Rezumat: Securitatea informațiilor în afaceri. Rolul securității informațiilor în asigurarea continuității afacerii Securitatea informațiilor în afaceri

Nimic nu este atât de ieftin pentru o afacere și nimic nu este la fel de scump ca erorile din sistemul de securitate a informațiilor corporative. Este mai bine să înveți din greșelile de securitate ale altora.

Atacurile cibernetice și DLP-sisteme

În 2010, un angajat HSBC- borcan , una dintre cele mai de încredere cincizeci de bănci din lume, când a plecat, a luat cu el detaliile a 15 mii de clienți (în principal din Elveția și Franța). Acest lucru a costat banca 94 de milioane de dolari pentru a înlocui un sistem de securitate ineficient.

Mult mai multe daune au fost cauzate cetățenilor respectabili de infractorii cibernetici care au spart Stare de nervozitate-cont Associated Press. Spărgătorii au ciripit pentru scurt timp: „Două explozii la Casa Albă, Barack Obama este rănit”. Index Dow Jones a scăzut cu 150 de puncte, iar blue chips și-au redus capitalizarea totală cu 200 de miliarde de dolari. Cu toate acestea, după ce a apărut o respingere, panica a încetat și indicele a revenit la valoarea anterioară. Dar cei care s-au grăbit să arunce acțiunile la prețuri târâtoare erau destul de epuizați. O anume „Armata Electronică Siriană” și-a revendicat responsabilitatea pentru hack. Cu toate acestea, este imposibil să spunem cu siguranță că acesta nu a fost un sabotaj pur economic. Momentul era prea precis: imediat după atacul terorist de la Maratonul din Boston.

Pe Forumul Economic Mondial Printre riscurile globale pentru economia mondială, precum corupția, criza demografică, epuizarea resurselor naturale, atacurile cibernetice au fost, de asemenea, numite pentru prima dată în istorie. Amenințările cu care se confruntă atât companiile, cât și agențiile guvernamentale pot fi atât externe, cât și interne. De fapt, atacurile cibernetice sunt o amenințare externă. Amenințările interne nu sunt neapărat rezultatul unei intenții rău intenționate. Angajații IT destul de loiali, dar incompetenți pot lansa accidental o investiție în e-mail un program rău intenționat, ștergeți din greșeală folderul dorit, mergeți pe un site plin de troieni. Ca urmare, informații importante pentru companie pot fie să dispară fără urmă, fie să cadă în mâinile concurenților sau a unor „luptători pentru dreptate” obsedați de ideile de salvare a umanității de globalism și alte boli ale capitalismului, totalitarismului etc. Statisticile arată că companiile suferă cel mai mare prejudiciu din cauza propriului personal.

Problema securității computerelor a apărut de îndată ce compania americană Eckert-Mauchly Computer Corporation a lansat primul computer produs în masă în 1951 UNIVAC I. Multă vreme, această problemă a fost mai degrabă teoretică. Totul s-a schimbat după inventarea Internetului și creșterea ca avalanșă a World Wide Web.

Era nevoie de o industrie cu totul nouă pentru a combate criminalitatea cibernetică. În fiecare an, companiile rusești și străine lansează din ce în ce mai multe antivirusuri, programe criptografice, produse care previn atacurile de tip phishing și DDoS etc. Programele sunt îmbunătățite în mod constant și apar noi soiuri. În special, relativ recent a intrat pe piața instrumentelor de securitate a informațiilor DLP-sisteme ( Prevenirea scurgerilor de date), prevenind scurgerea de informații din rețelele corporative.

Un sistem DLP complet și complet funcțional are următoarele funcții:

• control total și constant al tuturor canalelor de posibilă scurgere de informații;
• analiza întregului trafic care părăsește rețeaua corporativă pentru prezența informațiilor confidențiale;
• blocarea transferului de informații confidențiale, ceea ce înseamnă nu numai date secrete corporative, ci și declarații jignitoare, videoclipuri obscene, precum și mailing-uri, dintr-un motiv sau altul, afectând negativ imaginea corporativă;
• blocarea primirii de informații nedorite și rău intenționate;
• arhivarea traficului neautorizat interceptat în scopul investigării incidentelor.

De menționat că sistemele DLP nu înlocuiesc relevanța categoriilor anterioare de produse, precum antivirusuri, programe criptografice, încuietori electronice cu grad ridicat de identificare a utilizatorului etc. Cu toate acestea, toate aceste instrumente au devenit mai vulnerabile în ultimii 2-3 ani. Motivul pentru aceasta este două tendințe globale IT: extinderea dispozitive mobileși cloud computing.

Noi vulnerabilități

ÎN momentul prezent Rușii au în mână aproximativ 50 de milioane de dispozitive mobile - smartphone-uri, tablete, netbook-uri, laptop-uri etc. Anul acesta cifra va crește cu încă 12 milioane, iar până în 2015 va depăși 70 de milioane Potrivit prognozei unei companii analitice International Data Corporation, dispozitivele mobile vor depăși calculatoarele personale în frecvența accesului la Internet în următoarele luni.

Și toate aceste dispozitive creează potențiale vulnerabilități atât pentru rețeaua corporativă în sine, cât și pentru informațiile confidențiale stocate în ea. Programele rău intenționate pentru smartphone-urile care rulează sistemul de operare sunt acum la modă printre hackeri. Android. Și din moment ce angajații folosesc smartphone-uri la serviciu, acasă, în vacanță și în transport, probabilitatea de infectare a serverelor care fac parte din rețeaua corporativă crește brusc.

Există o amenințare de alt fel. Sunt cunoscute cel puțin trei cazuri în care angajați ai contraspionajului britanic MI5, fie acționați, fie suprasolicitați, și-au pierdut laptopurile cu informații clasificate în locurile cele mai nepotrivite - în metrou, taxi, cafenea. Și, vezi tu, este mult mai ușor să pierzi un smartphone decât un laptop.

Este inutil să lupți cu „mobilizarea totală” a biroului. Și nu este profitabil: la urma urmei, datorită smartphone-urilor și tabletelor, angajații pot lucra acasă sau în vacanță. Conform „Kaspersky Lab”În prezent, doar un sfert din toți angajații companiei au strict interzis să folosească dispozitivele mobile la locul de muncă. 34% dintre proprietarii de smartphone-uri, 38% dintre proprietarii de tablete și 45% dintre posesorii de laptopuri au acces deplin la resursele corporative. În rest, au fost introduse restricții de diferite niveluri de acces.

Cum să asigurăm securitatea informațiilor în epocă Internet mobilși cloud computing? Sarcina nu este ușoară. La urma urmei, stațiile de lucru și serverele rețelelor corporative rulează același sistem de operare ( Windows sau Unix), securitatea lor este susținută de mijloacele încorporate în sistem. Iar dispozitivele mobile nu numai că folosesc propriul sistem de operare, dar nici nu au măsuri de securitate eficiente, deoarece au fost concepute ca dispozitive pentru uz individual, nu corporativ. Situația este agravată și mai mult de faptul că este imposibil să se controleze locația unui dispozitiv mobil și sursa de conectare, precum și în mâinile cui se află, folosind metode organizatorice.

De regulă, aceste probleme sunt rezolvate prin software prin consolidarea circuitului de protecție al sistemului, adaptarea sistemului de securitate corporativă la întreaga varietate de dispozitive mobile și instalarea aplicațiilor de securitate necesare pe acestea. Cu toate acestea, este posibilă o altă modalitate - de a oferi angajaților tablete și smartphone-uri securizate corporative.

Producător intern de produse de securitate informatică „Cod de securitate” a lansat o tabletă „Continent T-10”, care rulează Android 4 OS și este echipat cu toate instrumentele necesare pentru operarea securizată de la distanță atât a tabletei în sine, cât și a aplicațiilor de sistem corporative la care se conectează printr-un gateway securizat. Acest dispozitiv mobil este complet integrat în sistem corporativ siguranța și nu necesită măsuri suplimentare de adaptare.

Cloud computing pune, de asemenea, probleme serioase. Piața rusă a serviciilor cloud a depășit deja cifra de afaceri anuală de 150 de milioane de dolari și crește cu 50% anual. În același timp, cea mai mare parte a pieței cade pe cloud-urile private, adică pe cele create în cadrul corporației. Norurile private diferă semnificativ de rețelele corporative configurate rigid din punct de vedere al securității informațiilor. Și ei cer fonduri proprii protecţie.

Pe linie

Piața de securitate a informațiilor din Rusia se dezvoltă rapid și a depășit deja volumul de 600 de milioane de dolari. 15% din piață este controlată de cei mai mari cinci jucători: „Asteros”, „Croc”, „Informzashita”, LetaŞi „Jet Infosystems”. În ceea ce privește piața globală, cu o creștere anuală de 30%, volumul acesteia se apropie de 1 miliard de dolari. Printre liderii internaționali se numără giganți precum Symantec, McAffee, TrendMicro, Check Point, Cisco Systems.

Atât producătorii ruși, cât și cei occidentali, rezolvând probleme comune, produc produse similare. Pentru a garanta protecția informațiilor împotriva întregii game de amenințări existente, este necesar abordare integrată, luând în considerare toate aspectele funcționării rețelelor corporative, nu doar tehnice, ci și psihologice, legate de factorul uman. Cele mai bune rezultate sunt obținute prin utilizarea întregii linii de produse care asigură protecția informațiilor: antivirusuri, firewall-uri, antispam, instrumente criptografice, sisteme de prevenire a pierderii datelor etc. O singură încălcare a buclei de securitate a sistemului poate duce la daune imprevizibile.

Dar fiecare producător intern individual nu oferă întreaga linie de produse. Apare o situație, numită „grădina zoologică a sistemelor”, când utilizarea diferitelor produse cu ideologii diferite necesită crearea unor scheme complexe de control. În cazuri excepționale, acest lucru poate duce la defecțiunea sistemului.

Prin urmare, atunci când alegeți un sistem de securitate, ar trebui să vă ghidați nu numai de caracterul complet al funcționalității și scalabilității, ci și de controlabilitate, care depinde de unitatea conceptului tuturor componentelor sale. Dintre vânzătorii ruși, această cerință este îndeplinită, de exemplu, de compania Security Code, care are cea mai largă linie de produse. Produsele sale, instalate folosind tehnologia „fără întreruperi”, vă permit să monitorizați rapid evenimentele în curs de la un singur punct de control al tuturor sistemelor de securitate.

LISTA BIBLIOGRAFICĂ

1. Khovanskova V.S., Rumyantsev K.E., Khovanskov S.A. Metodă de creștere a protecției performanței calculului distribuit în rețelele de calculatoare // Izvestia Universității Federale de Sud. Științe tehnice. - 2012. - Nr. 4 (129). - P. 102-107.

2. Khovanskov S.A., Norkin O.R. Algoritm pentru creșterea performanței de calcul în rețea distribuită // Informatizare și comunicare. - 2011. - Nr 3. - P. 96-98.

3. Litvinenko V.A., Khovanskov S.A. Rezolvarea problemelor prin organizarea de calcul distribuit în rețea // Izvestia SFU. Științe tehnice. - 2008. - Nr. 3 (80). - pp. 16-21.

4. Khovanskov S.A., Norkin O.R. Optimizarea algoritmică a configurației unui sistem de calcul descentralizat // Telecomunicații. - 2012. - Nr. 11. - P. 2-5.

5. Hovanskov S.A. Organizarea calculului distribuit cu o structură ierarhică de conexiuni // Contracararea informațiilor la amenințările terorismului. - 2007. - Nr. 9. - P. 170-178.

6. Litvinenko V.A., Khovanskov S.A. Algoritm de optimizare a parametrilor rețelei de calculatoare pentru a reduce timpul de rezolvare a unei probleme pe baza unui sistem multi-agent // Izvestia a Universității Federale de Sud. Științe tehnice. - 2007. - Nr. 2 (77). - p. 186-190.

7. Khovanskov S.A., Litvinenko V.A., Norkin O.R. Organizarea calculului distribuit pentru rezolvarea problemelor de urmărire // Știri ale Universității Federale de Sud. Științe tehnice. - 2010.

- Nr. 12 (113). - P. 48-55.

8. Kalashnikov V.A., Trunov I.L., Khovanskov S.A. Algoritm de plasare paralelă pe un sistem de calcul multiprocesor // Știri ale Universității Federale de Sud. Științe tehnice.

1997. - Nr. 3 (6). - p. 181-184.

Rumyantsev Konstantin Evgenievich - Instituția de învățământ autonomă de stat federală de învățământ profesional superior „Universitatea Federală de Sud”; e-mail: [email protected]; 347900, Taganrog, str. Cehova, 2; tel.: 88634328725; Departamentul IBTKS; cap departament; doctor în științe tehnice; profesor,

Khovanskov Sergey Andreevich - e-mail: [email protected]; tel.: 88634642530; Departamentul IBTKS; doctorat; Profesor asociat

Khovanskova Vera Sergeevna - e-mail: [email protected]; tel.: 88634676616; student

Rumyantsev Constantine Evgen’evich - Instituție de învățământ autonomă federală de stat de învățământ profesional superior „Universitatea Federală de Sud”; e-mail: [email protected]; 2, strada Cehov, Taganrog, 347900, Rusia; telefon: +78634328725; departamentul IBTKS; șeful departamentului; dr. de ing. sc.; profesor

Khovanskov Sergey Andreevich - e-mail: [email protected]; telefon: 88634642530; departamentul ISTCN; cand. de ing. sc.; conf. univ

Khovanskova Vera Sergeevna - e-mail: [email protected]; telefon: +78634676616; student.

E.N. Efimov, G.M. Lapitskaya

SECURITATEA INFORMAȚIILOR ȘI PROCESELE DE AFACERI

FIRME

Scopul studiului este de a arăta că securitatea informațiilor ar trebui să fie creată și să existe în cadrul atingerii obiectivelor de afaceri ale companiei. În același timp, procesele de afaceri sunt sursa primară de date pentru organizarea securității informațiilor companiei.

La elaborarea unei strategii de management al securității informațiilor se propune un diagnostic cuprinzător al stării companiei folosind analiza SWOT cu o evaluare cantitativă condiționată a rezultatelor obținute prin metoda analizei ierarhice.

Identificarea riscurilor este necesară pentru a evalua importanța amenințărilor și pentru a construi un sistem de securitate. Analiza a arătat că riscurile proceselor de afaceri ale companiei sunt grupate în următoarele categorii: riscuri în timpul proiectării, riscuri în timpul reinginerării și riscuri în timpul utilizării proceselor de afaceri.

Este recomandabil să se automatizeze procesele de securitate a informațiilor unei companii folosind un sistem de clasă GRC (Guvernare, management al riscului și conformitate), care astăzi este considerat unul dintre moduri eficiente tehnologia informației și managementul securității informațiilor. În acest caz, este recomandabil să integrați sistemul GRC cu sistemele de clasă Business Process Management concepute pentru a gestiona procesele de afaceri ale companiei.

Obiectivele de afaceri; securitatea informațiilor; procesele de afaceri.

E.N. Efimov, G.M. Lapitskaya

SECURITATEA INFORMAȚIILOR ȘI PROCESELE DE AFACERI ALE COMPANIEI

Scopul studiului este de a arăta că siguranța informațiilor trebuie să fie creată și să existe în cadrul realizării afacerii întregi pentru companii. La afaceri, procesele sunt o primă mână oferite companiilor pentru organizarea siguranței informațiilor.

La elaborarea strategiilor de management al siguranței informațiilor se oferă companiilor diagnostice complexe ale stării prin intermediul analizei SWOT cu rezultat de estimare cantitativă condiționată, obținută prin metoda ierarhiei de analiză.

Riscul de identificare necesar pentru estimarea valorii amenințărilor și clădirilor sistemului la siguranță. Analiza a arătat că riscurile proceselor de afaceri pentru companii sunt grupate în următoarele categorii: riscuri la proiectare, riscuri în reinginiere și riscuri în procesul de utilizare a proceselor de afaceri.

Automatizarea proceselor de siguranță a companiilor în mod rezonabil prin intermediul sistemelor din clasa GRC (Guvernare, Managementul Riscului și Conformitate), care sunt astăzi considerate ca una dintre modalitățile eficiente de management al tehnologiei informației și al siguranței informațiilor. Sistemele GRC sunt necesare complexe cu un sistem din clasa Business Process Management, destinat guvernării proceselor de afaceri către companii.

Scopuri comerciale; siguranța informațiilor; procesele de afaceri.

Enunțarea problemei. Securitatea informațiilor trebuie să fie create și să existe în cadrul realizării obiectivelor de afaceri ale companiilor. Managementul eficient al afacerii este imposibil fără utilizarea modernului tehnologia de informație(IT), care sunt utilizate pentru a sprijini aproape toate procesele de afaceri companie modernă. Cu toate acestea, astăzi tendința este evidentă: securitatea informațiilor se transformă de la protecția unor rețele, servere și resurse de informații specifice în securitatea proceselor de afaceri ale companiilor susținute de IT. Aceasta presupune prezența a două domenii interdependente de asigurare a securității companiei: pe de o parte - munca eficienta afaceri în ceea ce privește funcționarea proceselor de afaceri; pe de altă parte, funcționarea normală a infrastructurii IT suport. În prezent, nu există o abordare unificată a securității informațiilor în acest context.

Pentru a înțelege problemele cheie de securitate ale unei companii, este recomandabil să efectuați o analiză amănunțită a celor externe și mediu intern business, scoateți în evidență acele componente care contează cu adevărat, colectați și urmăriți informații despre fiecare componentă și, pe baza unei evaluări a situației reale, aflați starea companiei și motivele acestei situații. Diagnosticarea corectă, cuprinzătoare și în timp util a stării companiei este prima etapă în dezvoltarea unei strategii de gestionare a activităților sigure.

Cea mai comună modalitate de a evalua poziția strategică a unei companii este analiza SWOT1. Matricea de analiză SWOT poate fi prezentată ca următorul set:

SWOT = ,

unde St (Putele forte) este setul punctele forte organizații, St = (St1, St2, ..., Stmt); W (Puncte slabe) - set punctele slabe organizații, W = (W1, W2, ..., Wnw); Op (Oportunități) - set de oportunități de organizare, Op = (Op1, Op2, ., Opnop); Th (Amenințări) - set de amenințări la adresa organizației, Th = (Th1, Th2, ..., Thnth).

Este important să înțelegem că părțile puternice St = (St1, St2, ..., Stnst) și slabe W = (W1, W2, ..., Wnw) sunt acele componente ale activităților companiei pe care aceasta le poate controla și oportunitățile Op = (Op1, Op2, ., Opnop) și amenințările Th = (Th1, Th2, ..., Thnth) sunt acei factori care sunt în afara controlului companiei și pot afecta procesul de dezvoltare a acesteia.

Rezultatele analizei SWOT ne permit să formulăm strategia de securitate a companiei în această etapă de dezvoltare. Această sarcină poate fi cu greu formalizată, totuși, pe baza acestor date, pot fi dezvoltate multe strategii de organizare a S = (S1, S2, ., Sn).

Pentru o evaluare cantitativă condiționată a matricei SWOT, este posibil să se utilizeze, de exemplu, metoda analizei ierarhice (MAI). Această metodă oferă cea mai eficientă modalitate de a evalua cantitativ nemăsurabile, dar în același timp importanți, factori pentru luarea unor decizii informate. În plus, metoda funcționează cu judecăți inconsistente și nu necesită ca preferințele consumatorilor sau ale decidentului (DM) să respecte axiomele de utilitate. MAI permite reducerea studiului problemelor complexe la o procedură simplă pentru efectuarea de comparații secvenţiale în perechi.

Ca exemplu, au fost luate în considerare rezultatele unei analize SWOT întreprindere de exploatare industria telecomunicațiilor (JSC Telecom), oferind o gamă completă de servicii de comunicații (telefonie cu fir și fără fir, acces la Internet, servicii de comunicații radio, servicii de informare) pe teritoriul orașului și regiunii (nu este menționat în articol). O opțiune pentru evaluarea ulterioară a matricei SWOT folosind AHP este prezentată în tabel. 1.

Tabelul 1

Evaluarea matricei SWOT

St W Op Th Vector prioritar Vector normalizat

St 1 1 0,33 0,33 0,58 0,10

W 1 1 0,2 0,14 0,41 0,07

Op 3 5 1 0,2 1,32 0,24

Th 3 7 5 1 3,20 0,58

Indicele de consistență IS = 0,14 și raportul de consistență OS = 15,58< 20 % показывают удовлетворительную согласованность оценок ЛПР.

Valorile vectorului normalizat se află în limite, prin urmare rezultatele calculelor experților pot fi interpretate astfel: „amenințările” organizației sunt semnificative (Op = 0,58), „oportunitățile” organizației de a rezolva probleme. sunt satisfăcătoare (Op = 0,24), „punctele tari” ale organizației pentru depășirea problemelor sunt mediocre ^ = 0,1), „punctele slabe” ale organizației sunt nesemnificative ^ = 0,07).

1 SWOT este un acronim care conține literele inițiale de patru cuvinte englezești: putere, slăbiciune, oportunități și amenințări

Această viziune asupra problemei de securitate a companiei vă permite să specificați scopurile și obiectivele acesteia, obiectele și amenințările, să dezvoltați un plan de acțiune pentru a reduce riscurile proceselor de afaceri și să evaluați eficacitatea măsurilor luate.

Datorită naturii specifice cercetării securității informațiilor din punct de vedere al securității proceselor de afaceri, o companie trebuie mai întâi să identifice riscurile procesului de afaceri. Scopul identificării riscurilor este de a evalua expunerea unei companii la amenințări care ar putea cauza prejudicii semnificative. Pentru a colecta informații despre riscuri, procesele de afaceri ale companiei sunt analizate și sunt intervievați experți domeniul subiectului. Rezultatul acest proces este o listă clasificată a tuturor riscurilor potențiale.

Identificarea riscurilor proceselor de afaceri. Un proces de afaceri poate fi reprezentat ca o transformare:

P (X, I, I, I O) ^ Y, unde P este un proces care are forma unui set de acțiuni P = (Bx, B2, ..., Br);X = (Xx, X2,.. ., X) - fluxurile de intrare ale procesului de afaceri și furnizorii acestora; Y = (Ux, U2,..., U) - fluxurile de ieșire ale procesului de afaceri și consumatorii acestora; I = (Yakh, I2,..., I/) - un ansamblu de resurse utilizate pentru realizarea unui proces de afaceri (tehnic, material, informativ); I = (I1, I2,..., Ian) - un set de funcții implementate într-un proces de afaceri; I = (2b 12,..., 1t) - set de participanți și executanți ai procesului de afaceri; O = (Ox, O2,..., O) - limitele și interfețele procesului.

Din această definiție reiese clar că procesele de afaceri sunt sursa primară de date pentru organizarea securității informațiilor companiei.

În primul rând, este necesar să se definească obiectele de protecție, i.e. ce și de ce amenințări ar trebui protejate. Obiectele de protecție includ, desigur, informații, procese de afaceri și resurse materiale companiilor.

Începutul evident de a lucra astăzi la securitatea informațiilor este clasificarea datelor companiei. Clasificarea este un proces complex care necesită mult timp și bani. Pentru ca clasificarea să fie eficientă, aceasta trebuie menținută și actualizată în mod constant. Utilitatea clasificării constă în faptul că vă permite să identificați toate locurile în care sunt stocate informații și să identificați informațiile care ar trebui protejate. Acest lucru vă permite să minimizați cantitatea de informații confidențiale. La efectuarea clasificării sunt identificate documente care au fost cândva secrete, dar acum și-au pierdut relevanța. Ele pot fi arhivate sau șterse definitiv.

Activele informaționale (IA) ca obiecte de protecție necesită menținerea integrității, disponibilității și, dacă este necesar, a confidențialității informațiilor din sistemele de afaceri. Analiza posibilelor amenințări a arătat că infrastructura informațională trebuie să aibă proprietatea de a proteja informațiile utilizate în procesele de afaceri, i.e. oferă protecție împotriva primirii, modificării, distrugerii sau utilizării neautorizate (intenționate sau accidentale) a informațiilor comerciale, de proprietate sau tehnologice. Luând în considerare prezența componentelor procesului de afaceri, precum și relațiile acestora, situațiile potențial periculoase includ: accesul neautorizat al infractorilor (nu proprietarii și participanții la procese) la informațiile stocate și procesate în instrumente de automatizare în scopul familiarizării, denaturarii sau distrugerii. . În acest caz, punctele de intrare pot fi interfețele și limitele procesului, precum și informațiile necesare implementării funcțiilor (operații, proceduri) procesului; interceptarea informațiilor atunci când sunt recepționate (transmise) prin canale de comunicare

funcții de proces (de rețea), precum și prin furtul de medii de stocare; distrugerea (modificarea, denaturarea) informațiilor din cauza interferențelor aleatorii, defecțiuni ale mijloacelor tehnice (software) în timpul transmiterii, stocării și procesării informațiilor; influența neautorizată asupra procesului de afaceri a infractorilor din rândul proprietarilor și (sau) participanților la proces.

Analiza domeniului subiectului a arătat că este recomandabil să se identifice riscurile proceselor de afaceri ale unei companii în toate etapele principale ale acestora. ciclu de viață: în stadiile de proiectare, reinginerie și în procesul de utilizare a proceselor de afaceri.

Identificarea riscurilor în proiectarea și reinginerirea proceselor de afaceri. Chiar și descrierea inițială a principalelor procese de afaceri ale companiei aduce atât rezultate tangibile în creșterea eficienței operaționale, cât și posibile pierderi (riscuri). Acestea sunt, în primul rând, riscuri datorate erorilor de proiectare a procesului: erori de incompletitudine (prezența lacunelor în descrierea procesului); erori de inconsecvență (utilizarea inadecvată a resurselor informaționale în diverse părți proces, care duce la percepția distorsionată a informațiilor sau la instrucțiuni neclare); erori de incompatibilitate ierarhică sau „ereditară” (prezența unui conflict între procesele principale și cele ulterioare). Evident, ar trebui permise și alte tipuri de erori.

Următoarele serii de riscuri apar din cauza erorilor în metodologia de descriere a proceselor (sau paradigma „metodologie - model - notație - instrumente”): la afișarea funcțiilor sistemului; procese care asigură îndeplinirea funcțiilor; date și structuri organizatorice care asigură îndeplinirea funcțiilor; fluxurile de materiale și informații în timpul îndeplinirii funcțiilor.

În continuare, trebuie remarcate riscurile care decurg din inconsecvențele în topologia procesului, care nu permit realizarea celui mai înțeles flux al procesului, reflectând fie starea reală de fapt, fie cea optimă, ținând cont de încărcarea executanților, a disponibilitatea resurselor sau alte circumstanțe. Analiza erorilor de topologie a procesului poate fi efectuată în mai multe iterații. Ca urmare, procesul analizat se poate schimba dramatic. De exemplu, funcțiile care au fost executate anterior succesiv una după alta vor fi executate în paralel. Desigur, logica procesului și rezultatul rezultat nu ar trebui să fie distorsionate.

Identificarea riscurilor la utilizarea proceselor de afaceri. Riscul operațional poate fi definit ca riscul de pierderi directe sau indirecte ca urmare a executării incorecte a proceselor de afaceri, ineficacitatea procedurilor de control intern, defecțiuni tehnologice, acțiuni neautorizate ale personalului sau influențe externe. Riscul operațional este critic pentru procesele caracterizate prin semnificație pentru activitățile organizației în ansamblu, un număr mare de tranzacții pe unitatea de timp, un sistem complex suport tehnic. Factorii de risc identificați de obicei sunt similari cu indicatorii stării mediului intern de operare și a proceselor de afaceri - volumul operațiunilor, cifra de afaceri, procentul acțiunilor eronate. Managementul riscului operațional se realizează prin construirea unor procese de afaceri transparente și gestionabile, corecte structura organizatorica bazată pe cunoștințe de specialitate.

Pentru a rezolva problemele de eliminare a riscurilor operaționale ale proceselor de afaceri, poate fi utilizat sistemul de producție lean ( lean manufacturing) este un concept de management creat pe baza sistem de producție Toyota. Scopul lean este de a identifica, analiza și elimina deșeurile în procesele de productie. În conformitate cu conceptul lean, în procesele de afaceri apar opt tipuri de pierderi: neutilizarea potențialului angajaților; pierderi

din supraproducție; pierderi de transport; pierderi din defecte, deșeuri inutile și reprelucrari; pierderi de întreținere a stocurilor; pierderi datorate deplasărilor și deplasărilor de personal; pierderi din timpul nefuncționării; pierderi din cauza supraprocesării. Pierderile în acest caz sunt considerate operațiuni care irosesc timp și resurse materiale, fără a adăuga valoare produsului sau serviciului pentru consumatorul final.

Deci, de exemplu, este necesar să se protejeze împotriva acțiunilor ilegale ale personalului care efectuează procese de afaceri, a influenței neautorizate asupra furnizorilor, a volumelor și a termenilor de furnizare a resurselor; reglementări pentru executarea proceselor de afaceri, incl. reglementări ale interfețelor interne și externe; tehnologie pentru efectuarea proceselor de afaceri etc.

Descrierea proceselor de afaceri, modelarea acestora, monitorizarea și analiza ulterioară a implementării sunt activități constante și consecvente pentru eliminarea riscurilor operaționale și, prin urmare, a pierderilor.

Puteți automatiza procesele de securitate a informațiilor ale companiei dvs. folosind sistemele de clasă GRC (Guvernare, management al riscului și conformitate), care sunt considerate astăzi ca una dintre modalitățile eficiente de a gestiona tehnologia informației și securitatea informației.

GRC este o privire asupra gestionării a ceva din trei perspective: guvernanță, managementul riscului și conformitate. Rezultatul prelucrării informațiilor despre activitățile tuturor diviziilor companiei sunt rapoarte vizuale formulate în termeni de afaceri.2

De exemplu, modulul Enterprise Management al produsului RSA Archer eGRC vă permite să inventariați și să clasificați activele companiei, să creați registru unificat active interconectate, inclusiv active informaționale și tehnologice, procese de afaceri, bunuri și servicii, divizii și unități de afaceri individuale, facilități și echipamente de producție, contacte cu angajații seniori ai companiei, parteneri și furnizori. Pentru fiecare activ se determină proprietarul acestuia și valoarea pentru companie. Rezultatele acestei lucrări pot fi utilizate în proceduri suplimentare de evaluare a riscului de securitate a informațiilor. Integrarea cu sistemele de gestionare a vulnerabilităților SIEM sau DLP vă permite să acordați prioritate remedierii vulnerabilităților și să neutralizați incidentele pentru fiecare activ specific.3

Cu toate acestea, este aproape imposibil să implementați toate funcțiile GRC în contextul securității proceselor de afaceri folosind una, chiar și o soluție IT bună. Un sistem care poate ajuta la rezolvarea problemelor acestui concept trebuie să fie la fel de complex ca și sarcinile GRC în sine.4 Pentru a se integra cu sistemul GRC, este recomandabil să se utilizeze sisteme de Business Process Management (BPM), Business" Performance Management și Clasele de Business Intelligence, destinate automatizării și managementului proceselor de afaceri O diagramă a relației dintre procesele de afaceri și principalele subiecte de securitate a informațiilor companiei în notație UML este prezentată în Fig.

2 Evgeniy Bezgodov Ce este OYAS și cum poate fi util pentru securitatea informațiilor? [ Resursa electronica] http://ru.deiteriy.com/what_is_grc_and_its_ ^аБИ-ityJnJnformation_security/.

3 OYAS - modul de optimizare a proceselor de management al securității informațiilor //Revista bancară nr. 9 (176) septembrie 2013 [resursa electronică] http://www.bosfera.ru/bo/put-k-optimizatsii-protsessov

4 Conceptul de SNF a devenit următoarea etapă în dezvoltarea pieței de securitate a informațiilor [Resursa electronică] http://www.cnews.ru/reviews/free/security2008/articles/grc.shtml.

Orez. 1. Relația dintre procesele de afaceri și principalele subiecte de informare

securitatea companiei

Interacțiunea dintre procesele de afaceri ale companiei și mediul care creează amenințări, în primul rând la adresa proceselor de afaceri, în cadrul sistemului de securitate a informațiilor este prezentată în diagrama de mai jos (Fig. 2).

Orez. 2. Interacțiunea proceselor de afaceri și a mediului care creează amenințări

Principalele concluzii.

O diagnosticare cuprinzătoare a stării companiei este prima etapă în dezvoltarea unei strategii de management al securității informațiilor, care este cel mai bine realizată folosind o analiză SWOT cu evaluarea cantitativă condiționată propusă.

Analiza a arătat că procesele de afaceri sunt sursa principală de date pentru organizarea securității informațiilor unei companii.

Asigurarea securității informaționale a proceselor de afaceri ar trebui să înceapă cu dezvoltarea clasificării datelor, care să permită protejarea informațiilor de identificare, minimizarea cantității de informații confidențiale și identificarea tuturor locurilor în care sunt stocate informații, care pot fi utilizate pentru optimizarea proceselor de afaceri din companie. .

Analiza posibilelor riscuri ale proceselor de afaceri ne-a permis să stabilim următoarele grupuri: riscuri în proiectare, reinginerie și în procesul de utilizare a proceselor de afaceri.

Este recomandabil să automatizați procesele de securitate a informațiilor unei companii utilizând un sistem de clasă GRC (Guvernare, management al riscului și conformitate), care ar trebui să fie integrat cu sistemele de management al proceselor de afaceri, managementul performanței afacerii sau Business Intelligence concepute pentru a automatiza și gestiona procesele de afaceri.

LISTA BIBLIOGRAFICĂ

1. Kamennova M.S., Gromov A.I., Ferapontov M.M., Shmataluk A.E. Modelarea afacerilor. Metodologia ARIS. - M.: Vest-MetaTechnology, 2001.

2. Saati T. Luarea deciziilor. Metoda analizei ierarhice. - M.: Radio și comunicare, 1993.

3. Stelmashonok E.V. Organizarea proceselor de securitate a informatiei-afaceri // Informatica aplicata. - 2006. - Nr. 2. - P. 42-57.

4. Timokhin A. Cum să găsiți toate pierderile: practica aplicării metodologiei lean la NPO „ELSIB” // „BOSS” Nr. 9, 2012.

5. Khanova A.A. Model structural-funcțional al tabloului de bord echilibrat pentru adoptare decizii de management// Buletinul ASTU Ser.: Management, informatică și știința informației. - 2012. - Nr. 1. - P. 200-208.

Efimov Evgeniy Nikolaevich - Statul Rostov universitate economică(RINH); e-mail: [email protected]; 344002, Rostov-pe-Don, B. Sadovaya, 69, camera. 306 a; tel.: 89525721917; Departamentul Tehnologii Informaţionale şi Securitate Informaţională; Dan.; profesor.

Lapitskaya Galina Melkonovna - e-mail: [email protected]; tel.: 89286050143; Departamentul Tehnologii Informaţionale şi Securitate Informaţională; doctorat; profesor.

Efimov Evgeniy Nikolayevich - Universitatea Economică de Stat Rostov; e-mail: [email protected]; 69, strada B. Sadovaya, camera 306 a, Rostov-pe-Don, 344002, Rusia; telefon: +79525721917; departamentul tehnologii informaționale și securitate informațională; dr.ec. sc.; profesor

Lapickaya Galina Melkovna - e-mail: [email protected]; telefon: +79286050143; departamentul tehnologii informaționale și securitate informațională; cand.ec. sc.; profesor

Ministerul Educației și Științei Federația Rusă

instituție de învățământ bugetar de stat federal

studii profesionale superioare

„CERCETARE NAȚIONALĂ PERM

UNIVERSITATEA POLITEHNICĂ”

Test

prin disciplina

SECURITATEA INFORMAȚIILOR ÎNTREPRINDERII

Subiectul „Securitatea informațiilor în afaceri folosind exemplul Alfa Bank OJSC”

Completat de un student

grupa FC-11B:

Smyshlyaeva Maria Sergheevna

Verificat de profesor:

Şaburov Andrei Sergheevici

Perm - 2013

Introducere

Concluzie

Referințe

Introducere

Resursele de informații ale majorității companiilor se numără printre resursele lor cele mai valoroase. Din acest motiv, informațiile comerciale, confidențiale și datele cu caracter personal trebuie protejate în mod fiabil împotriva utilizării abuzive, dar în același timp ușor accesibile entităților implicate în prelucrarea acestor informații sau care le utilizează în procesul de îndeplinire a sarcinilor atribuite. Utilizați pentru asta mijloace speciale contribuie la sustenabilitatea afacerii companiei și la viabilitatea acesteia.

După cum arată practica, problema organizării protecției afacerilor în conditii moderne a devenit cea mai relevantă. Magazinele online sunt „deschise” și cărțile de credit ale clienților sunt golite, cazinourile și casele de pariuri sunt șantajate, rețelele corporative sunt sub control. control extern, computerele sunt „zombificate” și incluse în rețele bot, iar frauda folosind date personale furate devine un dezastru național.

Prin urmare, managerii companiei trebuie să înțeleagă importanța securității informațiilor, să învețe să prezică tendințele în acest domeniu și să le gestioneze.

Scopul acestei lucrări este de a identifica avantajele și dezavantajele sistemului de securitate a informațiilor de afaceri folosind exemplul Alfa Bank.

Caracteristicile activităților OJSC „Alfa-Bank”

Alfa-Bank a fost fondată în 1990. Alfa-Bank este o bancă universală care desfășoară toate tipurile principale de operațiuni bancare reprezentate pe piața serviciilor financiare, inclusiv servicii private și clienti corporativi, investitie afaceri bancare, finanțarea comerțului și managementul activelor.

Sediul central al Alfa-Bank este situat la Moscova un total de 444 de sucursale și sucursale ale băncii au fost deschise în regiunile din Rusia și în străinătate, inclusiv o bancă subsidiară în Țările de Jos și financiar; filialeîn SUA, Marea Britanie și Cipru. Alfa-Bank are aproximativ 17 mii de angajați.

Alfa-Bank este cea mai mare bancă privată din Rusia în ceea ce privește activele totale, capitalul total și depozitele. Banca are o bază mare de clienți atât clienți corporativi cât și indivizii. Alfa-Bank se dezvoltă ca bancă universală în principalele domenii: afaceri corporative și de investiții (inclusiv mici și afaceri medii(IMM-uri), comerț și finanțare structurată, leasing și factoring), afaceri cu amănuntul (inclusiv sistemul sucursalelor bancare, credite auto și credite ipotecare). O atenție deosebită este acordată dezvoltării produselor bancare corporative în segmentele de masă și IMM-uri, precum și dezvoltării canalelor de autoservire la distanță și achizițiilor de internet. Prioritățile strategice ale Alfa-Bank sunt menținerea statutului de bancă privată lider în Rusia, consolidarea stabilității, creșterea profitabilității și stabilirea standardelor din industrie pentru tehnologie, eficiență, calitate a serviciilor pentru clienți și coerență.

Alfa-Bank este una dintre cele mai active bănci rusești pe piețele globale de capital. Cele mai importante agenții de rating internaționale atribuie Alfa-Bank unul dintre cele mai înalte ratinguri dintre băncile private rusești. A fost clasat pe primul loc în studiul Indexul experienței clienților de patru ori la rând. Sectorul bancar cu amănuntul după criza financiara", condusă de Senteo împreună cu PricewaterhouseCoopers. Tot în 2012, Alfa-Bank a fost recunoscută cel mai bun internet banca conform revistei GlobalFinance, premiată pentru cele mai bune analize de către Asociația Națională a Participanților Bursa de Valori(NAUFOR), a devenit cea mai bună bancă privată din Rusia conform indicelui de încredere calculat de holdingul de cercetare Romir.

Astăzi, Banca are o rețea la scară federală de 83 de puncte de vânzare. Alfa Bank are una dintre cele mai multe rețele mari dintre băncile comerciale, constând din 55 de birouri și acoperind 23 de orașe. Ca urmare a creșterii rețelei, Banca are oportunități suplimentare de a-și crește baza de clienți, de a extinde gama și calitatea produselor bancare, de a implementa programe interregionale, servicii complete clienți importanți din punct de vedere sistemic din rândul celor mai mari întreprinderi.

Analiză baza teoretica problemă de securitate a informațiilor de afaceri

Relevanţăiar importanța problemei asigurării securității informațiilor se datorează următorilor factori:

· Niveluri moderne iar ritmul de dezvoltare a instrumentelor de securitate a informațiilor rămâne semnificativ în urma nivelurilor și ritmului de dezvoltare a tehnologiei informației.

· Rate ridicate de creștere a flotei de computere personale utilizate în diverse domenii ale activității umane. Potrivit cercetării Gartner Dataquest, în prezent există peste un miliard de computere personale în lume.

banca de afaceri pentru securitatea informațiilor

· O extindere bruscă a cercului de utilizatori cu acces direct la resurse de calcul și seturi de date;

În prezent, importanța informațiilor stocate în bănci a crescut semnificativ informațiile importante și adesea secrete despre financiar și activitate economică mulți oameni, companii, organizații și chiar state întregi. Banca stochează și prelucrează informații valoroase care afectează interesele unui număr mare de persoane. Banca stochează informații importante despre clienții săi, ceea ce extinde cercul potențialilor atacatori interesați să fure sau să deterioreze astfel de informații.

Peste 90% din toate infracțiunile sunt asociate cu utilizarea sistemelor automate de procesare a informațiilor bancare. În consecință, atunci când creează și modernizează un ISIS, băncile trebuie să acorde o atenție deosebită asigurării securității acestuia.

O atenție principală ar trebui acordată securității informatice a băncilor, adică securitatea sistemelor automate de prelucrare a informațiilor bancare, ca fiind cea mai relevantă, complexă și stringentă problemă în domeniul securității informațiilor bancare.

Dezvoltarea rapidă a tehnologiei informației a deschis noi oportunități pentru afaceri, dar a dus și la apariția de noi amenințări. Datorită concurenței, produsele software moderne vin la vânzare cu erori și defecte. Dezvoltatorii, inclusiv tot felul de funcții în produsele lor, nu au timp să efectueze o depanare de înaltă calitate a creatului. sisteme software. Erorile și deficiențele rămase în aceste sisteme duc la încălcări accidentale și intenționate ale securității informațiilor. De exemplu, cauzele majorității pierderilor accidentale de informații sunt eșecurile în funcționarea software-ului și hardware-ului și majoritatea atacurilor asupra sisteme informatice pe baza erorilor și deficiențelor găsite în software. De exemplu, în primele șase luni de la lansarea sistemului de operare pentru server Microsoft Au fost descoperite 14 vulnerabilități Windows, dintre care 6 sunt critice. În ciuda faptului că, în timp, Microsoft dezvoltă pachete de servicii care elimină defectele descoperite, utilizatorii reușesc deja să sufere de încălcări ale securității informațiilor care apar din cauza erorilor rămase. Până la rezolvarea acestor multe alte probleme, nivelul insuficient de securitate a informațiilor va fi un obstacol serios în calea dezvoltării tehnologiei informației.

Sub securitatea informatieiînseamnă protecția informațiilor și a infrastructurii suport împotriva impacturilor accidentale sau intenționate de natură naturală sau artificială care pot cauza daune inacceptabile subiecților relațiilor informaționale, inclusiv proprietarilor și utilizatorilor de informații și infrastructurii suport.

În lumea afacerilor modernă, există un proces de migrare a activelor materiale către activele informaționale. Pe măsură ce o organizație se dezvoltă, sistemul său de informații devine mai complex, a cărui sarcină principală este de a asigura eficiența maximă a afacerii în condițiile în continuă schimbare ale concurenței de pe piață.

Considerând informația ca pe o marfă, putem spune că asigurarea securității informațiilor în general poate duce la economii semnificative de costuri, în timp ce daunele cauzate acesteia conduc la costuri materiale. De exemplu, dezvăluirea tehnologiei de fabricație a unui produs original va duce la apariția unui produs similar, dar de la un producător diferit și, ca urmare a unei încălcări a securității informațiilor, proprietarul tehnologiei și, probabil, autorul. , va pierde o parte din piață etc. Pe de altă parte, informația este un subiect de management, iar schimbarea ei poate duce la consecințe catastrofale în obiectul managementului.

Conform GOST R 50922-2006, asigurarea securității informațiilor este o activitate care vizează prevenirea scurgerilor de informații, a impacturilor neautorizate și neintenționate asupra informațiilor protejate. Securitatea informațiilor este relevantă atât pentru întreprinderi, cât și pentru agențiile guvernamentale. Pentru a proteja cuprinzător resursele informaționale, se lucrează la construirea și dezvoltarea sistemelor de securitate a informațiilor.

Există multe motive care pot afecta grav funcționarea locală și rețele globale, duce la pierderea de informații valoroase. Printre acestea se numără următoarele:

Acces neautorizat din exterior, copiere sau modificare de informații, acțiuni accidentale sau intenționate care conduc la:

denaturarea sau distrugerea datelor;

familiarizarea persoanelor neautorizate cu informații care constituie secrete bancare, financiare sau de stat.

Funcționarea incorectă a software-ului, ducând la pierderea sau coruperea datelor din cauza:

erori în aplicația sau software-ul de rețea;

infectarea sistemelor cu viruși informatici.

Defecțiuni ale echipamentelor tehnice cauzate de:

pană de curent;

defecțiunea sistemelor de discuri și a sistemelor de arhivare a datelor;

întreruperea funcționării serverelor, stațiilor de lucru, plăcilor de rețea, modemurilor.

Erori personalului de întreținere.

Desigur, nu există o soluție universală care să excludă toate motivele de mai sus, dar multe organizații au dezvoltat și aplicat măsuri tehnice și administrative pentru a minimiza riscul pierderii datelor sau accesului neautorizat la acestea.

Astăzi, există un arsenal mare de metode de securitate a informațiilor care sunt folosite și la Alfa-Bank:

· mijloace de identificare și autentificare a utilizatorilor (așa-numitul complex 3A);

· Mijloace de criptare a informațiilor stocate pe computere și transmise prin rețele;

· firewall-uri;

· rețele private virtuale;

· instrumente de filtrare a conținutului;

· instrumente pentru verificarea integrității conținutului discului;

· instrumente de protecție antivirus;

· sisteme de detectare a vulnerabilităților de rețea și analizoare de atacuri de rețea.

„Complexul 3A” include autentificare (sau identificare), autorizare și administrare. Identificareiar autorizarea este elemente cheie securitatea informatiei. Când încercați să accesați orice program, funcția de identificare oferă un răspuns la întrebarea: „Cine ești?” și „Unde ești?”, ești un utilizator autorizat al programului. Funcția de autorizare este responsabilă pentru resursele la care are acces un anumit utilizator. Funcția de administrare este de a oferi utilizatorului anumite caracteristici de identificare în cadrul unei rețele date și de a determina sfera acțiunilor permise pentru acesta. La Alfa-Bank, la deschiderea programelor, vi se cere parola și autentificarea fiecărui angajat, iar la efectuarea oricăror operațiuni, în unele cazuri aveți nevoie de autorizație de la șeful sau adjunctul acestuia în sucursală.

Firewalleste un sistem sau o combinație de sisteme care formează o barieră de protecție între două sau mai multe rețele care protejează împotriva pachetelor de date neautorizate care intră sau ies din rețea. Principiul de bază al funcționării firewall-urilor. verificarea fiecărui pachet de date pentru conformitatea adreselor IP de intrare și de ieșire cu baza de date a adreselor permise. Astfel, firewall-urile extind semnificativ capacitățile de segmentare a rețelelor de informații și de control al circulației datelor.

Când vorbim despre criptografie și firewall-uri, ar trebui să menționăm rețelele private virtuale securizate (VPN). Utilizarea lor face posibilă rezolvarea problemelor de confidențialitate și integritate a datelor atunci când sunt transmise prin canale de comunicare deschise.

Un mijloc eficient de protecție împotriva pierderii informațiilor confidențiale. Filtrarea conținutului e-mailurilor primite și trimise. Verificarea mesajelor de e-mail în sine și a atașamentelor acestora pe baza regulilor stabilite în organizație ajută, de asemenea, la protejarea companiilor de răspunderea în procese și la protejarea angajaților lor de spam. Instrumentele de filtrare a conținutului vă permit să scanați fișiere de toate formatele obișnuite, inclusiv fișiere comprimate și grafice. În același timp, debitul rețelei rămâne practic neschimbat.

Modern antivirustehnologiile fac posibilă identificarea aproape a tuturor programelor viruși deja cunoscute prin compararea codului unui fișier suspect cu mostrele stocate în baza de date antivirus. În plus, au fost dezvoltate tehnologii de modelare a comportamentului care fac posibilă detectarea programelor viruși nou create. Obiectele detectate pot fi tratate, izolate (puse în carantină) sau șterse. Protecția împotriva virușilor poate fi instalată pe stațiile de lucru, serverele de fișiere și e-mail, firewall-uri care rulează în aproape oricare dintre cele comune sisteme de operare(Windows, Unix - și sisteme Linux, Novell) pe diferite tipuri de procesoare. Filtrele de spam reduc semnificativ costurile neproductive ale forței de muncă asociate cu analiza spam-ului, reduc traficul și încărcarea serverului, îmbunătățesc fundalul psihologic în echipă și reduc riscul ca angajații companiei să fie implicați în tranzacții frauduloase. În plus, filtrele de spam reduc riscul de infectare cu viruși noi, deoarece mesajele care conțin viruși (chiar și cei neincluși încă în baza de date) programe antivirus) au adesea semne de spam și sunt filtrate. Este adevărat, efect pozitiv Filtrarea spam-ului poate fi eliminată dacă filtrul, împreună cu mesajele nedorite, elimină sau marchează ca spam și mesaje utile, de afaceri sau personale.

Există mai multe tipuri și metode tipice amenințări informaționale:

Declasificarea și furtul secretelor comerciale. Dacă înainte secretele erau păstrate în locuri ascunse, în seifuri masive, sub protecție fizică și (ulterior) electronică de încredere, astăzi mulți angajați au acces la baze de date de birou, care conțin adesea informații foarte sensibile, de exemplu, aceleași date despre clienți.

Distribuirea materialelor compromițătoare. Adică utilizarea intenționată sau accidentală de către angajați în corespondență prin e-mail astfel de informații care aruncă o umbră asupra reputației băncii.

Încălcarea proprietății intelectuale. Este important să nu uităm că orice produs intelectual produs în bănci, ca și în orice organizație, îi aparține și nu poate fi utilizat de către angajați (inclusiv generatori și autori de valori intelectuale) decât în ​​interesul organizației. Între timp, în Rusia, adesea apar conflicte pe această temă între organizații și angajați care pretind produsul intelectual pe care l-au creat și îl folosesc în interes personal, în detrimentul organizației. Acest lucru se întâmplă adesea din cauza situației juridice vagi din întreprindere, când contractul de muncă nu are reguli și reglementări clar definite care să contureze drepturile și responsabilitățile angajaților.

Diseminarea (adesea neintenționată) de informații interne care nu sunt secrete, dar care pot fi utile concurenților (alte bănci).

Vizitarea site-urilor web ale băncilor concurente. În zilele noastre, tot mai multe companii folosesc programe pe site-urile lor deschise (în special cele concepute pentru CRM) care le permit să recunoască vizitatorii și să le urmărească rutele în detaliu, să înregistreze timpul și durata vizualizării paginilor site-ului. Site-urile web ale concurenților au fost și rămân o sursă valoroasă de analiză și prognoză.

Abuzul de comunicații de la birou în scopuri personale (ascultarea, vizionarea muzicii și a altor conținuturi care nu au legătură cu serviciul, descărcarea unui computer de birou) nu reprezintă o amenințare directă la adresa securității informațiilor, dar creează un stres suplimentar asupra rețeaua corporativă, reduce eficiența, interferează cu munca colegilor.

Și, în sfârșit, amenințările externe - intruziuni neautorizate etc.

Regulile adoptate de bancă trebuie să respecte atât standardele naționale, cât și internaționale recunoscute pentru protecția secretelor de stat și comerciale, a informațiilor personale și private.

Securitatea informațiilor organizaționale la Alfa-Bank

Alfa Bank OJSC a implementat o politică de securitate bazată pe o metodă de control selectiv al accesului. Un astfel de management în OJSC Alfa Bank se caracterizează printr-un set de relații de acces permise specificate de administrator. Matricea de acces este completată direct de administratorul de sistem al companiei. Aplicarea unei politici selective de securitate a informațiilor îndeplinește cerințele de management și cerințele pentru securitatea informațiilor și controlul accesului, responsabilitate și, de asemenea, are un cost acceptabil al organizației sale. Implementarea politicii de securitate a informațiilor este încredințată în totalitate administratorului de sistem al Alfa Bank OJSC.

Alături de politica de securitate existentă, Alfa Bank OJSC utilizează instrumente specializate de securitate hardware și software.

Hardware-ul de securitate folosit este Cisco 1605. Routerul este echipat cu două interfețe Ethernet (una are interfețe TP și AUI, a doua are doar TP) pt. retea localași un slot de expansiune pentru instalarea unuia dintre modulele pentru routerele din seria Cisco 1600 software Cisco IOSFirewallFeatureSet face din Cisco 1605-R sistemul de ruter/securitate flexibil ideal pentru biroul mic. În funcție de modulul instalat, routerul poate suporta o conexiune atât prin ISDN, cât și printr-o linie dial-up sau linie închiriată de la 1200 bps la 2 Mbps, FrameRelay, SMDS, x.25.

Pentru a proteja informațiile, proprietarul LAN trebuie să securizeze „perimetrul” rețelei, de exemplu, prin stabilirea controlului la joncțiunea rețelei interne cu rețeaua externă. Cisco IOS oferă flexibilitate și securitate ridicate cu funcții standard, cum ar fi listele de acces avansate (ACL-uri), sistemele de blocare (ACL-uri dinamice) și autorizarea de rutare. În plus, Cisco IOS FirewallFeatureSet, disponibil pentru routerele din seria 1600 și 2500, oferă caracteristici de securitate complete, inclusiv:

Controlul accesului contextual (CBAC)

Blocarea Java

jurnalul de bord

detectarea și prevenirea atacurilor

notificare imediată

În plus, routerul acceptă rețele virtuale de suprapunere, tuneluri, un sistem de gestionare a priorităților, un sistem de rezervare a resurselor și diverse metode managementul rutare.

Soluția KasperskyOpenSpaceSecurity este folosită ca instrument de securitate software. KasperskyOpenSpaceSecurity este pe deplin receptiv cerințe moderne cerințe pentru sistemele de securitate a rețelei corporative:

soluție pentru protejarea tuturor tipurilor de noduri de rețea;

protecție împotriva tuturor tipurilor de amenințări informatice;

suport tehnic eficient;

tehnologii „proactive” combinate cu protecția tradițională bazată pe semnătură;

tehnologii inovatoare și un nou motor antivirus care îmbunătățește performanța;

sistem de protecție gata de utilizare;

management centralizat;

protecția deplină a utilizatorilor din afara rețelei;

compatibilitate cu soluții terțe;

utilizarea eficientă a resurselor rețelei.

Sistemul dezvoltat trebuie să ofere control deplin, contabilitate automatizată și analiză de securitate Informații personale, vă permit să reduceți timpul de service pentru clienți, să obțineți informații despre codurile de securitate a informațiilor și datele personale.

Pentru a formula cerințe pentru sistemul în curs de dezvoltare, este necesar să se formuleze cerințe pentru organizarea bazei de date și compatibilitatea informațiilor pentru sistemul în curs de dezvoltare.

Proiectarea bazei de date ar trebui să se bazeze pe viziunea utilizatorilor finali ai unei anumite organizații – cerințele conceptuale pentru sistem.

În acest caz, IS conține date despre angajații companiei. Una dintre tehnologiile care ilustrează semnificativ funcționarea unui sistem informațional este dezvoltarea unei diagrame de flux de documente pentru documente.

Funcţiile sistemului dezvoltat pot fi realizate prin utilizarea tehnologiei informatice şi software. Având în vedere că căutarea de informații, informații și documente contabile în activitățile specialiștilor bănci constituie aproximativ 30% din timpul de lucru, introducerea unui sistem automatizat de contabilitate va elibera semnificativ specialiști calificați, poate duce la economii în fondul de salarii, o reducerea personalului, dar poate duce și la introducerea în personalul departamentului unitate de personal un operator ale cărui responsabilități vor include introducerea de informații despre procesele de afaceri în desfășurare: documente pentru înregistrarea datelor personale și coduri de acces.

Trebuie remarcat faptul că implementarea sistemului dezvoltat va reduce și, în mod ideal, va elimina complet erorile de înregistrare a informațiilor personale și a codurilor de securitate. Astfel, introducerea unui post de lucru automatizat pentru manager va duce la un efect economic semnificativ, reducerea numărului de angajați cu 1/3, economisirea salariilor și creșterea productivității muncii.

Alfa-Bank, ca orice altă bancă, a elaborat o Politică de Securitate a Informației, care definește un sistem de opinii asupra problemei asigurării securității informațiilor și este o declarație sistematică a scopurilor și obiectivelor protecției, ca una sau mai multe reguli, proceduri, practici și linii directoare în domeniul securității informațiilor.

Politica ține cont starea actualăși perspective imediate pentru dezvoltarea tehnologiilor informaționale în Bancă, scopuri, obiective și temei legal funcționarea acestora, modurile de funcționare și, de asemenea, conține o analiză a amenințărilor de securitate pentru obiectele și subiectele relațiilor informaționale ale Băncii.

Principalele prevederi și cerințe ale acestui document se aplică tuturor diviziilor structurale ale Băncii, inclusiv birourilor suplimentare. Aspecte principale Politica se aplică și altor organizații și instituții care interacționează cu Banca în calitate de furnizori și consumatori ai resurselor informaționale ale Băncii într-o calitate sau alta.

Baza legislativă a acestei politici este Constituția Federației Ruse, Codurile Civile și Penale, legile, decretele, rezoluțiile etc. documente de reglementare legislația actuală a Federației Ruse, documentele Comisiei Tehnice de Stat sub președintele Federației Ruse, Agenție federală comunicații guvernamentale și informații sub conducerea președintelui Federației Ruse.

Politica este baza metodologică pentru:

· formarea și implementarea unei politici unificate în domeniul asigurării securității informațiilor în Bancă;

· luarea deciziilor de management și elaborarea măsurilor practice de implementare a politicii de securitate a informațiilor și elaborarea unui set de măsuri convenite care vizează identificarea, reflectarea și eliminarea consecințelor implementării diferitelor tipuri de amenințări la securitatea informațiilor;

· coordonarea activitatilor diviziuni structurale Banca atunci când desfășoară lucrări privind crearea, dezvoltarea și operarea tehnologiilor informaționale în conformitate cu cerințele de securitate a informațiilor;

· elaborarea de propuneri de îmbunătățire a suportului juridic, de reglementare, tehnic și organizatoric pentru securitatea informațiilor în Bancă.

Abordare sistematică construirea unui sistem de securitate a informațiilor în Bancă presupune luarea în considerare a tuturor elementelor, condițiilor și factorilor interdependenți, interacționați și variabili în timp care sunt semnificativi pentru înțelegerea și rezolvarea problemei asigurării securității informațiilor Băncii.

Asigurarea securității informațiilor- un proces realizat de Conducerea Băncii, departamentele de securitate a informațiilor și angajații de la toate nivelurile. Aceasta nu este doar și nu atât o procedură sau o politică care se realizează pe o anumită perioadă de timp sau un set de măsuri de protecție, ci mai degrabă un proces care trebuie să aibă loc în mod constant la toate nivelurile din cadrul Băncii și fiecare angajat al Băncii trebuie să ia parte în acest proces. Activitățile de asigurare a securității informațiilor fac parte integrantă din activitățile zilnice ale Băncii. Și eficacitatea acestuia depinde de participarea conducerii Băncii la asigurarea securității informațiilor.

În plus, majoritatea indivizilor și mijloace tehnice Pentru a-și îndeplini în mod eficient funcțiile, este necesar un suport organizațional (administrativ) constant (schimbarea în timp util și asigurarea stocării și utilizării corecte a numelor, parolelor, cheilor de criptare, redefinirea puterilor etc.). Întreruperile în funcționarea măsurilor de securitate pot fi folosite de atacatori pentru a analiza metodele și mijloacele de protecție utilizate, pentru a introduce „marcaje” software și hardware speciale și alte mijloace de depășire a securității.

Responsabilitate personalăpresupune atribuirea responsabilitatii pentru asigurarea securitatii informatiilor si a sistemului de prelucrare a acestora fiecarui angajat in limitele autoritatii sale. În conformitate cu acest principiu, repartizarea drepturilor și responsabilităților angajaților este structurată în așa fel încât în ​​cazul oricărei încălcări, cercul vinovaților să fie clar cunoscut sau redus la minimum.

La Alfa-Bank, controlul se exercită în mod constant asupra activităților oricărui utilizator, fiecare mijloc de protecție și în legătură cu orice obiect de protecție ar trebui să se desfășoare pe baza utilizării instrumentelor de control operațional și de înregistrare și să acopere atât cele neautorizate, cât și; acțiunile autorizate ale utilizatorilor.

Banca a elaborat următoarele documente organizatorice și administrative:

· Reglementări privind secretele comerciale. Reglementările specificate reglementează organizarea, procedura de lucru cu informațiile care constituie secret comercial al Băncii, îndatoririle și responsabilitățile angajaților admiși la aceste informații, procedura de transfer de materiale care conțin informații care constituie secret comercial al Băncii către stat (comerciale). ) instituții și organizații;

· Lista informațiilor care constituie secrete oficiale și comerciale. Lista definește informațiile clasificate drept confidențiale, nivelul și momentul asigurării restricțiilor privind accesul la informațiile protejate;

· Ordine și instrucțiuni pentru stabilirea unui regim de securitate a informațiilor:

· permițând angajaților să lucreze cu informații restricționate;

· numirea administratorilor și a persoanelor responsabile cu lucrul cu informații restricționate în sistemul informațional corporativ;

· Instrucțiuni și responsabilități funcționale angajati:

· privind organizarea securității și controlului accesului;

· privind organizarea muncii de birou;

· privind administrarea resurselor informaționale ale sistemului informațional corporativ;

· alte documente de reglementare.

Concluzie

Astăzi, problema organizării securității informațiilor privește organizațiile de orice nivel - de la mari corporații până la antreprenori fără educație persoană juridică. Concurența în relațiile moderne de piață este departe de a fi perfectă și este adesea condusă în moduri nu cele mai legale. Spionajul industrial este înfloritor. Dar există și cazuri frecvente de difuzare neintenționată a informațiilor legate de secretul comercial al unei organizații. De regulă, neglijența angajaților, lipsa lor de înțelegere a situației, cu alte cuvinte, „factorul uman”, joacă un rol aici.

Alfa-Bank asigură protecția următoarelor informații:

secret comercial

secret bancar

documente bancare (rapoarte ale Departamentului de Securitate, estimări bancare anuale, informații despre veniturile angajaților băncii etc.)

Informațiile din bancă sunt protejate de astfel de amenințări precum:

· Natural

· Amenințări artificiale (amenințări neintenționate (neintenționate, accidentale) cauzate de erori în proiectarea sistemului informațional și a elementelor acestuia, erori în acțiunile personalului etc.; amenințări intenționate (intenționate) asociate aspirațiilor egoiste, ideologice sau de altă natură ale oamenilor (atacatori).

Sursele de amenințări la adresa sistemului informațional însuși pot fi atât externe, cât și interne.

Referințe

1. Decretul președintelui Federației Ruse „Cu privire la măsurile de asigurare a securității informaționale a Federației Ruse atunci când se utilizează rețelele de informații și telecomunicații de schimb internațional de informații” din 17 martie 2008 nr. 351;

Galatenko, V.A. Fundamentele securității informațiilor. Universitatea de Tehnologii Informaționale pe Internet. INTUI. ru, 2008;

Galatenko, V.A. Standarde de securitate a informațiilor. Universitatea de Tehnologii Informaționale pe Internet. INTUI. ru, 2005;

În condiţiile moderne, informaţia are toate proprietăţile bunurilor şi proprietăţii, care sunt principalele componente ale economiei, ceea ce face din informaţie un obiect de interes de o foarte diferită natură (comercial, social, penal etc.).

Disponibil în prezent număr mare lucrări dedicate protecției informațiilor computerizate, dar majoritatea lucrărilor necesită cunoștințe profunde și foarte speciale în domeniul matematicii, măsurători radio și programare pentru a înțelege. În același timp, viitorii economiști și manageri ar trebui să aibă o imagine clară și holistică a abordării securității informațiilor în viitorul lor domeniu de activitate.

Sub securitatea informatiei (Securitatea Informației) se referă la protecția resurselor sistemului informațional (IS) împotriva factorilor care reprezintă o amenințare la adresa confidențialității, integrității și disponibilității informațiilor.

Politica de securitate

O caracteristică integrată a sistemului informațional protejat este politica de securitate - o caracteristică calitativă sau cantitativă a proprietăților de securitate în termeni care reprezintă sistemul.

Conducerea fiecărei organizații trebuie să înțeleagă necesitatea menținerii unui regim de securitate și să aloce resurse semnificative pentru aceasta. Sarcina principală, care trebuie rezolvată la nivel de management - să formuleze o politică de securitate.

Costurile asigurării securității informațiilor nu ar trebui să depășească daunele potențiale cauzate de o scurgere de date protejate. Cu toate acestea, pare neclar cum poate fi calculat prejudiciul total cauzat de acesta, incluzând nu numai plăți evidente ca urmare a incidentului, ci și daune aduse reputației, profituri pierdute etc.

Există și alte restricții, inclusiv confortul utilizatorului. Dacă serviciul nu este unul corporativ, în care angajaților li se poate solicita să folosească un mecanism sigur, dar incomod, atunci va trebui să țineți cont de faptul că utilizatorilor nu le plac situațiile care le provoacă dificultăți în munca lor - amintirea parolelor inutile și utilizarea lor, etc. Aceasta înseamnă că o creștere a nivelului de securitate de la un moment dat poate reduce cifra de afaceri a serviciului.

Acesta este echilibrul pe care este concepută să mențină politica de securitate dezvoltată de CIO al fiecărei organizații.

Politica de securitate – un set de decizii de management documentate menite să protejeze informațiile și resursele asociate. Politica de securitate ar trebui să reflecte abordarea organizației de a-și proteja activele informaționale. Din punct de vedere practic, politica de securitate poate fi împărțită pe trei niveluri.

LA nivel superior poate include decizii care afectează organizația în ansamblu (probleme de utilizare echipamente informaticeși sistemele informaționale).

Nivel intermediar se referă la anumite aspecte importante (de exemplu, accesul la Internet sau utilizarea computerelor de acasă la locul de muncă).

Politica de securitate nivel inferior se referă la servicii specifice și descrie scopurile și regulile pentru atingerea acestora, așa că uneori este dificil să le separăm de problemele de implementare. În același timp, deciziile legate de securitatea serviciilor informaționale ar trebui luate la nivel managerial, și nu la nivel tehnic. Pentru a implementa corect o politică de securitate, trebuie să cunoașteți tipurile de amenințări și metodele de protecție.

• СIO (Ofițer șef de informații) – angajat corporate, senior executive, responsabil cu achiziția și implementarea de noi tehnologii, management resurse informaționale. Cel mai precis acest conceptîn limba rusă corespund „Director IT”, „Director al Departamentului Tehnologia Informației”, „Director general adjunct pentru IT”. Material de pe Wikipedia - enciclopedia liberă.

2019

Priorități de securitate a informațiilor pentru IMM-uri

Companiile din segmentul IMM-urilor trec la cloud, la un model de servicii de consum de servicii după modelul MSSP (Managed Security Service Provider). Acest lucru îi ajută să reducă semnificativ costurile operaționale în domeniul securității informațiilor.

Acum, unii furnizori oferă clienților lor servicii de securitate a informațiilor în cloud folosind un model de abonament. În opinia mea, întreprinderile mijlocii și mici se vor îndrepta spre un astfel de model de servicii de securitate a informațiilor”, notează Dmitry Livshits, director general„Design digital”.

Modelul de servicii de consum de securitate a informațiilor devine din ce în ce mai solicitat de întreprinderile mici și mijlocii, întrucât aceste companii nu își pot permite un personal mare de specialiști în securitate.

Potrivit lui Vladimir Balanin, șeful Departamentului Securitate Informațională al Grupului de Companii I-Teco, segmentul IMM-urilor devine principalul consumator al serviciilor furnizorilor de servicii care oferă imediat servicii cu servicii integrate de securitate a informațiilor: nu există costuri de administrare, monitorizarea și întreținerea propriei infrastructuri, dar riscuri Cerințele de reglementare sunt suportate de furnizorul de servicii însuși.

În același timp pentru piata ruseascaÎn zilele noastre există o ofertă foarte limitată de securitate a informațiilor pentru IMM-uri. După cum notează Andrey Yankin, directorul Centrului de securitate a informațiilor la Jet Infosystems, aproape toate serviciile sunt destinate clienților mari. Potrivit acestuia, practic nu există servicii standard și ieftine, dar nu primitive de securitate a informațiilor pentru IMM-uri, deși în multe alte țări această piață este bine dezvoltată.

În același timp, odată cu dezvoltarea segmentului de servicii de securitate a informațiilor gestionate și perspectiva dezvoltării pieței asigurărilor de risc cibernetic, această categorie de clienți va avea la dispoziție măsuri adecvate amenințărilor moderne.

Între timp, companiile IMM-uri implementează securitatea IT de bază, rar ridicându-se la nivelul proceselor de afaceri.

Potrivit lui Dmitri Pudov, director general adjunct al Angara Technologies Group pentru tehnologie și dezvoltare, reprezentanții IMM-urilor, având în vedere bugetele lor, practic nu au acces la soluții high-tech sau complexe. Acest lucru nu se datorează exclusiv costului soluțiilor, ci mai degrabă OPEX-ului pe care îl suportă.

Principalele soluții achiziționate de clienții din segmentul IMM-urilor sunt antivirusurile și firewall-urile software, spune Yakov Grodzensky, șeful de securitate a informațiilor la System Software. În plus, companiile din acest segment încep în mod activ să se intereseze activ de problemele auditului securității informațiilor și desfășurării de pentesturi, deoarece astfel de organizații nu angajează întotdeauna un specialist separat în securitatea informațiilor, ca să nu mai vorbim de pentesteri.

Vyacheslav Medvedev, analist principal la Doctor Web, adaugă că sondajele efectuate asupra întreprinderilor mijlocii au arătat că astfel de companii nu dispun de fonduri pentru soluții de securitate altele decât cele de bază.

Prioritățile de securitate cibernetică ale companiilor mari

Este întotdeauna important ca acționarii, proprietarii și conducerea de vârf să aibă o imagine obiectivă a securității informațiilor și procese tehnologiceîn cadrul organizației, astfel încât nivelul general de maturitate de securitate a informațiilor în companii crește în fiecare an. Cu toate acestea, unii organizații mari Există încă o lipsă de ordine de bază în procesele de afaceri care asigură funcționarea sistemelor informaționale, ceea ce poate duce la haos în securitatea informațiilor. Prin urmare, principala prioritate pentru companii mari- în rezolvarea acestor probleme, spune Nikolay Zabusov, directorul departamentului de securitate a informațiilor și rețelelor la Step Logic.

In plus, afaceri mari se concentrează pe îndeplinirea cerințelor autorităților de reglementare și a standardelor interne, încercând să creeze o infrastructură protejată mai mult sau mai puțin uniform. Standardele industriale în domeniul securității informațiilor au fost dezvoltate și „implementate” în multe corporații.

Mare societăţi comercialeÎn esență, s-a confruntat cu o alegere: să urmeze calea transformării digitale sau să lucreze fără a schimba paradigma de a face afaceri. Dar în al doilea caz, mai devreme sau mai târziu vor fi nevoiți să-și cedeze pozițiile pe piață unor concurenți care au dat dovadă de o mai mare flexibilitate.

Printre prioritățile pentru segmentul enterprise, pot remarca, pe de o parte, creșterea eficienței utilizării soluțiilor clasice de securitate a informațiilor, iar pe de altă parte, introducerea unor mijloace de protecție împotriva noilor tipuri de amenințări în cadrul implementării proiectelor de digitalizare. Acesta din urmă este foarte important, deoarece restricțiile din punct de vedere al securității sunt adesea unul dintre principalele motive pentru progresul lent pe calea transformării digitale, notează Oleg Shaburov, șeful departamentului de securitate a informațiilor la Softline.

Din punct de vedere al securității practice, vectorul trece din ce în ce mai mult de la prevenirea atacurilor la detectarea și răspunsul la acestea, spune Andrey Zaikin, șeful de securitate a informațiilor la Croc. Acest lucru duce la faptul că clasele relativ tinere de soluții devin din ce în ce mai populare și solicitate: EDR, IRP. Sisteme automatizate sistemele de răspuns au seturi diferite de scripturi și scenarii și vă permit să blocați încercările de răspândire a amenințărilor.

Servicii de securitate a informațiilor

Companiile IMM-uri care înțeleg criticitatea securității informațiilor pentru afacerea lor urmează calea utilizării modelelor de servicii.