VIITED

1. Khovanskova V.S., Rumjantsev K.E., Khovanskov S.A. Meetod hajutatud andmetöötluse jõudluse kaitse parandamiseks arvutivõrkudes. Izvestija SFU. Tehnikateadus. - 2012. - nr 4 (129). - S. 102-107.

2. Khovanskov S.A., Norkin O.R. Hajusvõrgu andmetöötluse jõudluse suurendamise algoritm // Informatiseerimine ja side. - 2011. - nr 3. - S. 96-98.

3. Litvinenko V.A., Khovanskov S.A. Probleemide lahendamine hajutatud andmetöötluse korraldamise kaudu võrgus Izvestija SFU. Tehnikateadus. - 2008. - nr 3 (80). - S. 16-21.

4. Khovanskov S.A., Norkin O.R. Detsentraliseeritud arvutussüsteemi konfiguratsiooni algoritmiline optimeerimine // Telekommunikatsioon. - 2012. - nr 11. - S. 2-5.

5. Khovanskov S.A. Hajutatud andmetöötluse korraldus koos hierarhilise ühenduste struktuuriga // Infovastane võitlus terrorismiohtudele. - 2007. - nr 9. - S. 170-178.

6. Litvinenko V.A., Khovanskov S.A. Algoritm arvutivõrgu parameetrite optimeerimiseks, et vähendada ülesande lahendamiseks kuluvat aega mitme agendi süsteemi alusel Izvestija SFU. Tehnikateadus. - 2007. - nr 2 (77). - S. 186-190.

7. Khovanskov S.A., Litvinenko V.A., Norkin O.R. Hajutatud andmetöötluse korraldamine jälgimisprobleemide lahendamiseks Izvestija SFU. Tehnikateadus. - 2010.

- nr 12 (113). - S. 48-55.

8. Kalašnikov V.A., Trunov I.L., Khovanskov S.A. Paralleelpaigutusalgoritm mitme protsessoriga arvutisüsteemis Izvestija SFU. Tehnikateadus.

1997. - nr 3 (6). - S. 181-184.

Rumjantsev Konstantin Jevgenievitš - föderaalne riiklik autonoomne kõrgharidusasutus "Lõuna föderaalne ülikool"; e-post: [e-postiga kaitstud]; 347900, Taganrog, st. Tšehhov, 2; tel.: 88634328725; IBTKS osakond; pea osakond; tehnikateaduste doktor; professor,

Khovanskov Sergei Andrejevitš - e-post: [e-postiga kaitstud]; tel.: 88634642530; IBTCS osakond; PhD; dotsent.

Khovanskova Vera Sergeevna - e-post: [e-postiga kaitstud]; tel.: 88634676616; õpilane.

Rumjantsev Constantine Evgen’evich - föderaalse riigi omandis olev autonoomia kõrgharidusasutus “Lõuna föderaalne ülikool”; e-post: [e-postiga kaitstud]; 2, Tšehhovi tänav, Taganrog, 347900, Venemaa; telefon: +78634328725; IBTKS osakond; osakonna juhataja; dr. ing. sc.; professor.

Khovanskov Sergei Andrejevitš - e-post: [e-postiga kaitstud]; telefon: 88634642530; ISTCN-i osakond; cand. ing. sc.; dotsent.

Khovanskova Vera Sergeevna - e-post: [e-postiga kaitstud]; telefon: +78634676616; õpilane.

E.N. Efimov, G.M. Lapitskaja

INFOTURVE JA ÄRIPROTSESSID

ETTEVÕTTED

Uuringu eesmärk on näidata, et infoturve tuleks luua ja eksisteerida ettevõtte ärieesmärkide saavutamise raames. Samas on äriprotsessid ettevõtte infoturbe korraldamisel esmaseks andmeallikaks.

Infoturbe juhtimise strateegia väljatöötamisel pakuti välja ettevõtte seisundi terviklik diagnostika SWOT-analüüsi abil koos hierarhiaanalüüsi meetodil saadud tulemuste tingimusliku kvantitatiivse hindamisega.

Riskide tuvastamine on vajalik ohtude olulisuse hindamiseks ja turvasüsteemi ülesehitamiseks. Analüüsist selgus, et ettevõtte äriprotsesside riskid on rühmitatud järgmistesse kategooriatesse: riskid projekteerimisel, riskid ümberplaneerimisel ja riskid äriprotsesside kasutamise protsessis.

Ettevõtte infoturbe protsessid on soovitav automatiseerida kasutades GRC klassi süsteemi (Governance, Risk juhtimine ja Vastavus), mida tänapäeval peetakse üheks tõhusaks viisiks infotehnoloogia ja infoturbe haldamisel. Samal ajal on soovitav GRC süsteem integreerida ettevõtte äriprotsesside juhtimiseks mõeldud äriprotsesside juhtimise klassi süsteemidega.

Ärieesmärgid; Infoturbe; äriprotsessid.

E.N. Efimov, G.M. Lapitskaja

ETTEVÕTTE INFOTURVE JA ÄRIPROTSESSID

Uuringu eesmärk on näidata, et infoturvalisus peab olema loodud ja eksisteerima ettevõtete äritäisarvu saavutuste raames. Ettevõtluses on protsessid ettevõtetele infoohutuse korraldamiseks otse antud.

Juhtimisinfo ohutuse strateegiate väljatöötamisel pakutakse ettevõtetele seisundi kompleksset diagnostikat SWOT-analüüsi abil koos tingimusliku kvantitatiivse hinnangu tulemusega, mis saadakse analüüsihierarhia meetodi abil.

Identifitseerimisrisk, mis on vajalik süsteemi ohtude ja ehitiste väärtuse hindamiseks ohutusele. Analüüs on näidanud, et ettevõtete äriprotsessid on rühmitatud järgmistesse kategooriatesse: riskid projekteerimisel, riskid ümberkujundamisel ja riskid äriprotsesside kasutamise protsessis.

Automatiseerida protsessid ettevõtetele mõistlikult ohutuks GRC (Governance, Risk management and Compliance) klassi süsteemide abil, mida tänapäeval peetakse üheks tõhusaks infotehnoloogia ja infoohutuse juhtimise viisiks. Systems GRC koos sellega vajalik kompleks koos äriprotsesside juhtimise klassi süsteemiga, mis on mõeldud ettevõtete äriprotsesside juhtimiseks.

ärilistel eesmärkidel; ohutusteave; äriprotsessid.

Probleemi sõnastamine. Infoturve tuleks luua ja eksisteerida ettevõtete äriliste eesmärkide saavutamise raames. Tõhus äri on võimatu ilma kaasaegsete infotehnoloogiate (IT) kasutamiseta, mida kasutatakse peaaegu kõigi kaasaegse ettevõtte äriprotsesside toetamiseks. Tänaseks on aga trend ilmne: infoturve on muutumas konkreetsete võrkude, serverite, inforessursside kaitselt IT-toega ettevõtete äriprotsesside turvalisuseks. See eeldab kahe üksteisest sõltuva valdkonna olemasolu ettevõtte turvalisuse tagamisel: ühelt poolt äritegevuse tõhus toimimine äriprotsesside toimimise seisukohalt; teisalt toetava IT-taristu normaalne toimimine. Praegu ei ole selles konkreetses kontekstis infoturbele ühtset lähenemist.

Ettevõtte peamiste turvaprobleemide mõistmiseks on soovitatav läbi viia põhjalik välis- ja sisemise ärikeskkonna analüüs, tuua välja need komponendid, mis on tõesti olulised, koguda ja jälgida iga komponendi kohta teavet ning lähtudes hinnangust tegelikele. olukorrast, uurige välja ettevõtte olukord ja selle olukorra põhjused. Täpne, igakülgne, õigeaegne ettevõtte seisundi diagnostika on esimene etapp ohutu tegevuse juhtimise strateegia väljatöötamisel.

Levinuim viis ettevõtte strateegilise positsiooni hindamiseks on SWOT-analüüs1. SWOT-analüüsi maatriksit saab esitada järgmise komplektina:

SWOT = ,

kus St (Strengths) on organisatsiooni tugevuste kogum, St = (St1, St2, ..., Stmt); W (Weaknesses) - organisatsiooni nõrkuste kogum, W = (W1, W2, ..., Wnw); Op (Opportunities) - organiseerimisvõimaluste kogum, Op = (Op1, Op2, ., Opnop); Th (Threats) - organisatsioonile suunatud ohtude kogum, Th = (Th1, Th2, ..., Thnth).

Samas on oluline mõista, et tugevad St = (St1, St2, ..., Stnst) ja nõrgad W = (W1, W2, ..., Wnw) osapooled on ettevõtte tegevuse need komponendid, mida see saab kontrollida ning võimalused Op = (Op1, Op2, ., Opnop) ja ohud Th = (Th1, Th2, ..., Thnth) on tegurid, mis ei ole ettevõtte kontrolli all ja võivad mõjutada selle arenguprotsessi.

SWOT-analüüsi tulemused võimaldavad sõnastada ettevõtte turvastrateegia selles arenguetapis. Seda probleemi on raske vormistada, kuid nende andmete põhjal saab välja töötada palju organisatsiooni strateegiaid S = (S1, S2, ., Sn).

SWOT-maatriksi tingimuslikuks kvantitatiivseks hindamiseks on võimalik kasutada näiteks hierarhiaanalüüsi meetodit (AHP). See meetod annab kõige tõhusama võimaluse hinnata kvantitatiivselt mõõtmatuid, kuid samal ajal olulisi tegureid teadlike otsuste tegemiseks. Lisaks töötab meetod ebajärjekindlate hinnangutega ega nõua, et tarbijate või otsustaja (DM) eelistused vastaksid kasulikkuse aksioomidele. AHP võimaldab keeruliste probleemide uurimist taandada lihtsaks järjestikuse paarivõrdluse protseduuriks.

Näitena võtsime arvesse SWOT-analüüsi tulemusi telekommunikatsioonitööstuses tegutsevast ettevõttest (JSC Telecom), mis pakub kõiki sideteenuseid (juhtmega ja traadita telefonid, Interneti-juurdepääs, raadiosideteenused, teabeteenused). linn ja piirkond (artikkel ei ole antud). Tabelis on esitatud SWOT-maatriksi hilisema hindamise variant AHP abil. üks.

Tabel 1

SWOT-maatriksi hindamine

St W Op Th Prioriteetvektor Normaliseeritud vektor

St 1 1 0,33 0,33 0,58 0,10

W 1 1 0,2 0,14 0,41 0,07

Op 3 5 1 0,2 1,32 0,24

Th 3 7 5 1 3,20 0,58

IS-i järjepidevuse indeks = 0,14 ja OS-i konsistentsi suhe = 15,58< 20 % показывают удовлетворительную согласованность оценок ЛПР.

Normaliseeritud vektori väärtused jäävad vahemikku, seega saab ekspertarvutuste tulemusi tõlgendada järgmiselt: organisatsiooni "ohud" on olulised (P = 0,58), organisatsiooni "võimalused" probleemide lahendamiseks on rahuldavad. (Op = 0,24), organisatsiooni “tugevused” probleemide ületamiseks on kesised (^ = 0,1), organisatsiooni “nõrkused” ebaolulised (^ = 0,07).

1 SWOT on lühend, mis sisaldab nelja ingliskeelse sõna algustähti: tugevus ("tugevus"), nõrkus ("nõrkus"), võimalused ("võimalused") ja ohud ("ähvardused").

Selline vaade ettevõtte turvaprobleemile võimaldab täpsustada selle eesmärki ja eesmärke, objekte ja ohte, töötada välja tegevuskava äriprotsesside riskide vähendamiseks ning hinnata rakendatud meetmete tõhusust.

Tulenevalt infoturbe uuringute teatud spetsiifikast äriprotsesside turvalisuse seisukohalt tuleb ettevõttel esmalt tuvastada äriprotsesside riskid. Riskide tuvastamise eesmärk on hinnata ettevõtte kokkupuudet ohtudega, mis võivad põhjustada olulist kahju. Riskide kohta teabe kogumiseks viiakse läbi ettevõtte äriprotsesside analüüs ja teemaekspertide küsitlus. Selle protsessi tulemuseks on kõigi võimalike riskide salastatud nimekiri.

Äriprotsesside riskide tuvastamine. Äriprotsessi saab kujutada transformatsioonina:

P (X, X, X, I O) ^ Y, kus P on protsess, millel on toimingute kogum P = (Bx, B2, ..., Br); X = (Xx, X2, .. ., X) - äriprotsessi sisendvood ja nende tarnijad; Y = (Yx, Y2,..., Y) - äriprotsessi ja nende tarbijate väljundvood; R = (Rx, R2,..., R/) - äriprotsessi läbiviimiseks kasutatav ressursside kogum (tehniline, materiaalne, informatiivne); R = (R1, R2,..., Rp) on äriprotsessis realiseeritud funktsioonide kogum; I = ( 2b 12,..., 1m) - äriprotsessis osalejate ja teostajate kogum; O = (Ox, O2,..., O) - protsessi piirid ja liidesed.

Sellest definitsioonist on näha, et äriprotsessid on ettevõtte infoturbe korraldamisel esmaseks andmeallikaks.

Esiteks on vaja määratleda kaitseobjektid, s.o. mida ja milliste ohtude eest tuleks kaitsta. Kaitseobjektide hulka kuuluvad loomulikult ka ettevõtte informatsioon, äriprotsessid ja materiaalsed ressursid.

Tänapäeva infoturbe alase töö ilmselge algus on ettevõtte andmete klassifitseerimine. Klassifitseerimine on keeruline protsess, mis nõuab palju aega ja raha. Selleks, et klassifikatsioon oleks tõhus, tuleb seda pidevalt hooldada ja ajakohastada. Salastamise otstarbekus seisneb selles, et see võimaldab kindlaks teha kõik teabe säilitamise kohad ja tuvastada teabe, mida tuleks kaitsta. See võimaldab arvu minimeerida konfidentsiaalne teave. Salastamise läbiviimisel paljastuvad kunagi salajased olnud, kuid nüüdseks aktuaalsuse kaotanud dokumendid. Neid saab arhiveerida või jäädavalt kustutada.

Infovarad (IA) kui kaitseobjektid nõuavad ärisüsteemides teabe terviklikkuse, kättesaadavuse ja vajaduse korral konfidentsiaalsuse säilitamist. Võimalike ohtude analüüs näitas, et infotaristul peab olema omadus kaitsta äriprotsessides kasutatavat informatsiooni, s.o. pakkuda kaitset kaubandusliku, omandiõigusega kaitstud või tehnoloogilise teabe volitamata (tahtliku või juhusliku) vastuvõtmise, muutmise, hävitamise või kasutamise eest. Võttes arvesse äriprotsessi komponentide olemasolu ja nende omavahelisi seoseid, on potentsiaalselt ohtlikud olukorrad järgmised: rikkujate (mitte protsesside omanike ja osalejate) volitamata juurdepääs automatiseerimisvahendites salvestatud ja töödeldavale teabele tutvumise, moonutamise või hävitamise eesmärgil. . Samas võivad sisenemispunktideks olla protsessi liidesed ja piirid, samuti protsessi funktsioonide (toimingute, protseduuride) elluviimiseks vajalik informatsioon; teabe pealtkuulamine selle vastuvõtmise (edastuse) ajal sidekanalite kaudu

(võrgu) protsessifunktsioonid, samuti andmekandjate vargused; teabe hävitamine (muutmine, moonutamine) juhuslike häirete, tehniliste (tarkvara) vahendite rikete tõttu teabe edastamisel, säilitamisel ja töötlemisel; omanike ja (või) protsessis osalejate volitamata mõjutamine rikkujate äriprotsessile.

Ainevaldkonna analüüs näitas, et ettevõtte äriprotsesside riskid on soovitav tuvastada nende elutsükli kõigis peamistes etappides: projekteerimise, ümberkujundamise ja äriprotsesside kasutamise protsessis.

Riskide tuvastamine äriprotsesside kavandamisel ja ümberkorraldamisel. Juba esialgne ettevõtte põhiliste äriprotsesside kirjeldamine toob kaasa nii käegakatsutavad tööefektiivsuse parandamise tulemused kui ka võimalikud kahjud (riskid). Need on ennekõike protsesside kavandamise vigadest tulenevad riskid: mittetäielikkuse vead (lünkade olemasolu protsessi kirjelduses); ebajärjekindluse vead (inforessursside ebapiisav kasutamine protsessi erinevates osades, mis toob kaasa teabe moonutatud tajumise või juhiste ebaselguse); hierarhilise või "päriliku" kokkusobimatuse vead (konflikti olemasolu põhi- ja järgnevate protsesside vahel). Ilmselgelt tuleks lubada ka muud tüüpi vigu.

Järgmine riskiseeria tuleneb vigadest protsesside kirjeldamise metoodikas (ehk paradigmas ".methodology - model - notation - tools"): süsteemi funktsioonide kuvamisel; protsessid, mis tagavad funktsioonide täitmise; funktsioonide täitmist tagavad andmed ja organisatsioonilised struktuurid; materjali- ja infovood funktsioonide täitmise käigus.

Lisaks tuleb märkida protsessi topoloogia lahknevusest tulenevad riskid, mis ei võimalda saavutada protsessi kõige arusaadavamat kulgu, mis peegeldab ei asjade tegelikku seisu ega töökoormust arvestades optimaalset. esinejate, ressursside kättesaadavuse või muude asjaolude kohta. Protsessi topoloogia vigade analüüsi saab läbi viia mitme iteratsioonina. Selle tulemusena võib analüüsitav protsess dramaatiliselt muutuda. Näiteks funktsioonid, mida varem täideti järjestikku üksteise järel, täidetakse paralleelselt. Loomulikult ei tohiks see moonutada protsessi loogikat ja saadud tulemust.

Riskide tuvastamine äriprotsesside kasutamisel. Operatsiooniriski võib defineerida kui otseste või kaudsete kahjude riski äriprotsesside ebaõigest läbiviimisest, ebatõhusatest sisekontrolliprotseduuridest, tehnoloogilistest riketest, personali volitamata tegevusest või välismõjudest. Operatsioonirisk on kriitiline protsesside jaoks, mis on olulised organisatsiooni kui terviku tegevuse jaoks, suur tehingute arv ajaühikus, keeruline süsteem tehniline abi. Tavaliselt on tuvastatud riskitegurid sarnased sisemise tegevuskeskkonna ja äriprotsesside seisukorra näitajatega - tehingute maht, käive, vigaste toimingute protsent. Operatsiooniriskide juhtimine toimub läbipaistvate ja juhitavate äriprotsesside loomise kaudu, õige organisatsiooniline struktuur ekspertide teadmiste põhjal.

Äriprotsesside operatsiooniriskide kõrvaldamise probleemide lahendamiseks saab kasutada säästvat tootmissüsteemi ( Lahja) on Toyota tootmissüsteemil põhinev juhtimiskontseptsioon. Leani eesmärk on tuvastada, analüüsida ja kõrvaldada tootmisprotsessides tekkivaid jäätmeid. Lean kontseptsiooni kohaselt tekib äriprotsessides kaheksa tüüpi kahjusid: töötajate potentsiaali kasutamata jätmine; kaotused

ületootmisest; transpordikaod; abielust, tarbetutest raiskamisest ja ümberehitustest tulenevad kaotused; varude hoolduskaod; kaotused personali liikumisel ja liikumisel; seisakukaod; ületöötlemisest tingitud kahjud. Kahjudeks loetakse sel juhul toiminguid, millele kulutatakse aega ja materiaalseid ressursse, ilma et see tooks lõpptarbija jaoks toote või teenuse väärtust juurde.

Näiteks on vaja kaitsta äriprotsesse teostavate töötajate ebaseadusliku tegevuse, tarnijatele volitamata mõju, ressursside tarnimise mahtude ja tingimuste eest; äriprotsesside rakendamise regulatsioonid, sh. sise- ja välisliideste reguleerimine; äriprotsesside tehnoloogia jne.

Äriprotsesside kirjeldus, nende modelleerimine, järelkontroll ja tulemusanalüüs – pidev ja järjepidev tegevus operatsiooniriskide ja sellest tulenevalt kahjude kõrvaldamiseks.

Ettevõtte infoturbe protsesse saad automatiseerida kasutades GRC (Governance, Risk management and Compliance) klassi süsteeme, mida peetakse tänapäeval üheks tõhusaks infotehnoloogia ja infoturbe juhtimise viisiks.

GRC on vaade millegi juhtimisele kolmest vaatenurgast: tippjuhtkond (Governance), riskijuhtimine (Risk management) ja nõuetele vastavus (Compliance). Ettevõtte kõigi osakondade tegevust puudutava teabe töötlemise tulemuseks on äriliselt sõnastatud visuaalsed aruanded.2

Näiteks RSA Archer eGRC toote ettevõttehalduse moodul võimaldab inventeerida ja klassifitseerida ettevõtte varasid, luua ühtne register omavahel seotud varad, sealhulgas info- ja tehnoloogiavarad, äriprotsessid, kaubad ja teenused, divisjonid ja üksikud äriüksused, tootmisrajatised ja -seadmed, kontaktid vastutustundlikud töötajad ettevõtted, partnerid ja tarnijad. Iga vara jaoks määratakse selle omanik ja väärtus ettevõtte jaoks. Selle töö tulemusi saab kasutada infoturbe riskide hindamise protseduuri edasisel läbiviimisel. Integreerimine SIEM-i või DLP haavatavuse haldussüsteemidega võimaldab teil haavatavuse parandamise ja intsidentide leevendamise tähtsuse järjekorda seada varapõhiselt.3

Kõiki GRC funktsioone äriprotsesside turvalisuse kontekstis ühe IT-lahenduse abil aga praktiliselt võimatu rakendada, isegi kui see on hea. Süsteem, mis võib aidata selle kontseptsiooni probleemide lahendamisel, peaks olema sama keeruline kui GRC ülesanded ise.4 GRC süsteemiga integreerimiseks on soovitatav kasutada äriprotsesside juhtimise (BPM), Business "Performance Management" ja Business Intelligence klass , mis on loodud äriprotsesside automatiseerimiseks ja haldamiseks. Äriprotsesside ja ettevõtte infoturbe põhiobjektide vahelise seose skeem UML-i tähistuses on näidatud joonisel 1.

2 Jevgeni Bezgodov Mis on SNF ja kuidas see võib olla kasulik infoturbe seisukohalt? [Elektrooniline ressurss] http://ru.deiteriy.com/what_is_grc_and_its_ ^аЬИ-ityJnJnformation_security/.

3 SNF - viis infoturbe haldusprotsesside optimeerimiseks // Pangandusülevaade nr 9 (176) september 2013 [elektrooniline ressurss] http://www.bosfera.ru/bo/put-k-optimizatsii-protsessov

4 SNF kontseptsioonist on saanud infoturbe turu arengu järgmine etapp [Elektrooniline ressurss] http://www.cnews.ru/reviews/free/security2008/articles/grc.shtml.

Riis. 1. Äriprotsesside seos teabe põhisubjektidega

ettevõtte turvalisus

Ettevõtte äriprotsesside ja eelkõige äriprotsessidele ohte tekitava keskkonna koosmõju infoturbesüsteemi raames on toodud alloleval diagrammil (joonis 2).

Riis. 2. Äriprotsesside ja ohtusid tekitava keskkonna koostoime

Peamised järeldused.

Ettevõtte seisundi terviklik diagnostika on infoturbe juhtimise strateegia väljatöötamise esimene etapp, mida on kõige parem teostada SWOT-analüüsi abil koos soovitatud tingimusliku kvantifitseerimisega.

Analüüs näitas, et äriprotsessid on ettevõtte infoturbe korraldamisel esmaseks andmeallikaks.

Äriprotsesside infoturbe tagamine peaks algama andmeklassifikaatori väljatöötamisest, mis võimaldab tuvastada kaitseks vajalikku infot, minimeerida konfidentsiaalse info hulka ning määrata kõik info salvestuskohad, mida saab kasutada ettevõtte äriprotsesside optimeerimiseks.

Äriprotsesside võimalike riskide analüüs võimaldas tuvastada järgmised grupid: riskid äriprotsesside kavandamisel, ümberplaneerimisel ja kasutamise protsessis.

Ettevõtte infoturbe protsessid on soovitav automatiseerida GRC (Governance, Risk management and Compliance) klassisüsteemi abil, mis tuleks integreerida äriprotsesside automatiseerimiseks ja haldamiseks mõeldud äriprotsesside juhtimise, äritegevuse juhtimise või ärianalüüsi klassisüsteemidega.

VIITED

1. Kamennova M.S., Gromov A.I., Ferapontov M.M., Shmalyuk A.E. Äri modelleerimine. ARIS metoodika. - M.: Vest-MetaTechnology, 2001.

2. Saati T. Otsustamine. Hierarhia analüüsi meetod. - M.: Raadio ja side, 1993.

3. Stelmašonok E.V. Infoturbe-äriprotsesside korraldamine // Rakendusinformaatika. - 2006. - nr 2. - C. 42-57.

4. Timokhin A. Kuidas leida kõik kahjud: lean metoodika rakendamise praktika MTÜ-s ELSIB // "BOSS" nr 9, 2012.

5. Khanova A.A. Tasakaalustatud tulemuskaardi struktuur-funktsionaalne mudel juhtimisotsuste tegemisel // Vestnik ASTU Ser.: Juhtimine, arvutiteadus ja informaatika. - 2012. - nr 1. - C. 200-208.

Efimov Evgeniy Nikolaevich - Rostovi Riiklik Majandusülikool (RINH); e-post: [e-postiga kaitstud]; 344002, Rostov Doni ääres, B. Sadovaja, 69, ruum. 306 a; tel.: 89525721917; infotehnoloogia ja infokaitse osakond; Dan.; Professor.

Lapitskaja Galina Melkonovna - e-post: [e-postiga kaitstud]; tel.: 89286050143; infotehnoloogia ja infokaitse osakond; Ph.D.; Professor.

Efimov Jevgeni Nikolajevitš - Rostovi Riiklik Majandusülikool; e-post: [e-postiga kaitstud]; 69, B. Sadovaja tänav, ruum 306 a, Rostov-on-Don, 344002, Venemaa; telefon: +79525721917; osakonna infotehnoloogiad ja infoturve; dr.ec. sc.; professor.

Lapickaya Galina Melkovna - e-post: [e-postiga kaitstud]; telefon: +79286050143; osakonna infotehnoloogiad ja infoturve; cand.ec. sc.; professor.

Sissejuhatus

Ettevõtlusjuhid peavad mõistma infoturbe tähtsust, õppima ennustama ja juhtima selle valdkonna suundumusi.

Tänapäeva äri ei saa eksisteerida ilma infotehnoloogiata. Teatavasti sõltub umbes 70% maailma rahvuslikust kogutoodangust ühel või teisel viisil infosüsteemidesse salvestatud teabest. Arvutite laialdane kasutuselevõtt on tekitanud lisaks üldtuntud mugavustele ka probleeme, millest tõsiseim on infoturbe probleem.

Koos juhtnupud arvutite ja arvutivõrgud standard pöörab suurt tähelepanu turvapoliitika väljatöötamisele, tööle personaliga (värbamine, väljaõpe, töölt vabastamine), järjepidevuse tagamisele tootmisprotsess, seaduslikud nõudmised.

Kahtlemata on see kursusetöö teema aastal väga aktuaalne kaasaegsed tingimused.

Kursusetöö objekt: infoturve ametialane tegevus organisatsioonid.

Õppeaine: infoturbe tagamine.

Kursusetöös on kavas luua projektijuhtimise otsus infoturbe korraldamise kohta reaalse elukorralduse baasil.

Peatükk 1. Kutsetegevuse infoturve

Infoturbe tagamine on spetsialistide jaoks suhteliselt uus kutsetegevuse valdkond. Selliste tegevuste peamised eesmärgid on:

Kaitse tagamine välis- ja siseohtude eest inforessursside moodustamise, levitamise ja kasutamise valdkonnas;

Kodanike ja organisatsioonide teabe konfidentsiaalsuse ja saladuse hoidmise õiguste rikkumise ennetamine;

Tingimuste tagamine, mis takistavad teabe tahtlikku moonutamist või varjamist seadusliku aluse puudumisel.

Selle valdkonna spetsialistide kliendid on:

Vene Föderatsiooni föderaalsed riigivõimu ja haldusorganid;

Vene Föderatsiooni moodustavate üksuste riigiasutused;

Riigiasutused, organisatsioonid ja ettevõtted;

Kaitsetööstus;

Kohalikud omavalitsusorganid;

Mitteriikliku vormi asutused, organisatsioonid ja ettevõtted
vara.

MTS-i mobiilsideettevõtte klientide andmebaasi tasuta, ehkki ebaseadusliku müügi ilmumine sunnib meid ikka ja jälle pöörduma arvutiturbe probleemi poole. Tundub, et see teema on ammendamatu. Selle asjakohasus on seda suurem, mida kõrgem on äriettevõtete arvutistamise tase ja mittetulundusühingud. Kõrgtehnoloogiline, mis mängib revolutsioonilist rolli ettevõtluse ja peaaegu kõigis muudes kaasaegse ühiskonna aspektides, muudavad nende kasutajad teabe ja lõpuks ka majandusliku turvalisuse osas väga haavatavaks.

See pole probleem mitte ainult Venemaal, vaid enamikus maailma riikides, eelkõige lääneriikides, kuigi on seadused, mis piiravad juurdepääsu isikuandmetele ja seavad selle säilitamisele ranged nõuded. Turud pakuvad erinevaid süsteeme arvutivõrkude kaitsmiseks. Kuidas aga kaitsta end omaenda "viienda kolonni" eest – hoolimatute, ebalojaalsete või lihtsalt hoolimatute töötajate eest, kellel on juurdepääs salastatud teabele? MTS-i kliendiandmebaasi skandaalne leke ei saanud ilmselt toimuda ilma ettevõtte töötajate kokkumängu või kuritegeliku hooletuseta.

Tundub, et paljud, kui mitte enamik ettevõtjaid lihtsalt ei mõista probleemi tõsidust. Isegi arenenud turumajandusega riikides puudub mõne uuringu järgi 80% ettevõtetest läbimõeldud, planeeritud hoidlate kaitsesüsteem, toimivad andmebaasid. Mida me saame öelda meie kohta, kes oleme harjunud toetuma kuulsale "võib-olla".

Seetõttu pole asjatu pöörduda konfidentsiaalse teabe lekkimisest tulenevate ohtude teema juurde, rääkida meetmetest selliste riskide vähendamiseks. Selles aitab meid väljaanne Legal Timesis (21. oktoober 2002), juriidiline väljaanne (Mark M. Martin, Evan Wagner, “Information Vulnerability and Security”). Autorid loetlevad teabeohtude tüüpilisemad tüübid ja meetodid. Mida täpsemalt?

Ärisaladuste salastatuse kustutamine ja vargus. Siin on kõik enam-vähem selge. Klassika, läheb iidne ajalugu, majanduslik spionaaž. Kui varasemaid saladusi hoiti salajastes kohtades, massiivsetes seifides, usaldusväärse füüsilise ja (hiljem) elektrooniline turvalisus Kuid tänapäeval on paljudel töötajatel juurdepääs kontori andmebaasidele, mis sisaldavad sageli väga tundlikku teavet, näiteks samu kliendiandmeid.

Kompromiteerivate materjalide levitamine. Siin peavad autorid silmas sellise info tahtlikku või juhuslikku kasutamist elektroonilises kirjavahetuses, mis heidab varju ettevõtte mainele. Näiteks kajastub ettevõtte nimi korrespondendi domeenis, kes lubab oma kirjades laimamist, solvanguid, ühesõnaga kõike, mis võib organisatsiooni kompromiteerida.

Intellektuaalomandi rikkumine. Oluline on mitte unustada, et igasugune organisatsioonis toodetud intellektuaalne toode kuulub organisatsiooni ja seda ei saa kasutada töötajad (sh intellektuaalsete väärtuste loojad ja autorid) muul viisil kui organisatsiooni huvides. Samal ajal tekivad Venemaal selles küsimuses sageli konfliktid organisatsioonide ja töötajate vahel, kes nõuavad enda loodud intellektuaalset toodet ja kasutavad seda organisatsiooni kahjuks isiklikes huvides. Sageli juhtub see ettevõtte ebamäärase juriidilise olukorra tõttu, kui tööleping ei sisalda selgelt määratletud norme ja reegleid, mis kirjeldaksid töötajate õigusi ja kohustusi.

Siseteabe (sageli tahtmatu) levitamine, mis ei ole salajane, kuid võib olla kasulik konkurentidele. Näiteks uutest vabadest töökohtadest seoses äri laienemisega, komandeeringutest ja läbirääkimistest.

Konkurentide veebisaitide külastused. Nüüd kõik rohkem ettevõtteid kasutada oma avatud saitidel programme (eriti CRM-i jaoks mõeldud programme), mis võimaldavad teil külastajaid ära tunda ja nende marsruute üksikasjalikult jälgida, salvestada saidi lehtede vaatamise aja ja kestuse. Selge on see, et kui sinu külastus konkurendi veebilehele on tema operaatorile detailselt teada, siis pole viimasel raske järeldada, mis sind täpselt huvitab. See ei ole üleskutse kõige olulisemast kanalist loobuda konkurentsivõimeline teave. Konkurentide veebisaidid on olnud ja jäävad väärtuslikuks analüüsi- ja prognoosiallikaks. Aga saite külastades tuleb meeles pidada, et jätad jälgi ja sind ka jälgitakse.

Kontorisuhtluse kuritarvitamine isiklikuks otstarbeks (muusika ja muu tööga mitteseotud sisu kuulamine, vaatamine, kontoriarvuti allalaadimine) ei kujuta otsest ohtu infoturbele, kuid tekitab lisapingeid ettevõtte võrgus, vähendab efektiivsust ja segab. kolleegide tööga.

Ja lõpuks välised ohud – volitamata sissetung jne. See on eraldi tõsise arutelu teema.

Kuidas kaitsta end sisemiste ohtude eest? Lihtsalt pole 100% garantiid kahjude vastu, mida teie enda töötajad võivad tekitada. See on inimlik tegur, mida ei saa täielikult ja tingimusteta kontrollida. Samas annavad eelpool mainitud autorid kasulikke nõuandeid – arendada ja rakendada ettevõtte sees selgelt sõnastatud kommunikatsiooni (või info) poliitika. Selline poliitika peaks tõmbama selge piiri selle vahel, mis on kontoriside kasutamisel lubatud ja mis mitte. Piiriületus toob kaasa karistuse. Peaks olema süsteem jälgimiseks, kes ja kuidas arvutivõrke kasutab. Ettevõtte poolt vastuvõetud reeglid peavad vastama nii siseriiklikele kui ka rahvusvaheliselt tunnustatud riigi- ja ärisaladuse, isiku- ja erateabe kaitse standarditele.

Peatükk 2. Infoturbe tagamine

kutsetegevus OÜ-s "Laspi"

2.1. Laspi LLC lühikirjeldus

Laspi LLC asutati 1995. aastal Tšehhi ettevõtte esindusena Venemaal. Ettevõte tegeleb Tšehhi seadmete ja tarbekaupade tarnimisega erinevate betoontoodete tootmiseks (al sillutusplaadid ja lõpetades piirdeaedade, lillepottidega jne). Seadmed on kvaliteetsed ja mõistlikud. Samara kontorisse pöörduvad kliendid organisatsioonid erinevatest Venemaa ja SRÜ linnadest (Kaasan, Ufa, Iževsk, Moskva, Nižni Novgorod jne). Loomulikult nõuab selline mastaapne tegevus ettevõttesiseselt erilist suhtumist infoturbesse.

Tänapäeval jätab infoturve palju soovida. Erinevat dokumentatsiooni (tehniline, majanduslik) leiate avatud juurdepääs, mis võimaldab peaaegu igal ettevõtte töötajal (asutajast juhini) sellega vabalt tutvuda.

Eriti tähtsaid dokumente hoitakse seifis. Seifi võtmed on ainult direktoril ja tema sekretäril. Kuid siin mängib olulist rolli niinimetatud inimfaktor. Tihti unustatakse võtmed kontorisse lauale ja seifi saab avada isegi koristaja.

Majandusdokumentatsioon (aruanded, arved, arved, arved jne) on paigutatud kaustadesse ja riiulitesse kapis, mis ei ole lukustatud.

Töötajad ei sõlmi tööle kandideerimisel ärisaladusi puudutavaid mitteavaldamise lepinguid, mis ei keela neil sellist teavet levitada.

Töötajate värbamine toimub vestluse teel, mis koosneb kahest etapist: 1. suhtlemine vahetu juhiga (millel selguvad potentsiaalse töötaja oskused ja võimed) 2. suhtlemine asutajaga (see on oma olemuselt isiklikum ja sellise dialoogi lõpetamine võib olla kas "töötage koos" või "me ei tööta").

Kõik see nõuab juhtkonnalt suuremat tähelepanu ja kompetentset programmi ettevõtte infoturbe tagamiseks, sest täna on Laspi OÜ-l väga palju konkurente, kes tõenäoliselt ei jäta kasutamata võimalust kasutada ära näiteks kliendibaasi või ettevõtte tarnijate baas.

2.2. Laspi OÜ kutsetegevuse infoturbe tagamiseks juhtimisotsuse eelnõu.

Oluline koht organisatsiooniliste, halduslike, õiguslike ja muude meetmete süsteemis, mis võimaldavad kvalitatiivselt lahendada teadus-, tööstus- ja kaubandustegevuse teabetoetuse, salastatud teabe materjalide kandjate füüsilise ohutuse ja nende lekke vältimise probleeme. , ärisaladuse säilitamise hõivab esitajate salastatud dokumentidele ja teabele juurdepääsu lubav süsteem.

Võttes arvesse RSFSRi seadust "Ettevõtete ja ettevõtlustegevuse kohta", võib ettevõtte (ettevõtte) juht, olenemata omandivormist, kehtestada ärisaladust jätvale teabele ja selle kandjatele juurdepääsuks erieeskirjad. nende turvalisuse tagamine.

Turvameetmete süsteemis on oluline ettevõtte saladust jätva tootmis-, äri-, finants- ja krediidiinfo optimaalne jaotus konkreetsete tööde teostajate ja dokumentide vahel. Teabe jagamisel tuleb ühelt poolt tagada, et konkreetsele töötajale antakse talle pandud töö kvaliteetseks ja õigeaegseks täitmiseks täielik andmemaht, teiselt poolt aga välistada esineja tutvustamine mittevajaliku salastatud teabega, mida ta tööks ei vaja.

Töövõtja seadusliku ja põhjendatud juurdepääsu tagamiseks ettevõtte ärisaladuseks olevale teabele on soovitatav välja töötada ja rakendada ettevõtetes asjakohane lubade süsteem.

Juurdepääsu all mõistetakse ettevõtte juhilt (või tema sanktsiooniga teistelt juhtidelt) kirjaliku loa saamist konkreetse (või täieliku) salastatud teabe väljastamiseks ühele või teisele töötajale, arvestades tema ametikohustusi (ametlikke volitusi). ).

CT-le juurdepääsu saab registreerida vastavalt direktori kinnitatud juurdepääsulubade süsteemi määrustele, kus volitused on seadusega fikseeritud ametnikud ettevõtetele teabe levitamiseks ja selle kasutamiseks. Organisatsiooni juht võib lubada mis tahes kaitstud teabe kasutamist selle ettevõtte igal töötajal või mõnest teisest organisatsioonist objekti saabunud isikule probleemide lahendamiseks, kui selle teabe suhtes ei kehti tootmis- ja äripartnerite tutvustuspiirangud. ühistootmises jne P. Seega soovitab Laspi OÜ piirata juurdepääsu ärisaladuseks olevale teabele (lepingud tarnijate ja klientidega, tehingute lõpparuanded) järgmistel töötajatel:

1. Ettevõtte asutaja.

2.firma direktor.

3. direktori sekretär.

Teistele töötajatele teabele juurdepääsu loa saab anda ainult ettevõtte asutaja ja juhataja.

Juurdepääs teabele klientidega tehtavate tehingute kohta peaks olema kõigil ülalnimetatud töötajatel ja juhtidel, kes neid tehinguid teevad.

Piirata tuleks ka esialgset teavet seadmete ostuhindade kohta. Sellele pääsevad ligi ainult asutaja, ettevõtte direktor, kes annavad ülejäänud töötajatele ainult juba välja töötatud hinnad (erinevate “lisadega”), samuti sekretär, kes juhib kogu organisatsiooni dokumendivoogu.

Litsentsisüsteemi tõhus toimimine on võimalik ainult siis, kui järgitakse teatud reegleid:

1. Lubamissüsteem hõlmab kohustusliku reeglina juurdepääsu võimaldamisel diferentseeritud lähenemist, võttes arvesse selle salastatud teabe olulisust, mille suhtes juurdepääsu küsimust otsustatakse.

2. Teatud kaitstud teabe kasutamise õiguse saamiseks on vaja dokumenteerida väljastatud luba. See tähendab, et kasutusõiguse andnud juht peab selle kirjalikult fikseerima vastaval dokumendil või praeguses ettevõttes. raamatupidamise vorm. Ükski suuline juhis või juurdepääsutaotlus kellegi (v.a ettevõtte juhi) poolt ei ole õiguslikult siduv. See nõue kehtib ka kõikide tasandite juhtide kohta, kes töötavad salastatud teabe ja selle kandjatega. Seega on ainult juhi kirjalik luba (volituste piires) loaks ühele või teisele isikule kaitstud teabe väljastamiseks.

3. Kontrolli põhimõtet tuleks rangelt järgida. Igal loal peab olema selle väljaandmise ja väljaandmise kuupäev.

Laialdaselt kasutatakse sellist traditsioonilist loa tüüpi, nagu pea resolutsioon kõige salastatud dokumendil. Selline luba peab sisaldama dokumentidega tutvuma või neid vormistama kohustatud töötajate nimesid, täitmise tähtaega, muid juhiseid, juhataja allkirja ja kuupäeva. Juht saab vajadusel ette näha piirangud konkreetsete töötajate juurdepääsule teatud teabele.

Lahutust kui loa tüüpi kasutatakse peamiselt väljastpoolt saadud ja ettevõttes loodud dokumentides ja toodetes sisalduva salastatud teabe viivitamatuks edastamiseks huvitatud isikutele.

Juurdepääsuloa saab anda ettevõtte juht haldusdokumentides: korraldused, juhised, juhised ettevõttele. Need peaksid sisaldama isikute nimesid, ametikohti, konkreetseid klassifitseerimisdokumente ja tooteid, millele neid saab lubada (tutvuda).

Teist tüüpi load - vastavalt nende isikute perekonnanimekirjadele, kellel on õigus tutvuda ja teha mis tahes toiminguid salastatud dokumentide ja toodetega. Vastavalt perekonnanimekirjadele kinnitab need ettevõtte direktor või kehtiva lubade süsteemi kohaselt juhid, kes reeglina ei tööta vastavate osakondade juhatajatest madalamatel ametikohtadel.

Vastavalt isikute perekonnanimekirjadele saab neid kasutada ettevõtte jaoks eriti olulistele salastatud dokumentidele ja toodetele juurdepääsu korraldamisel, turvaruumidesse juurdepääsu registreerimisel, erinevatele kinnistele üritustele (konverentsid, koosolekud, näitused, koosolekud). teadus- ja tehnikanõukogude jne.). Perenimekirjades saab välja tuua konkreetsed juhid, keda pea lubab ilma vastava kirjaliku loata kõikidele suletud dokumentidele ja toodetele. Need näitavad täisnime. töövõtja, osakond, ametikoht, dokumentide ja toodete kategooria, millele ta on lubatud. Praktikas on rakendatav ka töönimekirjade versioon, mis näitab: töövõtja ametikohta, dokumentide mahtu (dokumentide kategooriaid) ja toodete tüüpe, mida peavad kasutama ettevõtte töötajad, kes hõivavad vastava ametikoha. nimekirja. Tuleb märkida, et ettevõtete jaoks, kus on väike hulk salastatud dokumente ja tooteid, võib piisata selliste lubade kasutamisest nagu pea resolutsioon dokumendil endal, perekonnanimekirjade, töönimekirjade kaupa.

Organisatsiooniliselt peaksid perenimekirjad koostama huvitatud juhid struktuurijaotused. Nimekirja kantud töötajate nimekirja kinnitab Julgeolekunõukogu juht ja kinnitab ettevõtte juht, kes saab kooskõlastusõigusi direktoraadi hulgast teistele isikutele delegeerida.

Litsentsisüsteem peab vastama järgmistele nõuetele:

kohaldada kõiki ettevõttes saadaolevate salastatud dokumentide ja toodete tüüpe, olenemata nende asukohast ja loomisest;

määrab juurdepääsu korra kõigile CT-ga töötamise õiguse saanud töötajate kategooriatele, samuti ajutiselt ettevõttesse saabunud spetsialistidele, kes on seotud suletud ühistellimustega;

kehtestama kaitstud dokumentidele ja toodetele juurdepääsulubade väljaandmiseks lihtsa ja usaldusväärse korra, mis võimaldab teil viivitamatult reageerida teabevaldkonna muutustele ettevõttes;

· selgelt piiritlema erinevate ametlike tasandite juhtide õigused asjakohastele esitajate kategooriatele juurdepääsu kujundamisel;

välistada dokumentide ja toodete kontrollimatu ja volitamata väljastamise võimalus kellelegi;

· mitte lubada salastatud teabe ja objektidega töötavatel isikutel teha ühtlastes andmetes muudatusi, samuti asendada raamatupidamisdokumente.

Lubade süsteemi väljatöötamisel tuleks erilist tähelepanu pöörata ettevõtte jaoks põhilise, eriti väärtusliku teabe esiletoomisele, mis tagab sellele rangelt piiratud juurdepääsu. Teiste ettevõtete (organisatsioonide), välismaiste ettevõtete või nende üksikute esindajatega tehtava ühistöö korral on vaja ette näha nende kategooriate ettevõtte ärisaladusele juurdepääsu kord. Soovitatav on kindlaks määrata riiklike teenindusorganisatsioonide esindajatega suhtlemise kord: tehniline järelevalve, sanitaar- ja epidemioloogiajaam jne.

Ettevõtte litsentsisüsteemi eeskirjades on vaja märkida, et salastatud dokumentide ja toodete üleandmine töövõtjalt töövõtjale on võimalik ainult struktuuriüksuse sees ja selle juhi loal. Toodete selliste dokumentide üleandmine, tagastamine toimub ettevõtte poolt kehtestatud korras ja ainult antud päeva tööajal.

Kõik salastatud dokumendid ja tooted, mille ettevõte saab ja sellel arendatakse, aktsepteerivad ja võtavad arvesse keskastme juhtkonda ja sekretäri. Pärast registreerimist esitatakse dokumentatsioon kviitungi vastu vaatamiseks ettevõtte juhile.

Ettevõtte lubade süsteemi reglemendis on vaja märkida, et kinnised koosolekud ametlike küsimuste üle toimuvad ainult ettevõtte juhi või tema asetäitjate loal. Erinõuded võivad kehtida õppenõukogude koosolekutele, teadus- ja arendustegevuse ning finants- ja äritegevuse tulemuste ülevaatamise koosolekutele jms. Selliste ürituste jaoks on soovitatav koostada tõrgeteta lubade nimekirjad ja lisada neisse ainult need ettevõtte töötajad, kes on otseselt seotud kavandatavate sündmustega ja millest osavõtt on tingitud ametlikust vajadusest.

Nagu eespool märgitud, võivad teiste ettevõtete töötajad kinnistel koosolekutel osaleda ainult ettevõtte juhtkonna isiklikul loal. Koostab reeglina nimekirjad, mis vastutab koosoleku korraldamise eest, kontaktides huvitatud struktuuriüksuste juhtidega. Nimekiri on aluseks sellele koosolekule pääsemise kontrolli korraldamisel. Enne koosoleku algust hoiatatakse kohalviibijaid, et arutatav teave on konfidentsiaalne ega kuulu levitamisele väljaspool ettevõtte kehtestatud käibe ulatust, ning antakse juhiseid arvestuse pidamiseks.

Oluline on rõhutada, et teatud korra kehtestamine salastatud teabe ja toodete käitlemiseks ettevõttes suurendab oluliselt ärisaladuse kaitsmise usaldusväärsust, vähendab selle teabe avalikustamise, kandjate kadumise tõenäosust.

Dokumentide ohutuse tagamiseks on ettepanek soetada sobiv mööbel, mis võimaldab dokumente turvaliselt lukustada. Samuti on vaja iga päev, enne lahkumist, kapid pitseerida.

Seifi ja kappide võtmed tuleb anda allkirja vastu üle turvateenistusele. Samuti on soovitatav soetada võtmete hoidmiseks spetsiaalne toru ja sulgeda see samamoodi.

Erilist tähelepanu tuleks pöörata arvutiteabe turvalisusele. Laspi OÜ-s on tänaseks loodud mitmeid andmebaase: ettevõtte kliendid (märkides lisaks töökoha aadressidele ja telefoninumbritele ka kodused aadressid, samuti isikuandmed); andmebaas, mis sisaldab tarnitavate seadmete hindu ja omadusi; organisatsiooni töötajate andmebaas. Arvutisse salvestatakse ka erinevad lepingud, kokkulepped jms.

Igal juhul on selle teabe konkurentide kätte saamine äärmiselt ebasoovitav. Selle stsenaariumi vältimiseks on soovitatav luua igale andmebaasile juurdepääsuks paroolid (ja tarkvaratööriistad võimaldavad seda). Arvuti käivitamisel on soovitatav määrata ka kahetasemeline kaitse (BIOSi laadimisel ja OS Windows'2000 laadimisel, mis erinevalt selle operatsioonisüsteemi eelmistest versioonidest ei võimalda paroolivaba juurdepääsu kõvaketta sisule) . Loomulikult peaksid paroolid olema kättesaadavad ka ainult nendele ettevõtte töötajatele, kes nende andmebaasidega otseselt töötavad (sekretär, juhid, programmeerijad).

Arvutiga seotud probleemide ja välisettevõtte poole pöördumise vajaduse korral on vaja seadmete parandamise protsessi täielikult kontrollida. Kuna just sel hetkel, kui kõik paroolid eemaldatakse, on programmeerijal "väljastpoolt" vaba ja takistamatu juurdepääs kõvaketta sisule, on tal võimalik infot kinni võtta ja seda edasi erinevatel eesmärkidel kasutada.

Peate hoidma oma viirusetõrjetarkvara ajakohasena, et vältida viiruste sattumist arvutisse ja nende levikut.

Erilist tähelepanu tuleks pöörata uute töötajate värbamisele. Tänapäeval praktiseerivad paljud organisatsioonid sellele protsessile karmimat lähenemist, mis on seotud sooviga hoida infot ettevõtte sees ja mitte lasta sellel "inimfaktori" tõttu sellest kaugemale minna.

Kui enamik töölevõtmisest toimub kahes etapis (nagu eespool kokku võetud), on siin soovitatud neli etappi.

1. Vestlus personaliosakonna juhatajaga. Personaliosakonna juhataja tutvub kandidaadiga, tema CV-ga, esitab küsimusi kutsetegevuse kohta, teeb eelmärkmeid. See samm on professionaalne. Seejärel analüüsib personaliosakonna juhataja kandidaatidelt saadud infot ja edastab selle juhatajale.

2. Jõuda tutvuda kandidaatide CV-de ja märkmetega nende kohta personaliosakonna juhataja poolt, valides välja sobivaimad ja kutsub vestlusele. Intervjuu on isiklik ja kaasav mittestandardsed küsimused(näiteks, mida inimesele meeldib süüa, mis on tema hobi jne) Seega saab juht teavet, et otsustada, kui sobiv see inimene talle sobib, ennustab võimalikke probleeme, mis tal selle kandidaadiga suheldes kokku võivad tulla.

3. Testimine. Siin määratakse juba töötaja intelligentsuse tase, tema psühholoogiline portree koostatakse erinevate testide põhjal. Kõigepealt tuleb aga kindlaks teha, kuidas juht ja kolleegid uut töötajat näha soovivad.

4. Turvateenus. Siin on välja pakutud kaks etappi: a) kandidaatide kontrollimine erinevates kohtuasjades (kas ta anti kohtu ette, kas ta oli vangistuskohas ära teeninud, kas ta on arvel narkomaania ambulatooriumis, kas ta on andnud teavet varasemate kohta töökohad on tõsi); b) eriseadmete kontrollimine, mida kõige sagedamini nimetatakse "valedetektoriks". Teises etapis tehakse kindlaks, kui lojaalne on töötaja ettevõttele, millised on tema reaktsioonid provokatiivsetele küsimustele (näiteks mida ta teeb, kui saab teada, et keegi kolleegidest viib dokumente koju) jne.

Ja alles pärast seda, kui kandidaat on kõik need neli etappi läbinud, saate otsustada, kas võtta ta tööle või mitte.

Pärast positiivse otsuse tegemist määratakse töötajale katseaeg (Vene Föderatsiooni seaduste kohaselt võib see varieeruda 1 kuni 3 kuud, kuid soovitatav on vähemalt 2 kuud ja eelistatavalt 3 kuud). Katseajal peaksid juhtkond ja turvateenistus uuel töötajal silma peal hoidma, tema tegevust jälgima.

Lisaks on koheselt töölevõtmisel vaja koos töölepingu sõlmimisega allkirjastada ärisaladuse mitteavaldamise leping. Selle lepingu soovitatavad klauslid:

See ei ole täielik loetelu sellest, mida leping võib sisaldada.

Järeldus

Infoturbe korraldamise teema on tänapäeval mures igasuguse tasemega organisatsioonidele – suurkorporatsioonidest kuni juriidilist isikut moodustamata ettevõtjateni. Konkurents tänapäevastes turusuhetes pole kaugeltki täiuslik ja seda ei teostata sageli kõige seaduslikumal viisil. Tööstusspionaaž õitseb. Kuid on ka organisatsiooni ärisaladusega seotud teabe tahtmatu levitamise juhtumeid. Reeglina mängib siin rolli töötajate hoolimatus, olukorra mittemõistmine ehk teisisõnu "inimfaktor".

Kursusetöös esitatakse Laspi OÜ-s infoturbe korraldamise juhtimisotsuse eelnõu. Projekt puudutab kolme peamist turvakorralduse valdkonda: 1. dokumentatsiooniala (juurdepääs paberkandjal esitatud materjalidele koos selle juurdepääsu piiritlemisega); 2.arvuti turvalisus; 3. turvalisus uute töötajate palkamisel.

Tuleb meeles pidada, et kuigi see projekt töötati välja konkreetse organisatsiooni jaoks, saab selle sätteid kasutada ka teiste keskmise suurusega ettevõtete turvalisuse korraldamiseks.

Saada oma head tööd teadmistebaasi on lihtne. Kasutage allolevat vormi

Üliõpilased, magistrandid, noored teadlased, kes kasutavad teadmistebaasi oma õpingutes ja töös, on teile väga tänulikud.

Infoturve ettevõtluses

Sissejuhatus

Kaitstav teave

Kelle eest tuleks teavet kaitsta?

Andmekaitse

Järeldus

Kirjandus

Sissejuhatus

Praeguseks on turvaprobleem ettevõtluses üks pakilisemaid. Sageli mõistetakse turvalisuse all aga ainult personali ja materiaalsete varade füüsilist kaitset. Kuid nii saab vastu seista ainult kuritegevusele. Samal ajal seisab iga organisatsioon turusuhetesse astudes silmitsi ägeda konkurentsiga, mis eksisteerib igal tsiviliseeritud turul. Ja see võitlus on ettevõtte jaoks täis ohte. Kui ettevõte on oma äritegevuses edu saavutanud, äratab see kahtlemata märkimisväärset huvi konkureerivate ettevõtete seas. Igasugune teave ettevõtte töö kohta äratab nende tähelepanu. Seetõttu muutub infoturve oluliseks osaks kaasaegne süsteemäri turvalisus.

"Kellele kuulub teave, sellele kuulub maailm." See tõde muutub eriti aktuaalseks 21. sajandi künnisel, mil postindustriaalne ajastu asendub infoajastuga. Uuel sajandil muutub äriinfoturbe küsimus veelgi olulisemaks.

Käesoleva töö eesmärk on käsitleda infoturbe olemust ettevõtluses.

Selle eesmärgi kohaselt püstitati järgmised ülesanded:

Määrata kaitstava teabe liigid ja allikad;

Tuvastada objektid, mille kohta kellegi teise teave huvi pakub;

Tutvustada teabekaitse meetodid.

Kaitstav teave

Infoturbe probleemi mõistmiseks vastame kolmele küsimusele:

Millist teavet peame kaitsma?

Kelle eest ja mille eest me seda kaitsma peame?

Kuidas me peame teavet kaitsma?

Millist teavet me siis kaitsma peame? Meie infoturbesüsteemi tõhusus sõltub peamiselt sellest, kui õigesti me sellele küsimusele vastuse määrame. Esiteks on vaja teavet kaitsta: Gorokhov P.K. Infoturve. - M.: Raadio ja side, 2005.

Ettevõttele kuuluvatest konkurentsieelistest

Selle töö tehnoloogiate kohta

Ettevõtte raha- ja materjalivoogude liikumisest

Ettevõtte strateegilistest plaanidest

Uute toodete kohta.

Olenevalt ettevõtte tegevuse iseloomust saab infokaitseobjektide loetelu täiendada. Seega on enamikul ettevõtetel mõttekas hoida teavet ka konkurentide eest salajas: Gorokhov P.K. Infoturve. - M.: Raadio ja side, .2005

Oma klientide kohta

Ettevõtte personali kohta.

Oluline on mõista, et ettevõte peaks kaitsma kaugeltki kogu talle kuuluvat teavet, vaid ainult seda, mille kasutamine kolmandate isikute poolt võib ettevõtte tegevust kahjustada. Vastupidi, on ka sellist infot, mille ettevõttel on lihtsalt vaja avalikustada. Seega pole mõtet kaitsta teavet meie hindade kohta konkurentide eest. Kuid teave hindade ja tingimuste kohta, mille alusel me tooteid, toorainet ja materjale ostame, tuleb hoida konkurentide eest saladuses. Ettevõtte liigne lähedus võib potentsiaalsete partnerite, klientide ja investorite poolt sellesse negatiivset suhtumist tekitada. See kehtib eriti ettevõtete kohta, kes plaanivad oma väärtpabereid paigutada. Et seda ei juhtuks, peab ettevõte esmalt kindlaks määrama, millist infot, millises mahus ja millise regulaarsusega ta peaks avalikustama. Sel juhul saate keskenduda Lääne teabe avalikustamise standarditele. Samad standardid on väärtpabereid pakkuvatele ettevõtetele kehtestanud ka Föderaalne Väärtpaberituru Komisjon. Avaldamiseks nõutav teave hõlmab järgmist: Kaasaegne äri: Eetika, kultuur, turvalisus. - M.: GPNTB, 2007.

Aastaaruanded (bilanss, kasumiaruanne, rahavoogude aruanne)

Aktsionäride andmed

Andmed oluliste aktsiatehingute kohta.

Mis puudutab avalikustamisele mittekuuluvat teavet, siis peab organisatsioon selle salastatuse astme järgi klassifitseerima ja iga kategooria jaoks välja töötama infoturbe standardid.

Kelle eest tuleks teavet kaitsta?

Ettevõte seisab oma tegevuses silmitsi erinevate organisatsioonidega, mis moodustavad tema keskkonna. Need on: Rastorguev S.P. Infosõda. - M .: Raadio ja side, 2007. konkureerivad ettevõtted, kliendid, partnerid, maksuhaldurid reguleerivad asutused.

Nagu eespool märgitud, näitavad konkurendid erilist huvi erinevat tüüpi teabe vastu. Ja just nende tegevus on ettevõttele suurim oht. Ettevõtte turuosa on ju konkurentidele alati maitsev suutäis ja kahju, mis tuleneb erinevat laadi teabe lekkimisest, näiteks väljalaskmiseks ettevalmistatava toote omaduste kohta, võib olla korvamatu.

Mis puutub partneritesse, siis nende huvi teie ettevõtet puudutava teabe vastu võib olla tingitud ennekõike kaalutlustest enda turvalisus. Seetõttu on vaja luua kõige soodsamad tingimused, et nad saaksid ettevõtte kohta teavet, mis ei välju viljakaks koostööks vajalikest raamidest. Siin on vaja selgelt määratleda, millise teabega on tegemist, et seda õigeaegselt ja täies mahus esitada ning piirata juurdepääsu muule teabele.

Teave, mida kliendid soovivad saada, on väga spetsiifiline. Need on: Infoühiskond: Infosõjad. Infohaldus. Infoturve / Toim. M. A. Vus. - M.: Peterburi kirjastus. un-ta, 2006. üldinfo ettevõtte ja selle toodete kohta, info ettevõtte töökindluse kohta, info hindade kohta.

Klientide jaoks on oluline tagada, et selline teave oleks võimalikult kättesaadav. Infokaitsest rääkides tuleb mõista, et “onnist prügi välja viimine” oleks ebasoovitav. Sama kehtib aga suhete kohta partneritega. Seetõttu on eriti oluline selgelt määratleda, millist ettevõttesisest teavet ei tohi avalikustada.

Ettevõtte suhted maksu- ja reguleerivate asutustega on spetsiifilised. Neil asutustel on neile teabe esitamiseks oma erinõuded. Suhetes nendega on oluline täita täielikult nende nõudeid, anda teavet õigeaegselt ja vajalikus mahus, kuid mitte seda mahtu ületades. Sel juhul võib nii pakutava teabe puudumine kui ka liig viia kõige ebasoovitavamate tagajärgedeni.

Järgmine oluline küsimus on arusaamine, millise teabe eest tuleks kaitsta. Ebasoovitavad tegevused, mida saab teha organisatsiooni saladuseks oleva teabega, on: Infoühiskond: Infosõjad. Infohaldus. Infoturve / Toim. M. A. Vus. - M.: Peterburi kirjastus. un-ta, 2006. olulise teabe hävitamine, avatud teabe moonutamine, salajase teabe omamine, konfidentsiaalse elektroonilise teabe kopeerimine, ettevõtte poolt nõutavale teabele juurdepääsu sulgemine või piiramine, juurdepääsupiiranguga teabele omavoliline juurdepääs.

Enne teabe kaitsmise meetmete kaalumist peatugem sellel, milliste vahendite ja meetoditega saab ettevõtte kohta vajalikku teavet hankida. Majandusluure või tööstusspionaaži vahendeid ja meetodeid on kaks suurt rühma: Infoturve: Proc. humanitaarteaduste ülikoolidele. ja sotsiaalmajanduslikud. erialad. - M.: intern. suhted: Kroonik, 2007.

Teabe kogumise meetodid spetsiaalsete seadmete abil

Info fragmentaarse kogumise meetodid.

Eriseadmete kasutamisega seotud tööstusspionaaži hulka kuuluvad: Infoturve: Proc. humanitaarteaduste ülikoolidele. ja sotsiaalmajanduslikud. erialad. - M.: intern. suhted: Kroonik, 2007.

Telefonivestluste kuulamine

Ruumi pealtkuulamine

televisiooni jälgimine

Arvutivõrgu sissetung

Monitoridelt teabe lugemine.

Kõik need meetodid on väga aeganõudvad ja kallid ning neid saavad kasutada vaid suured konkurendid ja õiguskaitseorganid. Selliseid toiminguid saab teostada ainult professionaal, mis muudab sellised toimingud eriti ohtlikuks.

Teabe fragmentaarse kogumise meetodid hõlmavad järgmist: Infoturve: Proc. humanitaarteaduste ülikoolidele. ja sotsiaalmajanduslikud. erialad. - M.: intern. suhted: Kroonik, 2007.

Telefoni luure. Palju infot ettevõtte kohta saab telefoni teel, helistades mõnel usutaval ettekäändel, näiteks asutamiseks ärikontaktid või statistilise uuringu läbiviimine. Kui ettevõtte töötajad ei ole piisavalt teadlikud, millist teavet ei tohi avaldada, siis riskite olulise teabe teadmata lekkimisega.

Valed läbirääkimised. Seda väga levinud meetodit kasutades saavad teie konkurendid end tutvustada näiteks teiena potentsiaalsed kliendid või partneritele ja eelläbirääkimistel saada palju neile huvipakkuvat teavet juhuks, kui te ei alluta neid eelkontrollile ja olete nende suhtes liiga avatud. Sellise teabe hankimiseks on eriti soodne pinnas mitmesugused näitused.

Töötajate värbamine. Konkureeriva ettevõtte spetsialistide tööle kutsumine võimaldab mõnikord selle tegevuse kohta palju teada saada. Isegi kui inimene sündsuse huvides ei anna välja infot, mis oli tema eelmises töökohas saladus, võib tema teadmiste, harjumuste, käitumise järgi teha arvukalt järeldusi konkureeriva ettevõtte töö kohta. Mõned ettevõtted praktiseerivad ka töötajate "võltsküttimist", meelitades neid kõrge palgaga. Arvukate intervjuude ja intervjuude käigus saavad nad tema ettevõtte kohta palju teada, samas kui ta ei saa kunagi uut tööd.

Võistleja personali tutvustus enda töötajad. See tööstusspionaaži meetod on kõige ohtlikum, kuna tutvustades oma inimest kellegi teise meeskonda, saate ettevõtte kohta teada igasugust teavet, mis kuulub selle töötaja pädevusse. Ja kui ettevõte ei võta kasutusele meetmeid, et piirata juurdepääsu siseinfole, siis võib tavaline töötaja ettevõttest teada peaaegu kõike.

Seega oleme jõudnud äriinfo turvalisuse kõige olulisema küsimuseni – kuidas kaitsta teavet?

Andmekaitse

Üldiselt taandub ettevõtte infoturbe tagamine kahe suure ülesande lahendamisele: Stepanov E. A., Korneev I. K. Infoturve ja infokaitse. - M.: INFRA-M, 2008.

Teabe terviklikkuse ja ohutuse tagamine.

Teabe kaitsmine volitamata juurdepääsu eest.

Kaaluge meetmeid teabe terviklikkuse ja ohutuse tagamiseks. Reeglina salvestatakse teave:

Paberkandja

Elektrooniline meedia.

Dokumendid säilitatakse tavaliselt paberil. Dokumentide koopiate arv on piiratud, mõnikord võivad need eksisteerida ka ühes eksemplaris. Siis muudab nende kaotamine taastumise võimatuks. Et seda ei juhtuks, on vaja pidada ranget arvestust kõigi dokumentide üle, säilitada neid sobivates tingimustes ja tagada neile juurdepääsukontroll. Võimaluse korral tuleks teabe koopiaid hoida ja säilitada spetsiaalselt varustatud kohtades. Samas on oluline, et originaale ja koopiaid hoiustatakse eraldi ruumides. Lisaks on soovitav võimalusel töötada koopiatega ja hoida originaale salajastes hoiuruumides. See võib olla eriti oluline ettenägematutes olukordades, nagu tulekahju või vargus.

Praegu on selge trend elektroonilise meedia kasutuse laienemise suunas. Paljudes ettevõtetes toimub kogu paberimajandus elektroonilisel kujul. Ettevõtete infostruktuuri lahutamatuks osaks on erinevad elektroonilised andmebaasid. Heli- ja videoinfot hoitakse ka elektroonilisel meedial. AT viimased aastad isegi maksed tehakse elektrooniliselt. Ja samal ajal seda elektrooniline teave on hävimise ja kahjustuste poolest kõige haavatavam. Fakt on see, et elektrooniline meedia ei ole eriti vastupidavad ja seadmete ebaõige käsitsemine võib põhjustada teabe juhuslikku hävimist. Teiseks suureks ohuks on arvutiviirused, mis on viimasel ajal laialt levinud. Elektroonilise teabe kahjustamise ja hävimise eest kaitsmiseks kasutatavate meetmetena kasutavad nad tavaliselt: Stepanov E. A., Korneev I. K. Infoturve ja teabekaitse. - M.: INFRA-M, 2008.

Varundusteave. Seda tehakse iga päev ja see annab võimaluse taastada teavet kuni ühe päeva sügavusele. Igapäevaseid koopiaid hoitakse tavaliselt arvutivõrgust eraldi.

Üleliigsete serverite saadavus kohalikus võrgus. Võimaldab teil põhiserveri tõrke korral tööd mitte katkestada.

Katkematu toiteallikate kasutamine. Võimaldab kaitsta ettevõtte arvutivõrku elektrivõrgu probleemidega kaasneva infokao eest.

Infoarhiivide loomine. Kogu olulisem teave arhiveeritakse, salvestatakse irdkandjale ja salvestatakse spetsiaalselt varustatud ruumis. Veelgi enam, usaldusväärsuse suurendamiseks tuleks teha mitu koopiat ja hoida neid üksteisest sõltumatult. Kanduri valimisel tuleks erilist tähelepanu pöörata selle töökindlusele ja vastupidavusele.

Viirusetõrje. Arvutivõrgu tõhusaks kaitsmiseks viiruserünnakute eest tuleks kõiki väljast tulevaid faile kontrollida. Selleks on soovitatav keelata kohtvõrgu tööjaamades kettaseadmed ning kõik välised failid kirjutada alles läbi võrguadministraatori pärast vastavat viirusetõrjet. Soovitatav on keelata oma organisatsioonis diskettide kasutamine. Suurim viirusoht on Interneti kasutamisega seotud. Viirusetõrjesüsteem on vaja ehitada nii, et kõik Interneti kaudu tulevad failid kontrollitakse enne kasutamist. Samuti peaksite enne varundamist läbi viima igapäevase ennetava kontrolli.

Juurdepääsupiirang. Et vältida juhuslikku kahjustumist või vajaliku teabe või tarkvara eemaldamist, peaksite piirama iga ettevõtte kohtvõrgu kasutaja juurdepääsu ainult talle vajaliku teabega. Kui teavet soovitakse kaitsta kasutaja enda eest, tuleks kasutada kirjutuskaitstud juurdepääsu.

Nüüd kaaluge meetmeid teabe kaitsmiseks volitamata juurdepääsu eest.

Infolekke vastu võitlemise kõige olulisem vahend on töö personaliga. Kõige olulisem samm on personali valik. Ettevõttesse tööle kandideerides tuleks tähelepanu pöörata mitte ainult ettevõtlusele ja professionaalsed omadused kandidaadid ja ennekõike nende inimlikud omadused – korralikkus, ausus, lojaalsus. Pärast töölevõtmist on aeg-ajalt vaja läbi viia töötajate tegevuse varjatud jälgimist, et vältida võimalikke infolekkeid. Samuti on vajalik, et juhtkond oleks alati teadlik oma alluvate probleemidest, et vältida selliseid olukordi, kus lisatulu otsimine või liigne ambitsioon sunnib inimest ettevõtte saladusi müüma.

Kõik need meetmed ei anna aga tulemust, kui ettevõttes ei töötata välja selget süsteemi teabele juurdepääsu piiritlemiseks. Olenevalt ettevõttes valitsevast hierarhiast peab igal töötajal olema juurdepääs rangelt määratletud hulgale teabele. Lisaks on vajalik siseriiklik säte ametliku teabe ja ärisaladuste kohta ning selgelt määratleda iga dokumendi salastatuse määr.

Kõige tõhusam viis teabe kaitsmiseks soovimatu juurdepääsu eest on teabe killustamine. See põhimõte seisneb selles, et igal töötajal peaks olema ainult tema töövaldkonnaga seotud teave. Seega jaguneb igasugune info töötajate vahel ära ning ükski salajane info ei saa olla ühele inimesele täielikult kättesaadav. Seetõttu ei saa ta teadlikult ega alateadlikult kogu saladust kellelegi edastada.

Tehnilisi vahendeid kasutades tööstusspionaaži eest kaitsmiseks on vaja kasutada erivahendeid. Praegu on iga "vea" jaoks "veavastane". Oluline on regulaarselt läbi viia asjakohaseid kontrolle, pidevalt jälgida turvaauke. Saate oluliselt vähendada võimalust kasutada enda vastu spionaaži tehnilisi vahendeid, kui teil on ruumidesse hästi toimiv läbipääsusüsteem. Kõigi ettevõttesisese töötajate ja külaliste liikumiste arvestamine ning sise- ja välistelevisiooni jälgimine ei kaitse teid täielikult, kuid aitab mõnel juhul teie vastu suunatud tegevusi tuvastada ja ära hoida. Ja loomulikult on volitamata juurdepääsu eest kaitsmise peamine objekt elektrooniline teave. Selle kaitsmise peamised meetodid on: Stepanov E. A., Korneev I. K. Infoturve ja teabekaitse. - M.: INFRA-M, 2008.

Juurdepääsu kontroll. Nagu eespool märgitud, peaks iga töötaja kohalikus võrgus töötama ainult selle teabega, mida ta vajab oma tööülesannete täitmiseks. See kehtib eriti organisatsioonide puhul, mis kasutavad suuri integreeritud automatiseeritud süsteeme. Juurdepääsu eraldamise eiramine või selle ebaõige rakendamine võib viia selleni, et tavatöötajatel on ettevõtte tegevuse kohta peaaegu kogu teave. Samuti on vaja võrgu kasutajate tööd salvestada ja perioodiliselt jälgida.

Sisemise arvutivõrgu lokaliseerimine. Infolekke vältimiseks tuleks võrku installida arvutid, millel pole kettaseadmeid ja paralleelporte. See muudab võimatuks teabe allalaadimise ettevõtte arvutitest.

Kõige olulisemate arvutite väljajätmine kohalikust võrgust. Volitamata juurdepääsu tõenäosuse vähendamiseks on soovitatav ühendada kohtvõrku ainult ühe tehnoloogilise protsessiga ühendatud arvutid. Tõsi, reeglina on selliseid arvuteid enamus. Küll aga on soovitav, et firmajuhtidel oleks oma iseseisvad arvutid, millele ligipääs on vaid neil endil.

Töö lokaliseerimine Internetiga. Ülemaailmne arvutivõrk on tulvil palju ohte mitte ainult viiruserünnakute, vaid ka ettevõtete arvutivõrkude häkkimise seisukohalt. Selle vältimiseks on vaja eraldada ettevõtte sisevõrk ja Internet. Väikestes ettevõtetes on ülemaailmses võrgus töötamiseks võimalik eraldada eraldi kohalik arvuti. Siiski edasi suurettevõte kus enamik töötajaid kasutab Internetti, pole see alati võimalik. Sel juhul tuleks tööjaamad enne Internetti sisenemist seadistada režiimile, kus arvuti on kohalikust võrgust lahti ühendatud.

Teabe krüpteerimine. Seda meetodit kasutatakse peamiselt teabe edastamisel modemi kaudu telefoniliinide kaudu, kuna on võimalus, et kolmandad osapooled võivad sellist teavet pealt kuulata. Praegu on olemas sertifitseeritud krüptoprogrammid ja neid tuleb kasutada, kui kasutate püsivaid elektroonilisi teabeedastuskanaleid.

Elektrooniline digitaalallkiri. Tagab modemi kaudu edastatava teabe usaldusväärsuse. Toimib kaitsena edastatud teabe tahtliku moonutamise eest. Praegu on olemas sertifitseeritud programmid digitaalne allkiri erineva kaitseastmega. Selliste vahendite kasutamine on eriti oluline elektrooniliste maksete kasutamisel ja kõrgendatud salastatusega sõnumite edastamisel.

Järeldus

Kõiki kirjeldatud meetmeid ei tohiks rakendada üksteisest eraldi. Tõhusa infokaitse tagamiseks on vaja välja töötada ettevõtte infoturbe süsteem. Ainult need meetmed koos võivad teie ettevõtet usaldusväärselt kaitsta soovimatute kahjude eest. Igal organisatsioonil on oma spetsiifika ja vastavalt sellele peab tal olema oma infoturbesüsteemi struktuur. Selle valiku õigsus sõltub probleemiga tegelevate töötajate ja ettevõtte juhtide professionaalsusest. Sellise süsteemi kõige olulisem komponent peaks olema regulaarne analüüs nõrkused” ja vajalike abinõude rakendamist võimalike hädade ärahoidmiseks.

Kokkuvõtteks tahan märkida, et infoturbesüsteemi loomisel on ühelt poolt oluline mitte koonerdada, sest kahjud võivad olla mõõtmatult suuremad, ja teisalt mitte üle pingutada, et mitte. visata raha ära tarbetutele pseudokaitsemeetmetele ja mitte takistada infovoogude liikumist . Turvalisust pole kunagi liiga palju, kuid me ei tohi seda kunagi unustada peamine eesmärk turvasüsteemid - organisatsiooni usaldusväärse ja katkematu toimimise tagamine.

Kirjandus

1. Gorokhov P. K. Infoturve. - M.: Raadio ja side, 2002.

2. Infoturve: Proc. humanitaarteaduste ülikoolidele. ja sotsiaalmajanduslikud. erialad. - M.: intern. suhted: Kroonik, 2007.

3. Infoühiskond: infosõjad. Infohaldus. Infoturve / Toim. M. A. Vus. - M.: Peterburi kirjastus. aasta, 2006.

4. Rastorguev S. P. Infosõda. - M.: Raadio ja side, 2005.

5. Kaasaegne äri: eetika, kultuur, ohutus. - M.: GPNTB, 2004.

6. Stepanov E. A., Korneev I. K. Infoturve ja teabe kaitse. - M.: INFRA-M, 2008.

Sarnased dokumendid

Linuxi OS-i struktuur ja omadused, selle arendamise ajalugu. Infoturve: kontseptsioon ja reguleerivad dokumendid, infolekke suunad ja selle kaitse. Infoturbesüsteemi loomise arvestus ja selle efektiivsuse uuring.

kursusetöö, lisatud 24.01.2014


Peamised teabelekke kanalid. Peamised konfidentsiaalse teabe allikad. Infokaitse põhiobjektid. Põhitöö infoturbesüsteemi arendamise ja täiustamise alal. Venemaa Raudtee infoturbe kaitse mudel.

kursusetöö, lisatud 09.05.2013


Infoturbe tagamine tänapäeva Venemaal. Meetodite analüüs teabe kaitsmiseks juhusliku või tahtliku sekkumise eest, mis kahjustab selle omanikke või kasutajaid. Õping juriidiline tugi infoturbe.

test, lisatud 26.02.2016


Infoturbe tunnused ja tunnused, mille all mõistetakse teabe ja seda toetava infrastruktuuri turvalisust juhuslike või pahatahtlike mõjutuste eest. Infoturve Internetis. Viirusetõrje funktsioonid.

test, lisatud 24.02.2011


Infoturbe mõiste, mõiste ja klassifikatsioon, ohtude liigid. Teabe kaitsmise vahendite ja meetodite kirjeldus juhuslike ohtude, volitamata sekkumise ohtude eest. Infokaitse krüptograafilised meetodid ja tulemüürid.

kursusetöö, lisatud 30.10.2009


Välised ohud infoturbele, nende avaldumisvormid. Tööstusspionaaži vastase kaitse meetodid ja vahendid, selle eesmärgid: konkurendi kohta teabe hankimine, teabe hävitamine. Konfidentsiaalsele teabele volitamata juurdepääsu viisid.

test, lisatud 18.09.2016


Infoturbe tagamise kontseptsioon ja aluspõhimõtted. Turvalisuse kontseptsioon automatiseeritud süsteemides. Vene Föderatsiooni õigusaktide alused infoturbe ja teabekaitse, litsentsimise ja sertifitseerimisprotsesside valdkonnas.

loengute kursus, lisatud 17.04.2012


Infoturvet kahjustada võivate toimingute kategooriad, selle tagamise meetodid. Ettevõtte ulatus ja majandustulemuste analüüs. Ettevõtte infoturbesüsteem ja meetmete komplekti väljatöötamine selle moderniseerimiseks.

lõputöö, lisatud 15.09.2012


Infoturbe eesmärgid. Venemaa peamiste infoohtude allikad. Infoturbe olulisus erinevatele spetsialistidele ettevõtte ja huvigruppide seisukohast. Meetodid teabe kaitsmiseks tahtlike infoohtude eest.

esitlus, lisatud 27.12.2010


Infoturbe mõiste, tähendus ja suunad. Süsteemne lähenemine infoturbe korraldamisele, teabe kaitsmisele volitamata juurdepääsu eest. Infokaitse vahendid. Infoturbe meetodid ja süsteemid.

Vene Föderatsiooni haridus- ja teadusministeerium

föderaalne riigieelarveline õppeasutus

erialane kõrgharidus

"PERM RIIKLIKU UURIMUS

POLITEHNILINE ÜLIKOOL"

Test

distsipliini järgi

ETTEVÕTTE TEABETURVUS

Teema "Infoturve ettevõtluses Alfa-Panga näitel"

Lõpetanud õpilane

FK-11B grupp:

Smyshlyaeva Maria Sergeevna

Õpetaja kontrollis:

Šaburov Andrei Sergejevitš

Perm – 2013

Sissejuhatus

Järeldus

Bibliograafia

Sissejuhatus

Enamiku ettevõtete inforessursid kuuluvad kõige väärtuslikumate ressursside hulka. Sel põhjusel peavad ärilised, konfidentsiaalsed andmed ja isikuandmed olema usaldusväärselt kaitstud väärkasutuse eest, kuid samal ajal kergesti juurdepääsetavad üksustele, kes on seotud selle teabe töötlemisega või kasutavad seda määratud ülesannete täitmisel. Spetsiaalsete tööriistade kasutamine selleks aitab kaasa ettevõtte äritegevuse jätkusuutlikkusele ja elujõulisusele.

Nagu näitab praktika, on ärikaitse korraldamise küsimus tänapäevastes tingimustes muutunud kõige aktuaalsemaks. "Avatakse" veebipoode ja tühjendatakse klientide krediitkaarte, šantažeeritakse kasiinosid ja loosimisi, manipuleeritakse ettevõtete võrkudega, arvutid "zombeeritakse" botnettideks ning identiteedipettused on muutumas riiklikuks katastroofiks.

Seetõttu peavad ettevõtete juhid teadvustama infoturbe olulisust, õppima ennustama ja juhtima selle valdkonna trende.

Käesoleva töö eesmärgiks on Alfa-Panga näitel välja selgitada äriinfo turvasüsteemi eelised ja puudused.

Alfa-Bank OJSC tegevuse iseloomustus

Alfa-Bank asutati 1990. aastal. Alfa-Bank on universaalpank, mis teostab finantsteenuste turul kõiki peamisi pangaoperatsioone, sealhulgas teenindab era- ja ärikliendid, investeerimispangandus, kaubanduse finantseerimine ja varahaldus.

Alfa-Banki peakontor asub Moskvas, kokku on avatud 444 panga filiaali ja filiaali Venemaa piirkondades ja välismaal, sealhulgas tütarpank Hollandis ning finantstütarettevõtted USA-s, Suurbritannias ja Küprosel. Alfa-Pank annab tööd umbes 17 000 töötajale.

Alfa-Bank on koguvarade, kogukapitali ja hoiuste poolest suurim Venemaa erapank. Pangal on suur kliendibaas nii äriklientidest kui ka eraisikutest. Alfa-Pank areneb universaalpangana põhivaldkondades: ettevõtete ja investeerimisäri(kaasa arvatud väikesed ja keskmine äri(VKEd), kaubandus ja struktureeritud finantseerimine, liising ja faktooring, jaekaubandus (sealhulgas harupangandus, autolaenud ja hüpoteegid). Erilist tähelepanu pööratakse ettevõtete äritegevusele mõeldud pangatoodete arendamisele massi- ja VKE-segmendis, samuti kaugiseteeninduskanalite ja Interneti-aktiarvestuse arendamisele. Alfa-Panga strateegilisteks prioriteetideks on Venemaa juhtiva erapanga staatuse säilitamine, stabiilsuse tugevdamine, kasumlikkuse tõstmine, asutamine. tööstusstandardid valmistatavus, efektiivsus, klienditeeninduse kvaliteet ja töö sidusus.

Alfa-Bank on üks aktiivsemaid Venemaa panku globaalsetel kapitaliturgudel. Juhtivad rahvusvahelised reitinguagentuurid annavad Alfa-Bankile Venemaa erapankade seas ühe kõrgeima reitingu. See on olnud kliendikogemuse indeksis 1. kohal neli korda järjest. Jaepangandussektor pärast finantskriisi, mille viis läbi Senteo koos PricewaterhouseCoopersiga. Ka 2012. aastal pälvis Alfa-Bank tunnustuse parim internet Ajakirja GlobalFinance andmetel pälvis pank parima analüütika eest Rahvusliku Börsiosaliste Assotsiatsiooni (NAUFOR) poolt, sai parimaks Venemaa erapangaks uuringufirma Romir arvutatud usaldusindeksis.

Praegu on pangal föderaalse tasandi võrgustik, mis hõlmab 83 müügikohta. Alfa Pangal on kommertspankade seas üks suurimaid võrgustikke, mis koosneb 55 kontorist ja hõlmab 23 linna. Võrgustiku laienemise tulemusena on pangal täiendavad võimalused oma kliendibaasi suurendamiseks, pangatoodete valiku ja kvaliteedi laiendamiseks, piirkondadevaheliste programmide elluviimiseks ning suuremate ettevõtete põhiklientidele terviklike teenuste pakkumiseks.

Äriinfoturbe küsimuse teoreetiliste aluste analüüs

Asjakohasusja infoturbe tagamise probleemi olulisus on tingitud järgmistest teguritest:

· Infoturbevahendite kaasaegsed arengutasemed ja -määrad jäävad infotehnoloogiate arengutasemetest ja -kiirustest kõvasti maha.

· Erinevates valdkondades kasutatavate personaalarvutite pargi kõrged kasvumäärad inimtegevus. Gartner Dataquesti uuringute kohaselt on maailmas praegu üle miljardi personaalarvuti.

infoturbe äripank

· Arvutusressurssidele ja andmemassiividele otsejuurdepääsu omavate kasutajate ringi järsk laienemine;

Praeguseks on oluliselt suurenenud pankades hoitava info tähtsus, koondunud on oluline ja sageli ka salajane info paljude inimeste, ettevõtete, organisatsioonide ja isegi tervete riikide finants- ja majandustegevuse kohta. Pank salvestab ja töötleb väärtuslikku teavet, mis mõjutab paljude inimeste huve. Pank hoiab oluline teave oma klientide kohta, mis laiendab potentsiaalsete sissetungijate ringi, kes on huvitatud sellise teabe varastamisest või kahjustamisest.

Üle 90% kõigist kuritegudest on seotud panga automatiseeritud infotöötlussüsteemide kasutamisega. Seetõttu peavad pangad ASOIB-i loomisel ja kaasajastamisel pöörama suurt tähelepanu selle turvalisuse tagamisele.

Põhitähelepanu tuleks pöörata pankade arvutiturvalisusele, st. panga infoturbe valdkonna aktuaalseima, keerukama ja pakilisema probleemina panga automatiseeritud infotöötlussüsteemide turvalisus.

Infotehnoloogia kiire areng on avanud uusi ärivõimalusi, aga toonud kaasa ka uute ohtude esilekerkimise. Konkurentsi tõttu müüakse kaasaegseid tarkvaratooteid vigade ja puudustega. Arendajatel, sealhulgas oma toodetes erinevate funktsioonidega, pole aega loodud tarkvarasüsteemide kvaliteetseks silumiseks. Nendesse süsteemidesse jäetud vead ja vead põhjustavad juhuslikke ja tahtlikke infoturbe rikkumisi. Näiteks enamiku juhusliku teabekao põhjusteks on tõrked tarkvara ja riistvara töös ning enamik arvutisüsteemide vastu suunatud ründeid põhinevad tarkvaras leitud vigadel ja vigadel. Nii avastati näiteks esimese kuue kuu jooksul pärast Microsoft Windowsi serveri operatsioonisüsteemi väljaandmist 14 turvaauku, millest 6 on kriitilised. Kuigi aja jooksul töötab Microsoft välja hoolduspakette, mis parandavad tuvastatud puudusi, kannatavad kasutajad juba allesjäänud vigade tõttu infoturbe rikkumiste all. Kuni need paljud teised probleemid pole lahendatud, on infotehnoloogia arengule tõsine pidur infoturbe ebapiisav tase.

Under infoturbemõistetakse teabe ja seda toetava infrastruktuuri turvalisust juhuslike või tahtlike loomulike või tehislike mõjude eest, mis võivad tekitada lubamatut kahju teabesuhete subjektidele, sealhulgas teabe ja tugiinfrastruktuuri omanikele ja kasutajatele.

Kaasaegses ärimaailmas toimub materiaalsete varade migreerumine teabele. Organisatsiooni arenedes muutub keerukamaks tema infosüsteem, mille peamiseks ülesandeks on tagada äritegevuse maksimaalne efektiivsus pidevalt muutuvas konkurentsitihedas turukeskkonnas.

Informatsiooni kui kaubana käsitledes võib öelda, et infoturbe tagamine üldiselt võib kaasa tuua märkimisväärse kulude kokkuhoiu, sellele tekitatud kahju aga materiaalseid kulutusi. Näiteks originaaltoote tootmistehnoloogia avalikustamine toob kaasa sarnase toote ilmumise, kuid teiselt tootjalt ning infoturbe rikkumise tulemusena kaotab tehnoloogia omanik ja võib-olla ka autor osa turust jne. Teisest küljest on informatsioon kontrolli subjekt ja selle muutumine võib juhtobjektis kaasa tuua katastroofilisi tagajärgi.

Vastavalt standardile GOST R 50922-2006 on infoturbe tagamine tegevus, mille eesmärk on vältida teabe lekkimist, volitamata ja tahtmatut mõju kaitstud teabele. Infoturve on oluline nii ettevõtetele kui ka riigiasutustele. Inforessursside igakülgse kaitse eesmärgil tegeletakse infoturbesüsteemide ehitamise ja arendamisega.

On palju põhjuseid, mis võivad kohalike ja globaalsete võrkude tööd tõsiselt mõjutada, põhjustades väärtusliku teabe kadumise. Nende hulgas on järgmised:

Volitamata juurdepääs väljastpoolt, teabe kopeerimine või muutmine juhuslikud või tahtlikud tegevused, mis põhjustavad:

andmete moonutamine või hävitamine;

kõrvalistele isikutele panga-, finants- või riigisaladust sisaldava teabe tutvustamine.

Tarkvara ebaõige töö, mis põhjustab andmete kadumist või riknemist järgmistel põhjustel:

vead rakenduses või võrgutarkvaras;

arvutiviirusnakkus.

Tehniliste seadmete rikked, mis on põhjustatud:

voolukatkestus;

kettasüsteemide ja andmete arhiveerimise süsteemide rike;

serverite, tööjaamade, võrgukaartide, modemite häired.

Teeninduspersonali vead.

Loomulikult ei ole olemas kõigile sobivat lahendust, kuid paljud organisatsioonid on välja töötanud ja rakendanud tehnilisi ja administratiivseid meetmeid, et minimeerida andmete kadumise või volitamata juurdepääsu ohtu.

Tänaseks on infoturbe tagamiseks olemas suur meetodite arsenal, mida kasutatakse ka Alfa-Bankis:

· kasutajate tuvastamise ja autentimise vahendid (nn kompleks 3A);

· Arvutitesse salvestatud ja võrkude kaudu edastatava teabe krüpteerimisvahendid;

· tulemüürid;

· virtuaalsed privaatvõrgud;

· sisu filtreerimise tööriistad;

· tööriistad ketaste sisu terviklikkuse kontrollimiseks;

· viirusetõrjevahendid;

· võrgu haavatavuse tuvastamise süsteemid ja võrgurünnakute analüsaatorid.

"Kompleks 3A" hõlmab autentimist (või tuvastamist), autoriseerimist ja haldust. Identifitseerimineja autoriseerimine on infoturbe põhielemendid. Kui proovite pääseda juurde mis tahes programmile, annab identifitseerimisfunktsioon vastuse küsimusele: "Kes sa oled?" ja "Kus sa oled?", kas olete programmi volitatud kasutaja. Autoriseerimisfunktsioon vastutab selle eest, millistele ressurssidele konkreetsel kasutajal on juurdepääs. Haldamise funktsioon on pakkuda kasutajale teatud identifitseerimisfunktsioone antud võrgus ja määrata talle lubatud toimingute ulatus. Alfa-Pangas küsitakse programmide avamisel iga töötaja parooli ja sisselogimist ning mis tahes toimingute tegemisel on mõnel juhul vaja osakonnajuhataja või tema asetäitja volitusi.

Tulemüüron süsteem või süsteemide kombinatsioon, mis moodustab kahe või enama võrgu vahele kaitsebarjääri, mis takistab volitamata andmepakettide võrku sisenemist või sealt lahkumist. Tulemüüride tööpõhimõte. iga andmepaketi kontrollimine sissetuleva ja väljamineva IP_aadressi vastavuse osas lubatud aadressibaasiga. Seega avardavad tulemüürid oluliselt infovõrkude segmenteerimise ja andmeringluse kontrollimise võimalusi.

Krüptograafiast ja tulemüüridest rääkides tuleks mainida turvalisi virtuaalseid privaatvõrke (Virtual Private Network – VPN). Nende kasutamine võimaldab lahendada andmete konfidentsiaalsuse ja terviklikkuse probleeme nende edastamisel avatud sidekanalite kaudu.

Tõhus vahend konfidentsiaalse teabe kaotsimineku eest kaitsmiseks. Sissetulevate ja väljaminevate meilide sisu filtreerimine. E-kirjade endi ja nende manuste valideerimine organisatsiooni kehtestatud reeglite alusel aitab kaitsta ka ettevõtteid vastutuse eest kohtuasjades ning kaitsta oma töötajaid rämpsposti eest. Sisu filtreerimise tööriistad võimaldavad teil skannida kõigi levinud vormingute faile, sealhulgas tihendatud ja graafilisi faile. Samal ajal jääb võrgu ribalaius praktiliselt muutumatuks.

Kaasaegne viirusevastanetehnoloogiad võimaldavad tuvastada peaaegu kõik juba teadaolevad viirusprogrammid, võrreldes kahtlase faili koodi viirusetõrje andmebaasi salvestatud näidistega. Lisaks on välja töötatud käitumise modelleerimise tehnoloogiad vastloodud viirusprogrammide tuvastamiseks. Tuvastatud objekte saab desinfitseerida, isoleerida (karantiiniseerida) või kustutada. Viirusetõrje saab installida tööjaamadesse, faili- ja meiliserveritesse ning tulemüüridesse, mis töötavad peaaegu kõigi levinud operatsioonisüsteemid(Windows, Unix - ja Linux_systems, Novell) erinevat tüüpi protsessoritel. Rämpspostifiltrid vähendavad oluliselt rämpsposti sõelumisega seotud ebaproduktiivseid tööjõukulusid, vähendavad liiklust ja serveri koormust, parandavad meeskonna psühholoogilist tausta ja vähendavad ettevõtte töötajate petturlike tehingutega seotud riski. Lisaks vähendavad rämpspostifiltrid uute viirustega nakatumise ohtu, kuna viiruseid sisaldavad sõnumid (isegi need, mis pole veel viirusetõrje andmebaasides sisalduvad) näitavad sageli rämpsposti märke ja need filtreeritakse välja. Tõsi, rämpsposti filtreerimise positiivse mõju saab läbi kriipsutada, kui filter koos rämpspostiga eemaldab või märgib rämpspostiks ja kasulikud äri- või isiklikud sõnumid.

Mitmed kõige enam tüüpilised liigid ja viise teabeohud:

Ärisaladuste salastatuse kustutamine ja vargus. Kui varem hoiti saladusi salajastes kohtades, massiivsetes seifides, usaldusväärse füüsilise ja (hiljem) elektroonilise kaitse all, siis tänapäeval on paljudel töötajatel ligipääs kontori andmebaasidele, mis sisaldavad sageli väga tundlikku infot, näiteks samu kliendiandmeid.

Kompromiteerivate materjalide levitamine. See tähendab, et töötajad kasutavad elektroonilises kirjavahetuses tahtlikult või juhuslikult sellist teavet, mis heidab varju panga mainele.

Intellektuaalomandi rikkumine. Oluline on mitte unustada, et igasugune pankades toodetud intellektuaalne toode, nagu igas organisatsioonis, kuulub sinna ja seda ei saa kasutada töötajad (sh intellektuaalsete väärtuste loojad ja autorid) muul viisil kui organisatsiooni huvides. Samal ajal tekivad Venemaal selles küsimuses sageli konfliktid organisatsioonide ja töötajate vahel, kes nõuavad enda loodud intellektuaalset toodet ja kasutavad seda organisatsiooni kahjuks isiklikes huvides. Sageli juhtub see ettevõtte ebamäärase juriidilise olukorra tõttu, kui tööleping ei sisalda selgelt määratletud norme ja reegleid, mis kirjeldaksid töötajate õigusi ja kohustusi.

Siseteabe (sageli tahtmatu) levitamine, mis ei ole salajane, kuid võib olla kasulik konkurentidele (teistele pankadele).

Konkureerivate pankade veebisaitide külastamine. Nüüd kasutab üha rohkem ettevõtteid oma avatud saitidel (eriti CRM-i jaoks mõeldud) programme, mis võimaldavad teil külastajaid ära tunda ja nende marsruute üksikasjalikult jälgida, salvestada saidi lehtede vaatamise aja ja kestuse. Konkurentide veebisaidid on olnud ja jäävad väärtuslikuks analüüsi- ja prognoosiallikaks.

Kontorisuhtluse kuritarvitamine isiklikuks otstarbeks (muusika ja muu tööga mitteseotud sisu kuulamine, vaatamine, kontoriarvuti allalaadimine) ei kujuta otsest ohtu infoturbele, kuid tekitab lisapingeid ettevõtte võrgus, vähendab efektiivsust ja segab. kolleegide tööga.

Ja lõpuks välised ohud – volitamata sissetung jne.

Panga poolt vastuvõetud reeglid peavad vastama nii siseriiklikele kui ka rahvusvaheliselt tunnustatud riigi- ja ärisaladuse, isiku- ja eraandmete kaitse standarditele.

Teabe organisatsiooniline kaitse Alfa-Pangas

Alfa Bank OJSC on rakendanud selektiivsel juurdepääsukontrolli meetodil põhinevat turvapoliitikat. Sellist juhtimist Alfa Bank OJSC-s iseloomustab administraatori määratud lubatud juurdepääsusuhete kogum. Juurdepääsumaatriksi täidab otse ettevõtte süsteemiadministraator. Valikulise infoturbepoliitika rakendamine vastab juhtkonna nõuetele ning infoturbe ja juurdepääsukontrolli, aruandekohustuse nõuetele ning on ka selle korraldamise vastuvõetava kuluga. Infoturbepoliitika rakendamine on täielikult usaldatud Alfa Bank OJSC süsteemiadministraatorile.

Koos olemasoleva turvapoliitikaga kasutab Alfa Bank OJSC spetsiaalset turvariist- ja -tarkvara.

Turvariistvaraks on Cisco 1605. Ruuter on varustatud kahe Etherneti liidesega (üks TP ja AUI liidestega, teine ​​ainult TP-ga) kohtvõrgu jaoks ja ühe laienduspesaga ühe mooduli paigaldamiseks Cisco 1600 seeria ruuteritele. tarkvara Cisco IOSFirewallFeatureSet teeb Cisco 1605-R-st ideaalse paindliku ruuteri/turvalahenduse väikese kontori jaoks. Olenevalt paigaldatud moodulist võib ruuter toetada ühendust nii ISDN-i kui ka sissehelistamisliini või püsiliiniga 1200 bps kuni 2 Mbps, FrameRelay, SMDS, x.25.

Teabe kaitsmiseks peab kohtvõrgu omanik turvama võrgu "perimeetri", näiteks kehtestades kontrolli sisevõrgu ja välisvõrgu ristumiskohas. Cisco IOS pakub suurt paindlikkust ja turvalisust nii standardfunktsioonidega nagu: laiendatud juurdepääsuloendid (ACL), lukustussüsteemid (dünaamilised ACL-id) ja marsruutimise autoriseerimine. Lisaks pakub 1600. ja 2500. seeria ruuterite jaoks saadaval olev Cisco IOS FirewallFeatureSet kõikehõlmavaid turvafunktsioone, sealhulgas:

kontekstuaalne juurdepääsu kontroll (CBAC)

java lukk

sõidupäevik

rünnakute avastamine ja ennetamine

kohest teatamist

Lisaks toetab ruuter virtuaalseid ülekattevõrke, tunneleid, prioriteetide haldussüsteemi, ressursside broneerimise süsteemi ja erinevaid marsruutimise kontrolli meetodeid.

KasperskyOpenSpaceSecurity lahendust kasutatakse tarkvara kaitsevahendina. KasperskyOpenSpaceSecurity vastab täielikult ettevõtete võrgukaitsesüsteemide kaasaegsetele nõuetele:

lahendus igat tüüpi võrgusõlmede kaitsmiseks;

kaitse igat tüüpi arvutiohtude eest;

tõhus tehniline tugi;

"proaktiivsed" tehnoloogiad kombineerituna traditsioonilise allkirjapõhise kaitsega;

uuenduslikud tehnoloogiad ja uus viirusetõrje mootor, mis parandab jõudlust;

kasutusvalmis kaitsesüsteem;

tsentraliseeritud juhtimine;

kasutajate täielik kaitse väljaspool võrku;

ühilduvus kolmandate osapoolte lahendustega;

võrguressursside tõhus kasutamine.

Arendatud süsteem peaks võimaldama täielikku kontrolli, automatiseeritud arvestust ja isikuandmete kaitse analüüsi, vähendama klienditeeninduse aega, saama infot infoturbe koodide ja isikuandmete kohta.

Arendatavale süsteemile nõuete kujundamiseks on vaja vormistada nõuded andmebaasi korraldusele, info ühilduvusele arendatavale süsteemile.

Andmebaasi ülesehitus peaks põhinema konkreetse organisatsiooni lõppkasutajate seisukohtadel – süsteemi kontseptuaalsetel nõuetel.

Sel juhul sisaldab IS andmeid ettevõtte töötajate kohta. Üks infosüsteemi toimimist oluliselt ilmestav tehnoloogia on dokumentide töövooskeemi väljatöötamine.

Arendatud süsteemi funktsioone on võimalik saavutada arvutitehnoloogia ja tarkvara kasutamisega. Arvestades, et teabe, info ja raamatupidamisdokumentide otsimine pangaspetsialistide tegevuses moodustab umbes 30% tööajast, vabastab automatiseeritud raamatupidamissüsteemi kasutuselevõtt oluliselt kvalifitseeritud spetsialiste, võib kaasa tuua kokkuhoiu palgafondis, vähendades personali, vaid võib viia ka operaatori personaliüksuse osakonna töötajatele, kelle tööülesannete hulka kuulub teabe sisestamine käimasolevate äriprotsesside kohta: isikuandmete arvestusdokumendid ja juurdepääsukoodid.

Tuleb märkida, et väljatöötatud süsteemi kasutuselevõtt vähendab ja ideaaljuhul täielikult välistab vead isikuandmete ja turvakoodide arvestuses. Seega toob juhi automatiseeritud töökoha kasutuselevõtt kaasa olulise majandusliku efekti, töötajate arvu vähenemise 1/3 võrra, kokkuhoiu palgafondis ja tööviljakuse tõusu.

Alfa-Pank, nagu iga teine ​​pank, on välja töötanud Infoturbepoliitika, mis määratleb vaadete süsteemi infoturbe tagamise probleemile ning on süstemaatiline väljaütlemine kaitse eesmärkidest ja eesmärkidest ühe või mitme reegli, protseduuri, praktikana. ja juhised infoturbe valdkonnas.

Poliitika võtab arvesse infotehnoloogia hetkeseisu ja lähiväljavaateid panga infotehnoloogia arendamiseks, nende toimimise eesmärke, eesmärke ja õiguslikku raamistikku, toimimisviise ning sisaldab ka teabeobjekte ja -subjekte ähvardavate turvaohtude analüüsi. Panga suhted.

Käesoleva dokumendi põhisätted ja nõuded kehtivad kõikidele Panga struktuuriüksustele, sealhulgas täiendavatele kontoritele. Põhiküsimused Poliitika kehtib ka teistele organisatsioonidele ja asutustele, kes suhtlevad Pangaga ühel või teisel viisil panga teaberessursside tarnijate ja tarbijatena.

Selle poliitika seadusandlik alus on Vene Föderatsiooni põhiseadus, tsiviil- ja kriminaalkoodeks, seadused, dekreedid, resolutsioonid jne. määrused kehtivad Vene Föderatsiooni õigusaktid, Vene Föderatsiooni presidendi alluvuse riikliku tehnilise komisjoni dokumendid, föderaalne agentuur valitsuse side ja teave Vene Föderatsiooni presidendi alluvuses.

Poliitika on metoodiline alus jaoks:

· ühtse infoturbe valdkonna poliitika kujundamine ja rakendamine pangas;

· juhtimisotsuste tegemine ja praktiliste meetmete väljatöötamine infoturbepoliitika elluviimiseks ning koordineeritud meetmete kogumi väljatöötamine, mille eesmärk on tuvastada, tõrjuda ja kõrvaldada erinevat tüüpi infoturbeohtude realiseerimise tagajärgi;

· Panga struktuuriüksuste tegevuse koordineerimine infotehnoloogia loomise, arendamise ja käitamise alaste tööde tegemisel vastavalt infoturbe tagamise nõuetele;

· ettepanekute väljatöötamine teabe õigusliku, regulatiivse, tehnilise ja organisatsioonilise turvalisuse parandamiseks pangas.

Pangas infoturbesüsteemi ülesehitamise süsteemne lähenemine hõlmab kõigi omavahel seotud, vastastikku mõjutavate ja ajas muutuvate elementide, tingimuste ja tegurite arvestamist, mis on olulised Panga teabe turvalisuse tagamise probleemi mõistmiseks ja lahendamiseks.

Infoturbe tagamine- protsess, mida viivad läbi panga juhtkond, infoturbe üksused ja töötajad kõigil tasanditel. See ei ole mitte ainult ja mitte niivõrd protseduur või poliitika, mida teatud aja jooksul rakendatakse või abinõud, vaid protsess, mis peab pidevalt käima kõigil panga tasanditel ja millest peab osa võtma iga panga töötaja. selles protsessis. Infoturbealased tegevused on panga igapäevase tegevuse lahutamatu osa. Ja selle tulemuslikkus sõltub Panga juhtkonna osalemisest infoturbe tagamisel.

Lisaks vajab suurem osa füüsilistest ja tehnilistest kaitsevahenditest pidevat organisatsioonilist (administratiivset) tuge oma ülesannete tõhusaks täitmiseks (nimede, paroolide, krüpteerimisvõtmete, volituste ümbermääratlemine jne õigeaegne muutmine ja õige säilitamise ja kasutamise tagamine). Katkestused kaitsevahendite töös saavad ründajad analüüsida kasutatavaid kaitsemeetodeid ja -vahendeid, võtta kasutusele spetsiaalseid tarkvara- ja riistvaralisi "järjehoidjaid" ja muid kaitsest ülesaamise vahendeid.

Isiklik vastutusvõtab vastutuse teabe ja selle töötlemise süsteemi turvalisuse tagamise eest igale töötajale tema volituste piires. Selle põhimõtte kohaselt on töötajate õiguste ja kohustuste jaotus üles ehitatud selliselt, et mistahes rikkumise korral on toimepanijate ring selgelt teada või minimeeritud.

Alfa-Pank jälgib pidevalt iga kasutaja tegevust, iga kaitsevahend ja mis tahes kaitseobjekti puhul tuleks läbi viia operatiivjuhtimis- ja registreerimisvahendite kasutamisest lähtuvalt ning see peaks hõlmama nii kasutajate volitamata kui ka volitatud toiminguid.

Pank on välja töötanud järgmised organisatsioonilised ja haldusdokumendid:

· Määrused ärisaladuste kohta. Käesolev määrus reguleerib Panga ärisaladust moodustava teabega töötamise korraldust, töökorda, selle teabega tutvumiseks lubatud töötajate ülesandeid ja vastutust, panga ärisaladust sisaldavat teavet sisaldavate materjalide riigile (ärisaladust) üleandmise korda. asutused ja organisatsioonid;

· Ameti- ja ärisaladust sisaldava teabe loetelu. Nimekirjas on määratletud konfidentsiaalseks liigitatud teave, kaitstud teabele juurdepääsupiirangute tase ja ajastus;

· Käsud ja käskkirjad infoturbe režiimi kehtestamiseks:

· töötajate lubamine piiratud teabega tööle;

· ettevõtte infosüsteemis piiratud juurdepääsuga teabega töötamise eest vastutavate administraatorite ja isikute määramine;

· Juhised ja kohustused töötajatele:

· turvajuurdepääsu režiimi korralduse kohta;

· kontoritöö korraldamise kohta;

· ettevõtte infosüsteemi inforessursside administreerimine;

· muud reguleerivad dokumendid.

Järeldus

Infoturbe korraldamise teema on tänapäeval mures igasuguse tasemega organisatsioonidele – suurkorporatsioonidest kuni juriidilist isikut moodustamata ettevõtjateni. Konkurents tänapäevastes turusuhetes pole kaugeltki täiuslik ja seda ei teostata sageli kõige seaduslikumal viisil. Tööstusspionaaž õitseb. Kuid organisatsiooni ärisaladusega seotud teabe tahtmatu levitamise juhtumid ei ole haruldased. Reeglina mängib siin rolli töötajate hoolimatus, olukorra mittemõistmine ehk teisisõnu "inimfaktor".

Alfa-Pank tagab järgmise teabe kaitse:

ärisaladus

pangasaladus

pangadokumendid (turvaosakonna aruanded, panga aastaarvestus, andmed pangatöötajate sissetulekute kohta jne)

Pangas olev teave on kaitstud selliste ohtudega nagu:

· loomulik

· Kunstlikud ohud (tahtmatud (tahtmatud, juhuslikud) ohud, mis on põhjustatud vigadest infosüsteemi ja selle elementide disainis, vigadest personali tegevuses jne; tahtlikud (tahtlikud) ohud, mis on seotud inimeste isekate, ideoloogiliste või muude püüdlustega ( sissetungijad).

Infosüsteemi endaga seotud ohtude allikad võivad olla nii välised kui ka sisemised.

Bibliograafia

1. Vene Föderatsiooni presidendi 17. märtsi 2008. aasta dekreet "Vene Föderatsiooni infoturbe tagamise meetmete kohta rahvusvahelise teabevahetuse teabe- ja telekommunikatsioonivõrkude kasutamisel" nr 351;

Galatenko, V.A. Infoturbe alused. Interneti Infotehnoloogia Ülikool. INTUIT. ru, 2008;

Galatenko, V.A. Infoturbe standardid. Interneti Infotehnoloogia Ülikool. INTUIT. ru, 2005;

Ettevõtte infoturve
Ettevõtluse infokaitse

* Wikipediast

Infoturbe- See on infokeskkonna turvalisuse seis. Teabekaitse on tegevus, mille eesmärk on vältida kaitstud teabe lekkimist, volitamata ja tahtmatut mõjutamist kaitstud teabele, st protsess, mille eesmärk on selle seisundi saavutamine.

Ettevõtte infoturve: sisemine oht

Mitmed tõsised spetsialistid organisatsiooni infoturve nimetab sisemist ohtu kõige olulisemaks, andes sellele kuni 80% võimalike riskide koguarvust. Tõepoolest, kui arvestada häkkerite rünnakute keskmist kahju, on see häkkimiskatsete suure arvu ja nende väga madala efektiivsuse tõttu nullilähedane. Üksik inimlik eksimus või edukas siseringi tehtud väärtegu võib ettevõttele maksta miljoneid dollareid kahju (otsesed ja kaudsed), kohtuvaidlused ja klientide silmis kurikuulsa. Tegelikult võib ettevõtte olemasolu olla ohus ja see on paraku reaalsus. Kuidas tagada ? Kuidas end infolekke eest kaitsta? Kuidas sisemist ohtu õigel ajal ära tunda ja ennetada? Millised meetodid sellega toimetulemiseks on tänapäeval kõige tõhusamad?

Vaenlane sees

Peaaegu iga töötaja, kellel on juurdepääs ettevõtte konfidentsiaalsele teabele, võib saada ettevõttesiseseks ründajaks või siseringiks. Insaideri tegevuse motivatsioon ei ole alati ilmne, mis toob kaasa olulisi raskusi tema tuvastamisel. Hiljuti vallandatud töötaja, kes tunneb tööandja vastu viha; ebaaus töötaja, kes soovib andmeid müües lisaraha teenida; kaasaegne Herostratus; konkurendi või kuritegeliku grupeeringu spetsiaalselt siirdatud agent – ​​need on vaid mõned siseringi arhetüübid.

Kõigi halbade põhjuste juur, mida siseringi pahatahtlikkus võib kaasa tuua, on selle ohu tähtsuse alahindamine. Perimetrixi läbiviidud uuringu kohaselt viib enam kui 20% ettevõtte konfidentsiaalse teabe lekkimine enamikul juhtudel selle kokkuvarisemiseni ja pankrotti. Eriti sagedased, kuid siiski kõige haavatavamad siseringi ohvrid on finantsasutused ja igas suuruses – sadadest kuni mitme tuhande töötajani. Hoolimata asjaolust, et enamikul juhtudel püüavad ettevõtted varjata või oluliselt alahinnata siseringi tegevusest tulenevat tegelikku kahju, on isegi ametlikult välja kuulutatud kahjud tõeliselt muljetavaldavad. Rahalistest kahjudest märksa valusam on ettevõtte jaoks firma maine kahjustamine ja klientide usalduse järsk langus. Sageli võivad kaudsed kahjud tegelikku otsest kahju mitu korda ületada. Nii on laialt tuntud Liechtensteini panga LGT juhtum, kui 2008. aastal andis pangatöötaja Saksamaa, USA, Suurbritannia ja teiste riikide eriteenistustele üle hoiustajate andmebaasi. Selgus, et tohutu hulk panga väliskliente kasutas LGT eristaatust oma riigi maksuseadustest mööda minnes tehingute tegemiseks. Finantsjuurdluste ja sellega seotud kohtuvaidluste laine vallutas üle maailma ning LGT pank kaotas kõik oma olulised kliendid, kandis kriitilist kahju ning paiskas kogu Liechtensteini ränka majandus- ja diplomaatilisse kriisi. Väga värskeid näiteid pole ka vaja kaugelt otsida – 2011. aasta alguses tunnistas selline finantshiiglane nagu Bank of America klientide isikuandmete lekke fakti. Pettuse tulemusena lekkis pangast teavet hoiustajate nimede, aadresside, sotsiaalkindlustus- ja telefoninumbrite, pangakonto ja juhilubade numbrite, meiliaadresside, PIN-koodide ja muude isikuandmetega. Vaevalt on võimalik täpselt kindlaks teha panga tegelikku kahjumit, kui ainult ametlikult teatataks summast "üle 10 miljoni dollari". Andmelekke põhjuseks on organiseeritud kuritegelikule grupeeringule informatsiooni edastanud siseringi tegutsemine. Ent siseringi, mitte ainult pankade ja fondide, rünnakute ähvardusel piisab, kui meenutada mitmeid kõrgetasemelisi skandaale, mis on seotud WikiLeaksi ressursi konfidentsiaalsete andmete avaldamisega – ekspertide hinnangul saadi päris palju teavet. saadud siseringi kaudu.

eluproosa

Ettevõtte konfidentsiaalsete andmete tahtmatu kahjustamine, nende lekkimine või kadumine on palju sagedasem ja proosalisem asi kui siseringi tekitatud kahju. Personali hoolimatus ja korraliku tehnilise infoturbe puudumine võivad viia ettevõttesaladuse otsese lekkeni. Selline hooletus ei põhjusta mitte ainult tõsist kahju ettevõtte eelarvele ja mainele, vaid võib põhjustada ka laialdast avalikku dissonantsi. Vabanedes muutub salajane teave mitte kitsa sissetungijate ringi, vaid kogu inforuumi omaks - leket arutatakse Internetis, televisioonis, ajakirjanduses. Meenutagem kõrgetasemelist skandaali Venemaa suurima mobiilioperaatori MegaFoni SMS-sõnumite avaldamisega. Tähelepanematuse tõttu tehniline personal, SMS-sõnumid indekseerisid Interneti otsingumootorid, võrku jõudis abonentide kirjavahetus, mis sisaldas nii isiklikku kui ka ärilist laadi teavet. Väga hiljutine juhtum: Venemaa pensionifondi klientide isikuandmete avaldamine. Fondi ühe piirkondliku esinduse esindajate viga tõi kaasa 600 inimese isikuandmete indekseerimise - PFR-i klientide nimed, registreerimisnumbrid, üksikasjalikud säästusummad võisid lugeda iga Interneti-kasutaja.

Väga levinud hooletusest tingitud konfidentsiaalsete andmete lekkimise põhjus on seotud igapäevase dokumentide rotatsiooniga ettevõtte sees. Nii saab töötaja näiteks delikaatseid andmeid sisaldava faili kopeerida sülearvutisse, USB-mälupulgale või pihuarvutile, et töötada andmetega väljaspool kontorit. Samuti võib teave jõuda failimajutusteenusesse või töötaja isiklikku posti. Sellistes olukordades on andmed täiesti kaitsetud ründajate jaoks, kes saavad tahtmatut leket ära kasutada.

Kuldne raudrüü või soomusrüü?

Andmelekke eest kaitsmiseks infoturbetööstuses luuakse erinevaid süsteeme teabe kaitsmiseks lekke eest, mida traditsiooniliselt tähistatakse inglise keelest lühendiga DLP. Data Leakage Prevention ("andmete lekke vältimine"). Reeglina on need kõige keerukamad tarkvarasüsteemid, millel on lai funktsionaalsus, et vältida salajase teabe pahatahtlikku või juhuslikku lekkimist. Selliste süsteemide eripära on see, et nende korrektne toimimine nõuab teabe ja dokumentide sisemise ringluse rangelt sujuvat struktuuri, kuna kõigi teabega toimingute turvaanalüüs põhineb andmebaasidega töötamisel. See seletab professionaalsete DLP-lahenduste paigaldamise kõrget hinda: juba enne otsest juurutamist peab klientettevõte ostma andmebaasihaldussüsteemi (tavaliselt Oracle või SQL), tellima kalli infovoo struktuuri analüüsi ja auditi ning välja töötama uue turvalisuse. poliitika. Levinud on olukord, kus üle 80% teabest on ettevõttes struktureerimata, mis annab visuaalselt ettekujutuse ettevalmistavate tegevuste ulatusest. Muidugi maksab ka DLP-süsteem ise palju raha. Pole üllatav, et ainult suured ettevõtted on valmis kulutama miljoneid organisatsiooni infoturve.

Aga kuidas on lood väikeste ja keskmise suurusega ettevõtetega, kes peavad pakkuma äriteabe turvalisus, kuid pole raha ja võimalusi professionaalse DLP-süsteemi juurutamiseks? Ettevõtte juhi või turvatöötaja jaoks on kõige olulisem kindlaks teha, millist teavet kaitsta ja milliseid töötajate teabetegevuse aspekte kontrollida. Vene äris valitseb endiselt arvamus, et kaitsta tuleb absoluutselt kõike, ilma infot salastamata ja kaitsemeetmete tõhusust arvutamata. Selle lähenemisviisi puhul on üsna ilmne, et olles õppinud kulude suurust ettevõtte infoturve, laiutab keskmise ja väikese ettevõtte juht käega ja loodab "võib-olla".

On olemas alternatiivsed kaitsemeetodid, mis ei mõjuta andmekogusid ja teabe väljakujunenud elutsüklit, kuid pakuvad usaldusväärset kaitset sissetungijate tegevuse ja töötajate hooletuse eest. Need on paindlikud modulaarsed kompleksid, mis töötavad probleemideta teiste turvatööriistadega, nii riist- kui ka tarkvaraga (näiteks viirusetõrjetega). Hästi läbimõeldud turvasüsteem pakub väga usaldusväärset kaitset nii väliste kui ka sisemiste ohtude eest, pakkudes ideaalset tasakaalu hinna ja funktsionaalsuse vahel. Venemaa ettevõtte infoturbesüsteemide arendaja ekspertide sõnul SafenSoft, välisohtude vastase kaitse elementide optimaalne kombinatsioon (näiteks HIPS sissetungimise ennetamiseks ja viirusskanner) tööriistadega, mis jälgivad ja kontrollivad kasutajate ja rakenduste juurdepääsu üksikutele teabesektoritele. Selle lähenemisviisiga on kogu organisatsiooni võrgustruktuur täielikult kaitstud võimaliku häkkimise või viirustega nakatumise eest ning vahendid, mis jälgivad ja jälgivad personali tegevust teabega töötamisel, võivad andmelkkeid tõhusalt ära hoida. Kogu vajaliku kaitsevahendite arsenali olemasolul on moodulsüsteemide maksumus kümme korda väiksem kui keeruliste DLP lahenduste puhul ning ei nõua kulutusi ettevõtte infostruktuuri eelanalüüsiks ja kohandamiseks.

Niisiis, teeme kokkuvõtte. Ähvardused ettevõtte infoturve päris tõelised, ei tohiks neid alahinnata. Lisaks välisohtude tõrjumisele tuleks erilist tähelepanu pöörata siseohtudele. Oluline on meeles pidada, et ettevõtte saladuste lekkimine ei toimu ainult pahatahtliku kavatsuse tõttu - reeglina on need põhjustatud töötaja elementaarsest hooletusest ja tähelepanematusest. Kaitsevahendeid valides ei tasu püüda katta kõiki mõeldavaid ja mõeldamatuid ohte, selleks lihtsalt ei jätku raha ja jõudu. Ehitage töökindel modulaarne turvasüsteem, mis on suletud väljastpoolt tulevate sissetungimisriskide eest ning võimaldab juhtida ja jälgida info liikumist ettevõtte sees.