: внимание к ИБ во многом зависит от деятельности компании. Например, в государственных органах или банковской сфере существуют более жесткие требования, следовательно, уделяется больше внимания обучению сотрудников, а значит и культура работы с данными более развита. Однако сегодня обратить внимание на эту проблему стоит каждому.
Итак, вот несколько практических шагов, которые помогут вам наладить работу в области ИБ:
1 шаг . Разработайте и внедрите общую политику информационной безопасности, которая будет содержать основные принципы работы компании, цели и задачи в области управления ИБ.
2 шаг . Введите политику классификаций и уровни конфиденциальности.
При этом необходимо не просто написать документ, к которому сотрудник будет иметь доступ 24 на 7, но и проводить различные обучающие мероприятия, рассказывать о вносимых изменениях. Придерживайтесь правила: предупрежден – значит вооружен. Пусть в компании ведется постоянная работа в данном направлении.
3 шаг . Развивайте проактивный подход.
Это как профилактика в медицине. Согласитесь, гораздо дешевле и проще пройти профилактическое обследование, чем лечить запущенную болезнь. Например, в нашей компании проактивный подход работает так: для работы с информацией в коммерческих проектах мы разработали Стандарт управления ИБ в проектах, который содержит необходимый минимум требований по ИБ для обеспечения определенного уровня зрелости процессов ИБ в коммерческом проекте. Там описано что нужно делать, чтобы поддерживать определенный уровень зрелости процесса управления безопасностью. Этот стандарт мы внедрили в проекты и теперь ежегодно проводим внутренние аудиты: проверяем насколько проекты соответствуют этим требованиям, выявляем риски ИБ и лучшие практики, которые могут помочь и другим проектным менеджерам.
Помимо аудитов хорошо работает Knowledge sharing. Если «гром грянул» в одном из проектов, остальным хорошо об этом узнать и успеть принять необходимые меры.
4 шаг . Все документы, объясняющие правила, делайте: структурированными, понятными и емкими.
Как показывает практика, длинные многостраничные тексты никто не читает. Документ необходимо писать понятным языком. Также, он должен быть в согласии с бизнес-целями и санкционировано топ-менеджментом – это будет более весомым аргументом для сотрудников почему этим правилам нужно следовать.
5 шаг . Проводите тренинги, беседы, деловые игры и тому подобное.
Очень часто люди не понимают, как некоторые правила связаны с их конкретной работой, поэтому нужно приводить примеры, объяснять, показывать, как они могут это применить. Здесь важно показать последствия, вплоть до потери бизнеса, и какие конкретно последствия ждут сотрудника, вплоть до уголовной ответственности.
Чтобы внедрять все вышеперечисленное в компании, необходимы ресурсы, как материальные, так и человеческие. Поэтому сейчас во многих компаниях стала появляться должность Директора по информационной безопасности (CISO). Благодаря данной должности есть возможность донести до руководителей бизнеса важность продвижения каких-либо решений, выделения средств и т.д. CISO способен продвигать информационную безопасность в компании на всех уровнях.
Задачи, которые он берет на себя, обширны: коммуникации с топ-менеджментом, обоснование тех или иных решений, коммуникации с владельцами процессов для внедрения безопасности во по всем направлениям. С точки зрения киберугроз, он является точкой контакта, при этом он управляет, определяет стратегии по реагированию на киберугрозы, координирует работу по реагированию на атаки.
Обучение сотрудников: сложно, долго, но необходимо
Однако, прежде чем учить людей определенным правилам, необходимо понимать одну вещь: нельзя останавливаться на человеческом факторе, за ним может быть что-то другое – недостаток ресурсов, знаний или технологий. Здесь самый эффективный метод – проводить анализ истинных причин, добираться до корневой причины.
При работе с людьми необходимо подбирать ключик буквально к каждому. Все люди разные, соответственно и методы применять нужно разные. В одном из интервью с сотрудником, специалист сказал мне: я буду что-то делать, только если буду знать, что мне попадет за невыполнение требования. И наоборот, на некоторых действует только положительная мотивация, такая как хорошая оценка качества работы, поощрение за успешное прохождение тренингов.
Бытует мнение, что специалисты ИБ часто выступают в качестве «тормоза» инноваций, особенно когда они ограничивают применение новых технологий и моделей работы бизнеса. Это действительно может быть так, однако, важно помнить следующее: «Security is like brakes on your car. Their function is to slow you down. But their purpose is to allow you to go fast. Dr.Gary Hinson» («Безопасность – это как тормоза на твоей машине. Их функция – замедлить тебя. Но их цель в том, чтобы дать тебе возможность двигаться быстро»). Важно понимать, что без этих правил невозможно идти дальше, ведь в какой-то момент ты просто не сможешь развивать свой бизнес, если не будешь защищаться от киберугроз и управлять рисками ИБ. Для того, чтобы соблюсти баланс, в нашей компании используется риск-ориентированный подход, который лежит в основе стандарта ISO 27001. Данный подход позволяет выбрать применимые к нам требования и меры безопасности, которые необходимы для того, чтобы защититься от актуальных для нас угроз. С помощью этого подхода мы можем выбирать и с финансовой точки зрения: насколько целесообразно применение тех или иных мер. Например, мы можем поставить биометрический сканер на каждой переговорке, но насколько это нам нужно, какую ценность приносит, какие риски снижает? Не всегда ответ очевиден.
Мы в ICL Services понимаем, что нам важна конфиденциальность информации, с которой мы работаем, для этого мы шифруем ноутбуки, ведь даже если ноутбук потеряется, информация не попадет в руки злоумышленников. Вот это критично, и на это мы готовы тратить средства.
Я считаю, что только таким образом можно соблюсти баланс между безопасностью и ценностью для бизнеса: выбирать, быть в курсе инноваций и всегда оценивать риски (насколько стоимость реализации риска сопоставима с затратами на закупку того или иного решения для защиты).
Комплексный подход – идеальный рецепт ИБ
На мой взгляд, комплексный подход в работе с безопасностью является самым эффективным, ведь ИБ – это вопрос человеческой осведомленности, поведения и правильной организации бизнес-процессов, с учетом требований безопасности. Инциденты чаще всего случаются из-за сотрудников: люди ошибаются, устают, могут нажать не на ту кнопку, поэтому здесь половина успеха – это технические ограничения, от случайных непреднамеренных инцидентов, вторая половина – культура безопасности каждого сотрудника.
Поэтому важно проводить профилактические беседы, тренинги. В современном мире киберугрозы рассчитаны на людей: если ты получил фишинговое письмо, оно безвредное, пока ты не дотянешься до ссылки и не кликнешь на нее. В нашей компании идет упор на сознательность персонала, на работу с людьми, на осведомленность. Ну и третий момент – организационный, люди должны знать правила, правила должны быть прописаны, должна быть определенная политика, которой всем необходимо следовать.
Помните: в мире киберугрозы очень распространены, и при этом последствия атак очень серьезные – до полной потери бизнеса, банкротства. Естественно, вопрос стоит на повестке. Безопасность в наше время уже просто обязана быть частью корпоративной культуры, и топ-менеджмент является первой заинтересованной стороной в данном вопросе, поскольку управляет бизнесом, и при реализации рисков понесет ответственность в первую очередь.
Вот несколько советов, которые позволят вашим сотрудникам избежать инцидентов ИБ:
- Нельзя проходить по непроверенным ссылкам;
- Нельзя распространять конфиденциальную информацию;
- Нельзя записывать пароль на бумажке и клеить стикер;
- Нельзя пользоваться USB-носителями, в которых вы не уверены (злоумышленник может оставлять зараженное физическое устройство в том месте, где его обязательно найдет жертва);
- При регистрации на сайтах, указывая номер телефона и почтовый адрес, внимательно смотрите, для чего необходима данная информация, возможно таким образом, вы подпишитесь на платную рассылку.
Я надеюсь, что со временем безопасность станет ключевым элементом корпоративной культуры в каждой компании.
В совершенстве овладеть навыками для работы в области информационной безопасности вы можете на факультете .
Введение
Руководители компаний должны осознать важность информационной безопасности, научиться прогнозировать тенденции в этой области и управлять ими.
Сегодняшний бизнес не может существовать без информационных технологий. Известно, что около 70% мирового совокупного национального продукта зависят тем или иным образом от информации, хранящейся в информационных системах. Повсеместное внедрение компьютеров создало не только известные удобства, но и проблемы, наиболее серьезной из которых является проблема информационной безопасности.
Наряду с элементами управления для компьютеров и компьютерных сетей стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.
Несомненно, данная тема курсовой работы очень актуальна в современных условиях.
Объект курсовой работы: информационная безопасность профессиональной деятельности организации.
Предмет исследования: обеспечение информационной безопасности.
В курсовой работе планируется создать проект управленческого решения по организации информационной безопасности на базе реально существующей организации.
Глава 1. Информационная безопасность профессиональной деятельности
Обеспечение информационной безопасности является сравнительно новой областью профессиональной деятельности специалистов. Основными целями такой деятельности являются:
Обеспечение защищенности от внешних и внутренних угроз в сфере формирования, распространения и использования информационных ресурсов;
Предотвращение нарушений прав граждан и организаций на сохранение конфиденциальности и секретности информации;
Обеспечение условий, препятствующих преднамеренному искажению или сокрытию информации при отсутствии для этого законных оснований.
Заказчиками специалистов в данной области являются:
Федеральные органы государственной власти и управления РФ;
Органы государственной власти субъектов РФ;
Государственные учреждения, организации и предприятия;
Оборонная промышленность;
Органы местного самоуправления;
Учреждения, организации и предприятия негосударственной формы
собственности.
Появление в свободной, хотя и нелегальной продаже базы данных клиентов компании сотовой связи МТС вновь и вновь вынуждает обращаться к проблеме компьютерной безопасности. Похоже, эта тема неисчерпаема. Ее актуальность тем больше, чем выше уровень компьютеризации коммерческих фирм и некоммерческих организаций. Высокие технологии, играя революционную роль в развитии бизнеса и практически всех других сторон современного общества, делают их пользователей весьма уязвимыми с точки зрения информационной, а в конечном счете экономической безопасности.
Это проблема не только России, но большинства стран мира, в первую очередь западных, хотя там и действуют законы, ограничивающие доступ к персональной информации и предъявляющие жесткие требования к ее хранению. На рынках предлагают различные системы защиты компьютерных сетей. Но как защититься от собственной “пятой колонны” - недобросовестных, нелояльных, или просто безалаберных сотрудников, имеющих доступ к закрытой информации? Скандальная утечка клиентской базы данных МТС не могла, видимо, произойти без сговора, либо преступной халатности служащих компании.
Такое впечатление, что многие, если не большинство предпринимателей просто не осознают всей серьезности проблемы. Даже в странах развитой рыночной экономики, согласно некоторым исследованиям, 80% компаний не имеют продуманной, спланированной системы защиты хранилищ, операционных баз данных. Что же говорить о нас, привыкших полагаться на знаменитое “авось”.
Поэтому не бесполезно обратиться к теме опасностей, которыми грозят утечки конфиденциальной информации, поговорить о мерах по снижению таких рисков. В этом нам поможет публикация в “Legal Times” (October 21, 2002) - издании, посвященном правовым вопросам (Марк М. Мартин, Эван Вагнер, “Уязвимость и защита информации”). Авторы перечисляют наиболее типичные виды и способы информационных угроз. Какие именно?
Рассекречивание и кража коммерческой тайны. Тут все более или менее понятно. Классический, уходящий в древнюю историю, экономический шпионаж. Если раньше секреты хранились в потайных местах, в массивных сейфах, под надежной физической и (позднее) электронной защитой, то сегодня многие служащие имеют доступ к офисным базам данных, нередко содержащим весьма чувствительную информацию, например, те же данные о клиентах.
Распространение компрометирующих материалов. Здесь авторы имеют в виду умышленное или случайное использование сотрудниками в электронной переписке таких сведений, которые бросают тень на репутацию фирмы. К примеру, название компании отражено в домене корреспондента, допускающего в своих письмах диффамацию, оскорбления, короче все, что может скомпрометировать организацию.
Посягательство на интеллектуальную собственность. Важно не забывать, что любой интеллектуальный продукт, производимый в организации, принадлежит организации и не может использоваться сотрудниками (в том числе генераторами и авторами интеллектуальных ценностей) иначе как в интересах организации. Между тем, в России по этому поводу часто возникают конфликты между организациями и служащими, претендующими на созданный ими интеллектуальный продукт и использующими его в личных интересах, в ущерб организации. Это нередко происходит из-за расплывчатой правовой ситуации на предприятии, когда в трудовом контракте нет четко прописанных норм и правил, очерчивающих права и обязанности служащих.
Распространение (часто неумышленное) внутренней информации, не секретной, но могущей быть полезной для конкурентов. Например, о новых вакансиях в связи с расширением бизнеса, о командировках и переговорах.
Посещения сайтов конкурентов. Сейчас все больше компаний используют на своих открытых сайтах программы (в частности, предназначенные для CRM), которые позволяют распознавать посетителей и детально отслеживать их маршруты, фиксировать время, длительность просмотра ими страниц сайта. Понятно, что если ваш заход на сайт конкурента в подробностях известен его оператору, то последнему не трудно сделать вывод, что именно вас интересует. Это не призыв отказаться от важнейшего канала конкурентной информации. Сайты конкурентов были и остаются ценным источником для анализа и прогноза. Но, посещая сайты, надо помнить, что вы оставляете следы и за вами тоже наблюдают.
Злоупотребление офисными коммуникациями в личных целях (прослушивание, просмотр музыкального и прочего контента, не имеющего отношения к работе, загрузка офисного компьютера) не несет прямой угрозы для информационной безопасности, но создает дополнительные нагрузки на корпоративную сеть, снижает эффективность, мешает работе коллег.
И, наконец, внешние угрозы - несанкционированные вторжения и т.п. Это тема отдельного серьезного разговора.
Как защититься от внутренних угроз? 100% гарантии от ущерба, который могут нанести собственные работники, просто не существует. Это человеческий фактор, который не поддается полному и безусловному контролю. Вместе с тем, упомянутые выше авторы дают полезный совет - разрабатывать и внедрять внутри компании четко сформулированную коммуникационную (или информационную) политику. Такая политика должна провести четкую границу между дозволенным и недозволенным в использовании офисных коммуникаций. Переход границы ведет к наказанию. Должны быть система мониторинга, кто и как использует компьютерные сети. Правила, принятые в компании, должны соответствовать как национальному, так и международно-признанным нормам защиты государственных и коммерческих тайн, персональной, приватной информации.
Глава 2. Обеспечение информационной безопасности
профессиональной деятельности в ООО «Ласпи»
2.1. Краткая характеристика ООО «Ласпи»
ООО «Ласпи» было создано в 1995 году как представительство чешской компании в России. Фирма занимается поставкой чешского оборудования и расходных материалов для производства различных бетонных изделий (начиная с тротуарной плитки и заканчивая заборами, вазонами и т.п.). Оборудование отличается высоким качеством и приемлемой стоимостью. Заказчиками, обращающимися в Самарский офис, являются организации из различных городов России и СНГ (Казань, Уфа, Ижевск, Москва, Нижний Новгород и т.д.). Естественно, такая широкомасштабная деятельность требует особого отношения к информационной безопасности внутри фирмы.
На сегодняшний день информационная безопасность оставляет желать лучшего. Различная документация (техническая, экономическая) находится в открытом доступе, что позволяет практически любому сотруднику фирмы (начиная с учредителя и заканчивая водителем) беспрепятственно с ней ознакомиться.
Особо важная документация хранится в сейфе. Ключи от сейфа есть только у директора и у его секретаря. Но здесь существенную роль играет так называемый человеческий фактор. Нередко ключи забываются в кабинете на столе и сейф может быть вскрыт даже уборщицей.
Экономическая документация (отчеты, накладные, счета, счета-фактуры и т.п.) разложены по папкам и полкам в шкафу, который не запирается.
Сотрудники не подписывают при устройстве на работу никаких соглашений о неразглашении сведений, которые относятся к коммерческой тайне, что не запрещает им распространять подобную информацию.
Набор сотрудников производится посредством собеседования, состоящего из двух этапов: 1. общение с непосредственным начальником (на котором выявляются умения и способности потенциального работника) 2. общение с учредителем (носит более личностный характер и выводом подобного диалога может быть либо «сработаемся», либо «не сработаемся»).
Все это требует более пристального внимания со стороны руководства и грамотной программы по обеспечению информационной безопасности фирмы, потому что сегодня у ООО «Ласпи» появилось достаточно много конкурентов, которые вряд ли упустят возможность воспользоваться, например, клиентской базой или базой поставщиков фирмы.
2.2. Проект управленческого решения по обеспечению информационной безопасности профессиональной деятельности ООО «Ласпи».
Важно место в системе организационных, административных, правовых и других мер, позволяющих качественно решать задачи информационного обеспечения научно-производственной и коммерческой деятельности, физической сохранности материальных носителей закрытых сведений, предотвращения их утечки, сохранения коммерческой тайны занимает разрешительная система доступа исполнителей к классифицированным документам и сведениям.
С учетом Закона РСФСР "О предприятиях и предпринимательской деятельности" руководитель предприятия (фирмы) вне зависимости от форм собственности может устанавливать специальные правила доступа к сведениям, оставляющим коммерческую тайну, и ее носителям, тем самым обеспечивая их сохранность.
В системе мер безопасности существенное значение имеет оптимальное распределение производственных, коммерческих и финансово-кредитных сведений, оставляющих тайну предприятия, между конкретными исполнителями соответствующих работ и документов. При распределении информации, с одной стороны, необходимо обеспечить предоставление конкретному сотруднику для качественного и своевременного выполнения порученных ему работ полного объема данных, а с другой стороны, исключить ознакомление исполнителя с излишними, не нужными ему для работы классифицированными сведениями.
В целях обеспечения правомерного и обоснованного доступа исполнителя к сведениям, составляющим коммерческую тайну фирмы, рекомендуется разрабатывать и внедрять на предприятиях соответствующую разрешительную систему.
Под доступом понимается получение письменного разрешения руководителя фирмы (или, с его санкции, других руководящих лиц) на выдачу тому или иному сотруднику конкретных (или в полном объеме) закрытых сведений с учетом его служебных обязанностей (должностных полномочий).
Оформление доступа к КТ может производиться в соответствии с утвержденным директором Положением о разрешительной системе доступа, где юридически закрепляются полномочия должностных лиц предприятия по распределению информации и пользовании ею. Руководитель организации может разрешить пользование любой охраняемой информацией любому работнику данного предприятия или лицу, прибывшему на объект из другой организации для решения каких-либо вопросов, если в отношении этих сведений не установлены ограничения на ознакомление со стороны производственно-коммерческих партнеров по совместному производству и т.п. Так, в ООО «Ласпи» рекомендуется ограничить доступ к информации, являющейся коммерческой тайной (договора с поставщиками и клиентами, итоговые отчеты о сделках), следующими сотрудниками:
1.учредитель фирмы.
2.директор фирмы.
3.секретарь директора.
Санкцию на доступ к информации другим сотрудникам могут давать только учредитель и директор фирмы.
Доступ к информации о текущих сделках с клиентами должны иметь все перечисленные выше сотрудники и менеджеры, которые ведут эти сделки.
Исходная информация о закупочных ценах на оборудование должна быть так же ограничена. Доступ к ней имеют только учредитель, директор фирмы, которые остальным сотрудникам предоставляют только уже проработанные цены (с различными «накрутками»), а так же секретарь, который ведет весь документооборот в организации.
Эффективная работа разрешительной системы возможна только при соблюдении определенных правил:
1. Разрешительная система в качестве обязательного для выполнения правила включает в себя дифференцированный подход к разрешению доступа, учитывающий важность классифицированных сведений, в отношении которых решается вопрос о доступе.
2. Необходимо документальное отражение выданного разрешения на право пользования теми или иными защищаемыми сведениями. Это означает, что руководитель, давший разрешения на право пользования, должен его в обязательном порядке зафиксировать в письменном виде на соответствующем документе или в действующей на предприятии учетной форме. Никакие устные указания и просьбы о доступе кого бы то ни было (за исключением руководителя предприятия) не имеют юридической силы. Это требование относится и к руководителям всех уровней, работающих с классифицированной информацией и ее носителями. Таким образом, только письменное разрешение руководителя (в рамках полномочий) является разрешением для выдачи тому или иному лицу охраняемых сведений.
3. Следует строго соблюдать принцип контроля. Каждое разрешение должно иметь дату его оформления и выдачи.
Широкое распространение имеет такой традиционный вид разрешения как резолюция руководителя на самом классифицированном документе. Такое разрешение должно содержать перечень фамилий сотрудников, обязанных ознакомиться с документами или их исполнить, срок исполнения, другие указания, подпись руководителя и дату. Руководитель может при необходимости предусмотреть ограничения в доступе конкретных сотрудников к определенным сведениям.
Резолюция, как вид разрешения, применяется главным образом для оперативного доведения до заинтересованных лиц закрытой информации, содержащихся в документах и изделиях, поступаемых извне и создаваемых на предприятии.
Руководитель предприятия может дать разрешение на доступ в распорядительных документах: приказах, указаниях, распоряжениях по предприятию. В них должны содержать фамилии, должности лиц, конкретные классификационные документы и изделия, к которым они могут быть допущены (ознакомлены).
Другой вид разрешений - по фамильные списки лиц, имеющих право знакомиться и производить какие-либо действия с классифицированными документами и изделиями. По фамильные списки утверждаются директором предприятия или в соответствии с действующей разрешительной системой руководителями, занимающими, как правило, должности не ниже руководителей соответствующих подразделений.
По фамильные списки лиц могут использоваться при организации доступа к классифицированным документам и изделиям, имеющим особо важное значение для предприятия, при оформлении доступа в режимные помещения, на различного рода закрытые мероприятия (конференции, совещания, выставки, заседания научно-технических советов и т.п.). В по фамильных списках могут быть определены конкретные руководители, которые допускаются руководителем ко всем закрытым документам и изделиям без соответствующих письменных разрешений. В них указывается Ф.И.О. исполнителя работ, отдел, занимаемая должность, категория документов и изделий, к которым он допущен. На практике применим и вариант должностных списков, в которых указывается: должность исполнителя, объем документов (категории документов) и типы изделий, которыми необходимо пользоваться работникам предприятий, занимающим соответствующую списку должность. Следует отметить, что для предприятий с небольшим объемом классифицированных документов и изделий может оказаться достаточным использование таких видов разрешения, как резолюция руководителя на самом документе, по фамильные списки, должностные списки.
В организационном плане по фамильные списки должны готовиться заинтересованными руководителями структурных подразделений. Перечень сотрудников, вошедших в список, визируется начальником СБ и утверждается руководителем предприятия, который может делегировать права утверждения другим лицам из числа дирекции.
Разрешительная система должна отвечать следующим требованиям:
· распространяться на все виды классифицированных документов и изделий, имеющихся на предприятии, независимо от их место нахождения и создания;
· определять порядок доступа всех категорий сотрудников, получивших право работать с КТ, а также специалистов, временно прибывших на предприятие и имеющих отношение к совместным закрытым заказам;
· устанавливать простой и надежный порядок оформления разрешений на доступ к охраняемым документам и изделиям, позволяющий незамедлительно реагировать на изменения в области информации на предприятии;
· четко разграничивать права руководителей различных должностных уровней в оформлении доступа соответствующих категорий исполнителей;
· исключать возможность бесконтрольной и несанкционированной выдачи документов и изделий кому бы то ни было;
· не разрешать лицам, работающим с классифицированной информацией и объектами, вносить изменения в четные данные, а также подменять учетные документы.
При разработке разрешительной системы особое внимание должно быть уделено выделению главных, особо ценных для предприятия сведений, что позволит обеспечить к ним строго ограниченный доступ. При наличии совместных работ с другими предприятиями (организациями), иностранными фирмами или их отдельными представителями, необходимо предусмотреть порядок доступа этих категорий к коммерческой тайне предприятия. Целесообразно определить порядок взаимодействия с представителями обслуживающих государственных организаций: технадзором, санэпидемстанцией и др.
В Положение о разрешительной системе фирмы необходимо указать, что передача классифицированных документов и изделий от исполнителя к исполнителю возможна только в пределах структурного подразделения и с разрешения его руководителя. Передача, возврат таких документов изделий производится по установленному на фирме порядку и только в течение рабочего времени данного дня.
Вся классифицированная документация и изделия, поступившие на предприятие и разработанные на нем, принимаются и учитываются руководством среднего звена и секретарем. После регистрации документация передается на рассмотрение руководителю предприятия под расписку.
В Положение о разрешительной системе фирмы необходимо указать, что закрытые совещания по служебным вопросам проводятся только с разрешения руководителя фирмы или его заместителей. Особые требования могут распространяться на заседания ученых советов, совещания по рассмотрению результатов НИОКР и финансово-коммерческой деятельности и т.п. На такие мероприятия рекомендуется в обязательном порядке оформлять разрешительные списки и включать в них лишь тех сотрудников предприятия, которые имеют непосредственное отношение к планируемым мероприятиям и участие в которых вызывается служебной необходимостью.
Как уже отмечалось выше, сотрудники других фирм могут участвовать в закрытых совещаниях только с персонального разрешения руководства фирмы. Готовит списки, как правило, ответственный за организацию совещания в контакте с заинтересованными руководителями структурных подразделений. Список является основанием для организации контроля за допуском на данное совещание. Перед началом совещания присутствующие предупреждаются, что обсуждаемая информация носит закрытый характер и не подлежит распространению за пределы установленной фирмой сферы обращения, и выдает инструкции по порядку ведения записей.
Важно подчеркнуть, что установление на фирме определенного порядка обращения с закрытой информацией и изделиями существенным образом повышает надежность защиты коммерческой тайны, снижает вероятность разглашения, утраты носителей этих сведений.
Для обеспечения сохранности документации предлагается закупить соответствующую мебель, которая позволяет надежно запирать документы. Так же необходимо каждый день, перед уходом, опечатывать шкафы.
Ключи от сейфа и шкафов должны сдаваться службе безопасности под роспись. Так же рекомендуется приобрести специальный тубус для хранения ключей и так же его опечатывать.
Особое внимание следует уделить безопасности компьютерной информации. В ООО «Ласпи» сегодня создано несколько баз данных: клиенты фирмы (с указанием не только их рабочих адресов и телефонов, но и домашних, а также сведений носящих личный характер); база данных, содержащая цены и характеристику поставляемого оборудования; база данных сотрудников организации. Так же в компьютере хранятся различные договора, соглашения и т.п.
В любом случае, попадание этой информации в руки конкурентов крайне нежелательно. Для предотвращения такого развития событий рекомендуется создание паролей для доступа в каждую базу данных (а программные средства позволяют это реализовать). При загрузке компьютера так же рекомендуется ставить двухуровневую защиту (при загрузке BIOS и при загрузке OS Windows’2000, которая не позволяет беспарольный доступ к содержимому винчестера, в отличие от предыдущих версий этой операционной системы). Естественно, пароли так же должны быть доступны только тем сотрудникам фирмы, которые непосредственно работают с этими базами данных (секретарь, руководители, программисты).
В случае возникновения каких-либо проблем, связанных с компьютером и необходимости обращения в постороннюю фирму, необходимо полностью контролировать процесс ремонта техники. Так как именно в такой момент, когда сняты все пароли, когда программист «со стороны» имеет свободный и беспрепятственный доступ к содержимому жесткого диска, возможно изъятие им информации и дальнейшее ее использование в различных целях.
Необходимо постоянно обновлять антивирусные программы с целью препятствования попадания и распространения вирусов в компьютерах.
Особое внимание необходимо уделить вопросам приема новых сотрудников на работу. Сегодня во многих организациях практикуется ужесточенный подход к этому процессу, что связано с желанием сохранить информацию внутри фирмы и не дать ей выйти за ее пределы из-за «человеческого фактора».
Если в большинстве случаев прием на работу осуществляется в два этапа (они кратко изложены выше), то здесь предлагается четыре этапа.
1. Беседа с начальником отдела кадров. Начальник отдела кадров знакомится с кандидатом, его резюме, задает вопросы по профессиональной деятельности, делая предварительные пометки. Этот этап носит профессиональный характер. Затем начальник отдела кадров анализирует полученную информацию от кандидатов и передает ее руководителю.
2. Руководить знакомиться с резюме кандидатов и заметками о них начальника отдела кадров, выбирая наиболее подходящих и приглашает к себе на собеседование. Собеседование носит личностный характер и предполагает нестандартные вопросы (например, что человек любит есть, какое у него хобби и т.п.) Таким образом руководитель получает информацию для принятия решения о том, насколько для него подходит этот человек, прогнозирует возможные проблемы, с которыми он может столкнуться при общении с этим кандидатом.
3. Тестирование. Здесь уже определяется уровень интеллекта сотрудника, составляется его психологический портрет на основе различных тестов. Но сначала необходимо определить, каким хотят видеть нового сотрудника его руководитель и коллеги.
4. Служба безопасности. Здесь предлагаются два этапа: а) проверка кандидатов в различных инстанциях (привлекался ли к суду, отбывал ли срок в местах лишения свободы, стоит ли на учете в наркологическом диспансере, соответствуют ли действительности сведения, которые он предоставил о предыдущих местах работы); б) проверка на специальной аппаратуре, которую чаще всего называют «детектором лжи». На втором этапе определяется, насколько сотрудник лоялен к фирме, какие у него реакции на провокационные вопросы (например, что он будет делать, если узнает, что кто-то из его коллег берет документы домой) и т.д.
И только после того, как кандидат прошел все эти четыре стадии, можно принимать решение – брать ли его на работу или нет.
После того, как вынесено положительное решение, сотруднику устанавливается испытательный срок (по законодательству РФ он может варьироваться от 1 месяца до трех, но рекомендуется не меньше 2 месяцев, а лучше 3). В течение испытательного срока руководство и служба безопасности должны присматриваться к новому сотруднику, наблюдать за его деятельностью.
Кроме того, сразу же при приеме на работу необходимо наряду с заключением трудового договора, подписание соглашения о неразглашении коммерческой тайны. Рекомендуемые пункты этого соглашения:
Это не полный перечень того, что может быть включено в соглашение.
Заключение
Сегодня вопрос об организации информационной безопасности волнует организации любого уровня – начиная с крупных корпораций, и заканчивая предпринимателями без образования юридического лица. Конкуренция в современных рыночных отношениях далеко от совершенства и часто ведется не самыми легальными способами. Процветает промышленный шпионаж. Но нередки и случае непреднамеренного распространения информации, относящейся к коммерческой тайне организации. Как правило, здесь играет роль халатность сотрудников, непонимание ими обстановки, иными словами, «человеческий фактор».
В курсовой работе представлен проект управленческого решения по организации информационной безопасности в ООО «Ласпи». Проект затрагивает три основные сферы организации безопасности: 1. документационная сфера (доступ к материалам, представленным на бумажных носителях, с разграничением этого доступа); 2.компьютерная безопасность; 3. безопасность в плане приема на работу новых сотрудников.
Следует учитывать, что хоть данный проект и разработан под конкретную организацию, его положения могут использоваться и для организации безопасности в других фирмах, относящихся к разряду средних.
Здесь конечно двоякое отношение может быть... Пожалуй, следует уточнить - вероятность того, что посвященный в тайны предприятия работник сольет информацию на сторону должна быть минимальной. А это - тоже часть концепции ИБ.
Интересен и тот факт, что информационный ландскнехт может как профессионал менять хозяина. Не всегда этика и материальная сторона совместимы. Тем более, что одно дело - когда дело идет о безопасности страны, а другое - когда человек охраняет абстрактное юридическое лицо, которое не факт, что его не кинет под танк. Тоже наблюдал такие случаи... Порядочные и уважаемые люди иногда в результате оставались в... (ну, в луже что ли - как мягче выразиться?). Но! За ними ведь стоит семья! И тогда решается вопрос приоритета самого скользкого понятия - "долга" - кому больше должен - семье или предприятию? Должна ли семья страдать из-за предприятия? А это ведь - причина разрушения многих семей и тоски в глазах детей - "...а я помню вот как мы с папкой!..." Я не драматизирую - я вспоминаю те времена, которые были несколько раньше и сравниваю их с прогнозами будущих месяцев и лет. Думаю, что стоит провести параллели - увеличение уровня преступности, попустительства, образованности информационных диверсантов и т.п.
Поэтому на самом деле Денис поднял в этой конференции крайне важную тему, которая переросла в дискуссию о более глубоких вопросах безопасности.
На этой неделе должна выйти в свет пробным тиражом моя книга - "Теория безопасности", анонсы некоторых глав из которой мы опубликовали в нашем "Кадровом рентгене" - http://www.absg.ru/test - там я рассматриваю вопросы информационных войн, противостояние концепций безопасности, значение личностей в системах безопасности и др. К сожалению, по условиям издательства я определенное время не распоряжаюсь этой книгой, поэтому спрошу разрешения выложить хотя бы одну главу полностью на обозрение и суд уважаемых коллег.
Александру Т:
"Хотя понятие профессиональная этика для меня не "пустой звук":
Александр! На самом деле очень приятно сознавать, что есть такие люди, которые могут считать себя определенной кастой. Кастой неподкупных людей. Это качество как нельзя лучше должно сочетаться с понятиями справедливости и морали.
Если уважаемые коллеги не сочтут за труд - прошу посмотреть 2 ссылки -
http://train.absg.ru/?p=19 - моральный кодекс, который мы предлагаем соблюдать всем гражданам и как минимум - придерживаться основных его принципов, анализируя свои действия с точки зрения морали. А также
http://www.absg.ru/5mln в разделе мультимедийных версий - я взял на себя смелость прокомментировать декларацию о правах человека и конституцию. К сожалению, текстовый вариант никак не могу найти кроме как в тексте журнала.
Извините, что м.быть несколько не в тему - просто почему-то затронуло что-то в душе фраза о проф.этике... Если оглянуться - ... да что там говорить - на вес золота она сейчас и так же крупицами по земле рассыпана как золотой песок по недрам!..
Министерство образования и науки Российской Федерации
федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования
"ПЕРМСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ
ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ"
Контрольная работа
по дисциплине
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ
Тема "Информационная безопасность в бизнесе на примере ОАО "Альфа-банк"
Выполнила студентка
группа ФК-11Б:
Смышляева Мария Сергеевна
Проверил преподаватель:
Шабуров Андрей Сергеевич
Пермь - 2013
Введение
Заключение
Список литературы
Введение
Информационные ресурсы большинства компаний являются одними из наиболее ценных ресурсов. По этой причине коммерческая, конфиденциальная информация и персональные данные должны быть надежно защищены от неправомерного использования, но в то же время легко доступны субъектам, участвующим в обработке данной информации или использующим ее в процессе выполнения возложенных задач. Использование для этого специальных средств способствует устойчивости бизнеса компании и его жизнеспособности.
Как показывает практика, вопрос организации защиты бизнеса в современных условиях стал наиболее актуальным. "Вскрываются" интернет-магазины и опустошаются кредитные карточки покупателей, казино и тотализаторы подвергаются шантажу, корпоративные сети попадают под внешнее управление, компьютеры "зомбируются" и включаются в бот-сети, а мошенничество с использованием похищенных персональных данных приобретает характер бедствия национального масштаба.
Поэтому руководители компаний должны осознавать важность информационной безопасности, научиться прогнозировать тенденции в этой области и управлять ими.
Целью данной работы является выявление достоинств и недостатков системы обеспечения информационной безопасности бизнеса на примере банка "Альфа-банк".
Характеристика деятельности ОАО "Альфа-Банк"
Альфа-Банк основан в 1990 году. Альфа-Банк является универсальным банком, осуществляющим все основные виды банковских операций, представленных на рынке финансовых услуг, включая обслуживание частных и корпоративных клиентов, инвестиционный банковский бизнес, торговое финансирование и управление активами.
Головной офис Альфа-Банка располагается в Москве, всего в регионах России и за рубежом открыто 444 отделений и филиалов банка, в том числе дочерний банк в Нидерландах и финансовые дочерние компании в США, Великобритании и на Кипре. В Альфа-Банке работает около 17 тысяч сотрудников.
Альфа-Банк является крупнейшим российским частным банком по размеру совокупных активов, совокупному капиталу и размеру депозитов. В банке имеется большая клиентская база как корпоративных клиентов, так и физических лиц. Альфа-Банк развивается как универсальный банк по основным направлениям: корпоративный и инвестиционный бизнес (включая малый и средний бизнес (МСБ), торговое и структурное финансирование, лизинг и факторинг), розничный бизнес (включая систему банковских филиалов, автокредитование и ипотеку). Особое внимание оказывается развитию банковских продуктов корпоративного бизнеса в массовом и МСБ сегментах, а также развитию удаленных каналов самообслуживания и интернет-эквайринга. Стратегическими приоритетами Альфа-Банка являются поддержание статуса лидирующего частного банка в России, укрепление стабильности, повышение прибыльности, установление отраслевых стандартов технологичности, эффективности, качества обслуживания клиентов и слаженности работы.
Альфа-Банк является одним из самых активных российских банков на мировых рынках капитала. Ведущие международные рейтинговые агентства присваивают Альфа-Банку одни из самых высоких рейтингов среди российских частных банков. Четыре раза подряд он занял первое место по результатам исследования "Индекс впечатления клиента". Сектор розничных банковских услуг после финансового кризиса", проведенного компанией Senteo совместно с PricewaterhouseCoopers. Также в 2012 году Альфа-Банк был признан лучшим интернет банком по версии журнала GlobalFinance, награжден за лучшую аналитику Национальной Ассоциацией Участников Фондового Рынка (НАУФОР), стал лучшим российским частным банком по индексу доверия, рассчитанным исследовательским холдингом Ромир.
Сегодня Банк располагает сетью федерального масштаба, включающей 83 точки продаж. Альфа Банк обладает одной из самых крупных сетей среди коммерческих банков, состоящей из 55 офисов и охватывающей 23 города. В результате увеличения сети у Банка появились дополнительные возможности по увеличению клиентской базы, расширению спектра и качества банковских продуктов, реализации межрегиональных программ, комплексному обслуживанию системообразующих клиентов из числа крупнейших предприятий.
Анализ теоретической базы вопроса информационной безопасности бизнеса
Актуальность
и важность проблемы обеспечения информационной безопасности обусловлена следующими факторами:
·Современные уровни и темпы развития средств информационной безопасности значительно отстают от уровней и темпов развития информационных технологий.
·Высокие темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности. Согласно данным исследований компании Gartner Dataquest в настоящее время в мире более миллиарда персональных компьютеров.
информационная безопасность бизнес банк ·Резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;
В настоящее время значение информации, хранимой в банках, значительно увеличилось, сосредотачивалась важная и зачастую секретная информация о финансовой и хозяйственной деятельности многих людей, компаний, организаций и даже целых государств. Банк хранит и обрабатывает ценную информацию, затрагивающую интересы большого количества людей. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации. Свыше 90% всех преступлений связана с использованием автоматизированных систем обработки информации банка. Следовательно, при создании и модернизации АСОИБ банкам необходимо уделять пристальное внимание обеспечению ее безопасности. Основное внимание нужно уделять компьютерной безопасности банков, т.е. безопасности автоматизированных систем обработки информации банка, как наиболее актуальной, сложной и насущной проблеме в сфере банковской информационной безопасности. Стремительное развитие информационных технологий открыло новые возможности для бизнеса, однако привело и к появлению новых угроз. Современные программные продукты из-за конкуренции попадают в продажу с ошибками и недоработками. Разработчики, включая в свои изделия всевозможные функции, не успевают выполнить качественную отладку создаваемых программных систем. Ошибки и недоработки, оставшиеся в этих системах, приводят к случайным и преднамеренным нарушениям информационной безопасности. Например, причинами большинства случайных потерь информации являются отказы в работе программно-аппаратных средств, а большинство атак на компьютерные системы основаны на найденных ошибках и недоработках в программном обеспечении. Так, например, за первые полгода после выпуска серверной операционной системы компании Microsoft Windows было обнаружено 14 уязвимостей, 6 из которых являются критически важными. Несмотря на то, что со временем Microsoft разрабатывает пакеты обновления, устраняющие обнаруженные недоработки, пользователи уже успевают пострадать от нарушений информационной безопасности, случившихся по причине оставшихся ошибок. Пока не будут решены эти многие другие проблемы, недостаточный уровень информационной безопасности будет серьезным тормозом в развитии информационных технологий. Под информационной безопасностью
понимается защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
В современном деловом мире происходит процесс миграции материальных активов в сторону информационных. По мере развития организации усложняется ее информационная система, основной задачей которой является обеспечение максимальной эффективности ведения бизнеса в постоянно меняющихся условиях конкуренции на рынке. Рассматривая информацию как товар, можно сказать, что обеспечение информационной безопасности в целом может привести к значительной экономии средств, в то время как ущерб, нанесенный ей, приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и как следствие нарушения информационной безопасности, владелец технологии, а может быть и автор, потеряют часть рынка и т.д. С другой стороны, информация является субъектом управления, и ее изменение может привести к катастрофическим последствиям в объекте управления. Согласно ГОСТ Р 50922-2006, обеспечение информационной безопасности - это деятельность, направленная на предотвращение утечки информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Информационная безопасность актуальна как для предприятий, так и для госучреждений. С целью всесторонней защиты информационных ресурсов и осуществляются работы по построению и разработке систем информационной безопасности. Существует множество причин, которые могут серьёзно повлиять на работу локальных и глобальных сетей, привести к потере ценной информации. Среди них можно выделить следующие: Несанкционированный доступ извне, копирование или изменение информации случайные или умышленные действия, приводящие к: искажению либо уничтожению данных; ознакомление посторонних лиц с информацией, составляющей банковскую, финансовую или государственную тайну. Некорректная работа программного обеспечения, приводящая к потере или порче данных из-за: ошибок в прикладном или сетевом ПО; заражения систем компьютерными вирусами. Технические сбои оборудования, вызванные: отключением электропитания; отказом дисковых систем и систем архивации данных; нарушением работы серверов, рабочих станций, сетевых карт, модемов. Ошибки обслуживающего персонала. Конечно, универсального решения, исключающего все перечисленные причины, нет, однако во многих организациях разработаны и применяются технические и административные меры, позволяющие риск потери данных или несанкционированного доступа к ним свести к минимуму. На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности, который применяется и в "Альфа-Банке": ·средства идентификации и аутентификации пользователей (так называемый комплекс 3А);
·средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
·межсетевые экраны;
·виртуальные частные сети;
·средства контентной фильтрации;
·инструменты проверки целостности содержимого дисков;
·средства антивирусной защиты;
·системы обнаружения уязвимостей сетей и анализаторы сетевых атак.
"Комплекс 3А" включает аутентификацию (или идентификацию), авторизацию и администрирование. Идентификация
и авторизация - это ключевые элементы информационной безопасности. При попытке доступа к какой - либо программе функция идентификации дает ответ на вопрос: "Кто вы?" и "Где вы?", являетесь ли вы авторизованным пользователем программы. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий. В "Альфа-Банке" при открытии программ запрашивается пароль и логин каждого сотрудника, а при осуществлении каких-либо операций в некоторых случаях нужна авторизация руководителя или его заместителя в отделении. Межсетевой экран
представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных. Основной принцип действия межсетевых экранов. проверка каждого пакета данных на соответствие входящего и исходящего IP_адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.
Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network - VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам. Эффективное средство защиты от потери конфиденциальной информации. Фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется. Современные антивирусные
технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix - и Linux_системы, Novell) на процессорах различных типов. Фильтры спама значительно уменьшают непроизводительные трудозатраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда, положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду с мусорными удаляет или маркирует как спам и полезные сообщения, деловые или личные.
Можно выделить несколько наиболее типичных видов и способов информационных угроз:
Рассекречивание и кража коммерческой тайны. Если раньше секреты хранились в потайных местах, в массивных сейфах, под надежной физической и (позднее) электронной защитой, то сегодня многие служащие имеют доступ к офисным базам данных, нередко содержащим весьма чувствительную информацию, например, те же данные о клиентах. Распространение компрометирующих материалов. То есть умышленное или случайное использование сотрудниками в электронной переписке таких сведений, которые бросают тень на репутацию банка. Посягательство на интеллектуальную собственность. Важно не забывать, что любой интеллектуальный продукт, производимый в банках, как и в любой организации, принадлежит ей и не может использоваться сотрудниками (в том числе генераторами и авторами интеллектуальных ценностей) иначе как в интересах организации. Между тем, в России по этому поводу часто возникают конфликты между организациями и служащими, претендующими на созданный ими интеллектуальный продукт и использующими его в личных интересах, в ущерб организации. Это нередко происходит из-за расплывчатой правовой ситуации на предприятии, когда в трудовом контракте нет четко прописанных норм и правил, очерчивающих права и обязанности служащих. Распространение (часто неумышленное) внутренней информации, не секретной, но могущей быть полезной для конкурентов (других банках). Посещения сайтов банков-конкурентов. Сейчас все больше компаний используют на своих открытых сайтах программы (в частности, предназначенные для CRM), которые позволяют распознавать посетителей и детально отслеживать их маршруты, фиксировать время, длительность просмотра ими страниц сайта. Сайты конкурентов были и остаются ценным источником для анализа и прогноза. Злоупотребление офисными коммуникациями в личных целях (прослушивание, просмотр музыкального и прочего контента, не имеющего отношения к работе, загрузка офисного компьютера) не несет прямой угрозы для информационной безопасности, но создает дополнительные нагрузки на корпоративную сеть, снижает эффективность, мешает работе коллег. И, наконец, внешние угрозы - несанкционированные вторжения и т.п. Правила, принятые в банке, должны соответствовать как национальному, так и международно-признанным нормам защиты государственных и коммерческих тайн, персональной и приватной информации.
Организационная защита информации в "Альфа-Банке"
В ОАО "Альфа Банк" реализована политика безопасности, основанная на избирательном способе управления доступом. Такое управление в ОАО "Альфа Банк" характеризуется заданным администратором множеством разрешенных отношений доступа. Матрица доступа заполняется непосредственно системным администратором компании. Применение избирательной политики информационной безопасности соответствует требованиям руководства и требований по безопасности информации и разграничению доступа, подотчетности, а также имеет приемлемую стоимость ее организации. Реализацию политики информационной безопасности полностью возложено на системного администратора ОАО "Альфа Банк". Наряду с существующей политикой безопасности в компании ОАО "Альфа Банк", используется специализированные аппаратные и программные средства обеспечения безопасности. В качестве аппаратного средства обеспечения безопасности используется средство зашиты - Cisco 1605. Маршрутизатор снабжен двумя интерфейсами Ethernet (один имеет интерфейсы TP и AUI, второй - только TP) для локальной сети и одним слотом расширения для установки одного из модулей для маршрутизаторов серии Cisco 1600. В дополнение к этому программное обеспечение Cisco IOSFirewallFeatureSet делает из Cisco 1605-R идеальный гибкий маршрутизатор/систему безопасности для небольшого офиса. В зависимости от установленного модуля маршрутизатор может поддерживать соединение, как через ISDN, так и через коммутируемую линию или выделенную линию от 1200 бит/сек до 2Мбит/сек, FrameRelay, SMDS, x.25. Для защиты информации владелец ЛВС должен обезопасить "периметр" сети, например, установив контроль в месте соединения внутренней сети с внешней сетью. Cisco IOS обеспечивает высокую гибкость и безопасность как стандартными средствами, такими как: Расширенные списки доступа (ACL), системами блокировки (динамические ACL) и авторизацией маршрутизации. Кроме того Cisco IOS FirewallFeatureSet доступный для маршрутизаторов серии 1600 и 2500 обеспечивает исчерпывающие функции системы защиты включая: контекстное Управление Доступом (CBAC) блокировка Java журнал учета обнаружение и предотвращение атак немедленное оповещение Кроме того, маршрутизатор поддерживает работу виртуальных наложенных сетей, туннелей, систему управления приоритетами, систему резервирования ресурсов и различные методы управления маршрутизацией. В качестве программного средства защиты используется решение KasperskyOpenSpaceSecurity. KasperskyOpenSpaceSecurity полностью отвечает современным требованиям, предъявляемым к системам защиты корпоративных сетей: решение для защиты всех типов узлов сети; защита от всех видов компьютерных угроз; эффективная техническая поддержка; "проактивные" технологии в сочетании с традиционной сигнатурной защитой; инновационные технологии и новое антивирусное ядро, повышающее производительность; готовая к использованию система защиты; централизованное управление; полноценная защита пользователей за пределами сети; совместимость с решениями сторонних производителей; эффективное использование сетевых ресурсов. Разрабатываемая система должна обеспечивать полный контроль, автоматизированный учёт и анализ защиты персональной информации, позволять уменьшить время обслуживания клиентов, получать информацию о кодах защиты информации и персональных данных. Для формирования требования к разрабатываемой системе, необходимо сформировать требования к организации БД, информационной совместимости к разрабатываемой системе. В основу проектирования баз данных должны быть положены представления конечных пользователей конкретной организации - концептуальные требования к системе. В данном случае, ИС содержит данные о сотрудниках фирмы. Одной из технологий, которая существенно иллюстрирует работу информационной системы, является разработка схемы документооборота для документов. Функции разрабатываемой системы могут быть достигнуты, за счет использования вычислительной техники и программных средств. Учитывая, что поиск информации, сведений и документов учета в деятельности специалистов банка составляют порядка 30% рабочего времени, то внедрение автоматизированной системы учета позволит существенно высвободить квалифицированных специалистов, может привести к экономии фонда заработанной платы, уменьшения штата сотрудников, однако могут привести к и введению в штат сотрудников отдела штатной единицы оператора, в обязанности которого будет входить ввод сведений о протекающих бизнес-процессах: документов учета персональных данных и кодов доступа. Необходимо отметить, что внедрение разрабатываемой системы, позволит снизить, а в идеале, полностью исключить ошибки учета персональной и информации и кодов защиты. Таким образом, внедрение автоматизированного рабочего места менеджера приведет к значительному экономическому эффекту, сокращению штата сотрудников на 1/3, экономии фонда заработанной платы, повышению производительности труда. В "Альфа-Банке", как и в любом другом банке разработана Политика информационной безопасности, которая определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности. Политика учитывает современное состояние и ближайшие перспективы развития информационных технологий в Банке, цели, задачи и правовые основы их эксплуатации, режимы функционирования, а также содержит анализ угроз безопасности для объектов и субъектов информационных отношений Банка. Основные положения и требования данного документа распространяются на все структурные подразделения Банка, включая дополнительные офисы. Основные вопросы Политика также распространяются на другие организации и учреждения, взаимодействующие с Банком в качестве поставщиков и потребителей информационных ресурсов Банка в том или ином качестве. Законодательной основой настоящей Политики являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации. Политика является методологической основой для: ·формирования и проведения единой политики в области обеспечения безопасности информации в Банке;
·принятия управленческих решений и разработке практических мер по воплощению политика безопасности информации и выработки комплекса согласованных мер, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;
·координации деятельности структурных подразделений Банка при проведении работ по созданию, развитию и эксплуатации информационных технологий с соблюдением требований по обеспечению безопасности информации;
·разработки предложений по совершенствованию правового, нормативного, технического и организационного обеспечения безопасности информации в Банке.
Системный подход к построению системы защиты информации в Банке предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности информации Банка. Обеспечение безопасности информации
- процесс, осуществляемый Руководством Банка, подразделениями защиты информации и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени или совокупность средств защиты, сколько процесс, который должен постоянно идти на всех уровнях внутри Банка и каждый сотрудник Банка должен принимать участие в этом процессе. Деятельность по обеспечению информационной безопасности является составной частью повседневной деятельности Банка. И ее эффективность зависит от участия руководства Банка в обеспечении информационной безопасности.
Кроме того, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления защиты. Персональная ответственность
предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.
В "Альфа-Банке" постоянно осуществляется контроль, за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей. В банке разработаны следующие организационно-распорядительные документы: ·Положение о коммерческой тайне. Указанное Положение регламентирует организацию, порядок работы со сведениями, составляющими коммерческую тайну Банка, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения, составляющим коммерческую тайну Банка, государственным (коммерческим) учреждениям и организациям;
·Перечень сведений, составляющих служебную и коммерческую тайну. Перечень определяет сведения, отнесенные к категориям конфиденциальных, уровень и сроки обеспечения ограничений по доступу к защищаемой информации;
·Приказы и распоряжения по установлению режима безопасности информации:
·допуске сотрудников к работе с информацией ограниченного распространения;
·назначении администраторов и лиц, ответственных за работу с информацией ограниченного распространения в корпоративной информационной системе;
·Инструкции и функциональные обязанности сотрудникам:
·по организации охранно-пропускного режима;
·по организации делопроизводства;
·по администрированию информационных ресурсов корпоративной информационной системы;
·другие нормативные документы.
Заключение
Сегодня вопрос об организации информационной безопасности волнует организации любого уровня - начиная с крупных корпораций, и заканчивая предпринимателями без образования юридического лица. Конкуренция в современных рыночных отношениях далека от совершенства и часто ведется не самыми легальными способами. Процветает промышленный шпионаж. Но нередки и случаи непреднамеренного распространения информации, относящейся к коммерческой тайне организации. Как правило, здесь играет роль халатность сотрудников, непонимание ими обстановки, иными словами, "человеческий фактор". Альфа-Банк обеспечивает защиту следующей информации: коммерческую тайну банковская тайна банковские документы (отчеты Отдела безопасности, годовая смета банка, инф. о доходах сотрудников банка и др.) Информацию в банке защищают таких угроз, как: ·Естественные
·Искусственные угрозы (непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала и т.п.; преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников).
Источники угроз по отношению к самой информационной системе могут быть как внешними, так и внутренними. Список литературы
1. Указ Президента РФ "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17.03.2008 №351; Галатенко, В.А. Основы информационной безопасности. Интернет-университет информационных технологий. ИНТУИТ. ру, 2008; Галатенко, В.А. Стандарты информационной безопасности. Интернет-университет информационных технологий. ИНТУИТ. ру, 2005;
