Bedriftsinformasjonssikkerhet
Forretningsinformasjonssikkerhet

* Fra Wikipedia

Informasjonssikkerhet er sikkerhetstilstanden for informasjonsmiljøet. Informasjonsbeskyttelse er en aktivitet for å forhindre lekkasje av beskyttet informasjon, uautorisert og utilsiktet innvirkning på beskyttet informasjon, det vil si en prosess som tar sikte på å oppnå denne tilstanden.

Bedriftsinformasjonssikkerhet: en intern trussel

En rekke seriøse spesialister i informasjonssikkerhet organisasjon kaller den interne trusselen som den viktigste, og gir den opptil 80% av det totale antallet potensielle risikoer. Faktisk, hvis vi vurderer den gjennomsnittlige skaden fra hackerangrep, da vil den nærme seg null på grunn av det store antallet hackingsforsøk og deres svært lave effektivitet. Et enkelt tilfelle av personalfeil eller vellykket grusomhet fra en innsider kan koste selskapet tap på flere millioner dollar (direkte og indirekte), søksmål og beryktelse i kundenes øyne. Faktisk kan selve eksistensen av selskapet være i fare, og dette, akk, er virkeligheten. Hvordan gi ? Hvordan beskytte mot informasjonslekkasjer? Hvordan gjenkjenne og forhindre en intern trussel i tide? Hvilke metoder for å håndtere det er mest effektive i dag?

Fienden inni

En intern angriper, eller innsider, kan være nesten enhver ansatt som har tilgang til konfidensiell bedriftsinformasjon. Motivasjonen bak innsiderens handlinger er ikke alltid åpenbar, noe som medfører betydelige vanskeligheter i identifikasjonen. En nylig oppsagt ansatt som har et nag mot en arbeidsgiver; en uærlig ansatt som ønsker å tjene ekstra penger ved å selge data; moderne Herostratus; en spesielt innebygd agent for en konkurrent eller en kriminell gruppe er bare noen få av arketypene til innsiden.

Roten til alle lidelsene som ondsinnede handlinger fra innsidere kan føre til, ligger i undervurderingen av viktigheten av denne trusselen. I følge en studie utført av Perimetrix-selskapet fører lekkasje av mer enn 20% av selskapets konfidensielle informasjon i de fleste tilfeller til kollaps og konkurs. Et spesielt hyppig, men fortsatt det mest sårbare offeret for innsidere er finansinstitusjoner, og av alle størrelser - med en stab på hundrevis til flere tusen arbeidere. Til tross for det faktum at bedrifter i de fleste tilfeller prøver å skjule eller undervurdere de reelle skadetallene fra innsidernes handlinger, er selv de offisielt annonserte tapene virkelig imponerende. Mye mer smertefullt enn de økonomiske tapene for selskapet rammet skaden på selskapets omdømme og en kraftig nedgang i kundetilliten. Ofte kan indirekte tap være mange ganger større enn faktisk direkte skade. For eksempel er saken med Liechtenstein-banken LGT allment kjent, da en bankmedarbeider i 2008 overførte en database med innskytere til spesialtjenestene i Tyskland, USA, Storbritannia og andre land. Som det viste seg, enormt mye utenlandske kunder bankene brukte LGTs spesielle status til å gjennomføre transaksjoner som omgå skattereglene i deres land. En bølge av økonomiske etterforskninger og tilhørende søksmål feide verden, mens LGT mistet alle sine betydelige kunder, led kritiske tap og kastet hele Liechtenstein i en alvorlig økonomisk og diplomatisk krise. Du trenger ikke å gå langt for veldig ferske eksempler heller - i begynnelsen av 2011 anerkjente en slik finansgigant som Bank of America det faktum at de lekker kundedata. Som et resultat av falske aktiviteter, lekket informasjon fra banken med navn, adresser, personnummer, telefonnummer, bankkonto og førerkortnummer, adresser e-post, PIN-koder og andre personlige data fra bidragsytere. Det vil neppe være mulig å nøyaktig bestemme den reelle skalaen for bankens tap, hvis bare beløpet på "mer enn $ 10 millioner" ble offisielt kunngjort. Årsaken til datalekkasjen er handlinger fra en innsider som overførte informasjon til en organisert kriminell gruppe. Imidlertid, under trusselen om insiderangrep, ikke bare banker og fond, vil det være nok å huske en rekke høyprofilerte skandaler knyttet til publisering av konfidensielle data på WikiLeaks-ressursen - ifølge eksperter ble en god mengde informasjon innhentet nettopp gjennom innsidere.

Livsprosa

Utilsiktet skade, lekkasje eller tap av konfidensielle bedriftsdata er en mye hyppigere og prosaisk ting enn skade forårsaket av innsidere. Uforsiktighet hos personalet og mangel på riktig teknisk støtte for informasjonssikkerhet kan føre til en direkte lekkasje av bedriftshemmeligheter. Slik uaktsomhet medfører ikke bare alvorlige tap for budsjettet og selskapets omdømme, men kan også forårsake utbredt offentlig uenighet. Å bryte fri, klassifisert informasjon blir eiendommen til ikke en smal krets av inntrengere, men for hele informasjonsområdet - lekkasjen blir diskutert på Internett, på TV, i pressen. La oss huske den høye skandalen med publiseringen av SMS-meldinger fra den største russiske mobiloperatøren Megafon. På grunn av uforsiktighet av teknisk personell ble SMS-meldinger indeksert av søkemotorer på Internett, og korrespondanse fra abonnenter som inneholder informasjon av både personlig og forretningsmessig art kom inn i nettverket. Nyeste sak: publisering av personlige kundedata Pensjonskassen Russland. En feil fra representanter for et av regionskontorene i fondet førte til indeksering personlig informasjon 600 personer - navn, registreringsnummer, detaljerte mengder av PFR-klienters besparelser kan leses av enhver Internett-bruker.

En veldig vanlig årsak til lekkasje av konfidensielle data gjennom uaktsomhet er knyttet til den daglige rotasjonen av dokumenter i selskapet. For eksempel kan en ansatt kopiere en fil som inneholder klassifiserte data til en bærbar datamaskin, USB-pinne eller PDA for å jobbe med data utenfor kontoret. Informasjon kan også komme til en filhostingtjeneste eller den ansattes personlige post. I slike situasjoner er dataene helt forsvarsløse for inntrengere som kan dra nytte av en utilsiktet lekkasje.

Gull rustning eller kropps rustning?

For å beskytte mot datalekkasje i informasjonssikkerhetsbransjen, opprettes forskjelligesystemer, tradisjonelt betegnet med forkortelsen DLP fra engelsk. Forebygging av datalekkasje ("forebygging av datalekkasje"). Som regel er dette de mest komplekse programvaresystemene som har et bredt spekter av funksjonalitet for å forhindre ondsinnet eller utilsiktet lekkasje av klassifisert informasjon. Et trekk ved slike systemer er at det kreves en strengt feilsøkt struktur for den interne sirkulasjonen av informasjon og dokumenter for korrekt drift, siden analysen av sikkerheten til alle handlinger med informasjon er basert på å jobbe med databaser. Dette forklarer de høye kostnadene ved å installere profesjonelle DLP-løsninger: Selv før den direkte implementeringen må klientselskapet kjøpe et databasesystem (vanligvis Oracle eller SQL), bestille en kostbar analyse og revisjon av informasjonsflytstrukturen, utvikle ny policy sikkerhet. En vanlig situasjon er når mer enn 80% av informasjonen i selskapet er ustrukturert, noe som gir en visuell ide om omfanget av de forberedende aktivitetene. Selvsagt koster selve DLP-systemet også mye penger. Det er ikke rart at et profesjonelt DLP-system bare har råd store selskapervillig til å bruke millioner på organisasjonens informasjonssikkerhet.

Men hva skal små og mellomstore bedrifter gjøre som trenger å gi forretningsinformasjonssikkerhet, men det er ingen midler og muligheter for å implementere et profesjonelt DLP-system? Det viktigste for en bedriftsleder eller sikkerhetsansvarlig å finne ut hvilken informasjon du skal beskytte og hvilke parter informasjonsaktiviteter underlegge ansatte kontroll. I russisk virksomhet hersker fremdeles oppfatningen at absolutt alt må beskyttes, uten å klassifisere informasjon og beregne effektiviteten av beskyttelsesmidler. Med denne tilnærmingen er det ganske åpenbart at å ha lært hvor mye utgiftene til bedriftsinformasjonssikkerhet, vipper sjefen for en liten og mellomstor bedrift med hånden og håper å "kanskje".

Eksisterer alternative måter beskyttelse som ikke påvirker databaser og den eksisterende informasjonssyklusen, men som gir pålitelig beskyttelse mot inntrengere og uaktsomhet fra de ansatte. Dette er fleksible modulsystemer som fungerer sømløst med andre sikkerhetsverktøy, både maskinvare og programvare (for eksempel antivirusprogramvare). Et godt designet sikkerhetssystem gir veldig pålitelig beskyttelse mot både eksterne og interne trusler, og gir en ideell balanse mellom pris og funksjonalitet. Ifølge eksperter fra en russisk utvikler av informasjonssikkerhetssystemer SafenSoft, den optimale kombinasjonen av elementer for beskyttelse mot eksterne trusler (for eksempel HIPS for forebygging av inntrenging, pluss en antivirusskanner) med verktøy for overvåking og kontroll av bruker- og applikasjonstilgang til individuelle informasjonssektorer. Med denne tilnærmingen er hele nettverksstrukturen i organisasjonen fullstendig beskyttet mot mulig hacking eller virusinfeksjon, og middelene til å overvåke og overvåke personellens handlinger når de arbeider med informasjon, kan effektivt forhindre datalekkasjer. I nærvær av alt nødvendig arsenal av beskyttelsesutstyr er kostnadene for modulære systemer ti ganger mindre enn komplekse DLP-løsninger og krever ingen kostnader for foreløpig analyse og tilpasning av selskapets informasjonsstruktur.

Så, la oss oppsummere. Trusler bedriftsinformasjonssikkerhet er helt ekte, de kan ikke undervurderes. I tillegg til å motvirke eksterne trusler, bør det tas særlig hensyn til interne trusler. Det er viktig å huske at lekkasjer av bedriftshemmeligheter ikke bare skjer med ondsinnet hensikt - som regel er årsaken deres grunnleggende uaktsomhet og uforsiktighet hos den ansatte. Når du velger et beskyttelsesmiddel, trenger du ikke prøve å dekke alle tenkelige og utenkelige trusler, det er rett og slett ikke nok penger og krefter til dette. Bygg et pålitelig modulært sikkerhetssystem som er lukket fra risikoen for inntrenging utenfra og som lar deg kontrollere og overvåke informasjonsflyten i selskapet.

Her kan det selvfølgelig være en todelt holdning ... Kanskje det bør avklares - sannsynligheten for at en ansatt som er fortrolig med hemmelighetene til foretaket vil slå sammen informasjon på siden, bør være minimal. Og dette er også en del av IS-konseptet.
Et interessant faktum er at en informativ landsknecht kan skifte eier som en profesjonell. Etikk og materiell side er ikke alltid kompatible. Dessuten er en ting når det gjelder sikkerhet i landet, og en annen er når en person beskytter et abstrakt enhet, som ikke er et faktum at det ikke vil bli kastet under tanken. Jeg observerte også slike tilfeller ... Anstendige og respekterte mennesker havnet noen ganger i ... (vel, i en sølepytt eller noe - hvordan kan jeg si det forsiktig?). Men! Det er en familie bak dem! Og så avgjøres spørsmålet om prioriteten til det mest glatte konseptet - "gjeld" - hvem skylder mer - til en familie eller en bedrift? Bør familien lide på grunn av virksomheten? Og dette er grunnen til ødeleggelsen av mange familier og melankoli i barnas øyne - "... og jeg husker at dette er hvordan vi med mappen! ..." Jeg dramatiserer ikke - jeg husker de tidene som var noe tidligere og sammenligner dem med fremtidens prognoser måneder og år. Jeg synes det er verdt å trekke paralleller - en økning i nivået av kriminalitet, medvetenhet, utdannelse av informasjonssabotører osv.
Derfor reiste Denis faktisk ekstremt viktig temasom eskalerte til en diskusjon av dypere sikkerhetsspørsmål.
Denne uken skulle boken min, "The Theory of Security", publiseres i en prøveperiode, kunngjøringene fra noen kapitler som vi publiserte i "Personnel X-ray" - http://www.absg.ru/test - hvor jeg vurderer spørsmålene om informasjonskrig, motstand mot sikkerhetskonsepter, viktigheten av personligheter i sikkerhetssystemer osv. Dessverre, i henhold til vilkårene til forlaget, har jeg ikke brukt denne boken på en viss tid, så jeg vil be om tillatelse til å legge minst ett kapittel fullt ut for gjennomgang og vurdering av våre respekterte kolleger.
Alexandru T:
"Selv om begrepet profesjonell etikk ikke er en tom setning for meg:
Alexander! Det er faktisk veldig hyggelig å vite at det er mennesker som kan betrakte seg selv som en viss kaste. En kaste av uforgjengelige mennesker. Denne kvaliteten bør best kombineres med begrepene rettferdighet og moral.
Hvis kjære kolleger ikke anser det som et arbeid - se 2 lenker -
http://train.absg.ru/?p\u003d19 - en moralsk kode som vi foreslår å overholde for alle borgere og i det minste overholde dens grunnleggende prinsipper, analysere deres handlinger fra et moralsk synspunkt. I tillegg til
http://www.absg.ru/5mln i seksjonen av multimediaversjoner - Jeg tok meg friheten til å kommentere menneskerettighetserklæringen og grunnloven. Dessverre finner jeg ikke tekstversjonen på noen måte bortsett fra i magasinet.
Beklager at jeg kan være litt utenfor emnet - bare av en eller annen grunn ble noe i hjertet mitt berørt av uttrykket om profesjonell etikk ... Hvis du ser tilbake - ... men hva kan jeg si - det er gull verdt nå og akkurat som korn av jorden er spredt som gyllen sand i tarmene! ..

Ingenting gis til en bedrift så billig eller så dyrt som feil i systemet for å beskytte bedriftsinformasjon. Bedre å lære av andres sikkerhetsfeil.

Nettangrep og DLP-systemer

I 2010 en ansatt HSBC- bank , inkludert i de femti mest pålitelige bankene i verden, etter avskjedigelse, tok han med seg detaljene til 15 tusen kunder (hovedsakelig fra Sveits og Frankrike). Dette kostet banken 94 millioner dollar for å erstatte et ineffektivt sikkerhetssystem.

Mye mer skade ble forårsaket til respektable borgere av nettkriminelle som hacket Twitter-regnskap Associated Press... Innbruddstyven kvitret kort: "To eksplosjoner i Det hvite hus, Barack Obama ble såret." Indeks Dow jones falt 150 poeng, mens blå sjetonger reduserte den totale kapitaliseringen med 200 milliarder dollar. Etter at nektelsen dukket opp, stoppet panikken og indeksen kom tilbake til sin forrige verdi. Men de som skyndte seg for å dumpe aksjer til fallende priser, var ganske mye utbrent. Ansvaret for innbruddet ble hevdet av en viss "Syrian Electronic Army". Man kan imidlertid ikke si med sikkerhet at det ikke var en rent økonomisk sabotasje. Timingen var for presis: umiddelbart etter terrorangrepet mot Boston Marathon.

På World Economic Forum For første gang i historien ble cyberangrep også kåret til den globale risikoen for verdensøkonomien, som korrupsjon, demografisk krise og uttømming av naturressurser. Trusler som venter på både selskaper og offentlige etater kan være både eksterne og interne. Faktisk er nettangrep en ekstern trussel. Interne trusler er ikke nødvendigvis et resultat av ondsinnede hensikter. Ganske lojal, men inkompetent innen IT-ansatte, kan ved et uhell starte en investering i e-post et ondsinnet program, feilaktig slette ønsket mappe, vandre inn på et nettsted fullt av trojanere. Som et resultat kan informasjon som er viktig for selskapet, enten forsvinne sporløst, eller falle i hendene på konkurrentene eller noen "krigere for rettferdighet" besatt av ideen om å redde menneskeheten fra globalisme og andre plager av kapitalisme, totalitarisme osv. Statistikk viser at selskaper lider mest skade av eget personell.

Problemet med datasikkerhet oppstod så snart det amerikanske selskapet Eckert-Mauchly Computer Corporation i 1951 ga den første serielle datamaskinen ut UNIVAC I... I lang tid var dette problemet mer av teoretisk art. Alt endret seg etter oppfinnelsen av Internett og den skredlignende veksten av World Wide Web.

Det tok en helt ny industri for å motvirke nettkriminalitet. Hvert år russisk og utenlandske selskaper frigjøre flere og flere antivirusprogrammer, kryptografiske programmer, produkter som forhindrer phishing og ddos-angrep, etc. Programmer forbedres stadig, nye varianter dukker opp. Spesielt relativt nylig kom informasjonssikkerhetsprodukter inn på markedet DLP-systemer ( Forebygging av datalekkasje), og forhindrer informasjonslekkasje fra bedriftsnettverk.

Et komplett og fullt funksjonelt DLP-system har følgende funksjoner:

• total og konstant kontroll av alle kanaler for potensiell informasjonslekkasje;
• analyse av all trafikk som forlater bedriftens nettverk for tilstedeværelse av konfidensiell informasjon;
• blokkering av overføring av konfidensiell informasjon, som ikke bare betyr bedriftshemmelige data, men også støtende uttalelser, uanstendige videoer, samt utsendelser som av en eller annen grunn påvirker bedriftens image negativt;
• blokkering av mottak av uønsket og skadelig informasjon;
• arkivering av oppfanget uautorisert trafikk for å undersøke hendelser.

Det skal bemerkes at DLP-systemer ikke avbryter relevansen av tidligere produktkategorier, som antivirus, kryptografiske programmer, elektroniske låser med høy grad av brukeridentifikasjon, og så videre. Imidlertid har alt dette verktøysettet blitt mer sårbart de siste 2-3 årene. Årsaken til dette er to globale IT-trender: utvidelse av mobile enheter og cloud computing.

Nye sårbarheter

For øyeblikket har russerne omtrent 50 millioner mobile enheter i hendene - smarttelefoner, nettbrett, netbooks, bærbare datamaskiner osv. I år vil tallet øke med ytterligere 12 millioner, og innen 2015 vil overstige 70 millioner. Ifølge prognosen fra det analytiske selskapet International Data Corporation, mobile enheter vil overgå personlige datamaskiner i hyppigheten av internettilgang de neste månedene.

Og alle disse enhetene skaper potensielle sårbarheter både for bedriftsnettverket selv og for den konfidensielle informasjonen som er lagret i det. Skadelig programvare for smarttelefoner som kjører OS, er på flott måte blant hackere Android... Og siden ansatte bruker smarttelefoner på jobben, hjemme og på ferie og i transport, øker sannsynligheten for infeksjon av servere som er en del av bedriftens nettverk dramatisk.

Det er en trussel av et annet slag. Det er minst tre kjente tilfeller der enten juksere eller overarbeidede britiske motintelligensoffiserer MI-5 mistet sine bærbare datamaskiner med klassifisert informasjon de mest upassende stedene - i T-banen, taxi, kafé. Og du ser at en smarttelefon er mye lettere å miste enn en bærbar datamaskin.

Det nytter ikke å kjempe mot "total mobilisering" av kontoret. Og det er ikke lønnsomt: Tross smarttelefoner og nettbrett kan ansatte tross alt jobbe hjemme eller på ferie. I følge Kaspersky Lab, nå er det strengt forbudt å bruke mobile enheter på jobben for bare en fjerdedel av de ansatte i alle selskaper. 34% av smarttelefoneiere har full tilgang til bedriftens ressurser, 38% - nettbrett, 45% - bærbare datamaskiner. For resten er det innført begrensninger for ulike tilgangsnivåer.

Hvordan sikre informasjonssikkerhet i tiden mobilt internett og cloud computing? Dette er ingen enkel oppgave. Tross alt kjører arbeidsstasjoner og servere til bedriftsnettverk under samme operativsystem ( Windows eller Unix), deres sikkerhet støttes av innebygde midler i systemet. Og mobile enheter bruker ikke bare egne operativsystemer, men har heller ikke effektive beskyttelsesmidler fordi de ble oppfattet som enheter for personlig og ikke bedriftens bruk. Situasjonen forverres av det faktum at det er umulig å kontrollere plasseringen til den mobile enheten og kilden til forbindelsen, så vel som hvem som styrer den, ved hjelp av organisatoriske metoder.

Disse problemene løses som regel ved programvare ved å styrke beskyttelseskretsen til systemet, tilpasse bedriftens sikkerhetssystem til hele variasjonen av mobile enheter og installere de nødvendige beskyttelsesapplikasjonene på dem. Imidlertid er det også mulig å gi de ansatte bedriftens sikre nettbrett og smarttelefoner.

Innenlandsk produsent av datasikkerhetsprodukter "Sikkerhetskode" ga ut et nettbrett "Kontinent T-10"kjører Android 4 og utstyrt med alle nødvendige verktøy for sikker fjernstyring av både nettbrettet og bedriftssystemapplikasjoner som det kobles til via en sikker gateway. Denne mobile enheten er fullstendig integrert i bedriftens sikkerhetssystem og krever ingen ekstra tilpasningstiltak.

Cloud computing gir også alvorlige problemer. Russisk marked skytjenester har allerede overskredet en årlig omsetning på $ 150 millioner og vokser årlig med 50%. Samtidig faller det meste av markedet på private skyer, det vil si skapt i selskapet. Private skyer skiller seg betydelig fra stive bedriftsnettverk når det gjelder informasjonssikkerhet. Og de krever sine egne beskyttelsesmidler.

Av linjal

Det russiske informasjonssikkerhetsmarkedet er i rask utvikling og har allerede overskredet volumet på $ 600 millioner. 15% av markedet kontrolleres av de fem største aktørene: Asteros, Krok, Informzashita, Leta og Jet Infosystems... Når det gjelder verdensmarkedet, med en årlig vekst på 30%, nærmet volumet $ 1 milliard. Blant de internasjonale lederne er slike giganter som Symantec, McAffee, TrendMicro, Check Point, Cisco Systems.

Både russiske og vestlige produsenter, som løser vanlige problemer, produserer lignende produkter. For å garantere beskyttelsen av informasjon fra hele spekteret av eksisterende trusler, kreves det en integrert tilnærming som tar hensyn til alle aspekter av funksjonen til bedriftsnettverk, ikke bare teknisk, men også psykologisk, relatert til den menneskelige faktoren. De beste resultatene oppnås med hele linjen med informasjonssikkerhetsprodukter: antivirus, brannmur, antispam, kryptografisk, system for forebygging av datatap, etc. Et enkelt brudd i et systems sikkerhetssløyfe kan forårsake uforutsigbar skade.

Men hver enkelt innenlandske produsent tilbyr ikke hele produktlinjen. En situasjon oppstår, kalt “zoo of systems”, når bruk av forskjellige produkter med forskjellige ideologier krever etablering av komplekse kontrollordninger. I unntakstilfeller kan dette føre til systemfeil.

Derfor, når du velger et sikkerhetssystem, bør du ikke bare lede av fullstendigheten av funksjonalitet og skalerbarhet, men også av kontrollerbarhet, som avhenger av enhet i konseptet med alle dets komponenter. Blant russiske leverandører oppfylles dette kravet for eksempel av Security Code-selskapet, som har den bredeste produktlinjen. Produktene, installert ved hjelp av en "sømløs" teknologi, lar deg raskt spore hendelser fra et enkelt kontrollpunkt for alle beskyttelsessystemer.

Introduksjon

Bedriftsledere må forstå viktigheten av informasjonssikkerhet, lære å forutsi og håndtere trender på dette området.

Dagens virksomhet kan ikke eksistere uten informasjonsteknologi. Det er kjent at omtrent 70% av det globale totale nasjonale produktet på en eller annen måte avhenger av informasjonen som er lagret i informasjonssystemer... Den utbredte introduksjonen av datamaskiner har skapt ikke bare kjente bekvemmeligheter, men også problemer, hvor det alvorligste er problemet med informasjonssikkerhet.

Sammen med kontrollelementer for datamaskiner og datanettverk, følger standarden stor vekt på utvikling av sikkerhetspolitikk, arbeid med personell (ansettelse, opplæring, oppsigelse fra jobb), og sikrer kontinuitet produksjonsprosess, lovlige krav.

Utvilsomt er dette emnet på semesteroppgaven veldig relevant i moderne forhold.

Kursobjekt: informasjonssikkerhet profesjonell aktivitet organisasjoner.

Forskningsfag: informasjonssikkerhet.

I semesteroppgave det er planlagt å lage et utkast til styringsløsning for organisering av informasjonssikkerhet på grunnlag av en reell organisasjon.

Kapittel 1. Informasjonssikkerhet ved profesjonell aktivitet

Informasjonssikkerhet er et relativt nytt område for spesialister. Hovedmålene for slike aktiviteter er:

Sikring av beskyttelse mot eksterne og interne trusler innen dannelse, distribusjon og bruk av informasjonsressurser;

Forebygging av brudd på borgernes og organisasjoners rettigheter til å opprettholde konfidensialitet og hemmelighold av informasjon;

Å gi forhold som forhindrer bevisst forvrengning eller skjuling av informasjon i mangel av juridisk grunnlag for dette.

Kundene til spesialister innen dette feltet er:

Føderale organer statsmakt og ledelse av Den russiske føderasjonen;

Statlige myndigheter for de russiske føderasjonens konstituerende enheter;

Statlige institusjoner, organisasjoner og bedrifter;

Forsvarsindustri;

Lokale myndigheter;

Ikke-statlige institusjoner, organisasjoner og bedrifter
eiendom.

Utseendet i det gratis, om enn ulovlige salget, av kundedatabasen til mobilselskapet MTS, tvinger oss igjen og igjen til å løse problemet med datasikkerhet. Det ser ut til at dette emnet er uuttømmelig. Dens relevans er jo større, desto høyere nivå av datastyring av kommersielle firmaer og ideelle organisasjoner... Høy teknologi, som spiller en revolusjonerende rolle i utviklingen av næringslivet og praktisk talt alle andre aspekter av det moderne samfunnet, gjør brukerne deres veldig sårbare sett fra informasjonssynet og til slutt økonomisk sikkerhet.

Dette er et problem ikke bare i Russland, men i de fleste land i verden, først og fremst vestlige, selv om det er lover som begrenser tilgangen til personlig informasjon og stiller strenge krav til lagring. Markedene tilbyr forskjellige systemer for å beskytte datanettverk. Men hvordan du kan beskytte deg mot din egen "femte kolonne" - useriøse, illojale eller rett og slett uforsiktige ansatte som har tilgang til klassifisert informasjon? Skandaløs lekkasje kundebase MTS-data kunne tilsynelatende ikke ha skjedd uten samarbeid eller kriminell uaktsomhet fra selskapets ansatte.

Det ser ut til at mange, om ikke de fleste, gründere rett og slett ikke forstår alvoret i problemet. Selv i utviklede land markedsøkonomiI følge noen studier har 80% av selskapene ikke et gjennomtenkt, planlagt lagringsbeskyttelsessystem, operative databaser. Hva kan vi si om oss, som er vant til å stole på den berømte "kanskje".

Derfor er det ikke ubrukelig å henvende seg til temaet farene ved konfidensiell informasjonslekkasje, å snakke om tiltak for å redusere slike risikoer. En publikasjon i Legal Times (21. oktober 2002), en publikasjon dedikert til juridiske spørsmål (Mark M. Martin, Evan Wagner, "Sårbarhet og informasjonssikkerhet") vil hjelpe oss med dette. Forfatterne lister opp de mest typiske typene og metodene for informasjonstrusler. Hvilke?

Deklassifisering og tyveri av forretningshemmeligheter. Alt er mer eller mindre klart her. Klassisk, går inn i antikkens historie, økonomisk spionasje. Mens tidligere hemmeligheter ble oppbevart på hemmelige steder, i store safer, under pålitelig fysisk og (senere) elektronisk beskyttelse, har mange ansatte i dag tilgang til kontordatabaser, ofte med veldig sensitiv informasjon, for eksempel de samme kundedataene.

Formidling av kompromitterende materialer. Her mener forfatterne forsettlig eller utilsiktet bruk av ansatte i e-post av slik informasjon som kaster en skygge for omdømmet til selskapet. For eksempel gjenspeiles navnet på selskapet i korrespondentens domene som innrømmer ærekrenkelse, krenkelser, kort sagt, alt som kan kompromittere organisasjonen i hans brev.

Angrep på åndsverk... Det er viktig å ikke glemme at ethvert intellektuelt produkt produsert i en organisasjon tilhører organisasjonen og ikke kan brukes av ansatte (inkludert generatorer og forfattere av intellektuelle verdier) bortsett fra organisasjonens interesser. I mellomtiden, i Russland ved denne anledningen, oppstår det ofte konflikter mellom organisasjoner og ansatte, og hevder det intellektuelle produktet de har skapt, og bruker det i deres personlige interesser, til skade for organisasjonen. Dette skjer ofte på grunn av den vage juridiske situasjonen i virksomheten når den er i arbeidskontrakt Det er ingen klart angitte normer og regler som beskriver ansattes rettigheter og plikter.

Formidling (ofte utilsiktet) av innsideinformasjon som ikke er hemmelig, men som kan være nyttig for konkurrenter. For eksempel om nye ledige stillinger i forbindelse med utvidelse av virksomheten, forretningsreiser og forhandlinger.

Besøk til konkurrenters nettsteder. Nå bruker flere og flere selskaper programmer på sine åpne nettsteder (spesielt de som er designet for CRM), som lar dem gjenkjenne besøkende og spore rutene sine i detalj, registrere tid og varighet for visning av sidene. Det er klart at hvis besøket ditt på en konkurrentens nettsted er kjent i detalj for operatøren, så er det ikke vanskelig for sistnevnte å konkludere med hva som interesserer deg. Dette er ikke en oppfordring til å forlate en kritisk kanal med konkurransedyktig informasjon. Konkurransens nettsteder har vært og er fortsatt en verdifull kilde for analyse og prognoser. Men når du besøker nettsteder, må du huske at du setter spor, og at du også blir overvåket.

Misbruk av kontorkommunikasjon for personlige formål (å lytte, se på musikk og annet innhold som ikke er relatert til arbeid, lasting av en kontorcomputer) utgjør ikke en direkte trussel mot informasjonssikkerheten, men skaper ekstra belastning på bedriftsnettverket, reduserer effektiviteten og forstyrrer kollegers arbeid.

Og til slutt eksterne trusler - uautoriserte inntrengninger osv. Dette er et tema for en annen seriøs samtale.

Hvordan kan du beskytte deg mot interne trusler? 100% garantert mot skader som kan være forårsaket egne ansatte, eksisterer bare ikke. Dette er en menneskelig faktor som ikke gir seg fullstendig og ubetinget kontroll. Samtidig gir forfatterne nevnt ovenfor nyttige råd - utvikle og implementere en tydelig formulert kommunikasjonspolicy (eller informasjon) i selskapet. En slik policy bør trekke en klar linje mellom hva som er tillatt og hva som ikke er tillatt i bruk av kontorkommunikasjon. Å krysse grensen fører til straff. Det bør være et system for overvåking av hvem som bruker datanettverk og hvordan. Reglene som er vedtatt i selskapet må overholde både nasjonale og internasjonalt anerkjente standarder for beskyttelse av statlige og kommersielle hemmeligheter, personlig, privat informasjon.

Kapittel 2. Informasjonssikkerhet

profesjonell aktivitet i LLC "Laspi"

2.1. en kort beskrivelse av LLC "Laspi"

LLC "Laspi" ble etablert i 1995 som et representasjonskontor for et tsjekkisk selskap i Russland. Selskapet er engasjert i levering av tsjekkisk utstyr og rekvisita for produksjon av forskjellige betongprodukter (fra belegningsplater og slutter med gjerder, blomsterpotter osv.). Utstyret er av høy kvalitet og rimelig pris. Kunder som kontakter Samara-kontoret er organisasjoner fra forskjellige byer i Russland og SNG (Kazan, Ufa, Izhevsk, Moskva, Nizjnij Novgorod, etc.). Naturligvis krever en slik stor aktivitet spesiell oppmerksomhet om informasjonssikkerhet i selskapet.

Informasjonssikkerhet i dag overlater mye å være ønsket. Ulike dokumenter (tekniske, økonomiske) er offentlig tilgjengelige, noe som gjør at nesten alle ansatte i selskapet (fra grunnleggeren til sjåføren) kan lese det uten hindringer.

Kritiske poster oppbevares i safe. Bare regissøren og hans sekretær har nøklene til safen. Men her spiller den såkalte menneskelige faktoren en viktig rolle. Ofte glemmes nøklene på kontoret på bordet, og safe kan åpnes selv av en rengjøringsdame.

Økonomiske dokumenter (rapporter, fakturaer, fakturaer, fakturaer osv.) Er ordnet i mapper og hyller i et skap som ikke kan låses.

Ansatte signerer ikke avtaler om ikke-avsløring for informasjon som er forretningshemmeligheter når de søker på en jobb, noe som ikke forbyr dem å distribuere slik informasjon.

Rekrutteringen av ansatte utføres gjennom et intervju, som består av to trinn: 1. kommunikasjon med nærmeste veileder (hvor ferdighetene og evnene til en potensiell ansatt blir avslørt) 2. kommunikasjon med grunnleggeren (det er mer personlig og avslutningen av en slik dialog kan være enten "vi vil jobbe sammen" eller " vi vil ikke jobbe sammen ").

Informasjonssikkerhet for virksomheten Andrianov V.V.

1.3. Forretningsinformasjonssikkerhetsmodell