Bir sistem kimi biznesin informasiya təhlükəsizliyi. Biznesin Davamlılığında İnformasiya Təhlükəsizliyinin Rolu

İSTİFADƏLƏR

1. Xovanskova V.S., Rumyantsev K.E., Xovanskov S.A. Kompüter şəbəkələrində paylanmış hesablamaların məhsuldarlığının qorunmasının təkmilləşdirilməsi metodu.İzvestiya SFU. Texniki elm. - 2012. - No 4 (129). - S. 102-107.

2. Xovanskov S.A., Norkin O.R. Paylanmış şəbəkə hesablamalarının məhsuldarlığının artırılması alqoritmi // İnformasiyalaşdırma və rabitə. - 2011. - No 3. - S. 96-98.

3. Litvinenko V.A., Xovanskov S.A. Şəbəkədə paylanmış hesablamaların təşkili ilə problemlərin həlli.İzvestiya SFU. Texniki elm. - 2008. - No 3 (80). - S. 16-21.

4. Xovanskov S.A., Norkin O.R. Mərkəzləşdirilməmiş hesablama sisteminin konfiqurasiyasının alqoritmik optimallaşdırılması // Telekommunikasiya. - 2012. - No 11. - S. 2-5.

5. Xovanskov S.A. Əlaqələrin iyerarxik strukturu ilə paylanmış hesablamaların təşkili // Terrorizm təhlükələrinə qarşı informasiya. - 2007. - No 9. - S. 170-178.

6. Litvinenko V.A., Xovanskov S.A. Çox agentli sistem əsasında problemin həlli üçün vaxtın azaldılması üçün kompüter şəbəkəsinin parametrlərinin optimallaşdırılması alqoritmi.İzvestiya SFU. Texniki elm. - 2007. - No 2 (77). - S. 186-190.

7. Xovanskov S.A., Litvinenko V.A., Norkin O.R. İzləmə məsələlərinin həlli üçün paylanmış hesablamaların təşkili.İzvestiya SFU. Texniki elm. - 2010.

- № 12 (113). - S. 48-55.

8. Kalaşnikov V.A., Trunov İ.L., Xovanskov S.A. Çoxprosessorlu kompüter sistemində paralel yerləşdirmə alqoritmi.İzvestiya SFU. Texniki elm.

1997. - No 3 (6). - S. 181-184.

Rumyantsev Konstantin Evgenievich - "Cənub Federal Universiteti" Ali Peşəkar Təhsil Federal Dövlət Muxtar Təhsil Təşkilatı; e-poçt: [email protected]; 347900, Taqanroq, küç. Çexov, 2; tel.: 88634328725; IBTCS şöbəsi; baş şöbə; Texnika elmləri doktoru; professor,

Xovanskov Sergey Andreeviç - e-poçt: [email protected]; tel.: 88634642530; İBTKS şöbəsi; PhD; dosent.

Xovanskova Vera Sergeevna - e-poçt: [email protected]; tel.: 88634676616; tələbə.

Rumyantsev Konstantin Evgeneviç - "Cənub Federal Universiteti" Ali Peşə Təhsili Federal Dövlət Muxtariyyəti Təhsil Təşkilatı; e-poçt: [email protected]; 2, Çexov küçəsi, Taqanroq, 347900, Rusiya; telefon: +78634328725; İBTKS şöbəsi; şöbə müdiri; dr. eng. sc.; professor.

Xovanskov Sergey Andreeviç - e-poçt: [email protected]; telefon: 88634642530; ISTCN şöbəsi; cand. eng. sc.; Dosent.

Xovanskova Vera Sergeevna - e-poçt: [email protected]; telefon: +78634676616; tələbə.

E.N. Efimov, G.M. Lapitskaya

İNFORMASİYA TƏHLÜKƏSİZLİYİ VƏ BİZNES PROSESLERİ

ŞİRKƏTLƏR

Tədqiqatın məqsədi şirkətin biznes məqsədlərinə çatmaq çərçivəsində informasiya təhlükəsizliyinin yaradılması və mövcud olmasını göstərməkdir. Eyni zamanda, biznes prosesləri şirkətin informasiya təhlükəsizliyinin təşkili üçün əsas məlumat mənbəyidir.

İnformasiya təhlükəsizliyinin idarə edilməsi strategiyasını hazırlayarkən, iyerarxiya təhlili metodundan istifadə edərək əldə edilmiş nəticələrin şərti kəmiyyət qiymətləndirilməsi ilə SWOT təhlilindən istifadə edərək şirkətin vəziyyətinin hərtərəfli diaqnostikası təklif edilmişdir.

Riskin müəyyən edilməsi təhdidlərin əhəmiyyətini qiymətləndirmək və təhlükəsizlik sistemi qurmaq üçün lazımdır. Təhlil göstərdi ki, şirkətin biznes proseslərinin riskləri aşağıdakı kateqoriyalara qruplaşdırılıb: dizayn riskləri, reinjinirinqin riskləri və biznes proseslərindən istifadə prosesində risklər.

GRC sinif sistemindən (İdarəetmə, Risk) istifadə etməklə şirkətin informasiya təhlükəsizliyi proseslərinin avtomatlaşdırılması məqsədəuyğundur. idarəetmə və Uyğunluq), bu gün informasiya texnologiyaları və informasiya təhlükəsizliyini idarə etməyin effektiv yollarından biri hesab olunur. Eyni zamanda, GRC sisteminin şirkətin biznes proseslərinin idarə edilməsi üçün nəzərdə tutulmuş Biznes Proseslərinin İdarə Edilməsi sinif sistemləri ilə inteqrasiyası məqsədəuyğundur.

Biznes məqsədləri; İnformasiya təhlükəsizliyi; biznes prosesləri.

E.N. Efimov, G.M. Lapitskaya

ŞİRKƏTİN İNFORMASİYA TƏHLÜKƏSİZLİYİ VƏ İŞ PROSESLERİ

Tədqiqatın məqsədi şirkətlərin biznes-tam nailiyyətləri çərçivəsində informasiya təhlükəsizliyinin yaradılması və mövcud olması lazım olduğunu göstərməkdir. Biznes-proseslərdə şirkətlərə informasiya təhlükəsizliyinin təşkili ilkin olaraq verilir.

İnformasiya təhlükəsizliyi idarəetmə strategiyalarının işlənib hazırlanması zamanı təhlil iyerarxiyası üsulu ilə əldə edilən şərti kəmiyyət qiymətləndirməsi nəticəsində SWOT-analiz vasitəsilə şirkətlərə vəziyyətin kompleks diaqnostikası təklif olunur.

Təhlükəsizliyin və sistemin binalarının dəyərinin qiymətləndirilməsi üçün tələb olunan identifikasiya riski. Təhlil göstərdi ki, biznes-proseslərin şirkətlər üçün riskləri aşağıdakı kateqoriyalarda qruplaşdırılıb: layihələndirmə zamanı risklər, reinjinirinqdə risklər və biznes-proseslərdən istifadə prosesində risklər.

Bu gün informasiya texnologiyalarının və informasiya təhlükəsizliyinin idarə edilməsinin səmərəli üsullarından biri hesab olunan GRC (İdarəetmə, Risklərin idarə edilməsi və Uyğunluq) sinif sistemləri vasitəsilə şirkətlər üçün təhlükəsizliyə uyğun prosesləri avtomatlaşdırın. Systems GRC, şirkətlər üçün biznes prosesini idarə etmək üçün nəzərdə tutulmuş Biznes Proseslərinin İdarəetmə sinfi sistemi ilə zəruri kompleksdir.

iş məqsədləri; təhlükəsizlik məlumatları; biznes prosesləri.

Problemin formalaşdırılması. İnformasiya təhlükəsizliyi şirkətlərin biznes məqsədlərinə çatmaq çərçivəsində yaradılmalı və mövcud olmalıdır. Müasir bir şirkətin demək olar ki, bütün biznes proseslərini dəstəkləmək üçün istifadə olunan müasir informasiya texnologiyalarından (İT) istifadə etmədən səmərəli biznes mümkün deyil. Bununla belə, bu gün tendensiya göz qabağındadır: informasiya təhlükəsizliyi konkret şəbəkələrin, serverlərin, informasiya resurslarının qorunmasından İT tərəfindən dəstəklənən şirkətlərin biznes proseslərinin təhlükəsizliyinə çevrilir. Bu, şirkətin təhlükəsizliyinin təmin edilməsinin bir-birindən asılı olan iki sahəsinin mövcudluğunu nəzərdə tutur: bir tərəfdən, biznes proseslərinin işləməsi baxımından biznesin səmərəli fəaliyyəti; digər tərəfdən, dəstəkləyən İT infrastrukturunun normal işləməsi. Hazırda bu konkret kontekstdə informasiya təhlükəsizliyinə vahid yanaşma mövcud deyil.

Bir şirkətin əsas təhlükəsizlik problemlərini başa düşmək üçün xarici və daxili biznes mühitinin hərtərəfli təhlilini aparmaq, həqiqətən vacib olan komponentləri vurğulamaq, hər bir komponent üçün məlumat toplamaq və izləmək və real fəaliyyətin qiymətləndirilməsinə əsaslanmaq məsləhətdir. vəziyyət, şirkətin vəziyyətini və bu vəziyyətin səbəblərini öyrənin. Şirkətin vəziyyətinin dəqiq, hərtərəfli, vaxtında diaqnostikası təhlükəsiz fəaliyyətlərin idarə edilməsi strategiyasının hazırlanmasında ilk mərhələdir.

Şirkətin strateji mövqeyini qiymətləndirməyin ən ümumi üsulu SWOT təhlilidir1. SWOT təhlili matrisi aşağıdakı dəst kimi təqdim edilə bilər:

SWOT = ,

burada St (Güclü tərəflər) təşkilati güclü tərəflər toplusudur, St = (St1, St2, ..., Stmt); W (Zəif tərəflər) - təşkilatın zəif tərəflərinin toplusu, W = (W1, W2, ..., Wnw); Op (Opportunities) - təşkilat imkanları toplusu, Op = (Op1, Op2, ., Opnop); Th (Threats) - təşkilat üçün təhlükələr toplusu, Th = (Th1, Th2, ..., Thnth).

Eyni zamanda, güclü St = (St1, St2, ..., Stnst) və zəif W = (W1, W2, ..., Wnw) tərəflərin şirkətin fəaliyyətinin həmin komponentləri olduğunu başa düşmək vacibdir. nəzarət edə bilər və imkanlar Op = (Op1, Op2, ., Opnop) və təhlükələr Th = (Th1, Th2, ..., Thnth) şirkətin nəzarətindən kənarda olan və onun inkişaf prosesinə təsir göstərə bilən amillərdir.

SWOT təhlilinin nəticələri inkişafın bu mərhələsində şirkətin təhlükəsizlik strategiyasını formalaşdırmağa imkan verir. Bu problemi çətin ki rəsmiləşdirmək olar, lakin bu məlumatlar əsasında bir çox təşkilat strategiyaları S = (S1, S2, ., Sn) işlənib hazırlana bilər.

SWOT matrisinin şərti kəmiyyət qiymətləndirilməsi üçün, məsələn, iyerarxiya təhlili metodundan (AHP) istifadə etmək mümkündür. Bu üsul kəmiyyətcə ölçülə bilməyən, lakin eyni zamanda əsaslandırılmış qərarların qəbulu üçün vacib olan amilləri qiymətləndirmək üçün ən effektiv üsul təqdim edir. Bundan əlavə, metod uyğun olmayan mülahizələrlə işləyir və istehlakçıların və ya qərar qəbul edən şəxsin (DM) üstünlüklərinin faydalılıq aksiomlarına uyğun olmasını tələb etmir. AHP mürəkkəb problemlərin öyrənilməsini ardıcıl cütlük müqayisələrin sadə proseduruna endirməyə imkan verir.

Nümunə olaraq, biz telekommunikasiya sənayesində fəaliyyət göstərən müəssisənin (SC Telecom) SWOT təhlilinin nəticələrini nəzərdən keçirdik. şəhər və rayon (məqalə verilmir). AHP-dən istifadə edərək SWOT matrisinin sonrakı qiymətləndirilməsinin variantı Cədvəldə təqdim olunur. bir.

Cədvəl 1

SWOT Matrisinin Qiymətləndirilməsi

St W Op Th Prioritet vektor Normallaşdırılmış vektor

St 1 1 0,33 0,33 0,58 0,10

W 1 1 0,2 0,14 0,41 0,07

Op 3 5 1 0,2 1,32 0,24

Th 3 7 5 1 3.20 0.58

IS Uyğunluq İndeksi = 0,14 və ƏS Davamlılıq Nisbəti = 15,58< 20 % показывают удовлетворительную согласованность оценок ЛПР.

Normallaşdırılmış vektorun dəyərləri daxilindədir, buna görə ekspert hesablamalarının nəticələri aşağıdakı kimi şərh edilə bilər: təşkilatın "təhlükələri" əhəmiyyətlidir (P = 0,58), təşkilatın problemləri həll etmək üçün "imkanları" qənaətbəxşdir. (Op = 0,24), problemlərin aradan qaldırılması üçün təşkilatın "güclü tərəfləri" orta səviyyədədir (^ = 0,1), təşkilatın "zəif tərəfləri" əhəmiyyətsizdir (^ = 0,07).

1 SWOT dörd ingilis sözünün ilk hərflərini ehtiva edən abbreviaturadır: güc (“güc”), zəiflik (“zəiflik”), imkanlar (“imkanlar”) və təhdidlər (“threats”)

Şirkətin təhlükəsizlik probleminə bu cür baxış onun məqsəd və vəzifələrini, obyektlərini və təhdidlərini dəqiqləşdirməyə, biznes proseslərinin risklərini azaltmaq üçün fəaliyyət planı hazırlamağa və görülən tədbirlərin effektivliyini qiymətləndirməyə imkan verir.

Biznes proseslərinin təhlükəsizliyi nöqteyi-nəzərindən informasiya təhlükəsizliyi tədqiqatının müəyyən xüsusiyyətlərinə görə şirkət ilk növbədə biznes proseslərinin risklərini müəyyən etməlidir. Riskin müəyyən edilməsinin məqsədi şirkətin əhəmiyyətli zərər verə biləcək təhlükələrə məruz qalmasını qiymətləndirməkdir. Risklər haqqında məlumat toplamaq üçün şirkətin biznes proseslərinin təhlili və mövzu üzrə ekspertlər arasında sorğu aparılır. Bu prosesin nəticəsi bütün potensial risklərin təsnif edilmiş siyahısıdır.

Biznes prosesi risklərinin müəyyən edilməsi. Bir iş prosesi transformasiya kimi təqdim edilə bilər:

P (X, X, X, I O) ^ Y, burada P hərəkətlər toplusu formasına malik bir prosesdir P = (Bx, B2, ..., Br); X = (Xx, X2, .. ., X) - biznes prosesinin giriş axınları və onların təchizatçıları; Y = (Yx, Y2,..., Y) - biznes prosesinin və onların istehlakçılarının çıxış axınları; R = (Rx, R2,..., R/) - biznes prosesini yerinə yetirmək üçün istifadə olunan resurslar toplusu (texniki, maddi, informasiya); R = (R1, R2,..., Rp) biznes prosesində həyata keçirilən funksiyaların məcmusudur; I = ( 2b 12,..., 1m) - biznes prosesinin iştirakçılarının və icraçılarının çoxluğu; O = (Ox, O2,..., O) - prosesin sərhədləri və interfeysləri.

Bu tərifdən görmək olar ki, biznes prosesləri şirkətin informasiya təhlükəsizliyinin təşkili üçün əsas məlumat mənbəyidir.

Birincisi, mühafizə obyektlərini müəyyən etmək lazımdır, yəni. nədən və hansı təhlükələrdən qorunmalıdır. Mühafizə obyektlərinə, əlbəttə ki, məlumat, biznes prosesləri və şirkətin maddi resursları daxildir.

Bu gün informasiya təhlükəsizliyi üzrə işin aşkar başlanğıcı şirkət məlumatlarının təsnifatıdır. Təsnifat çox vaxt və pul tələb edən mürəkkəb prosesdir. Təsnifatın effektiv olması üçün onu daim saxlamaq və yeniləmək lazımdır. Təsnifatın məqsədəuyğunluğu ondan ibarətdir ki, o, məlumatın saxlandığı bütün yerləri müəyyən etməyə və qorunmalı olan məlumatları müəyyən etməyə imkan verir. Bu, sayını minimuma endirməyə imkan verir məxfi informasiya. Təsnifat aparılarkən vaxtilə məxfi olan, lakin indi aktuallığını itirmiş sənədlər üzə çıxır. Onlar arxivləşdirilə və ya həmişəlik silinə bilər.

İnformasiya aktivləri (İA) qorunma obyektləri kimi biznes sistemlərində məlumatın bütövlüyünün, mövcudluğunun və tələb olunduqda məxfiliyinin qorunmasını tələb edir. Mümkün təhdidlərin təhlili göstərdi ki, informasiya infrastrukturu biznes proseslərində istifadə olunan məlumatları qorumaq xüsusiyyətinə malik olmalıdır, yəni. kommersiya, mülkiyyət və ya texnoloji məlumatların icazəsiz (qəsdən və ya təsadüfi) alınmasına, dəyişdirilməsinə, məhv edilməsinə və ya istifadəsinə qarşı müdafiəni təmin etmək. Biznes prosesi komponentlərinin mövcudluğunu, habelə onların qarşılıqlı əlaqəsini nəzərə alaraq, potensial təhlükəli vəziyyətlərə aşağıdakılar daxildir: tanışlıq, təhrif və ya məhv etmək məqsədilə avtomatlaşdırma vasitələrində saxlanılan və emal edilən məlumatlara pozucular (proseslərin sahibləri və iştirakçıları deyil) tərəfindən icazəsiz giriş. . Eyni zamanda, giriş nöqtələri prosesin interfeysləri və sərhədləri, həmçinin prosesin funksiyalarının (əməliyyatlarının, prosedurlarının) həyata keçirilməsi üçün zəruri olan məlumatlar ola bilər; informasiyanın rabitə kanalları üzərindən qəbulu (ötürülməsi) zamanı ələ keçirilməsi

(şəbəkə) proses funksiyaları, həmçinin yaddaş daşıyıcılarının oğurlanması yolu ilə; informasiyanın ötürülməsi, saxlanması və emalı zamanı təsadüfi müdaxilələr, texniki (proqram təminatı) vasitələrinin nasazlığı nəticəsində məlumatın məhv edilməsi (dəyişdirilməsi, təhrif edilməsi); mülkiyyətçilər və (və ya) proses iştirakçıları arasından qanun pozucularının iş prosesinə icazəsiz təsir göstərməsi.

Mövzu sahəsinin təhlili göstərdi ki, şirkətin biznes proseslərinin risklərini onların həyat dövrünün bütün əsas mərhələlərində müəyyən etmək məqsədəuyğundur: dizayn, reinjinirininq mərhələlərində və biznes proseslərindən istifadə prosesində.

Biznes proseslərinin dizaynı və reinjinirinqi zamanı risklərin müəyyən edilməsi. Hətta şirkətin əsas biznes proseslərinin ilkin təsviri həm işin səmərəliliyinin yüksəldilməsi üçün nəzərəçarpacaq nəticələr, həm də mümkün itkilər (risklər) gətirir. Bunlar, ilk növbədə, proseslərin layihələndirilməsində səhvlərlə bağlı risklərdir: natamamlıq xətaları (prosesin təsvirində boşluqların olması); uyğunsuzluq səhvləri (prosesin müxtəlif hissələrində informasiya ehtiyatlarından qeyri-adekvat istifadə, məlumatın təhrif qavranılmasına və ya göstərişlərin qeyri-müəyyənliyinə gətirib çıxarır); iyerarxik və ya "irsi" uyğunsuzluq səhvləri (əsas və sonrakı proseslər arasında ziddiyyətin olması). Aydındır ki, başqa növ səhvlərə də yol verilməlidir.

Növbəti risklər seriyası prosesin təsviri metodologiyasındakı səhvlərdən (və ya “.metodologiya – model – qeyd – alətlər” paradiqmasında) yaranır: sistem funksiyalarını göstərərkən; funksiyaların icrasını təmin edən proseslər; funksiyaların icrasını təmin edən məlumatlar və təşkilati strukturlar; funksiyaların icrası zamanı material və informasiya axınları.

Bundan əlavə, prosesin topologiyası arasındakı uyğunsuzluqdan yaranan riskləri qeyd etmək lazımdır ki, bu da prosesin ən başa düşülən axınına nail olmağa imkan vermir, ya işin real vəziyyətini, ya da iş yükünü nəzərə alaraq optimalını əks etdirir. ifaçıların sayı, resursların mövcudluğu və ya digər hallar. Proses topologiyası xətalarının təhlili bir neçə iterasiyada həyata keçirilə bilər. Nəticədə təhlil edilən proses kəskin şəkildə dəyişə bilər. Məsələn, əvvəllər ardıcıl olaraq bir-birinin ardınca yerinə yetirilən funksiyalar paralel olaraq yerinə yetiriləcək. Təbii ki, bu, prosesin məntiqini və alınan nəticəni təhrif etməməlidir.

Biznes proseslərindən istifadə zamanı risklərin müəyyən edilməsi. Əməliyyat riski biznes proseslərinin düzgün yerinə yetirilməməsi, səmərəsiz daxili nəzarət prosedurları, texnoloji nasazlıqlar, personalın icazəsiz hərəkətləri və ya kənar təsirlər nəticəsində birbaşa və ya dolayı itkilər riski kimi müəyyən edilə bilər. Əməliyyat riski bütövlükdə təşkilatın fəaliyyəti üçün əhəmiyyətli olan proseslər, vaxt vahidinə çoxlu sayda əməliyyatlar, mürəkkəb sistem üçün vacibdir. texniki dəstək. Adətən müəyyən edilmiş risk faktorları daxili əməliyyat mühitinin və biznes proseslərinin vəziyyətinin göstəricilərinə - əməliyyatların həcminə, dövriyyəyə, səhv hərəkətlərin faizinə bənzəyir. Əməliyyat risklərinin idarə edilməsi şəffaf və idarə oluna bilən biznes prosesləri qurmaqla həyata keçirilir təşkilati strukturu ekspert biliklərinə əsaslanır.

Biznes proseslərinin əməliyyat risklərinin aradan qaldırılması problemlərini həll etmək üçün arıq istehsal sistemindən istifadə edilə bilər ( Arıq) Toyota İstehsal Sisteminə əsaslanan idarəetmə konsepsiyasıdır. Arıqlığın məqsədi istehsal proseslərində tullantıları müəyyən etmək, təhlil etmək və aradan qaldırmaqdır. Arıq konsepsiyaya uyğun olaraq, biznes proseslərində səkkiz növ itki baş verir: işçilərin potensialından istifadə edilməməsi; itkilər

həddindən artıq istehsaldan; nəqliyyat itkiləri; evlilikdən itkilər, lazımsız israf və dəyişikliklər; inventar saxlama itkiləri; şəxsi heyətin hərəkəti və hərəkəti üzrə itkilər; dayanma itkiləri; həddindən artıq emal nəticəsində itkilər. Bu halda itkilər son istehlakçı üçün məhsul və ya xidmətə əlavə dəyər yaratmadan vaxt və maddi resursların xərcləndiyi əməliyyatlar hesab edilir.

Beləliklə, məsələn, biznes proseslərini həyata keçirən işçilərin qanunsuz hərəkətlərindən, təchizatçılara icazəsiz təsirlərdən, resursların tədarükü həcmi və şərtlərindən qorunmaq lazımdır; biznes proseslərinin həyata keçirilməsi üçün qaydalar, o cümlədən. daxili və xarici interfeyslərin tənzimlənməsi; iş prosesinin texnologiyası və s.

Biznes proseslərinin təsviri, onların modelləşdirilməsi, sonrakı nəzarət və fəaliyyətin təhlili - əməliyyat risklərinin, buna görə də itkilərin aradan qaldırılması üçün daimi və ardıcıl fəaliyyət.

Siz bu gün informasiya texnologiyalarının və informasiya təhlükəsizliyinin idarə olunmasının effektiv üsullarından biri kimi qəbul edilən GRC (Governance, Risk Management and Compliance) sinif sistemlərindən istifadə etməklə şirkətin informasiya təhlükəsizliyi proseslərini avtomatlaşdıra bilərsiniz.

GRC üç nöqteyi-nəzərdən bir şeyin idarə edilməsinə baxışdır: top menecment (İdarəetmə), risklərin idarə edilməsi (Risklərin idarə edilməsi) və tələblərə uyğunluq (Uyğunluq). Müəssisənin bütün bölmələrinin fəaliyyəti haqqında məlumatların işlənməsinin nəticəsi işgüzar şərtlərlə tərtib edilmiş vizual hesabatlardır.2

Məsələn, RSA Archer eGRC məhsulunun Müəssisə İdarəetmə modulu sizə şirkət aktivlərini inventarlaşdırmağa və təsnif etməyə, yaratmaq imkanı verir. vahid reyestr informasiya və texnologiya aktivləri, biznes prosesləri, mallar və xidmətlər, bölmələr və ayrı-ayrı biznes bölmələri, istehsal obyektləri və avadanlıqlar, məsul işçilərşirkətlər, tərəfdaşlar və təchizatçılar. Hər bir aktiv üçün onun sahibi və şirkət üçün dəyəri müəyyən edilir. Bu işin nəticələri informasiya təhlükəsizliyi riskinin qiymətləndirilməsi prosedurunun sonrakı aparılmasında istifadə oluna bilər. SIEM və ya DLP zəifliyin idarəetmə sistemləri ilə inteqrasiya xüsusi aktivdə zəifliklərin və insidentlərin aradan qaldırılmasını prioritetləşdirməyə imkan verir.3

Bununla belə, yaxşı olsa belə, bir İT həllinin köməyi ilə biznes proseslərinin təhlükəsizliyi kontekstində GRC-nin bütün funksiyalarını həyata keçirmək praktiki olaraq mümkün deyil. Bu konsepsiyanın problemlərinin həllinə kömək edə biləcək sistem GRC vəzifələrinin özü qədər mürəkkəb olmalıdır.4 GRC sistemi ilə inteqrasiya etmək üçün Biznes Proseslərinin İdarə Edilməsi (BPM), Biznes “Performans İdarəetmə və Biznes proseslərinin avtomatlaşdırılması və idarə edilməsi üçün nəzərdə tutulmuş Business Intelligence sinfi. Biznes prosesləri ilə şirkətin informasiya təhlükəsizliyinin əsas subyektləri arasında UML notasiyasında əlaqənin diaqramı Şəkil 1-də göstərilmişdir.

2 Yevgeni Bezqodov SNF nədir və informasiya təhlükəsizliyi üçün necə faydalı ola bilər? [Elektron resurs] http://ru.deiteriy.com/what_is_grc_and_its_ ^аЬИ-ityJnJnformation_security/.

3 SNF - informasiya təhlükəsizliyinin idarə edilməsi proseslərinin optimallaşdırılması yolu // Bank icmalı № 9 (176) sentyabr 2013 [elektron resurs] http://www.bosfera.ru/bo/put-k-optimimizatsii-protsessov

4 SNF konsepsiyası informasiya təhlükəsizliyi bazarının inkişafının növbəti mərhələsi oldu [Elektron resurs] http://www.cnews.ru/reviews/free/security2008/articles/grc.shtml.

düyü. 1. Biznes prosesləri ilə informasiyanın əsas subyektləri arasında əlaqə

şirkət təhlükəsizliyi

İnformasiya təhlükəsizliyi sistemi çərçivəsində şirkətin biznes prosesləri ilə ilk növbədə biznes prosesləri üçün təhlükə yaradan mühit arasında qarşılıqlı əlaqə aşağıdakı diaqramda göstərilmişdir (şək. 2).

düyü. 2. Biznes proseslərinin və təhdidlər yaradan mühitin qarşılıqlı əlaqəsi

Əsas nəticələr.

Şirkətin vəziyyətinin hərtərəfli diaqnostikası, təklif olunan şərti kəmiyyət göstəricisi ilə SWOT təhlilindən istifadə etməklə ən yaxşı şəkildə həyata keçirilən informasiya təhlükəsizliyinin idarə edilməsi strategiyasının hazırlanmasının ilk mərhələsidir.

Təhlil göstərdi ki, biznes prosesləri şirkətin informasiya təhlükəsizliyinin təşkili üçün əsas məlumat mənbəyidir.

Biznes proseslərinin informasiya təhlükəsizliyinin təmin edilməsi mühafizə üçün məlumatı müəyyən etməyə, məxfi məlumatların miqdarını minimuma endirməyə və şirkətdə biznes proseslərinin optimallaşdırılması üçün istifadə oluna bilən bütün məlumat saxlama yerlərini müəyyən etməyə imkan verən məlumatların təsnifatının hazırlanması ilə başlamalıdır.

Biznes proseslərinin mümkün risklərinin təhlili bizə aşağıdakı qrupları müəyyən etməyə imkan verdi: dizaynda, reinjinirinqdə və biznes proseslərindən istifadə prosesində risklər.

GRC (İdarəetmə, Risklərin idarə edilməsi və Uyğunluq) sinif sistemindən istifadə etməklə şirkətin informasiya təhlükəsizliyi proseslərinin avtomatlaşdırılması məqsədəuyğundur, bu sistem biznes proseslərinin avtomatlaşdırılması və idarə edilməsi üçün nəzərdə tutulmuş Biznes Proseslərinin İdarə Edilməsi, Biznes Performansının İdarə Edilməsi və ya Biznes Kəşfiyyatı sinif sistemləri ilə birləşdirilməlidir.

İSTİFADƏLƏR

1. Kamennova M.S., Qromov A.İ., Ferapontov M.M., Şmatalyuk A.E. Biznes Modelləşdirmə. ARIS metodologiyası. - M.: Vest-MetaTexnologiya, 2001.

2. Saatı T. Qərar vermə. İerarxiya təhlili metodu. - M.: Radio və rabitə, 1993.

3. Stelmashonok E.V. İnformasiya təhlükəsizliyi-biznes proseslərinin təşkili // Tətbiqi informatika. - 2006. - No 2. - C. 42-57.

4. Timokhin A. Bütün itkiləri necə tapmaq olar: NPO ELSIB-də yalın metodologiyanın tətbiqi təcrübəsi // "BOSS" No 9, 2012.

5. Xanova A.A. İdarəetmə qərarları qəbul edərkən balanslaşdırılmış hesab kartının struktur-funksional modeli // Vestnik ASTU Ser.: İdarəetmə, kompüter elmləri və informatika. - 2012. - No 1. - C. 200-208.

Efimov Evgeniy Nikolaevich - Rostov Dövlət İqtisadiyyat Universiteti (RINH); e-poçt: [email protected]; 344002, Rostov-na-Donu, B. Sadovaya, 69, otaq. 306 a; tel.: 89525721917; İnformasiya Texnologiyaları və İnformasiyanın Mühafizəsi Departamenti; Dan.; professor.

Lapitskaya Galina Melkonovna - e-poçt: [email protected]; tel.: 89286050143; İnformasiya Texnologiyaları və İnformasiyanın Mühafizəsi Departamenti; Ph.D.; professor.

Efimov Evgeniy Nikolayeviç - Rostov Dövlət İqtisad Universiteti; e-poçt: [email protected]; 344002, Rusiya, Rostov-na-Donu, B. Sadovaya küçəsi, 69, otaq 306 a; telefon: +79525721917; informasiya texnologiyaları və informasiya təhlükəsizliyi şöbəsi; dr.ec. sc.; professor.

Lapickaya Galina Melkovna - e-poçt: [email protected]; telefon: +79286050143; informasiya texnologiyaları və informasiya təhlükəsizliyi şöbəsi; cand.ec. sc.; professor.

Giriş

Biznes liderləri informasiya təhlükəsizliyinin vacibliyini dərk etməli, bu sahədə trendləri proqnozlaşdırmağı və idarə etməyi öyrənməlidirlər.

Müasir biznes informasiya texnologiyaları olmadan mövcud ola bilməz. Məlumdur ki, dünya üzrə ümumi milli məhsulun təxminən 70%-i bu və ya digər şəkildə informasiya sistemlərində saxlanılan informasiyadan asılıdır. Kompüterlərin geniş şəkildə tətbiqi təkcə məlum rahatlıqlar deyil, həm də problemlər yaratmışdır ki, bunlardan ən ciddisi informasiya təhlükəsizliyi problemidir.

Kompüterlər üçün idarəetmə vasitələri ilə yanaşı və kompüter şəbəkələri standart təhlükəsizlik siyasətinin işlənib hazırlanmasına, kadrlarla işə (işə qəbul, təlim, işdən çıxarılma), fasiləsizliyin təmin edilməsinə böyük diqqət yetirir. istehsalat prosesi, qanuni tələblər.

Şübhəsiz ki, kurs işinin bu mövzusu çox aktualdır müasir şərait.

Kurs işinin obyekti: informasiya təhlükəsizliyi peşəkar fəaliyyət təşkilatlar.

Tədqiqatın mövzusu: informasiya təhlükəsizliyinin təmin edilməsi.

Kurs işində real təşkilat əsasında informasiya təhlükəsizliyinin təşkili üzrə layihə idarəetmə qərarının yaradılması nəzərdə tutulur.

Fəsil 1. Peşəkar fəaliyyətin informasiya təhlükəsizliyi

İnformasiya təhlükəsizliyinin təmin edilməsi mütəxəssislər üçün nisbətən yeni peşəkar fəaliyyət sahəsidir. Bu cür fəaliyyətlərin əsas məqsədləri aşağıdakılardır:

informasiya ehtiyatlarının formalaşması, yayılması və istifadəsi sahəsində xarici və daxili təhlükələrdən müdafiənin təmin edilməsi;

Vətəndaşların və təşkilatların məlumatların məxfiliyini və məxfiliyini qorumaq hüquqlarının pozulmasının qarşısının alınması;

Bunun üçün hüquqi əsaslar olmadıqda məlumatın qəsdən təhrif edilməsinə və ya gizlədilməsinə mane olan şəraitin təmin edilməsi.

Bu sahədə mütəxəssislərin müştəriləri:

Rusiya Federasiyasının federal dövlət hakimiyyəti və idarəetmə orqanları;

Rusiya Federasiyasının təsis qurumlarının dövlət orqanları;

dövlət idarə, təşkilat və müəssisələri;

Müdafiə sənayesi;

yerli özünüidarəetmə orqanları;

Qeyri-dövlət formasında olan idarə, təşkilat və müəssisələr
əmlak.

MTS mobil rabitə şirkətinin müştərilərinin məlumat bazasının pulsuz, qeyri-qanuni satışında görünməsi bizi təkrar-təkrar kompüter təhlükəsizliyi probleminə müraciət etməyə məcbur edir. Deyəsən, bu mövzu tükənməzdir. Onun aktuallığı nə qədər böyükdürsə, kommersiya firmalarının kompüterləşdirilməsi səviyyəsi bir o qədər yüksəkdir və qeyri-kommersiya təşkilatları. Yüksək texnologiya, biznesin və müasir cəmiyyətin demək olar ki, bütün digər aspektlərinin inkişafında inqilabi rol oynayan istifadəçiləri informasiya və son nəticədə iqtisadi təhlükəsizlik baxımından çox həssas edir.

Bu, təkcə Rusiyada deyil, dünyanın əksər ölkələrində, ilk növbədə Qərbdə problemdir, baxmayaraq ki, şəxsi məlumatlara girişi məhdudlaşdıran və onun saxlanmasına ciddi tələblər qoyan qanunlar mövcuddur. Bazarlar kompüter şəbəkələrini qorumaq üçün müxtəlif sistemlər təklif edir. Bəs özünüzü öz “beşinci kolonunuzdan” - məxfi məlumatlara çıxışı olan vicdansız, vəfasız və ya sadəcə diqqətsiz işçilərdən necə qorumalısınız? MTS müştəri məlumat bazasının qalmaqallı sızması, görünür, şirkət işçilərinin sövdələşməsi və ya cinayət səhlənkarlığı olmadan baş verə bilməzdi.

Görünür, əksər sahibkarlar olmasa da, bir çoxları problemin ciddiliyini dərk etmirlər. Hətta inkişaf etmiş bazar iqtisadiyyatı olan ölkələrdə, bəzi araşdırmalara görə, şirkətlərin 80%-nin yaxşı düşünülmüş, planlaşdırılmış saxlama mühafizəsi sistemi, operativ məlumat bazaları yoxdur. Məşhur “bəlkə”yə arxalanmağa öyrəşmiş özümüz haqqında nə deyə bilərik.

Odur ki, məxfi məlumatların sızmasının yaratdığı təhlükələr mövzusuna keçmək, belə riskləri azaltmaq üçün tədbirlərdən danışmaq əbəs deyil. Bu işdə bizə hüquqi nəşr olan Legal Times (21 oktyabr 2002) nəşri (Mark M. Martin, Evan Wagner, “İnformasiya Zəifliyi və Təhlükəsizliyi”) kömək edəcək. Müəlliflər informasiya təhdidlərinin ən tipik növlərini və üsullarını sadalayırlar. Tam olaraq nə?

Kommersiya sirrinin məxfilikdən çıxarılması və oğurlanması. Burada hər şey az-çox aydındır. Klassik, gedir qədim tarix, iqtisadi casusluq. Əgər əvvəllər sirlər məxfi yerlərdə, kütləvi seyflərdə, etibarlı fiziki və (sonradan) elektron təhlükəsizlik Bununla belə, bu gün bir çox işçinin ofis məlumat bazalarına çıxışı var, çox vaxt çox həssas məlumatları, məsələn, eyni müştəri məlumatlarını ehtiva edir.

Kompromatların paylanması. Burada müəlliflər şirkətin reputasiyasına kölgə salan belə məlumatların işçilər tərəfindən qəsdən və ya təsadüfən elektron yazışmalarda istifadəsini nəzərdə tutur. Məsələn, şirkətin adı diffamasiyaya, məktublarında təhqirlərə, bir sözlə, təşkilata güzəştə gedə biləcək hər şeyə yol verən müxbirin domenində əks olunur.

Əqli mülkiyyətin pozulması. Unutmamaq lazımdır ki, təşkilatda istehsal olunan hər hansı intellektual məhsul təşkilata məxsusdur və təşkilatın maraqları istisna olmaqla, işçilər (o cümlədən intellektual dəyərlərin generatorları və müəllifləri) tərəfindən istifadə edilə bilməz. Bu arada Rusiyada bu məsələ ilə bağlı tez-tez yaranmış intellektual məhsulu iddia edən və ondan şəxsi maraqları üçün, təşkilatın ziyanına istifadə edən təşkilatlarla işçilər arasında münaqişələr yaranır. Bu, çox vaxt müəssisədəki qeyri-müəyyən hüquqi vəziyyətlə, əmək müqaviləsində işçilərin hüquq və vəzifələrini əks etdirən dəqiq müəyyən edilmiş norma və qaydaları əks etdirmədikdə baş verir.

Gizli olmayan, lakin rəqiblər üçün faydalı ola biləcək daxili məlumatların yayılması (çox vaxt qəsdən). Məsələn, biznesin genişləndirilməsi ilə əlaqədar yeni vakansiyalar, ezamiyyətlər və danışıqlar haqqında.

Rəqiblərin veb saytlarına daxil olmaq. İndi hər şey daha çox şirkət açıq saytlarında (xüsusən də CRM üçün nəzərdə tutulmuş) proqramlardan istifadə edin ki, bu da ziyarətçiləri tanımağa və onların marşrutlarını ətraflı izləməyə, onlar tərəfindən saytın səhifələrinə baxma vaxtını və müddətini qeyd etməyə imkan verir. Aydındır ki, əgər rəqibin veb-saytına səfəriniz onun operatoruna ətraflı şəkildə məlumdursa, sonuncu üçün sizi tam olaraq nəyin maraqlandırdığı barədə nəticə çıxarmaq çətin deyil. Bu, ən vacib kanalı tərk etməyə çağırış deyil rəqabət məlumatları. Rəqib internet saytları təhlil və proqnozlaşdırma üçün dəyərli mənbə olub və olaraq qalır. Ancaq saytları ziyarət edərkən, izlər buraxdığınızı və siz də izlənildiyinizi xatırlamalısınız.

Ofis rabitəsindən şəxsi məqsədlər üçün sui-istifadə (dinləmək, musiqi və işə aid olmayan digər məzmuna baxmaq, ofis kompüterini yükləmək) informasiya təhlükəsizliyinə birbaşa təhdid yaratmır, lakin korporativ şəbəkədə əlavə stress yaradır, səmərəliliyi azaldır və müdaxilə edir. həmkarlarının işi ilə.

Və nəhayət, xarici təhlükələr - icazəsiz müdaxilələr və s. Bu ayrıca ciddi müzakirə mövzusudur.

Özünüzü daxili təhlükələrdən necə qorumalısınız? Öz işçilərinizin vura biləcəyi zərərə qarşı sadəcə olaraq 100% zəmanət yoxdur. Bu, tam və qeyd-şərtsiz idarə oluna bilməyən insan faktorudur. Eyni zamanda, yuxarıda qeyd olunan müəlliflər faydalı məsləhətlər verirlər - şirkət daxilində aydın şəkildə formalaşmış kommunikasiya (və ya məlumat) siyasətini hazırlamaq və həyata keçirmək. Bu cür siyasət ofis kommunikasiyalarından istifadədə icazə verilən və icazə verilməyənlər arasında aydın xətt çəkməlidir. Sərhədi keçmək cəzaya səbəb olur. Kompüter şəbəkələrindən kimin və necə istifadə etdiyinə nəzarət sistemi olmalıdır. Şirkət tərəfindən qəbul edilən qaydalar dövlət və kommersiya sirrinin, şəxsi və şəxsi məlumatların mühafizəsi üzrə həm milli, həm də beynəlxalq səviyyədə tanınmış standartlara uyğun olmalıdır.


Fəsil 2. İnformasiya təhlükəsizliyinin təmin edilməsi

"Laspi" MMC-də peşə fəaliyyəti

2.1. Laspi MMC-nin qısa təsviri

“Laspi” MMC 1995-ci ildə Çexiya şirkətinin Rusiyadakı nümayəndəliyi kimi yaradılmışdır. Şirkət müxtəlif beton məmulatlarının istehsalı üçün Çexiya avadanlığı və istehlak materiallarının tədarükü ilə məşğuldur (dan səki plitələri və hasarlar, çiçək qabları və s. ilə bitən). Avadanlıq yüksək keyfiyyətli və sərfəli qiymətə malikdir. Samara ofisinə müraciət edən müştərilər Rusiyanın və MDB-nin müxtəlif şəhərlərindən olan təşkilatlardır (Kazan, Ufa, İjevsk, Moskva, Nijni Novqorod və s.). Təbii ki, belə genişmiqyaslı fəaliyyət şirkət daxilində informasiya təhlükəsizliyinə xüsusi münasibət tələb edir.

Bu gün informasiya təhlükəsizliyi çox şey arzuolunandır. Müxtəlif sənədləri (texniki, iqtisadi) tapa bilərsiniz açıq giriş, bu, şirkətin demək olar ki, hər hansı bir əməkdaşına (təsisçidən tutmuş sürücüyə qədər) onunla sərbəst tanış olmaq imkanı verir.

Xüsusilə vacib sənədlər seyfdə saxlanılır. Seyfin açarları yalnız direktor və onun katibindədir. Amma burada insan amili deyilən faktor mühüm rol oynayır. Tez-tez açarlar ofisdə stolun üstündə unudulur və seyf hətta təmizləyici tərəfindən də aça bilər.

Təsərrüfat sənədləri (hesabatlar, hesab-fakturalar, fakturalar, hesab-fakturalar və s.) qovluqlarda və rəflərdə kilidli olmayan kabinetdə düzülür.

İşçilər işə müraciət edərkən kommersiya sirri ilə bağlı heç bir açıqlanmayan müqavilə imzalamırlar ki, bu da onlara bu cür məlumatların yayılmasını qadağan etmir.

İşçilərin işə qəbulu iki mərhələdən ibarət müsahibə yolu ilə həyata keçirilir: 1. bilavasitə rəhbərlə ünsiyyət (burada potensial işçinin bacarıq və bacarıqları aşkar olunur) 2. təsisçi ilə ünsiyyət (bu, daha çox şəxsi xarakter daşıyır) və belə bir dialoqun nəticəsi ya “birlikdə işləmək” və ya “işləməyəcəyik” ola bilər).

Bütün bunlar rəhbərlikdən daha ciddi diqqət və şirkətin informasiya təhlükəsizliyini təmin etmək üçün səriştəli proqram tələb edir, çünki bu gün “Laspi” MMC-nin çoxlu rəqibləri var ki, onların, məsələn, müştəri bazasından və ya bazasından istifadə etmək imkanını əldən verməyəcəklər. şirkətin təchizatçıları.

2.2. “Laspi” MMC-nin peşəkar fəaliyyətinin informasiya təhlükəsizliyini təmin etmək üçün idarəetmə qərarının layihəsi.

Elmi, istehsalat və kommersiya fəaliyyətinin informasiya təminatı, məxfi məlumatların maddi daşıyıcılarının fiziki təhlükəsizliyi, onların sızmasının qarşısının alınması problemlərini keyfiyyətcə həll etməyə imkan verən təşkilati, inzibati, hüquqi və digər tədbirlər sistemində mühüm yer tutur. , kommersiya sirrinin qorunması ifaçıların məxfi sənədlərə və məlumatlara çıxışının icazəli sistemi ilə məşğul olur. .

RSFSR-in "Müəssisələr və sahibkarlıq fəaliyyəti haqqında" Qanununu nəzərə alaraq, mülkiyyət formasından asılı olmayaraq müəssisənin (firmanın) rəhbəri kommersiya sirrini və onun daşıyıcılarını tərk edən məlumatlara daxil olmaq üçün xüsusi qaydalar müəyyən edə bilər. onların təhlükəsizliyinin təmin edilməsi.

Təhlükəsizlik tədbirləri sistemində müəssisənin sirrini qoyan istehsal, kommersiya və maliyyə-kredit məlumatlarının müvafiq işlərin və sənədlərin konkret icraçıları arasında optimal bölüşdürülməsi mühüm əhəmiyyət kəsb edir. Məlumat yayarkən, bir tərəfdən, müəyyən bir işçinin ona tapşırılan işin yüksək keyfiyyətli və vaxtında yerinə yetirilməsi üçün tam həcmdə məlumatla təmin edilməsini təmin etmək, digər tərəfdən isə, məlumatların yayılmasını istisna etmək lazımdır. ifaçının işə ehtiyacı olmayan lazımsız məxfi məlumatlarla tanış olması.

Podratçının şirkətin kommersiya sirrini təşkil edən məlumatlara qanuni və əsaslı çıxışını təmin etmək üçün müəssisələrdə müvafiq icazə sisteminin işlənib hazırlanması və tətbiqi tövsiyə olunur.

Giriş dedikdə, bu və ya digər işçinin xidməti vəzifələrini (rəsmi orqan) nəzərə almaqla konkret (və ya tam həcmdə) məxfi məlumatların verilməsi üçün şirkətin rəhbərindən (və ya onun sanksiyası ilə, digər vəzifəli şəxslərdən) yazılı icazənin alınması başa düşülür. ).

KT-yə girişin qeydiyyatı, səlahiyyətlərin qanuni olaraq təsbit edildiyi direktor tərəfindən təsdiq edilmiş girişin icazə sistemi haqqında Əsasnaməyə uyğun olaraq həyata keçirilə bilər. məmurlar məlumatların yayılması və istifadəsi üçün müəssisələr. Təşkilat rəhbəri hər hansı mühafizə olunan məlumatdan bu müəssisənin hər hansı əməkdaşına və ya başqa təşkilatdan obyektə gəlmiş şəxsə hər hansı məsələləri həll etmək üçün istifadə etməyə icazə verə bilər, əgər bu məlumat istehsal və kommersiya tərəfdaşları tərəfindən tanış olmaq üçün məhdudiyyətlərə məruz qalmırsa. birgə istehsalda və s. P. Belə ki, “Laspi” MMC kommersiya sirri təşkil edən məlumatlara (təchizatçı və müştərilərlə müqavilələr, əməliyyatlar üzrə yekun hesabatlar) çıxışın aşağıdakı işçilərə məhdudlaşdırılmasını tövsiyə edir:

1. Şirkətin təsisçisi.

2.şirkətin direktoru.

3. direktorun katibi.

Yalnız şirkətin təsisçisi və direktoru digər işçilərə məlumat əldə etməyə icazə verə bilər.

Müştərilərlə cari əməliyyatlar haqqında məlumat əldə etmək imkanı bu əməliyyatları həyata keçirən yuxarıda göstərilən bütün işçilərə və menecerlərə malik olmalıdır.

Avadanlıqların alış qiymətləri haqqında ilkin məlumatlar da məhdudlaşdırılmalıdır. Yalnız təsisçi, şirkətin direktoru, qalan işçilərini yalnız əvvəlcədən işlənmiş qiymətlərlə təmin edən (müxtəlif "əlavələrlə"), eləcə də təşkilatda bütün sənəd dövriyyəsini idarə edən katibə daxil ola bilər.

Lisenziyalaşdırma sisteminin effektiv işləməsi yalnız müəyyən qaydalara əməl edildikdə mümkündür:

1. İcazə verən sistem, məcburi qayda olaraq, çıxış məsələsinin həll olunduğu məxfi məlumatın əhəmiyyətini nəzərə almaqla, girişə icazə verilməsinə differensiallaşdırılmış yanaşmanı ehtiva edir.

2. Müəyyən qorunan informasiyadan istifadə hüququ üçün verilmiş icazənin sənədləşdirilməsi zəruridir. Bu o deməkdir ki, istifadə hüququna icazə verən menecer bunu müvafiq sənəddə və ya mövcud müəssisədə yazılı şəkildə qeyd etməlidir. mühasibat forması. Heç kəsin (müəssisənin rəhbəri istisna olmaqla) giriş üçün heç bir şifahi göstərişi və ya sorğusu hüquqi qüvvəyə malik deyil. Bu tələb məxfi məlumat və onun daşıyıcıları ilə işləyən bütün səviyyələrdə menecerlərə də aiddir. Beləliklə, yalnız rəhbərin yazılı icazəsi (səlahiyyətlər daxilində) bu və ya digər şəxsə mühafizə olunan məlumatların verilməsinə icazədir.

3. Nəzarət prinsipinə ciddi əməl edilməlidir. Hər bir icazənin verilmə və verilmə tarixi olmalıdır.

Ən məxfi sənəd üzrə rəhbərin qərarı kimi ənənəvi icazə növü geniş istifadə olunur. Belə icazədə sənədlərlə tanış olmalı və ya onları icra etməli olan işçilərin adlarının siyahısı, icra müddəti, digər göstərişlər, rəhbərin imzası və tarixi olmalıdır. Menecer, zəruri hallarda, konkret işçilərin müəyyən məlumatlara çıxışına məhdudiyyətlər qoya bilər.

Qətnamə icazənin bir növü kimi, əsasən, xaricdən alınan və müəssisədə yaradılan sənədlərdə və məhsullarda olan məxfi məlumatların maraqlı şəxslərə operativ çatdırılması üçün istifadə olunur.

Müəssisə rəhbəri giriş üçün icazəni inzibati sənədlərdə verə bilər: əmrlər, göstərişlər, müəssisə üçün göstərişlər. Onlarda şəxslərin adları, vəzifələri, xüsusi təsnifat sənədləri və onların qəbul oluna (tanış ola biləcəyi) məhsullar göstərilməlidir.

İcazələrin başqa bir növü - məxfi sənədlər və məhsullarla tanış olmaq və hər hansı hərəkətləri etmək hüququ olan şəxslərin ailə siyahılarına əsasən. Ailə siyahılarına uyğun olaraq, onlar müəssisənin direktoru tərəfindən və ya mövcud icazə sisteminə uyğun olaraq, bir qayda olaraq, müvafiq şöbələrin rəhbərlərindən aşağı olmayan vəzifələrdə çalışan rəhbərlər tərəfindən təsdiq edilir.

Şəxslərin ailə siyahılarına uyğun olaraq, müəssisə üçün xüsusi əhəmiyyət kəsb edən məxfi sənədlərə və məhsullara girişin təşkili zamanı, təhlükəsiz otaqlara, müxtəlif növ qapalı tədbirlərə (konfranslar, görüşlər, sərgilər, görüşlər) girişi qeydiyyata alınarkən istifadə oluna bilər. elmi-texniki şuraların və s.). Ailə siyahılarında müvafiq yazılı icazə olmadan başçı tərəfindən bütün qapalı sənədlərə və məhsullara icazə verilən konkret liderlər müəyyən edilə bilər. Tam adı göstərirlər. podratçı, şöbə, tutduğu vəzifə, qəbul edildiyi sənədlərin və məhsulların kateqoriyası. Təcrübədə iş siyahılarının versiyası da tətbiq olunur, burada aşağıdakılar göstərilir: podratçının vəzifəsi, sənədlərin həcmi (sənədlərin kateqoriyaları) və müvafiq vəzifə tutan müəssisələrin işçiləri tərəfindən istifadə edilməli olan məhsul növləri. siyahı. Qeyd etmək lazımdır ki, məxfi sənədləri və məhsulları az olan müəssisələr üçün sənədin özü, ailə siyahıları, vəzifə siyahıları üzrə rəhbərin qərarı kimi icazə növlərindən istifadə etmək kifayət ola bilər.

Təşkilat baxımından ailə siyahıları maraqlı liderlər tərəfindən hazırlanmalıdır struktur bölmələri. Siyahıya daxil edilmiş işçilərin siyahısı Təhlükəsizlik Şurasının rəhbəri tərəfindən təsdiq edilir və təsdiq hüquqlarını idarədən digər şəxslərə həvalə edə bilən müəssisənin rəhbəri tərəfindən təsdiq edilir.

Lisenziyalaşdırma sistemi aşağıdakı tələblərə cavab verməlidir:

yerləşdiyi yerdən və yaradılmasından asılı olmayaraq müəssisədə mövcud olan bütün növ məxfi sənədlərə və məhsullara şamil edilir;

KT ilə işləmək hüququ almış bütün kateqoriyalı işçilərin, habelə müəssisəyə müvəqqəti gəlmiş və birgə qapalı əmrlərlə bağlı olan mütəxəssislərin giriş qaydasını müəyyən etmək;

müəssisədə məlumat sahəsində dəyişikliklərə dərhal reaksiya verməyə imkan verən qorunan sənədlərə və məhsullara giriş üçün icazələrin verilməsinin sadə və etibarlı prosedurunu müəyyənləşdirin;

· müvafiq kateqoriyalı ifaçılara çıxışın layihələndirilməsində müxtəlif rəsmi səviyyəli menecerlərin hüquqlarını aydın şəkildə müəyyən etmək;

sənədlərin və məhsulların hər kəsə nəzarətsiz və icazəsiz verilməsi ehtimalını istisna etmək;

· məxfi məlumat və obyektlərlə işləyən şəxslərə hətta məlumatlarda dəyişiklik etməyə, habelə mühasibat sənədlərini dəyişdirməyə icazə verməmək.

İcazə sistemini hazırlayarkən müəssisə üçün əsas, xüsusilə qiymətli məlumatların vurğulanmasına xüsusi diqqət yetirilməlidir ki, bu da ona ciddi şəkildə məhdud çıxışı təmin edəcək. Digər müəssisələr (təşkilatlar), xarici firmalar və ya onların ayrı-ayrı nümayəndələri ilə birgə iş olduqda, bu kateqoriyaların müəssisənin kommersiya sirrinə çıxışı qaydasını təmin etmək lazımdır. Xidməti dövlət təşkilatlarının nümayəndələri ilə qarşılıqlı əlaqə qaydasını müəyyən etmək məqsədəuyğundur: texniki nəzarət, sanitar-epidemioloji stansiya və s.

Şirkətin lisenziyalaşdırma sistemi haqqında Əsasnamədə qeyd etmək lazımdır ki, məxfi sənədlərin və məhsulların podratçıdan podratçıya verilməsi yalnız struktur bölmə daxilində və onun rəhbərinin icazəsi ilə mümkündür. Məhsulların bu cür sənədlərinin köçürülməsi, qaytarılması şirkət tərəfindən müəyyən edilmiş qaydada və yalnız həmin günün iş vaxtı ərzində həyata keçirilir.

Müəssisəyə daxil olan və onun üzərində işlənmiş bütün məxfi sənədlər və məhsullar orta rəis və katib tərəfindən qəbul edilir və nəzərə alınır. Qeydiyyatdan keçdikdən sonra sənədlər qəbz edilməklə baxılmaq üçün müəssisə rəhbərinə verilir.

Cəmiyyətin icazə sistemi haqqında Əsasnamədə qeyd etmək lazımdır ki, rəsmi məsələlər üzrə qapalı iclaslar yalnız müəssisə rəhbərinin və ya onun müavinlərinin icazəsi ilə keçirilir. Xüsusi tələblər elmi şuraların iclaslarına, elmi-tədqiqat və maliyyə-kommersiya fəaliyyətinin nəticələrinə baxılması üçün keçirilən iclaslara və s. Bu cür tədbirlər üçün mütləq icazə siyahılarının tərtib edilməsi və onlara yalnız planlaşdırılan tədbirlərlə birbaşa əlaqəli olan və rəsmi zərurətdən irəli gələn iştirak edən müəssisə işçilərinin daxil edilməsi tövsiyə olunur.

Yuxarıda qeyd edildiyi kimi, digər firmaların işçiləri yalnız firma rəhbərliyinin şəxsi icazəsi ilə qapalı iclaslarda iştirak edə bilərlər. Bir qayda olaraq, maraqlı struktur bölmələrinin rəhbərləri ilə əlaqə saxlayaraq görüşün təşkilinə cavabdeh olan siyahılar hazırlayır. Siyahı bu iclasa qəbula nəzarətin təşkili üçün əsasdır. İclas başlamazdan əvvəl iclasda iştirak edənlərə müzakirə olunan məlumatların məxfi olduğu və şirkət tərəfindən müəyyən edilmiş dövriyyədən kənarda yayıla bilməyəcəyi barədə xəbərdarlıq edilir və uçotun aparılmasına dair göstərişlər verilir.

Bir şirkətdə məxfi məlumat və məhsullarla işləmək üçün müəyyən bir prosedurun qurulmasının kommersiya sirrinin qorunmasının etibarlılığını əhəmiyyətli dərəcədə artırdığını, açıqlanma ehtimalını, bu məlumatın daşıyıcılarının itirilməsini azaltdığını vurğulamaq vacibdir.

Sənədlərin təhlükəsizliyini təmin etmək üçün sənədləri etibarlı şəkildə kilidləməyə imkan verən müvafiq mebel almaq təklif olunur. Həm də hər gün, getməzdən əvvəl, şkafları möhürləmək lazımdır.

Seyf və şkafların açarları imza qarşılığında mühafizə xidmətinə təhvil verilməlidir. Açarların saxlanması üçün xüsusi bir boru almaq və eyni şəkildə möhürləmək tövsiyə olunur.

Kompüter məlumatlarının təhlükəsizliyinə xüsusi diqqət yetirilməlidir. Bu gün “Laspi” MMC-də bir neçə məlumat bazası yaradılmışdır: şirkətin müştəriləri (yalnız iş ünvanları və telefon nömrələri deyil, həm də ev ünvanları, həmçinin şəxsi məlumatlar göstərilməklə); tədarük olunan avadanlığın qiymətlərini və xüsusiyyətlərini özündə əks etdirən məlumat bazası; təşkilatın işçilərinin məlumat bazası. Həmçinin kompüterdə müxtəlif müqavilələr, müqavilələr və s.

Hər halda, bu məlumatın rəqiblərin əlinə keçməsi çox arzuolunmazdır. Hadisələrin belə inkişafının qarşısını almaq üçün hər bir verilənlər bazasına daxil olmaq üçün parollar yaratmaq tövsiyə olunur (və proqram vasitələri buna imkan verir). Kompüteri yükləyərkən, həmçinin iki səviyyəli mühafizənin qurulması tövsiyə olunur (BIOS-u yükləyərkən və bu əməliyyat sisteminin əvvəlki versiyalarından fərqli olaraq, sabit diskin məzmununa parolsuz daxil olmağa imkan verməyən Windows'2000-i yükləyərkən) . Təbii ki, parollar yalnız şirkətin bu verilənlər bazası ilə birbaşa işləyən işçiləri (katib, menecerlər, proqramçılar) üçün də mövcud olmalıdır.

Kompüterlə bağlı hər hansı problem yarandıqda və kənar şirkətlə əlaqə saxlamaq zərurəti yarandıqda, avadanlıqların təmiri prosesinə tam nəzarət etmək lazımdır. Məhz bütün parolların silindiyi, “kənardan” proqramçının sərt diskin məzmununa sərbəst və maneəsiz çıxışı olduğu bir vaxtda olduğu üçün onun informasiyanı ələ keçirib ondan müxtəlif məqsədlər üçün daha sonra istifadə etməsi mümkündür.

Virusların kompüterlərinizə daxil olmasının və yayılmasının qarşısını almaq üçün antivirus proqramınızı yeni saxlamalısınız.

Yeni işçilərin işə qəbuluna xüsusi diqqət yetirilməlidir. Bu gün bir çox təşkilatlar bu prosesə daha sərt yanaşma tətbiq edirlər ki, bu da məlumatı şirkət daxilində saxlamaq və “insan amili” səbəbindən ondan kənara çıxmamaq istəyi ilə bağlıdır.

İşə qəbulun çoxu iki mərhələdə baş verdikdə (yuxarıda ümumiləşdirildiyi kimi), burada dörd mərhələ təklif olunur.

1. Kadrlar şöbəsinin müdiri ilə söhbət. Kadrlar şöbəsinin müdiri namizədlə, onun CV-si ilə tanış olur, peşə fəaliyyəti ilə bağlı suallar verir, ilkin qeydlər aparır. Bu addım peşəkardır. Sonra kadrlar şöbəsinin müdiri namizədlərdən daxil olan məlumatları təhlil edərək rəhbərə ötürür.

2. Namizədlərin tərcümeyi-halı və onlar haqqında qeydləri ilə kadrlar şöbəsinin müdiri tərəfindən tanış olmaq, onlara uyğun olanları seçmək və müsahibəyə dəvət etmək. Müsahibə şəxsidir və əhatə edir qeyri-standart suallar(məsələn, insanın nə yeməyi xoşlayır, hobbi nədir və s.) Beləliklə, menecer bu şəxsin onun üçün nə dərəcədə uyğun olduğuna qərar vermək üçün məlumat alır, bu namizədlə ünsiyyət qurarkən qarşılaşa biləcəyi mümkün problemləri proqnozlaşdırır .

3. Sınaq. Burada artıq işçinin intellekt səviyyəsi müəyyən edilir, onun psixoloji portreti müxtəlif testlər əsasında tərtib edilir. Ancaq əvvəlcə menecerin və həmkarlarının yeni işçini necə görmək istədiklərini müəyyənləşdirməlisiniz.

4. Mühafizə xidməti. Burada iki mərhələ təklif olunur: a) namizədlərin müxtəlif instansiyalarda yoxlanılması (məhkəməyə cəlb edilib-edilməməsi, azadlıqdan məhrum etmə yerlərində cəza çəkib-keçməməsi, narkomaniya dispanserində qeydiyyatda olub-olmaması, barəsində təqdim etdiyi məlumatların olub-olmaması). əvvəlki işlər doğrudur); b) ən çox "yalan detektoru" adlanan xüsusi avadanlıqların yoxlanılması. İkinci mərhələdə işçinin şirkətə nə dərəcədə sadiq olduğu, təxribatçı suallara (məsələn, həmkarlarından birinin sənədləri evə apardığını bilsə nə edəcək) və s.

Və yalnız namizəd bütün bu dörd mərhələdən keçdikdən sonra onu işə qəbul edib-etməmək barədə qərar verə bilərsiniz.

Müsbət qərar qəbul edildikdən sonra işçi üçün sınaq müddəti təyin edilir (Rusiya Federasiyasının qanunvericiliyinə uyğun olaraq, 1 aydan 3 aya qədər dəyişə bilər, lakin ən azı 2 ay tövsiyə olunur və tercihen 3). Sınaq müddətində rəhbərlik və mühafizə xidməti yeni işçiyə nəzarət etməli, onun fəaliyyətini müşahidə etməlidir.

Bundan əlavə, işə qəbul edildikdən dərhal sonra əmək müqaviləsi bağlanmaqla yanaşı, kommersiya sirrinin açıqlanmaması haqqında müqavilə imzalamaq lazımdır. Bu müqavilənin tövsiyə olunan müddəaları:

Bu, müqaviləyə daxil edilə bilənlərin tam siyahısı deyil.


Nəticə

Bu gün informasiya təhlükəsizliyinin təşkili məsələsi istənilən səviyyəli təşkilatları - iri korporasiyalardan tutmuş hüquqi şəxs yaratmayan sahibkarları narahat edir. Müasir bazar münasibətlərində rəqabət mükəmməllikdən uzaqdır və çox vaxt ən qanuni üsullarla həyata keçirilmir. Sənaye casusluğu çiçəklənir. Amma təşkilatın kommersiya sirri ilə bağlı məlumatların qəsdən yayılması halları da var. Burada bir qayda olaraq işçilərin səhlənkarlığı, vəziyyəti anlamaması, başqa sözlə desək, “insan amili” rol oynayır.

Kurs işində “Laspi” MMC-də informasiya təhlükəsizliyinin təşkili üzrə idarəetmə qərarının layihəsi təqdim olunur. Layihə təhlükəsizliyin təşkilinin üç əsas sahəsini əhatə edir: 1. sənədləşmə sahəsi (bu girişin sərhədləri müəyyən edilməklə kağız üzərində təqdim olunan materiallara çıxış); 2.kompüter təhlükəsizliyi; 3. yeni işçilərin işə götürülməsi baxımından təhlükəsizlik.

Nəzərə almaq lazımdır ki, bu layihə konkret təşkilat üçün hazırlansa da, onun müddəalarından digər orta şirkətlərdə təhlükəsizliyin təşkili üçün də istifadə oluna bilər.

Bilik bazasında yaxşı işinizi göndərin sadədir. Aşağıdakı formadan istifadə edin

Tədris və işlərində bilik bazasından istifadə edən tələbələr, aspirantlar, gənc alimlər Sizə çox minnətdar olacaqlar.

Biznesdə informasiya təhlükəsizliyi

Giriş

Qorunmalı məlumat

İnformasiya kimdən qorunmalıdır?

İnformasiyanın qorunması

Nəticə

Ədəbiyyat

Giriş

Bu günə qədər təhlükəsizlik problemi biznesdə ən aktual problemlərdən biridir. Lakin çox vaxt təhlükəsizlik dedikdə yalnız şəxsi heyətin və maddi sərvətlərin fiziki mühafizəsi başa düşülür. Amma bu yolla ancaq cinayətə qarşı durmaq olar. Bu arada, bazar münasibətlərinə girən istənilən təşkilat istənilən sivil bazarda mövcud olan şiddətli rəqabətlə üzləşir. Və bu mübarizə müəssisə üçün bir çox təhlükələrlə doludur. Əgər şirkət öz işində hər hansı bir uğur qazanıbsa, şübhəsiz ki, o, rəqabət aparan şirkətlər tərəfindən kifayət qədər maraq doğurur. Şirkətin işi ilə bağlı hər hansı bir məlumat onların diqqətini daha çox cəlb edəcəkdir. Buna görə də, informasiya təhlükəsizliyi mühüm tərkib hissəsinə çevrilir müasir sistem biznes təhlükəsizliyi.

"İnformasiyaya sahib olan, dünyaya sahib olandır." Bu həqiqət xüsusilə 21-ci əsrin astanasında, postindustrial dövrün informasiya əsri ilə əvəz olunduğu bir vaxtda aktuallaşır. Yeni əsrdə biznesin informasiya təhlükəsizliyi məsələsi daha da aktuallaşır.

Bu işin məqsədi biznesdə informasiya təhlükəsizliyinin mahiyyətini nəzərdən keçirməkdir.

Bu məqsədə uyğun olaraq qarşıya aşağıdakı vəzifələr qoyulmuşdur:

Qorunacaq məlumatların növlərini və mənbələrini müəyyən etmək;

Başqasının məlumatının maraqlı olduğu obyektləri müəyyən etmək;

İnformasiyanın qorunması üsullarını aşkar etmək.

Qorunmalı məlumat

İnformasiya təhlükəsizliyi problemini başa düşmək üçün üç suala cavab verəcəyik:

Hansı məlumatları qorumaq lazımdır?

Onu kimdən və nədən qorumalıyıq?

Məlumatı necə qorumalıyıq?

Bəs biz hansı məlumatı qorumalıyıq? İnformasiya təhlükəsizliyi sistemimizin effektivliyi əsasən bu sualın cavabını nə qədər düzgün müəyyən etməyimizdən asılıdır. İlk növbədə məlumatı qorumaq lazımdır: Gorokhov P.K. İnformasiya təhlükəsizliyi. - M.: Radio və rabitə, 2005.

Şirkətin sahib olduğu rəqabət üstünlükləri haqqında

İşinin texnologiyaları haqqında

Müəssisənin pul və material hərəkəti haqqında

Şirkətin strateji planları haqqında

Yeni məhsullar haqqında.

Şirkətin fəaliyyətinin xarakterindən asılı olaraq, informasiyanın mühafizəsi obyektlərinin siyahısı genişləndirilə bilər. Beləliklə, əksər şirkətlər üçün məlumatları rəqiblərdən də gizli saxlamağın mənası var: Gorokhov P.K. İnformasiya təhlükəsizliyi. - M.: Radio və rabitə, .2005

Müştəriləriniz haqqında

Şirkətin kadrları haqqında.

Anlamaq lazımdır ki, müəssisə sahib olduğu bütün məlumatlardan uzaq olmalıdır, ancaq üçüncü şəxslər tərəfindən istifadə edilməsi şirkətin fəaliyyətinə zərər verə bilən məlumatlardan uzaq olmalıdır. Əksinə, elə məlumatlar da var ki, şirkətin sadəcə açıqlaması lazımdır. Deməli, qiymətlərimiz haqqında məlumatı rəqiblərdən qorumağın mənası yoxdur. Lakin məhsul, xammal və materialları aldığımız qiymətlər və şərtlərlə bağlı məlumatlar rəqiblərdən gizli saxlanılmalıdır. Şirkətin həddindən artıq yaxınlığı potensial tərəfdaşlar, müştərilər və investorlar tərəfindən ona mənfi münasibət yarada bilər. Bu, xüsusilə qiymətli kağızlarını yerləşdirməyi planlaşdıran firmalar üçün doğrudur. Bunun baş verməməsi üçün şirkət ilkin olaraq hansı məlumatları, hansı həcmdə və hansı müntəzəmliklə açıqlamalı olduğunu müəyyən etməlidir. Bu halda, siz məlumatların açıqlanmasının Qərb standartlarına diqqət yetirə bilərsiniz. Eyni standartlar Qiymətli Kağızlar Bazarı üzrə Federal Komissiya tərəfindən qiymətli kağızlar təklif edən şirkətlər üçün müəyyən edilmişdir. Açıqlanması tələb olunan məlumatlara aşağıdakılar daxildir: Müasir biznes: Etika, mədəniyyət, təhlükəsizlik. - M.: GPNTB, 2007.

İllik maliyyə hesabatları (mühasibat balansı, mənfəət və zərər haqqında hesabat, pul vəsaitlərinin hərəkəti haqqında hesabat)

Səhmdar məlumatları

Əhəmiyyətli kapital əməliyyatları haqqında məlumatlar.

Açıqlana bilməyən məlumatlara gəldikdə isə, təşkilat onları məxfilik dərəcəsinə görə təsnif etməli və hər bir kateqoriya üzrə informasiya təhlükəsizliyi standartlarını hazırlamalıdır.

İnformasiya kimdən qorunmalıdır?

Müəssisə öz fəaliyyətində onun mühitini təşkil edən müxtəlif təşkilatlarla qarşılaşır. Bunlar: Rastorguev S.P. İnformasiya müharibəsi. - M .: Radio və rabitə, 2007. rəqib şirkətlər, müştərilər, tərəfdaşlar, vergi orqanları tənzimləyici orqanlar.

Yuxarıda qeyd edildiyi kimi, rəqiblər müxtəlif növ məlumatlara xüsusi maraq göstərirlər. Və şirkət üçün ən böyük təhlükə ilə dolu olan onların hərəkətləridir. Axı, bir şirkətin tutduğu bazar payı həmişə rəqiblər üçün dadlı bir parçadır və müxtəlif növ məlumatların, məsələn, buraxılmağa hazırlanan məhsulun xüsusiyyətlərinə dair sızma nəticəsində dəymiş ziyan düzəlməz ola bilər.

Tərəfdaşlara gəldikdə, onların şirkətiniz haqqında məlumatlara marağı, ilk növbədə, mülahizələrdən qaynaqlana bilər öz təhlükəsizliyi. Odur ki, onların şirkət haqqında səmərəli əməkdaşlıq üçün zəruri olan çərçivədən kənara çıxmayan məlumat alması üçün ən əlverişli şərait yaratmaq lazımdır. Burada onun vaxtında və tam şəkildə təqdim edilməsi və digər məlumatlara çıxışın məhdudlaşdırılması üçün onun hansı məlumat növü olduğunu dəqiq müəyyən etmək lazımdır.

Müştərilərin almaq istədiyi məlumatlar çox konkretdir. Bunlar: İnformasiya Cəmiyyəti: İnformasiya Müharibələri. İnformasiya idarəçiliyi. İnformasiya Təhlükəsizliyi / Ed. M. A. Vus. - M.: Sankt-Peterburq nəşriyyatı. un-ta, 2006. şirkət və onun məhsulları haqqında ümumi məlumat, şirkətin etibarlılığı haqqında məlumat, qiymətlər haqqında məlumat.

Müştərilər üçün bu cür məlumatların mümkün qədər əlçatan olmasını təmin etmək vacibdir. İnformasiyanın qorunmasından danışarkən başa düşmək lazımdır ki, “daxmadan zibil çıxarmaq” arzuolunmazdır. Ancaq eyni şey tərəfdaşlarla münasibətlərə də aiddir. Buna görə də, hansı şirkət daxili məlumatların açıqlana bilməyəcəyini dəqiq müəyyən etmək xüsusilə vacibdir.

Şirkətin vergi və tənzimləyici orqanlarla əlaqələri spesifikdir. Bu qurumların onlara məlumat verilməsi üçün öz xüsusi tələbləri var. Onlarla münasibətlərdə onların tələblərinə tam əməl etmək, məlumatı vaxtında və tələb olunan həcmdə, lakin bu həcmi aşmadan təqdim etmək vacibdir. Bu zaman verilən məlumatların həm olmaması, həm də artıqlığı ən arzuolunmaz nəticələrə gətirib çıxara bilər.

Növbəti vacib məsələ, məlumatın nədən qorunmalı olduğunu başa düşməkdir. Təşkilatın sirrini təşkil edən məlumatlarla həyata keçirilə bilən arzuolunmaz hərəkətlər bunlardır: İnformasiya cəmiyyəti: İnformasiya müharibələri. İnformasiya idarəçiliyi. İnformasiya Təhlükəsizliyi / Ed. M. A. Vus. - M.: Sankt-Peterburq nəşriyyatı. un-ta, 2006. mühüm məlumatların məhv edilməsi, açıq məlumatların təhrif edilməsi, məxfi məlumatların saxlanması, məxfi elektron məlumatların surətinin çıxarılması, şirkət tərəfindən tələb olunan məlumatlara girişin bağlanması və ya məhdudlaşdırılması, girişi məhdudlaşdırılmış məlumatlara icazəsiz giriş.

İnformasiyanın mühafizəsi tədbirlərinə nəzər salmazdan əvvəl şirkət haqqında lazımi məlumatı əldə etmək üçün hansı vasitə və üsullardan istifadə oluna biləcəyi üzərində dayanaq. İqtisadi kəşfiyyat və ya sənaye casusluğunun iki böyük vasitələri və metodları qrupu var: İnformasiya təhlükəsizliyi: Proc. humanitar elmlər universitetləri üçün. və sosial-iqtisadi. ixtisaslar. - M.: Təcrübəçi. əlaqələr: Chronicler, 2007.

Xüsusi avadanlıqdan istifadə edərək məlumat toplamaq üsulları

İnformasiyanın fraqmentar toplanması üsulları.

Xüsusi avadanlıqların istifadəsi ilə əlaqəli sənaye casusluğuna aşağıdakılar daxildir: İnformasiya təhlükəsizliyi: Proc. humanitar elmlər universitetləri üçün. və sosial-iqtisadi. ixtisaslar. - M.: Təcrübəçi. əlaqələr: Chronicler, 2007.

Telefon danışıqlarına qulaq asmaq

Otaq dinləmələri

televiziya nəzarəti

Kompüter şəbəkəsinə müdaxilə

Monitorlardan məlumatların oxunması.

Bütün bu üsullar çox vaxt aparan və bahalıdır və yalnız böyük rəqiblər və hüquq-mühafizə orqanları tərəfindən istifadə edilə bilər. Bu cür hərəkətlərin həyata keçirilməsi yalnız bir mütəxəssis tərəfindən mümkündür, bu da belə hərəkətləri xüsusilə təhlükəli edir.

İnformasiyanın fraqmentli toplanması üsullarına aşağıdakılar daxildir: İnformasiya təhlükəsizliyi: Proc. humanitar elmlər universitetləri üçün. və sosial-iqtisadi. ixtisaslar. - M.: Təcrübəçi. əlaqələr: Chronicler, 2007.

Telefon kəşfiyyatı. Şirkət haqqında bir çox məlumatı telefonla, hansısa ağlabatan bəhanə ilə zəng etməklə, məsələn, müəyyən etmək üçün əldə etmək olar. işgüzar əlaqələr və ya statistik sorğunun aparılması. Əgər şirkət işçiləri hansı məlumatların açıqlanmaması barədə kifayət qədər məlumatlı deyillərsə, o zaman siz bilmədən vacib məlumatları sızdırmaq riski daşıyırsınız.

Saxta danışıqlar. Bu çox yayılmış metoddan istifadə edərək, rəqibləriniz özlərini, məsələn, sizin kimi təqdim edə bilərlər potensial müştərilər və ya tərəfdaşlar və ilkin danışıqlar zamanı onları ilkin yoxlamaya məruz qoymadığınız və onlara qarşı çox açıq olduğunuz halda, onları maraqlandıran bir çox məlumat almaq. Müxtəlif sərgilər bu cür məlumatların əldə edilməsi üçün xüsusilə münbit zəmindir.

İşçilərin işə qəbulu. Rəqib şirkətdən mütəxəssisləri işə dəvət etmək bəzən onun fəaliyyəti haqqında çox şey öyrənməyə imkan verir. Əgər insan ləyaqət üzündən əvvəlki iş yerində sirr olan məlumatı verməsə belə, onun biliyinə, vərdişinə, davranışına uyğun olaraq rəqabət aparan şirkətin işi haqqında çoxsaylı nəticələr çıxarmaq olar. Bəzi şirkətlər də yüksək maaşla işçilərini “yalançı brakonyerlik” ilə məşğul olurlar. Çoxsaylı müsahibələrdə və müsahibələrdə o, heç vaxt yeni bir iş tapmasa da, onun şirkəti haqqında çox şey öyrənə bilər.

Rəqibin heyəti ilə tanışlıq öz işçiləri. Sənaye casusluğunun bu üsulu ən təhlükəlidir, çünki öz şəxsi başqasının komandasına daxil etməklə siz şirkət haqqında bu işçinin səlahiyyətlərinə aid olan istənilən məlumatı öyrənə bilərsiniz. Şirkət daxili məlumatlara çıxışı məhdudlaşdırmaq üçün tədbirlər görmürsə, adi bir işçi şirkət haqqında demək olar ki, hər şeyi bilə bilər.

Beləliklə, biz biznesin informasiya təhlükəsizliyinin ən vacib məsələsinə gəldik - informasiyanı necə qorumaq olar?

İnformasiyanın qorunması

Ümumiyyətlə, biznesin informasiya təhlükəsizliyinin təmin edilməsi iki əsas vəzifənin həlli ilə bağlıdır: Stepanov E. A., Korneev I. K. İnformasiya təhlükəsizliyi və məlumatın mühafizəsi. - M.: İNFRA-M, 2008.

İnformasiyanın bütövlüyünü və təhlükəsizliyini təmin etmək.

İnformasiyanın icazəsiz girişdən qorunması.

İnformasiyanın bütövlüyünü və təhlükəsizliyini təmin etmək üçün tədbirləri nəzərdən keçirin. Bir qayda olaraq, məlumat saxlanılır:

Kağız media

Elektron media.

Sənədlər adətən kağız üzərində saxlanılır. Sənədlərin nüsxələrinin sayı məhduddur, bəzən bir nüsxədə mövcud ola bilər. Sonra onların itkisi bərpanı qeyri-mümkün edəcək. Bunun baş verməməsi üçün bütün sənədlərin ciddi uçotunu aparmaq, onları müvafiq şəraitdə saxlamaq və onlara girişə nəzarəti təmin etmək lazımdır. Mümkünsə, məlumatların surətləri xüsusi təchiz olunmuş yerlərdə saxlanılmalı və saxlanılmalıdır. Eyni zamanda, orijinalların və nüsxələrin ayrı otaqlarda saxlanması vacibdir. Üstəlik, mümkünsə, nüsxələrlə işləmək və orijinalları məxfi anbarlarda saxlamaq məsləhətdir. Bu, yanğın və ya oğurluq kimi gözlənilməz hallarda xüsusilə vacib ola bilər.

Hazırda elektron mediadan istifadənin genişləndirilməsi istiqamətində aydın tendensiya müşahidə olunur. Bir çox şirkətlərdə bütün sənədləşmə işləri burada aparılır elektron formatda. Şirkətlərin informasiya strukturunun tərkib hissəsi müxtəlif elektron məlumat bazalarıdır. Audio və video informasiya da elektron daşıyıcılarda saxlanılır. AT son illər hətta ödənişlər elektron şəkildə həyata keçirilir. Və eyni zamanda elektron məlumat dağılma və zədələnmə baxımından ən həssasdır. Fakt budur ki elektron mediaçox davamlı deyil və avadanlıqla düzgün işləmək məlumatın təsadüfən məhv olmasına səbəb ola bilər. Digər böyük təhlükə son zamanlar geniş yayılmış kompüter viruslarıdır. Elektron məlumatı zədələnmədən və məhv olmaqdan qorumaq üçün istifadə olunan tədbirlər kimi onlar adətən istifadə edirlər: Stepanov E. A., Korneev I. K. İnformasiya təhlükəsizliyi və məlumatın mühafizəsi. - M.: İNFRA-M, 2008.

Yedek məlumat. Gündəlik həyata keçirilir və məlumatları bir gündən çox olmayan bir dərinliyə bərpa etmək imkanı verir. Gündəlik nüsxələr adətən kompüter şəbəkəsindən ayrı saxlanılır.

Lokal şəbəkədə lazımsız serverlərin mövcudluğu. Əsas server uğursuz olarsa, işləməyi dayandırmamağa imkan verir.

Fasiləsiz enerji təchizatının istifadəsi. Şirkətin kompüter şəbəkəsini elektrik şəbəkəsindəki problemlərlə bağlı məlumat itkisindən qorumağa imkan verir.

Məlumat arxivlərinin yaradılması. Bütün ən vacib məlumatlar arxivləşdirilir, çıxarıla bilən daşıyıcıda qeyd olunur və xüsusi təchiz olunmuş otaqda saxlanılır. Üstəlik, etibarlılığı artırmaq üçün bir neçə nüsxə hazırlanmalı və bir-birindən asılı olmayaraq saxlanılmalıdır. Daşıyıcı seçərkən onun etibarlılığına və davamlılığına xüsusi diqqət yetirilməlidir.

Antivirus qorunması. Kompüter şəbəkəsini virus hücumundan effektiv şəkildə qorumaq üçün xaricdən gələn bütün fayllara nəzarət edilməlidir. Bunun üçün yerli şəbəkə iş stansiyalarında disk sürücülərini söndürmək və müvafiq antivirus yoxlamasından sonra bütün xarici faylları yalnız şəbəkə administratoru vasitəsilə yazmaq tövsiyə olunur. Təşkilatınızda disketlərdən istifadəni qadağan etməyiniz tövsiyə olunur. Ən böyük virus təhlükəsi internetdən istifadə ilə doludur. Antivirus mühafizə sistemini elə qurmaq lazımdır ki, internet vasitəsilə gələn bütün fayllar istifadə olunmazdan əvvəl yoxlanılsın. Yedəkləmədən əvvəl, həmçinin gündəlik profilaktik yoxlama aparmalısınız.

Giriş məhdudiyyəti. Lazımi məlumat və ya proqram təminatının təsadüfən zədələnməsinin və ya silinməsinin qarşısını almaq üçün şirkətin yerli şəbəkəsinin hər bir istifadəçisinin yalnız ehtiyac duyduğu məlumatla çıxışını məhdudlaşdırmalısınız. Məlumat istifadəçinin özündən qorunmalı olduqda, yalnız oxumaq üçün girişdən istifadə edilməlidir.

İndi məlumatları icazəsiz girişdən qorumaq üçün tədbirləri nəzərdən keçirin.

İnformasiya sızması ilə mübarizənin ən mühüm vasitəsi kadrlarla işdir. Ən vacib addım kadr seçimidir. Bir şirkətdə işə müraciət edərkən, təkcə biznesə deyil, həm də diqqət yetirilməlidir peşəkar keyfiyyətlər namizədlər və ilk növbədə, onların insani keyfiyyətləri - ədəb, dürüstlük, sədaqət. İşə qəbul edildikdən sonra mümkün məlumat sızmasının qarşısını almaq üçün vaxtaşırı işçilərin fəaliyyətinə gizli monitorinq aparmaq lazımdır. Həmçinin əlavə gəlir axtarışı və ya həddindən artıq ambisiya insanı müəssisənin sirlərini satmağa sövq edən belə halların qarşısını almaq üçün rəhbərliyin tabeçiliyində olan işçilərin problemlərindən daim xəbərdar olması zəruridir.

Bununla belə, müəssisə məlumatlara çıxışın məhdudlaşdırılması üçün aydın sistem hazırlamasa, bütün bu tədbirlər heç bir nəticə verməyəcək. Müəssisədə mövcud olan iyerarxiyadan asılı olaraq, hər bir işçinin ciddi şəkildə müəyyən edilmiş miqdarda məlumat əldə etmək imkanı olmalıdır. Bundan əlavə, rəsmi məlumat və kommersiya sirri ilə bağlı daxili müddəanın olması və hər bir sənədin məxfilik dərəcəsini dəqiq müəyyən etmək lazımdır.

İnformasiyanı arzuolunmaz girişdən qorumağın ən təsirli yolu informasiyanın parçalanmasıdır. Bu prinsip ondan ibarətdir ki, hər hansı bir işçi yalnız öz iş sahəsinə aid məlumatlara malik olmalıdır. Beləliklə, hər hansı bir məlumat işçilər arasında bölünür və heç bir məxfi məlumat bir şəxs üçün tam şəkildə əldə edilə bilməz. Nəticədə nə şüurlu, nə də şüursuz olaraq bütün sirri heç kimə çatdıra bilməz.

Texniki vasitələrdən istifadə edərək sənaye casusluğundan qorunmaq üçün xüsusi vasitələrdən istifadə etmək lazımdır. Hal-hazırda, hər bir "böcək" üçün bir "anti-bug" var. Mütəmadi olaraq müvafiq yoxlamalar aparmaq, zəiflikləri daim izləmək vacibdir. Əgər binaya yaxşı işləyən giriş nəzarət sisteminiz varsa, sizə qarşı texniki casusluq vasitələrindən istifadə etmək imkanını əhəmiyyətli dərəcədə azalda bilərsiniz. Şirkət daxilində işçilərin və qonaqların bütün hərəkətlərinin uçotu və daxili və xarici televiziya nəzarəti sizi tam qoruya bilməz, lakin bəzi hallarda sizə qarşı hərəkətləri müəyyən etməyə və qarşısını almağa kömək edəcəkdir. Və təbii ki, icazəsiz girişdən müdafiənin əsas obyekti elektron informasiyadır. Onun mühafizəsinin əsas üsulları bunlardır: Stepanov E. A., Korneev I. K. İnformasiya təhlükəsizliyi və informasiyanın mühafizəsi. - M.: İNFRA-M, 2008.

Giriş nəzarəti. Yuxarıda qeyd edildiyi kimi, hər bir işçi yerli şəbəkədə yalnız iş vəzifələrini yerinə yetirmək üçün lazım olan məlumatlarla işləməlidir. Bu, xüsusilə iri inteqrasiya olunmuş avtomatlaşdırılmış sistemlərdən istifadə edən təşkilatlara aiddir. Girişin ayrılmasına laqeyd yanaşma və ya onun düzgün tətbiq edilməməsi adi işçilərin şirkətin fəaliyyəti haqqında demək olar ki, bütün məlumatlara sahib olmasına səbəb ola bilər. Həmçinin şəbəkədə istifadəçilərin işini qeyd etmək və vaxtaşırı nəzarət etmək lazımdır.

Daxili kompüter şəbəkəsinin lokallaşdırılması. İnformasiya sızmasının qarşısını almaq üçün şəbəkədə disk sürücüsü və paralel portları olmayan kompüterlər quraşdırılmalıdır. Bu, şirkətin kompüterlərindən məlumatların endirilməsini qeyri-mümkün edəcək.

Ən vacib kompüterlərin yerli şəbəkədən xaric edilməsi. İcazəsiz giriş ehtimalını azaltmaq üçün yalnız bir texnoloji prosesə qoşulmuş kompüterlərin lokal şəbəkəyə qoşulması tövsiyə olunur. Düzdür, bir qayda olaraq, belə kompüterlər çoxluq təşkil edir. Bununla belə, şirkət rəhbərlərinin öz müstəqil kompüterlərinə malik olmaları arzu edilir ki, onlara giriş yalnız özlərinindir.

İnternetlə işin lokallaşdırılması. Ümumdünya kompüter şəbəkəsi təkcə virus hücumları baxımından deyil, həm də müəssisələrin kompüter şəbəkələrinin sındırılması baxımından bir çox təhlükələrlə doludur. Bunun baş verməməsi üçün müəssisənin daxili şəbəkəsini və interneti ayırmaq lazımdır. Kiçik firmalarda ümumdünya şəbəkəsində işləmək üçün ayrıca lokal kompüter ayırmaq mümkündür. Bununla belə, üzərində böyük müəssisə işçilərin əksəriyyətinin internetdən istifadə etdiyi yerlərdə bu həmişə mümkün olmur. Bu halda, iş stansiyaları İnternetə girməzdən əvvəl kompüterin yerli şəbəkədən ayrıldığı rejimə qoyulmalıdır.

Məlumatın şifrələnməsi. Bu üsul, əsasən, telefon xətləri üzərindən modem vasitəsilə məlumat ötürərkən istifadə olunur, çünki bu cür məlumatların üçüncü şəxslər tərəfindən tutulması ehtimalı var. Hazırda sertifikatlaşdırılmış kriptoqrafik proqramlar mövcuddur və siz hər hansı daimi elektron məlumat ötürmə kanallarından istifadə edirsinizsə, onlardan istifadə edilməlidir.

Elektron rəqəmsal imza. Modem üzərindən ötürülən məlumatların etibarlılığını təmin edir. Ötürülmüş məlumatın qəsdən təhrif edilməsinə qarşı qorunma kimi xidmət edir. Hazırda sertifikatlaşdırılmış proqramlar var rəqəmsal imza müxtəlif dərəcədə qorunma ilə. Elektron ödənişlərdən istifadə zamanı və artan məxfilik mesajlarının ötürülməsi zamanı bu cür vasitələrdən istifadə xüsusi əhəmiyyət kəsb edir.

Nəticə

Təsvir edilən bütün tədbirlər bir-birindən ayrı tətbiq edilməməlidir. İnformasiyanın effektiv mühafizəsini təmin etmək üçün müəssisənin informasiya təhlükəsizliyi sistemini hazırlamaq lazımdır. Yalnız kombinasiyada görülən bu tədbirlər biznesinizi arzuolunmaz itkilərdən etibarlı şəkildə qoruya bilər. Hər bir təşkilatın özünəməxsus xüsusiyyətləri var və buna görə də informasiya təhlükəsizliyi sisteminin öz strukturu olmalıdır. Onun seçiminin düzgünlüyü bu problemlə məşğul olan işçilərin və şirkət rəhbərlərinin peşəkarlığından asılıdır. Belə bir sistemin ən vacib komponenti “ zəifliklər” və mümkün problemlərin qarşısını almaq üçün lazımi tədbirlərin görülməsi.

Sonda qeyd etmək istəyirəm ki, informasiya təhlükəsizliyi sistemini yaradarkən, bir tərəfdən, xəsislik etməmək vacibdir, çünki itkilər ölçüyəgəlməz dərəcədə çox ola bilər, digər tərəfdən isə, onu aşmamaq üçün onu aşmamaq lazımdır. lazımsız yalançı qoruyucu tədbirlərə pul atmaq və məlumat axınının keçməsinə mane olmamaq . Təhlükəsizlik heç vaxt çox deyil, lakin biz bunu heç vaxt unutmamalıyıq əsas məqsəd təhlükəsizlik sistemləri - təşkilatın etibarlı və fasiləsiz fəaliyyətinin təmin edilməsi.

Ədəbiyyat

1. Gorokhov P. K. İnformasiya təhlükəsizliyi. - M.: Radio və rabitə, 2002.

2. İnformasiya təhlükəsizliyi: Proc. humanitar elmlər universitetləri üçün. və sosial-iqtisadi. ixtisaslar. - M.: Təcrübəçi. əlaqələr: Chronicler, 2007.

3. İnformasiya cəmiyyəti: İnformasiya müharibələri. İnformasiya idarəçiliyi. İnformasiya Təhlükəsizliyi / Ed. M. A. Vus. - M.: Sankt-Peterburq nəşriyyatı. un-ta, 2006.

4. Rastorquev S. P. İnformasiya müharibəsi. - M.: Radio və rabitə, 2005.

5. Müasir biznes: Etika, mədəniyyət, təhlükəsizlik. - M.: GPNTB, 2004.

6. Stepanov E. A., Korneev I. K. İnformasiya təhlükəsizliyi və məlumatın mühafizəsi. - M.: İNFRA-M, 2008.

Oxşar Sənədlər

    Linux ƏS-nin strukturu və xüsusiyyətləri, onun inkişaf tarixi. İnformasiya təhlükəsizliyi: konsepsiya və normativ sənədlər, informasiya sızmasının istiqamətləri və onun mühafizəsi. İnformasiya təhlükəsizliyi sisteminin yaradılmasının hesablanması və onun effektivliyinin öyrənilməsi.

    kurs işi, 24/01/2014 əlavə edildi

    İnformasiya sızmasının əsas kanalları. Məxfi məlumatların əsas mənbələri. İnformasiyanın mühafizəsinin əsas obyektləri. İnformasiya təhlükəsizliyi sisteminin inkişafı və təkmilləşdirilməsi üzrə əsas iş. Rusiya Dəmir Yollarının informasiya təhlükəsizliyinin qorunması modeli.

    kurs işi, 09/05/2013 əlavə edildi

    Müasir Rusiyada informasiya təhlükəsizliyinin təmin edilməsi. İnformasiyanın sahiblərinə və ya istifadəçilərinə zərər vuran təsadüfi və ya qəsdən müdaxilədən qorunması üsullarının təhlili. öyrənilməsi hüquqi dəstək informasiya təhlükəsizliyi.

    test, 26/02/2016 əlavə edildi

    İnformasiya təhlükəsizliyinin xüsusiyyətləri və xüsusiyyətləri, informasiyanın və onu dəstəkləyən infrastrukturun hər hansı təsadüfi və ya zərərli təsirlərdən təhlükəsizliyi kimi başa düşülür. İnternetdə informasiya təhlükəsizliyi. Antivirus xüsusiyyətləri.

    test, 24/02/2011 əlavə edildi

    İnformasiya təhlükəsizliyi anlayışı, anlayışı və təsnifatı, təhlükələrin növləri. İnformasiyanın təsadüfi təhlükələrdən, icazəsiz müdaxilə təhlükələrindən qorunması vasitələri və üsullarının təsviri. İnformasiyanın qorunmasının kriptoqrafik üsulları və təhlükəsizlik divarları.

    kurs işi, 30/10/2009 əlavə edildi

    İnformasiya təhlükəsizliyinə xarici təhdidlər, onların təzahür formaları. Sənaye casusluğundan qorunma üsulları və vasitələri, məqsədləri: rəqib haqqında məlumat əldə etmək, məlumatı məhv etmək. Məxfi məlumatlara icazəsiz daxil olma yolları.

    test, 09/18/2016 əlavə edildi

    İnformasiya təhlükəsizliyinin təmin edilməsinin konsepsiyası və əsas prinsipləri. Avtomatlaşdırılmış sistemlərdə təhlükəsizlik anlayışı. Rusiya Federasiyasının informasiya təhlükəsizliyi və məlumatların mühafizəsi, lisenziyalaşdırma və sertifikatlaşdırma prosesləri sahəsində qanunvericiliyinin əsasları.

    mühazirələr kursu, 04/17/2012 əlavə edildi

    İnformasiya təhlükəsizliyinə zərər verə biləcək hərəkətlərin kateqoriyaları, onun təmin edilməsi üsulları. Şirkətin əhatə dairəsi və maliyyə fəaliyyətinin təhlili. Şirkətin informasiya təhlükəsizliyi sistemi və onun modernləşdirilməsi üçün tədbirlər kompleksinin hazırlanması.

    dissertasiya, 09/15/2012 əlavə edildi

    İnformasiya təhlükəsizliyinin məqsədləri. Rusiya üçün əsas informasiya təhdidlərinin mənbələri. Şirkətin və maraqlı tərəflərin mövqeyindən müxtəlif mütəxəssislər üçün informasiya təhlükəsizliyinin əhəmiyyəti. İnformasiyanın qəsdən informasiya təhdidlərindən qorunması üsulları.

    təqdimat, 27/12/2010 əlavə edildi

    İnformasiya təhlükəsizliyi anlayışı, mənası və istiqamətləri. Sistem yanaşması informasiya təhlükəsizliyinin təşkilinə, informasiyanın icazəsiz daxil olmaqdan qorunmasına. İnformasiyanın mühafizəsi vasitələri. İnformasiya təhlükəsizliyinin üsulları və sistemləri.

Rusiya Federasiyasının Təhsil və Elm Nazirliyi

federal dövlət büdcəli təhsil müəssisəsi

ali peşə təhsili

“PERM MİLLİ TƏDQİQAT

POLİTEXNIK UNİVERSİTET”

Test

intizamla

MÜƏSSİSƏNİN İNFORMASİYA TƏHLÜKƏSİZLİYİ

Mövzu "Alfa-Bank nümunəsində biznesdə informasiya təhlükəsizliyi"

Tələbə tərəfindən tamamlandı

FK-11B qrupu:

Smışlyaeva Mariya Sergeevna

Müəllim tərəfindən yoxlanılır:

Şaburov Andrey Sergeyeviç

Perm - 2013

Giriş

Nəticə

Biblioqrafiya

Giriş

Əksər şirkətlərin informasiya resursları ən qiymətli resurslar arasındadır. Bu səbəbdən kommersiya, məxfi məlumatlar və şəxsi məlumatlar sui-istifadədən etibarlı şəkildə qorunmalıdır, lakin eyni zamanda bu məlumatların emalı ilə məşğul olan və ya təyin edilmiş vəzifələrin yerinə yetirilməsi prosesində istifadə edən subyektlər üçün asanlıqla əlçatan olmalıdır. Bunun üçün xüsusi alətlərdən istifadə şirkətin biznesinin davamlılığına və onun həyat qabiliyyətinə töhfə verir.

Təcrübə göstərir ki, müasir şəraitdə biznesin mühafizəsinin təşkili məsələsi ən aktual olmuşdur. Onlayn mağazalar "açılır" və müştərilərin kredit kartları boşaldılır, kazinolar və lotereyalar şantaj edilir, korporativ şəbəkələr manipulyasiya edilir, kompüterlər botnetlərə "zombiləşdirilir" və şəxsiyyət saxtakarlığı milli fəlakətə çevrilir.

Ona görə də şirkət rəhbərləri informasiya təhlükəsizliyinin vacibliyindən xəbərdar olmalı, bu sahədə trendləri proqnozlaşdırmağı və idarə etməyi öyrənməlidirlər.

Bu işin məqsədi Alfa-Bank nümunəsindən istifadə edərək biznesin informasiya təhlükəsizliyi sisteminin üstünlüklərini və çatışmazlıqlarını müəyyən etməkdir.

Alfa-Bank ASC-nin fəaliyyətinin xüsusiyyətləri

Alfa-Bank 1990-cı ildə yaradılıb. Alfa-Bank, maliyyə xidmətləri bazarında bütün əsas növ bank əməliyyatlarını həyata keçirən universal bankdır, o cümlədən özəl və korporativ müştərilər, investisiya bankçılığı, ticarət maliyyəsi və aktivlərin idarə edilməsi.

Alfa-Bank-ın baş ofisi Moskvada yerləşir, ümumilikdə bankın Rusiya regionlarında və xaricdə 444 filialı və filialı, o cümlədən Hollandiyada törəmə bankı və ABŞ, Böyük Britaniya və Kiprdə maliyyə törəmələri açılmışdır. Alfa-Bankda 17 000-ə yaxın işçi çalışır.

Alfa-Bank cəmi aktivləri, məcmu kapitalı və depozitləri baxımından Rusiyanın ən böyük özəl bankıdır. Bank həm korporativ, həm də fiziki şəxslərdən ibarət geniş müştəri bazasına malikdir. Alfa-Bank əsas istiqamətlərdə universal bank kimi inkişaf edir: korporativ və investisiya biznesi(kiçik və orta biznes(KOB), ticarət və strukturlaşdırılmış maliyyə, lizinq və faktorinq), pərakəndə biznes (o cümlədən filial bank sistemi, avtomobil kreditləri və ipoteka). Kütləvi və KOM seqmentlərində korporativ biznes üçün bank məhsullarının inkişafına, o cümlədən uzaqdan özünəxidmət kanallarının və internet ekvayrinqin inkişafına xüsusi diqqət yetirilir. Alfa-Bank-ın strateji prioritetləri Rusiyada aparıcı özəl bank statusunu saxlamaq, sabitliyi gücləndirmək, gəlirliliyi artırmaq, sənaye standartları istehsal qabiliyyəti, səmərəlilik, müştəri xidmətinin keyfiyyəti və işin ardıcıllığı.

Alfa-Bank qlobal kapital bazarlarında ən fəal Rusiya banklarından biridir. Aparıcı beynəlxalq reytinq agentlikləri Alfa-Banka Rusiya özəl bankları arasında ən yüksək reytinqlərdən birini verir. Ardıcıl dörd dəfə Müştəri Təcrübəsi İndeksində 1-ci yerdə qərarlaşıb. Maliyyə böhranından sonra pərakəndə bank sektoru, Senteo tərəfindən PricewaterhouseCoopers ilə birlikdə həyata keçirilmişdir.Həmçinin 2012-ci ildə Alfa-Bank tanınıb. ən yaxşı internet Bank GlobalFinance jurnalına görə, Milli Fond Bazarı İştirakçıları Assosiasiyası (NAUFOR) tərəfindən ən yaxşı analitikaya görə mükafatlandırılaraq, Romir tədqiqat holdinqinin hesabladığı etibar indeksində ən yaxşı Rusiya özəl bankı oldu.

Bu gün Bankın 83 satış nöqtəsi daxil olmaqla federal miqyaslı şəbəkəsi var. Alfa Bank 55 ofisdən ibarət və 23 şəhəri əhatə edən kommersiya bankları arasında ən böyük şəbəkələrdən birinə malikdir. Şəbəkənin genişlənməsi nəticəsində Bank müştəri bazasını artırmaq, bank məhsullarının çeşidini və keyfiyyətini genişləndirmək, regionlararası proqramları həyata keçirmək, ən iri müəssisələr sırasından magistral müştərilərə hərtərəfli xidmət göstərmək üçün əlavə imkanlar əldə edir.

Biznesin informasiya təhlükəsizliyi məsələsinin nəzəri əsaslarının təhlili

Uyğunluqvə informasiya təhlükəsizliyinin təmin edilməsi probleminin əhəmiyyəti aşağıdakı amillərlə bağlıdır:

· İnformasiya təhlükəsizliyi vasitələrinin müasir səviyyələri və inkişaf templəri informasiya texnologiyalarının inkişaf səviyyələri və sürətlərindən xeyli geri qalır.

· Müxtəlif sahələrdə istifadə olunan fərdi kompüterlər parkının yüksək artım templəri insan fəaliyyəti. Gartner Dataquest-in araşdırmasına görə, hazırda dünyada bir milyarddan çox fərdi kompüter var.

informasiya təhlükəsizliyi biznes bankı

· Hesablama resurslarına və məlumat massivlərinə birbaşa çıxışı olan istifadəçilər dairəsinin kəskin genişlənməsi;

Hazırda banklarda saxlanılan məlumatların əhəmiyyəti xeyli artmış, bir çox insanların, şirkətlərin, təşkilatların və hətta bütöv dövlətlərin maliyyə-təsərrüfat fəaliyyəti haqqında mühüm və çox vaxt məxfi məlumatlar cəmləşmişdir. Bank çoxlu sayda insanın maraqlarına toxunan dəyərli məlumatları saxlayır və emal edir. Bank saxlayır vacib məlumat bu cür məlumatları oğurlamaqda və ya zədələməkdə maraqlı olan potensial müdaxilə dairəsini genişləndirən müştəriləri haqqında.

Bütün cinayətlərin 90%-dən çoxu bankın avtomatlaşdırılmış məlumat emalı sistemlərindən istifadə ilə bağlıdır. Odur ki, banklar ASOİB-i yaradan və modernləşdirərkən onun təhlükəsizliyinin təmin olunmasına ciddi diqqət yetirməlidirlər.

Əsas diqqət bankların kompüter təhlükəsizliyinə verilməlidir, yəni. bank məlumatlarının təhlükəsizliyi sahəsində ən aktual, mürəkkəb və aktual problem kimi bankın avtomatlaşdırılmış informasiya emalı sistemlərinin təhlükəsizliyi.

İnformasiya texnologiyalarının sürətli inkişafı biznes üçün yeni imkanlar açdı, eyni zamanda yeni təhlükələrin yaranmasına səbəb oldu. Rəqabət səbəbindən müasir proqram məhsulları səhv və çatışmazlıqlarla satılır. Tərtibatçıların, o cümlədən məhsullarındakı müxtəlif funksiyaların, yaradılmış proqram sistemlərinin yüksək keyfiyyətli sazlanmasına vaxtları yoxdur. Bu sistemlərdə qalan səhvlər və çatışmazlıqlar təsadüfi və qəsdən informasiya təhlükəsizliyinin pozulmasına gətirib çıxarır. Məsələn, ən çox təsadüfi məlumat itkisinin səbəbləri proqram təminatı və texniki vasitələrin işindəki nasazlıqlardır və kompüter sistemlərinə edilən hücumların əksəriyyəti proqram təminatında aşkar edilmiş səhvlər və qüsurlara əsaslanır. Belə ki, məsələn, “Microsoft Windows” server əməliyyat sisteminin buraxılmasından sonra ilk altı ayda 6-sı kritik olan 14 boşluq aşkar edilib. Zaman keçdikcə Microsoft müəyyən edilmiş qüsurları aradan qaldıran xidmət paketləri hazırlasa da, qalan səhvlər səbəbindən istifadəçilər artıq informasiya təhlükəsizliyi pozuntularından əziyyət çəkirlər. Bu bir çox digər problemlər həll olunmayana qədər, informasiya təhlükəsizliyinin kifayət qədər səviyyəsi informasiya texnologiyalarının inkişafına ciddi maneə olacaq.

Altında informasiya təhlükəsizliyiinformasiyanın və dəstəkləyici infrastrukturun təbii və ya süni xarakterli təsadüfi və ya qəsdən təsirlərdən mühafizəsi, informasiya münasibətlərinin subyektlərinə, o cümlədən informasiya və yardımçı infrastrukturun sahiblərinə və istifadəçilərinə yolverilməz zərər vura bilən mühafizəsi başa düşülür.

Müasir iş dünyasında maddi sərvətlərin informasiyaya doğru miqrasiyası prosesi gedir. Təşkilat inkişaf etdikcə onun informasiya sistemi mürəkkəbləşir, onun əsas vəzifəsi bazarda daim dəyişən rəqabət şəraitində biznesin aparılmasının maksimum səmərəliliyini təmin etməkdir.

İnformasiyanı əmtəə kimi nəzərə alsaq, deyə bilərik ki, ümumilikdə informasiya təhlükəsizliyinin təmin edilməsi xeyli xərclərə qənaətə, ona vurulan zərər isə maddi xərclərə səbəb olur. Məsələn, orijinal məhsulun istehsal texnologiyasının açıqlanması oxşar məhsulun meydana çıxmasına gətirib çıxaracaq, lakin başqa istehsalçıdan və informasiya təhlükəsizliyinin pozulması nəticəsində texnologiyanın sahibi və bəlkə də müəllifi itirəcək. bazarın bir hissəsi və s. Digər tərəfdən, informasiya nəzarətin subyektidir və onun dəyişməsi idarəetmə obyektində fəlakətli nəticələrə səbəb ola bilər.

GOST R 50922-2006-a uyğun olaraq, informasiya təhlükəsizliyinin təmin edilməsi məlumat sızmasının, qorunan məlumatlara icazəsiz və qəsdən təsirlərin qarşısının alınmasına yönəlmiş fəaliyyətdir. İnformasiya təhlükəsizliyi həm müəssisələr, həm də dövlət qurumları üçün aktualdır. İnformasiya ehtiyatlarının hərtərəfli mühafizəsi məqsədilə informasiya təhlükəsizliyi sistemlərinin qurulması və inkişafı istiqamətində işlər aparılır.

Yerli və qlobal şəbəkələrin fəaliyyətinə ciddi təsir göstərə bilən, qiymətli məlumatların itirilməsinə səbəb olan bir çox səbəblər var. Onların arasında aşağıdakılar var:

Kənardan icazəsiz giriş, məlumatın surətinin çıxarılması və ya dəyişdirilməsi təsadüfi və ya qəsdən aşağıdakılara səbəb olan hərəkətlər:

məlumatların təhrif edilməsi və ya məhv edilməsi;

səlahiyyəti olmayan şəxslərin bank, maliyyə və ya dövlət sirrini təşkil edən məlumatlarla tanış edilməsi.

Proqram təminatının düzgün işləməməsi, məlumatların itirilməsinə və ya korlanmasına səbəb olur:

proqram və ya şəbəkə proqramında səhvlər;

kompüter virusu infeksiyası.

Texniki avadanlıqların nasazlığı aşağıdakı səbəblərdən yaranır:

elektrik kəsilməsi;

disk sistemlərinin və məlumatların arxivləşdirmə sistemlərinin nasazlığı;

serverlərin, iş stansiyalarının, şəbəkə kartlarının, modemlərin pozulması.

Xidmət işçilərinin səhvləri.

Əlbəttə ki, hər kəsə uyğun bir həll yolu yoxdur, lakin bir çox təşkilat məlumatların itirilməsi və ya icazəsiz giriş riskini minimuma endirmək üçün texniki və inzibati tədbirlər hazırlayıb həyata keçirib.

Bu günə qədər Alfa-Bank-da da istifadə olunan informasiya təhlükəsizliyini təmin etmək üçün geniş üsullar arsenalı var:

· istifadəçilərin identifikasiyası və autentifikasiyası vasitələri (3A kompleksi);

· kompüterlərdə saxlanılan və şəbəkələr üzərindən ötürülən məlumatların şifrələnməsi vasitələri;

· təhlükəsizlik divarları;

· virtual özəl şəbəkələr;

· məzmun filtrləmə vasitələri;

· disklərin məzmununun bütövlüyünü yoxlamaq üçün alətlər;

· virusdan qorunma vasitələri;

· şəbəkə zəifliyinin aşkarlanması sistemləri və şəbəkə hücumu analizatorları.

"Kompleks 3A" autentifikasiya (və ya identifikasiya), icazə və idarəetmə daxildir. İdentifikasiyavə avtorizasiya informasiya təhlükəsizliyinin əsas elementləridir. İstənilən proqrama daxil olmağa çalışdığınız zaman identifikasiya funksiyası “Sən kimsən?” sualına cavab verir. və proqramın səlahiyyətli istifadəçisi olub-olmamağınızdan asılı olmayaraq "Sən haradasan?". Avtorizasiya funksiyası konkret istifadəçinin hansı resurslara çıxışı olduğuna görə məsuliyyət daşıyır. İdarəetmə funksiyası istifadəçini müəyyən bir şəbəkə daxilində müəyyən identifikasiya xüsusiyyətləri ilə təmin etmək və ona icazə verilən hərəkətlərin həcmini müəyyən etməkdir. Alfa-Bank-da proqramları açarkən hər bir işçinin parolu və loqini tələb olunur, hər hansı əməliyyatlar aparılarkən bəzi hallarda rəhbərin və ya onun şöbədəki müavininin icazəsi tələb olunur.

Firewallicazəsiz məlumat paketlərinin şəbəkəyə daxil olmasının və ya çıxmasının qarşısını alan iki və ya daha çox şəbəkə arasında qoruyucu maneə yaradan sistem və ya sistemlərin birləşməsidir. Firewallların əsas iş prinsipi. hər bir məlumat paketinin icazə verilən ünvan bazasına daxil olan və gedən IP_ünvanının uyğunluğunu yoxlamaq. Beləliklə, firewalllar informasiya şəbəkələrinin seqmentləşdirilməsi və məlumatların dövriyyəsinə nəzarət imkanlarını əhəmiyyətli dərəcədə genişləndirir.

Kriptoqrafiya və firewalllardan danışarkən təhlükəsiz virtual özəl şəbəkələri (Virtual Şəxsi Şəbəkə - VPN) qeyd etməliyik. Onların istifadəsi açıq rabitə kanalları üzərindən ötürülməsi zamanı məlumatların məxfiliyi və bütövlüyü problemlərini həll etməyə imkan verir.

Məxfi məlumatların itirilməsindən qorunmaq üçün effektiv vasitədir. Gələn və gedən e-poçt üçün məzmunun filtrasiyası. Təşkilat tərəfindən müəyyən edilmiş qaydalar əsasında e-poçt mesajlarının və onların əlavələrinin təsdiqlənməsi həm də şirkətləri məhkəmə çəkişmələrində məsuliyyətdən qorumağa və işçilərini spamdan qorumağa kömək edir. Məzmun filtrləmə alətləri sıxılmış və qrafik daxil olmaqla bütün ümumi formatların fayllarını skan etməyə imkan verir. Eyni zamanda, şəbəkə bant genişliyi praktiki olaraq dəyişməz olaraq qalır.

Müasir antiviraltexnologiyalar şübhəli faylın kodunu antivirus verilənlər bazasında saxlanılan nümunələrlə müqayisə etməklə, demək olar ki, bütün məlum virus proqramlarını aşkar etməyə imkan verir. Bundan əlavə, yeni yaradılmış virus proqramlarını aşkar etmək üçün davranış modelləşdirmə texnologiyaları hazırlanmışdır. Aşkar edilmiş obyektlər dezinfeksiya edilə, təcrid oluna (karantinə) və ya silinə bilər. Virusdan qorunma iş stansiyalarında, fayl və poçt serverlərində, demək olar ki, hər hansı bir ümumi sistem altında işləyən firewalllarda quraşdırıla bilər. əməliyyat sistemləri(Windows, Unix - və Linux_systems, Novell) müxtəlif növ prosessorlarda. Spam filtrləri spamın təhlili ilə bağlı qeyri-məhsuldar əmək xərclərini əhəmiyyətli dərəcədə azaldır, trafik və server yükünü azaldır, komandada psixoloji fonu yaxşılaşdırır və şirkət işçilərinin saxta əməliyyatlarda iştirak riskini azaldır. Bundan əlavə, spam filtrləri yeni viruslara yoluxma riskini azaldır, çünki tərkibində viruslar olan mesajlar (hətta hələ antivirus verilənlər bazasına daxil olmayanlar) tez-tez spam əlamətləri göstərir və süzülür. Düzdür, əgər filtr lazımsızlarla birlikdə spam və faydalı mesajları, işgüzar və ya şəxsi mesajları silirsə və ya qeyd edərsə, spam filtrləməsinin müsbət effekti üzərindən xətt çəkilə bilər.

Ən çox bir neçə tipik növlər və yollar məlumat təhdidləri:

Kommersiya sirrinin məxfilikdən çıxarılması və oğurlanması. Əvvəllər sirlər məxfi yerlərdə, kütləvi seyflərdə, etibarlı fiziki və (sonradan) elektron mühafizə altında saxlanılırdısa, bu gün bir çox işçilər ofis məlumat bazalarına daxil olur, çox vaxt çox həssas məlumatları, məsələn, eyni müştəri məlumatlarını ehtiva edir.

Kompromatların paylanması. Yəni, bankın reputasiyasına kölgə salan belə məlumatların işçilər tərəfindən qəsdən və ya təsadüfən elektron yazışmalarda istifadə edilməsi.

Əqli mülkiyyətin pozulması. Unutmaq olmaz ki, banklarda istehsal olunan hər hansı intellektual məhsul, hər bir təşkilatda olduğu kimi, ona məxsusdur və təşkilatın maraqları istisna olmaqla, işçilər (o cümlədən, intellektual dəyərlərin generatorları və müəllifləri) tərəfindən istifadə edilə bilməz. Bu arada Rusiyada bu məsələ ilə bağlı tez-tez yaranmış intellektual məhsulu iddia edən və ondan şəxsi maraqları üçün, təşkilatın ziyanına istifadə edən təşkilatlarla işçilər arasında münaqişələr yaranır. Bu, çox vaxt müəssisədəki qeyri-müəyyən hüquqi vəziyyətlə, əmək müqaviləsində işçilərin hüquq və vəzifələrini əks etdirən dəqiq müəyyən edilmiş norma və qaydaları əks etdirmədikdə baş verir.

Gizli olmayan, lakin rəqiblər (digər banklar) üçün faydalı ola biləcək daxili məlumatların yayılması (çox vaxt qəsdən).

Rəqabət edən bankların internet səhifələrinə daxil olmaq. İndi getdikcə daha çox şirkət açıq saytlarında (xüsusən də CRM üçün nəzərdə tutulmuş) proqramlardan istifadə edir ki, bu da ziyarətçiləri tanımağa və onların marşrutlarını ətraflı izləməyə, saytdakı səhifələrə baxmaq vaxtını və müddətini qeyd etməyə imkan verir. Rəqib internet saytları təhlil və proqnozlaşdırma üçün dəyərli mənbə olub və olaraq qalır.

Ofis rabitəsindən şəxsi məqsədlər üçün sui-istifadə (dinləmək, musiqi və işə aid olmayan digər məzmuna baxmaq, ofis kompüterini yükləmək) informasiya təhlükəsizliyinə birbaşa təhdid yaratmır, lakin korporativ şəbəkədə əlavə stress yaradır, səmərəliliyi azaldır və müdaxilə edir. həmkarlarının işi ilə.

Və nəhayət, xarici təhlükələr - icazəsiz müdaxilələr və s.

Bankın qəbul etdiyi qaydalar dövlət və kommersiya sirrinin, şəxsi və şəxsi məlumatların mühafizəsi üzrə həm milli, həm də beynəlxalq səviyyədə tanınmış standartlara uyğun olmalıdır.

Alfa-Bank-da məlumatların təşkilati mühafizəsi

“Alfa Bank” ASC selektiv giriş-nəzarət metoduna əsaslanan təhlükəsizlik siyasətini həyata keçirmişdir. Alfa Bank ASC-də bu cür idarəetmə inzibatçı tərəfindən müəyyən edilmiş icazə verilən giriş münasibətləri ilə xarakterizə olunur. Giriş matrisi birbaşa şirkətin sistem administratoru tərəfindən doldurulur. Seçilmiş informasiya təhlükəsizliyi siyasətinin tətbiqi rəhbərliyin tələblərinə və informasiya təhlükəsizliyi və girişə nəzarət, hesabatlılıq tələblərinə uyğundur, həmçinin onun təşkili üçün məqbul xərclərə malikdir. İnformasiya təhlükəsizliyi siyasətinin həyata keçirilməsi tam şəkildə Alfa Bank ASC-nin sistem inzibatçısına həvalə olunub.

“Alfa Bank” ASC mövcud təhlükəsizlik siyasəti ilə yanaşı, xüsusi mühafizə vasitələri və proqram təminatından istifadə edir.

Təhlükəsizlik avadanlığı Cisco 1605-dir. Router LAN üçün iki Ethernet interfeysi (biri TP və AUI interfeysləri, digəri yalnız TP ilə) və Cisco 1600 seriyalı marşrutlaşdırıcılar üçün modullardan birinin quraşdırılması üçün bir genişləndirmə yuvası ilə təchiz edilmişdir. proqram təminatı Cisco IOSFirewallFeatureSet Cisco 1605-R-ni kiçik ofis üçün ideal çevik marşrutlaşdırıcı/təhlükəsizlik həllinə çevirir. Quraşdırılmış moduldan asılı olaraq, marşrutlaşdırıcı həm ISDN, həm də dial-up xətti və ya 1200 bps-dən 2 Mbps-ə qədər icarəyə verilmiş xətt, FrameRelay, SMDS, x.25 vasitəsilə əlaqəni dəstəkləyə bilər.

Məlumatı qorumaq üçün LAN sahibi şəbəkənin "perimetrini" təmin etməlidir, məsələn, daxili şəbəkənin xarici şəbəkə ilə qovşağında nəzarət qurmaqla. Cisco IOS hər iki standart funksiya ilə yüksək çeviklik və təhlükəsizlik təmin edir: Genişləndirilmiş giriş siyahıları (ACL), kilidləmə sistemləri (dinamik ACL) və marşrutlaşdırma icazəsi. Bundan əlavə, 1600 və 2500 seriyalı marşrutlaşdırıcılar üçün mövcud olan Cisco IOS FirewallFeatureSet hərtərəfli təhlükəsizlik xüsusiyyətlərini təmin edir, o cümlədən:

kontekstual giriş nəzarəti (CBAC)

java kilidi

jurnal

hücumun aşkarlanması və qarşısının alınması

dərhal bildiriş

Bundan əlavə, marşrutlaşdırıcı virtual üst-üstə düşən şəbəkələri, tunelləri, prioritet idarəetmə sistemini, resurs rezervasiya sistemini və müxtəlif marşrutlaşdırma idarəetmə üsullarını dəstəkləyir.

KasperskyOpenSpaceSecurity həlli proqram təminatının qorunması vasitəsi kimi istifadə olunur. KasperskyOpenSpaceSecurity korporativ şəbəkə mühafizə sistemləri üçün müasir tələblərə tam cavab verir:

bütün növ şəbəkə qovşaqlarının qorunması üçün həll;

bütün növ kompüter təhdidlərindən qorunma;

effektiv texniki dəstək;

ənənəvi imza əsaslı mühafizə ilə birləşmiş “proaktiv” texnologiyalar;

innovativ texnologiyalar və performansı yaxşılaşdıran yeni antivirus mühərriki;

istifadəyə hazır mühafizə sistemi;

mərkəzləşdirilmiş idarəetmə;

şəbəkədən kənar istifadəçilərin tam qorunması;

üçüncü tərəf həlləri ilə uyğunluq;

şəbəkə resurslarından səmərəli istifadə.

Hazırlanmış sistem fərdi məlumatların mühafizəsinə tam nəzarəti, avtomatlaşdırılmış uçotu və təhlili təmin etməli, müştərilərə xidmət müddətini azaltmalı, informasiya təhlükəsizliyi kodları və fərdi məlumatlar haqqında məlumat almalıdır.

Hazırlanan sistemə tələbi formalaşdırmaq üçün verilənlər bazasının təşkili, işlənib hazırlanan sistem üçün informasiya uyğunluğu tələblərini formalaşdırmaq lazımdır.

Verilənlər bazasının dizaynı müəyyən bir təşkilatın son istifadəçilərinin fikirlərinə - sistem üçün konseptual tələblərə əsaslanmalıdır.

Bu halda, İS şirkətin işçiləri haqqında məlumatları ehtiva edir. İnformasiya sisteminin işini əhəmiyyətli dərəcədə göstərən texnologiyalardan biri sənədlər üçün iş axını sxeminin hazırlanmasıdır.

Hazırlanmış sistemin funksiyalarına kompüter texnologiyası və proqram təminatından istifadə etməklə nail olmaq olar. Nəzərə alsaq ki, bank mütəxəssislərinin fəaliyyətində informasiya, məlumat və mühasibat sənədlərinin axtarışı iş vaxtının təqribən 30%-ni təşkil edir, avtomatlaşdırılmış uçot sisteminin tətbiqi ixtisaslı mütəxəssisləri xeyli azad edəcək, əməkhaqqı fonduna qənaətə, əmək haqqı fonduna qənaətə, əmək haqqının azaldılmasına səbəb ola bilər. işçi heyəti, həm də operatorun ştat vahidi şöbəsinin işçilərinə təqdim edilməsinə səbəb ola bilər ki, onların vəzifələri davam edən iş prosesləri haqqında məlumatların daxil edilməsini əhatə edəcək: şəxsi məlumatların uçot sənədləri və giriş kodları.

Qeyd etmək lazımdır ki, hazırlanmış sistemin tətbiqi şəxsi məlumatların və təhlükəsizlik kodlarının uçotunda səhvləri azaldacaq və ideal olaraq tamamilə aradan qaldıracaq. Beləliklə, menecer üçün avtomatlaşdırılmış iş yerinin tətbiqi əhəmiyyətli iqtisadi effektə, ştatların 1/3 ixtisarına, əmək haqqı fonduna qənaətə, əmək məhsuldarlığının artmasına səbəb olacaqdır.

Alfa-Bank, hər hansı digər bank kimi, informasiya təhlükəsizliyinin təmin edilməsi probleminə baxışlar sistemini müəyyən edən və bir və ya bir neçə qayda, prosedur, təcrübə kimi mühafizənin məqsəd və vəzifələrinin sistematik ifadəsi olan İnformasiya Təhlükəsizliyi Siyasətini işləyib hazırlamışdır. və informasiya təhlükəsizliyi sahəsində təlimatlar.

Siyasət Bankda informasiya texnologiyalarının inkişafının cari vəziyyətini və yaxın perspektivlərini, onların fəaliyyətinin məqsədlərini, vəzifələrini və hüquqi bazasını, iş rejimlərini nəzərə alır, həmçinin informasiya obyektlərinə və subyektlərinə təhlükəsizlik təhdidlərinin təhlilini ehtiva edir. Bankın münasibətləri.

Bu sənədin əsas müddəaları və tələbləri Bankın bütün struktur bölmələrinə, o cümlədən əlavə ofislərə şamil edilir. Əsas məsələlər Siyasət bu və ya digər şəkildə Bankın informasiya resurslarının təchizatçıları və istehlakçıları kimi Bankla qarşılıqlı əlaqədə olan digər təşkilat və qurumlara da şamil edilir.

Bu siyasətin qanunvericilik əsasını Rusiya Federasiyasının Konstitusiyası, Mülki və Cinayət Məcəllələri, qanunlar, fərmanlar, qərarlar və s. qaydalar Rusiya Federasiyasının mövcud qanunvericiliyi, Rusiya Federasiyasının Prezidenti yanında Dövlət Texniki Komissiyasının sənədləri, federal agentlik Rusiya Federasiyasının Prezidenti yanında hökumət rabitə və informasiya.

Siyasətdir metodoloji əsasdırüçün:

· Bankda informasiya təhlükəsizliyi sahəsində vahid siyasətin formalaşdırılması və həyata keçirilməsi;

· informasiya təhlükəsizliyi siyasətinin həyata keçirilməsi üçün idarəetmə qərarlarının qəbul edilməsi və praktiki tədbirlərin işlənib hazırlanması və müxtəlif növ informasiya təhlükəsizliyi təhdidlərinin həyata keçirilməsinin nəticələrinin müəyyən edilməsi, dəf edilməsi və aradan qaldırılmasına yönəldilmiş əlaqələndirilmiş tədbirlər kompleksinin hazırlanması;

· informasiya təhlükəsizliyinin təmin edilməsi tələblərinə uyğun olaraq informasiya texnologiyalarının yaradılması, inkişafı və istismarı üzrə işlərin aparılması zamanı Bankın struktur bölmələrinin fəaliyyətinin əlaqələndirilməsi;

· Bankda məlumatların hüquqi, normativ, texniki və təşkilati təhlükəsizliyinin təkmilləşdirilməsi üzrə təkliflərin hazırlanması.

Bankda informasiya təhlükəsizliyi sisteminin qurulmasına sistemli yanaşma Bankın məlumatlarının təhlükəsizliyinin təmin edilməsi probleminin başa düşülməsi və həlli üçün əhəmiyyətli olan bütün bir-biri ilə əlaqəli, qarşılıqlı əlaqədə olan və zamanla dəyişən elementlərin, şərtlərin və amillərin nəzərə alınmasını nəzərdə tutur.

İnformasiya təhlükəsizliyinin təmin edilməsi- Bankın Rəhbərliyi, informasiya təhlükəsizliyi bölmələri və bütün səviyyələrdə çalışan işçilər tərəfindən həyata keçirilən proses. Bu, nəinki müəyyən müddət ərzində həyata keçirilən prosedur və ya siyasət və ya bir sıra vasitələr deyil, Bank daxilində bütün səviyyələrdə daim davam etməli və Bankın hər bir əməkdaşının iştirak etməli olduğu bir prosesdir. bu prosesdə. İnformasiya təhlükəsizliyi üzrə fəaliyyətlər Bankın gündəlik fəaliyyətinin tərkib hissəsidir. Onun effektivliyi isə bank rəhbərliyinin informasiya təhlükəsizliyinin təmin edilməsində iştirakından asılıdır.

Bundan əlavə, fiziki və texniki mühafizə vasitələrinin əksəriyyəti öz funksiyalarını səmərəli yerinə yetirmək üçün daimi təşkilati (inzibati) dəstək tələb edir (adların, parolların, şifrələmə açarlarının vaxtında dəyişdirilməsini və düzgün saxlanmasını və istifadəsini təmin etmək, səlahiyyətlərin yenidən müəyyən edilməsi və s.). Mühafizə vasitələrinin işindəki fasilələr təcavüzkarlar tərəfindən istifadə olunan qorunma üsullarını və vasitələrini təhlil etmək, xüsusi proqram və aparat "əlfəcinləri" və mühafizəni aradan qaldırmaq üçün digər vasitələr tətbiq etmək üçün istifadə edilə bilər.

Şəxsi məsuliyyəthər bir işçiyə öz səlahiyyətləri daxilində informasiyanın və onun emalı sisteminin təhlükəsizliyinin təmin edilməsi üçün məsuliyyətin verilməsini öz üzərinə götürür. Bu prinsipə uyğun olaraq işçilərin hüquq və vəzifələrinin bölgüsü elə qurulur ki, hər hansı pozuntu baş verdikdə, təqsirkarların dairəsi aydın şəkildə məlum olsun və ya minimuma endirilib.

Alfa-Bank daimi olaraq istənilən istifadəçinin fəaliyyətinə nəzarət edir, hər bir təhlükəsizlik aləti və hər hansı mühafizə obyekti ilə bağlı əməliyyat nəzarəti və qeydiyyat vasitələrinin istifadəsi əsasında həyata keçirilməli və istifadəçilərin həm icazəsiz, həm də icazəli hərəkətlərini əhatə etməlidir.

Bank aşağıdakı təşkilati və inzibati sənədləri işləyib hazırlamışdır:

· Kommersiya sirri haqqında Əsasnamə. Bu Qayda təşkilatı, Bankın kommersiya sirri təşkil edən məlumatlarla işləmə qaydasını, bu məlumatlara yol verilmiş işçilərin vəzifə və məsuliyyətlərini, Bankın kommersiya sirri təşkil edən məlumatları ehtiva edən materialların dövlət (kommersiya) orqanına ötürülməsi qaydasını tənzimləyir. müəssisə və təşkilatlar;

· Rəsmi və kommersiya sirri təşkil edən məlumatların siyahısı. Siyahı məxfi kimi təsnif edilən məlumatları, qorunan məlumatlara girişə məhdudiyyətlərin səviyyəsini və müddətini müəyyən edir;

· İnformasiya təhlükəsizliyi rejiminin yaradılması üçün əmr və göstərişlər:

· işçilərin məhdud məlumatlarla işə qəbul edilməsi;

· korporativ informasiya sistemində məhdudlaşdırılmış məlumatlar ilə işləmək üçün inzibatçıların və məsul şəxslərin təyin edilməsi;

· İşçilər üçün göstərişlər və öhdəliklər:

· mühafizəyə giriş rejiminin təşkili üzrə;

· ofis işinin təşkili üzrə;

· korporativ informasiya sisteminin informasiya ehtiyatlarının inzibatçılığı;

· digər normativ sənədlər.

Nəticə

Bu gün informasiya təhlükəsizliyinin təşkili məsələsi istənilən səviyyəli təşkilatları - iri korporasiyalardan tutmuş hüquqi şəxs yaratmayan sahibkarları narahat edir. Müasir bazar münasibətlərində rəqabət mükəmməllikdən uzaqdır və çox vaxt ən qanuni üsullarla həyata keçirilmir. Sənaye casusluğu çiçəklənir. Lakin təşkilatın kommersiya sirri ilə bağlı məlumatların təsadüfən yayılması halları nadir deyil. Burada bir qayda olaraq işçilərin səhlənkarlığı, vəziyyəti anlamaması, başqa sözlə desək, “insan amili” rol oynayır.

Alfa-Bank aşağıdakı məlumatların qorunmasını təmin edir:

ticarət sirri

bank sirri

bank sənədləri (Təhlükəsizlik Departamentinin hesabatları, bankın illik smetası, bank işçilərinin gəlirləri haqqında məlumat və s.)

Bankdakı məlumatlar aşağıdakı təhlükələrlə qorunur:

· Təbii

· Süni təhdidlər (informasiya sisteminin və onun elementlərinin dizaynındakı səhvlər, personalın hərəkətlərindəki səhvlər və s. nəticəsində yaranan qəsdən (qəsdən, təsadüfi) təhlükələr; insanların eqoist, ideoloji və ya digər istəkləri ilə əlaqəli qəsdən (qəsdən) təhlükələr ( müdaxilə edənlər).

İnformasiya sisteminin özü ilə bağlı təhdid mənbələri həm xarici, həm də daxili ola bilər.

Biblioqrafiya

1. Rusiya Federasiyası Prezidentinin 17 mart 2008-ci il tarixli 351 nömrəli "Beynəlxalq məlumat mübadiləsinin informasiya və telekommunikasiya şəbəkələrindən istifadə zamanı Rusiya Federasiyasının informasiya təhlükəsizliyinin təmin edilməsi tədbirləri haqqında" Fərmanı;

Qalatenko, V.A. İnformasiya təhlükəsizliyinin əsasları. İnternet İnformasiya Texnologiyaları Universiteti. INTUIT. ru, 2008;

Qalatenko, V.A. İnformasiya təhlükəsizliyi standartları. İnternet İnformasiya Texnologiyaları Universiteti. INTUIT. ru, 2005;

Müəssisənin informasiya təhlükəsizliyi
Biznesin məlumat mühafizəsi

*Vikipediyadan

İnformasiya təhlükəsizliyi- Bu, informasiya mühitinin təhlükəsizlik vəziyyətidir. İnformasiyanın mühafizəsi qorunan məlumatların sızmasının, qorunan informasiyaya icazəsiz və qəsdən təsirlərin qarşısının alınması üzrə fəaliyyətdir, yəni bu vəziyyətə nail olmağa yönəlmiş prosesdir.

Müəssisənin informasiya təhlükəsizliyi: daxili təhlükə


Bir sıra ciddi mütəxəssislər təşkilatın informasiya təhlükəsizliyi potensial risklərin ümumi sayının 80%-ə qədərini verməklə daxili təhlükəni ən vacib adlandırır. Həqiqətən, haker hücumlarının orta hesabla zərərini nəzərə alsaq, o zaman çox sayda haker cəhdi və onların çox aşağı effektivliyi səbəbindən sıfıra yaxın olacaq. Bir insan səhvi və ya uğurlu daxili vəhşilik şirkətə milyonlarla dollar itki (birbaşa və dolayı), məhkəmə çəkişmələri və müştərilərin gözündə bədnamlığa səbəb ola bilər. Əslində, şirkətin mövcudluğu təhlükə altında ola bilər və bu, təəssüf ki, bir reallıqdır. Necə təmin etmək olar ? Özünüzü məlumat sızmasından necə qorumalısınız? Daxili təhlükəni vaxtında necə tanımaq və qarşısını almaq olar? Onunla mübarizənin hansı üsulları bu gün daha effektivdir?


İçindəki düşmən


Məxfi şirkət məlumatlarına çıxışı olan demək olar ki, hər hansı bir işçi daxili təcavüzkar və ya insayder ola bilər. İnsayderin hərəkətlərinin motivasiyası həmişə aydın olmur, bu da onu müəyyən etməkdə əhəmiyyətli çətinliklərə səbəb olur. İşəgötürənə qarşı kin saxlayan yaxınlarda işdən çıxarılan işçi; məlumat sataraq əlavə pul qazanmaq istəyən vicdansız işçi; müasir Herostrat; bir rəqibin və ya cinayətkar qrupun xüsusi implantasiya edilmiş agenti - bunlar insayderin yalnız bir neçə arxetipidir.


Daxili bədxahlığın gətirə biləcəyi bütün bəlaların kökü bu təhlükənin əhəmiyyətini lazımınca qiymətləndirməməkdir. Perimetrix tərəfindən aparılan araşdırmaya görə, şirkətin məxfi məlumatlarının 20%-dən çoxunun sızması əksər hallarda onun iflasına və iflasına gətirib çıxarır. Xüsusilə tez-tez rast gəlinən, lakin hələ də insayderlərin ən həssas qurbanı maliyyə institutlarıdır və istənilən ölçüdə - yüzlərlə və bir neçə min işçi heyəti ilə. Əksər hallarda şirkətlərin insayder hərəkətlərindən dəyən zərərin real rəqəmlərini gizlətməyə və ya əhəmiyyətli dərəcədə aşağı qiymətləndirməyə cəhd etmələrinə baxmayaraq, hətta rəsmi olaraq elan edilmiş itkilər də həqiqətən təsir edicidir. Şirkət üçün maliyyə itkilərindən qat-qat ağrılısı şirkətin reputasiyasının zədələnməsi və müştərilərin inamının kəskin şəkildə azalmasıdır. Çox vaxt dolayı itkilər faktiki birbaşa zərərdən dəfələrlə artıq ola bilər. Beləliklə, Lixtenşteyn bankı LGT-nin işi hamıya məlumdur, o zaman ki, 2008-ci ildə bir bank işçisi əmanətçilərin məlumat bazasını Almaniya, ABŞ, Böyük Britaniya və digər ölkələrin xüsusi xidmətlərinə təhvil verib. Məlum olub ki, bankın çoxlu sayda xarici müştəriləri öz ölkələrində vergi qanunlarından yan keçərək əməliyyatlar aparmaq üçün LGT-nin xüsusi statusundan istifadə ediblər. Maliyyə araşdırmaları və bununla bağlı məhkəmə prosesləri dünyanı bürüdü və LGT bankı bütün əhəmiyyətli müştərilərini itirdi, kritik itkilərə məruz qaldı və bütün Lixtenşteyni ağır iqtisadi və diplomatik böhrana sürüklədi. Çox təzə nümunələr axtarmağa da ehtiyac yoxdur - 2011-ci ilin əvvəlində Bank of America kimi maliyyə nəhəngi müştərinin şəxsi məlumatlarının sızması faktını etiraf etdi. Dələduzluq fəaliyyəti nəticəsində bankdan əmanətçilərin adları, ünvanları, sosial təminat və telefon nömrələri, bank hesabı və sürücülük vəsiqəsinin nömrələri, e-poçt ünvanları, PİN kodlar və digər şəxsi məlumatları olan məlumatlar sızdırılıb. Yalnız “10 milyon dollardan çox” məbləğ rəsmi şəkildə açıqlansaydı, bankın itkilərinin real miqyasını dəqiq müəyyən etmək çətin ki. Məlumatların sızmasına səbəb mütəşəkkil cinayətkar qruplaşmaya məlumat ötürən insayderin hərəkətləridir. Bununla belə, təkcə banklar və fondlar deyil, insayder hücumları təhlükəsi altında WikiLeaks resursunda məxfi məlumatların dərci ilə bağlı bir sıra yüksək səviyyəli qalmaqalları xatırlatmaq kifayət edəcək - ekspertlərin fikrincə, kifayət qədər məlumat insayderlər vasitəsilə əldə edilir.


həyat nəsri


Şirkət məxfi məlumatlarına qəsdən zərər vurmaq, onların sızması və ya itməsi insayderlərin vurduğu zərərdən daha tez-tez və prozaik bir şeydir. İşçi heyətin diqqətsizliyi və lazımi texniki məlumat təhlükəsizliyinin olmaması korporativ sirlərin birbaşa sızmasına səbəb ola bilər. Bu cür səhlənkarlıq nəinki büdcəyə və şirkətin reputasiyasına ciddi itkilər gətirir, həm də geniş ictimai dissonansa səbəb ola bilər. Sərbəst, məxfi məlumatlar sındırılaraq, dar bir dairənin deyil, bütün informasiya məkanının mülkiyyətinə çevrilir - sızma internetdə, televiziyada, mətbuatda müzakirə olunur. Rusiyanın ən böyük mobil operatoru MegaFon-un SMS-mesajlarının dərci ilə bağlı səs-küylü qalmaqalı xatırlayaq. Diqqətsizlik səbəbindən texniki heyət, SMS-lər internet axtarış sistemləri tərəfindən indeksləşdirilib, abunəçilərin həm şəxsi, həm də biznes xarakterli məlumatlardan ibarət yazışmaları şəbəkəyə daxil olub. Çox yaxın bir hadisə: Rusiya Pensiya Fondunun müştərilərinin şəxsi məlumatlarının dərci. Fondun regional nümayəndəliklərindən birinin nümayəndələrinin səhvi 600 nəfərin şəxsi məlumatlarının indeksləşdirilməsinə səbəb olub - adları, qeydiyyat nömrələri, PFR müştərilərinin əmanətlərinin ətraflı məbləğləri istənilən internet istifadəçisi tərəfindən oxuna bilər.


Səhlənkarlıq nəticəsində məxfi məlumatların sızmasının çox yayılmış səbəbi şirkət daxilində sənədlərin gündəlik dövriyyəsi ilə bağlıdır. Beləliklə, məsələn, işçi ofisdən kənarda məlumatlarla işləmək üçün həssas məlumatları ehtiva edən faylı noutbuka, USB belleğe və ya PDA-ya köçürə bilər. Həmçinin, məlumat bir fayl hostinq xidmətinə və ya işçinin şəxsi poçtuna daxil ola bilər. Belə vəziyyətlərdə məlumatlar qəsdən sızmadan istifadə edə bilən təcavüzkarlar üçün tamamilə müdafiəsizdir.

Qızıl zireh yoxsa bədən zirehləri?


İnformasiya təhlükəsizliyi sənayesində məlumat sızmasından qorunmaq üçün ənənəvi olaraq ingilis dilindən DLP abbreviaturası ilə işarələnən məlumatın sızmasından qorunması üçün müxtəlif sistemlər yaradılır. Məlumat sızmasının qarşısının alınması ("məlumat sızmasının qarşısının alınması"). Bir qayda olaraq, bunlar gizli məlumatların zərərli və ya təsadüfi sızmasının qarşısını almaq üçün geniş funksionallığa malik ən mürəkkəb proqram sistemləridir. Bu cür sistemlərin xüsusiyyəti ondan ibarətdir ki, onların düzgün işləməsi məlumat və sənədlərin daxili dövriyyəsinin yaxşı qurulmuş strukturunu tələb edir, çünki məlumatla bütün hərəkətlərin təhlükəsizliyinin təhlili verilənlər bazası ilə işləməyə əsaslanır. Bu, peşəkar DLP həllərinin quraşdırılmasının yüksək qiymətini izah edir: hətta birbaşa tətbiq etməzdən əvvəl, müştəri şirkət verilənlər bazası idarəetmə sistemini (adətən Oracle və ya SQL) almalı, məlumat axını strukturunun bahalı təhlili və auditini sifariş etməli və yeni təhlükəsizlik sistemi hazırlamalıdır. siyasət. Ümumi vəziyyət, bir şirkətdə məlumatın 80% -dən çoxunun strukturlaşdırılmamasıdır ki, bu da hazırlıq işlərinin miqyası haqqında vizual bir fikir verir. Təbii ki, DLP sisteminin özü də çox pul tələb edir. Təəccüblü deyil ki, milyonlarla pul xərcləmək istəyən yalnız böyük şirkətlər təşkilatın informasiya təhlükəsizliyi.


Bəs təmin etməli olan kiçik və orta biznes haqqında nə demək olar biznes məlumat təhlükəsizliyi, lakin peşəkar DLP sistemini tətbiq etmək üçün vəsait və imkanlar yoxdur? Şirkət rəhbəri və ya mühafizə işçisi üçün ən vacib məsələ hansı məlumatların qorunmasını və işçilərin informasiya fəaliyyətinin hansı tərəflərinin nəzarətə götürülməsini müəyyən etməkdir. Rusiya biznesində, məlumatı təsnif etmədən və qorunma tədbirlərinin effektivliyini hesablamadan tamamilə hər şeyin qorunmasına ehtiyac olduğu fikri hələ də üstünlük təşkil edir. Bu yanaşma ilə, xərclərin miqdarını öyrəndiyiniz tamamilə aydındır müəssisənin informasiya təhlükəsizliyi, orta və kiçik biznesin rəhbəri əlini yelləyib “bəlkə də” ümid edir.

Verilənlər bazalarına və məlumatın müəyyən edilmiş həyat dövrünə təsir etməyən, lakin müdaxilə edənlərin hərəkətlərindən və işçilərin səhlənkarlığından etibarlı müdafiəni təmin edən alternativ mühafizə üsulları mövcuddur. Bunlar həm aparat, həm də proqram təminatı ilə (məsələn, antiviruslarla) digər təhlükəsizlik vasitələri ilə problemsiz işləyən çevik modul komplekslərdir. Yaxşı dizayn edilmiş təhlükəsizlik sistemi həm xarici, həm də daxili təhdidlərə qarşı çox etibarlı qorunma təmin edir, qiymət və funksionallığın ideal balansını təmin edir. Rusiyanın informasiya təhlükəsizliyi sistemlərinin inkişaf etdiricisi şirkətinin ekspertlərinin fikrincə SafenSoft, xarici təhdidlərdən qorunma elementlərinin (məsələn, müdaxilənin qarşısının alınması üçün HIPS, üstəgəl virus skaneri) istifadəçi və proqramların ayrı-ayrı informasiya sektorlarına girişinin monitorinqi və nəzarəti üçün alətlərlə optimal birləşməsi. Bu yanaşma ilə təşkilatın bütün şəbəkə strukturu mümkün hakerlikdən və ya viruslara yoluxmaqdan tamamilə qorunur və məlumatla işləyərkən personalın hərəkətlərinə nəzarət və monitorinq vasitələri məlumat sızmasının qarşısını effektiv şəkildə ala bilir. Qoruyucu vasitələrin bütün zəruri arsenalının mövcudluğu şəraitində modul sistemlərin dəyəri mürəkkəb DLP həllərindən on dəfə azdır və şirkətin informasiya strukturunun ilkin təhlili və uyğunlaşdırılması üçün heç bir xərc tələb etmir.


Beləliklə, yekunlaşdıraq. Təhdidlər müəssisənin informasiya təhlükəsizliyi olduqca realdır, onları qiymətləndirməmək olmaz. Xarici təhlükələrə qarşı mübarizə ilə yanaşı, daxili təhlükələrə də xüsusi diqqət yetirilməlidir. Yadda saxlamaq lazımdır ki, korporativ sirlərin sızması təkcə pis niyyətlə deyil, bir qayda olaraq, işçinin elementar səhlənkarlığı və diqqətsizliyi nəticəsində baş verir. Qoruma vasitələrini seçərkən, bütün ağlasığmaz və ağlasığmaz təhdidləri əhatə etməyə çalışmamalısınız, bunun üçün sadəcə kifayət qədər pul və güc olmayacaqdır. Kənardan müdaxilə risklərindən qorunan və şirkət daxilində məlumat axınına nəzarət etməyə və nəzarət etməyə imkan verən etibarlı modul təhlükəsizlik sistemi qurun.