Informationssäkerhet i företaget. Koncept och typer av hot mot affärsinformationssäkerhet Affärsinformationssäkerhet som ett system

Informationssäkerhet företag
Skydd av företagsinformation

*Från Wikipedia

Informationssäkerhet- detta är säkerhetsläget för informationsmiljön. Informationsskydd är en aktivitet för att förhindra läckage av skyddad information, otillåten och oavsiktlig påverkan på skyddad information, det vill säga en process som syftar till att uppnå detta tillstånd.

Företagsinformationssäkerhet: internt hot

Ett antal seriösa specialister inom organisationens informationssäkerhet kallar det interna hotet det viktigaste och ger det upp till 80 % av det totala antalet potentiella risker. Faktum är att om vi tar hänsyn till den genomsnittliga skadan från hackerattacker, kommer den att vara nära noll, på grund av det stora antalet hackningsförsök och deras mycket låga effektivitet. Ett enstaka fall av personalfel eller framgångsrikt insiderbrott kan kosta företaget mångmiljonförluster (direkta och indirekta), rättstvister och ryktbarhet i kundernas ögon. Faktum är att själva existensen av företaget kan vara hotad och detta är tyvärr en realitet. Hur man tillhandahåller ? Hur skyddar du dig mot informationsläckor? Hur identifierar och förebygger man ett internt hot i tid? Vilka metoder för att bekämpa det är mest effektiva idag?

Fienden finns inombords

Nästan alla anställda med tillgång till konfidentiell företagsinformation kan bli en intern angripare eller insider. Motivationen för en insiders agerande är inte alltid uppenbar, vilket medför betydande svårigheter att identifiera honom. En nyligen sparkad anställd som hyser agg mot sin arbetsgivare; en oärlig arbetare som vill tjäna extra pengar genom att sälja data; moderna Herostratus; en speciellt inbäddad agent för en konkurrent eller kriminell grupp - det här är bara några arketyper av en insider.

Roten till alla problem som illvilliga insiderhandlingar kan medföra ligger i att underskatta vikten av detta hot. Enligt en studie utförd av Perimetrix leder läckan av mer än 20 % av ett företags konfidentiella information i de flesta fall till dess kollaps och konkurs. Särskilt vanliga, men fortfarande de mest utsatta, offren för insiders är finansiella institut, och av alla storlekar - med en personalstyrka på hundratals till flera tusen anställda. Trots det faktum att företag i de flesta fall försöker dölja eller avsevärt underskatta de verkliga siffrorna för skada från insiders agerande, är även de officiellt tillkännagivna förlustbeloppen verkligen imponerande. Mycket mer smärtsamma än de ekonomiska förlusterna för företaget är skadan på företagets rykte och en kraftig nedgång i kundernas förtroende. Ofta kan indirekta förluster vara många gånger större än faktiska direkta skador. Således är fallet med Liechtenstein-banken LGT allmänt känt, när en bankanställd 2008 överlämnade en databas med insättare till underrättelsetjänsterna i Tyskland, USA, Storbritannien och andra länder. Som det visade sig använde ett stort antal utländska kunder till banken den speciella LGT-statusen för att genomföra transaktioner som kringgick gällande skattelagar i deras länder. En våg av finansiella utredningar och relaterade rättstvister svepte över världen, och LGT Bank förlorade alla sina betydande kunder, led kritiska förluster och kastade hela Liechtenstein i en allvarlig ekonomisk och diplomatisk kris. Du behöver inte heller leta långt efter mycket färska exempel - i början av 2011 erkändes faktumet av läckage av personlig information från kunder av en sådan finansjätte som Bank of America. Som ett resultat av bedrägliga aktiviteter, information som innehåller namn, adresser, person- och telefonnummer, bankkontonummer och körkort, adresser E-post, PIN-koder och andra personuppgifter för insättare. Det är osannolikt att det kommer att vara möjligt att exakt bestämma den verkliga omfattningen av bankens förluster, om inte beloppet officiellt tillkännagavs som "mer än 10 miljoner dollar." Orsaken till dataläckan var agerande av en insider som överförde information till en organiserad kriminell grupp. Det är dock inte bara banker och fonder som hotas av insiderattacker, det räcker med att påminna om ett antal högprofilerade skandaler relaterade till publiceringen av konfidentiella uppgifter om WikiLeaks-resursen - enligt experter erhölls en rättvis del av informationen; genom insiders.

Livets prosa

Oavsiktlig skada på konfidentiell företagsdata, dess läckage eller förlust är en mycket vanligare och prosaisk sak än skada orsakad av insiders. Slarv av personal och brist på korrekt teknisk support för informationssäkerhet kan orsaka ett direkt läckage av företagshemligheter. Sådan försummelse orsakar inte bara allvarlig skada på företagets budget och rykte, utan kan också orsaka omfattande offentlig dissonans. Efter att ha rymt ut i det vilda blir hemlig information inte en egendom för en smal krets av angripare, utan för alla informationsutrymme– läckan diskuteras på internet, i tv, i pressen. Låt oss komma ihåg den högljudda skandalen med publiceringen av SMS-meddelanden från den största ryska operatören cellulär kommunikation"Megafon". På grund av ouppmärksamhet teknisk personal, SMS-meddelanden indexerades av sökmotorer på Internet och korrespondens från prenumeranter innehållande både personliga och av affärsmässig karaktär. Ett mycket nyligen fall: publicering av personliga uppgifter om kunder Pensionsfond Ryssland. Ett misstag av företrädare för ett av fondens regionkontor ledde till indexering personlig information 600 personer - namn, registreringsnummer, detaljerade sparbelopp för pensionsfondkunder kunde läsas av alla Internetanvändare.

En mycket vanlig orsak till konfidentiella dataläckor på grund av vårdslöshet är relaterad till den dagliga rotationen av dokument inom företaget. Till exempel kan en anställd kopiera en fil som innehåller känslig data till en bärbar dator, USB-enhet eller handdator för att arbeta med data utanför kontoret. Dessutom kan informationen hamna på en filvärdtjänst eller den anställdes personliga e-post. I sådana situationer är uppgifterna helt försvarslösa för angripare som kan dra fördel av en oavsiktlig läcka.

Gyllene rustningar eller kroppsrustningar?

För att skydda mot dataläckage skapar informationssäkerhetsbranschen en mängd olika informationsläckageskyddssystem, traditionellt kallade förkortningen DLP från engelska. Förebyggande av dataläckage. Som regel är dessa komplexa programvarusystem som har bred funktionalitet för att förhindra skadligt eller oavsiktligt läckage av sekretessbelagd information. Det speciella med sådana system är att för att de ska fungera korrekt krävs en strikt etablerad struktur för den interna cirkulationen av information och dokument, eftersom säkerhetsanalysen av alla åtgärder med information är baserad på att arbeta med databaser. Detta förklarar den höga kostnaden för att installera professionella DLP-lösningar: redan före direkt implementering måste kundföretaget köpa ett databashanteringssystem (vanligtvis Oracle eller SQL), beställa en dyr analys och revision av inoch utveckla en ny säkerhet politik. En vanlig situation är när mer än 80% av informationen i ett företag är ostrukturerad, vilket ger en visuell uppfattning om omfattningen av förberedande aktiviteter. Självklart kostar även själva DLP-systemet mycket pengar. Det är inte förvånande att bara stora företag redo att spendera miljoner på organisationens informationssäkerhet.

Men vad ska små och medelstora företag göra om de behöver tillhandahålla affärsinformationssäkerhet, men det finns inga medel och möjligheter att implementera ett professionellt DLP-system? Det viktigaste för en företagsledare eller säkerhetsansvarig är att bestämma vilken information som ska skyddas och vilka parter informationsverksamhet utsätta anställda för kontroll. I ryskt företag Den rådande uppfattningen är fortfarande att absolut allt behöver skyddas, utan att sekretessbelägga uppgifter eller beräkna effektiviteten av skyddsåtgärder. Med detta tillvägagångssätt är det ganska uppenbart att ha lärt sig mängden utgifter för företagsinformationssäkerhet, viftar chefen för ett litet och medelstort företag med handen och hoppas på "kanske".

Existera alternativa sätt skydd som inte påverkar databaser och etablerade livscykel information, men ger tillförlitligt skydd mot inkräktares handlingar och anställdas försumlighet. Dessa är flexibla modulära system som fungerar sömlöst med andra säkerhetsverktyg, både hårdvara och mjukvara (till exempel antivirus). Ett väldesignat säkerhetssystem ger ett mycket tillförlitligt skydd mot både externa och interna hot, vilket ger en idealisk balans mellan pris och funktionalitet. Enligt specialister från ett ryskt företag som utvecklar informationssäkerhetssystem SafenSoft, den optimala kombinationen är en kombination av skyddselement mot externa hot (till exempel HIPS för att förhindra intrång, plus en antivirusskanner) med verktyg för att övervaka och kontrollera användar- och applikationsåtkomst till enskilda informationssektorer. Med detta tillvägagångssätt är hela nätverksstrukturen i organisationen helt skyddad från eventuell hackning eller infektion av virus, och sätten att övervaka och övervaka personalens handlingar när de arbetar med information kan effektivt förhindra dataläckor. Om du har all nödvändig arsenal av skyddsutrustning är kostnaden för modulära system tiotals gånger mindre än komplexa DLP-lösningar och kräver inga kostnader för preliminär analys och anpassning informationsstruktur företag.

Så, låt oss sammanfatta. Hot företagsinformationssäkerhetär absolut verkliga och bör inte underskattas. Förutom att motverka externa hot Särskild uppmärksamhet bör fokusera på interna hot. Det är viktigt att komma ihåg att läckor av företagshemligheter inte bara uppstår på grund av uppsåt - som regel orsakas de av en anställds elementära försumlighet och ouppmärksamhet. När man väljer skyddsmedel behöver man inte försöka täcka alla tänkbara och otänkbara hot, det finns helt enkelt inte tillräckligt med pengar och ansträngning för detta. Bygg ett pålitligt modulärt säkerhetssystem som är skyddat från riskerna för externa intrång och låter dig kontrollera och övervaka informationsflödet inom företaget.

Introduktion

Företagsledare måste förstå vikten av informationssäkerhet och lära sig att förutsäga och hantera trender inom detta område.

Dagens verksamhet kan inte existera utan informationsteknologi. Det är känt att cirka 70 % av världens totala nationalprodukt på ett eller annat sätt beror på information som lagras i informationssystem. Det utbredda införandet av datorer har skapat inte bara välkända bekvämligheter, utan också problem, varav det allvarligaste är problemet med informationssäkerhet.

Tillsammans med kontroller för datorer och datanätverk ägnar standarden stor uppmärksamhet åt utveckling av säkerhetspolicyer, arbete med personal (anställning, utbildning, uppsägning), säkerställande av kontinuitet i produktionsprocessen och juridiska krav.

Utan tvekan är detta ämne naturligtvis arbete mycket relevant i moderna förhållanden.

Objekt för kursarbete: informationssäkerhet yrkesverksamhet organisationer.

Forskningens ämne: säkerställande av informationssäkerhet.

I kursarbete det är planerat att skapa ett projekt ledningsbeslut om att organisera informationssäkerhet utifrån en verklig organisation.

Kapitel 1. Yrkesverksamhetens informationssäkerhet

Att säkerställa informationssäkerhet är ett relativt nytt område för specialisters yrkesverksamhet. Huvudmålen för sådana aktiviteter är:

Säkerställa skydd mot externa och interna hot inom området för bildande, distribution och användning av informationsresurser;

Förebyggande av kränkningar av medborgares och organisationers rätt att upprätthålla konfidentialitet och informationshemlighet;

Säkerställa villkor som förhindrar avsiktlig förvanskning eller undanhållande av information i avsaknad av laglig grund för detta.

Kunder till specialister inom detta område är:

Ryska federationens federala myndigheter för statlig makt och administration;

Statliga myndigheter för de ingående enheterna i Ryska federationen;

Statliga institutioner, organisationer och företag;

Försvarsindustrin;

Lokala myndigheter;

Institutioner, organisationer och icke-statliga företag
fast egendom.

Framväxten av den fria, om än olagliga försäljningen av kunddatabasen för mobilkommunikationsföretaget MTS, tvingar oss om och om igen att ta itu med problemet med datorsäkerhet. Det verkar som att detta ämne är outtömligt. Dess relevans är större ju högre grad av datorisering av kommersiella företag och ideella organisationer. Högteknologi, spelar en revolutionerande roll i utvecklingen av företag och nästan alla andra aspekter moderna samhället, gör sina användare mycket sårbara ur informationssynpunkt och i slutändan ekonomisk säkerhet.

Detta är ett problem inte bara i Ryssland, utan i de flesta länder i världen, främst västerländska, även om de har lagar som begränsar tillgången till personlig information och ställer strikta krav på lagringen av den. Marknader erbjuder olika system skydd av datornätverk. Men hur skyddar du dig från din egen "femte kolumn" - skrupelfria, illojala eller helt enkelt vårdslösa anställda som har tillgång till sekretessbelagd information? Den skandalösa läckan av MTS-klientdatabasen kunde tydligen inte ha inträffat utan samverkan eller brottslig försummelse av företagets anställda.

Det verkar som att många, om inte de flesta, företagare helt enkelt inte inser allvaret i problemet. Även i länder med utvecklade marknadsekonomier, enligt vissa studier, har 80 % av företagen inte ett genomtänkt, planerat system för att skydda lagrings- och driftsdatabaser. Vad kan vi säga om oss, vana vid att lita på det berömda "kanske".

Därför är det inte lönlöst att ta upp ämnet om de faror som hotar läckor av konfidentiell information och prata om åtgärder för att minska sådana risker. En publikation i "Legal Times" (21 oktober 2002), en publikation tillägnad juridiska frågor, kommer att hjälpa oss med detta (Mark M. Martin, Evan Wagner, "Vulnerability and Information Security"). Författarna listar de mest typiska typerna och metoderna för informationshot. Vilka exakt?

Avsekretess och stöld av företagshemligheter. Allt är mer eller mindre klart här. Klassiskt, går in på antik historia, ekonomiskt spionage. Om tidigare hemligheter förvarades på dolda platser, i massiva kassaskåp, under tillförlitligt fysiskt och (senare) elektroniskt skydd, har idag många anställda tillgång till kontorsdatabaser som ofta innehåller mycket känslig information, till exempel samma data om klienter.

Distribution av komprometterande material. Här menar författarna avsiktlig eller oavsiktlig användning av anställda i elektronisk korrespondens av information som kastar en skugga över företagets rykte. Till exempel återspeglas företagets namn i domänen för en korrespondent som tillåter förtal, förolämpningar eller kort sagt allt som kan äventyra organisationen i sina brev.

Intrång i immateriella rättigheter. Det är viktigt att inte glömma att alla intellektuella produkter som produceras i en organisation tillhör organisationen och inte kan användas av anställda (inklusive generatorer och författare av intellektuella värderingar) förutom i organisationens intresse. Samtidigt, i Ryssland, uppstår ofta konflikter i denna fråga mellan organisationer och anställda som gör anspråk på den intellektuella produkt de har skapat och använder den för personliga intressen, till nackdel för organisationen. Detta händer ofta på grund av den vaga juridiska situationen på företaget, när arbetskontrakt Det finns inga tydligt definierade regler och förordningar som beskriver anställdas rättigheter och skyldigheter.

Spridning (ofta oavsiktlig) av intern information som inte är hemlig, men som kan vara användbar för konkurrenter. Till exempel om nya vakanser på grund av företagsexpansion, tjänsteresor och förhandlingar.

Besöka konkurrenters webbplatser. Nuförtiden använder fler och fler företag program på sina öppna webbplatser (särskilt de som är designade för CRM) som gör att de kan känna igen besökare och spåra deras rutter i detalj, registrera tiden och varaktigheten av deras visning av webbsidor. Det är tydligt att om ditt besök på en konkurrents webbplats är känd i detalj för dess operatör, så är det inte svårt för den senare att dra slutsatsen vad som intresserar dig exakt. Detta är inte en uppmaning att överge en kritisk kanal för konkurrensunderrättelser. Konkurrenternas webbplatser har varit och förblir en värdefull källa för analys och prognoser. Men när du besöker sajter måste du komma ihåg att du lämnar spår och du blir också bevakad.

Missbruk av kontorskommunikation för personliga ändamål (lyssna på, titta på musik och annat innehåll som inte är relaterat till arbetet, ladda en kontorsdator) utgör inte ett direkt hot mot informationssäkerheten, men skapar ytterligare stress på företagsnätverk, minskar effektiviteten, stör kollegornas arbete.

Och slutligen yttre hot- obehöriga intrång m.m. Detta är ett ämne för en separat seriös konversation.

Hur skyddar du dig från interna hot? 100% garanti mot skador som kan uppstå egna anställda, finns helt enkelt inte. Detta mänskliga faktorn, som inte helt och villkorslöst kan kontrolleras. Samtidigt ger de ovan nämnda författarna hjälpsamma råd- utveckla och implementera en tydligt formulerad kommunikations- (eller informations)policy inom företaget. En sådan policy bör dra en tydlig gräns mellan vad som är tillåtet och vad som inte är tillåtet vid användning av kontorskommunikation. Att korsa gränsen leder till straff. Det måste finnas ett övervakningssystem för vem som använder det och hur dator nätverk. De regler som företaget antar ska följa både nationella och internationellt erkända standarder för skydd av stats- och affärshemligheter, personlig och privat information.

Kapitel 2. Säkerställa informationssäkerhet

professionell verksamhet på Laspi LLC

2.1. en kort beskrivning av LLC "Laspi"

Laspi LLC skapades 1995 som ett representationskontor för ett tjeckiskt företag i Ryssland. Företaget levererar tjeckisk utrustning och Tillbehör för tillverkning av olika betongprodukter (från beläggningsplattor och slutar med staket, blomkrukor, etc.). Utrustningen är av hög kvalitet och rimlig kostnad. Kunder som kontaktar Samara-kontoret är organisationer från olika städer i Ryssland och OSS (Kazan, Ufa, Izhevsk, Moskva, Nizhny Novgorod, etc.). Sådan storskalig verksamhet kräver naturligtvis en särskild inställning till informationssäkerhet inom företaget.

Idag lämnar informationssäkerheten mycket övrigt att önska. Olika dokumentation (teknisk, ekonomisk) finns i fri tillgång, vilket gör att nästan alla anställda i företaget (från grundaren till föraren) enkelt kan bekanta sig med det.

Särskilt viktig dokumentation förvaras i ett kassaskåp. Det är bara direktören och hans sekreterare som har nycklarna till kassaskåpet. Men här spelar den så kallade mänskliga faktorn en betydande roll. Ofta glöms nycklarna på bordet på kontoret och kassaskåpet kan till och med öppnas av städerskan.

Ekonomisk dokumentation (rapporter, fakturor, fakturor, fakturor etc.) ordnas i pärmar och hyllor i ett skåp som inte är låst.

Anställda tecknar inga sekretessavtal gällande information relaterad till byteshemlighet, vilket inte förbjuder dem att sprida sådan information.

Rekrytering av anställda genomförs genom en intervju som består av två steg: 1. kommunikation med närmaste chef (där kompetens och förmågor hos en potentiell anställd identifieras) 2. kommunikation med grundaren (är mer personlig till sin natur och slutsatsen) av en sådan dialog kan vara antingen "låt oss arbeta tillsammans" eller "vi kommer inte att arbeta tillsammans").

Allt detta kräver närmare uppmärksamhet från ledningen och ett kompetent program för att säkerställa företagets informationssäkerhet, för idag har Laspi LLC ganska många konkurrenter som sannolikt inte kommer att missa möjligheten att ta del av till exempel företagets kundbas eller leverantörsbas .

2.2. Projekt för ett ledningsbeslut för att säkerställa informationssäkerheten för Laspi LLCs professionella verksamhet.

Det är viktigt att ha en plats i systemet av organisatoriska, administrativa, juridiska och andra åtgärder som gör det möjligt att kvalitativt lösa problemen med informationsstöd för vetenskapliga, produktions- och kommersiell verksamhet, fysisk säkerhet för materiella bärare av sekretessbelagd information, förhindrande av deras läckage, bevarande av företagshemligheter upptas av tillståndssystemet för tillträde för artister till sekretessbelagda dokument och information.

Med hänsyn till lagen i RSFSR "Om företag och entreprenöriell verksamhet”Företagschefen (företaget) kan, oavsett dess ägarform, fastställa särskilda regler för tillgång till information som innehåller en företagshemlighet och dess bärare och därigenom säkerställa deras säkerhet.

I systemet med säkerhetsåtgärder är den optimala distributionen av produktions-, kommersiell och finansiell kreditinformation, som lämnar företaget hemlig, mellan specifika utförare av det relevanta arbetet och dokumenten avgörande. Vid distribution av information är det å ena sidan nödvändigt att säkerställa att en specifik anställd förses med hela mängden data för högkvalitativt och snabbt slutförande av det arbete som tilldelats honom, och å andra sidan att utesluta entreprenören från att sätta sig in i onödiga sekretessbelagda uppgifter som han inte behöver för arbetet.

För att säkerställa laglig och berättigad tillgång för entreprenören till information som utgör ett företags affärshemlighet, rekommenderas att utveckla och implementera ett lämpligt licenssystem på företag.

Tillträde innebär att erhålla skriftligt tillstånd från företagets chef (eller, med dennes godkännande, andra ledningspersoner) att utfärda specifik (eller fullständig) sekretessbelagd information till en viss anställd, med hänsyn till dennes officiella uppgifter(officiella befogenheter).

Registrering av tillgång till CT kan utföras i enlighet med bestämmelserna om tillståndstillträdessystem som godkänts av direktören, där befogenheterna är juridiskt fastställda tjänstemän företag för distribution och användning av information. Organisationens chef kan godkänna användningen av all skyddad information till vilken anställd som helst av detta företag eller en person som kommit till platsen från en annan organisation för att lösa eventuella problem, om det inte finns några begränsningar för att bekanta sig med denna information från produktions- och kommersiella partners vid gemensam produktion, etc. Därför rekommenderar Laspi LLC att begränsa tillgången till information som är en affärshemlighet (avtal med leverantörer och kunder, slutrapporter om transaktioner) till följande anställda:

1. grundare av företaget.

2.direktör i företaget.

3.direktörens sekreterare.

Endast företagets grundare och styrelseledamot kan ge andra anställda tillgång till information.

Alla ovan nämnda anställda och chefer som genomför dessa transaktioner bör ha tillgång till information om aktuella transaktioner med kunder.

Initial information om inköpspriser för utrustning bör också vara begränsad. Endast företagets grundare och direktör har tillgång till det, som endast förser resten av de anställda med redan utarbetade priser (med olika "påslag"), samt sekreteraren, som sköter allt dokumentflöde i organisationen.

Effektiv drift av tillståndssystemet är endast möjlig om vissa regler iakttas:

1. Tillståndssystemet innehåller som en tvingande regel ett differentierat tillvägagångssätt för att medge tillgång, med hänsyn till vikten av sekretessbelagda uppgifter i förhållande till vilka frågan om tillgång avgörs.

2. Det är nödvändigt att dokumentera det utfärdade tillståndet för rätten att använda viss skyddad information. Detta innebär att chefen som gav tillstånd till nyttjanderätten nödvändigtvis måste anteckna det skriftligt på lämplig handling eller i det aktuella företaget redovisningsformulär. Inga muntliga instruktioner eller begäranden om åtkomst från någon (förutom företagsledaren) har rättslig kraft. Detta krav gäller även chefer på alla nivåer som arbetar med sekretessbelagd information och dess media. Det är alltså endast ett skriftligt tillstånd från chefen (inom behörighetens ram) som är tillstånd att utfärda skyddad information till en viss person.

3. Kontrollprincipen bör följas strikt. Varje tillstånd måste ha ett datum för registrering och utfärdande.

En sådan traditionell typ av tillstånd som en chefs beslut om det hemliga dokumentet i sig är utbrett. Sådant tillstånd ska innehålla en förteckning över namn på anställda som är skyldiga att sätta sig in i handlingarna eller verkställa dem, tidsfrist för verkställighet, övriga instruktioner, chefens underskrift och datum. Chefen kan vid behov föreskriva begränsningar av specifika anställdas tillgång till viss information.

En resolution, som en typ av tillstånd, används främst för att snabbt förmedla sekretessbelagd information till berörda parter som finns i dokument och produkter som tagits emot utifrån och skapats på företaget.

Företagschefen kan ge tillstånd till tillgång till administrativa dokument: order, instruktioner, instruktioner för företaget. De måste innehålla namn, befattningar på personer, specifika klassificeringsdokument och produkter som de kan tillträda (bekanta med).

En annan typ av tillstånd är familjelistor över personer som har rätt att bekanta sig med och utföra eventuella handlingar med hemligstämplade dokument och produkter. Familjelistor godkänns av företagets direktör eller, i enlighet med det nuvarande licenssystemet, av chefer som i regel har befattningar som inte är lägre än cheferna för de berörda avdelningarna.

Familjelistor över personer kan användas för att organisera tillgången till sekretessbelagda dokument och produkter som är av särskild betydelse för företaget, vid tillträde till säkra lokaler, till olika typer av stängda evenemang (konferenser, möten, utställningar, möten i vetenskapliga och tekniska råd). , etc. .). I familjelistorna kan specifika chefer identifieras som är tillåtna av chefen till alla stängda dokument och produkter utan lämpligt skriftligt tillstånd. De anger det fullständiga namnet. utförare av arbetet, avdelning, befattning, kategori av dokument och produkter som han är antagen till. I praktiken är alternativet också tillämpligt jobblistor, som anger: utövarens position, volymen av dokument (kategorier av dokument) och de typer av produkter som måste användas av företagsanställda som har den position som motsvarar listan. Det bör noteras att för företag med en liten volym sekretessbelagda dokument och produkter kan det vara tillräckligt att använda sådana typer av tillstånd som en chefs beslut om själva dokumentet, på familjelistor, jobblistor.

I organisationsplan familjelistor bör utarbetas av intresserade ledare strukturella uppdelningar. Listan över de anställda som ingår i förteckningen godkänns av chefen för Säkerhetstjänsten och godkänns av företagets chef, som kan delegera godkännanderätt till andra personer inom ledningen.

Tillståndssystemet måste uppfylla följande krav:

· tillämpas på alla typer av sekretessbelagda dokument och produkter som finns tillgängliga på företaget, oavsett var de befinner sig och skapade dem;

· fastställa förfarandet för tillträde för alla kategorier av anställda som har fått rätten att arbeta med CT, såväl som specialister som tillfälligt anlände till företaget och är relaterade till gemensamma slutna beställningar;

· upprätta ett enkelt och tillförlitligt förfarande för att erhålla tillstånd att komma åt skyddade dokument och produkter, så att du omedelbart kan reagera på förändringar inom informationsområdet på företaget;

· tydligt avgränsa rättigheterna för chefer på olika officiella nivåer när det gäller att ge tillträde till relevanta kategorier av utövande konstnärer.

· utesluta möjligheten till okontrollerad och obehörig utfärdande av dokument och produkter till någon;

· tillåt inte personer som arbetar med sekretessbelagda uppgifter och föremål att göra ändringar i jämna uppgifter, samt byta ut bokföringsdokument.

När man utvecklar ett tillståndssystem bör särskild uppmärksamhet ägnas åt att lyfta fram den viktigaste informationen som är särskilt värdefull för företaget, vilket kommer att säkerställa strikt begränsad tillgång till den. I närvaro av gemensamt arbete med andra företag (organisationer), utländska företag eller deras enskilda företrädare är det nödvändigt att föreskriva förfarandet för tillgång till dessa kategorier till företagets affärshemlighet. Det är tillrådligt att bestämma förfarandet för interaktion med representanter för statliga tjänster: teknisk övervakning, sanitär och epidemiologisk station, etc.

Reglerna om företagets licenssystem måste ange att överföring av sekretessbelagda dokument och produkter från entreprenör till entreprenör endast är möjlig inom den strukturella enheten och med dess chefs tillstånd. Överföring och retur av sådana produktdokument utförs enligt det förfarande som fastställts av företaget och endast under arbetstid en viss dag.

All sekretessbelagd dokumentation och produkter som tas emot av företaget och utvecklas där accepteras och beaktas av mellanledningen och sekreteraren. Efter registrering lämnas underlaget för granskning till företagsledaren mot underskrift.

Av bestämmelserna om bolagets tillståndssystem ska det framgå att slutna sammanträden i tjänsteärenden endast hålls med tillstånd av bolagets chef eller dennes ställföreträdare. Särskilda krav kan gälla för möten i akademiska råd, möten för att granska resultatet av FoU och finansiell och kommersiell verksamhet m.m. För sådana evenemang rekommenderas det att obligatoriskt upprätta tillståndslistor och endast inkludera de anställda i företaget som är direkt relaterade till de planerade evenemangen och deltagandet i vilka orsakas av officiell nödvändighet.

Som nämnts ovan kan anställda i andra företag delta i slutna möten endast med personligt tillstånd från företagets ledning. Listorna utarbetas vanligtvis av den som ansvarar för mötets anordnande i kontakt med intresserade chefer för strukturella enheter. Listan är grunden för att organisera kontrollen över tillträde till detta möte. Inför mötets början varnas de närvarande om att den information som diskuteras är konfidentiell och inte kan spridas utöver den cirkulation som bolaget fastställt, och instruktioner ges om hur protokoll ska föras.

Det är viktigt att understryka att inrättandet av ett visst förfarande vid ett företag för hantering av sekretessbelagda uppgifter och produkter avsevärt ökar tillförlitligheten för skyddet av företagshemligheter och minskar sannolikheten för avslöjande och förlust av bärare av denna information.

För att säkerställa dokumentationens säkerhet föreslås det att köpa lämpliga möbler som gör att du säkert kan låsa dokument. Det är också nödvändigt att försegla skåpen varje dag innan du lämnar.

Nycklar till kassaskåp och skåp ska överlämnas till säkerhetstjänsten mot underskrift. Det rekommenderas också att köpa ett speciellt rör för förvaring av nycklar och försegla det på samma sätt.

Särskild uppmärksamhet bör ägnas åt datorinformationens säkerhet. Laspi LLC har idag skapat flera databaser: företagets kunder (som inte bara anger deras arbetsadresser och telefonnummer, utan även hem, såväl som information av personlig karaktär); en databas som innehåller priser och egenskaper för levererad utrustning; databas över organisationens anställda. Lagras även på datorn olika avtal, avtal osv.

I vilket fall som helst är det högst oönskat att denna information hamnar i händerna på konkurrenter. För att förhindra sådan utveckling rekommenderas det att skapa lösenord för åtkomst till varje databas (och mjukvaruverktyg gör att detta kan implementeras). Vid uppstart av datorn rekommenderas det också att installera tvånivåskydd (vid laddning av BIOS och vid laddning av OS Windows’2000, vilket inte tillåter lösenordslös åtkomst till innehållet på hårddisken, till skillnad från tidigare versioner av denna operativ system). Lösenord bör naturligtvis också vara tillgängliga endast för de företagsanställda som direkt arbetar med dessa databaser (sekreterare, chefer, programmerare).

Om några problem uppstår med din dator och du behöver kontakta ett tredjepartsföretag måste du ha full kontroll över processen för att reparera utrustningen. Eftersom det är just i ett sådant ögonblick när alla lösenord tas bort, när programmeraren "från utsidan" har fri och obehindrad tillgång till innehållet på hårddisken, är det möjligt för honom att beslagta information och ytterligare använda den för olika ändamål .

Det är nödvändigt att ständigt uppdatera antivirusprogram för att förhindra att virus kommer in och sprids på datorer.

Särskild uppmärksamhet måste ägnas åt att anställa nya medarbetare. Idag tillämpar många organisationer ett striktare förhållningssätt till denna process, vilket är förknippat med önskan att bevara information inom företaget och inte tillåta det att gå utanför sina gränser på grund av den "mänskliga faktorn".

Om rekryteringen i de flesta fall sker i två steg (de beskrivs kortfattat ovan) föreslås här fyra steg.

1. Samtal med chefen för HR-avdelningen. Chefen för HR-avdelningen bekantar sig med kandidaten, hans CV, ställer frågor om hans yrkesverksamhet och gör preliminära anteckningar. Detta steg är professionellt till sin natur. Därefter analyserar chefen för HR-avdelningen informationen som erhålls från kandidaterna och överför den till chefen.

2. Lycka till med att bekanta dig med kandidaternas CV och anteckningar om dem från chefen för personalavdelningen, välja ut de mest lämpliga och bjuda in dem till en intervju. Intervjun är personlig till sin karaktär och innefattar icke-standardiserade frågor (till exempel vad tycker en person om att äta, vad är hans hobby etc.) På så sätt får chefen information för att fatta ett beslut om hur lämplig denna person är för honom , förutspår eventuella problem, som han kan stöta på när han kommunicerar med denna kandidat.

3. Testning. Här är nivån av intelligens hos den anställde redan bestämt, hans psykologisk bild baserat på olika tester. Men först måste du bestämma hur din chef och dina kollegor vill att din nya medarbetare ska vara.

4. Säkerhetstjänst. Här föreslås två steg: a) verifiering av kandidater i olika instanser (om han ställdes inför domstol, om han avtjänade tid i fängelse, om han är registrerad på en läkemedelsmottagningsmottagning, om de uppgifter han lämnat om tidigare arbetsplatser överensstämmer till verkligheten); b) testning med hjälp av specialutrustning, som oftast kallas "lögndetektor". I det andra steget avgörs hur lojal den anställde är mot företaget, hur han reagerar på provocerande frågor (till exempel vad han kommer att göra om han får reda på att en av hans kollegor tar hem dokument) etc.

Och först efter att kandidaten har gått igenom alla dessa fyra steg kan ett beslut fattas om han ska anställas eller inte.

Efter att ett positivt beslut har fattats får den anställde en provanställning (enligt Ryska federationens lagstiftning kan den variera från 1 månad till tre, men det rekommenderas inte mindre än 2 månader, och helst 3). Under prövotid ledningen och säkerhetstjänsten bör titta närmare på den nyanställde och följa dennes verksamhet.

Dessutom, omedelbart efter anställning, är det nödvändigt, tillsammans med slutsatsen anställningsavtal, underteckna ett sekretessavtal om affärshemligheter. Rekommenderade punkter i detta avtal:

Detta är inte en fullständig lista över vad som kan ingå i avtalet.

Slutsats

Idag oroar frågan om att organisera informationssäkerhet organisationer på alla nivåer – till att börja med stora företag, och slutar med företagare utan bildandet av en juridisk person. Konkurrensen i moderna marknadsrelationer är långt ifrån perfekt och bedrivs ofta på inte det mest lagliga sättet. Industrispionaget blomstrar. Men det finns också fall av oavsiktlig spridning av information relaterad till organisationens företagshemlighet. Som regel spelar de anställdas försumlighet, deras bristande förståelse för situationen, med andra ord den "mänskliga faktorn", en roll här.

Kursarbetet presenterar ett projekt av ett ledningsbeslut om att organisera informationssäkerhet vid Laspi LLC. Projektet berör tre huvudområden inom säkerhetsorganisationen: 1. dokumentationsområde (tillgång till material som presenteras på pappersmedia, med avgränsning av denna åtkomst); 2.datorsäkerhet; 3. trygghet när det gäller att anställa nya medarbetare.

Man bör komma ihåg att även om detta projekt utvecklades för en specifik organisation, kan dess bestämmelser också användas för att organisera säkerheten i andra företag som klassificeras som medelstora.

Här kan det naturligtvis finnas en dubbel attityd... Det kanske borde förtydligas - sannolikheten att en anställd som är insatt i företagets hemligheter kommer att läcka information åt sidan bör vara minimal. Och detta är också en del av informationssäkerhetskonceptet.
Ett annat intressant faktum är att en informationslandsknecht kan, som en professionell, byta ägare. Etik och den ekonomiska sidan är inte alltid förenliga. Dessutom är det en sak när det gäller säkerheten i landet, och en annan när en person skyddar ett abstrakt entitet, vilket inte är ett faktum att den inte kommer att kastas under en tank. Jag observerade också sådana fall... Anständiga och respekterade människor hamnade ibland i... (nåja, i en pöl eller något - hur ska man uttrycka det milt?). Men! Det finns en familj bakom dem! Och då är frågan om prioriteringen av det mest hala begreppet - "skuld" - löst - vem är skyldig mer - familjen eller företaget? Ska en familj lida på grund av ett företag? Och detta är anledningen till förstörelsen av många familjer och melankolin i barns ögon - "... och jag minns hur min pappa och jag var!..." Jag är inte dramatisk - jag minns de gångerna då hände lite tidigare och jämför dem med prognoser för kommande månader och år. Jag tycker att det är värt att dra paralleller - en ökning av brottsligheten, medvetenhet, utbildning av informationssabotörer etc.
Därför höjde faktiskt Denis extremt viktigt ämne, som växte till en diskussion om djupare säkerhetsfrågor.
Den här veckan ska en provupplaga av min bok, "The Theory of Security", publiceras, tillkännagivanden av några kapitel från vilka vi publicerade i vår "Personnel X-ray" - http://www.absg.ru/ test - där överväger jag frågor om informationskrig, konfrontation mellan säkerhetsbegrepp, personligheters betydelse i säkerhetssystem etc. Tyvärr har jag på grund av förlagets villkor inte den här boken i min ägo på ett tag, så Jag kommer att be om tillåtelse att publicera minst ett kapitel i sin helhet för granskning och bedömning av mina respekterade kollegor.
Alexandru T:
"Även om konceptet yrkesetik inte en tom fras för mig:
Alexander! Det är faktiskt väldigt trevligt att veta att det finns människor som kan betrakta sig som en viss kast. En kast av oförgängliga människor. Denna egenskap bör perfekt kombineras med begreppen rättvisa och moral.
Om kära kollegor inte tycker att det är svårt, titta gärna på 2 länkar -
http://train.absg.ru/?p=19 - moralkodex, som vi uppmanar alla medborgare att följa och åtminstone följa dess grundläggande principer och analysera deras handlingar ur en moralisk synvinkel. Och
http://www.absg.ru/5mln i avsnittet med multimediaversioner - Jag tog mig friheten att kommentera deklarationen om mänskliga rättigheter och konstitutionen. Tyvärr kan jag inte hitta textversionen förutom i tidningens text.
Ber om ursäkt för att det här kanske är lite utanför ämnet - bara av någon anledning berörde frasen om yrkesetik något i min själ... Om du ser tillbaka - ... men vad kan jag säga - det är guld värt nu och precis som det i korn utspridda på marken som gyllene sand i djupet!

Informationssäkerhetens roll för att säkerställa kontinuitet i verksamheten

Alexander Antipov

Informationssäkerhetsstrategin bör vara nära integrerad i företagets övergripande affärskontinuitetsprogram

Modernt företag beror på informationsteknologi och måste snarast säkerställa oavbrutna processer: till och med en timmes driftstopp för tjänster i kredit-, finans- eller telekommunikationsföretag kan leda till enorma förluster. Affärskontinuitet är direkt relaterad till IT och är avgörande för alla organisationer, oavsett om det är stora återförsäljare, flygbolag eller statliga myndigheter. Inom industrin, i infrastrukturföretag eller inom transportsektorn är allt ännu allvarligare: med introduktionen digitala tekniker misslyckanden i IT-tjänster kan leda inte bara till ekonomiska förluster utan också till katastrofer som skapats av människor. Naturligtvis är små företag vanligtvis inte vettigt att genomföra kontinuitetsplaner de löser problem informellt. Men för stora affärer riskerna är ojämförligt högre.

Utflykt till historien

Affärskontinuitet tänktes först på femtiotalet av förra seklet - ingenjörer började på allvar ta itu med problemet katastrofåterställning aktiviteter (katastrofåterställning) efter incidenter. Den slutliga bildningen av denna praxis inträffade på åttiotalet, och nästa decennium, med dess snabba utveckling av teknik, ökade komplexiteten i de använda metoderna.

Konceptet med affärskontinuitet eller BCM (Business Continuity Management) ersatte katastrofåterställning under andra hälften av nittiotalet, men många experter blandar fortfarande ihop dessa saker. Idag räcker det inte längre med datasäkerhetskopiering, en kall eller varm backupsajt. Problemet med oavbruten drift av hela organisationen påverkar produktionsutrustning och tekniska processer, kommunikation, personal och mycket mer. Vi kommer i första hand att fokusera på IT-system, eftersom deras misslyckande helt kan förlama företagets verksamhet.

Standarder och verktyg

Det är många internationella organisationer hantera affärskontinuitetsfrågor. Den mest kända är standarden BS25999 som utvecklats av BSI (British Standard Institute). Det är värt att nämna de bästa praxis från brittiska BCI (Business Continuity Institute), såväl som amerikanska DRI (Disaster Recovery Institute) och SANS (SysAdmin, Audit, Network, Security Institute) och ledningen för Australian National Audit Agency ( ANAO).

Här kan du lägga till olika nationella, branschmässiga och till och med interna företagsregler - det är lätt att drunkna i detta hav av information. Det värsta är att de som beskriver teoretisk grund dokumenten svarar inte på den enkla frågan: "Hur löser man problemet i praktiken?"

Vi initierar projektet

Vi kommer att försöka föra samman de tillgängliga metoderna och kommer att överväga att säkerställa kontinuiteten i affärsprocesser som ett projekt – steg för steg. Det är viktigt att förstå att dess genomförande är en kontinuerlig cyklisk process som tar hänsyn till förändringar i näringslivet, rysk och internationell lagstiftning och tekniska innovationer.

Målet med vårt projekt är att skapa och implementera ett program för företagskontinuitetshantering (BCM). Först måste du formulera dess innehåll och komponera steg för steg plan avrättning. Sedan - definiera rollerna för teammedlemmar, projektmål och fundera över hur man ska utföra övervakning och kontroll. För att förhindra att projektet stannar är det värt att skapa en särskild kommitté med representanter för alla berörda parter - den bör träffas regelbundet för att diskutera arbetets framsteg och nya problem.

När du arbetar med att skapa en plan är det viktigt att förstå om projektet kommer att kräva inblandning av tredjepartskonsulter eller om du kan hantera det på egen hand. Det är till och med värt att utse en affärskontinuitetschef för att leda projektet – en anställd på företaget eller en utlagd konsult.

Analysera effekterna på verksamheten

Steg nummer ett: vi genomför en detaljerad studie av företagets affärsprocesser (Business Environment Analysis, BEA) och fastställer kontinuitetskrav.

Oftast genomför den projektansvarige konsulten intervjuer med cheferna för de avdelningar som berörs av projektet. En lista över processer sammanställs och arbetet börjar med deras ägare: det är nödvändigt att bestämma typen av inverkan av processen på verksamheten, graden av dess beroende av IT och även den maximala giltig tid driftstopp (Maximum Allowable Outage, MAO), varefter det finns ett hot om förlust av organisationens lönsamhet.

Efter att ha bestämt MAO för varje affärsprocess måste du ange den acceptabla återhämtningstiden (återhämtningstidsmål, RTO) och återhämtningspunktsmålet (RPO) - vanligtvis är detta tidsintervallet före händelsen nödsituation, för vilka data kan gå förlorade. Det är värt att notera tillåtna nivåer produktivitet (Level of Business Continuity, LBC) i nödsituationer - vanligtvis som en procentandel av normal drift.

Business Impact Analysis (BIA) analyserar effekterna av processer på hela verksamheten som helhet. Som ett resultat bör en lista över kritiska processer och deras ömsesidiga beroenden sammanställas, liksom driftstopp och återställningsperioder för både själva processerna och de informationssystem som är associerade med dem. Därefter kommer en riskanalys (RA) att krävas, under vilken sårbarheter, hot mot processkontinuitet och effektiviteten i deras förebyggande bedöms.

Genom att identifiera processer som kan störa ett företags verksamhet, samt eventuell skada, kan vi förutse potentiella faror, källor till hot och våra egna sårbarheter.

Strategi och planer

Steg nummer två: utveckla rätt strategi affärskontinuitet (Business Continuity Strategy definition), som påverkar alla aspekter av företagets aktiviteter.

För varje område skapas ett separat avsnitt som beskriver möjliga tekniska och organisatoriska lösningar för snabb återställning av affärsprocesser. De IT-lösningar som används är huvudsakligen varma och kalla backupsajter, dynamisk lastbalansering samt mobilsajter och kapacitet tredjepartsleverantörer tjänster (outsourcing). De skiljer sig främst i kostnad och återhämtningstid.

Det är nödvändigt att skapa affärskontinuitetsplaner (Business Continuity Plan (BCP)) och infrastrukturåterställning i nödsituationer (Disaster Recovery Plan (DRP), samt skapa tekniska och organisationssystem BCM. Planer kräver vanligtvis tre stegåterställa kontinuitet: svara på en incident, utföra affärskritiska processer i en nödsituation och övergå till normal drift.

Implementering och underhåll

Steg nummer tre: vi köper in och implementerar de utvalda lösningarna.

Implementering är en komplex process som kan kräva inblandning av en tredjepartsentreprenör. Men även efter att du har slutfört den bör du inte vila på lagrarna - att säkerställa affärskontinuitet är en kontinuerlig och cyklisk process.

Företags BCM-programmet måste inte bara ständigt förbättras, utan också integreras i företagskultur. Det kommer inte att vara möjligt att begränsa oss till att bara göra upp planer – de kommer att behöva testas, antingen genom bordskontroller (Tabletop), simuleringar (Imitation) eller fullständiga kontinuitetstester. Utifrån testresultaten sammanställs rapporter med de scenarier som används och de resultat som erhållits samt med förslag på förbättringar av befintliga planer. De uppdateras vanligtvis årligen, och ibland oftare - vid betydande förändringar i till exempel IT-infrastrukturen eller i lagstiftningen.

Kommunikation med informationssäkerhet

Experter delar affärskontinuitetsplaner och katastrofåterställningsplaner, men informationssäkerhetspolicyns roll i ett BCM-program är inte uppenbar för alla.

Ett av de senaste fallen är en incident på linbanan i Moskva, vars verksamhet totalt förlamades till följd av en cyberattack. Oavsett hur bra Disaster Recovery Planen var i det här fallet, hjälpte det inte att snabbt förbättra företagets drift - servrar som återställts från en säkerhetskopia kommer att vara mottagliga för samma sårbarheter. Det var därför som planerna för affärskontinuitet behövde inkludera en lista över åtgärder som skulle vidtas i händelse av en framgångsrik attack på IT-infrastrukturen, vilket minskade stilleståndstiden utan att riskera passagerarna.

Det finns många fler hot inom industrin. Om vi ​​tar olje- och gasindustrin, som anses vara den mest automatiserade i Ryssland, som ett exempel, så är de tekniska processerna vid produktion, raffinering och försäljningsbolag faktiskt kontrolleras av datorer. Ingen tar avläsningar från analoga instrument manuellt, de har ersatts av digitala sensorer och smarta övervakningssystem.

Även grindventiler, ventiler och andra ställdon har blivit digitala. Om en framgångsrik attack mot det automatiserade processkontrollsystemet avbryts teknisk process under några sekunder kan detta leda till att företaget stängs av under många timmar eller veckor, till att dyr utrustning går sönder och till och med till allvarliga katastrofer orsakade av människor. Fram till nyligen trodde man att isoleringen av den tekniska delen från offentliga nätverk omöjliggjorde hackerattacker på automatiserade processkontrollsystem, men med utvecklingen av digitalisering av produktionen minskar denna isolering, och antalet hot växer. Utöver industrin finns det andra verksamhetsområden och alla verksamhetskritiska tjänster kan inte isoleras.

Det viktigaste är att informationssäkerhetsstrategin måste vara nära integrerad i det övergripande företagets affärskontinuitetsprogram. Detta kräver heltäckande lösningar som kan sammanföra alla verktyg som säkerställer resurstillgänglighet och skydd mot hackerattacker, konfidentialitet och dataintegritet, samt automatiserad kontroll av källkod och applikationssäkerhet. I stadierna av riskanalys och affärskonsekvensbedömning är det nödvändigt att ta hänsyn till den möjliga närvaron av sårbarheter i informationssystem som är känsliga för attacker från inkräktare, och Business Continuity Plan kommer att behöva inkludera procedurer för att erhålla uppdaterade data om hot mot IT-infrastrukturen, deras kritikalitet och tillgängligheten av korrigeringar. En affärskontinuitetsstrategi bör också innehålla procedurer för att återställa tjänster efter framgångsrika attacker.

Säkerställa affärsinformationssäkerhet Andrianov V.V.

1.3. Affärsinformationssäkerhetsmodell