Oktatási és Tudományos Minisztérium Orosz Föderáció

szövetségi állam költségvetési oktatási intézménye

felsőfokú szakmai végzettség

"PERM NEMZETI KUTATÁS

POLITECHNIKAI EGYETEM"

Teszt

fegyelem szerint

A VÁLLALKOZÁS INFORMÁCIÓBIZTONSÁGA

"Információbiztonság az üzleti életben az Alfa-Bank példáján" témakör

Tanuló fejezte be

FK-11B csoport:

Smyshlyaeva Maria Sergeevna

A tanár ellenőrizte:

Shaburov Andrej Szergejevics

Perm – 2013

Bevezetés

Következtetés

Bibliográfia

Bevezetés

A legtöbb vállalat információs forrásai a legértékesebb források közé tartoznak. Emiatt a kereskedelmi, bizalmas információkat és személyes adatokat megbízhatóan védeni kell a visszaélésekkel szemben, ugyanakkor könnyen hozzáférhetővé kell tenni az ezen információk kezelésében részt vevő vagy a rábízott feladatok ellátása során használó szervezetek számára. Az ehhez szükséges speciális eszközök használata hozzájárul a cég üzletmenetének fenntarthatóságához, életképességéhez.

Amint azt a gyakorlat mutatja, az üzletvédelem modern körülmények között történő megszervezésének kérdése vált a legrelevánsabbá. Az online boltokat "nyitják" és kiürítik a vásárlók hitelkártyáit, zsarolják a kaszinókat és a nyereményjátékokat, a vállalati hálózatok alá esnek. külső vezérlés, a számítógépeket "zombizálják" és beépítik a botnetekbe, az ellopott személyes adatok felhasználásával elkövetett csalás pedig országos méretű katasztrófává válik.

Ezért a cégvezetőknek tisztában kell lenniük az információbiztonság fontosságával, meg kell tanulniuk előre jelezni és kezelni a trendeket ezen a területen.

A munka célja, hogy az Alfa-Bank példáján azonosítsa az üzleti információbiztonsági rendszer előnyeit és hátrányait.

Az Alfa-Bank OJSC tevékenységének jellemzői

Az Alfa-Bank 1990-ben alakult. Az Alfa-Bank egy univerzális bank, amely a pénzügyi szolgáltatások piacán az összes főbb banki műveletet végzi, beleértve a magán- és vállalati ügyfelek kiszolgálását, a befektetési banki tevékenységet, a kereskedelemfinanszírozást és a vagyonkezelést.

Az Alfa-Bank központi irodája Moszkvában található, összesen 444 fiókot és fiókot nyitottak Oroszország és külföldön, köztük egy leánybankot Hollandiában, valamint pénzügyi leányvállalatokat az Egyesült Államokban, Nagy-Britanniában és Cipruson. Az Alfa-Bank mintegy 17 000 alkalmazottat foglalkoztat.

Az Alfa-Bank a legnagyobb orosz magánbank a mérlegfőösszeg, a teljes tőke és a betétek tekintetében. A bank nagy ügyfélkörrel rendelkezik mind a vállalati ügyfelekből, mind a magánszemélyek. Az Alfa-Bank univerzális bankként fejlődik a főbb területeken: vállalati és befektetési üzletágban (beleértve a kis és közepes üzlet(kkv-k), kereskedelem és strukturált finanszírozás, lízing és faktoring), kiskereskedelmi üzletág(beleértve a bankfiókok, autóhitelek és jelzáloghitelek rendszerét). Kiemelt figyelmet fordítanak a tömeges és kkv szegmensben működő vállalati banki termékek fejlesztésére, valamint a távoli önkiszolgáló csatornák és az internetes akvizíció fejlesztésére. Az Alfa-Bank stratégiai prioritásai közé tartozik az oroszországi vezető privát bank státuszának megőrzése, a stabilitás megerősítése, a jövedelmezőség növelése, valamint iparági szabványok felállítása a technológia, a hatékonyság, az ügyfélszolgálat és a csapatmunka terén.

Az Alfa-Bank az egyik legaktívabb orosz bank a globális tőkepiacokon. A vezető nemzetközi hitelminősítő intézetek az egyik legmagasabb minősítést adják az Alfa-Banknak az orosz magánbankok közül. Az Ügyfélélmény-index 1. helyére zsinórban négyszer került. A lakossági bankszektor a pénzügyi válság után, amelyet a Senteo és a PricewaterhouseCoopers közösen végzett, 2012-ben az Alfa-Bank is elismert a legjobb internet bank a GlobalFinance magazin szerint a legjobb elemzésnek ítélte a Tőzsdei Résztvevők Országos Szövetsége (NAUFOR), és a legjobb orosz magánbank lett a Romir kutatóholding által számított bizalmi indexben.

Ma a Bank szövetségi szintű hálózattal rendelkezik, amely 83 értékesítési pontot foglal magában. Az Alfa Bank a kereskedelmi bankok közül az egyik legnagyobb hálózattal rendelkezik, amely 55 irodából áll és 23 várost fed le. A hálózat bővítésének köszönhetően a Bank további lehetőségeket kínál ügyfélkörének bővítésére, a banki termékek körének és minőségének bővítésére, interregionális programok megvalósítására, valamint a legnagyobb vállalkozások közül a gerincügyfelek átfogó kiszolgálására.

Az üzleti információbiztonság kérdéskörének elméleti alapjainak elemzése

Relevanciaaz információbiztonság biztosításának problémája pedig a következő tényezőknek köszönhető:

· Az információbiztonsági eszközök modern fejlettségi szintjei és ütemei messze elmaradnak az információs technológiák fejlettségi szintjétől és ütemétől.

· A park magas növekedési üteme személyi számítógépek az emberi tevékenység különböző területein használják. A Gartner Dataquest kutatása szerint jelenleg több mint egymilliárd személyi számítógép van a világon.

információbiztonsági üzleti bank

· A számítási erőforrásokhoz és adattömbökhöz közvetlen hozzáféréssel rendelkező felhasználók körének éles bővülése;

Jelenleg a bankokban tárolt információk jelentősége jelentősen megnőtt, fontos és gyakran titkos információkat koncentráltak a pénzügyi és gazdasági aktivitás sok ember, cég, szervezet, sőt egész állam. A Bank nagyszámú ember érdekeit érintő értékes információkat tárol és dolgoz fel. A bank fontos információkat tárol ügyfeleiről, ami kiterjeszti az ilyen információk ellopásában vagy megrongálásában érdekelt potenciális behatolók körét.

Az összes bűncselekmény több mint 90%-a a bank automatizált információfeldolgozó rendszereinek használatához kapcsolódik. Ezért az ASOIB létrehozása és korszerűsítése során a bankoknak kiemelt figyelmet kell fordítaniuk annak biztonságára.

A fő figyelmet a bankok számítógépes biztonságára kell fordítani, pl. a bank automatizált információfeldolgozó rendszereinek biztonsága, mint a banki információbiztonság területén a leglényegesebb, legösszetettebb és legsürgetőbb probléma.

Az információs technológia rohamos fejlődése új üzleti lehetőségeket nyitott meg, de új fenyegetések megjelenéséhez is vezetett. A verseny miatt a modern szoftvertermékeket hibákkal és hiányosságokkal értékesítik. A fejlesztőknek, beleértve a különféle funkciókat termékeikben, nincs idejük a létrehozott szoftverrendszerek kiváló minőségű hibakeresésére. Az ezekben a rendszerekben hagyott hibák és hiányosságok az információbiztonság véletlen és szándékos megsértéséhez vezetnek. Például a legtöbb véletlen információvesztés oka a szoftver és a hardver működésének meghibásodása, és a legtöbb számítógépes rendszert ért támadás a szoftverben talált hibákon és hiányosságokon alapul. Így például a Microsoft Windows szerver operációs rendszer megjelenése utáni első hat hónapban 14 sebezhetőséget fedeztek fel, amelyek közül 6 kritikus. Bár idővel a Microsoft szervizcsomagokat fejleszt, amelyek orvosolják a feltárt hibákat, a felhasználók már a fennmaradó hibák miatt szenvednek az információbiztonság megsértésétől. Amíg ez a sok egyéb probléma meg nem oldódik, az információbiztonság elégtelen szintje komoly fékezője lesz az információs technológiák fejlődésének.

Alatt információ biztonságaz információ és a támogató infrastruktúra biztonsága a véletlen vagy szándékos természetes vagy mesterséges hatásokkal szemben, amelyek elfogadhatatlan károkat okozhatnak az információs kapcsolatok alanyainak, beleértve az információ és a támogató infrastruktúra tulajdonosait és felhasználóit.

A mai üzleti világban migráció zajlik tárgyi eszközök információ felé. A szervezet fejlődésével egyre összetettebbé válik információs rendszere, melynek fő feladata a maximális üzleti hatékonyság biztosítása a folyamatosan változó versenypiacon.

Az információt áruként tekintve elmondható, hogy az információbiztonság biztosítása általánosságban jelentős költségmegtakarítást, az abban okozott kár pedig anyagköltséget eredményez. Például az eredeti termék gyártási technológiájának nyilvánosságra hozatala egy hasonló termék megjelenéséhez vezet, de egy másik gyártótól, és az információbiztonság megsértése következtében a technológia tulajdonosa, esetleg a szerző veszít. a piac része stb. Másrészt az információ az ellenőrzés tárgya, változása katasztrofális következményekkel járhat a vezérlőobjektumban.

A GOST R 50922-2006 szerint az információbiztonság biztosítása olyan tevékenység, amelynek célja az információszivárgás, a védett információkra gyakorolt ​​jogosulatlan és nem szándékos befolyásolás megakadályozása. Az információbiztonság mind a vállalatok, mind a kormányzati szervek számára fontos. Az információs erőforrások átfogó védelme érdekében az információbiztonsági rendszerek kiépítésén és fejlesztésén dolgoznak.

Számos oka lehet annak, ami komolyan befolyásolhatja a helyi és globális hálózatok működését, ami értékes információk elvesztéséhez vezethet. Köztük a következők:

Illetéktelen hozzáférés kívülről, információk másolása vagy megváltoztatása véletlen vagy szándékos cselekvések, amelyek a következőkhöz vezetnek:

adatok eltorzítása vagy megsemmisítése;

jogosulatlan személyek megismertetése banki, pénzügyi vagy államtitkot képező információkkal.

A szoftver nem megfelelő működése, amely adatok elvesztéséhez vagy megsérüléséhez vezethet a következők miatt:

hibák az alkalmazásban vagy a hálózati szoftverben;

számítógépes vírusfertőzés.

A műszaki berendezések meghibásodása a következők miatt következett be:

áramszünet;

lemezrendszerek és adatarchiváló rendszerek meghibásodása;

szerverek, munkaállomások, hálózati kártyák, modemek zavarása.

A szervizszemélyzet hibái.

Természetesen nincs mindenkire érvényes megoldás, de számos szervezet kidolgozott és bevezetett technikai és adminisztratív intézkedéseket az adatvesztés vagy az illetéktelen hozzáférés kockázatának minimalizálására.

A mai napig az információbiztonság biztosítására szolgáló módszerek széles arzenálja van, amelyet az Alfa-Bank is használ:

· a felhasználók azonosításának és hitelesítésének eszközei (az úgynevezett komplex 3A);

· Számítógépeken tárolt és hálózatokon továbbított információk titkosítására szolgáló eszközök;

· tűzfalak;

· virtuális magánhálózatok;

· Tartalomszűrő eszközök;

· eszközök a lemezek tartalmának sértetlenségének ellenőrzésére;

· vírusvédelmi eszközök;

· hálózati sebezhetőséget észlelő rendszerek és hálózati támadáselemzők.

A "3A komplexum" magában foglalja a hitelesítést (vagy azonosítást), az engedélyezést és az adminisztrációt. Azonosításés az engedélyezés kulcsfontosságú elemei az információbiztonságnak. Amikor megpróbál hozzáférni egy programhoz, az azonosítási funkció választ ad a következő kérdésre: "Ki vagy?" és a „Hol vagy?”, hogy jogosult-e a programra. Az engedélyezési funkció felelős azért, hogy egy adott felhasználó milyen erőforrásokhoz fér hozzá. Az adminisztráció feladata, hogy egy adott hálózaton belül bizonyos azonosítási funkciókat biztosítson a felhasználónak, és meghatározza a számára engedélyezett műveletek körét. Az Alfa-Bankban a programok megnyitásakor minden dolgozó jelszavát és bejelentkezési adatait be kell kérni, a műveletek elvégzéséhez pedig egyes esetekben az osztályvezető vagy helyettese engedélye szükséges.

Tűzfalolyan rendszer vagy rendszerek kombinációja, amely védőkorlátot képez két vagy több hálózat között, amely megakadályozza, hogy illetéktelen adatcsomagok lépjenek be vagy hagyjanak ki a hálózatból. A tűzfalak működési elve. minden egyes adatcsomag ellenőrzése, hogy a bejövő és kimenő IP_cím egyezik-e az engedélyezett címalappal. Így a tűzfalak jelentősen kibővítik az információs hálózatok szegmentálásának és az adatforgalom szabályozásának lehetőségeit.

Ha már a titkosításról és a tűzfalakról beszélünk, meg kell említeni a biztonságos virtuális magánhálózatokat (Virtual Private Network – VPN). Használatuk lehetővé teszi az adatok titkosságának és integritásának problémáinak megoldását nyílt kommunikációs csatornákon történő továbbításuk során.

A bizalmas információk elvesztésével szembeni védelem hatékony eszköze. Tartalomszűrés bejövő és kimenő Email. Az e-mail üzenetek és mellékleteiknek a szervezet által meghatározott szabályok alapján történő érvényesítése is segít a cégek jogi felelősséggel szembeni védelmében, valamint munkatársaik megóvása a kéretlen levelektől. A tartalomszűrő eszközök lehetővé teszik az összes általános formátumú fájlok vizsgálatát, beleértve a tömörített és a grafikus fájlokat is. Ugyanakkor a hálózati sávszélesség gyakorlatilag változatlan marad.

Modern vírusellenesA technológiák lehetővé teszik szinte az összes már ismert vírusprogram észlelését egy gyanús fájl kódjának a víruskereső adatbázisban tárolt mintákkal való összehasonlításával. Ezenkívül viselkedésmodellező technológiákat fejlesztettek ki az újonnan létrehozott vírusprogramok észlelésére. Az észlelt objektumok fertőtleníthetők, elkülöníthetők (karanténba helyezhetők) vagy törölhetők. A vírusvédelem telepíthető munkaállomásokra, fájl- és levelezőszerverekre, tűzfalakra, amelyek szinte minden elterjedt operációs rendszer alatt (Windows, Unix - és Linux_systems, Novell) futnak különféle processzorokon. A levélszemétszűrők jelentősen csökkentik a spam elemzésével összefüggő nem produktív munkaerőköltségeket, csökkentik a forgalmat és a szerverterhelést, javítják a csapat pszichológiai hátterét, és csökkentik annak kockázatát, hogy a vállalati alkalmazottak csalárd tranzakciókba keveredjenek. Ezenkívül a levélszemétszűrők csökkentik az új vírusokkal való megfertőződés kockázatát, mivel a vírusokat tartalmazó üzenetek (még azok is, amelyek még nem szerepelnek a víruskereső adatbázisokban) gyakran mutatják a spam jeleit, és kiszűrik őket. Igaz, a spamszűrés pozitív hatása áthúzható, ha a szűrő a szeméttel együtt eltávolítja vagy spamként jelöli meg a hasznos üzleti vagy személyes üzeneteket.

Számos tipikus típus és módszer létezik információs fenyegetések:

Az üzleti titkok titkosságának feloldása és ellopása. Míg korábban titkos helyeken, hatalmas széfekben, megbízható fizikai és (később) elektronikus védelem alatt őrizték a titkokat, addig ma már sok dolgozó fér hozzá az irodai adatbázisokhoz, amelyek gyakran nagyon érzékeny információkat tartalmaznak, például ugyanazokat az ügyfelek adatait.

Kompromittáló anyagok forgalmazása. Ez azt jelenti, hogy az alkalmazottak szándékosan vagy véletlenül olyan információkat használnak fel elektronikus levelezésben, amelyek árnyékot vetnek a bank hírnevére.

A szellemi tulajdon megsértése. Nem szabad megfeledkezni arról, hogy a bankokban előállított szellemi termék, mint minden szervezetben, hozzátartozik, és a munkavállalók (ideértve a szellemi értékek generálóit és szerzőit is) csak a szervezet érdekeit szolgálják. Mindeközben Oroszországban gyakran adódnak konfliktusok ebben a kérdésben a szervezetek és az alkalmazottak között, akik igényt tartanak az általuk létrehozott szellemi termékre, és azt személyes érdekeik érdekében, a szervezet rovására használják. Ennek oka gyakran a vállalkozás homályos jogi helyzete, amikor munkaszerződés nincsenek egyértelműen meghatározott normák és szabályok, amelyek körvonalazzák a munkavállalók jogait és kötelezettségeit.

Nem titkos, de a versenytársak (más bankok) számára hasznos bennfentes információ (gyakran nem szándékos) terjesztése.

A versengő bankok weboldalainak megtekintése. Manapság egyre több cég használ olyan programokat a nyílt oldalain (különösen a CRM-hez tervezett), amelyek lehetővé teszik a látogatók felismerését és útvonalaik részletes nyomon követését, rögzítik az oldalak megtekintésének idejét és időtartamát. A versenytársak webhelyei az elemzések és előrejelzések értékes forrásai voltak és maradnak is.

Az irodai kommunikáció személyes célú visszaélése (zene és egyéb nem munkához kapcsolódó tartalmak hallgatása, megtekintése, irodai számítógép letöltése) nem jelent közvetlen veszélyt az információbiztonságra, de további feszültséget okoz a vállalati hálózaton, csökkenti a hatékonyságot, zavarja a kollégák munkájával.

És végül a külső fenyegetések - illetéktelen behatolás stb.

A bank által elfogadott szabályoknak meg kell felelniük az állam- és kereskedelmi titkok, a személyes és magánjellegű adatok védelmére vonatkozó nemzeti és nemzetközileg is elismert szabványoknak.

Az információ szervezeti védelme az Alfa-Bankban

Az Alfa Bank OJSC egy szelektív hozzáférés-vezérlési módszeren alapuló biztonsági politikát vezetett be. Az Alfa Bank OJSC ilyen kezelését az adminisztrátor által meghatározott engedélyezett hozzáférési kapcsolatok jellemzik. A hozzáférési mátrixot közvetlenül a cég rendszergazdája tölti ki. A szelektív információbiztonsági politika alkalmazása megfelel a menedzsment követelményeinek, valamint az információbiztonságra és a hozzáférés-ellenőrzésre, az elszámoltathatóságra vonatkozó követelményeknek, valamint vállalható szervezeti költséggel is jár. Az információbiztonsági politika végrehajtása teljes mértékben az Alfa Bank OJSC rendszergazdájára van bízva.

A meglévő biztonsági politika mellett az Alfa Bank OJSC speciális biztonsági hardvert és szoftvert használ.

A biztonsági hardver a Cisco 1605. A router két Ethernet interfésszel van felszerelve (az egyik TP és AUI interfésszel, a másik csak TP-vel) a LAN-hoz és egy bővítőhellyel a Cisco 1600 sorozatú routerek egyik moduljának telepítéséhez. a Cisco IOSFirewallFeatureSet szoftver a Cisco 1605-R-t ideális rugalmas útválasztó/biztonsági megoldássá teszi kis irodák számára. A telepített modultól függően a router ISDN-en és betárcsázós vonalon vagy bérelt vonalon keresztül is támogatja a kapcsolatot 1200 bps-tól 2 Mbps-ig, FrameRelay, SMDS, x.25.

Az információk védelme érdekében a LAN tulajdonosának biztosítania kell a hálózat „peremét”, például úgy, hogy a belső hálózat és a külső hálózat találkozásánál irányítást hoz létre. A Cisco IOS nagyfokú rugalmasságot és biztonságot nyújt olyan szabványos szolgáltatásokkal, mint például: kiterjesztett hozzáférési listák (ACL), zárrendszerek (dinamikus ACL-ek) és útválasztási engedélyezés. Ezenkívül az 1600-as és 2500-as sorozatú útválasztókhoz elérhető Cisco IOS FirewallFeatureSet átfogó biztonsági funkciókat kínál, beleértve:

kontextuális hozzáférés-vezérlés (CBAC)

java zár

hajónapló

támadások felderítése és megelőzése

azonnali értesítést

Ezenkívül az útválasztó támogatja a virtuális átfedő hálózatokat, alagutakat, prioritáskezelő rendszert, erőforrás-foglalási rendszert és különféle módszerekútválasztási vezérlés.

A KasperskyOpenSpaceSecurity megoldást szoftvervédelmi eszközként használják. A KasperskyOpenSpaceSecurity teljes mértékben reagál modern követelményeknek vállalati hálózatok biztonsági rendszereihez:

megoldás minden típusú hálózati csomópont védelmére;

védelem minden típusú számítógépes fenyegetés ellen;

hatékony technikai támogatás;

„proaktív” technológiák a hagyományos aláírás-alapú védelemmel kombinálva;

innovatív technológiák és egy új víruskereső motor, amely javítja a teljesítményt;

használatra kész védelmi rendszer;

központosított irányítás;

a hálózaton kívüli felhasználók teljes védelme;

kompatibilitás harmadik féltől származó megoldásokkal;

a hálózati erőforrások hatékony felhasználása.

A kifejlesztett rendszernek teljes körű ellenőrzést, automatizált elszámolást és a védelem elemzését kell biztosítania Személyes adat, lehetővé teszi az ügyfélszolgálati idő csökkentését, tájékoztatást kaphat az információbiztonsági kódokról és a személyes adatokról.

A fejlesztés alatt álló rendszerrel szembeni követelmény kialakításához az adatbázis szervezésére, a fejlesztés alatt álló rendszer információkompatibilitására vonatkozó követelmények kialakítása szükséges.

Az adatbázis kialakításának egy adott szervezet végfelhasználóinak nézetein kell alapulnia – a rendszerrel szemben támasztott elvi követelményeken.

Ebben az esetben az IS a cég alkalmazottairól tartalmaz adatokat. Az egyik olyan technológia, amely jelentősen szemlélteti az információs rendszer működését, a dokumentumok munkafolyamat-sémájának kidolgozása.

A kifejlesztett rendszer funkciói számítástechnika és szoftverek használatával valósíthatók meg. Tekintettel arra, hogy a banki szakemberek tevékenységében az információk, információk és számviteli bizonylatok keresése a munkaidő mintegy 30%-át teszi ki, az automatizált könyvelési rendszer bevezetése jelentősen felszabadítja a képzett szakembereket, megtakarítást eredményezhet a béralapban, csökkentve az alkalmazottak, de vezethet az üzemeltető személyzeti egység osztályának munkatársaihoz is, akiknek feladatai közé tartozik a folyamatban lévő üzleti folyamatokkal kapcsolatos információk bevitele: személyes adatok elszámolási bizonylatok és belépési kódok.

Megjegyzendő, hogy a kifejlesztett rendszer bevezetése csökkenti, ideális esetben pedig teljesen kiküszöböli a személyes adatok és biztonsági kódok elszámolásának hibáit. Így a vezető automatizált munkahelyének bevezetése jelentős gazdasági hatást, 1/3-os létszámleépítést, béralap megtakarítást, munkatermelékenység növekedését eredményezi.

Az Alfa-Bank, mint minden bank, kidolgozott egy Információbiztonsági Politikát, amely egy nézetrendszert határoz meg az információbiztonság biztosításának problémájáról, és szisztematikus megfogalmazása a védelem céljainak és célkitűzéseinek, mint egy vagy több szabály, eljárás, gyakorlat. és iránymutatások az információbiztonság területén.

A politika figyelembe veszi a Bank informatikai fejlesztésének jelenlegi állapotát és közvetlen kilátásait, a célokat, célkitűzéseket, ill. jogi keretrendszer működésüket, működési módjukat, valamint tartalmazza a Bank információs kapcsolatainak tárgyait és alanyait érő biztonsági fenyegetések elemzését is.

Jelen dokumentum főbb rendelkezései és követelményei a Bank valamennyi strukturális részlegére vonatkoznak, beleértve a további irodákat is. Főbb kérdések A Szabályzat a Bankkal a Bank információforrásainak szállítójaként és fogyasztójaként kapcsolatba kerülő egyéb szervezetekre és intézményekre is vonatkozik.

Ennek az irányelvnek a jogalkotási alapja az Orosz Föderáció alkotmánya, a polgári és büntető törvénykönyv, törvények, rendeletek, határozatok stb. előírások az Orosz Föderáció jelenlegi jogszabályai, az Orosz Föderáció elnöke mellett működő Állami Műszaki Bizottság, az Orosz Föderáció elnöke mellett működő Szövetségi Kormányzati Kommunikációs és Információs Ügynökség dokumentumai.

A politika módszertani alapja a következőknek:

· egységes politika kialakítása és megvalósítása az információbiztonság területén a Bankban;

· vezetői döntések meghozatala és gyakorlati intézkedések kidolgozása az információbiztonsági politika megvalósításához, valamint összehangolt intézkedéscsomag kidolgozása, amelynek célja a különböző típusú információbiztonsági fenyegetések megvalósításának következményeinek azonosítása, visszaszorítása és megszüntetése;

· tevékenységek összehangolása szerkezeti felosztások a Bank az információs technológiák létrehozásával, fejlesztésével és üzemeltetésével kapcsolatos munkák elvégzése során az információbiztonság követelményeinek megfelelően;

· javaslatok kidolgozása a Bank információs jogi, szabályozási, technikai és szervezeti biztonságának javítására.

Rendszerszemléletű A Bank információbiztonsági rendszerének kiépítése magában foglalja mindazon egymással összefüggő, egymásra ható és időben változó elemek, feltételek és tényezők figyelembevételét, amelyek a Bank információbiztonságának problémájának megértése és megoldása szempontjából jelentősek.

Az információbiztonság biztosítása- a Bank vezetése, információbiztonsági egységei és munkatársai által minden szinten végrehajtott folyamat. Ez nem csak és nem is annyira egy bizonyos időn belül végrehajtott eljárás vagy politika, vagy jogorvoslatok összessége, hanem egy folyamat, amelynek a Bankon belül minden szinten folyamatosan le kell zajlania, és a Bank minden dolgozójának részt kell vennie. ebben a folyamatban. Az információbiztonsági tevékenység a Bank mindennapi tevékenységének szerves részét képezi. Eredményessége pedig attól függ, hogy a Bank vezetősége részt vesz-e az információbiztonság biztosításában.

Ezen túlmenően, a legtöbb fizikai és technikai védelmi eszköz folyamatos szervezeti (adminisztratív) támogatást igényel a funkcióinak hatékony ellátásához (a nevek, jelszavak, titkosítási kulcsok időben történő megváltoztatása, helyes tárolásának és használatának biztosítása, hatáskörök újradefiniálása stb.). A védelmi eszközök működésének megszakításait a támadók felhasználhatják az alkalmazott védelmi módszerek és eszközök elemzésére, speciális szoftveres és hardveres „könyvjelzők” és egyéb védelem leküzdésére szolgáló eszközök bevezetésére.

Személyes felelősségfelelősséget vállal az információbiztonság és a feldolgozó rendszer biztonságának biztosításáért minden munkavállalóra a saját hatáskörében. Ennek az elvnek megfelelően a munkavállalók jogainak és kötelezettségeinek megosztása úgy épül fel, hogy bármilyen jogsértés esetén az elkövetők köre egyértelműen ismert legyen vagy minimálisra csökkenjen.

Az Alfa-Bank folyamatosan figyelemmel kíséri bármely felhasználó tevékenységét, az egyes biztonsági eszközöket és a védelmi objektumok vonatkozásában az üzemeltetési ellenőrzési és regisztrációs eszközök használata alapján kell végrehajtani, és ki kell terjednie a felhasználók jogosulatlan és engedélyezett tevékenységére.

A bank az alábbi szervezeti és adminisztratív dokumentumokat dolgozta ki:

· Az üzleti titokról szóló rendeletek. A jelen Szabályzat szabályozza a Bank üzleti titkát képező információkkal való munkavégzés rendjét, az ezen információ birtokában lévő munkavállalók feladatait és felelősségét, a Bank üzleti titkát képező információkat tartalmazó anyagok állami (üzleti) részére történő továbbításának rendjét. intézmények és szervezetek;

· A hivatali és kereskedelmi titkot képező információk listája. A lista meghatározza a bizalmasnak minősített információkat, a védett információkhoz való hozzáférés korlátozásának mértékét és időzítését;

· Az információbiztonsági rendszer létrehozására vonatkozó utasítások és utasítások:

· a korlátozott információval rendelkező munkavállalók munkába bocsátása;

· adminisztrátorok és a vállalati információs rendszerben korlátozott információkkal való munkavégzésért felelős személyek kijelölése;

· Utasítások és funkcionális felelősségek alkalmazottak:

· a biztonsági hozzáférési rendszer megszervezéséről;

· az irodai munka megszervezéséről;

· a vállalati információs rendszer információs erőforrásainak adminisztrációja;

· egyéb szabályozó dokumentumok.

Következtetés

Ma az információbiztonság megszervezésének kérdése minden szintű szervezetet foglalkoztat – a nagyvállalatoktól a jogi személy létrehozása nélküli vállalkozókig. A verseny a modern piaci viszonyok között korántsem tökéletes, és gyakran nem a legjogszerűbb módon zajlik. Az ipari kémkedés virágzik. Nem ritka azonban a szervezet üzleti titkával kapcsolatos információk véletlenszerű terjesztése. Itt általában az alkalmazottak hanyagsága, a helyzet megértésének hiánya, vagyis az „emberi tényező” játszik szerepet.

Az Alfa-Bank az alábbi információk védelmét biztosítja:

kereskedelmi titok

banktitok

banki dokumentumok (a biztonsági osztály jelentései, a bank éves becslése, a banki alkalmazottak jövedelmére vonatkozó információk stb.)

A bankban lévő információkat olyan fenyegetések védik, mint:

· természetes

· Mesterséges fenyegetés (nem szándékos (nem szándékos, véletlen) fenyegetés, amelyet az információs rendszer és elemeinek tervezési hibái, a személyzet hibái stb. okoznak; szándékos (szándékos) fenyegetések, amelyek az emberek önző, ideológiai vagy egyéb törekvéseihez kapcsolódnak ( behatolók).

Magával az információs rendszerrel kapcsolatos fenyegetések forrásai lehetnek külső és belső is.

Bibliográfia

1. Az Orosz Föderáció elnökének 2008. március 17-i, 351. sz. rendelete „Az Orosz Föderáció információbiztonságának biztosítására irányuló intézkedésekről a nemzetközi információcsere információs és távközlési hálózatainak használata során”;

Galatenko, V.A. Az információbiztonság alapjai. Internetes Informatikai Egyetem. INTUIT. ru, 2008;

Galatenko, V.A. Információbiztonsági szabványok. Internetes Informatikai Egyetem. INTUIT. ru, 2005;

Üzleti biztonságátfogó védelmet célzó tevékenységek és intézkedések összessége vállalkozói tevékenység különböző típusú (információs, jogi, fizikai, gazdasági, szervezeti és személyi) fenyegetésektől. A vállalkozás átfogó védelmével és a megtett intézkedésekkel kapcsolatos minden döntés meghozatala a biztonsági szolgálat, az illetékes osztályok vezetői és a szervezet igazgatója hatáskörébe tartozik.

Az üzleti biztonsági problémák típusai és megoldásuk módjai

Bármilyen üzletben mindig van hely a kockázatnak. Ugyanakkor a jó vezető nem várja meg a problémákat - időben megteszi az intézkedéseket, hogy megvédje magát az üzleti területen a legvalószínűbb problémák ellen. Ezek tartalmazzák:

- vállalati gondok– viták és konfliktushelyzetek a társaság részvényesei között, konfliktusok a felsővezetők között, vagy bonyolult kapcsolatok a társaság tulajdonosai és az osztályvezetők között;

- külső veszélyek- bűnözői struktúrák fenyegetései, bűnüldöző szervekkel és kormányzati szervekkel való konfliktusok, portyázó razziák és így tovább;

- anyagi veszteségek- a személyzet (vevők) csalárd cselekményei, lopás, gátlástalan közvetítők vagy beszállítók, a vállalati erőforrások nem megfelelő felhasználása, bizonyos tevékenységekért kenőpénz felvétele a vállalat érdekei ellen;

- információs veszélyek– a társaság titkos információinak kiszivárogtatása (elrejtése vagy megsemmisítése), bizalmas adatokhoz való jogosulatlan hozzáférés, üzleti titkok nyilvánosságra hozatala stb.

- biztonsági lyukak- anyagi és műszaki eszközök illetéktelen személy általi eltulajdonítása, illetéktelen belépés a cég területére, munkafegyelem megsértése;

- hírnévvel kapcsolatos kérdések- rossz hírű munkavállalók jelenléte a struktúrában, együttműködés rossz hírű emberekkel (partnerfelekkel).

Mindezen üzleti problémák megoldásához a következő típusú védelem szükséges:

- fizikai– biztonsági rendszerek, biztonsági, térfigyelő kamerák és így tovább;
- gazdasági– partner ellenőrzése, ügyfélbank védelme, adóoptimalizálás;
- szervezeti és személyi– a beérkező személyzet ellenőrzése, a meglévő alkalmazottak ellenőrzése;
- tájékoztató jellegű– behatolás elleni védelem, fájlok és dokumentumok védelme, 1C optimalizálás és védelme, egységes hitelesítés, információszivárgás elleni védelem stb.
- jogi– lezárt tranzakciók vizsgálata, okmánytervezetek ellenőrzése, előfizetéses szolgáltatások stb.

üzleti

A statisztikák szerint az összes üzleti probléma több mint fele az információbiztonsági „hiányosságokból” adódik. Információk kiszivárogtatása a versenytársak felé, adatvesztés, vállalati titkos információk rossz kezekbe kerülése – mindez komoly kockázatot jelent a vállalkozás számára. Ilyen helyzetben a vállalat informatikai vezetői számos hatékony intézkedést tesznek a vállalat átfogó védelmének biztosítása érdekében.

Az első helyen a pénzügyi adatok védelme, a másodikon a szivárgások elleni védelem, a harmadikon pedig a DDoS támadások elleni védelem áll. És ha az első két pont már régóta az első háromban van, akkor a támadásokkal kapcsolatos probléma csak mostanában jelent meg. Az érdeklődés oka a kis- és középvállalatok elleni DDoS támadások megnövekedett száma.

Az orosz vállalatok a biztonság területén meghozott főbb intézkedések közé tartoznak a kártevők elleni védelem, a frissítéskezelés, az alkalmazásvezérlés, a hálózati struktúra, a pénzügyi átutalások védelmére szolgáló megoldások, a külső eszközök használatának ellenőrzése, a védelem. mobiltelefonok stb.


Alapvető módszerek információvédelem a vállalkozások a következők:

1. Behatolásvédelem– a hálózati forgalom szabályozásához szükséges programok vagy berendezések telepítése. Az első veszély (behatolás) megjelenésekor a rendszer reagál és blokkolja a hozzáférést. Ezzel egyidejűleg a felelős alkalmazottat értesítik.

A védelmi rendszer kétféleképpen valósítható meg:

- IPS rendszer. Feladata minden gyanút keltő hálózati tevékenység blokkolása, a „többlet” forgalom hatékony kiszűrése. A rendszer előnye, hogy nemcsak észleli, hanem megakadályozza is a behatolást. Mínusz - a hamis pozitívumok nagy százaléka, ami az alkalmazottak folyamatos elvonásához vezet az esettől és a számítógépes hálózat leállásához az ellenőrzés során;

- IDS rendszer– figyeli az aktuális rendellenes tevékenységet, amelynek bekövetkezésekor jelzést kap az adminisztrátor. Pozitív jellemzők - hatékony küzdelem a behatolás ellen, a döntéshozatali jogok átruházása az adminisztrátorra. Hátránya, hogy a felelős alkalmazottnak nem biztos, hogy lesz ideje intézkedni, és a rendszer helyrehozhatatlanul megsérül.

Az ideális behatolásvédelmi rendszer így néz ki:

2. Szivárgás elleni védelem– olyan intézkedések összessége, amelyek megakadályozzák, hogy bizalmas információk illetéktelen kezekbe kerüljenek. A szivárgás kétféleképpen történhet:

Rosszindulatú lopással (kémkedés, portyázók, bennfentesek);
- személyzeti felügyelet miatt (adathordozó elvesztése, jelszó levélben történő elküldése, vírusos oldalra lépés, adathozzáférési jogok átadásáért felelős személyek hiánya stb.).

Rosszindulatú lopás esetén a védekezési módok a következők - hozzáférési mód korlátozása, térfigyelő kamerák telepítése, adatmegsemmisítő eszközök telepítése a szerverekre, információk titkosítása, adatok tárolása külföldi szervereken.

A személyi hibák elleni védekezés érdekében a következő módszerek nevezhetők hatékonynak - a bizalmas információkhoz való hozzáférés jogának minimalizálása, a dolgozók egyéni felelőssége, biztonságos csatornák használata, a munkavállalók számára a fontos dokumentumokkal való munkavégzésre vonatkozó szabályozás kialakítása, az alkalmazottakra átadott adathordozók felelősségének bevezetése .

Ezenkívül a véletlen hibák elleni védelem érdekében fontos a rendszerezés - telefonbeszélgetések rögzítése, forgalom és alkalmazottak PC-n végzett munkájának figyelése, USB-kártyák titkosítása, RMS használata, DLP-rendszerek megvalósítása stb.

3. Fájlvédelem magában foglalja a vállalaton belüli számítógépeken és szervereken tárolt összes legfontosabb információ biztonságát. Ennek végrehajtása a következőképpen történik:

- fájlrendszerek (adatok) titkosítása– EFS, Qnap, CryptoPro rendszerek és így tovább;

- laptopok (netbookok) titkosítása, adathordozók, mobileszközök - szoftvermegoldások (Kasperskiy, SecretDisk, Endpoint Encryption) vagy titkosítási modulok a Sony, Asus és más cégektől;

Itt természetesen előfordulhat egy kétértelmű hozzáállás... Talán tisztázni kellene - annak a valószínűsége, hogy a vállalkozás titkait ismerő alkalmazott információkat szivárog ki oldalra, minimálisnak kell lennie. És ez is része az információbiztonság fogalmának.
További érdekesség, hogy az információs landsknecht szakemberként képes megváltoztatni a gazdáját. Az etika és az anyagi oldal nem mindig fér össze. Sőt, az egy dolog - ha az ország biztonságáról van szó, és más - ha valaki egy absztraktot őriz. entitás, ami nem tény, hogy nem dobják a tank alá. Én is megfigyeltem ilyen eseteket... Tisztességes és tisztelt emberek néha...-be kerültek (na jó, tócsába vagy valamibe - hogy is mondjam finoman?). De! Mögöttük egy család áll! És akkor eldől a legcsúszósabb fogalom - az "adósság" - elsőbbségi kérdése - ki tartozik többet - a családnak vagy a vállalkozásnak? A családnak szenvednie kell a vállalkozás miatt? És végül is ez az oka sok család pusztulásának és vágyakozásnak a gyerekek szemében - "... és emlékszem, hogy így állunk a mappával!..." Nem dramatizálok - emlékszem azokat az időket, amelyek egy kicsit korábban voltak, és hasonlítsa össze őket a jövőbeli előrejelzésekkel, hónapokkal és évekkel. Szerintem érdemes párhuzamot vonni - a bûnözés mértékének növekedése, összefogás, információszabotõrök oktatása stb.
Tehát valójában Denis egy nagyon fontos témát vetett fel ezen a konferencián, amely mélyebb biztonsági kérdésekről szóló vitává nőtte ki magát.
Ezen a héten a "Biztonságelmélet" című könyvem próbakiadásban kell megjelennie, néhány fejezet közleményei, amelyekből megjelentettük a "Személyzeti röntgen" - http://www.absg.ru/test - című kiadványunkban, ahol én megfontolandó az információs háborúk, a biztonsági koncepciók szembeállítása, a személyiségek fontossága a biztonsági rendszerekben stb. Sajnos a kiadó adottságai miatt a könyvet egy bizonyos ideig nem birtokolom, ezért engedélyt kérek tegyen közzé legalább egy fejezetet teljes egészében, hogy a tisztelt kollégák felülvizsgálják és megítéljék.
Alexandru T:
„Bár számomra a szakmai etika fogalma nem üres frázis:
Sándor! Valójában nagyon kellemes tudni, hogy vannak, akik egy bizonyos kasztnak tekinthetik magukat. A megvesztegethetetlen emberek kasztja. Ezt a tulajdonságot a lehető legjobban össze kell kapcsolni az igazságosság és az erkölcs fogalmával.
Ha a kedves kollégák nem tartják nehéz munkának - kérem nézzen meg 2 linket -
http://train.absg.ru/?p=19 - egy erkölcsi kódex, amelyet minden állampolgár számára javasolunk betartani, és legalább az alapelvek betartását, cselekedeteiket az erkölcs szempontjából elemezve. Szintén
http://www.absg.ru/5mln a multimédiás változatok rovatban - megragadtam a bátorságot, hogy hozzászóljak az emberi jogok nyilatkozatához és az alkotmányhoz. Sajnos a szöveges változatot a magazin szövegén kívül más módon nem találom.
Bocsánat, ez lehet, hogy kissé eltér a témától - csak valamiért a szakmai etikáról szóló mondat valamiért megérintett a lelkemben... Ha körülnézel - ... de mit mondjak - ez most aranyat ér és ahogyan a szemek a földet aranyhomokként szórják szét a mélyben!

Az információbiztonság szerepe az üzletmenet-folytonosságban

Alekszandr Antipov

Az információbiztonsági stratégiát szorosan be kell építeni az átfogó vállalati üzletmenet-folytonossági programba.

A modern üzlet attól függ információs technológiaés égetően szüksége van a folyamatok folytonosságának biztosítására: a pénzügyi szolgáltatók vagy a távközlési cégek szolgáltatásainak egyórás leállása is hatalmas veszteségekhez vezethet. Az üzletmenet folytonossága közvetlenül kapcsolódik az IT-hez, és minden szervezet számára kritikus fontosságú, legyen szó nagy kereskedőkről, repülőjegy-ügynökségekről vagy kormányzati szervekről. Az iparban, az infrastrukturális vállalkozásokban vagy a közlekedési szektorban minden még súlyosabb: a digitális technológiák bevezetésével az informatikai szolgáltatások meghibásodása nemcsak anyagi veszteségekhez, hanem ember okozta katasztrófákhoz is vezethet. A kis cégeknek persze általában nincs értelme a folytonossági tervek megvalósításának, informálisan oldják meg a problémákat. De érte nagy üzlet a kockázatok összehasonlíthatatlanul nagyobbak.

Kirándulás a történelembe

Először a múlt század ötvenes éveiben gondoltak az üzletmenet folytonosságára – a mérnökök komolyan foglalkoztak az incidensek utáni katasztrófa utáni helyreállítás problémájával. Ennek a gyakorlatnak a végső kialakulása a nyolcvanas években történt, és a következő évtized a technológia rohamos fejlődésével az alkalmazott megközelítések összetettségét növelte.

A kilencvenes évek második felében a katasztrófa utáni helyreállítást felváltotta az üzletmenet-folytonosság vagy BCM (Business Continuity Management) fogalma, de sok szakértő még mindig összekeveri ezeket a dolgokat. Ma már nem elég az adatmentés, a hideg vagy meleg biztonsági mentés helye. Az egész szervezet zavartalan működésének problémája a termelési berendezéseket és technológiai folyamatokat, a kommunikációs eszközöket, a személyzetet és még sok mást érinti. Elsősorban az informatikai rendszerekre koncentrálunk, hiszen ezek meghibásodása teljesen megbéníthatja a cég tevékenységét.

Szabványok és eszközök

Számos nemzetközi szervezet foglalkozik üzletmenet-folytonossági kérdésekkel. A leghíresebb a BSI (British Standard Institute) által kifejlesztett BS25999 szabvány. Érdemes megemlíteni a brit BCI (Business Continuity Institute), valamint az amerikai DRI (Disaster Recovery Institute) és a SANS (SysAdmin, Audit, Network, Security Institute) legjobb gyakorlatait, valamint az Ausztrál Nemzeti Számvevőszék vezetését ( ANAO).

Ebbe az információs tengerbe könnyű belefulladni a különféle nemzeti, iparági, sőt belső vállalati szabályozások is. A legrosszabb az egészben, hogy leírom elméleti alapja a dokumentumok nem válaszolnak az egyszerű kérdésre: "Hogyan oldjuk meg a problémát a gyakorlatban?".

Projektet kezdeményezünk

Igyekszünk a meglévő módszertanokat összefogni, és megfontoljuk az üzleti folyamatok folyamatosságának biztosítását projektként - szakaszosan. Fontos megérteni, hogy végrehajtása folyamatos ciklikus folyamat, amely figyelembe veszi az üzleti életben bekövetkezett változásokat, az orosz és a nemzetközi jogszabályokat, valamint a technológiai újításokat.

Projektünk célja egy vállalati üzletmenet-folytonosság menedzsment (BCM) program létrehozása és megvalósítása. Először is meg kell fogalmazni a tartalmát és össze kell állítani lépésről lépésre terv végrehajtás. Ezután - határozza meg a csapattagok szerepét, a projekt céljait, és gondolja át, hogyan lehet monitorozni és ellenőrizni. A projekt elakadásának elkerülése érdekében érdemes külön bizottságot létrehozni az összes érdekelt fél képviselőiből – ennek rendszeresen össze kell ülnie, hogy megvitassák a munka előrehaladását és a felmerülő problémákat.

A terv elkészítésekor fontos megérteni, hogy a projekthez szükség lesz-e külső tanácsadók bevonására, vagy képes lesz-e önállóan kezelni. Érdemes akár üzletmenet-folytonossági menedzsert is kijelölni a projekt irányítására - a cég alkalmazottját vagy kihelyezett tanácsadót.

Az üzletre gyakorolt ​​hatás elemzése

Első lépés: részletesen megvizsgáljuk a vállalat üzleti folyamatait (Business Environment Analysis, BEA), és meghatározzuk a folytonosság követelményeit.

Leggyakrabban a projektért felelős tanácsadó interjúkat készít a projekt által érintett osztályok vezetőivel. Összeállítják a folyamatok listáját, és megkezdődik a munka a tulajdonosaikkal: meg kell határozni a folyamat vállalkozásra gyakorolt ​​hatásának típusát, az IT-függőségének mértékét, valamint a maximálisan megengedhető állásidőt (Maximum Allowable Outage, MAO ), amely után fennáll a szervezet életképességének elvesztésének veszélye.

Miután minden üzleti folyamathoz meghatározta a MAO-t, ki kell jelölnie a megengedett helyreállítási időt (helyreállítási idő célkitűzés, RTO) és célpont helyreállítás (helyreállítási pontobjektum, RPO) - ez általában a vészhelyzet bekövetkezte előtti időintervallum, amelyre vonatkozóan adatok elveszhetnek. Vészhelyzetekben is érdemes elfogadható teljesítményszinteket (Level of Business Continuity, LBC) kijelölni - általában a normál működés százalékában.

A hatásvizsgálat (Business Impact Analysis, BIA) a folyamatok hatását elemzi a teljes üzletág egészére. Ennek eredményeként össze kell állítani egy listát a kritikus folyamatokról és azok kölcsönös függőségeiről, valamint a leállási és helyreállítási időkről magukra a folyamatokra és a hozzájuk kapcsolódó információs rendszerekre vonatkozóan. Továbbá szükség van kockázatelemzésre (Risk Analysis, RA), amely során felmérik a sebezhetőségeket, a folyamatfolytonosságot fenyegető veszélyeket és azok megelőzésének hatékonyságát.

Azzal, hogy azonosítjuk azokat a folyamatokat, amelyek megzavarhatják a cég tevékenységét, valamint az esetleges károkat, képesek leszünk előre jelezni a lehetséges veszélyeket, veszélyforrásokat és saját sebezhetőségeinket.

Stratégia és tervek

Második lépés: a megfelelő üzletmenet-folytonossági stratégia kidolgozása (Business Continuity Strategy definíció), amely a vállalat minden aspektusát érinti.

Mindegyik irányhoz külön szakasz készül, amely leírja a lehetséges műszaki és szervezési megoldásokat az üzleti folyamatok gyors helyreállítására. Az alkalmazott informatikai megoldások elsősorban hideg és meleg készenléti oldalak, dinamikus terheléselosztó eszközök, valamint külső szolgáltatók mobil oldalai és kapacitásai (outsourcing). Főleg költségükben és helyreállítási idejükben különböznek egymástól.

Szükséges üzletmenet-folytonossági tervek (Business Continuity Plan, BCP) és vészhelyzeti infrastruktúra-helyreállítási tervek (Katasztrófa-helyreállítási Terv, DRP) elkészítése, valamint műszaki, ill. szervezeti rendszer BCM. A tervek jellemzően a folytonosság helyreállításának három fázisát tartalmazzák: reagálás egy incidensre, üzleti szempontból kritikus folyamatok végrehajtása vészhelyzetben, és átállás a normál működésre.

Megvalósítás és támogatás

Harmadik lépés: megvásároljuk és megvalósítjuk a kiválasztott megoldásokat.

A megvalósítás összetett folyamat, amelyhez harmadik fél vállalkozó bevonása is szükséges lehet. De még a befejezés után sem szabad belenyugodni a babérjain – az üzletmenet folytonosságának biztosítása folyamatos és ciklikus folyamat.

A vállalati BCM programot nemcsak folyamatosan fejleszteni kell, hanem integrálni is kell vállalati kultúra. Nem korlátozhatjuk magunkat a tervek elkészítésére - ezeket tesztelni kell, akár asztali ellenőrzésekkel (Tabletop), utánzatokkal (utánzat), akár teljes teszteléssel (Full business continuity testing). A tesztek eredményei alapján jelentéseket készítenek az alkalmazott forgatókönyvekről és a kapott eredményekről, valamint javaslatokat tesznek a meglévő tervek javítására. Általában évente frissítik őket, és néha gyakrabban - például az informatikai infrastruktúra vagy a jogszabályok jelentős változása esetén.

Kommunikáció az IS-szel

A szakértők megosztják az üzletmenet-folytonossági terveket és a katasztrófa utáni helyreállítási terveket, de az információbiztonsági politika szerepe a BCM programban nem mindenki számára nyilvánvaló.

A közelmúlt egyik esete a moszkvai felvonón történt incidens, amelynek tevékenysége egy kibertámadás következtében teljesen megbénult. Bármennyire is jó volt ebben az esetben a katasztrófa-helyreállítási terv, nem segített gyorsan beállítani a vállalati működést – a biztonsági mentésből visszaállított szerverek is ugyanazoknak a sebezhetőségeknek lesznek kitéve. Éppen ezért az üzletmenet-folytonossági terveknek tartalmazniuk kellett egy listát az IT-infrastruktúra elleni sikeres támadás esetén végrehajtandó intézkedésekről az állásidő csökkentése érdekében az utasok kockáztatása nélkül.

Sokkal több fenyegetés van az iparágban. Ha példának vesszük az Oroszországban leginkább automatizáltnak tartott olaj- és gázipart, akkor a bányászati, feldolgozó és marketing vállalkozások technológiai folyamatait valójában számítógépek vezérlik. Az analóg műszerek kézi leolvasását senki sem veszi le, helyettük digitális érzékelők és intelligens felügyeleti rendszerek kerültek.

A tolózárak, szelepek és egyéb működtetők szintén digitálisak lettek. Ha egy folyamatirányító rendszert ért sikeres támadás néhány másodpercre megszakítja a folyamatot, az üzem több órára vagy hetekig tartó leállásához, drága berendezések meghibásodásához és akár súlyos ember okozta katasztrófákhoz is vezethet. Egészen a közelmúltig azt hitték, hogy a technológiai rész nyilvános hálózatoktól való elszigetelése lehetetlenné teszi az ipari vezérlőrendszerek elleni hackertámadásokat, de a termelés digitalizálásának fejlődésével ez az elszigeteltség csökken, a fenyegetések száma pedig nő. Az ipar mellett más tevékenységi területek is vannak, emellett nem minden üzletkritikus szolgáltatás elkülöníthető.

A fő következtetés az, hogy az információbiztonsági stratégiát szorosan integrálni kell az átfogó vállalati üzletmenet-folytonossági programba. Ehhez olyan átfogó megoldásokra van szükség, amelyek egyesíthetik mindazokat az eszközöket, amelyek biztosítják az erőforrások rendelkezésre állását és a hackertámadásokkal szembeni védelmet, az adatok bizalmas kezelését és integritását, valamint a forráskód és az alkalmazások biztonságának automatizált vezérlését. A kockázatelemzés és az üzleti hatásvizsgálat lépései során mérlegelni kell a lehetséges jelenlétét információs rendszerek a rosszindulatú szereplők támadásainak kitett sebezhetőségeket, és az üzletmenet-folytonossági tervnek tartalmaznia kell az informatikai infrastruktúrát érő fenyegetésekről, azok kritikusságáról és a javítások elérhetőségéről szóló naprakész adatok megszerzésére szolgáló eljárásokat. Az üzletmenet-folytonossági stratégiának tartalmaznia kell a szolgáltatások sikeres támadások utáni helyreállítására vonatkozó eljárásokat is.

A vállalkozás információbiztonsága
Vállalkozás információvédelme

* A Wikipédiából

Információ biztonság- Ez az információs környezet biztonsági állapota. Az információvédelem a védett információk kiszivárgását, a védett információra való jogosulatlan és nem szándékos hatásokat megakadályozó tevékenység, vagyis ennek az állapotnak az elérését célzó folyamat.

A vállalkozás információbiztonsága: belső fenyegetés

Számos komoly szakember a szervezet információbiztonsága a belső fenyegetést nevezi a legfontosabbnak, amely az összes lehetséges kockázat 80%-át teszi ki. Valójában, ha figyelembe vesszük a hackertámadások átlagos sebzését, akkor ez közel lesz a nullához, a nagyszámú feltörési kísérlet és a nagyon alacsony hatékonyság miatt. Egyetlen emberi hiba vagy egy sikeres bennfentes atrocitás több millió dolláros (közvetlen és közvetett) veszteségbe, peres eljárásba és ismertségbe is kerülhet a vállalatnak az ügyfelek szemében. Valójában a cég léte is veszélybe kerülhet, és ez sajnos valóság. Hogyan biztosítható ? Hogyan védekezhet az információszivárgás ellen? Hogyan lehet időben felismerni és megelőzni egy belső fenyegetést? Milyen kezelési módszerek a leghatékonyabbak ma?

Ellenség belül

Szinte minden alkalmazott, aki hozzáfér a bizalmas vállalati információkhoz, belső támadóvá vagy bennfentessé válhat. A bennfentes cselekedeteinek motivációja nem mindig nyilvánvaló, ami jelentős nehézségekkel jár az azonosításában. Egy nemrégiben elbocsátott alkalmazott, aki haragot táplál a munkáltatóra; tisztességtelen alkalmazott, aki többletpénzt akar keresni adatok eladásával; modern Herostratus; egy versenytárs vagy egy bűnözői csoport speciálisan beültetett ügynöke – ez csak néhány bennfentes archetípus.

A bennfentes rosszindulat által okozott bajok gyökere e fenyegetés jelentőségének alábecsülése. A Perimetrix által végzett tanulmány szerint egy cég bizalmas információinak több mint 20%-ának kiszivárgása a legtöbb esetben a cég összeomlásához és csődjéhez vezet. A bennfentesek különösen gyakori, de még mindig legsérülékenyebb áldozata a pénzintézetek, bármilyen méretű - több száz-több ezer fős létszámmal. Annak ellenére, hogy a legtöbb esetben a cégek megpróbálják elrejteni vagy jelentősen alábecsülni a bennfentes cselekmények valós kárszámait, még a hivatalosan bejelentett veszteségek is igazán lenyűgözőek. Az anyagi veszteségeknél sokkal fájdalmasabb a cég számára a cég hírnevének károsodása és a vásárlói bizalom meredek csökkenése. A közvetett veszteségek gyakran sokszorosan meghaladhatják a tényleges közvetlen kárt. Így széles körben ismert a liechtensteini LGT bank esete, amikor 2008-ban egy banki alkalmazott betétes adatbázist adott át Németország, az USA, Nagy-Britannia és más országok speciális szolgálatainak. Mint kiderült, a bank külföldi ügyfelei közül rengetegen éltek az LGT különleges státusával, hogy országuk adótörvényeit megkerülve bonyolítsanak le tranzakciókat. Pénzügyi vizsgálatok és az ehhez kapcsolódó peres eljárások hulláma söpört végig a világon, az LGT minden jelentős ügyfelét elveszítette, kritikus veszteségeket szenvedett el, és egész Liechtensteint súlyos gazdasági és diplomáciai válságba sodorta. Nem kell messzire keresni a nagyon friss példákat sem – 2011 elején egy olyan pénzügyi óriáscég, mint a Bank of America elismerte az ügyfelek személyes adatainak kiszivárgását. A bankból csalárd tevékenység eredményeként a betétesek nevével, címével, társadalombiztosítási és telefonszámaival, bankszámla- és jogosítványszámával, e-mail címével, PIN kódjával és egyéb személyes adataival információ szivárgott ki a bankból. A bank veszteségeinek valós mértékét aligha lehet pontosan meghatározni, ha csak a „több mint 10 millió dolláros” összeget hivatalosan bejelentik. Az adatszivárgás oka egy bennfentes cselekedete, aki információt adott át egy szervezett bűnözői csoportnak. A bennfentes támadások – nemcsak bankok és alapok – fenyegetése mellett azonban elég lesz felidézni számos nagy horderejű botrányt, amelyek a WikiLeaks-forráson bizalmas adatok közzétételével kapcsolatosak – szakértők szerint jókora mennyiségű információ került napvilágra. bennfenteseken keresztül szerezték be.

életpróza

A cég bizalmas adatainak nem szándékos megsértése, kiszivárgása vagy elvesztése sokkal gyakoribb és prózaibb dolog, mint a bennfentesek által okozott kár. A munkatársak figyelmetlensége és a megfelelő műszaki információbiztonság hiánya a vállalati titkok közvetlen kiszivárogtatásához vezethet. Az ilyen hanyagság nemcsak a cég költségvetésében és jó hírnevében okoz komoly károkat, hanem széles körű nyilvános disszonanciát is okozhat. A kiszabadult titkos információk nem a betolakodók szűk körének, hanem az egész információs térnek a tulajdonába kerülnek - a kiszivárogtatást az interneten, a televízióban, a sajtóban tárgyalják. Emlékezzünk a nagy horderejű botrányra a legnagyobb orosz mobilszolgáltató, a MegaFon SMS-üzeneteinek közzétételével. A technikai személyzet figyelmetlensége miatt az SMS-eket az internetes keresők indexelték, és az előfizetők személyes és üzleti jellegű információkat is tartalmazó levelezése bekerült a hálózatba. Egy nagyon friss eset: az oroszországi nyugdíjalap ügyfelei személyes adatainak közzététele. A pénztár egyik regionális képviseletének képviselőinek hibája miatt 600 személy személyes adatait indexelték - a PFR-ügyfelek nevét, regisztrációs számát, megtakarításainak részletes összegét bármelyik internetező elolvashatta.

A gondatlanságból eredő bizalmas adatok kiszivárgásának igen gyakori oka a cégen belüli iratok napi rotációja. Így például a munkavállaló átmásolhat egy bizalmas adatokat tartalmazó fájlt egy laptopra, USB pendrive-ra vagy PDA-ra, hogy az irodán kívül dolgozhasson az adatokkal. Ezenkívül az információ eljuthat egy fájltároló szolgáltatáshoz vagy egy alkalmazott személyes leveléhez. Ilyen helyzetekben az adatok teljesen védtelenek a támadók számára, akik kihasználhatják a nem szándékos szivárgást.

Arany páncél vagy testpáncél?

Az információbiztonsági iparágban az adatszivárgás elleni védelem érdekében különféle rendszereket hoznak létre az információk szivárgás elleni védelmére, amelyeket hagyományosan az angol DLP rövidítéssel jelölnek. Data Leakage Prevention ("adatszivárgás megelőzése"). Általában ezek a legösszetettebb szoftverrendszerek, amelyek széles funkcionalitással rendelkeznek a titkos információk rosszindulatú vagy véletlen kiszivárgásának megakadályozására. Az ilyen rendszerek sajátossága, hogy megfelelő működésükhöz az információk és dokumentumok belső áramlásának jól kiépített struktúrája szükséges, mivel minden információval végzett művelet biztonsági elemzése adatbázisokkal való munkavégzésen alapul. Ez magyarázza a professzionális DLP-megoldások telepítésének magas költségét: a kliens cégnek már a közvetlen bevezetés előtt is vásárolnia kell egy adatbázis-kezelő rendszert (általában Oracle vagy SQL), megrendelnie kell az információáramlási struktúra költséges elemzését és auditját, valamint új biztonságot kell kifejlesztenie. irányelv. Gyakori helyzet, amikor az információk több mint 80%-a strukturálatlan egy vállalatnál, ami vizuális képet ad az előkészítő tevékenységek mértékéről. Természetesen maga a DLP rendszer is sok pénzbe kerül. Nem meglepő, hogy csak a nagy cégek hajlandók milliókat költeni rá a szervezet információbiztonsága.

De mi a helyzet a kis- és középvállalkozásokkal, amelyeknek biztosítaniuk kell üzleti információbiztonság, de nincs forrás és lehetőség egy professzionális DLP rendszer megvalósítására? A cégvezető vagy biztonsági tiszt számára a legfontosabb annak meghatározása, hogy mely információkat és mely feleket védje meg információs tevékenység felügyelendő alkalmazottak. Az orosz üzleti életben továbbra is az a vélemény uralkodik, hogy abszolút mindent meg kell védeni, az információk minősítése és a védelmi intézkedések hatékonyságának kiszámítása nélkül. Ezzel a megközelítéssel teljesen nyilvánvaló, hogy miután megtanulta a költségek összegét vállalati információbiztonság, a közép- és kisvállalkozások vezetője legyintett, és reménykedik a "talán".

Létezik alternatív módokon olyan védelmet, amely nem érinti az adatbázisokat és az információk kialakult életciklusát, de megbízható védelmet nyújt a behatolók cselekményei és a munkavállalók hanyagsága ellen. Ezek rugalmas moduláris komplexumok, amelyek probléma nélkül működnek más biztonsági eszközökkel, mind hardverrel, mind szoftverrel (például vírusirtókkal). A jól megtervezett biztonsági rendszer nagyon megbízható védelmet nyújt mind a külső, mind a belső fenyegetésekkel szemben, ideális egyensúlyt biztosítva az ár és a funkcionalitás között. Az információbiztonsági rendszereket fejlesztő orosz cég szakértői szerint SafenSoft, a külső fenyegetések elleni védelem elemeinek optimális kombinációja (például HIPS a behatolás megelőzésére, plusz egy víruskereső) olyan eszközökkel, amelyek a felhasználók és alkalmazások hozzáférését figyelik és szabályozzák az egyes információs szektorokhoz. Ezzel a megközelítéssel a szervezet teljes hálózati struktúrája teljesen védve van az esetleges hackeléstől vagy vírusfertőzéstől, és az információkkal végzett munka során a személyzet tevékenységének nyomon követésére és felügyeletére szolgáló eszközök hatékonyan megakadályozhatják az adatszivárgást. A szükséges védőfelszerelések teljes arzenáljával a moduláris rendszerek költsége tízszer alacsonyabb, mint a komplex DLP-megoldásoké, és nem igényel semmilyen költséget a vállalat információs struktúrájának előzetes elemzéséhez és adaptálásához.

Szóval összegezzük. Fenyegetések vállalati információbiztonság egészen valóságosak, nem szabad alábecsülni őket. A külső fenyegetések ellensúlyozása mellett kiemelt figyelmet kell fordítani a belső fenyegetésekre. Nem szabad megfeledkezni arról, hogy a vállalati titkok kiszivárogtatása nem csak rosszindulatú szándékból következik be - általában az alkalmazott elemi hanyagsága és figyelmetlensége okozza. A védekezési eszközök kiválasztásakor ne próbáljunk meg minden elképzelhető és elképzelhetetlen fenyegetést lefedni, erre egyszerűen nem lesz elég pénz és erő. Építsen meg egy megbízható moduláris biztonsági rendszert, amely el van zárva a kívülről érkező behatolás kockázatától, és lehetővé teszi a vállalaton belüli információáramlás ellenőrzését és figyelemmel kísérését.