Podniková informačná bezpečnosť ako systém. Zjednodušená kybernetická bezpečnosť

Spoločnosť Bureau of Economic Security (Business) sa profesionálne venuje zabezpečovaniu informačnej bezpečnosti v podnikoch.

Podľa štatistík viac ako polovica všetkých obchodných problémov vzniká kvôli „medzerám“ v informačnej bezpečnosti. Únik informácií ku konkurencii, strata dát, odovzdanie tajných firemných informácií do nesprávnych rúk – to všetko so sebou nesie veľké riziko pre podnikanie.

Na prvom mieste je ochrana finančných údajov, na druhom ochrana pred únikmi a na treťom ochrana pred DDoS útokmi. A ak sú prvé dva body dlho v prvej trojke, tak problém s útokmi sa objavil len nedávno. Dôvodom tohto záujmu je zvýšený počet DDoS útokov na malé a stredné firmy.

Základné metódy ochrany obchodných informácií:

1. Ochrana proti vniknutiu

– inštalácia programov alebo zariadení potrebných na riadenie prevádzky v sieti. Keď sa objaví prvé nebezpečenstvo (vniknutie), systém zareaguje a zablokuje prístup. Zároveň je upozornený zodpovedný pracovník.

2. Ochrana proti úniku

– súbor opatrení na zabránenie tomu, aby sa dôverné informácie dostali do nesprávnych rúk. K úniku môže dôjsť dvoma spôsobmi:

— prostredníctvom zlomyseľnej krádeže (špionáž, nájazdníci, zasvätení);
- z dôvodu dozoru personálu (strata pamäťového média, zaslanie hesla poštou, prechod na stránku s vírusom, nedostatok zodpovedných ľudí na prenos práv na prístup k údajom atď.).

V prípade krádeže so zlým úmyslom sú metódy ochrany nasledovné: obmedzenie prístupu do podniku, inštalácia monitorovacích kamier, inštalácia prostriedkov na zničenie údajov na serveroch, šifrovanie informácií, ukladanie údajov na cudzie servery.

Okrem toho na ochranu pred náhodnými chybami je dôležité organizovať - nahrávanie telefonické rozhovory, sledovanie prevádzky a práce zamestnancov na PC, šifrovanie USB kariet, používanie RMS, implementácia DLP systémov a pod.

3. Ochrana IP sietí

k vytvoreniu a skvalitneniu prispel prudký rozvoj IP sietí vrátane internetu veľké množstvá overené a podnikom overené bezpečnostné nástroje a mechanizmy. Ich použitie umožňuje oveľa bezpečnejšiu výmenu informácií cez IP siete ako prenos dát cez špecializované komunikačné linky.

Bezpečnosť v IP sieťach je realitou.

4. Ochrana súborov

znamená bezpečnosť všetkých najdôležitejších informácií, ktoré sú uložené na počítačoch a serveroch v rámci spoločnosti. Realizuje sa takto:

— šifrovanie súborových systémov (údajov)– používanie systémov EFS, Qnap, CryptoPro atď.;

— šifrovanie prenosných počítačov (netbookov), pamäťové médiá, mobilné zariadenia – softvérové riešenia (Kasperskiy, SecretDisk, Endpoint Encryption) alebo šifrovacie moduly od Sony, Asus a iných spoločností;

— ochrana informácií pred systémový administrátor , napríklad pomocou TrueCrypt;

— mobilná registrácia na sledovačoch monitorovacích systémov(pomocou Kaspersky alebo Prey);

— zákaz (obmedzenie) prístupu k rôznym elektronickým súborom(jeden z najlepšie možnosti- Active Directory Rights Management Services).

- jediné overenie. Môžete použiť dve schémy - na autorizáciu domény (zariadenie je viazané na štruktúru domény), pomocou elektronický kľúč E-token alebo cez SMS notifikáciu.

5. Optimalizácia a ochrana 1C

- pri práci s databázou 1C– šifrovanie disku, obmedzenie prístupových práv, inštalácia systému na ochranu procesov výmeny dát a súborov;

— pri práci s 1C DBMS– obmedzenie administrátorských práv pre používateľov, používanie šifrovacích systémov, prijímanie opatrení na obmedzenie vzdialeného alebo fyzického prístupu k serverom atď.;

— ochrana dôverných údajov X.

Okrem vyššie uvedených opatrení, metódy zaistenia informačnej bezpečnosti zahŕňajú:

— ochrana podnikovej komunikácie;
— rýchle odstránenie informácií zo servera;
— monitorovanie práce zamestnancov;
— zabezpečenie odolnosti voči chybám a stability všetkých obchodných procesov.

2019

Priority informačnej bezpečnosti pre malé a stredné podniky

Spoločnosti v segmente SMB prechádzajú do cloudu, na obslužný model spotreby služieb podľa modelu MSSP (Managed Security Service Provider). To im pomáha výrazne znižovať prevádzkové náklady v oblasti informačnej bezpečnosti.

Niektorí predajcovia teraz ponúkajú svojim klientom služby zabezpečenia cloudových informácií pomocou modelu predplatného. Podľa môjho názoru sa stredné a malé podniky posunú práve k takémuto modelu služieb informačnej bezpečnosti,“ poznamenáva Dmitry Livshits, generálny riaditeľ"Digitálny dizajn".

Model služieb spotreby informačnej bezpečnosti je čoraz viac žiadaný malými a strednými podnikmi, keďže tieto spoločnosti si nemôžu dovoliť veľký personál bezpečnostných špecialistov.

Podľa Vladimíra Balanina, vedúceho oddelenia informačnej bezpečnosti I-Teco Group of Companies, sa segment SMB stáva hlavným spotrebiteľom služieb poskytovateľov služieb, ktorí poskytujú služby okamžite s integrovanými službami informačnej bezpečnosti: nevznikajú žiadne náklady na správu, monitorovanie a údržba vlastnej infraštruktúry, ale riziká Regulačné požiadavky znáša samotný poskytovateľ služieb.

Zároveň pre ruský trh V súčasnosti je ponuka informačnej bezpečnosti pre malé a stredné podniky veľmi obmedzená. Ako poznamenáva Andrey Yankin, riaditeľ Centra informačnej bezpečnosti v Jet Infosystems, takmer všetky služby zameraná na veľkých zákazníkov. Podľa neho prakticky neexistujú štandardné a lacné, ale nie primitívne služby informačnej bezpečnosti pre SMB, hoci v mnohých iných krajinách je tento trh dobre rozvinutý.

Zároveň s rozvojom segmentu riadených služieb informačnej bezpečnosti a perspektívou rozvoja trhu poistenia kybernetických rizík bude mať táto kategória zákazníkov k dispozícii opatrenia adekvátne moderným hrozbám.

Medzičasom malé a stredné podniky implementujú základné IT zabezpečenie, ktoré sa len zriedka dostane na úroveň obchodných procesov.

Podľa Dmitrija Pudova, zástupcu generálneho riaditeľa Angara Technologies Group pre technológie a vývoj, zástupcovia MSP vzhľadom na svoje rozpočty prakticky nemajú prístup k high-tech alebo komplexným riešeniam. Nie je to len kvôli nákladom na riešenia, ale kvôli OPEX, ktoré im vznikajú.

Hlavnými riešeniami, ktoré kupujú zákazníci segmentu SMB, sú antivírusy a softvérové firewally, hovorí Yakov Grodzensky, vedúci informačnej bezpečnosti v System Software. Spoločnosti v tomto segmente sa navyše aktívne začínajú aktívne zaujímať o problematiku auditu informačnej bezpečnosti a realizujú pentesty, pretože takéto organizácie nie vždy zamestnávajú samostatného špecialistu na informačnú bezpečnosť, nehovoriac o pentesteroch.

Vyacheslav Medvedev, vedúci analytik spoločnosti Doctor Web, dodáva, že prieskumy medzi stredne veľkými podnikmi ukázali, že takýmto spoločnostiam chýbajú financie na iné ako základné bezpečnostné riešenia.

Priority kybernetickej bezpečnosti veľkých podnikov

Pre akcionárov, vlastníkov a vrcholový manažment je vždy dôležité mať objektívny obraz o informačnej bezpečnosti a technologických procesoch v rámci organizácie, preto celková úroveň vyspelosti informačnej bezpečnosti vo firmách každým rokom rastie. Niektorým veľkým organizáciám však stále chýba základný poriadok v obchodných procesoch, ktoré ich udržujú v chode. informačné systémy, čo môže viesť k chaosu v informačnej bezpečnosti. Preto je hlavnou prioritou pre veľké spoločnosti- pri riešení týchto problémov, hovorí Nikolay Zabusov, riaditeľ oddelenia informačnej a sieťovej bezpečnosti v Step Logic.

okrem toho veľký biznis sa zameriava na plnenie požiadaviek regulátorov a interných noriem, pričom sa snaží vytvárať viac-menej jednotne chránenú infraštruktúru. Odvetvové štandardy v oblasti informačnej bezpečnosti boli vyvinuté a „implementované“ v mnohých korporáciách.

Veľké komerčné spoločnosti v podstate stáli pred voľbou: ísť cestou digitálnej transformácie, alebo pracovať bez zmeny paradigmy podnikania. Ale v druhom prípade budú skôr či neskôr nútení postúpiť svoje pozície na trhu konkurentom, ktorí preukázali väčšiu flexibilitu.

Medzi priority pre enterprise segment môžem zaradiť na jednej strane zvyšovanie efektivity využívania klasických riešení informačnej bezpečnosti a na druhej strane zavádzanie prostriedkov ochrany pred novými typmi hrozieb v rámci implementácie projektov digitalizácie. To posledné je veľmi dôležité, pretože obmedzenia z bezpečnostného hľadiska sú často jedným z hlavných dôvodov pomalého pokroku na ceste digitálnej transformácie, poznamenáva Oleg Shaburov, vedúci oddelenia informačnej bezpečnosti v Softline.

Z pohľadu praktickej bezpečnosti sa vektor čoraz viac presúva od predchádzania útokom k ich odhaľovaniu a reagovaniu na ne, hovorí Andrey Zaikin, šéf informačnej bezpečnosti v Croc. To vedie k tomu, že relatívne mladé triedy riešení sú čoraz populárnejšie a žiadanejšie: EDR, IRP. Systémy automatizovanej odozvy majú rôzne sady skriptov a scenárov a umožňujú blokovať pokusy o šírenie hrozieb.

Služby informačnej bezpečnosti

SMB spoločnosti, ktoré chápu kritickosť informačnej bezpečnosti pre svoje podnikanie, idú cestou používania modelov služieb.

Odoslanie dobrej práce do databázy znalostí je jednoduché. Použite nižšie uvedený formulár

Študenti, postgraduálni študenti, mladí vedci, ktorí pri štúdiu a práci využívajú vedomostnú základňu, vám budú veľmi vďační.

Informačná bezpečnosť v biznise

Úvod

Informácie, ktoré je potrebné chrániť

Pred kým by mali byť informácie chránené?

Ochrana dát

Záver

Literatúra

Úvod

V súčasnosti je problém bezpečnosti jedným z najpálčivejších v podnikaní. Bezpečnosť však často znamená len fyzickú ochranu personálu a materiálneho majetku. Ale takto sa dá len odolať zločinu. Medzitým, keď vstupuje do trhových vzťahov, každá organizácia čelí intenzívnej konkurencii, ktorá existuje na akomkoľvek civilizovanom trhu. A tento boj je pre podnik plný mnohých nebezpečenstiev. Ak firma dosiahla vo svojom podnikaní nejaký úspech, niet pochýb o tom, že sa teší značnému záujmu konkurenčných firiem. Akékoľvek informácie o práci spoločnosti u nich vzbudia zvýšenú pozornosť. Preto sa informačná bezpečnosť stáva kritickou súčasťou moderný systém bezpečnosť podnikania.

"Kto vlastní informácie, vlastní svet." Táto pravda sa stáva aktuálnou najmä na prahu 21. storočia, keď postindustriálnu éru vystrieda informačná doba. V novom storočí sa otázka bezpečnosti podnikových informácií stáva ešte dôležitejšou.

Cieľom tejto práce je poukázať na podstatu informačnej bezpečnosti v podnikaní.

V súlade s týmto cieľom boli stanovené tieto úlohy:

Určite typy a zdroje informácií, ktoré by mali byť chránené;

Identifikujte objekty, pre ktoré sú zaujímavé informácie niekoho iného;

Odhaliť metódy informačnej bezpečnosti.

Informácie, ktoré je potrebné chrániť

Aby sme pochopili problém informačnej bezpečnosti, odpovieme na tri otázky:

Aké informácie potrebujeme chrániť?

Pred kým a čím ju potrebujeme chrániť?

Ako potrebujeme chrániť informácie?

Aké informácie teda musíme chrániť? Efektívnosť nášho systému informačnej bezpečnosti závisí najmä od toho, ako správne určíme odpoveď na túto otázku. V prvom rade je potrebné chrániť informácie: Gorokhov P.K. - M.: Rádio a komunikácia, 2005.

O tých konkurenčné výhody vo vlastníctve spoločnosti

O technológiách jej práce

O pohybe peňažných prostriedkov a materiálových tokoch podniku

O strategických plánoch spoločnosti

O nových produktoch.

V závislosti od charakteru činnosti spoločnosti môže byť zoznam predmetov ochrany informácií rozšírený. Takže pre väčšinu spoločností má zmysel uchovávať informácie v tajnosti pred konkurentmi: Gorokhov P.K. - M.: Rádio a komunikácia, .2005

O svojich klientoch,

O personáli spoločnosti.

Je dôležité pochopiť, že podnik by nemal chrániť všetky informácie, ktoré vlastní, ale iba tie informácie, ktorých použitie tretími stranami by mohlo poškodiť činnosť spoločnosti. Naopak, existujú aj informácie, ktoré spoločnosť jednoducho potrebuje zverejniť. Takže nemá zmysel chrániť informácie o našich cenách pred konkurenciou. Ale informácie o cenách a podmienkach, za ktorých nakupujeme produkty, suroviny a materiály, musia byť pred konkurenciou utajené. Prílišné utajenie spoločnosti môže spôsobiť negatívny postoj k nej zo strany potenciálnych partnerov, klientov a investorov. To platí najmä pre spoločnosti, ktoré plánujú umiestniť svoje cenné papiere. Aby sa tak nestalo, musí spoločnosť najprv určiť, aké informácie, v akom objeme a s akou frekvenciou má zverejňovať. V tomto prípade sa môžete zamerať na západné štandardy zverejňovania informácií. Federálna komisia pre trh s cennými papiermi tiež stanovila rovnaké štandardy pre spoločnosti, ktoré vydávajú cenné papiere. Informácie potrebné na zverejnenie zahŕňajú: Moderné podnikanie: Etika, kultúra, bezpečnosť. - M.: GPNTB, 2007.

Výročný finančné výkazy(súvaha, výkaz ziskov a strát, výkaz peňažných tokov)

Informácie o akcionároch

Údaje o významných transakciách so základným imaním.

Pokiaľ ide o informácie, ktoré nepodliehajú zverejneniu, organizácia ich musí klasifikovať podľa stupňa utajenia a pre každú kategóriu vypracovať štandardy informačnej bezpečnosti.

Pred kým by mali byť informácie chránené?

Vo svojej činnosti podnik čelí rôzne organizácie, tvoriaci svoje prostredie. Toto je: Rastorguev S.P. Informačná vojna. - M.: Rádio a komunikácia, 2007. konkurenčné spoločnosti, klienti, partneri, daňové úrady, regulačné úrady.

Ako je uvedené vyššie, konkurenti prejavujú osobitný záujem o rôzne typy informácií. A práve ich činy predstavujú pre spoločnosť najväčšie nebezpečenstvo. Koniec koncov, podiel na trhu, ktorý spoločnosť zaberá, je pre konkurentov vždy chutné sústo a škody spôsobené únikom rôznych typov informácií, napríklad o vlastnostiach produktu, ktorý sa pripravuje na uvedenie na trh, sa môžu ukázať ako nenapraviteľné. .

Čo sa týka partnerov, ich záujem o informácie o vašej spoločnosti môže byť spôsobený predovšetkým úvahami o ich vlastnej bezpečnosti. Preto je potrebné vytvoriť im čo najpriaznivejšie podmienky na prijímanie informácií o spoločnosti, ktoré nepresahujú rámec nevyhnutný pre plodnú spoluprácu. Tu je potrebné jasne definovať, o aké informácie ide, aby sme ich poskytli včas a úplne a obmedzili prístup k iným informáciám.

Informácie, ktoré chcú klienti dostávať, sú veľmi špecifického charakteru. Sú to: Informačná spoločnosť: Informačné vojny. Informačný manažment. Informačná bezpečnosť / Ed. M. A. Vuša. - M.: Petrohradské vydavateľstvo. Univerzita, 2006. všeobecné informácie o spoločnosti a produktoch, ktoré ponúka, informácie o spoľahlivosti spoločnosti, informácie o cenách.

Pre klientov je dôležité zabezpečiť, aby takéto informácie boli čo najdostupnejšie. Keď už hovoríme o ochrane informácií, treba si uvedomiť, že „pranie špinavej bielizne na verejnosti“ by bolo nežiaduce. To isté však platí aj o partnerských vzťahoch. Preto je obzvlášť dôležité jasne definovať, aké interné informácie nemožno zverejniť.

Špecifický je vzťah spoločnosti s daňovými a regulačnými úradmi. Tieto orgány majú svoje špecifické požiadavky na poskytovanie informácií im. Vo vzťahu k nim je dôležité plne vyhovieť ich požiadavkám, poskytovať informácie včas a v požadovanom objeme, nepresahujúcom však tento objem. V tomto prípade môže nedostatok aj prebytok poskytovaných informácií viesť k najnežiaducim následkom.

Ďalšou dôležitou otázkou je pochopenie toho, pred čím by mali byť informácie chránené. Nežiaduce akcie, ktoré možno vykonať s informáciami, ktoré tvoria tajomstvo organizácie, sú: Informačná spoločnosť: Informačné vojny. Informačný manažment. Informačná bezpečnosť / Ed. M. A. Vuša. - M.: Petrohradské vydavateľstvo. Univerzita, 2006. zničenie dôležitých informácií, skreslenie otvorené informácie, získavanie utajovaných skutočností, kopírovanie dôverných elektronických informácií, uzavretie alebo obmedzenie prístupu k informáciám potrebným pre spoločnosť, neoprávnený prístup k dôverným informáciám.

Pred zvažovaním opatrení na ochranu informácií sa pozastavme nad tým, aké prostriedky a metódy možno použiť na získanie potrebných informácií o spoločnosti. Existujú dva veľké skupiny prostriedky a metódy ekonomického spravodajstva resp Priemyselná špionáž: Bezpečnosť informácií: Učebnica. pre univerzity humanitného zamerania. a sociálno-ekonomické. špeciality. - M.: Medzinárodná. vzťahy: Kronikár, 2007.

Metódy zberu informácií pomocou špeciálneho vybavenia

Metódy fragmentárneho zberu informácií.

Priemyselná špionáž spojená s použitím špeciálneho vybavenia zahŕňa: Bezpečnosť informácií: Učebnica. pre univerzity humanitného zamerania. a sociálno-ekonomické. špeciality. - M.: Medzinárodná. vzťahy: Kronikár, 2007.

Odpočúvanie telefónu

Počúvanie izieb

Televízny dohľad

Vniknutie do počítačovej siete

Čítanie informácií z monitorov.

Všetky tieto metódy sú veľmi náročné na prácu a drahé a môžu ich používať len veľkí konkurenti a orgány činné v trestnom konaní. Takéto činnosti môže vykonávať iba odborník, čo robí takéto činnosti obzvlášť nebezpečnými.

Medzi metódy fragmentárneho zberu informácií patria: Informačná bezpečnosť: Učebnica. pre univerzity humanitného zamerania. a sociálno-ekonomické. špeciality. - M.: Medzinárodná. vzťahy: Kronikár, 2007.

Telefónna inteligencia. Veľa informácií o spoločnosti možno získať telefonicky, zavolaním pod hodnovernou zámienkou, napríklad za účelom nadviazania obchodných kontaktov alebo vykonania štatistického zisťovania. Ak zamestnanci spoločnosti nie sú dostatočne informovaní o tom, aké informácie by nemali byť zverejnené, riskujete únik dôležitých informácií bez toho, aby ste o tom vedeli.

Falošné rokovania. Pomocou tohto veľmi bežného spôsobu sa vaši konkurenti môžu predstaviť napríklad ako vaši potenciálnych klientov alebo partneri a počas predbežných rokovaní dostanú množstvo informácií, ktoré ich zaujímajú, ak ich nepodrobíte predbežnej kontrole a ste voči nim príliš otvorení. Rôzne výstavy sú obzvlášť úrodnou pôdou na získanie tohto druhu informácií.

Pytliacki zamestnanci. Pozvanie špecialistov z konkurenčnej spoločnosti do práce vám niekedy umožňuje dozvedieť sa veľa o jej činnosti. Aj keď človek z dôvodov slušnosti nevydá informácie, ktoré sú mu tajné predchádzajúce miesto práce, na základe jeho vedomostí, návykov, správania možno vyvodiť početné závery o práci konkurenčnej firmy. Niektoré spoločnosti tiež praktizujú „falošné pytliactvo“ zamestnancov, ktoré ich láka na vysoké platy. Cez množstvo pohovorov a pohovorov sa môžu o jeho firme veľa dozvedieť, no novú prácu už nikdy nezíska.

Začlenenie vlastných zamestnancov do personálu konkurencie. Táto metóda priemyselnej špionáže je najnebezpečnejšia, pretože uvedením vlastnej osoby do tímu niekoho iného môžete zistiť akékoľvek informácie o spoločnosti, ktoré sú v kompetencii tohto zamestnanca. A ak spoločnosť neprijme opatrenia na obmedzenie prístupu k interným informáciám, bežný zamestnanec môže o spoločnosti vedieť takmer všetko.

Tým sme sa dostali k najdôležitejšej otázke zabezpečenia bezpečnosti obchodných informácií – ako informácie chrániť?

Ochrana dát

Vo všeobecnosti zabezpečenie bezpečnosti podnikových informácií spočíva v riešení dvoch dôležitých problémov: Stepanov E. A., Korneev I. K. Informačná bezpečnosť a ochrana informácií. - M.: INFRA-M, 2008.

Zabezpečenie integrity a bezpečnosti informácií.

Ochrana informácií pred neoprávneným prístupom.

Zvážme opatrenia na zabezpečenie integrity a bezpečnosti informácií. Na ukladanie informácií sa zvyčajne používajú:

Papierové médiá

Elektronické média.

Dokumenty sú zvyčajne uložené na papieri. Počet kópií dokumentov je obmedzený, niekedy môžu existovať v jednej kópii. Potom ich strata znemožní zotavenie. Aby sa tak nestalo, je potrebné prísne evidovať všetky dokumenty, uchovávať ich vo vhodných podmienkach a zabezpečiť k nim kontrolu prístupu. Ak je to možné, kópie informácií by sa mali uchovávať a uchovávať v špeciálne vybavených priestoroch. Je dôležité, aby boli originály a kópie uložené v oddelených miestnostiach. Okrem toho sa odporúča pracovať s kópiami vždy, keď je to možné, a uchovávať originály v tajných skladoch. To môže byť obzvlášť dôležité za neočakávaných okolností, ako je požiar alebo krádež.

V súčasnosti je jasný trend rozširovania využívania elektronických médií. V mnohých spoločnostiach sa všetok tok dokumentov vykonáva v v elektronickom formáte. Neoddeliteľnou súčasťou informačnej štruktúry firiem sú rôzne elektronické databázy. Zvukové a obrazové informácie sa ukladajú aj na elektronické médiá. IN posledné roky aj platby sa spracovávajú elektronicky. A zároveň presne elektronické informácie je najzraniteľnejší voči zničeniu a poškodeniu. Faktom je, že elektronické médiá nie sú veľmi odolné a nesprávne zaobchádzanie so zariadením môže viesť k náhodnému zničeniu informácií. Ďalším vážnym nebezpečenstvom sú počítačové vírusy, ktoré sa rozšírili V poslednej dobe. Zvyčajne sa používajú opatrenia používané na ochranu elektronických informácií pred poškodením a zničením: Stepanov E. A., Korneev I. K. Informačná bezpečnosť a ochrana informácií. - M.: INFRA-M, 2008.

Informácie o zálohe. Vykonáva sa denne a poskytuje schopnosť obnoviť informácie do hĺbky nie viac ako jeden deň. Denné kópie sú zvyčajne uložené oddelene od počítačovej siete.

Dostupnosť záložných serverov v lokálnej sieti. Umožňuje vám pokračovať v práci, ak hlavný server zlyhá.

Používanie neprerušiteľných zdrojov napájania. Umožňuje chrániť počítačovú sieť vašej spoločnosti pred stratou informácií spojenou s problémami v elektrickej sieti.

Vytváranie informačných archívov. Všetko najviac dôležitá informácia archivované, zaznamenané na vymeniteľné médiá a uložené v špeciálne vybavenej miestnosti. Okrem toho by sa na zvýšenie spoľahlivosti malo vytvoriť a uložiť niekoľko kópií nezávisle od seba. Pri výbere média by ste mali Osobitná pozornosť Zamerajte sa na jeho spoľahlivosť a odolnosť.

Antivírusová ochrana. Ak chcete účinne chrániť počítačovú sieť pred útokom vírusov, mali by ste kontrolovať všetky súbory prichádzajúce zvonku. Na tento účel sa odporúča odpojiť diskové jednotky na pracovných staniciach lokálnej siete a všetky externé súbory zaznamenávať iba prostredníctvom správcu siete po príslušnej antivírusovej kontrole. V organizácii sa odporúča zakázať používanie diskiet. Najväčšie nebezpečenstvo vírusov predstavuje používanie internetu. Je potrebné vybudovať antivírusový ochranný systém, aby všetky súbory prichádzajúce cez internet boli pred použitím skontrolované. Pred zálohovaním by ste mali vykonať aj dennú kontrolu údržby.

Obmedzenie prístupu. Aby nedošlo k náhodnému poškodeniu alebo vymazaniu potrebných informácií resp softvér Mali by ste obmedziť prístup každého používateľa lokálnej siete spoločnosti len na informácie, ktoré potrebuje. V prípadoch, keď musia byť informácie chránené pred samotným používateľom, by sa mal použiť prístup len na čítanie.

Teraz sa pozrime na opatrenia na ochranu informácií pred neoprávneným prístupom.

Najdôležitejším spôsobom boja proti úniku informácií je práca s personálom. Najdôležitejšou etapou je výber personálu. Pri prijímaní do spoločnosti by ste mali dbať nielen na obchodné a odborné kvality kandidátov, ale predovšetkým na ich ľudské vlastnosti- slušnosť, čestnosť, vernosť. Po prijatí do zamestnania je potrebné z času na čas vykonať utajený monitoring činnosti zamestnancov, aby sa predišlo prípadným únikom informácií. Je potrebné, aby si aj manažment vždy uvedomoval problémy svojich podriadených, aby sa takýmto situáciám pri hľadaní vyhlo dodatočný príjem alebo prílišná ctižiadostivosť núti človeka predať tajomstvá podniku.

Všetky tieto opatrenia však neprinesú žiadne výsledky, ak podnik nevypracuje jasný systém vymedzovania prístupu k informáciám. V závislosti od existujúcej hierarchie v podniku musí mať každý zamestnanec prístup k presne definovanému množstvu informácií. Okrem toho je potrebné mať vnútorný predpis o majetkových informáciách a obchodnom tajomstve a jasne definovať stupeň utajenia každého dokumentu.

Väčšina efektívnym spôsobom ochrana informácií pred neželaným prístupom je fragmentácia informácií. Touto zásadou je, že každý zamestnanec by mal mať iba informácie relevantné pre oblasť jeho práce. Akékoľvek informácie sú teda rozdelené medzi zamestnancov, a nie tajné informácie nemôže byť plne prístupný jednej osobe. V dôsledku toho nebude môcť vedome ani nevedome nikomu sprostredkovať celé tajomstvo.

Na ochranu pred priemyselnou špionážou pomocou technických prostriedkov je potrebné použiť špeciálne prostriedky. V súčasnosti na každú „chybu“ existuje „anti-bug“. Je dôležité pravidelne vykonávať príslušné kontroly a neustále monitorovať zraniteľné miesta. Možnosť použitia technických prostriedkov špionáže proti vám môžete výrazne znížiť, ak máte dobre fungujúci systém kontroly vstupu do vašich priestorov. Sledovanie všetkých pohybov zamestnancov a hostí v rámci spoločnosti a interný a externý televízny dohľad vás síce úplne neochráni, ale v niektorých prípadoch pomôže identifikovať a zabrániť konaniam proti vám. A, samozrejme, hlavným predmetom ochrany pred neoprávneným prístupom sú elektronické informácie. Hlavné metódy jeho ochrany sú: Stepanov E. A., Korneev I. K. Informačná bezpečnosť a ochrana informácií. - M.: INFRA-M, 2008.

Riadenie prístupu. Ako je uvedené vyššie, každý zamestnanec by mal pracovať v lokálnej sieti iba s informáciami, ktoré potrebuje na plnenie svojich povinností. Pracovné povinnosti. Platí to najmä v organizáciách, ktoré používajú veľké integrované automatizované systémy. Zanedbanie zdieľania prístupu alebo jeho nesprávna aplikácia môže viesť k tomu, že radoví zamestnanci budú mať takmer všetky informácie o činnosti firmy. Je tiež potrebné zaznamenávať a pravidelne monitorovať aktivitu používateľov v sieti.

Lokalizácia internej počítačovej siete. Aby sa zabránilo úniku informácií, mali by byť v sieti nainštalované počítače, ktoré nemajú diskové jednotky a paralelné porty. To znemožní sťahovanie informácií z počítačov spoločnosti.

Vylúčenie najdôležitejších počítačov z lokálnej siete. Na zníženie pravdepodobnosti neoprávneného prístupu sa odporúča kombinovať lokálna sieť iba počítače spojené s jedným technologickým procesom. Je pravda, že takýchto počítačov je spravidla väčšina. Pre manažérov firiem je však vhodné mať vlastné samostatné počítače, ku ktorým majú prístup len oni sami.

Lokalizácia práce s internetom. Celosvetová počítačová sieť je plná mnohých nebezpečenstiev nielen z pohľadu vírusových útokov, ale aj z pohľadu hackovania podnikových počítačových sietí. Aby sa tomu zabránilo, je potrebné oddeliť internú sieť podniku a internet. Zapnuté malé spoločnosti Na prácu na World Wide Web je možné prideliť samostatný lokálny počítač. Vo veľkom podniku, kde väčšina zamestnancov používa internet, to však nie je vždy možné. V tomto prípade by mali byť pracovné stanice nastavené do režimu, v ktorom je počítač pred prihlásením na internet odpojený od lokálnej siete.

Šifrovanie informácií. Táto metóda sa používa hlavne pri prenose informácií cez modem cez telefónne linky, pretože existuje možnosť zachytenia takýchto informácií tretími stranami. V súčasnosti existujú certifikované kryptografické programy a mali by sa používať, ak používate akékoľvek trvalé elektronické komunikačné kanály.

Elektronický digitálny podpis. Zabezpečuje spoľahlivosť informácií prenášaných cez modem. Slúži ako ochrana pred úmyselným skreslením prenášaných informácií. V súčasnosti existujú certifikované programy digitálny podpis s rôznym stupňom ochrany. Používanie takýchto prostriedkov je mimoriadne dôležité pri používaní elektronických platieb a prenosu správ s vysokým utajením.

Záver

Všetky opísané opatrenia by sa nemali uplatňovať oddelene od seba. S cieľom zabezpečiť účinnú ochranu informácií, je potrebné vyvinúť podnikový informačný bezpečnostný systém. Len tieto spoločne prijaté opatrenia dokážu spoľahlivo ochrániť vaše podnikanie pred nechcenými stratami. Každá organizácia má svoje špecifiká a podľa toho musí mať vlastnú štruktúru systému informačnej bezpečnosti. Správnosť jeho výberu závisí od profesionality zamestnancov zapojených do tohto problému a manažérov spoločnosti. Najdôležitejšou súčasťou takéhoto systému by mala byť pravidelná analýza „slabých miest“ a prijímanie potrebných opatrení na predchádzanie možným problémom.

Na záver by som rád poznamenal, že pri vytváraní systému informačnej bezpečnosti je dôležité na jednej strane nešetriť, keďže straty môžu byť nemerateľne väčšie, a na druhej strane to nepreháňať, aby vyhadzovať peniaze na zbytočné pseudobezpečnostné opatrenia a nebrániť priechodu informačných tokov . Nikdy nemôžete mať príliš veľa istoty, ale nikdy by ste na to nemali zabúdať hlavným cieľom bezpečnostné systémy - zabezpečenie spoľahlivého a neprerušovaného fungovania organizácie.

Literatúra

1. Gorokhov P.K. - M.: Rádio a komunikácia, 2002.

2. Informačná bezpečnosť: Učebnica. pre univerzity humanitného zamerania. a sociálno-ekonomické. špeciality. - M.: Medzinárodná. vzťahy: Kronikár, 2007.

3. Informačná spoločnosť: Informačné vojny. Informačný manažment. Informačná bezpečnosť / Ed. M. A. Vuša. - M.: Petrohradské vydavateľstvo. Univerzita, 2006.

4. Rastorguev S.P. Informačná vojna. - M.: Rádio a komunikácia, 2005.

5. Moderné podnikanie: Etika, kultúra, bezpečnosť. - M.: GPNTB, 2004.

6. Stepanov E. A., Korneev I. K. Informačná bezpečnosť a ochrana informácií. - M.: INFRA-M, 2008.

Podobné dokumenty

Štruktúra a vlastnosti OS Linux, história jeho vývoja. Informačná bezpečnosť: koncepčné a regulačné dokumenty, smery úniku informácií a ich ochrana. Výpočet tvorby systému informačnej bezpečnosti a výskum jeho efektívnosti.

kurzová práca, pridané 24.01.2014

Hlavné kanály úniku informácií. Hlavné zdroje dôverných informácií. Hlavné predmety ochrany informácií. Základné práce na vývoji a zlepšovaní systému informačnej bezpečnosti. Model ochrany informačnej bezpečnosti ruských železníc JSC.

kurzová práca, pridané 09.05.2013

Zabezpečenie informačnej bezpečnosti v moderné Rusko. Analýza metód na ochranu informácií pred náhodným alebo úmyselným zásahom spôsobujúcim škody ich vlastníkom alebo používateľom. Štúdium právnej podpory informačnej bezpečnosti.

test, pridané 26.02.2016

Charakteristika a vlastnosti informačnej bezpečnosti, ktorou sa rozumie zabezpečenie informácií a ich podpornej infraštruktúry pred akýmikoľvek náhodnými alebo škodlivými vplyvmi. Informačná bezpečnosť na internete. Antivírusové funkcie.

test, pridané 24.02.2011

Pojem informačnej bezpečnosti, pojem a klasifikácia, druhy hrozieb. Charakteristika prostriedkov a spôsobov ochrany informácií pred náhodnými hrozbami a hrozbami neoprávneného zásahu. Kryptografické metódy ochrany informácií a firewally.

kurz práce, pridané 30.10.2009

Vonkajšie ohrozenia informačnej bezpečnosti, formy ich prejavu. Metódy a prostriedky ochrany pred priemyselnou špionážou, jej ciele: získavanie informácií o konkurentovi, ničenie informácií. Metódy neoprávneného prístupu k dôverným informáciám.

test, pridané 18.09.2016

Pojem a základné princípy informačnej bezpečnosti. Pojem bezpečnosť v automatizované systémy. Základy ruskej legislatívy v oblasti informačnej bezpečnosti a ochrany informácií, licenčných a certifikačných procesov.

priebeh prednášok, pridané 17.04.2012

Kategórie činností, ktoré môžu poškodiť informačnú bezpečnosť, spôsoby jej zabezpečenia. Rozsah činnosti spoločnosti a analýza finančné ukazovatele. Systém informačnej bezpečnosti spoločnosti a vypracovanie súboru opatrení na jeho modernizáciu.

práca, pridané 15.09.2012

Ciele informačnej bezpečnosti. Zdroje hlavných informačných hrozieb pre Rusko. Význam informačnej bezpečnosti pre rôznych špecialistov z pozície firmy a zainteresovaných strán. Metódy ochrany informácií pred úmyselnými informačnými hrozbami.

prezentácia, pridané 27.12.2010

Pojem, význam a smery informačnej bezpečnosti. Systémový prístup do organizácie informačnej bezpečnosti, ochrany informácií pred neoprávneným prístupom. Nástroje informačnej bezpečnosti. Metódy a systémy informačnej bezpečnosti.

Zabezpečenie bezpečnosti podnikových informácií Andrianov V.V.

1.3. Model bezpečnosti obchodných informácií

1.3.1. Motivácia

ruský a svetová prax regulácia informačnej bezpečnosti (IS) z nedávnej minulosti pozostávala z povinných požiadaviek národných oprávnených orgánov, vypracované vo forme riadiacich dokumentov RD. Preto pre vrcholový manažment a vlastníkov organizácií existoval len jeden problém ich dodržiavania (dodržiavanie) a len jeden spôsob, ako ho vyriešiť - ako minimálne náklady spĺňať navrhnuté požiadavky. Oprávnené orgány mali svoj problém – ako z dôvodu nemožnosti pokryť všetky možné druhy činností a podmienok ich realizácie, ako aj výrazné rozdiely v cieľoch činností, ponúknuť univerzálny súbor požiadaviek. Pre tento účel bol problém informačnej bezpečnosti považovaný za sebestačný subjekt, invariantný k činnostiam, cieľom, podmienkam, a tiež bol obsahovo výrazne zredukovaný z dôvodu univerzálnosti.

Oba prístupy (organizácií aj regulátorov) sú neadekvátne existujúcej realite a prezentujú ju vo výrazne skreslenej podobe. Hlavné vecné obmedzenia činností informačnej bezpečnosti sú teda spojené s tradičným modelom informačnej bezpečnosti, ktorý predpokladá povinná prítomnosťútočník, ktorý sa snaží spôsobiť škodu na majetku (informáciách), a preto sa zameral na ochranu informácií pred konaním takéhoto subjektu (skupiny subjektov). Zároveň incidenty súvisiace napríklad so štandardnými zmenami v aplikačnom softvéri nemožno pripísať útočníkovi. ich možné dôvody- slabo rozvinutý manažment a slabá technologická základňa. Vlastná nedostatočnosť organizácie (riadenie, hlavné obchodné procesy) voči prevládajúcim podmienkam vo všeobecnosti predstavuje veľmi silný zdroj problémov, ktorý je ignorovaný z dôvodu nemožnosti spojiť ju s útočníkom.

Ďalší vývoj modelov informačnej bezpečnosti bol spojený s posilňovaním úlohy vlastníka (vlastníka) a zúžil sa na to, že si on sám vybral (na vlastné nebezpečenstvo a riziko) zo štandardného súboru ochranných opatrení, ktoré mu boli ponúkané. ktoré potreboval, teda také, ktoré podľa jeho názoru môžu poskytnúť prijateľnú úroveň bezpečnosti. Išlo o významný krok vpred, pretože zaistilo, že informačná bezpečnosť je viazaná na konkrétny objekt špecifické podmienky jeho existencia, čiastočne riešia rozpory spojené so sebestačnosťou problému informačnej bezpečnosti. Nebolo však možné navrhnúť vlastníkovi konštruktívny mechanizmus, okrem vytvorenia katalógu objektov s vybranými štandardnými ochrannými opatreniami (ochrannými profilmi). Samotné profily boli vytvorené expertno-heuristickou metódou. Zároveň zostalo neznáme, aké riziko na seba majiteľ prevzal, a bolo stanovené v praxi.

Ďalší vývoj viedol k téze, že informačná bezpečnosť môže spôsobiť (generovať) poškodenie cieľov činnosti, a preto riziká informačnej bezpečnosti (ktoré zostali sebestačné) musia byť koordinované (prepojené) s rizikami organizácie. Ostávalo už len naznačiť, ako ich prepojiť a integrovať systém riadenia informačnej bezpečnosti (ISMS) do podnikového riadenia nie ako izolovaný a nezávislý systém procesov, ale ako integrálny, silne prepojený komponent zvládanie. Toto sa nedalo urobiť. Tento prístup však výrazne pokročil v rade kategórií hodnotenia informačnej bezpečnosti, vrátane rizík informačnej bezpečnosti.

Známe sú aj pragmatické modely informačnej bezpečnosti, založené na hodnotení celkových nákladov na vlastníctvo (vo vzťahu k informačnej bezpečnosti) a „návratnosti“ investícií do informačnej bezpečnosti. V rámci tohto prístupu skupina organizácií, ktoré sú si z hľadiska cieľov a prevádzkových podmienok blízke, periodicky posudzuje oblasti implementácie informačnej bezpečnosti a tvorí model pozostávajúci z tzv. osvedčené postupy podľa skupiny. Ďalej každá z organizácií v súlade so svojimi medzerami v osvedčených postupoch a jej podmienkach (incidenty, ktoré sa vyskytli), určuje smer a objem investícií. Efektívnosť investícií sa v ďalšom období posudzuje znižovaním škôd z incidentov, ktoré sa vyskytli v oblasti realizovaných investícií a teda nespôsobili veľké škody.

Tento prístup s mnohými výhodami si však vyžaduje širokú výmenu citlivých informácií a konflikt záujmov účastníkov burzy znemožňuje vytvorenie akýchkoľvek kvalitných opatrení dôvery, takže nie je rozšírený.

Model informačnej bezpečnosti navrhnutý v štandarde Centrálnej banky Ruskej federácie ďalej posunul problém tak z hľadiska jeho integrácie (súvisiacej s cieľmi činnosti), ako aj z hľadiska rozšírenia výkladu entity „útočníka“. Útočníkom sa rozumie osoba, ktorá je schopná konfrontácie s vlastníkom a má svoj vlastný cieľ, ktorý realizuje dosiahnutím kontroly nad majetkom organizácie.

Tento prístup výrazne rozširuje typy a zdroje poškodenia organizácie, ktoré spadajú do rámca úvah o informačnej bezpečnosti, kde je ich riešenie najracionálnejšie. Bol to však do značnej miery kompromisný prístup a naliehavo si vyžaduje ďalšie priblíženie problémov informačnej bezpečnosti ku konečnému výsledku činnosti (vyrobený produkt). Potrebujeme model, ktorý skutočne pomáha podniku, priamo prispieva k jeho výkonnosti a potrebnému zlepšovaniu vytváraním a udržiavaním bezpečného a dôveryhodného informačnej sfére vrátane boja proti útočníkovi. Len takýto model môže obchod akceptovať. Každý iný bude ním odmietnutý.

Tento text je úvodným fragmentom. Z knihy Aplikácia technológií elektronického bankovníctva: prístup založený na riziku autor Lyamin L.V.

5.4. Prispôsobenie informačnej bezpečnosti Základným dôvodom zhoršenia problému informačnej bezpečnosti v súvislosti s prechodom na vzdialené bankovníctvo je zásadná zmena v skladbe hrozieb pre spoľahlivosť bankové činnosti v súvislosti so vznikom IKBD, teda vznikom ich nových

autor Andrianov V.V.

1. Filozofia bezpečnosti podnikových informácií