Oktatási és Tudományos Minisztérium Orosz Föderáció

szövetségi állam költségvetési oktatási intézménye

felsőfokú szakmai végzettség

"PERM NEMZETI KUTATÁS

POLITECHNIKAI EGYETEM"

Teszt

fegyelem szerint

A VÁLLALKOZÁS INFORMÁCIÓBIZTONSÁGA

Tantárgy " Információ biztonság az üzleti életben az Alfa Bank OJSC példájával

Tanuló fejezte be

FC-11B csoport:

Smyshlyaeva Maria Sergeevna

A tanár ellenőrizte:

Shaburov Andrej Szergejevics

Perm – 2013

Bevezetés

Következtetés

Bibliográfia

Bevezetés

A legtöbb vállalat információs forrásai a legértékesebb erőforrásaik közé tartoznak. Emiatt a kereskedelmi, bizalmas információkat és személyes adatokat megbízhatóan védeni kell a visszaélésekkel szemben, ugyanakkor könnyen hozzáférhetővé kell tenni az ezen információk kezelésében részt vevő vagy a rábízott feladatok ellátása során felhasználó szervezetek számára. Az ehhez szükséges speciális eszközök alkalmazása hozzájárul a cég üzletmenetének fenntarthatóságához és életképességéhez.

Amint azt a gyakorlat mutatja, az üzletvédelem modern körülmények között történő megszervezésének kérdése vált a legsürgetőbbé. Az online boltokat „nyitják” és kiürítik a vásárlók hitelkártyáit, zsarolják a kaszinókat és fogadóirodákat, a vállalati hálózatok alá kerülnek. külső vezérlés, a számítógépeket „zombizálják” és beépítik a botnetekbe, az ellopott személyes adatok felhasználásával elkövetett csalás pedig nemzeti katasztrófává válik.

Ezért a vállalatvezetőknek meg kell érteniük az információbiztonság fontosságát, meg kell tanulniuk előre jelezni az ezen a területen tapasztalható trendeket és kezelni azokat.

A munka célja az üzleti információbiztonsági rendszer előnyeinek és hátrányainak azonosítása az Alfa Bank példáján keresztül.

Az OJSC "Alfa-Bank" tevékenységének jellemzői

Az Alfa-Bank 1990-ben alakult. Az Alfa-Bank egy univerzális bank, amely a pénzügyi szolgáltatások piacán minden fő banki műveletet végez, beleértve a magán- és vállalati ügyfelek kiszolgálását, a befektetési banki tevékenységet, a kereskedelemfinanszírozást és a vagyonkezelést.

Az Alfa-Bank székhelye Moszkvában található, a bank összesen 444 fiókja és fiókja nyílt meg Oroszország régióiban és külföldön, köztük egy leánybank Hollandiában, valamint pénzügyi leányvállalatok az USA-ban, Nagy-Britanniában és Ciprus. Az Alfa-Bank mintegy 17 ezer alkalmazottat foglalkoztat.

Az Alfa-Bank a legnagyobb orosz magánbank a mérlegfőösszeg alapján, teljes tőkeés a betétek nagysága. A bank nagy ügyfélkörrel rendelkezik mind vállalati, mind pedig magánszemélyek. Az Alfa-Bank univerzális bankként fejlődik a főbb területeken: vállalati és befektetési üzletágban (beleértve a kis és közepes üzlet(kkv), kereskedelem és strukturált finanszírozás, lízing és faktoring), kiskereskedelmi üzletág(beleértve a bankfiókok, autóhitelek és jelzáloghitelek rendszerét). Kiemelt figyelmet fordítanak a tömeges és kkv szegmensben a vállalati banki termékek fejlesztésére, valamint a távoli önkiszolgáló csatornák és az internetes akvizíció fejlesztésére. Az Alfa-Bank stratégiai prioritásai közé tartozik az oroszországi vezető magánbank státuszának megőrzése, a stabilitás megerősítése, a jövedelmezőség növelése, valamint a technológia, a hatékonyság, az ügyfélszolgálat minősége és a működési koherencia terén iparági szabványok felállítása.

Az Alfa-Bank az egyik legaktívabb orosz bank a globális tőkepiacokon. A vezető nemzetközi hitelminősítő intézetek az egyik legmagasabb minősítést az orosz magánbankok közül az Alfa-Banknak adják. Az Ügyfélélmény-index tanulmányában négyszer egymás után az első helyen végzett. Lakossági bankszektor után pénzügyi válság", amelyet a Senteo és a PricewaterhouseCoopers végzett. Szintén 2012-ben az Alfa-Bank elismerésben részesült a legjobb internet A GlobalFinance magazin szerint a Tőzsdei Résztvevők Országos Szövetsége (NAUFOR) által a legjobb elemzésnek járó bank lett a legjobb orosz magánbank a Romir Research Holding által számított bizalmi index alapján.

A Bank ma 83 értékesítési pontból álló szövetségi szintű hálózattal rendelkezik. Az Alfa Bank a kereskedelmi bankok közül az egyik legnagyobb hálózattal rendelkezik, amely 55 irodából áll és 23 várost fed le. A hálózatbővítés eredményeként a Bank rendelkezik további jellemzők az ügyfélkör bővítése, a banki termékek körének és minőségének bővítése, interregionális programok megvalósítása, a rendszerszinten fontos ügyfelek átfogó kiszolgálása a legnagyobb vállalkozások közül.

Az üzleti információbiztonság kérdéskörének elméleti alapjainak elemzése

Relevanciaaz információbiztonság biztosításának problémája pedig a következő tényezőknek köszönhető:

· Az információbiztonsági eszközök jelenlegi fejlettségi szintje és üteme jelentősen elmarad az információs technológiák fejlettségi szintjétől és ütemétől.

· Magas flottanövekedési ráta személyi számítógépek, amelyet az emberi tevékenység különböző területein használnak. A Gartner Dataquest kutatása szerint jelenleg több mint egymilliárd személyi számítógép van a világon.

információbiztonsági üzleti bank

· A számítási erőforrásokhoz és adatkészletekhez közvetlen hozzáféréssel rendelkező felhasználók körének éles bővülése;

Jelenleg jelentősen megnőtt a bankokban tárolt információk jelentősége, fontos és gyakran titkos információk a pénzügyi és gazdasági aktivitás sok ember, cég, szervezet, sőt egész állam. A bank értékes információkat tárol és dolgoz fel, amelyek nagyszámú ember érdekeit érintik. A bank fontos információkat tárol ügyfeleiről, ami kiterjeszti az ilyen információk ellopásában vagy megrongálásában érdekelt potenciális támadók körét.

Az összes bűncselekmény több mint 90%-a automatizált banki információfeldolgozó rendszerek használatával függ össze. Következésképpen az ISIS létrehozása és korszerűsítése során a bankoknak kiemelt figyelmet kell fordítaniuk annak biztonságára.

A fő figyelmet a bankok számítógépes biztonságára kell fordítani, pl. Az automatizált banki információfeldolgozó rendszerek biztonsága, mint a banki információbiztonság területén a leglényegesebb, összetett és legégetőbb probléma.

Az információs technológia rohamos fejlődése új lehetőségeket nyitott meg az üzleti élet előtt, de új veszélyek megjelenéséhez is vezetett. Modern szoftver termékek A verseny miatt hibákkal és hiányosságokkal kerülnek eladásra. A fejlesztőknek, beleértve mindenféle funkciót termékeikbe, nincs idejük a létrehozott szoftverrendszerek kiváló minőségű hibakeresésére. Az ezekben a rendszerekben fennmaradó hibák és hiányosságok az információbiztonság véletlen és szándékos megsértéséhez vezetnek. Például a legtöbb véletlen információvesztés oka a szoftver és a hardver működésének meghibásodása, és a legtöbb számítógépes rendszert ért támadás a szoftverben talált hibákon és hibákon alapul. Például a Microsoft Windows szerver operációs rendszer megjelenése utáni első hat hónapban 14 sebezhetőséget fedeztek fel, amelyek közül 6 kritikus. Annak ellenére, hogy idővel a Microsoft szervizcsomagokat fejleszt, amelyek kiküszöbölik a felfedezett hibákat, a felhasználókat már sikerül elszenvedniük a fennmaradó hibák miatt fellépő információbiztonsági megsértésektől. Amíg ez a sok egyéb probléma meg nem oldódik, az információbiztonság elégtelen szintje komoly akadálya lesz az információs technológia fejlődésének.

Alatt információ biztonságaz információ és a támogató infrastruktúra védelme olyan természetes vagy mesterséges természetű véletlen vagy szándékos hatásoktól, amelyek elfogadhatatlan károkat okozhatnak az információs kapcsolatok alanyainak, beleértve az információ és a támogató infrastruktúra tulajdonosait és felhasználóit.

A modern üzleti világban migrációs folyamat zajlik tárgyi eszközök az információs felé. A szervezet fejlődésével egyre összetettebbé válik információs rendszere, melynek fő feladata az üzleti tevékenység maximális hatékonyságának biztosítása a folyamatosan változó piaci versenyfeltételek mellett.

Az információt áruként tekintve elmondható, hogy az információbiztonság biztosítása általánosságban jelentős költségmegtakarítást, az abban okozott kár pedig anyagköltséget eredményez. Például egy eredeti termék gyártási technológiájának nyilvánosságra hozatala hasonló termék megjelenéséhez vezet, de más gyártótól, és az információbiztonság megsértése következtében a technológia tulajdonosa, esetleg a szerző. , elveszíti a piac egy részét stb. Másrészt az információ az ellenőrzés tárgya, változása katasztrofális következményekkel járhat a vezérlőobjektumban.

A GOST R 50922-2006 szerint az információbiztonság biztosítása olyan tevékenység, amelynek célja az információszivárgás, a védett információk jogosulatlan és nem szándékos befolyásolása. Az információbiztonság mind a vállalatok, mind a kormányzati szervek számára fontos. Az információs erőforrások átfogó védelme érdekében az információbiztonsági rendszerek kiépítése és fejlesztése folyik.

Számos oka lehet, amely súlyosan befolyásolhatja a helyi és globális hálózatok működését, és értékes információk elvesztéséhez vezethet. Köztük a következők:

Jogosulatlan hozzáférés kívülről, információk másolása vagy megváltoztatása, véletlen vagy szándékos cselekmények, amelyek:

adatok eltorzítása vagy megsemmisítése;

illetéktelen személyek bank-, pénzügyi vagy államtitkot képező információk megismertetése.

A szoftver nem megfelelő működése, amely az adatok elvesztéséhez vagy megsérüléséhez vezethet a következők miatt:

hibák az alkalmazásban vagy a hálózati szoftverben;

rendszerek számítógépes vírusokkal való megfertőzése.

A műszaki berendezések meghibásodása a következők miatt következett be:

áramszünet;

lemezrendszerek és adatarchiváló rendszerek meghibásodása;

szerverek, munkaállomások, hálózati kártyák, modemek működésének zavarai.

Karbantartó személyzet hibái.

Természetesen nincs olyan univerzális megoldás, amely a fenti okok mindegyikét kizárná, azonban számos szervezet kidolgozott és alkalmazott technikai és adminisztratív intézkedéseket az adatvesztés vagy az azokhoz való jogosulatlan hozzáférés kockázatának minimalizálására.

Ma már az Alfa-Banknál is alkalmazott információbiztonsági módszerek nagy arzenálja van:

· a felhasználók azonosításának és hitelesítésének eszközei (az úgynevezett komplex 3A);

· Számítógépeken tárolt és hálózatokon továbbított információk titkosítására szolgáló eszközök;

· tűzfalak;

· virtuális magánhálózatok;

· Tartalomszűrő eszközök;

· eszközök a lemez tartalmának sértetlenségének ellenőrzéséhez;

· vírusvédelmi eszközök;

· hálózati sebezhetőséget észlelő rendszerek és hálózati támadáselemzők.

A "3A komplexum" magában foglalja a hitelesítést (vagy azonosítást), az engedélyezést és az adminisztrációt. Azonosításés az engedélyezés kulcsfontosságú elemei az információbiztonságnak. Amikor megpróbál hozzáférni bármely programhoz, az azonosítási funkció választ ad a következő kérdésre: „Ki vagy?” és „Hol vagy?”, Ön jogosult a program felhasználója. Az engedélyezési funkció felelős azért, hogy egy adott felhasználó mely erőforrásokhoz férhet hozzá. Az adminisztrációs funkció az, hogy egy adott hálózaton belül bizonyos azonosítási jellemzőket biztosítson a felhasználónak, és meghatározza a számára engedélyezett műveletek körét. Az Alfa-Bankban a programok megnyitásakor minden alkalmazott jelszavát és bejelentkezési adatait bekérik, és bármilyen művelet elvégzésekor bizonyos esetekben engedélyre van szükség a fiókvezetőtől vagy helyettesétől.

Tűzfalolyan rendszer vagy rendszerek kombinációja, amely védőkorlátot képez két vagy több hálózat között, és megvédi a hálózatba belépő vagy onnan kilépő jogosulatlan adatcsomagokat. A tűzfalak működésének alapelve. minden egyes adatcsomag ellenőrzése, hogy a bejövő és kimenő IP-címek megfelelnek-e az engedélyezett címek adatbázisának. Így a tűzfalak jelentősen kibővítik az információs hálózatok szegmentálásának és az adatforgalom szabályozásának lehetőségeit.

Amikor a titkosításról és a tűzfalakról beszélünk, meg kell említenünk a biztonságos virtuális magánhálózatokat (VPN). Használatuk lehetővé teszi a nyílt kommunikációs csatornákon továbbított adatok bizalmas kezelésével és integritásával kapcsolatos problémák megoldását.

A bizalmas információk elvesztésével szembeni védelem hatékony eszköze. Bejövő és kimenő tartalom szűrése Email. Magának az e-mail üzeneteknek és mellékleteiknek a szervezet által meghatározott szabályok alapján történő szűrése is segít megvédeni a cégeket a peres felelősségtől, és megvédi dolgozóikat a spamektől. A tartalomszűrő eszközök lehetővé teszik az összes általános formátumú fájlok vizsgálatát, beleértve a tömörített és grafikus fájlokat is. Ugyanakkor a hálózati átviteli sebesség gyakorlatilag változatlan marad.

Modern vírusirtóA technológiák szinte az összes már ismert vírusprogram azonosítását teszik lehetővé, ha egy gyanús fájl kódját összehasonlítják a víruskereső adatbázisban tárolt mintákkal. Emellett olyan viselkedésmodellező technológiákat fejlesztettek ki, amelyek lehetővé teszik az újonnan létrehozott vírusprogramok észlelését. Az észlelt objektumok kezelhetők, elkülöníthetők (karanténba helyezhetők) vagy törölhetők. A vírusvédelem telepíthető munkaállomásokra, fájl- és levelezőszerverekre, szinte minden elterjedt operációs rendszer alatt futó tűzfalra (Windows, Unix és Linux rendszerek, Novell) különféle processzorokon. A spamszűrők jelentősen csökkentik a levélszemét elemzésével összefüggő improduktív munkaerőköltségeket, csökkentik a forgalmat és a szerverterhelést, javítják a csapat pszichológiai hátterét, és csökkentik annak kockázatát, hogy a vállalati alkalmazottak csalárd tranzakciókba keveredjenek. Emellett a levélszemétszűrők csökkentik az új vírusokkal való fertőzés kockázatát, mivel a vírusokat tartalmazó üzeneteken (még azokon is, amelyek még nem szerepelnek a vírusirtó programok adatbázisában) gyakran vannak spam jelei, és kiszűrik őket. Igaz, a spamszűrés pozitív hatása tagadható, ha a szűrő a kéretlen üzenetekkel együtt eltávolítja vagy spamként jelöli meg a hasznos üzleti vagy személyes üzeneteket.

Számos legjellemzőbb típus és módszer létezik információs fenyegetések:

Az üzleti titkok titkosságának feloldása és eltulajdonítása. Ha korábban rejtett helyeken, hatalmas széfekben, megbízható fizikai és (később) elektronikus védelem alatt őrizték a titkokat, ma már sok dolgozó fér hozzá az irodai adatbázisokhoz, amelyek gyakran nagyon érzékeny információkat tartalmaznak, például ugyanazokat az adatokat az ügyfelekről.

Kompromittáló anyagok forgalmazása. Vagyis az alkalmazottak szándékos vagy véletlenszerű olyan információ felhasználása az elektronikus levelezésben, amely árnyékot vet a bank hírnevére.

A szellemi tulajdon megsértése. Nem szabad megfeledkezni arról, hogy a bankokban előállított szellemi termék, mint minden szervezetben, hozzátartozik, és a munkavállalók (ideértve a szellemi értékek generálóit és szerzőit is) csak a szervezet érdekeit szolgálják. Mindeközben Oroszországban gyakran adódnak konfliktusok ebben a kérdésben a szervezetek és az alkalmazottak között, akik igényt tartanak az általuk megalkotott szellemi termékre, és azt személyes érdekeik érdekében, a szervezet rovására használják. Ez gyakran a vállalkozás homályos jogi helyzete miatt történik, amikor munkaszerződés Nincsenek egyértelműen meghatározott szabályok és előírások, amelyek körvonalazzák a munkavállalók jogait és kötelezettségeit.

Nem titkos, de a versenytársak (más bankok) számára hasznos belső információk (gyakran nem szándékos) terjesztése.

A versengő bankok weboldalainak felkeresése. Napjainkban egyre több cég használ olyan programokat a nyitott weboldalain (különösen a CRM-hez tervezetteket), amelyek lehetővé teszik a látogatók felismerését és az útvonalak részletes nyomon követését, rögzítik a weboldalak megtekintésének idejét és időtartamát. A versenytársak webhelyei az elemzések és előrejelzések értékes forrásai voltak és maradtak is.

Az irodai kommunikáció személyes célú visszaélése (zene és egyéb nem munkához kapcsolódó tartalmak hallgatása, megtekintése, irodai számítógép letöltése) nem jelent közvetlen veszélyt az információbiztonságra, de további terhelést jelent a vállalati hálózaton, csökkenti a hatékonyságot, zavarja a kollégák munkájával.

És végül a külső fenyegetések - illetéktelen behatolás stb.

A bank által elfogadott szabályoknak meg kell felelniük az állam- és üzleti titok, a személyes és magánjellegű adatok védelmére vonatkozó nemzeti és nemzetközileg elismert szabványoknak.

Szervezeti információbiztonság az Alfa-Banknál

Az Alfa Bank OJSC egy szelektív hozzáférés-vezérlési módszeren alapuló biztonsági politikát vezetett be. Az OJSC Alfa Bank ilyen kezelését az adminisztrátor által meghatározott engedélyezett hozzáférési kapcsolatok jellemzik. A hozzáférési mátrixot közvetlenül a vállalat rendszergazdája tölti ki. A szelektív információbiztonsági politika alkalmazása megfelel a menedzsment követelményeinek, valamint az információbiztonsági és hozzáférés-ellenőrzési, elszámoltathatósági követelményeknek, és a szervezeti költsége is elfogadható. Az információbiztonsági politika végrehajtása teljes mértékben rá van bízva rendszergazda OJSC "Alfa Bank".

A meglévő biztonsági politika mellett az Alfa Bank OJSC speciális hardver- és szoftverbiztonsági eszközöket használ.

A használt biztonsági hardver Cisco 1605. A router két Ethernet interfésszel van felszerelve (az egyik TP és AUI interfésszel, a másik csak TP) helyi hálózatés egy bővítőhely a Cisco 1600 sorozatú útválasztók egyik moduljának telepítéséhez.. Ezenkívül a Cisco IOSFirewallFeatureSet szoftver a Cisco 1605-R-t ideális rugalmas útválasztó/biztonsági rendszerré teszi kis irodák számára. A telepített modultól függően az útválasztó mind az ISDN-n keresztül, mind a betárcsázós vonalon vagy bérelt vonalon keresztül tud kapcsolatot létesíteni 1200 bps-tól 2 Mbps-ig, FrameRelay, SMDS, x.25.

Az információk védelme érdekében a LAN tulajdonosának biztosítania kell a hálózat „peremét”, például úgy, hogy a belső hálózat és a külső hálózat találkozásánál irányítást hoz létre. A Cisco IOS nagyfokú rugalmasságot és biztonságot nyújt olyan szabványos szolgáltatásokkal, mint a speciális hozzáférési listák (ACL), a blokkolórendszerek (dinamikus ACL-ek) és az útválasztási engedélyezés. Ezenkívül az 1600-as és 2500-as sorozatú útválasztókhoz elérhető Cisco IOS FirewallFeatureSet átfogó biztonsági funkciókat kínál, beleértve:

Contextual Access Control (CBAC)

Java blokkolás

hajónapló

támadások felderítése és megelőzése

azonnali értesítést

Ezenkívül az útválasztó támogatja a virtuális átfedő hálózatokat, alagutakat, prioritáskezelő rendszert, erőforrás-foglalási rendszert és különféle módszerekútvonalkezelés.

A KasperskyOpenSpaceSecurity megoldást szoftverbiztonsági eszközként használják. A KasperskyOpenSpaceSecurity teljes mértékben reagál modern követelményeknek a vállalati hálózatbiztonsági rendszerek követelményei:

megoldás minden típusú hálózati csomópont védelmére;

védelem minden típusú számítógépes fenyegetés ellen;

hatékony technikai támogatás;

„proaktív” technológiák a hagyományos aláírás-alapú védelemmel kombinálva;

innovatív technológiák és új víruskereső motor, amely javítja a teljesítményt;

használatra kész védelmi rendszer;

központosított irányítás;

a hálózaton kívüli felhasználók teljes védelme;

kompatibilitás harmadik féltől származó megoldásokkal;

a hálózati erőforrások hatékony felhasználása.

A fejlesztés alatt álló rendszernek teljes körű ellenőrzést, automatizált könyvelést és biztonsági elemzést kell biztosítania Személyes adat, lehetővé teszi az ügyfélszolgálati idő csökkentését, az információbiztonsági kódokról és a személyes adatokról való tájékoztatást.

A fejlesztés alatt álló rendszerrel szemben támasztott követelmények megfogalmazásához meg kell fogalmazni az adatbázis szervezésére és a fejlesztés alatt álló rendszer információs kompatibilitására vonatkozó követelményeket.

Az adatbázis-tervezésnek egy adott szervezet végfelhasználóinak elképzelésén – a rendszerrel szemben támasztott elvi követelményeken – kell alapulnia.

Ebben az esetben az IS a cég alkalmazottairól tartalmaz adatokat. Az egyik olyan technológia, amely jelentősen szemlélteti az információs rendszer működését, a dokumentumokhoz tartozó dokumentumfolyamat-ábra kidolgozása.

A kifejlesztett rendszer funkciói számítástechnika és szoftverek használatával valósíthatók meg. Tekintettel arra, hogy a banki szakemberek tevékenységében az információk, információk és számviteli bizonylatok keresése a munkaidő mintegy 30%-át teszi ki, az automatizált könyvelési rendszer bevezetése jelentősen felszabadítja a képzett szakembereket, megtakarítást eredményezhet a béralapban, létszámcsökkentést, hanem az üzemeltető személyzeti osztályának bemutatását is eredményezheti, akiknek feladatai közé tartozik majd a folyamatban lévő üzleti folyamatokkal kapcsolatos információk bevitele: a személyes adatok könyvelési bizonylatai és belépési kódjai.

Megjegyzendő, hogy a kifejlesztett rendszer bevezetése csökkenti, ideális esetben teljesen kiküszöböli a személyes adatok és biztonsági kódok rögzítésének hibáit. Így az automatizált menedzser munkaállomás bevezetése jelentős gazdasági hatás, a létszám 1/3-ával való csökkentése, a bérek megtakarítása, a munka termelékenységének növelése.

Az Alfa-Bank, mint minden bank, kidolgozott egy Információbiztonsági szabályzatot, amely egy nézetrendszert határoz meg az információbiztonság biztosításának problémájáról, és a védelem céljainak és célkitűzéseinek szisztematikus megfogalmazása, mint egy vagy több szabály, eljárás, gyakorlatok és iránymutatások az információbiztonság területén.

A politika figyelembe veszi a Bank informatikai fejlesztésének jelenlegi állapotát és közvetlen kilátásait, céljait, célkitűzéseit, ill. jogi alap működésüket, működési módjukat, valamint a Bank információs kapcsolatainak objektumaira és alanyaira vonatkozó biztonsági fenyegetések elemzését is tartalmazza.

Jelen dokumentum főbb rendelkezései és követelményei a Bank valamennyi strukturális részlegére vonatkoznak, beleértve a további irodákat is. Főbb kérdések A Szabályzat vonatkozik a Bankkal kapcsolatban álló egyéb szervezetekre és intézményekre is, mint a Bank információforrásainak szállítója és fogyasztója.

Ennek az irányelvnek a jogalkotási alapja az Orosz Föderáció alkotmánya, a polgári és büntető törvénykönyvek, törvények, rendeletek, határozatok stb. előírások az Orosz Föderáció hatályos jogszabályai, az Orosz Föderáció elnöke mellett működő Állami Műszaki Bizottság, az Orosz Föderáció elnöke alá tartozó Kormányzati Kommunikációs és Információs Szövetségi Ügynökség dokumentumai.

A politika módszertani alapja a következőknek:

· egységes politika kialakítása és megvalósítása a Bank információbiztonságának biztosítása terén;

· vezetői döntések meghozatala és gyakorlati intézkedések kidolgozása az információbiztonsági politika végrehajtásához, valamint olyan elfogadott intézkedések kidolgozása, amelyek célja a végrehajtás következményeinek azonosítása, tükrözése és megszüntetése különféle típusok az információbiztonságot fenyegető veszélyek;

· tevékenységek összehangolása szerkezeti felosztások Bank az információs technológiák létrehozásával, fejlesztésével és üzemeltetésével kapcsolatos munkák során az információbiztonsági követelményeknek megfelelően;

· javaslatok kidolgozása a Bank információbiztonságának jogi, szabályozási, technikai és szervezeti támogatásának javítására.

Rendszerszemléletű az információbiztonsági rendszer kiépítése a Bankban magában foglalja mindazon egymással összefüggő, egymással kölcsönhatásban lévő és időben változó elemek, feltételek és tényezők figyelembevételét, amelyek a Bank információbiztonsági problémájának megértése és megoldása szempontjából jelentősek.

Az információbiztonság biztosítása- a Bank vezetése, információbiztonsági osztályai és munkatársai által minden szinten végrehajtott folyamat. Ez nem csak és nem is annyira egy bizonyos időn belül végrehajtott eljárás vagy politika, vagy védőintézkedések összessége, hanem sokkal inkább egy folyamat, amelynek a Bankon belül minden szinten folyamatosan végbe kell mennie, és minden banki alkalmazottnak meg kell tennie. részt ebben a folyamatban. Az információbiztonságot szolgáló tevékenységek a Bank mindennapi tevékenységének szerves részét képezik. Hatékonysága pedig attól függ, hogy a Bank vezetősége részt vesz-e az információbiztonság biztosításában.

Emellett a legtöbb magánszemély és technikai eszközökkel Funkcióinak hatékony ellátásához folyamatos szervezeti (adminisztratív) támogatás szükséges (nevek, jelszavak, titkosítási kulcsok időben történő megváltoztatása, helyes tárolásának és használatának biztosítása, hatáskörök újradefiniálása stb.). A biztonsági intézkedések működésének megszakításait a támadók felhasználhatják az alkalmazott védelmi módszerek és eszközök elemzésére, speciális szoftveres és hardveres „könyvjelzők” bevezetésére, valamint a biztonság leküzdésére szolgáló egyéb eszközökre.

Személyes felelősségmagában foglalja az információ és feldolgozási rendszerének biztonságának biztosításáért való felelősséget az egyes munkavállalókra a saját hatáskörén belül. Ennek az elvnek megfelelően a munkavállalók jogainak és kötelezettségeinek megosztása úgy történik, hogy bármilyen jogsértés esetén a tettesek köre egyértelműen ismert legyen, vagy minimálisra csökkenjen.

Az Alfa-Bankban az ellenőrzést folyamatosan gyakorolják, bármely felhasználó tevékenységét, az egyes védelmi eszközöket és bármely védelmi objektumot az operatív ellenőrzési és nyilvántartási eszközök használata alapján kell végrehajtani, és ki kell terjednie mind a jogosulatlan, mind a védelmi eszközökre. a felhasználók engedélyezett tevékenységei.

A bank az alábbi szervezeti és adminisztratív dokumentumokat dolgozta ki:

· Az üzleti titokról szóló rendeletek. A meghatározott Szabályzat szabályozza a Bank üzleti titkát képező információkkal való munkavégzés rendjét, az ezen információ birtokában lévő munkavállalók feladatait és felelősségét, a Bank üzleti titkát képező információt tartalmazó anyagok államba (kereskedelmi ) intézmények és szervezetek;

· A hivatali és kereskedelmi titkot képező információk listája. A lista meghatározza a bizalmasnak minősített információkat, a védett információkhoz való hozzáférés korlátozásának biztosításának szintjét és időzítését;

· Az információbiztonsági rendszer létrehozására vonatkozó utasítások és utasítások:

· lehetővé teszi a munkavállalók számára, hogy korlátozott információkkal dolgozzanak;

· adminisztrátorok és a korlátozott információkkal való munkavégzésért felelős személyek kijelölése a vállalati információs rendszerben;

· Utasítások és funkcionális felelősségek alkalmazottak:

· a biztonság és a beléptetés szervezéséről;

· az irodai munka megszervezéséről;

· a vállalati információs rendszer információforrásainak kezeléséről;

· egyéb szabályozó dokumentumok.

Következtetés

Ma az információbiztonság megszervezésének kérdése bármilyen szintű szervezetet érint - a nagyvállalatoktól a jogi személyiséggel nem rendelkező vállalkozókig. A verseny a modern piaci viszonyok között korántsem tökéletes, és gyakran nem a legtörvényesebb módon zajlik. Az ipari kémkedés virágzik. De gyakran előfordulnak olyan esetek is, amikor egy szervezet üzleti titkával kapcsolatos információkat nem szándékosan terjesztenek. Itt általában a munkavállalók hanyagsága, a helyzet megértésének hiánya, más szóval az „emberi tényező” játszik szerepet.

Az Alfa-Bank az alábbi információk védelmét biztosítja:

kereskedelmi titok

banktitok

banki dokumentumok (Biztonsági osztály jelentései, éves banki becslések, banki alkalmazottak jövedelmére vonatkozó információk stb.)

A bankban lévő információkat olyan fenyegetések védik, mint:

· Természetes

· Mesterséges fenyegetések (az információs rendszer és elemeinek tervezési hibáiból, a személyzet hibáiból stb. előidézett nem szándékos (nem szándékos, véletlen) fenyegetések; az emberek önző, ideológiai vagy egyéb törekvéseihez kapcsolódó szándékos (szándékos) fenyegetések (támadók).

Magát az információs rendszert fenyegető veszélyforrások lehetnek külső és belső is.

Bibliográfia

1. Az Orosz Föderáció elnökének 2008. március 17-i, 351. sz. rendelete „Az Orosz Föderáció információbiztonságának biztosítására irányuló intézkedésekről a nemzetközi információcsere információs és távközlési hálózatainak használata során”;

Galatenko, V.A. Az információbiztonság alapjai. Internetes Információs Technológiai Egyetem. INTUIT. ru, 2008;

Galatenko, V.A. Információbiztonsági szabványok. Internetes Információs Technológiai Egyetem. INTUIT. ru, 2005;

Üzleti biztonságátfogó védelmet célzó tevékenységek és intézkedések összessége vállalkozói tevékenység különböző típusú (információs, jogi, fizikai, gazdasági és szervezeti és személyi) fenyegetésektől. A vállalkozás átfogó védelmével és a megtett intézkedésekkel kapcsolatos minden döntés meghozatalával a biztonsági szolgálat, az illetékes osztályok vezetői és a szervezet igazgatója történik.

Az üzleti biztonsági problémák típusai és megoldásuk módjai

Bármilyen típusú üzletben mindig van hely a kockázatnak. Ugyanakkor a jó vezető nem várja meg a problémákat - időben megteszi az intézkedéseket, hogy megvédje magát az üzleti szféra legvalószínűbb problémáitól. Ezek tartalmazzák:

- vállalati gondok- a társaság részvényesei közötti viták és konfliktushelyzetek, a felsővezetők közötti konfliktusok vagy a társaság tulajdonosai és az osztályvezetők közötti kapcsolat bonyolultsága;

- külső veszélyek– bûnszervezetek fenyegetései, rendészeti és kormányzati szervekkel való konfliktusok, razziák stb.;

- anyagi veszteségek– a személyzet (ügyfelek) csalárd tevékenysége, lopás, gátlástalan közvetítők vagy beszállítók, a vállalat erőforrásainak nem megfelelő felhasználása, kenőpénz felvétele bizonyos, a vállalat érdekeit sértő tevékenységekért;

- információs veszélyek– a társaság titkos információinak kiszivárogtatása (elrejtése vagy megsemmisítése), bizalmas adatokhoz való jogosulatlan hozzáférés, üzleti titkok nyilvánosságra hozatala stb.;

- biztonsági „rések”- anyagi és műszaki eszközök illetéktelen személy általi eltulajdonítása, illetéktelen belépés a cég területére, munkafegyelem megsértése;

- jó hírnévvel kapcsolatos problémák– rossz hírű munkavállalók jelenléte a struktúrában, együttműködés rossz hírű emberekkel (partnerekkel).

Az összes felsorolt ​​üzleti probléma megoldásához szüksége van a következő típusok védelem:

- fizikai– biztonsági rendszerek, biztonsági, térfigyelő kamerák és így tovább;
- gazdasági– partner ellenőrzése, ügyfélbank védelme, adóoptimalizálás;
- szervezeti és személyi– új személyzet ellenőrzése, meglévő alkalmazottak ellenőrzése;
- tájékoztató jellegű– behatolás elleni védelem, fájlok és dokumentumok védelme, 1C optimalizálása és védelme, egységes hitelesítés, információszivárgás elleni védelem stb.;
- jogi– lezárt ügyletek vizsgálata, bizonylattervezetek ellenőrzése, előfizetői szolgáltatások stb.

üzleti

A statisztikák szerint az összes üzleti problémának több mint fele az információbiztonsági „hézagokból” adódik. Információk kiszivárogtatása a versenytársak felé, adatvesztés, titkos céginformációk rossz kezekbe kerülése – mindez nagy kockázattal jár az üzletre nézve. Ilyen helyzetben a vállalat informatikai vezetői számos hatékony intézkedést tesznek a vállalat átfogó védelmének biztosítása érdekében.

Az első helyen a pénzügyi adatok védelme áll, a második helyen a szivárgások elleni védelem, a harmadik helyen pedig a DDoS támadások elleni védelem áll. És ha az első két pont már régóta az első háromban van, akkor a támadásokkal kapcsolatos probléma csak nemrég jelent meg. Az érdeklődés oka a kis- és középvállalatok elleni DDoS támadások megnövekedett száma.

Az orosz vállalatok a biztonság területén meghozott főbb intézkedések közé tartoznak a rosszindulatú programok elleni védelem, a frissítéskezelés, az alkalmazásvezérlés, a hálózati struktúra, a pénzügyi átutalások védelmére szolgáló megoldások, a külső eszközök használatának felügyelete, a biztonság mobiltelefonok stb.


Az üzleti információ védelmének fő módszerei a következők:

1. Behatolásvédelem– a hálózati forgalom szabályozásához szükséges programok vagy berendezések telepítése. Az első veszély (behatolás) megjelenésekor a rendszer reagál és blokkolja a hozzáférést. Ezzel egyidejűleg a felelős alkalmazottat értesítik.

A védelmi rendszer kétféleképpen valósul meg:

- IPS rendszer. Feladata minden gyanút keltő hálózati tevékenység blokkolása és az „extra” forgalom hatékony kiszűrése. A rendszer előnye, hogy nemcsak észleli, hanem megakadályozza is a behatolást. Hátránya a hamis pozitív eredmények magas százaléka, ami az alkalmazottak figyelmét folyamatosan elvonja a munkától és a tétlen számítógépes hálózatokról az ellenőrzés során;

- IDS rendszer– figyeli az aktuális kóros tevékenységet, és ha ez bekövetkezik, jelzést ad az adminisztrátornak. Pozitív tulajdonságok - hatékony behatolás elleni küzdelem, döntési jogok átadása az adminisztrátornak. Hátránya, hogy a felelős alkalmazottnak nem biztos, hogy lesz ideje intézkedni, és helyrehozhatatlan károk keletkeznek a rendszerben.

Egy ideális behatolásvédelmi rendszer így néz ki:

2. Szivárgás elleni védelem– olyan intézkedések összessége, amelyek megakadályozzák, hogy bizalmas információk illetéktelen kezekbe kerüljenek. A szivárgás kétféleképpen történhet:

Rosszindulatú lopás útján (kémkedés, portyázók, bennfentesek);
- a személyzet felügyelete miatt (adathordozó elvesztése, jelszó levélben történő elküldése, vírusos oldal felkeresése, az adatokhoz való hozzáférési jogok átruházásáért felelős személyek hiánya stb.).

Rosszindulatú lopás esetén a védekezési módok a következők: hozzáférési rendszer korlátozása, térfigyelő kamerák telepítése, adatmegsemmisítő eszközök telepítése a szerverekre, információk titkosítása, adatok tárolása külföldi szervereken.

A személyi hibák elleni védekezés érdekében az alábbi módszerek tekinthetők hatékonynak: a bizalmas információkhoz való hozzáférési jogok minimalizálása, a munkavállalók egyéni felelőssége, biztonságos csatornák használata, a munkavállalók számára a fontos dokumentumokkal való munkavégzésre vonatkozó szabályozás kialakítása, valamint az átadott adathordozók felelősségének bevezetése. alkalmazottak.

Emellett a véletlen hibák elleni védelem érdekében fontos a rendszerezés: telefonbeszélgetések rögzítése, forgalom és alkalmazottak PC-n végzett munkájának figyelése, USB kártyák titkosítása, RMS használata, DLP rendszerek megvalósítása stb.

3. Fájlvédelem magában foglalja a vállalaton belüli számítógépeken és szervereken tárolt összes legfontosabb információ biztonságát. Ennek végrehajtása a következőképpen történik:

- fájlrendszerek (adatok) titkosítása– EFS, Qnap, CryptoPro és így tovább rendszerek használata;

- laptopok (netbookok) titkosítása, adathordozók, mobileszközök - szoftvermegoldások (Kasperskiy, SecretDisk, Endpoint Encryption) vagy titkosítási modulok a Sony, Asus és más cégektől;

Itt persze kettős attitűdről lehet szó... Talán tisztázni kellene – minimális legyen annak a valószínűsége, hogy a vállalkozás titkait ismerő alkalmazott információkat szivárogtasson ki. És ez is az információbiztonsági koncepció része.
Egy másik érdekes tény, hogy egy információs landsknecht úgy tudja megváltoztatni a tulajdonosát, mint egy szakember. Az etika és a pénzügyi oldal nem mindig egyeztethető össze. Sőt, egy dolog, ha az ország biztonságáról van szó, és más, ha valaki megvéd egy absztraktot. entitás, ami nem tény, hogy nem dobják tank alá. Én is megfigyeltem ilyen eseteket... Tisztességes és tisztelt emberek időnként... (na jó, tócsában, vagy ilyesmi - finoman szólva?) kötöttek ki. De! Egy család áll mögöttük! És akkor megoldódik a legcsúszósabb fogalom - az „adósság” - prioritásának kérdése - ki tartozik többet - a család vagy a vállalkozás? A családnak szenvednie kell egy vállalkozás miatt? És ez az oka sok család pusztulásának és a gyerekek szemében a melankóliának – „... és emlékszem, milyen volt az apám és én!...” Nem vagyok drámai – emlékszem azokra az időkre, amikor valamivel korábban történt, és hasonlítsa össze őket a jövőbeli hónapokra és évekre vonatkozó előrejelzésekkel. Azt gondolom, hogy érdemes párhuzamot vonni - a bűnözés mértékének növekedése, összefogás, információszabotőrök oktatása stb.
Ezért valójában Denis egy nagyon fontos témát vetett fel ezen a konferencián, amely mélyebb biztonsági kérdésekről szóló vitává nőtte ki magát.
Ezen a héten jelenik meg „A biztonság elmélete” című könyvem próbakiadása, néhány fejezet bejelentése, amelyekből a „Személyzeti röntgen” című kiadványunkban megjelentettünk - http://www.absg.ru/ teszt - ott mérlegelem az információs háborúk kérdéseit, a biztonsági fogalmak konfrontációját, a személyiségek fontosságát a biztonsági rendszerekben stb. Sajnos a kiadó feltételei miatt ez a könyv egy ideje nincs a birtokomban, így Engedélyt kérek legalább egy fejezet teljes terjedelmében közzétételére tisztelt kollégáim áttekintése és megítélése céljából.
Alexandru T:
„Bár számomra a szakmai etika fogalma nem üres frázis:
Sándor! Valójában nagyon jó tudni, hogy vannak emberek, akik egy bizonyos kasztnak tekinthetik magukat. A megvesztegethetetlen emberek kasztja. Ezt a tulajdonságot tökéletesen kombinálni kell az igazságosság és az erkölcs fogalmával.
Ha a kedves kollégák nem tartják nehéznek, nézzenek meg 2 linket -
A http://train.absg.ru/?p=19 egy erkölcsi kódex, amelyet javasolunk, hogy minden állampolgár tartsa be, és legalább tartsa be az alapvető elveket, erkölcsi szempontból elemezve tetteit. És
http://www.absg.ru/5mln a multimédiás változatok részben – megragadtam a bátorságot, hogy kommentáljam az Emberi Jogok Nyilatkozatát és az Alkotmányt. Sajnos a szöveges változatot nem találom, kivéve a magazin szövegében.
Bocsánat, hogy ez kissé eltérhet a témától - csak valamiért a szakmai etikáról szóló mondat megérintett valamit a lelkemben... Ha visszanézel - ... de mit mondjak - ez most aranyat ér és csak úgy hogy a földön szétszórt szemekben, mint arany homok a mélyben!..

Az információbiztonság szerepe az üzletmenet folytonosságának biztosításában

Alekszandr Antipov

Az információbiztonsági stratégiát szorosan be kell építeni az átfogó vállalati üzletmenet-folytonossági programba

A modern üzlet attól függ információs technológiaés sürgősen gondoskodni kell a folyamatok zavartalanságáról: a hitel-, pénzügyi vagy telekommunikációs cégeknél a szolgáltatások egyórás leállása is hatalmas veszteségekhez vezethet. Folytonosság üzleti tevékenység közvetlenül kapcsolódik az IT-hez, és minden szervezet számára kritikus fontosságú, legyen szó nagy kereskedőkről, repülőjegy-ügynökségekről vagy kormányzati szervekről. Az iparban, infrastruktúra üzemekben ill közlekedési ágazat minden még súlyosabb: a digitális technológiák bevezetésével az informatikai szolgáltatások meghibásodásai nemcsak anyagi veszteségekhez, hanem ember okozta katasztrófákhoz is vezethetnek. természetesen kis cégek A folytonossági tervek megvalósításának általában nincs értelme, informálisan kezelik a problémákat. De érte nagy üzlet a kockázatok összehasonlíthatatlanul nagyobbak.

Kirándulás a történelembe

Először a múlt század ötvenes éveiben gondoltak az emberek az üzletmenet folytonosságára – a mérnökök komolyan foglalkoztak az incidensek utáni katasztrófa utáni helyreállítás problémájával. Ennek a gyakorlatnak a végső kialakulása a nyolcvanas években következett be, és a következő évtized a technológia rohamos fejlődésével az alkalmazott megközelítések összetettségét növelte.

A kilencvenes évek második felében a katasztrófa utáni helyreállítást felváltotta az üzletmenet-folytonosság vagy BCM (Business Continuity Management) fogalma, de sok szakértő még mindig összekeveri ezeket a dolgokat. Ma már nem elég az adatmentés, a hideg vagy meleg biztonsági mentés helye. Az egész szervezet zavartalan működésének problémája a termelési berendezéseket és a technológiai folyamatokat, a kommunikációt, a személyzetet és még sok mást érinti. Elsősorban az informatikai rendszerekre koncentrálunk, hiszen ezek meghibásodása teljesen megbéníthatja a cég tevékenységét.

Szabványok és eszközök

Számos nemzetközi szervezet foglalkozik üzletmenet-folytonossági kérdésekkel. A leghíresebb a BS25999 szabvány, amelyet a BSI (British Standard Institute) fejlesztett ki. Érdemes megemlíteni a brit BCI (Business Continuity Institute), valamint az amerikai DRI (Katasztrófa-helyreállítási Intézet) és a SANS (SysAdmin, Audit, Network, Security Institute) legjobb gyakorlatait, valamint az Ausztrál Nemzeti Ellenőrzési Ügynökség vezetését ( ANAO).

Itt különféle nemzeti, iparági és akár belső vállalati előírásokat is hozzáadhat - könnyű belefulladni ebbe az információtengerbe. A legrosszabb az, hogy azok leírják elméleti alapja a dokumentumok nem válaszolnak arra az egyszerű kérdésre: „Hogyan oldjuk meg a problémát a gyakorlatban?”

Kezdeményezzük a projektet

Igyekszünk a rendelkezésre álló módszereket összefogni, és az üzleti folyamatok folyamatosságának projektként való biztosítását - lépésről lépésre - mérlegelni fogjuk. Fontos megérteni, hogy végrehajtása folyamatos ciklikus folyamat, amely figyelembe veszi az üzleti életben bekövetkezett változásokat, az orosz és a nemzetközi jogszabályokat, valamint a technológiai újításokat.

Projektünk célja egy vállalati üzletmenet-folytonosság menedzsment (BCM) program létrehozása és megvalósítása. Először is meg kell fogalmaznia a tartalmát, és meg kell alkotnia lépésről lépésre terv végrehajtás. Ezután - határozza meg a csapattagok szerepét, a projekt céljait és gondolja át, hogyan végezze el a monitoringot és az ellenőrzést. A projekt elakadásának megelőzése érdekében érdemes létrehozni egy külön bizottságot az összes érdekelt fél képviselőiből - ennek rendszeresen össze kell ülnie, hogy megvitassák a munka előrehaladását és a felmerülő problémákat.

A terv elkészítésekor fontos megérteni, hogy a projekthez szükség lesz-e külső tanácsadók bevonására, vagy önállóan is kezelheti. Érdemes akár üzletmenet-folytonossági menedzsert is megbízni a projekt irányításával - a cég alkalmazottját vagy kihelyezett tanácsadót.

Az üzletre gyakorolt ​​hatás elemzése

Első lépés: részletes vizsgálatot végzünk a vállalat üzleti folyamatairól (Business Environment Analysis, BEA), és meghatározzuk a folytonossági követelményeket.

Leggyakrabban a projektért felelős tanácsadó interjúkat készít a projekt által érintett osztályok vezetőivel. Összeállítják a folyamatok listáját, és megkezdődik a munka a tulajdonosaikkal: meg kell határozni a folyamat vállalkozásra gyakorolt ​​hatásának típusát, az IT-függőségének mértékét, valamint a maximálisan megengedhető állásidőt (Maximum Allowable Outage, MAO ), amely után fennáll a szervezet életképességének elvesztésének veszélye.

Miután minden üzleti folyamathoz meghatározta a MAO-t, meg kell adnia az elfogadható helyreállítási időt (helyreállítási idő célkitűzés, RTO) és célpont helyreállítási pont cél (RPO) - általában ez az az időtartam, amely a vészhelyzet bekövetkezte előtti időszak, amelyre vonatkozóan adatok elveszhetnek. Vészhelyzetekben érdemes elfogadható teljesítményszinteket (Level of Business Continuity, LBC) kijelölni - általában a normál működés százalékában.

A Business Impact Analysis (BIA) a folyamatok hatását elemzi a teljes üzletág egészére. Ennek eredményeként össze kell állítani egy listát a kritikus folyamatokról és azok kölcsönös függőségeiről, valamint meg kell határozni a leállási és helyreállítási időszakokat mind maguknak a folyamatoknak, mind a hozzájuk kapcsolódó információs rendszereknek. Ezt követően kockázatelemzésre (RA) lesz szükség, amelynek során felmérik a sebezhetőségeket, a folyamatok folytonosságát fenyegető veszélyeket és ezek megelőzésének hatékonyságát.

Azáltal, hogy azonosítjuk azokat a folyamatokat, amelyek megzavarhatják a vállalat működését, illetve az esetleges károkat, előre jelezhetjük a potenciális veszélyeket, a veszélyforrásokat és a saját sebezhetőségeinket.

Stratégia és tervek

Második lépés: kidolgozzuk a megfelelő üzletmenet-folytonossági stratégiát (Business Continuity Strategy definíció), amely a vállalat tevékenységének minden aspektusát érinti.

Minden területhez külön szakasz készül, amely leírja a lehetséges műszaki és szervezési megoldásokat az üzleti folyamatok gyors helyreállítására. Az alkalmazott informatikai megoldások főként hideg- és melegmentési helyek, dinamikus terheléselosztó eszközök, valamint mobil oldalak és külső szolgáltatók kapacitása (outsourcing). Főleg költségükben és helyreállítási idejükben különböznek egymástól.

Szükséges üzletmenet-folytonossági tervek (Business Continuity Plan (BCP)) és vészhelyzeti infrastruktúra-helyreállítás (Katasztrófa-helyreállítási Terv (DRP) készítése, valamint műszaki ill. szervezeti rendszer BCM. A tervek általában a folytonosság helyreállításának három fázisát foglalják magukban: reagálnak egy incidensre, végrehajtják az üzleti szempontból kritikus folyamatokat vészhelyzetben, és visszatérnek a normál működéshez.

Megvalósítás és karbantartás

Harmadik lépés: megvásároljuk és megvalósítjuk a kiválasztott megoldásokat.

A megvalósítás összetett folyamat, amelyhez külső vállalkozó bevonására is szükség lehet. De még a befejezés után sem szabad belenyugodni a babérjain – az üzletmenet folytonosságának biztosítása folyamatos és ciklikus folyamat.

A vállalati BCM programot nemcsak folyamatosan fejleszteni kell, hanem integrálni is kell vállalati kultúra. Nem korlátozhatjuk magunkat a tervek elkészítésére – ezeket tesztelni kell, akár asztali ellenőrzésekkel (Tabletop), szimulációkkal (utánzat), akár teljes üzletmenet-folytonossági teszteléssel. A teszteredmények alapján jelentéseket készítenek az alkalmazott forgatókönyvekről és a kapott eredményekről, valamint javaslatokat tesznek a meglévő tervek javítására. Általában évente frissítik őket, és néha gyakrabban - például az informatikai infrastruktúra vagy a jogszabályok jelentős változása esetén.

Kommunikáció az információbiztonsággal

A szakértők megosztják az üzletmenet-folytonossági terveket és a katasztrófa utáni helyreállítási terveket, de az információbiztonsági politika szerepe a BCM-programokban nem mindenki számára nyilvánvaló.

A közelmúlt egyik esete a moszkvai felvonón történt incidens, amelynek tevékenysége teljesen megbénult egy kibertámadás következtében. Bármilyen jó is volt ebben az esetben a katasztrófa-helyreállítási terv, nem segített gyorsan javítani a vállalati működést – a biztonsági másolatból visszaállított szerverek is ki lesznek téve a sebezhetőségeknek. Éppen ezért az üzletmenet-folytonossági terveknek tartalmazniuk kellett egy listát az IT-infrastruktúra elleni sikeres támadás esetén végrehajtandó intézkedésekről, amelyek az utasok kockáztatása nélkül csökkentik az állásidőt.

Az iparban sokkal több veszély fenyeget. Ha például az Oroszországban leginkább automatizáltnak tartott olaj- és gázipart vesszük, akkor a termelési, feldolgozó- és értékesítési vállalkozások technológiai folyamatait valójában számítógépek vezérlik. Senki sem veszi le az analóg műszerek leolvasását kézzel, helyettük digitális érzékelők és intelligens felügyeleti rendszerek kerültek.

A tolózárak, szelepek és egyéb működtetők szintén digitálisak lettek. Ha az automatizált folyamatirányító rendszer elleni sikeres támadás megszakad technológiai folyamat Ez néhány másodpercre a vállalat több órára vagy hétre tartó leállásához, drága berendezések meghibásodásához és akár súlyos ember okozta katasztrófákhoz is vezethet. Egészen a közelmúltig úgy vélték, hogy a technológiai rész nyilvános hálózatoktól való elszigetelése lehetetlenné tette az automatizált folyamatirányító rendszerek elleni hackertámadásokat, de a termelés digitalizálásának fejlődésével ez az elszigeteltség csökken, a fenyegetések száma pedig nő. Az ipar mellett más tevékenységi területek is vannak, és nem különíthető el minden üzleti szempontból kritikus szolgáltatás.

A fő elv az, hogy az információbiztonsági stratégiát szorosan integrálni kell az átfogó vállalati üzletmenet-folytonossági programba. Ehhez olyan átfogó megoldásokra van szükség, amelyek egyesíthetik az erőforrások rendelkezésre állását és a hackertámadásokkal szembeni védelmet, a titkosságot és az adatok sértetlenségét biztosító eszközöket, valamint a forráskód és az alkalmazások biztonságának automatizált vezérlését. A kockázatelemzés és az üzleti hatásvizsgálat szakaszaiban figyelembe kell venni az esetleges jelenlétét információs rendszerek a támadók által támadható sérülékenységeket, és az üzletmenet-folytonossági tervnek tartalmaznia kell eljárásokat az informatikai infrastruktúra fenyegetéseiről, azok kritikusságáról és a javítások elérhetőségéről szóló naprakész adatok megszerzésére. Az üzletmenet-folytonossági stratégiának tartalmaznia kell a szolgáltatások sikeres támadások utáni helyreállítására vonatkozó eljárásokat is.

Vállalati információbiztonság
Üzleti információk védelme

* A Wikipédiából

Információ biztonság- ez az információs környezet biztonsági állapota. Az információvédelem a védett információk kiszivárgását, a védett információkra való jogosulatlan és nem szándékos hatásokat megakadályozó tevékenység, vagyis ennek az állapotnak az elérését célzó folyamat.

Vállalati információbiztonság: belső fenyegetés

Számos komoly szakember szervezeti információbiztonság a belső fenyegetést nevezi a legfontosabbnak, amely az összes lehetséges kockázat 80%-át teszi ki. Valójában, ha figyelembe vesszük a hackertámadások átlagos sebzését, akkor ez közel lesz a nullához, a nagyszámú feltörési kísérlet és azok nagyon alacsony hatékonysága miatt. Egyetlen személyi tévedés vagy sikeres bennfentes bûnügy több millió dolláros (közvetlen és közvetett) veszteségbe, perbe és ismertségbe kerülhet a cégnek az ügyfelek szemében. Valójában a vállalat léte is veszélyben lehet, és ez sajnos valóság. Hogyan kell biztosítani ? Hogyan védekezhet az információszivárgás ellen? Hogyan lehet időben felismerni és megelőzni egy belső fenyegetést? Milyen módszerek a leghatékonyabbak ma a leküzdésben?

Az ellenség belül van

Szinte minden alkalmazott, aki hozzáfér a bizalmas vállalati információkhoz, belső támadóvá vagy bennfentessé válhat. A bennfentes cselekedeteinek motivációja nem mindig nyilvánvaló, ami jelentős nehézségekkel jár az azonosításában. Egy nemrégiben elbocsátott alkalmazott, aki haragot táplál munkáltatója ellen; tisztességtelen munkavállaló, aki többletpénzt akar keresni adatok eladásával; modern Herostratus; egy versenytárs vagy bűnözői csoport speciálisan beágyazott ügynöke – ez csak néhány bennfentes archetípus.

A rosszindulatú bennfentes cselekmények által okozott gondok gyökere e fenyegetés jelentőségének alábecsülésében rejlik. A Perimetrix által végzett tanulmány szerint egy cég bizalmas információinak több mint 20%-ának kiszivárogtatása a legtöbb esetben a cég összeomlásához és csődjéhez vezet. A bennfentesek különösen gyakori, de még mindig legsebezhetőbb áldozatai a tetszőleges méretű – több száz-több ezer fős – pénzintézetek. Annak ellenére, hogy a legtöbb esetben a cégek megpróbálják elrejteni vagy jelentősen alábecsülni a valós kárszámokat a bennfentesek cselekedeteiből, még a hivatalosan bejelentett veszteségek is lenyűgözőek. A vállalat pénzügyi veszteségénél sokkal fájdalmasabb a cég hírnevének károsodása és az ügyfelek bizalmának meredek csökkenése. A közvetett veszteségek gyakran sokszor nagyobbak lehetnek, mint a tényleges közvetlen károk. Így széles körben ismert a liechtensteini LGT bank esete, amikor 2008-ban egy banki alkalmazott betétes adatbázist adott át Németország, USA, Nagy-Britannia és más országok titkosszolgálatainak. Mint kiderült, a bank külföldi ügyfelei közül rengetegen éltek a speciális LGT státusszal az országukban hatályos adótörvények megkerülésével. Pénzügyi vizsgálatok és a kapcsolódó peres eljárások hulláma söpört végig a világon, és az LGT Bank elveszítette összes jelentős ügyfelét, kritikus veszteségeket szenvedett, és egész Liechtensteint súlyos gazdasági és diplomáciai válságba sodorta. Nem kell messzire keresni a nagyon friss példákat - 2011 elején az ügyfelek személyes adatainak kiszivárgásának tényét egy olyan pénzügyi óriás ismerte fel, mint a Bank of America. A csalás eredményeként a betétesek nevét, címét, társadalombiztosítási és telefonszámát, bankszámla- és jogosítványszámát, e-mail címét, PIN kódját és egyéb személyes adatait tartalmazó információk szivárogtak ki a bankból. Nem valószínű, hogy pontosan meg lehet majd határozni a bank veszteségeinek valós mértékét, hacsak nem jelentették be hivatalosan, hogy az összeg „több mint 10 millió dollár”. Az adatszivárgás oka egy bennfentes cselekedete volt, aki információkat adott át egy szervezett bűnözői csoportnak. A bennfentes támadások azonban nem csak a bankokat és alapokat fenyegetik, elég csak felidézni számos nagy horderejű botrányt, amelyek a WikiLeaks-forrás bizalmas adatainak közzétételével kapcsolatosak - szakértők szerint az információk tisztességes részét szerezték meg bennfenteseken keresztül.

Az élet prózája

A bizalmas cégadatok nem szándékos megsértése, kiszivárgása vagy elvesztése sokkal gyakoribb és prózaibb dolog, mint a bennfentesek által okozott kár. A személyzet gondatlansága és az információbiztonság megfelelő technikai támogatásának hiánya a vállalati titkok közvetlen kiszivárogtatását okozhatja. Az ilyen gondatlanság nemcsak a cég költségvetésében és hírnevében okoz komoly károkat, hanem széles körű nyilvános disszonanciát is okozhat. A nyilvánosságra hozatalt követően a titkos információk nem a támadók szűk körének, hanem a teljes információs térnek a tulajdonába kerülnek – a kiszivárogtatásról az interneten, a televízióban és a sajtóban is szó esik. Emlékezzünk vissza a hangos botrányra a legnagyobb orosz mobilszolgáltató, a Megafon SMS-ek közzétételével. A technikai személyzet figyelmetlensége miatt az SMS-eket az internetes keresők indexelték, a hálózatba szivárgott az előfizetői levelezés, amely személyes és üzleti jellegű információkat is tartalmazott. Egy nagyon friss eset: az Orosz Nyugdíjalap ügyfelei személyes adatainak közzététele. Az alap egyik regionális irodájának képviselőinek hibája miatt 600 személy személyes adatait indexelték - a Nyugdíjpénztár ügyfelei nevét, regisztrációs számát, megtakarításainak részletes összegét bármely internetező elolvashatta.

A gondatlanságból eredő bizalmas adatok kiszivárgásának igen gyakori oka a cégen belüli iratok napi rotációja. Például egy alkalmazott átmásolhat egy bizalmas adatokat tartalmazó fájlt laptopra, USB-meghajtóra vagy PDA-ra, hogy az irodán kívül dolgozhasson az adatokkal. Ezenkívül az információ egy fájltároló szolgáltatásra vagy az alkalmazott személyes e-mail-címére kerülhet. Ilyen helyzetekben az adatok teljesen védtelenek a támadók számára, akik kihasználhatják a nem szándékos szivárgást.

Arany páncél vagy testpáncél?

Az adatszivárgás elleni védelem érdekében az információbiztonsági ipar különféle információszivárgás-védelmi rendszereket hoz létre, amelyeket hagyományosan az angol DLP rövidítéssel emlegetnek. Adatszivárgás megelőzése. Általános szabály, hogy ezek összetett szoftverrendszerek, amelyek széles funkcionalitással rendelkeznek a minősített információk rosszindulatú vagy véletlen kiszivárgásának megakadályozására. Az ilyen rendszerek sajátossága, hogy helyes működésükhöz az információk és dokumentumok belső áramlásának szigorúan kiigazított szerkezetére van szükség, mivel minden információval végzett művelet biztonsági elemzése adatbázisokkal való munkavégzésen alapul. Ez magyarázza a professzionális DLP-megoldások telepítésének magas költségeit: a kliens cégnek még a közvetlen bevezetés előtt adatbázis-kezelő rendszert (általában Oracle vagy SQL) kell vásárolnia, költséges elemzést és az információáramlási struktúra auditálását megrendelnie, valamint új biztonságot kell kifejlesztenie. irányelv. Gyakori helyzet az, amikor egy vállalat információinak több mint 80%-a strukturálatlan, ami vizuális képet ad az előkészítő tevékenységek mértékéről. Természetesen maga a DLP rendszer is sok pénzbe kerül. Nem meglepő, hogy csak nagy cégek kész milliókat költeni rá a szervezet információbiztonsága.

De mit tegyenek a kis- és középvállalkozások, ha biztosítaniuk kell üzleti információbiztonság, de nincs forrás és lehetőség egy professzionális DLP rendszer megvalósítására? A cégvezető vagy biztonsági tiszt számára a legfontosabb annak meghatározása, hogy mely információkat és mely feleket védje meg információs tevékenység ellenőrzés alá vonják az alkalmazottakat. Az orosz üzleti életben továbbra is az a vélemény uralkodik, hogy abszolút mindent meg kell védeni, az információk minősítése vagy a védelmi intézkedések hatékonyságának kiszámítása nélkül. Ezzel a megközelítéssel teljesen nyilvánvaló, hogy miután megtanulta a költségek összegét vállalati információbiztonság, egy kis- és középvállalkozás vezetője legyintett, és reménykedik a „talán”.

Létezik alternatív módokon olyan védelmek, amelyek nem érintik az adatbázisokat és az információk meglévő életciklusát, de megbízható védelmet nyújtanak a támadók cselekedetei és a munkavállalók hanyagsága ellen. Ezek rugalmas moduláris rendszerek, amelyek zökkenőmentesen együttműködnek más biztonsági eszközökkel, mind hardverrel, mind szoftverrel (például vírusirtókkal). A jól megtervezett biztonsági rendszer nagyon megbízható védelmet nyújt mind a külső, mind a belső fenyegetésekkel szemben, ideális egyensúlyt biztosítva az ár és a funkcionalitás között. Egy információbiztonsági rendszereket fejlesztő orosz cég szakemberei szerint SafenSoft, az optimális kombináció a külső fenyegetésekkel szembeni védelmi elemek kombinációja (például a behatolást megakadályozó HIPS, plusz egy víruskereső) olyan eszközökkel, amelyek a felhasználók és alkalmazások hozzáférését figyelik és szabályozzák az egyes információs szektorokhoz. Ezzel a megközelítéssel a szervezet teljes hálózati struktúrája teljesen védve van az esetleges hackeléstől vagy vírusfertőzéstől, és a személyzet információval történő munkavégzése során végzett tevékenységének nyomon követésére és felügyeletére szolgáló eszközök hatékonyan megakadályozhatják az adatszivárgást. Ha rendelkezik az összes szükséges védőfelszerelés arzenáljával, a moduláris rendszerek költsége tízszer alacsonyabb, mint a komplex DLP-megoldásoké, és nem igényel semmilyen költséget a vállalat információs struktúrájának előzetes elemzéséhez és adaptálásához.

Szóval, foglaljuk össze. Fenyegetések vállalati információbiztonság teljesen valósak, és nem szabad alábecsülni. A külső fenyegetések elleni védekezés mellett kiemelt figyelmet kell fordítani a belső fenyegetésekre. Fontos megjegyezni, hogy a vállalati titkok kiszivárogtatása nem csak rosszindulatú szándékból következik be - általában az alkalmazott elemi hanyagsága és figyelmetlensége okozza. A védelmi eszközök kiválasztásakor nem kell minden elképzelhető és elképzelhetetlen fenyegetést lefedni, erre egyszerűen nincs elég pénz és erőfeszítés. Építsen meg megbízható moduláris biztonsági rendszert, amely védett a külső behatolás kockázataival szemben, és lehetővé teszi a vállalaton belüli információáramlás ellenőrzését és figyelemmel kísérését.