1.3.1. Мотивация

Российская и мировая практика регулирования информационной безопасности (ИБ) недавнего прошлого состояла из обязательных требований национальных уполномоченных органов, оформляемых в виде руководящих документов РД. Поэтому для топ-менеджмента и владельцев организаций существовала только одна проблема соответствия им (комплаенс) и только один способ ее решения - как с минимальными затратами выполнить предлагаемые требования. Для уполномоченных органов существовала своя проблема - как в силу невозможности охвата всех возможных видов деятельности и условий их реализации, а также существенных различий в целях деятельности предложить универсальный набор требований. Для этого проблема ИБ рассматривалась как самодостаточная сущность, инвариантная к деятельности, целям, условиям, а также существенно обуживалась в содержательности в угоду универсальности.

Оба подхода (организаций и регуляторов) неадекватны существующей реальности и представляют ее в существенно искаженном виде. Так, основные содержательные ограничения на деятельность по обеспечению ИБ связаны с традиционной моделью ИБ, предполагающей обязательное наличие злоумышленника, стремящегося нанести ущерб активам (информации), и, соответственно, ориентированной на защиту информации от действий такого субъекта (группы субъектов). При этом инциденты, связанные, например, со штатными изменениями прикладного софта, не могут быть отнесены к злоумышленнику. Их возможные причины - слабо развитый менеджмент и слабая технологическая база. Собственная неадекватность организации (менеджмента, процессов основной деятельности) сложившимся условиям вообще представляет собой очень мощный источник проблем, который игнорируется в силу невозможности его привязки к злоумышленнику.

Дальнейшая эволюция моделей ИБ была связана с усилением роли собственника (владельца) и сводилась к тому, что он сам выбирал (на свой страх и риск) из предложенного ему стандартного набора защитных мер те, которые ему необходимы, т. е. такие, которые, по его мнению, могут обеспечить приемлемый уровень безопасности. Это был существенный шаг вперед, так как он обеспечивал привязку ИБ к конкретному объекту с конкретными условиями его существования, частично разрешая противоречия, связанные с самодостаточностью проблемы ИБ. Однако конструктивного механизма для владельца предложить не удалось, кроме как создания каталога объектов с выбранными типовыми защитными мерами (профилей защиты). Сами профили создавались при этом экспертно-эвристическим методом. При этом какой все-таки риск принимал на себя владелец, оставалось неизвестным и определялось на практике.

Дальнейшая эволюция свелась к тезису о том, что ИБ может создавать (порождать) ущербы для целей деятельности и поэтому риски ИБ (которая оставалась самодостаточной) должны быть согласованы (увязаны) с рисками организации. Оставалось только указать, как их увязывать, и интегрировать систему менеджмента ИБ (СМИБ) в общекорпоративный менеджмент не как изолированную и независимую систему процессов, а как неотъемлемую, сильно связанную составную часть менеджмента. Этого не удалось сделать. Однако этот подход хорошо продвинул ряд оценочных категорий ИБ, включая риски ИБ.

Известны также прагматичные модели ИБ, основанные на оценке совокупной стоимости владения (применительно к ИБ) и «возврате» инвестиций в ИБ. В рамках этого подхода группа близких по целям и условиям деятельности организаций периодически производит оценку по направлениям реализации ИБ и формирует модель, состоящую из лучших практик по группе. Далее каждая из организаций в соответствии со своими отставаниями от лучших практик и своих условий (произошедших инцидентов) определяет направление и объем инвестиций. Эффективность инвестиций оценивается в следующем периоде по снижению ущербов от инцидентов, оказавшихся в области произведенных инвестиций и не повлекших поэтому больших ущербов.

Однако этот подход при многих своих достоинствах требует широкого обмена чувствительной информацией, а конфликт интересов участников обмена исключает создание сколько-нибудь качественных мер доверия, поэтому он не имеет широкого распространения.

Модель ИБ, предложенная в стандарте ЦБ РФ, еще более продвинула проблему как в части ее интеграции (связала с целями деятельности), так и в части расширения толкования сущности «злоумышленник». Под злоумышленником понимается лицо, способное вести противоборство с собственником и имеющее свою цель, которую он реализует, достигая контроля над активами организации.

Такой подход существенно расширяет виды и источники ущербов организации, попадающих в область рассмотрения ИБ, где их решение наиболее рационально. Он, однако, был во многом компромиссным подходом и настоятельно требует дальнейшего приближения проблем ИБ к конечному результату деятельности (производимому продукту). Нужна модель, которая реально помогает бизнесу, напрямую способствует его результативности и необходимому улучшению посредством создания и поддержания безопасной и доверенной информационной сферы, в том числе через борьбу со злоумышленником. Только такая модель может восприниматься бизнесом. Любая другая будет им отторгаться.

5.4. Адаптация обеспечения информационной безопасности Базовая причина усугубления проблемы ОИБ в условиях перехода к ДБО заключается в принципиальном изменении состава угроз надежности банковской деятельности в связи с формированием ИКБД, т. е. возникновении их новых

1. Философия информационной безопасности бизнеса

1.1.4. Определение информационной безопасности Постепенное осознание факта, что информационное воздействие на бизнес-процесс (на управление им) может быть эффективнее, чем материальное или финансовое воздействие, а также низкий ресурсный порог таких воздействий

2. Существующие модели менеджмента (управления), применимые для обеспечения информационной безопасности бизнеса Если организация располагает неограниченным ресурсом, то проблемы управления для обеспечения информационной безопасности ее бизнеса не существует. Если

3. Оценка информационной безопасности бизнеса. Проблема измерения и оценивания информационной безопасности бизнеса 3.1. Способы оценки информационной безопасности Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса

3.1. Способы оценки информационной безопасности Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ (СОИБ). СОИБ представляет собой совокупность

3.2. Процесс оценки информационной безопасности 3.2.1. Основные элементы процесса оценки Процесс оценки ИБ включает следующие элементы проведения оценки:- контекст оценки, который определяет входные данные: цели и назначение оценки ИБ, вид оценки (независимая оценка,

3.2.2. Контекст оценки информационной безопасности организации Контекст оценки ИБ включает цели и назначение оценки ИБ, вид оценки, объект и области оценки ИБ, ограничения оценки, роли и ресурсы.К ролям, участвующим в реализации процесса оценки, относятся организатор,

Конфиденциальная информация представляет огромный интерес для конкурирующих фирм. Именно она становится причиной посягательств со стороны злоумышленников.

Многие проблемы связаны с недооценкой важности угрозы, в результате чего для предприятия это может обернуться крахом и банкротством. Даже единичный случай халатности рабочего персонала может принести компании многомиллионные убытки и потерю доверия клиентов.

Угрозам подвергаются данные о составе, статусе и деятельности компании. Источниками таких угроз являются её конкуренты, коррупционеры и преступники. Особую ценность для них представляет ознакомление с охраняемой информацией, а также ее модификация в целях причинения финансового ущерба.

К такому исходу может привести утечка информации даже на 20%. Иногда потеря секретов компании может произойти случайно, по неопытности персонала или из-за отсутствия систем защиты.

Для информации, являющейся собственностью предприятия, могут существовать угрозы следующих видов.

Угрозы конфиденциальности информации и программ. Могут иметь место после нелегального доступа к данным, каналам связи или программам. Содержащие или отправленные данные с компьютера могут быть перехвачены по каналам утечки.

Для этого используется специальное оборудование, производящее анализ электромагнитных излучений, получаемых во время работы на компьютере.

Опасность повреждения. Незаконные действия хакеров могут повлечь за собой искажение маршрутизации или потерю передаваемой информации.

Угроза доступности. Такие ситуации не позволяют законному пользователю использовать службы и ресурсы. Это происходит после их захвата, получения по ним данных или блокировки линий злоумышленниками. Подобный инцидент может искажать достоверность и своевременность передаваемой информации.

Существует три важных условия, которые позволят российскому гражданину : идеальный бизнес-план, продуманная учётная и кадровая политика и наличие свободных денежных средств.

Подготовка документов для открытия ООО требует определённого времени. На открытие расчётного счёта в банке уходит примерно 1-2 дня. О том какие документы понадобятся для открытия ООО читайте здесь.

Риск отказа от исполнения транзакций. Отказ пользователя от передаваемой им же информации с тем, чтобы избежать ответственности.

Внутренние угрозы. Такие угрозы несут для предприятия большую опасность. Они исходят от неопытных руководителей, некомпетентного или неквалифицированного персонала.

Иногда сотрудники предприятия могут провоцировать специально внутреннюю утечку информации, показывая этим своё недовольство зарплатой, работой или коллегами. Они запросто могут преподнести всю ценную информацию предприятия его конкурентам, попытаться уничтожить её, или умышленно внести в компьютеры вирус.

Обеспечение информационной безопасности предприятия

Важнейшие процессы бухгалтерского учёта и автоматизируются соответствующим классом систем, защищенность которых достигается целым комплексом технических и организационных мер.

В их составе антивирусная система, защита межсетевого экранирования и электромагнитного излучения. Системы защищают информацию на электронных носителях, передаваемые по каналам связи данные, разграничивают доступ к разноплановым документам, создают запасные копии и восстанавливают конфиденциальную информацию после повреждений.

Полноценное обеспечение информационной безопасности на предприятии должно быть и находиться под полным контролем круглогодично, в реальном времени в круглосуточном режиме. При этом система учитывает весь жизненный цикл информации, начиная с момента появления и до полного её уничтожения или потери значимости для предприятия.

Для сохранности и для предотвращения потери данных в индустрии информационной безопасности разрабатываются системы защиты. Их работа основана на сложных программных комплексах с широким набором опций, предотвращающих любые утраты данных.

Спецификой программ является то, что для правильного их функционирования требуется разборчивая и отлаженная модель внутреннего оборота данных и документов. Анализ безопасности всех шагов при использовании информации основывается на работе с базами данных.

Обеспечение информационной безопасности может осуществляться с помощью онлайновых средств, а также продуктов и решений, предлагаемых на всевозможных Интернет-ресурсах.

Разработчикам некоторых таких сервисов удалось грамотно составить систему информационной безопасности, защищающую от внешних и внутренних угроз, обеспечивая при этом идеальный баланс цены и функциональности. Предлагаемые гибкие модульные комплексы совмещают работу аппаратных и программных средств.

Виды

Логика функционирования систем информационной безопасности предполагает следующие действия.

Прогнозирование и быстрое распознавание угроз безопасности данных, мотивов и условий, способствовавших нанесению ущерба предприятию и обусловивших сбои в его работе и развитии.

Создание таких рабочих условий, при которых уровень опасности и вероятность нанесения ущерба предприятию сведены к минимуму.

Возмещение ущерба и минимизация влияния выявленных попыток нанесения ущерба.

Средства защиты информации могут быть:

• техническими;
• программными;
• криптографическими;
• организационными;
• законодательными.

Организация информационной безопасности на предприятии

Все предприниматели всегда стремятся обеспечить информации доступность и конфиденциальность. Для разработки подходящей защиты информации учитывается природа возможных угроз, а также формы и способы их возникновения.

Организация информационной безопасности на предприятии производится таким образом, чтобы хакер мог столкнуться с множеством уровней защиты. В результате злоумышленнику не удаётся проникать в защищённую часть.

К наиболее эффективному способу защиты информации относится криптостойкий алгоритм шифрования при передаче данных. Система зашифровывает саму информацию, а не только доступ к ней, что актуально и для .

Структура доступа к информации должна быть многоуровневой, в связи с чем к ней разрешается допускать лишь избранных сотрудников. Право полного доступа ко всему объему информации должны иметь только достойные доверия лица.

Перечень сведений, касающихся информации конфиденциального характера, утверждается руководителем предприятия. Любые нарушения в этой области должны караться определенными санкциями.

Модели защиты предусматриваются соответствующими ГОСТами и нормируются целым рядом комплексным мер. В настоящее время разработаны специальные утилиты, круглосуточно отслеживающие состояние сети и любые предупреждения систем информационной безопасности.

Следует иметь ввиду, что недорогие беспроводные сети не могут обеспечить необходимого уровня защиты.

Во избежание случайных потерь данных по неопытности сотрудников, администраторы должны проводить обучающие тренинги. Это позволяет предприятию контролировать готовность сотрудников к работе и дает руководителям уверенность в том, что все работники способны соблюдать меры информационной безопасности.

Атмосфера рыночной экономики и высокий уровень конкуренции заставляют руководителей компаний всегда быть начеку и быстро реагировать на любые трудности. В течение последних 20 лет информационные технологии смогли войти во все сферы развития, управления и ведения бизнеса.

Из реального мира бизнес уже давно превратился в виртуальный, достаточно вспомнить как стали популярны , у которого имеются свои законы. В настоящее время виртуальные угрозы информационной безопасности предприятия могут насести ему огромный реальный вред. Недооценивая проблему, руководители рискуют своим бизнесом, репутацией и авторитетом.

Большинство предприятий регулярно терпят убытки из-за утечки данных. Защита информации предприятия должна занимать приоритетное место в ходе становления бизнеса и его ведения. Обеспечение информационной безопасности – залог успеха, прибыли и достижения целей предприятия.

2019

ИБ-приоритеты СМБ

Компании СМБ-сегмента тянутся в облака, к сервисной модели потребления услуг по модели MSSP (Managed Security Service Provider). Это помогает им существенно сокращать операционные затраты в области ИБ.

Сервисная модель потребления ИБ становится все более востребованной субъектами малого и среднего предпринимательства, поскольку эти компании не могут себе позволить многочисленный штат специалистов по безопасности.

По словам Владимира Баланина, руководителя Департамента информационной безопасности ГК «Ай-Теко », СМБ-сегмент становится основным потребителем услуг сервис-провайдеров, которые предоставляют услуги сразу с интегрированными сервисами информационной безопасности: нет издержек на администрирование, мониторинг и содержание собственной инфраструктуры, а риски регуляторных требований несет сам сервис-провайдер.

В то же время для российского рынка сейчас характерно очень ограниченное предложение по ИБ для СМБ. Как отмечает Андрей Янкин, директор Центра информационной безопасности компании «Инфосистемы Джет», почти все сервисные услуги направлены на крупных заказчиков. Типовых и недорогих, но не примитивных ИБ-сервисов для СМБ, по его словам, практически не существует, хотя в ряде других стран этот рынок неплохо развит.

Вместе с тем, с развитием сегмента управляемых сервисов ИБ и перспективой развития рынка страхования киберрисков, эта категории заказчиков получит в свое распоряжение адекватные современным угрозам меры.

Пока же СМБ-компании реализуют базовую ИТ-безопасность, редко поднимаясь на уровень бизнес-процессов .

По словам Дмитрия Пудова, заместителя гендиректора Angara Technologies Group по технологиям и развитию, представителям СМБ, при их бюджетах, доступ к высокотехнологичным или сложным решениям практически закрыт. Это не обусловлено исключительно стоимостью решений, скорее причина в OPEX, которую они несут.

Основные решения, которые приобретают заказчики СМБ-сегмента – антивирусы и программные межсетевые экраны, говорит Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт». Кроме того, компании данного сегмента активно начинают интересоваться вопросами аудита ИБ и проведения пентестов, ведь такие организации не всегда держат в штате отдельного специалиста по информационной безопасности, не говоря уже о пентестерах.

Вячеслав Медведев, ведущий аналитик компании «Доктор Веб», добавляет, что опросы среднего бизнеса показали отсутствие у таких компаний средств на защитные решения, отличные от базовых.

ИБ-приоритеты крупного бизнеса

Для акционеров, собственников и топ-менеджмента всегда важно иметь объективную картину ИБ и технологических процессов внутри организации, поэтому общий уровень зрелости ИБ в компаниях растет с каждым годом. Однако некоторым крупным организациям по-прежнему не хватает элементарного порядка в бизнес-процессах, обеспечивающих работу информационных систем, что может привести к хаосу в ИБ. Поэтому основной приоритет для крупных компаний – в решении этих задач, считает Николай Забусов , директор департамента информационной и сетевой безопасности «Стэп Лоджик ».

Кроме того, крупный бизнес делает акцент на выполнении требований регуляторов и внутренних стандартов, пытаясь создать более-менее равномерно защищенную инфраструктуру. Отраслевые стандарты в области информационной безопасности разработаны и «внедрены» во многих корпорациях.

Крупные коммерческие компании по сути оказались перед выбором: идти по пути цифровой трансформации, либо работать, не меняя парадигму ведения бизнеса. Но во втором случае они рано или поздно будут вынуждены уступить свои позиции на рынке конкурентам, проявившим большую гибкость.

С точки зрения практической безопасности вектор все больше смещается с предотвращения атак к их обнаружению и реагированию, считает Андрей Заикин , руководитель направления информационной безопасности компании «Крок ». Это приводит к тому, что становятся все более популярны и востребованы относительно молодые классы решений: EDR, IRP. Автоматизированные системы реагирования имеют разные наборы скриптов, сценариев и позволяют блокировать попытки распространения угроз.

ИБ-сервисы

СМБ-компании, которые понимают критичность обеспечения информационной безопасности для своего бизнеса, идут по пути использования сервисных моделей.

Введение

Руководители компаний должны осознать важность информационной безопасности, научиться прогнозировать тенденции в этой области и управлять ими.

Сегодняшний бизнес не может существовать без информационных технологий. Известно, что около 70% мирового совокупного национального продукта зависят тем или иным образом от информации, хранящейся в информационных системах. Повсеместное внедрение компьютеров создало не только известные удобства, но и проблемы, наиболее серьезной из которых является проблема информационной безопасности.

Наряду с элементами управления для компьютеров и компьютерных сетей стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

Несомненно, данная тема курсовой работы очень актуальна в современных условиях.

Объект курсовой работы: информационная безопасность профессиональной деятельности организации.

Предмет исследования: обеспечение информационной безопасности.

В курсовой работе планируется создать проект управленческого решения по организации информационной безопасности на базе реально существующей организации.

Глава 1. Информационная безопасность профессиональной деятельности

Обеспечение информационной безопасности является сравнительно новой областью профессиональной деятельности специалистов. Основными целями такой деятельности являются:

Обеспечение защищенности от внешних и внутренних угроз в сфере формирования, распространения и использования информационных ресурсов;

Предотвращение нарушений прав граждан и организаций на сохранение конфиденциальности и секретности информации;

Обеспечение условий, препятствующих преднамеренному искажению или сокрытию информации при отсутствии для этого законных оснований.

Заказчиками специалистов в данной области являются:

Федеральные органы государственной власти и управления РФ;

Органы государственной власти субъектов РФ;

Государственные учреждения, организации и предприятия;

Оборонная промышленность;

Органы местного самоуправления;

Учреждения, организации и предприятия негосударственной формы
собственности.

Появление в свободной, хотя и нелегальной продаже базы данных клиентов компании сотовой связи МТС вновь и вновь вынуждает обращаться к проблеме компьютерной безопасности. Похоже, эта тема неисчерпаема. Ее актуальность тем больше, чем выше уровень компьютеризации коммерческих фирм и некоммерческих организаций. Высокие технологии, играя революционную роль в развитии бизнеса и практически всех других сторон современного общества, делают их пользователей весьма уязвимыми с точки зрения информационной, а в конечном счете экономической безопасности.

Это проблема не только России, но большинства стран мира, в первую очередь западных, хотя там и действуют законы, ограничивающие доступ к персональной информации и предъявляющие жесткие требования к ее хранению. На рынках предлагают различные системы защиты компьютерных сетей. Но как защититься от собственной “пятой колонны” - недобросовестных, нелояльных, или просто безалаберных сотрудников, имеющих доступ к закрытой информации? Скандальная утечка клиентской базы данных МТС не могла, видимо, произойти без сговора, либо преступной халатности служащих компании.

Такое впечатление, что многие, если не большинство предпринимателей просто не осознают всей серьезности проблемы. Даже в странах развитой рыночной экономики, согласно некоторым исследованиям, 80% компаний не имеют продуманной, спланированной системы защиты хранилищ, операционных баз данных. Что же говорить о нас, привыкших полагаться на знаменитое “авось”.

Поэтому не бесполезно обратиться к теме опасностей, которыми грозят утечки конфиденциальной информации, поговорить о мерах по снижению таких рисков. В этом нам поможет публикация в “Legal Times” (October 21, 2002) - издании, посвященном правовым вопросам (Марк М. Мартин, Эван Вагнер, “Уязвимость и защита информации”). Авторы перечисляют наиболее типичные виды и способы информационных угроз. Какие именно?

Рассекречивание и кража коммерческой тайны. Тут все более или менее понятно. Классический, уходящий в древнюю историю, экономический шпионаж. Если раньше секреты хранились в потайных местах, в массивных сейфах, под надежной физической и (позднее) электронной защитой, то сегодня многие служащие имеют доступ к офисным базам данных, нередко содержащим весьма чувствительную информацию, например, те же данные о клиентах.

Распространение компрометирующих материалов. Здесь авторы имеют в виду умышленное или случайное использование сотрудниками в электронной переписке таких сведений, которые бросают тень на репутацию фирмы. К примеру, название компании отражено в домене корреспондента, допускающего в своих письмах диффамацию, оскорбления, короче все, что может скомпрометировать организацию.

Посягательство на интеллектуальную собственность. Важно не забывать, что любой интеллектуальный продукт, производимый в организации, принадлежит организации и не может использоваться сотрудниками (в том числе генераторами и авторами интеллектуальных ценностей) иначе как в интересах организации. Между тем, в России по этому поводу часто возникают конфликты между организациями и служащими, претендующими на созданный ими интеллектуальный продукт и использующими его в личных интересах, в ущерб организации. Это нередко происходит из-за расплывчатой правовой ситуации на предприятии, когда в трудовом контракте нет четко прописанных норм и правил, очерчивающих права и обязанности служащих.

Распространение (часто неумышленное) внутренней информации, не секретной, но могущей быть полезной для конкурентов. Например, о новых вакансиях в связи с расширением бизнеса, о командировках и переговорах.

Посещения сайтов конкурентов. Сейчас все больше компаний используют на своих открытых сайтах программы (в частности, предназначенные для CRM), которые позволяют распознавать посетителей и детально отслеживать их маршруты, фиксировать время, длительность просмотра ими страниц сайта. Понятно, что если ваш заход на сайт конкурента в подробностях известен его оператору, то последнему не трудно сделать вывод, что именно вас интересует. Это не призыв отказаться от важнейшего канала конкурентной информации. Сайты конкурентов были и остаются ценным источником для анализа и прогноза. Но, посещая сайты, надо помнить, что вы оставляете следы и за вами тоже наблюдают.

Злоупотребление офисными коммуникациями в личных целях (прослушивание, просмотр музыкального и прочего контента, не имеющего отношения к работе, загрузка офисного компьютера) не несет прямой угрозы для информационной безопасности, но создает дополнительные нагрузки на корпоративную сеть, снижает эффективность, мешает работе коллег.

И, наконец, внешние угрозы - несанкционированные вторжения и т.п. Это тема отдельного серьезного разговора.

Как защититься от внутренних угроз? 100% гарантии от ущерба, который могут нанести собственные работники, просто не существует. Это человеческий фактор, который не поддается полному и безусловному контролю. Вместе с тем, упомянутые выше авторы дают полезный совет - разрабатывать и внедрять внутри компании четко сформулированную коммуникационную (или информационную) политику. Такая политика должна провести четкую границу между дозволенным и недозволенным в использовании офисных коммуникаций. Переход границы ведет к наказанию. Должны быть система мониторинга, кто и как использует компьютерные сети. Правила, принятые в компании, должны соответствовать как национальному, так и международно-признанным нормам защиты государственных и коммерческих тайн, персональной, приватной информации.

Глава 2. Обеспечение информационной безопасности

профессиональной деятельности в ООО «Ласпи»

2.1. Краткая характеристика ООО «Ласпи»

ООО «Ласпи» было создано в 1995 году как представительство чешской компании в России. Фирма занимается поставкой чешского оборудования и расходных материалов для производства различных бетонных изделий (начиная с тротуарной плитки и заканчивая заборами, вазонами и т.п.). Оборудование отличается высоким качеством и приемлемой стоимостью. Заказчиками, обращающимися в Самарский офис, являются организации из различных городов России и СНГ (Казань, Уфа, Ижевск, Москва, Нижний Новгород и т.д.). Естественно, такая широкомасштабная деятельность требует особого отношения к информационной безопасности внутри фирмы.

На сегодняшний день информационная безопасность оставляет желать лучшего. Различная документация (техническая, экономическая) находится в открытом доступе, что позволяет практически любому сотруднику фирмы (начиная с учредителя и заканчивая водителем) беспрепятственно с ней ознакомиться.

Особо важная документация хранится в сейфе. Ключи от сейфа есть только у директора и у его секретаря. Но здесь существенную роль играет так называемый человеческий фактор. Нередко ключи забываются в кабинете на столе и сейф может быть вскрыт даже уборщицей.

Экономическая документация (отчеты, накладные, счета, счета-фактуры и т.п.) разложены по папкам и полкам в шкафу, который не запирается.

Сотрудники не подписывают при устройстве на работу никаких соглашений о неразглашении сведений, которые относятся к коммерческой тайне, что не запрещает им распространять подобную информацию.

Набор сотрудников производится посредством собеседования, состоящего из двух этапов: 1. общение с непосредственным начальником (на котором выявляются умения и способности потенциального работника) 2. общение с учредителем (носит более личностный характер и выводом подобного диалога может быть либо «сработаемся», либо «не сработаемся»).

Все это требует более пристального внимания со стороны руководства и грамотной программы по обеспечению информационной безопасности фирмы, потому что сегодня у ООО «Ласпи» появилось достаточно много конкурентов, которые вряд ли упустят возможность воспользоваться, например, клиентской базой или базой поставщиков фирмы.

2.2. Проект управленческого решения по обеспечению информационной безопасности профессиональной деятельности ООО «Ласпи».

Важно место в системе организационных, административных, правовых и других мер, позволяющих качественно решать задачи информационного обеспечения научно-производственной и коммерческой деятельности, физической сохранности материальных носителей закрытых сведений, предотвращения их утечки, сохранения коммерческой тайны занимает разрешительная система доступа исполнителей к классифицированным документам и сведениям.

С учетом Закона РСФСР "О предприятиях и предпринимательской деятельности" руководитель предприятия (фирмы) вне зависимости от форм собственности может устанавливать специальные правила доступа к сведениям, оставляющим коммерческую тайну, и ее носителям, тем самым обеспечивая их сохранность.

В системе мер безопасности существенное значение имеет оптимальное распределение производственных, коммерческих и финансово-кредитных сведений, оставляющих тайну предприятия, между конкретными исполнителями соответствующих работ и документов. При распределении информации, с одной стороны, необходимо обеспечить предоставление конкретному сотруднику для качественного и своевременного выполнения порученных ему работ полного объема данных, а с другой стороны, исключить ознакомление исполнителя с излишними, не нужными ему для работы классифицированными сведениями.

В целях обеспечения правомерного и обоснованного доступа исполнителя к сведениям, составляющим коммерческую тайну фирмы, рекомендуется разрабатывать и внедрять на предприятиях соответствующую разрешительную систему.

Под доступом понимается получение письменного разрешения руководителя фирмы (или, с его санкции, других руководящих лиц) на выдачу тому или иному сотруднику конкретных (или в полном объеме) закрытых сведений с учетом его служебных обязанностей (должностных полномочий).

Оформление доступа к КТ может производиться в соответствии с утвержденным директором Положением о разрешительной системе доступа, где юридически закрепляются полномочия должностных лиц предприятия по распределению информации и пользовании ею. Руководитель организации может разрешить пользование любой охраняемой информацией любому работнику данного предприятия или лицу, прибывшему на объект из другой организации для решения каких-либо вопросов, если в отношении этих сведений не установлены ограничения на ознакомление со стороны производственно-коммерческих партнеров по совместному производству и т.п. Так, в ООО «Ласпи» рекомендуется ограничить доступ к информации, являющейся коммерческой тайной (договора с поставщиками и клиентами, итоговые отчеты о сделках), следующими сотрудниками:

1.учредитель фирмы.

2.директор фирмы.

3.секретарь директора.

Санкцию на доступ к информации другим сотрудникам могут давать только учредитель и директор фирмы.

Доступ к информации о текущих сделках с клиентами должны иметь все перечисленные выше сотрудники и менеджеры, которые ведут эти сделки.

Исходная информация о закупочных ценах на оборудование должна быть так же ограничена. Доступ к ней имеют только учредитель, директор фирмы, которые остальным сотрудникам предоставляют только уже проработанные цены (с различными «накрутками»), а так же секретарь, который ведет весь документооборот в организации.

Эффективная работа разрешительной системы возможна только при соблюдении определенных правил:

1. Разрешительная система в качестве обязательного для выполнения правила включает в себя дифференцированный подход к разрешению доступа, учитывающий важность классифицированных сведений, в отношении которых решается вопрос о доступе.

2. Необходимо документальное отражение выданного разрешения на право пользования теми или иными защищаемыми сведениями. Это означает, что руководитель, давший разрешения на право пользования, должен его в обязательном порядке зафиксировать в письменном виде на соответствующем документе или в действующей на предприятии учетной форме. Никакие устные указания и просьбы о доступе кого бы то ни было (за исключением руководителя предприятия) не имеют юридической силы. Это требование относится и к руководителям всех уровней, работающих с классифицированной информацией и ее носителями. Таким образом, только письменное разрешение руководителя (в рамках полномочий) является разрешением для выдачи тому или иному лицу охраняемых сведений.

3. Следует строго соблюдать принцип контроля. Каждое разрешение должно иметь дату его оформления и выдачи.

Широкое распространение имеет такой традиционный вид разрешения как резолюция руководителя на самом классифицированном документе. Такое разрешение должно содержать перечень фамилий сотрудников, обязанных ознакомиться с документами или их исполнить, срок исполнения, другие указания, подпись руководителя и дату. Руководитель может при необходимости предусмотреть ограничения в доступе конкретных сотрудников к определенным сведениям.

Резолюция, как вид разрешения, применяется главным образом для оперативного доведения до заинтересованных лиц закрытой информации, содержащихся в документах и изделиях, поступаемых извне и создаваемых на предприятии.

Руководитель предприятия может дать разрешение на доступ в распорядительных документах: приказах, указаниях, распоряжениях по предприятию. В них должны содержать фамилии, должности лиц, конкретные классификационные документы и изделия, к которым они могут быть допущены (ознакомлены).

Другой вид разрешений - по фамильные списки лиц, имеющих право знакомиться и производить какие-либо действия с классифицированными документами и изделиями. По фамильные списки утверждаются директором предприятия или в соответствии с действующей разрешительной системой руководителями, занимающими, как правило, должности не ниже руководителей соответствующих подразделений.

По фамильные списки лиц могут использоваться при организации доступа к классифицированным документам и изделиям, имеющим особо важное значение для предприятия, при оформлении доступа в режимные помещения, на различного рода закрытые мероприятия (конференции, совещания, выставки, заседания научно-технических советов и т.п.). В по фамильных списках могут быть определены конкретные руководители, которые допускаются руководителем ко всем закрытым документам и изделиям без соответствующих письменных разрешений. В них указывается Ф.И.О. исполнителя работ, отдел, занимаемая должность, категория документов и изделий, к которым он допущен. На практике применим и вариант должностных списков, в которых указывается: должность исполнителя, объем документов (категории документов) и типы изделий, которыми необходимо пользоваться работникам предприятий, занимающим соответствующую списку должность. Следует отметить, что для предприятий с небольшим объемом классифицированных документов и изделий может оказаться достаточным использование таких видов разрешения, как резолюция руководителя на самом документе, по фамильные списки, должностные списки.

В организационном плане по фамильные списки должны готовиться заинтересованными руководителями структурных подразделений. Перечень сотрудников, вошедших в список, визируется начальником СБ и утверждается руководителем предприятия, который может делегировать права утверждения другим лицам из числа дирекции.

Разрешительная система должна отвечать следующим требованиям:

· распространяться на все виды классифицированных документов и изделий, имеющихся на предприятии, независимо от их место нахождения и создания;

· определять порядок доступа всех категорий сотрудников, получивших право работать с КТ, а также специалистов, временно прибывших на предприятие и имеющих отношение к совместным закрытым заказам;

· устанавливать простой и надежный порядок оформления разрешений на доступ к охраняемым документам и изделиям, позволяющий незамедлительно реагировать на изменения в области информации на предприятии;

· четко разграничивать права руководителей различных должностных уровней в оформлении доступа соответствующих категорий исполнителей;

· исключать возможность бесконтрольной и несанкционированной выдачи документов и изделий кому бы то ни было;

· не разрешать лицам, работающим с классифицированной информацией и объектами, вносить изменения в четные данные, а также подменять учетные документы.

При разработке разрешительной системы особое внимание должно быть уделено выделению главных, особо ценных для предприятия сведений, что позволит обеспечить к ним строго ограниченный доступ. При наличии совместных работ с другими предприятиями (организациями), иностранными фирмами или их отдельными представителями, необходимо предусмотреть порядок доступа этих категорий к коммерческой тайне предприятия. Целесообразно определить порядок взаимодействия с представителями обслуживающих государственных организаций: технадзором, санэпидемстанцией и др.

В Положение о разрешительной системе фирмы необходимо указать, что передача классифицированных документов и изделий от исполнителя к исполнителю возможна только в пределах структурного подразделения и с разрешения его руководителя. Передача, возврат таких документов изделий производится по установленному на фирме порядку и только в течение рабочего времени данного дня.

Вся классифицированная документация и изделия, поступившие на предприятие и разработанные на нем, принимаются и учитываются руководством среднего звена и секретарем. После регистрации документация передается на рассмотрение руководителю предприятия под расписку.

В Положение о разрешительной системе фирмы необходимо указать, что закрытые совещания по служебным вопросам проводятся только с разрешения руководителя фирмы или его заместителей. Особые требования могут распространяться на заседания ученых советов, совещания по рассмотрению результатов НИОКР и финансово-коммерческой деятельности и т.п. На такие мероприятия рекомендуется в обязательном порядке оформлять разрешительные списки и включать в них лишь тех сотрудников предприятия, которые имеют непосредственное отношение к планируемым мероприятиям и участие в которых вызывается служебной необходимостью.

Как уже отмечалось выше, сотрудники других фирм могут участвовать в закрытых совещаниях только с персонального разрешения руководства фирмы. Готовит списки, как правило, ответственный за организацию совещания в контакте с заинтересованными руководителями структурных подразделений. Список является основанием для организации контроля за допуском на данное совещание. Перед началом совещания присутствующие предупреждаются, что обсуждаемая информация носит закрытый характер и не подлежит распространению за пределы установленной фирмой сферы обращения, и выдает инструкции по порядку ведения записей.

Важно подчеркнуть, что установление на фирме определенного порядка обращения с закрытой информацией и изделиями существенным образом повышает надежность защиты коммерческой тайны, снижает вероятность разглашения, утраты носителей этих сведений.

Для обеспечения сохранности документации предлагается закупить соответствующую мебель, которая позволяет надежно запирать документы. Так же необходимо каждый день, перед уходом, опечатывать шкафы.

Ключи от сейфа и шкафов должны сдаваться службе безопасности под роспись. Так же рекомендуется приобрести специальный тубус для хранения ключей и так же его опечатывать.

Особое внимание следует уделить безопасности компьютерной информации. В ООО «Ласпи» сегодня создано несколько баз данных: клиенты фирмы (с указанием не только их рабочих адресов и телефонов, но и домашних, а также сведений носящих личный характер); база данных, содержащая цены и характеристику поставляемого оборудования; база данных сотрудников организации. Так же в компьютере хранятся различные договора, соглашения и т.п.

В любом случае, попадание этой информации в руки конкурентов крайне нежелательно. Для предотвращения такого развития событий рекомендуется создание паролей для доступа в каждую базу данных (а программные средства позволяют это реализовать). При загрузке компьютера так же рекомендуется ставить двухуровневую защиту (при загрузке BIOS и при загрузке OS Windows’2000, которая не позволяет беспарольный доступ к содержимому винчестера, в отличие от предыдущих версий этой операционной системы). Естественно, пароли так же должны быть доступны только тем сотрудникам фирмы, которые непосредственно работают с этими базами данных (секретарь, руководители, программисты).

В случае возникновения каких-либо проблем, связанных с компьютером и необходимости обращения в постороннюю фирму, необходимо полностью контролировать процесс ремонта техники. Так как именно в такой момент, когда сняты все пароли, когда программист «со стороны» имеет свободный и беспрепятственный доступ к содержимому жесткого диска, возможно изъятие им информации и дальнейшее ее использование в различных целях.

Необходимо постоянно обновлять антивирусные программы с целью препятствования попадания и распространения вирусов в компьютерах.

Особое внимание необходимо уделить вопросам приема новых сотрудников на работу. Сегодня во многих организациях практикуется ужесточенный подход к этому процессу, что связано с желанием сохранить информацию внутри фирмы и не дать ей выйти за ее пределы из-за «человеческого фактора».

Если в большинстве случаев прием на работу осуществляется в два этапа (они кратко изложены выше), то здесь предлагается четыре этапа.

1. Беседа с начальником отдела кадров. Начальник отдела кадров знакомится с кандидатом, его резюме, задает вопросы по профессиональной деятельности, делая предварительные пометки. Этот этап носит профессиональный характер. Затем начальник отдела кадров анализирует полученную информацию от кандидатов и передает ее руководителю.

2. Руководить знакомиться с резюме кандидатов и заметками о них начальника отдела кадров, выбирая наиболее подходящих и приглашает к себе на собеседование. Собеседование носит личностный характер и предполагает нестандартные вопросы (например, что человек любит есть, какое у него хобби и т.п.) Таким образом руководитель получает информацию для принятия решения о том, насколько для него подходит этот человек, прогнозирует возможные проблемы, с которыми он может столкнуться при общении с этим кандидатом.

3. Тестирование. Здесь уже определяется уровень интеллекта сотрудника, составляется его психологический портрет на основе различных тестов. Но сначала необходимо определить, каким хотят видеть нового сотрудника его руководитель и коллеги.

4. Служба безопасности. Здесь предлагаются два этапа: а) проверка кандидатов в различных инстанциях (привлекался ли к суду, отбывал ли срок в местах лишения свободы, стоит ли на учете в наркологическом диспансере, соответствуют ли действительности сведения, которые он предоставил о предыдущих местах работы); б) проверка на специальной аппаратуре, которую чаще всего называют «детектором лжи». На втором этапе определяется, насколько сотрудник лоялен к фирме, какие у него реакции на провокационные вопросы (например, что он будет делать, если узнает, что кто-то из его коллег берет документы домой) и т.д.

И только после того, как кандидат прошел все эти четыре стадии, можно принимать решение – брать ли его на работу или нет.

После того, как вынесено положительное решение, сотруднику устанавливается испытательный срок (по законодательству РФ он может варьироваться от 1 месяца до трех, но рекомендуется не меньше 2 месяцев, а лучше 3). В течение испытательного срока руководство и служба безопасности должны присматриваться к новому сотруднику, наблюдать за его деятельностью.

Кроме того, сразу же при приеме на работу необходимо наряду с заключением трудового договора, подписание соглашения о неразглашении коммерческой тайны. Рекомендуемые пункты этого соглашения:

Это не полный перечень того, что может быть включено в соглашение.

Заключение

Сегодня вопрос об организации информационной безопасности волнует организации любого уровня – начиная с крупных корпораций, и заканчивая предпринимателями без образования юридического лица. Конкуренция в современных рыночных отношениях далеко от совершенства и часто ведется не самыми легальными способами. Процветает промышленный шпионаж. Но нередки и случае непреднамеренного распространения информации, относящейся к коммерческой тайне организации. Как правило, здесь играет роль халатность сотрудников, непонимание ими обстановки, иными словами, «человеческий фактор».

В курсовой работе представлен проект управленческого решения по организации информационной безопасности в ООО «Ласпи». Проект затрагивает три основные сферы организации безопасности: 1. документационная сфера (доступ к материалам, представленным на бумажных носителях, с разграничением этого доступа); 2.компьютерная безопасность; 3. безопасность в плане приема на работу новых сотрудников.

Следует учитывать, что хоть данный проект и разработан под конкретную организацию, его положения могут использоваться и для организации безопасности в других фирмах, относящихся к разряду средних.

Ничто не дается бизнесу столь дешево и не обходится столь дорого, как ошибки в системе защиты корпоративной информации. Лучше учиться на чужих ошибках безопасности.

Кибератаки и DLP -системы

В 2010 году сотрудник HSBC- банка, входящего в полусотню самых надежных банков мира при увольнении прихватил с собой реквизиты 15 тыс. клиентов (преимущественно из Швейцарии и Франции). Этот обошлось банку в $94 млн, потраченных на замену неэффективной системы безопасности.

Куда больший ущерб нанесли добропорядочным гражданам киберпреступники, взломавшие Twitter -аккаунт Associated Press . Взломщики кратко «прощебетали»: «Два взрыва в Белом доме, Барак Обама ранен». Индекс Dow Jones упал на 150 пунктов, а голубые фишки сократили свою суммарную капитализацию на $200 млрд. Правда, после того как появилось опровержение, паника прекратилась, и индекс вернулся к прежнему значению. Но те, кто поспешили сбросить акции по ползущим вниз ценам, изрядно прогорели. Ответственность за взлом взяла на себя некая «Сирийская электронная армия». Однако утверждать наверняка, что это была не чисто экономическая диверсия, нельзя. Уж слишком точно было выбрано время: сразу же после теракта на Бостонском марафоне.

На Всемирном экономическом форуме в числе глобальных рисков для мировой экономики, таких как коррупция, демографический кризис, истощение природных ресурсов, были впервые в истории названы и кибератаки. Угрозы, подстерегающие и компании, и государственные структуры, могут быть как внешними, так и внутренними. Собственно кибератаки - это внешняя угроза. Внутренние угрозы - необязательно результат злого умысла. Вполне лояльные, но некомпетентные в области IT сотрудники могут случайно запустить вложенную в электронное письмо вредоносную программу, по ошибке стереть нужную папку, забрести на сайт, нашпигованый троянами. В результате важная для компании информация может либо бесследно исчезнуть, либо попасть в руки конкурентов или каких-нибудь «борцов за справедливость», одержимых идеями спасения человечества от глобализма и прочих язв капитализма, тоталитаризма etc. Статистика показывает, что наибольший вред компании терпят от своего же персонала.

Проблема компьютерной безопасности возникла сразу, как только американская компания Eckert-Mauchly Computer Corporation в 1951 году выпустила первый серийный компьютер UNIVAC I . Долгое время эта проблема носила скорее теоретический характер. Все изменилось после изобретения Интернета и лавинообразного разрастания Всемирной паутины.

Для противодействия киберпреступности понадобилась целая новая индустрия. Каждый год российские и иностранные компании выпускают все новые и новые антивирусы, криптографические программы, продукты, предотвращающие фишинг и ddos-атаки и т. п. Программы постоянно совершенствуются, возникают новые их разновидности. В частности, сравнительно недавно на рынок средств информационной безопасности вышли DLP -системы (Data Leak Prevention ), предотвращающие утечку информации из корпоративных сетей.

Полноценная и полнофункциональная DLP-система обладает следующими функциями:

• тотальный и постоянный контроль всех каналов потенциальной утечки информации;
• анализ всего трафика, выходящего за пределы корпоративной сети на предмет наличия конфиденциальной информации;
• блокирование передачи конфиденциальной информации, под которой понимаются не только корпоративные секретные данные, но и оскорбительные высказывания, непристойные видеоролики, а также почтовые рассылки, по той или иной причине негативно влияющие на корпоративный имидж;
• блокирование приема нежелательной и вредоносной информации;
• архивирование перехваченного несанкционированного трафика с целью расследования возникших инцидентов.

Необходимо отметить, что DLP-системы не отменяют актуальность прежних категорий продуктов, таких как антивирусы, криптографические программы, электронные замки с повышенной степенью идентификации пользователей и прочее. Однако весь этот инструментарий за последние 2-3 года стал более уязвимым. Причиной тому два глобальных IT-тренда: экспансия мобильных устройств и облачные вычисления.

Новые уязвимости

В настоящий момент на руках у россиян находится около 50 млн мобильных устройств - смартфонов, планшетов, нетбуков, ноутбуков и т. д. В этом году показатель увеличится еще на 12 млн, а к 2015-му превысит 70 млн. Согласно прогнозу аналитической компании International Data Corporation , мобильные устройства по частоте выхода в Интернет превзойдут персональные компьютеры уже в ближайшие месяцы.

И все эти устройства создают потенциальные уязвимости как для самой корпоративной сети, так и для хранящейся в ней конфиденциальной информации. У хакеров сейчас в большой моде вредоносные программы для смартфонов, работающих под управлением ОС Android . И поскольку сотрудники пользуются смартфонами и на работе, и дома, и на отдыхе, и в транспорте, вероятность инфицирования серверов, входящих в состав корпоративной сети, резко повышается.

Есть угроза и иного рода. Известны как минимум три случая, когда либо подгулявшие, либо перетрудившиеся сотрудники британской контрразведки MI-5, теряли свои ноутбуки с секретной информацией в самых неподходящих местах - в метро, такси, кафе. А смартфон, согласитесь, потерять куда легче, чем ноутбук.

Бороться с «тотальной мобилизацией» офиса бесполезно. Да и невыгодно: ведь сотрудники благодаря смартфонам и планшетам могут работать и дома или на отдыхе. По данным «Лаборатории Касперского», сейчас категорически запрещено использовать на работе мобильные устройства лишь четвертой части сотрудников всех компаний. Полный доступ к корпоративным ресурсам имеют 34% владельцев смартфонов, 38% - планшетов, 45% - ноутбуков. Для остальных введены ограничения различных уровней доступа.

Как же обеспечить информационную безопасность в эпоху мобильного Интернета и облачных вычислений? Задача непростая. Ведь рабочие станции и сервера корпоративных сетей работают под управлением одних ОС (Windows или Unix ), их безопасность поддерживается встроенными в систему средствами. А мобильные устройства мало того, что используют свои ОС, так еще и не располагают эффективными средствами защиты, потому что они задумывались как устройства индивидуального, а не корпоративного пользования. Ситуация усугубляется еще и тем, что контролировать местонахождение мобильного устройства и источник подключения, а также то, в чьих руках оно находится, организационными методами невозможно.

Как правило, эти проблемы решаются программными средствами за счет усиления защитного контура системы, адаптирования корпоративной системы безопасности ко всему многообразию мобильных устройств и установки на них необходимых защитных приложений. Однако возможен и иной способ - выдать сотрудникам корпоративные защищенные планшеты и смартфоны.

Отечественный производитель средств компьютерной безопасности «Код Безопасности» выпустил планшет «Континент Т-10» , работающий под управлением ОС Android 4 и оснащенный всеми необходимыми средствами для безопасной удаленной работы как самого планшета, так и приложений корпоративной системы, к которым он подключается через защищенный шлюз. Этот мобильный девайс полностью интегрирован в корпоративную систему безопасности и не требует никаких дополнительных адаптационных мероприятий.

Серьезные проблемы создают и облачные вычисления. Российский рынок облачных услуг уже превысил годовой оборот в $150 млн и растет ежегодно на 50%. При этом большая часть рынка приходится на частные облака, то есть создаваемые внутри корпорации. Частные облака существенно отличаются от корпоративных сетей жесткой конфигурации с точки зрения информационной безопасности. И требуют собственных средств защиты.

По линейке

Российский рынок информационной безопасности стремительно развивается и уже превысил объем в $600 млн. 15% рынка контролируют пять крупнейших игроков: «Астерос», «Крок», «Информзащита», Leta и «Инфосистемы Джет» . Что же касается мирового рынка, то при ежегодном приросте в 30%, его объем приблизился к $1 млрд. Среди международных лидеров значатся такие гиганты, как Symantec, McAffee, TrendMicro, Check Point, Cisco Systems .

И российские, и западные производители, решая общие задачи, выпускают схожие продукты. Для того чтобы гарантированно защитить информацию от всего спектра существующих угроз, необходим комплексный подход, учитывающий все аспекты функционирования корпоративных сетей, не только технические, но и психологические, связанные с человеческим фактором. Наилучшие результаты достигаются при использовании всей линейки продуктов, обеспечивающих защиту информации: антивирусов, межсетевых экранов, антиспамов, криптографических средств, систем предотвращения потери данных и т. п. Одна единственная брешь в защитном контуре системы способна привести к непредсказуемому ущербу.

Но каждый отдельный отечественный производитель предлагают не всю продуктовую линейку. Возникает ситуация, получившая название «зоопарка систем», когда использование различных продуктов, имеющих различную идеологию, требует создания сложных схем управления. В исключительных случаях это может привести к отказу системы.

Поэтому при выборе системы безопасности следует руководствоваться не только полнотой функционала и масштабируемостью, но и управляемостью, зависящей от единства концепции всех ее компонентов. Из российских вендоров, этому требованию удовлетворяет, например, компания «Код Безопасности», имеющая самую широкую продуктовую линейку. Ее продукты, инсталлированные по «бесшовной» технологии, позволяют оперативно отслеживать происходящие события из единой точки контроля всех защитных систем.