សុវត្ថិភាពព័ត៌មាននៃអាជីវកម្មជាប្រព័ន្ធ។ សន្តិសុខព័ត៌មាននៅក្នុងសហគ្រាស។ វិធីសាស្រ្តជាមូលដ្ឋាននៃការការពារព័ត៌មានអាជីវកម្ម

អត្ថិភាពនៃក្រុមហ៊ុន ឬសហគ្រាសណាក៏ដោយ មិនថាធំ ឬតូច គឺមិនអាចទៅរួចនោះទេ ប្រសិនបើមិនមានទិន្នន័យប្រភេទជាក់លាក់ណាមួយ ដែលមិនមានសម្រាប់បង្ហាញ ឬផ្ទេរទៅឱ្យបុគ្គលដែលគ្មានការអនុញ្ញាត។ នេះរាប់បញ្ចូលទាំងទិន្នន័យផ្ទាល់ខ្លួនរបស់និយោជិត និងមូលដ្ឋានអតិថិជន និងការវិវឌ្ឍន៍ពិសេស ហើយជាការពិតណាស់ ឯកសារហិរញ្ញវត្ថុ និងគណនេយ្យ។ សុវត្ថិភាពព័ត៌មានអាជីវកម្មបង្កប់ន័យការការពារទិន្នន័យទាំងអស់នេះពីការចូលប្រើដោយគ្មានការអនុញ្ញាតដោយបុគ្គលដែលគ្មានការអនុញ្ញាត ការចម្លង ការបំផ្លាញ ការបង្ហាញជាដើម។ វាស្ទើរតែមិនអាចទៅរួចទេក្នុងការធានាបាននូវកម្រិតត្រឹមត្រូវនៃសុវត្ថិភាពព័ត៌មានដោយខ្លួនឯង ដូច្នេះវាជាការប្រសើរក្នុងការងាកទៅរកជំនួយពីអ្នកជំនាញក្នុងបញ្ហានេះ។

បញ្ហាសន្តិសុខព័ត៌មាន - ការគំរាមកំហែងដល់អាជីវកម្ម

តាមពិតទៅ សុវត្ថិភាពព័ត៌មាននៃអាជីវកម្មអាចមានគ្រោះថ្នាក់មិនត្រឹមតែដោយសារសកម្មភាពដោយចេតនារបស់អ្នកឈ្លានពានប៉ុណ្ណោះទេ។ ជាញឹកញាប់ណាស់ ការលេចធ្លាយព័ត៌មានកើតឡើងដោយសារតែការធ្វេសប្រហែស និង អាកប្បកិរិយាមិនចេះខ្វល់ខ្វាយបុគ្គលិក។ ដូច្នេះវាមានសារៈសំខាន់ខ្លាំងណាស់ក្នុងការកំណត់អត្តសញ្ញាណចំណុចខ្សោយនៅក្នុងប្រព័ន្ធសុវត្ថិភាពព័ត៌មាន ហើយមានតែបន្ទាប់មកធានានូវការការពារទិន្នន័យឱ្យបានត្រឹមត្រូវនៅគ្រប់កម្រិតទាំងអស់។

នៅគ្រប់ក្រុមហ៊ុនធំ ឬតូច មានបណ្តុំព័ត៌មានបែបនេះដែលបង្កើតជាមូលដ្ឋានសម្រាប់ការអភិវឌ្ឍន៍អាជីវកម្មប្រកបដោយជោគជ័យ។ នេះ​គឺ​ជា​ដំបូង​នៃ​ការ​ទាំង​អស់​នៃ​មូលដ្ឋាន​អតិថិជន​, លក្ខណៈ​ពិសេស​ប​ច្ចេ​ក​វិទ្យា​ ដំណើរការផលិតទិន្នន័យស្តីពីចលនាសាច់ប្រាក់ និងសម្ភារៈ មធ្យោបាយបច្ចេកទេសក្នុងគណនេយ្យ ប្រតិបត្តិការហិរញ្ញវត្ថុ ។ល។

លទ្ធផលនៃការអភិវឌ្ឍរបស់ក្រុមហ៊ុន ការប្រកួតប្រជែង និងប្រាក់ចំណេញរបស់វាអាស្រ័យលើរបៀបដែលបណ្តាញដែលអាចទុកចិត្តបានសម្រាប់ចលនានៃព័ត៌មាននេះត្រូវបានការពារពីការលេចធ្លាយ។ នោះហើយជាមូលហេតុដែលដើម្បីបង្កើតប្រព័ន្ធសុវត្ថិភាពព័ត៌មានដែលអាចទុកចិត្តបាន អ្នកគួរតែទាក់ទងអ្នកជំនាញ។

បញ្ជាទិញសុវត្ថិភាពព័ត៌មានអាជីវកម្ម

BZPT ផ្តល់សេវាកម្មសន្តិសុខព័ត៌មានប្រកបដោយវិជ្ជាជីវៈ។ យើងនឹងធ្វើសវនកម្មសុវត្ថិភាពសហគ្រាសយ៉ាងឆាប់រហ័ស និងប្រកបដោយប្រសិទ្ធភាព ហើយមានតែពេលនោះទេ យើងនឹងជ្រើសរើស និងដំឡើងវិធីសាស្ត្រការពារចាំបាច់។

របៀបដែលយើងកំពុងធ្វើការ

• ពាក្យសុំឬហៅទូរស័ព្ទ
• ការប្រជុំផ្ទាល់ខ្លួន ការបញ្ជាក់លម្អិត
• ការគណនាថ្លៃដើម និងការបញ្ចប់កិច្ចសន្យា
• ការបញ្ចប់ការងារ
• ការផ្តល់របាយការណ៍
• ការទូទាត់

ហេតុអ្វីជ្រើសរើសសេវាកម្មរបស់យើង។

• សម្ងាត់ 100%
• ភ្លាមៗ
• អនុលោមតាមច្បាប់បច្ចុប្បន្ន
• ការប្រឹក្សាដោយឥតគិតថ្លៃ

ហេតុអ្វីបានជាវាមានតម្លៃប្រគល់សុវត្ថិភាពអាជីវកម្មដល់អ្នកជំនាញ?

សន្តិសុខអាជីវកម្មគឺជាផ្នែកមួយដ៏សំខាន់បំផុតនៅក្នុងវិស័យពាណិជ្ជកម្មណាមួយ។ វា​អាច​ត្រូវ​បាន​ដោះ​ស្រាយ​ទាំង​ដោយ​ក្បាល​ខ្លួន​ឯង និង​ដោយ​បុគ្គល​ដែល​ត្រូវ​បាន​តែងតាំង​ជា​ពិសេស ឬ​អង្គភាព​ទាំងមូល។ វាបានក្លាយជាការពេញនិយមនាពេលបច្ចុប្បន្ននេះក្នុងការប្រើសេវាកម្មរបស់ក្រុមហ៊ុនភាគីទីបី។ សុវត្ថិភាពនៃអាជីវកម្មរបស់អ្នកនឹងត្រូវបានគ្រប់គ្រងយ៉ាងពេញលេញ ប្រសិនបើអ្នកងាកទៅរកអ្នកឯកទេសដែលមានបទពិសោធន៍ដែលដឹងពី subtleties ជាច្រើន ហើយត្រៀមខ្លួនរួចជាស្រេចដើម្បីធានានូវភាពជឿជាក់នៃព្រឹត្តិការណ៍ទាំងអស់។ ដូច្នេះ​ការ​ងាក​មក​រក​អ្នក​ជំនាញ​ជា​វិធី​សម​ហេតុផល​ជាង?

ដូចដែលការអនុវត្តបង្ហាញ បុគ្គលិកពេញម៉ោងមិនអាចបង្កើតប្រព័ន្ធសុវត្ថិភាពរបស់ក្រុមហ៊ុនប្រកបដោយប្រសិទ្ធភាពបានទេ ដោយសារសមត្ថភាពមិនគ្រប់គ្រាន់ ខ្វះការបណ្តុះបណ្តាល និងចំណេះដឹងពិសេស។ លើសពីនេះទៀតបទពិសោធន៍បង្ហាញថាជាញឹកញាប់បន្ទាប់ពីស្ថានភាពមានបញ្ហាមួយចំនួនបានកើតឡើងដែលនាំឱ្យមានការខាតបង់ផ្នែកហិរញ្ញវត្ថុ។ ដើម្បីទប់ស្កាត់បញ្ហានេះ ចាំបាច់ត្រូវថែរក្សាប្រព័ន្ធសន្តិសុខឱ្យបានទាន់ពេលវេលា វត្ថុដែលជាទ្រព្យសម្បត្តិ និងធនធានហិរញ្ញវត្ថុ សកម្មភាពរបស់បុគ្គលិក និងបុគ្គលិករដ្ឋបាល មូលដ្ឋានសម្ភារៈ ធនធានព័ត៌មាន។ល។

សេវាកម្មសន្តិសុខព័ត៌មានអាជីវកម្មនៅទីក្រុងម៉ូស្គូ

ជារឿយៗ នៅពេលដែលពួកគេនិយាយអំពីការធានាសុវត្ថិភាពព័ត៌មានរបស់សហគ្រាស ពួកគេមានន័យថាការគំរាមកំហែងពីខាងក្រៅនៃការលួចចូល ការវាយប្រហាររបស់ពួក Hacker ជាដើម។ ទោះយ៉ាងណាក៏ដោយ សកម្មភាពបែបនេះរបស់ "អ្នកស៊ើបការណ៍" កម្រនឹងផ្តល់លទ្ធផលដល់ពួកគេណាស់។ ក្នុងករណីភាគច្រើន ការលេចធ្លាយកើតឡើងដោយសារតែកំហុសដោយចេតនា ឬដោយចៃដន្យរបស់បុគ្គលិករបស់ក្រុមហ៊ុន។ តាមវិធីជាច្រើន ចំនួននៃការខូចខាតពីសកម្មភាពរបស់អ្នកខាងក្នុងអាស្រ័យទៅលើចំនួននៃការគំរាមកំហែងបែបនេះត្រូវបានគេប៉ាន់ស្មានមិនដល់។ ដូច្នេះ សុវត្ថិភាពព័ត៌មានអាជីវកម្ម គឺជាបញ្ហាដែលត្រូវតែជឿជាក់លើអ្នកជំនាញ។ មានតែបុគ្គលិកដែលមានបទពិសោធន៍ និងមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់នៃក្រុមហ៊ុនរបស់យើងប៉ុណ្ណោះដែលអាចវាយតម្លៃហានិភ័យដែលអាចកើតមានទាំងអស់ និងដំឡើងប្រព័ន្ធការពារដែលមានសមត្ថកិច្ច។

សន្តិសុខសម្ងាត់ពាណិជ្ជកម្ម

តើអ្នកចង់ការពារអាថ៌កំបាំងពាណិជ្ជកម្មរបស់អ្នកទេ? តើ​អ្នក​សង្ស័យ​ថា​អ្នក​ប្រកួតប្រជែង​កំពុង​ប្រើ​វិធី​ខុស​ច្បាប់​ឬ? ថ្ងៃនេះយើងមានលទ្ធភាពទាំងអស់ដើម្បីផ្តល់អាជីវកម្មរបស់អ្នក។ រហូតមកដល់បច្ចុប្បន្ន បទពិសោធន៍ដ៏ធំធេងរបស់យើងក្នុងវិស័យសន្តិសុខព័ត៌មាន ក៏ដូចជាសមត្ថភាពក្នុងការដោះស្រាយបញ្ហាដែលមិនមានស្តង់ដារ និងស្មុគស្មាញ ត្រូវបានកោតសរសើរដោយអតិថិជនជាច្រើនរបស់យើង។ មូលដ្ឋានទិន្នន័យនៃដៃគូ អ្នកផ្គត់ផ្គង់ និងអ្នកចែកចាយរបស់អ្នក របាយការណ៍គណនេយ្យ ការឆ្លើយឆ្លងអាជីវកម្ម ព័ត៌មានអំពីបច្ចេកវិទ្យាពិសេស និងយុទ្ធសាស្ត្រអាជីវកម្មរបស់អ្នកនឹងត្រូវបានការពារដោយសុវត្ថិភាពដោយអ្នកជំនាញរបស់ក្រុមហ៊ុនរបស់យើង។

ក្នុងនាមជាប្រភេទព័ត៌មានសម្ងាត់មួយ អាថ៌កំបាំងពាណិជ្ជកម្មជាស្ថាប័នមួយ មិនមែនផ្អែកលើការណែនាំរបស់នីតិបញ្ញត្តិផ្ទាល់នោះទេ ប៉ុន្តែជាសិទ្ធិក្នុងការកាន់កាប់ព័ត៌មាន (ជាទ្រព្យសម្បត្តិ) ដែលអាចនាំទៅដល់ការបង្កើន និងការខូចខាតដល់សហគ្រាស។ ដូច្នេះនៅពេលដែលវាមកដល់ អាថ៌កំបាំងពាណិជ្ជកម្មក្លាយជាផ្នែកសំខាន់មួយនៃវិធានការចាំបាច់នៅក្នុង ទិសដៅនេះ។. ជាពិសេស របៀបនៃការចូលប្រើព័ត៌មានជាក់លាក់ត្រូវបានកំណត់ ហើយការប្រើប្រាស់ដោយគ្មានការអនុញ្ញាតរបស់វាត្រូវបានបង្ក្រាប។

ក្រសួងអប់រំ និងវិទ្យាសាស្ត្រ សហព័ន្ធរុស្ស៊ី

ថវិការដ្ឋសហព័ន្ធ វិទ្យាស្ថាន​អប់រំ

ការអប់រំវិជ្ជាជីវៈខ្ពស់។

"ការស្រាវជ្រាវជាតិ PERM

សាកលវិទ្យាល័យនយោបាយ"

សាកល្បង

ដោយវិន័យ

សុវត្ថិភាពព័ត៌មាននៃសហគ្រាស

ប្រធានបទ "សុវត្ថិភាពព័ត៌មានក្នុងអាជីវកម្មលើឧទាហរណ៍របស់ធនាគារ Alfa-Bank"

បញ្ចប់ដោយសិស្ស

ក្រុម FK-11B៖

Smyshlyaeva ម៉ារីយ៉ា Sergeevna

ពិនិត្យដោយគ្រូ៖

Shaburov Andrey Sergeevich

Perm - ឆ្នាំ 2013

សេចក្តីផ្តើម

សេចក្តីសន្និដ្ឋាន

គន្ថនិទ្ទេស

សេចក្តីផ្តើម

ធនធានព័ត៌មានរបស់ក្រុមហ៊ុនភាគច្រើនគឺជាធនធានដ៏មានតម្លៃបំផុត។ សម្រាប់ហេតុផលនេះ ព័ត៌មានពាណិជ្ជកម្ម ការសម្ងាត់ និងទិន្នន័យផ្ទាល់ខ្លួនត្រូវតែត្រូវបានការពារដោយភាពជឿជាក់ពីការប្រើប្រាស់ខុស ប៉ុន្តែក្នុងពេលតែមួយអាចចូលដំណើរការបានយ៉ាងងាយស្រួលចំពោះអង្គភាពដែលពាក់ព័ន្ធក្នុងដំណើរការព័ត៌មាននេះ ឬប្រើប្រាស់វាក្នុងដំណើរការនៃការបំពេញភារកិច្ចដែលបានកំណត់។ ការប្រើប្រាស់ឧបករណ៍ពិសេសសម្រាប់ការនេះរួមចំណែកដល់និរន្តរភាពនៃអាជីវកម្មរបស់ក្រុមហ៊ុន និងលទ្ធភាពជោគជ័យរបស់វា។

ដូចដែលការអនុវត្តបង្ហាញថាបញ្ហានៃការរៀបចំការការពារអាជីវកម្មនៅក្នុងលក្ខខណ្ឌទំនើបបានក្លាយជាការពាក់ព័ន្ធបំផុត។ ហាងអនឡាញត្រូវបាន "បើក" ហើយកាតឥណទានរបស់អតិថិជនត្រូវបានទទេ កាស៊ីណូ និងការភ្នាល់ត្រូវបាន blackmailed បណ្តាញសាជីវកម្មធ្លាក់ចុះ។ ការត្រួតពិនិត្យខាងក្រៅកុំព្យូទ័រត្រូវបាន "zombified" និងរួមបញ្ចូលនៅក្នុង botnets ហើយការក្លែងបន្លំដោយប្រើទិន្នន័យផ្ទាល់ខ្លួនដែលត្រូវបានលួចកំពុងក្លាយជាគ្រោះមហន្តរាយនៅទូទាំងប្រទេស។

ដូច្នេះ អ្នកដឹកនាំក្រុមហ៊ុនត្រូវតែដឹងពីសារៈសំខាន់នៃសុវត្ថិភាពព័ត៌មាន រៀនពីរបៀបទស្សន៍ទាយ និងគ្រប់គ្រងនិន្នាការនៅក្នុងតំបន់នេះ។

គោលបំណងនៃការងារនេះគឺដើម្បីកំណត់ពីគុណសម្បត្តិ និងគុណវិបត្តិនៃប្រព័ន្ធសុវត្ថិភាពព័ត៌មានអាជីវកម្មដោយប្រើឧទាហរណ៍របស់ Alfa-Bank ។

លក្ខណៈពិសេសនៃសកម្មភាពរបស់ធនាគារ Alfa-Bank OJSC

Alfa-Bank ត្រូវបានបង្កើតឡើងក្នុងឆ្នាំ 1990។ Alfa-Bank គឺជាធនាគារសកលដែលអនុវត្តប្រតិបត្តិការធនាគារគ្រប់ប្រភេទសំខាន់ៗនៅលើទីផ្សារសេវាកម្មហិរញ្ញវត្ថុ រួមទាំងការបម្រើអតិថិជនឯកជន និងសាជីវកម្ម ធនាគារវិនិយោគ ហិរញ្ញវត្ថុពាណិជ្ជកម្ម និងការគ្រប់គ្រងទ្រព្យសកម្ម។

ការិយាល័យកណ្តាលរបស់ធនាគារ Alfa-Bank មានទីតាំងនៅទីក្រុងមូស្គូ សរុបមានសាខា និងសាខារបស់ធនាគារចំនួន 444 ត្រូវបានបើកនៅក្នុងតំបន់នៃប្រទេសរុស្ស៊ី និងនៅក្រៅប្រទេស រួមទាំងធនាគារបុត្រសម្ព័ន្ធនៅក្នុងប្រទេសហូឡង់ និងសាខាហិរញ្ញវត្ថុនៅសហរដ្ឋអាមេរិក ចក្រភពអង់គ្លេស និងប្រទេសស៊ីប។ Alfa-Bank មានបុគ្គលិកប្រហែល 17,000 នាក់។

Alfa-Bank គឺជាធនាគារឯកជនដ៏ធំបំផុតរបស់រុស្ស៊ី ទាក់ទងនឹងទ្រព្យសម្បត្តិសរុប ដើមទុនសរុប និងប្រាក់បញ្ញើ។ ធនាគារមានមូលដ្ឋានអតិថិជនធំទាំងអតិថិជនសាជីវកម្ម និង បុគ្គល. Alfa-Bank កំពុងអភិវឌ្ឍជាធនាគារសកលនៅក្នុងផ្នែកសំខាន់ៗ៖ អាជីវកម្មសាជីវកម្ម និងការវិនិយោគ (រួមទាំងខ្នាតតូច និង អាជីវកម្មមធ្យម(សហគ្រាសធុនតូច និងមធ្យម) ពាណិជ្ជកម្ម និងហិរញ្ញវត្ថុរចនាសម្ព័ន្ធ ការជួល និងកត្តា) អាជីវកម្មលក់រាយ (រួមទាំងធនាគារសាខា កម្ចីរថយន្ត និងកម្ចីទិញផ្ទះ)។ ការយកចិត្តទុកដាក់ជាពិសេសគឺត្រូវបានយកចិត្តទុកដាក់ចំពោះការអភិវឌ្ឍន៍ផលិតផលធនាគារសម្រាប់អាជីវកម្មសាជីវកម្មនៅក្នុងផ្នែកដ៏ធំ និងសហគ្រាសធុនតូច និងមធ្យម ក៏ដូចជាការអភិវឌ្ឍន៍បណ្តាញសេវាខ្លួនឯងពីចម្ងាយ និងការទទួលបានអ៊ីនធឺណិត។ អាទិភាពជាយុទ្ធសាស្ត្ររបស់ Alfa-Bank គឺរក្សាឋានៈរបស់ខ្លួនជាធនាគារឯកជនឈានមុខគេក្នុងប្រទេសរុស្ស៊ី ពង្រឹងស្ថិរភាព បង្កើនប្រាក់ចំណេញ និងកំណត់ស្តង់ដារឧស្សាហកម្មសម្រាប់បច្ចេកវិទ្យា ប្រសិទ្ធភាព សេវាកម្មអតិថិជន និងការងារជាក្រុម។

Alfa-Bank គឺជាធនាគារមួយក្នុងចំណោមធនាគាររុស្ស៊ីសកម្មបំផុតនៅក្នុងទីផ្សារមូលធនពិភពលោក។ ទីភ្នាក់ងារវាយតម្លៃអន្តរជាតិឈានមុខគេផ្តល់ឱ្យ Alfa-Bank នូវចំណាត់ថ្នាក់ខ្ពស់បំផុតក្នុងចំណោមធនាគារឯកជនរបស់រុស្ស៊ី។ វាត្រូវបានជាប់ចំណាត់ថ្នាក់លេខ 1 ក្នុងសន្ទស្សន៍បទពិសោធន៍អតិថិជន 4 ដងជាប់ៗគ្នា។ វិស័យធនាគារលក់រាយបន្ទាប់ពីវិបត្តិហិរញ្ញវត្ថុ ដែលធ្វើឡើងដោយ Senteo រួមគ្នាជាមួយ PricewaterhouseCoopers។ ក្នុងឆ្នាំ 2012 Alfa-Bank ត្រូវបានទទួលស្គាល់ថាជាធនាគារអ៊ីនធឺណិតដ៏ល្អបំផុតដោយទស្សនាវដ្តី GlobalFinance ដែលផ្តល់រង្វាន់សម្រាប់ការវិភាគដ៏ល្អបំផុតដោយសមាគមជាតិនៃអ្នកចូលរួមទីផ្សារភាគហ៊ុន (NAUFOR)។ បានក្លាយជាធនាគារឯកជនដ៏ល្អបំផុតរបស់រុស្សី យោងតាមសន្ទស្សន៍ទំនុកចិត្តដែលបានគណនាដោយការស្រាវជ្រាវដែលកាន់កាប់ដោយ Romir ។

សព្វថ្ងៃនេះធនាគារមានបណ្តាញនៃមាត្រដ្ឋានសហព័ន្ធរួមទាំង 83 ចំណុចនៃការលក់។ ធនាគារ Alfa មានបណ្តាញធំបំផុតមួយក្នុងចំណោមធនាគារពាណិជ្ជ ដែលមានការិយាល័យចំនួន 55 និងគ្របដណ្តប់ទីក្រុងចំនួន 23 ។ ជាលទ្ធផលនៃការពង្រីកបណ្តាញ ធនាគារមានឱកាសបន្ថែមដើម្បីបង្កើនមូលដ្ឋានអតិថិជនរបស់ខ្លួន ពង្រីកជួរ និងគុណភាពនៃផលិតផលធនាគារ អនុវត្តកម្មវិធីអន្តរតំបន់ និងផ្តល់សេវាកម្មដ៏ទូលំទូលាយដល់អតិថិជនឆ្អឹងខ្នងពីក្នុងចំណោមសហគ្រាសធំៗ។

ការវិភាគលើមូលដ្ឋានទ្រឹស្តីនៃបញ្ហាសុវត្ថិភាពព័ត៌មានអាជីវកម្ម

ភាពពាក់ព័ន្ធហើយសារៈសំខាន់នៃបញ្ហានៃការធានាសុវត្ថិភាពព័ត៌មានគឺដោយសារកត្តាដូចខាងក្រោមៈ

· កម្រិត​ទំនើប និង​អត្រា​នៃ​ការ​អភិវឌ្ឍ​ឧបករណ៍​សន្តិសុខ​ព័ត៌មាន​នៅ​ឆ្ងាយ​ពី​កម្រិត និង​អត្រា​នៃ​ការ​អភិវឌ្ឍ​បច្ចេកវិទ្យា​ព័ត៌មាន។

· អត្រាកំណើនខ្ពស់នៃសួនកុំព្យូទ័រផ្ទាល់ខ្លួនដែលប្រើក្នុងវិស័យផ្សេងៗនៃសកម្មភាពរបស់មនុស្ស។ យោងតាមការស្រាវជ្រាវដោយ Gartner Dataquest បច្ចុប្បន្ននេះមានកុំព្យូទ័រផ្ទាល់ខ្លួនជាងមួយពាន់លានគ្រឿងនៅលើពិភពលោក។

ធនាគារអាជីវកម្មសន្តិសុខព័ត៌មាន

· ការពង្រីកយ៉ាងមុតស្រួចនៃរង្វង់អ្នកប្រើប្រាស់ដែលមានសិទ្ធិចូលប្រើប្រាស់ដោយផ្ទាល់ទៅកាន់ធនធានកុំព្យូទ័រ និងអារេទិន្នន័យ។

នាពេលបច្ចុប្បន្ននេះ សារៈសំខាន់នៃព័ត៌មានដែលរក្សាទុកនៅក្នុងធនាគារបានកើនឡើងយ៉ាងខ្លាំង ប្រមូលផ្តុំព័ត៌មានសំខាន់ៗ និងជាញឹកញាប់សម្ងាត់អំពីហិរញ្ញវត្ថុ និង សកម្មភាពសេដ្ឋកិច្ចមនុស្សជាច្រើន ក្រុមហ៊ុន អង្គការ និងសូម្បីតែរដ្ឋទាំងមូល។ ធនាគាររក្សាទុក និងដំណើរការព័ត៌មានដ៏មានតម្លៃដែលប៉ះពាល់ដល់ផលប្រយោជន៍របស់មនុស្សមួយចំនួនធំ។ ធនាគាររក្សាទុកព័ត៌មានសំខាន់ៗអំពីអតិថិជនរបស់ខ្លួន ដែលពង្រីករង្វង់នៃអ្នកឈ្លានពានដែលមានសក្តានុពលដែលចាប់អារម្មណ៍ក្នុងការលួច ឬបំផ្លាញព័ត៌មានបែបនេះ។

ជាង 90% នៃឧក្រិដ្ឋកម្មទាំងអស់គឺទាក់ទងទៅនឹងការប្រើប្រាស់ប្រព័ន្ធដំណើរការព័ត៌មានដោយស្វ័យប្រវត្តិរបស់ធនាគារ។ ដូច្នេះនៅពេលបង្កើត និងធ្វើទំនើបកម្ម ASOIB ធនាគារចាំបាច់ត្រូវយកចិត្តទុកដាក់ក្នុងការធានាសុវត្ថិភាពរបស់ខ្លួន។

ការយកចិត្តទុកដាក់ជាចម្បងគួរតែត្រូវបានបង់ទៅសុវត្ថិភាពកុំព្យូទ័ររបស់ធនាគារ, i. សុវត្ថិភាពនៃប្រព័ន្ធដំណើរការព័ត៌មានស្វ័យប្រវត្តិរបស់ធនាគារ ដែលជាបញ្ហាពាក់ព័ន្ធបំផុត ស្មុគស្មាញ និងបន្ទាន់ក្នុងវិស័យសន្តិសុខព័ត៌មានធនាគារ។

ការអភិវឌ្ឍន៍យ៉ាងឆាប់រហ័សនៃបច្ចេកវិទ្យាព័ត៌មានបានបើកឱកាសអាជីវកម្មថ្មីៗ ប៉ុន្តែក៏នាំទៅរកការលេចឡើងនៃការគំរាមកំហែងថ្មីៗផងដែរ។ ដោយសារការប្រកួតប្រជែង ផលិតផលសូហ្វវែរទំនើបត្រូវបានលក់ដោយមានកំហុស និងចំណុចខ្វះខាត។ អ្នកអភិវឌ្ឍន៍ រួមទាំងមុខងារផ្សេងៗនៅក្នុងផលិតផលរបស់ពួកគេ មិនមានពេលវេលាដើម្បីធ្វើការកែកំហុសដែលមានគុណភាពខ្ពស់នៃប្រព័ន្ធកម្មវិធីដែលបានបង្កើតនោះទេ។ កំហុស និងគុណវិបត្តិដែលបន្សល់ទុកនៅក្នុងប្រព័ន្ធទាំងនេះ នាំឱ្យមានការបំពានដោយចៃដន្យ និងដោយចេតនាលើសុវត្ថិភាពព័ត៌មាន។ ជាឧទាហរណ៍ មូលហេតុនៃការបាត់បង់ព័ត៌មានដោយចៃដន្យភាគច្រើនគឺការបរាជ័យក្នុងប្រតិបត្តិការនៃកម្មវិធី និងផ្នែករឹង ហើយការវាយប្រហារភាគច្រើនលើប្រព័ន្ធកុំព្យូទ័រគឺផ្អែកលើកំហុស និងគុណវិបត្តិដែលមាននៅក្នុងកម្មវិធី។ ដូច្នេះ ជាឧទាហរណ៍ ក្នុងរយៈពេលប្រាំមួយខែដំបូងបន្ទាប់ពីការចេញផ្សាយប្រព័ន្ធប្រតិបត្តិការម៉ាស៊ីនមេ Microsoft Windows ភាពងាយរងគ្រោះចំនួន 14 ត្រូវបានរកឃើញ ដែល 6 ជាការសំខាន់។ ទោះបីជាយូរ ៗ ទៅ Microsoft បង្កើតកញ្ចប់សេវាកម្មដែលដោះស្រាយកំហុសដែលបានកំណត់ក៏ដោយអ្នកប្រើប្រាស់កំពុងទទួលរងការរំលោភលើសុវត្ថិភាពព័ត៌មានរួចហើយដោយសារតែកំហុសដែលនៅសល់។ រហូតទាល់តែបញ្ហាជាច្រើនទៀតត្រូវបានដោះស្រាយ កម្រិតសុវត្ថិភាពព័ត៌មានមិនគ្រប់គ្រាន់នឹងក្លាយជាហ្វ្រាំងដ៏ធ្ងន់ធ្ងរលើការអភិវឌ្ឍន៍បច្ចេកវិទ្យាព័ត៌មាន។

នៅក្រោម សុវត្ថិភាពព័ត៌មានសុវត្ថិភាពនៃព័ត៌មាន និងហេដ្ឋារចនាសម្ព័ន្ធគាំទ្រពីផលប៉ះពាល់ដោយចៃដន្យ ឬដោយចេតនានៃធម្មជាតិ ឬសិប្បនិម្មិតដែលអាចបង្កឱ្យមានការខូចខាតដែលមិនអាចទទួលយកបានចំពោះប្រធានបទនៃទំនាក់ទំនងព័ត៌មាន រួមទាំងម្ចាស់ និងអ្នកប្រើប្រាស់ព័ត៌មាន និងហេដ្ឋារចនាសម្ព័ន្ធគាំទ្រ ត្រូវបានយល់។

នៅក្នុងពិភពជំនួញទំនើប មានដំណើរការនៃការធ្វើចំណាកស្រុកនៃទ្រព្យសម្បត្តិសម្ភារៈឆ្ពោះទៅរកព័ត៌មាន។ នៅពេលដែលអង្គការមានការអភិវឌ្ឍន៍ ប្រព័ន្ធព័ត៌មានរបស់វាកាន់តែស្មុគស្មាញ ភារកិច្ចចម្បងគឺធានាប្រសិទ្ធភាពអាជីវកម្មអតិបរមានៅក្នុងបរិយាកាសទីផ្សារប្រកួតប្រជែងដែលផ្លាស់ប្តូរឥតឈប់ឈរ។

ដោយពិចារណាលើព័ត៌មានជាទំនិញ យើងអាចនិយាយបានថា ការធានាសុវត្ថិភាពព័ត៌មានជាទូទៅអាចនាំទៅរកការសន្សំសំចៃថ្លៃដើមយ៉ាងសំខាន់ ខណៈដែលការខូចខាតដែលបណ្តាលមកពីវានាំទៅដល់ការចំណាយលើសម្ភារៈ។ ជាឧទាហរណ៍ ការលាតត្រដាងអំពីបច្ចេកវិជ្ជាផលិតផលិតផលដើមនឹងនាំឱ្យមានការលេចចេញនូវផលិតផលស្រដៀងគ្នា ប៉ុន្តែមកពីក្រុមហ៊ុនផលិតផ្សេងទៀត ហើយជាលទ្ធផលនៃការរំលោភបំពានសុវត្ថិភាពព័ត៌មាន ម្ចាស់បច្ចេកវិទ្យា និងប្រហែលជាអ្នកនិពន្ធនឹងបាត់បង់ ផ្នែកនៃទីផ្សារ។ល។ ម្យ៉ាងវិញទៀត ព័ត៌មានគឺជាកម្មវត្ថុនៃការគ្រប់គ្រង ហើយការផ្លាស់ប្តូររបស់វាអាចនាំឱ្យមានផលវិបាកមហន្តរាយនៅក្នុងវត្ថុបញ្ជា។

យោងតាម ​​GOST R 50922-2006 ការធានាសុវត្ថិភាពព័ត៌មានគឺជាសកម្មភាពដែលមានគោលបំណងការពារការលេចធ្លាយព័ត៌មាន ផលប៉ះពាល់ដែលគ្មានការអនុញ្ញាត និងអចេតនាលើព័ត៌មានដែលត្រូវបានការពារ។ សុវត្ថិភាពព័ត៌មានគឺពាក់ព័ន្ធសម្រាប់ទាំងសហគ្រាស និងទីភ្នាក់ងាររដ្ឋាភិបាល។ សម្រាប់គោលបំណងនៃការការពារយ៉ាងទូលំទូលាយនៃធនធានព័ត៌មាន ការងារកំពុងត្រូវបានអនុវត្តដើម្បីបង្កើត និងអភិវឌ្ឍប្រព័ន្ធសុវត្ថិភាពព័ត៌មាន។

មានហេតុផលជាច្រើនដែលអាចប៉ះពាល់យ៉ាងធ្ងន់ធ្ងរដល់ប្រតិបត្តិការនៃបណ្តាញក្នុងស្រុក និងសកល ដែលនាំឱ្យបាត់បង់ព័ត៌មានដ៏មានតម្លៃ។ ក្នុង​ចំណោម​នោះ​មាន​ដូច​ខាង​ក្រោម៖

ការចូលប្រើដោយគ្មានការអនុញ្ញាតពីខាងក្រៅ ការចម្លង ឬផ្លាស់ប្តូរព័ត៌មាន សកម្មភាពដោយចៃដន្យ ឬដោយចេតនាដែលនាំទៅដល់៖

ការបង្ខូចទ្រង់ទ្រាយឬការបំផ្លាញទិន្នន័យ;

ការយល់ដឹងអំពីបុគ្គលដែលគ្មានការអនុញ្ញាតជាមួយនឹងព័ត៌មានដែលបង្កើតជាធនាគារ ហិរញ្ញវត្ថុ ឬសម្ងាត់របស់រដ្ឋ។

ប្រតិបត្តិការមិនត្រឹមត្រូវនៃកម្មវិធី ដែលនាំឱ្យបាត់បង់ ឬខូចទិន្នន័យដោយសារ៖

កំហុសនៅក្នុងកម្មវិធីឬកម្មវិធីបណ្តាញ;

ការឆ្លងមេរោគកុំព្យូទ័រ។

ការបរាជ័យឧបករណ៍បច្ចេកទេសបណ្តាលមកពី៖

អស់​ថាមពល;

ការបរាជ័យនៃប្រព័ន្ធឌីសនិងប្រព័ន្ធរក្សាទុកទិន្នន័យ;

ការរំខាននៃម៉ាស៊ីនមេ ស្ថានីយការងារ កាតបណ្តាញ ម៉ូដឹម។

កំហុសរបស់បុគ្គលិកសេវាកម្ម។

ជាការពិតណាស់ មិនមានដំណោះស្រាយមួយទំហំសមទាំងអស់នោះទេ ប៉ុន្តែអង្គការជាច្រើនបានបង្កើត និងអនុវត្តវិធានការបច្ចេកទេស និងរដ្ឋបាល ដើម្បីកាត់បន្ថយហានិភ័យនៃការបាត់បង់ទិន្នន័យ ឬការចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាត។

រហូតមកដល់បច្ចុប្បន្ន មានឃ្លាំងសម្ងាត់ដ៏ធំនៃវិធីសាស្រ្តសម្រាប់ធានាសុវត្ថិភាពព័ត៌មាន ដែលត្រូវបានប្រើនៅក្នុង Alfa-Bank ផងដែរ៖

· មធ្យោបាយនៃការកំណត់អត្តសញ្ញាណ និងការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ (ដែលគេហៅថាស្មុគស្មាញ 3A);

· មធ្យោបាយនៃការអ៊ិនគ្រីបព័ត៌មានដែលរក្សាទុកនៅលើកុំព្យូទ័រ និងបញ្ជូនតាមបណ្តាញ។

· ជញ្ជាំងភ្លើង;

· បណ្តាញឯកជននិម្មិត;

· ឧបករណ៍ត្រងមាតិកា;

· ឧបករណ៍សម្រាប់ពិនិត្យមើលភាពសុចរិតនៃមាតិកានៃថាស;

· មធ្យោបាយនៃការការពារប្រឆាំងនឹងមេរោគ;

· ប្រព័ន្ធរកឃើញភាពងាយរងគ្រោះបណ្តាញ និងឧបករណ៍វិភាគការវាយប្រហារបណ្តាញ។

"ស្មុគស្មាញ 3A" រួមបញ្ចូលទាំងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ (ឬការកំណត់អត្តសញ្ញាណ) ការអនុញ្ញាត និងការគ្រប់គ្រង។ ការកំណត់អត្តសញ្ញាណនិងការអនុញ្ញាតគឺជាធាតុសំខាន់នៃសុវត្ថិភាពព័ត៌មាន។ នៅពេលអ្នកព្យាយាមចូលប្រើកម្មវិធីណាមួយ មុខងារកំណត់អត្តសញ្ញាណផ្តល់ចម្លើយចំពោះសំណួរ៖ "តើអ្នកជានរណា?" និង "តើអ្នកនៅឯណា?" ថាតើអ្នកជាអ្នកប្រើប្រាស់ដែលមានការអនុញ្ញាតពីកម្មវិធីដែរឬទេ។ មុខងារអនុញ្ញាតគឺទទួលខុសត្រូវចំពោះធនធានដែលអ្នកប្រើប្រាស់ជាក់លាក់មានសិទ្ធិចូលប្រើប្រាស់។ មុខងារនៃការគ្រប់គ្រងគឺផ្តល់ឱ្យអ្នកប្រើប្រាស់នូវលក្ខណៈពិសេសកំណត់អត្តសញ្ញាណជាក់លាក់មួយនៅក្នុងបណ្តាញដែលបានផ្តល់ឱ្យ និងកំណត់វិសាលភាពនៃសកម្មភាពដែលអនុញ្ញាតសម្រាប់គាត់។ នៅក្នុង Alfa-Bank នៅពេលបើកកម្មវិធី ពាក្យសម្ងាត់ និងការចូលរបស់និយោជិតម្នាក់ៗត្រូវបានស្នើសុំ ហើយនៅពេលអនុវត្តប្រតិបត្តិការណាមួយ ក្នុងករណីខ្លះ ការអនុញ្ញាតពីប្រធាន ឬអនុប្រធានរបស់គាត់នៅក្នុងនាយកដ្ឋានគឺត្រូវបានទាមទារ។

ប្រព័ន្ធអ៊ិនគ្រីបអនុញ្ញាតឱ្យកាត់បន្ថយការខាតបង់ក្នុងករណីមានការចូលប្រើដោយគ្មានការអនុញ្ញាតចំពោះទិន្នន័យដែលរក្សាទុកនៅលើថាសរឹង ឬប្រព័ន្ធផ្សព្វផ្សាយផ្សេងទៀត ក៏ដូចជាការស្ទាក់ចាប់ព័ត៌មាននៅពេលវាត្រូវបានផ្ញើតាមរយៈ អ៊ីមែលឬការបញ្ជូនតាមពិធីការបណ្តាញ។ គោលបំណងនៃឧបករណ៍សុវត្ថិភាពនេះគឺដើម្បីធានាការសម្ងាត់។ តម្រូវការចម្បងសម្រាប់ប្រព័ន្ធអ៊ីនគ្រីបគឺកម្រិតខ្ពស់នៃកម្លាំងគ្រីបគ្រីប និងភាពស្របច្បាប់នៃការប្រើប្រាស់នៅក្នុងប្រទេសរុស្ស៊ី (ឬរដ្ឋផ្សេងទៀត)។

ជញ្ជាំងភ្លើងគឺជាប្រព័ន្ធ ឬការបញ្ចូលគ្នានៃប្រព័ន្ធដែលបង្កើតជារបាំងការពាររវាងបណ្តាញពីរ ឬច្រើន ដែលការពារកញ្ចប់ទិន្នន័យដែលគ្មានការអនុញ្ញាតពីការចូល ឬចាកចេញពីបណ្តាញ។ គោលការណ៍ប្រតិបត្តិការជាមូលដ្ឋាននៃជញ្ជាំងភ្លើង។ ពិនិត្យកញ្ចប់ទិន្នន័យនីមួយៗសម្រាប់ការផ្គូផ្គង IP_address ចូល និងចេញទៅកាន់មូលដ្ឋានអាសយដ្ឋានដែលបានអនុញ្ញាត។ ដូច្នេះ ជញ្ជាំងភ្លើងពង្រីកយ៉ាងសំខាន់នូវលទ្ធភាពនៃការបែងចែកបណ្តាញព័ត៌មាន និងគ្រប់គ្រងចរាចរទិន្នន័យ។

និយាយអំពីការគ្រីប និងជញ្ជាំងភ្លើង យើងគួរតែនិយាយអំពីបណ្តាញឯកជននិម្មិតដែលមានសុវត្ថិភាព (បណ្តាញឯកជននិម្មិត - VPN) ។ ការប្រើប្រាស់របស់ពួកគេអនុញ្ញាតឱ្យដោះស្រាយបញ្ហានៃការរក្សាការសម្ងាត់ទិន្នន័យ និងសុចរិតភាពក្នុងអំឡុងពេលបញ្ជូនរបស់ពួកគេលើបណ្តាញទំនាក់ទំនងបើកចំហ។

មធ្យោបាយដ៏មានប្រសិទ្ធភាពក្នុងការការពារប្រឆាំងនឹងការបាត់បង់ព័ត៌មានសម្ងាត់។ ត្រងខ្លឹមសារសម្រាប់អ៊ីមែលចូល និងចេញ។ ការធ្វើឱ្យមានសុពលភាពសារអ៊ីមែលខ្លួនឯង និងឯកសារភ្ជាប់របស់ពួកគេដោយផ្អែកលើច្បាប់កំណត់ដោយអង្គការក៏ជួយការពារក្រុមហ៊ុនពីការទទួលខុសត្រូវក្នុងបណ្តឹង និងការពារបុគ្គលិករបស់ពួកគេពីសារឥតបានការ។ ឧបករណ៍ត្រងមាតិកាអនុញ្ញាតឱ្យអ្នកស្កេនឯកសារនៃទម្រង់ទូទៅទាំងអស់ រួមទាំងការបង្ហាប់ និងក្រាហ្វិក។ ក្នុងពេលជាមួយគ្នានេះ កម្រិតបញ្ជូនបណ្តាញនៅតែអនុវត្តមិនផ្លាស់ប្តូរ។

ទំនើប ប្រឆាំងមេរោគបច្ចេកវិទ្យាអនុញ្ញាតឱ្យរកឃើញកម្មវិធីមេរោគស្ទើរតែទាំងអស់ដែលបានស្គាល់រួចហើយដោយការប្រៀបធៀបកូដនៃឯកសារគួរឱ្យសង្ស័យជាមួយនឹងគំរូដែលបានរក្សាទុកនៅក្នុងមូលដ្ឋានទិន្នន័យប្រឆាំងមេរោគ។ លើសពីនេះ បច្ចេកវិទ្យាគំរូអាកប្បកិរិយាត្រូវបានបង្កើតឡើង ដើម្បីស្វែងរកកម្មវិធីមេរោគដែលបានបង្កើតថ្មី។ វត្ថុ​ដែល​បាន​រក​ឃើញ​អាច​ត្រូវ​បាន​សម្លាប់​មេរោគ ដាច់​ដោយ​ឡែក (ដាក់​ឱ្យ​នៅ​ដាច់​ដោយ​ឡែក) ឬ​លុប​ចោល។ ការការពារមេរោគអាចត្រូវបានដំឡើងនៅលើស្ថានីយការងារ ឯកសារ និងម៉ាស៊ីនមេ ជញ្ជាំងភ្លើងដែលកំពុងដំណើរការក្រោមស្ទើរតែទាំងអស់នៃប្រព័ន្ធប្រតិបត្តិការទូទៅ (វីនដូ យូនីក - និងលីនុច_ប្រព័ន្ធ ណូវែល) នៅលើប្រភេទផ្សេងៗនៃដំណើរការ។ តម្រងសារឥតបានការកាត់បន្ថយយ៉ាងខ្លាំងនូវតម្លៃពលកម្មដែលមិនផលិតបានដែលទាក់ទងនឹងការញែកសារឥតបានការ កាត់បន្ថយចរាចរណ៍ និងការផ្ទុកម៉ាស៊ីនមេ កែលម្អផ្ទៃខាងក្រោយផ្លូវចិត្តនៅក្នុងក្រុម និងកាត់បន្ថយហានិភ័យនៃបុគ្គលិកក្រុមហ៊ុនពាក់ព័ន្ធនឹងប្រតិបត្តិការក្លែងបន្លំ។ លើសពីនេះ តម្រងសារឥតបានការកាត់បន្ថយហានិភ័យនៃការឆ្លងមេរោគថ្មី ដោយសារសារដែលមានមេរោគ (សូម្បីតែសារដែលមិនទាន់បានរួមបញ្ចូលក្នុងមូលដ្ឋានទិន្នន័យប្រឆាំងមេរោគ) ជារឿយៗបង្ហាញសញ្ញានៃសារឥតបានការ ហើយត្រូវបានច្រោះចេញ។ ពិត ឥទ្ធិពលវិជ្ជមាននៃការត្រងសារឥតបានការអាចត្រូវបានកាត់ចេញ ប្រសិនបើតម្រង រួមជាមួយនឹងសារឥតបានការ ដកចេញ ឬសម្គាល់ថាជាសារឥតបានការ និងសារមានប្រយោជន៍ អាជីវកម្ម ឬផ្ទាល់ខ្លួន។

មានប្រភេទ និងវិធីសាស្រ្តធម្មតាបំផុតមួយចំនួន ការគំរាមកំហែងព័ត៌មាន៖

ការបំបែកចំណាត់ថ្នាក់ និងការលួចសម្ងាត់ពាណិជ្ជកម្ម។ ខណៈពេលដែលការសម្ងាត់ពីមុនត្រូវបានរក្សាទុកនៅក្នុងកន្លែងសម្ងាត់ នៅក្នុងកន្លែងសុវត្ថិភាពដ៏ធំ ក្រោមការការពាររូបវន្តដែលអាចទុកចិត្តបាន និង (ក្រោយមក) អេឡិចត្រូនិច សព្វថ្ងៃនេះ បុគ្គលិកជាច្រើនមានសិទ្ធិចូលប្រើមូលដ្ឋានទិន្នន័យការិយាល័យ ដែលជារឿយៗមានព័ត៌មានរសើបខ្លាំង ឧទាហរណ៍ ទិន្នន័យអតិថិជនដូចគ្នា។

ការចែកចាយសម្ភារៈសម្របសម្រួល។ នោះគឺជាការប្រើប្រាស់ដោយចេតនា ឬដោយចៃដន្យដោយនិយោជិតក្នុងការឆ្លើយឆ្លងអេឡិចត្រូនិកនៃព័ត៌មានបែបនេះដែលបង្ហាញស្រមោលលើកេរ្តិ៍ឈ្មោះរបស់ធនាគារ។

ការរំលោភលើកម្មសិទ្ធិបញ្ញា។ វាជារឿងសំខាន់ដែលមិនត្រូវភ្លេចថាផលិតផលបញ្ញាណាមួយដែលផលិតនៅក្នុងធនាគារ ដូចជានៅក្នុងស្ថាប័នណាមួយជាកម្មសិទ្ធិរបស់វា និងមិនអាចត្រូវបានប្រើប្រាស់ដោយបុគ្គលិក (រួមទាំងម៉ាស៊ីនភ្លើង និងអ្នកនិពន្ធនៃតម្លៃបញ្ញា) លើកលែងតែផលប្រយោជន៍របស់អង្គការ។ ទន្ទឹមនឹងនេះដែរ នៅក្នុងប្រទេសរុស្ស៊ី ជារឿយៗជម្លោះកើតឡើងលើបញ្ហានេះរវាងអង្គការ និងបុគ្គលិកដែលទាមទារផលិតផលបញ្ញាដែលពួកគេបានបង្កើត និងប្រើប្រាស់វាដើម្បីផលប្រយោជន៍ផ្ទាល់ខ្លួន ធ្វើឱ្យខូចដល់អង្គការ។ នេះច្រើនតែកើតឡើងដោយសារតែស្ថានភាពផ្លូវច្បាប់មិនច្បាស់លាស់នៅសហគ្រាស នៅពេលដែលកិច្ចសន្យាការងារមិនមានបទដ្ឋាន និងច្បាប់ដែលបានកំណត់ច្បាស់លាស់ដែលបង្ហាញពីសិទ្ធិ និងកាតព្វកិច្ចរបស់និយោជិត។

ការចែកចាយ (ជាញឹកញាប់ដោយអចេតនា) នៃព័ត៌មានខាងក្នុងដែលមិនសម្ងាត់ ប៉ុន្តែអាចមានប្រយោជន៍ចំពោះដៃគូប្រកួតប្រជែង (ធនាគារផ្សេងទៀត)។

ការចូលមើលគេហទំព័ររបស់ធនាគារប្រកួតប្រជែង។ ឥឡូវនេះក្រុមហ៊ុនកាន់តែច្រើនកំពុងប្រើកម្មវិធីនៅលើគេហទំព័របើកចំហរបស់ពួកគេ (ជាពិសេសត្រូវបានរចនាឡើងសម្រាប់ CRM) ដែលអនុញ្ញាតឱ្យអ្នកស្គាល់អ្នកទស្សនានិងតាមដានផ្លូវរបស់ពួកគេយ៉ាងលម្អិតកត់ត្រាពេលវេលានិងរយៈពេលនៃការមើលទំព័រនៅលើគេហទំព័រ។ គេហទំព័ររបស់ដៃគូប្រកួតប្រជែងបាន និងនៅតែជាប្រភពដ៏មានតម្លៃសម្រាប់ការវិភាគ និងការព្យាករណ៍។

ការបំពានលើទំនាក់ទំនងការិយាល័យសម្រាប់គោលបំណងផ្ទាល់ខ្លួន (ការស្តាប់ ការមើលតន្ត្រី និងមាតិកាផ្សេងទៀតដែលមិនទាក់ទងនឹងការងារ ការទាញយកកុំព្យូទ័រការិយាល័យ) មិនបង្កការគំរាមកំហែងដោយផ្ទាល់ដល់សុវត្ថិភាពព័ត៌មាននោះទេ ប៉ុន្តែបង្កើតភាពតានតឹងបន្ថែមលើបណ្តាញសាជីវកម្ម កាត់បន្ថយប្រសិទ្ធភាព និងការជ្រៀតជ្រែក។ ជាមួយនឹងការងាររបស់សហសេវិក។

ហើយទីបំផុតការគំរាមកំហែងពីខាងក្រៅ - ការឈ្លានពានដោយគ្មានការអនុញ្ញាត។ល។

ច្បាប់ដែលត្រូវបានអនុម័តដោយធនាគារត្រូវតែគោរពតាមស្តង់ដារជាតិ និងអន្តរជាតិដែលទទួលស្គាល់សម្រាប់ការការពារអាថ៌កំបាំងរដ្ឋ និងពាណិជ្ជកម្ម ព័ត៌មានផ្ទាល់ខ្លួន និងឯកជន។

ការការពារអង្គការនៃព័ត៌មាននៅក្នុង Alfa-Bank

ធនាគារ Alfa Bank OJSC បានអនុវត្តគោលនយោបាយសន្តិសុខដោយផ្អែកលើវិធីសាស្ត្រត្រួតពិនិត្យការចូលប្រើដែលបានជ្រើសរើស។ ការគ្រប់គ្រងបែបនេះនៅក្នុងធនាគារ Alfa Bank OJSC ត្រូវបានកំណត់ដោយសំណុំនៃទំនាក់ទំនងការចូលប្រើដែលត្រូវបានអនុញ្ញាតដែលបញ្ជាក់ដោយអ្នកគ្រប់គ្រង។ ម៉ាទ្រីសចូលដំណើរការត្រូវបានបំពេញដោយផ្ទាល់ដោយអ្នកគ្រប់គ្រងប្រព័ន្ធរបស់ក្រុមហ៊ុន។ ការអនុវត្តគោលនយោបាយសុវត្ថិភាពព័ត៌មានជ្រើសរើសស្របតាមតម្រូវការនៃការគ្រប់គ្រង និងតម្រូវការសម្រាប់សុវត្ថិភាពព័ត៌មាន និងការគ្រប់គ្រងការចូលប្រើ គណនេយ្យភាព ហើយក៏មានការចំណាយដែលអាចទទួលយកបាននៃស្ថាប័នរបស់ខ្លួន។ ការអនុវត្តគោលនយោបាយសន្តិសុខព័ត៌មានត្រូវបានប្រគល់ឱ្យយ៉ាងពេញលេញដល់អ្នកគ្រប់គ្រងប្រព័ន្ធរបស់ធនាគារ Alfa Bank OJSC ។

រួមជាមួយនឹងគោលការណ៍សុវត្ថិភាពដែលមានស្រាប់ ធនាគារ Alfa OJSC ប្រើប្រាស់ផ្នែករឹង និងផ្នែកទន់សុវត្ថិភាពពិសេស។

ផ្នែករឹងសុវត្ថិភាពគឺ Cisco 1605 ។ រ៉ោតទ័រត្រូវបានបំពាក់ដោយចំណុចប្រទាក់អ៊ីសឺរណិតពីរ (មួយមានចំណុចប្រទាក់ TP និង AUI មួយទៀតមាន TP តែប៉ុណ្ណោះ) សម្រាប់ LAN និងរន្ធដោតពង្រីកមួយសម្រាប់ដំឡើងម៉ូឌុលមួយសម្រាប់រ៉ោតទ័រស៊េរី Cisco 1600 ។ លើសពីនេះទៅទៀត កម្មវិធី Cisco IOFirewallFeatureSet ធ្វើឱ្យ Cisco 1605-R ជាដំណោះស្រាយរ៉ោតទ័រ/សុវត្ថិភាពដែលអាចបត់បែនបានល្អបំផុតសម្រាប់ការិយាល័យតូច។ អាស្រ័យលើម៉ូឌុលដែលបានដំឡើង រ៉ោតទ័រអាចគាំទ្រការតភ្ជាប់ទាំងតាមរយៈ ISDN និងបន្ទាត់ហៅទូរសព្ទ ឬខ្សែដែលបានជួលពី 1200 bps ទៅ 2 Mbps, FrameRelay, SMDS, x.25 ។

ដើម្បីការពារព័ត៌មាន ម្ចាស់បណ្តាញមូលដ្ឋានត្រូវតែធានា "បរិមាត្រ" នៃបណ្តាញ ជាឧទាហរណ៍ ដោយបង្កើតការគ្រប់គ្រងនៅចំណុចប្រសព្វនៃបណ្តាញខាងក្នុងជាមួយបណ្តាញខាងក្រៅ។ Cisco IOS ផ្តល់នូវភាពបត់បែន និងសុវត្ថិភាពខ្ពស់ជាមួយនឹងមុខងារស្តង់ដារទាំងពីរដូចជា Extended Access Lists (ACLs), Lockdown Systems (Dynamic ACLs) និង Routing Authorization។ លើសពីនេះ Cisco IOS FirewallFeatureSet មានសម្រាប់រ៉ោតទ័រស៊េរី 1600 និង 2500 ផ្តល់នូវលក្ខណៈពិសេសសុវត្ថិភាពដ៏ទូលំទូលាយរួមមាន:

ការត្រួតពិនិត្យការចូលប្រើតាមបរិបទ (CBAC)

java lock

សៀវភៅកំណត់ហេតុ

ការរកឃើញនិងការការពារការវាយប្រហារ

ការជូនដំណឹងជាបន្ទាន់

លើសពីនេះ រ៉ោតទ័រគាំទ្របណ្តាញត្រួតលើគ្នានិម្មិត ផ្លូវរូងក្រោមដី ប្រព័ន្ធគ្រប់គ្រងអាទិភាព ប្រព័ន្ធកក់ធនធាន និងវិធីសាស្ត្រគ្រប់គ្រងផ្លូវផ្សេងៗ។

ដំណោះស្រាយ KasperskyOpenSpaceSecurity ត្រូវបានប្រើជាឧបករណ៍ការពារកម្មវិធី។ KasperskyOpenSpaceSecurity ឆ្លើយតបយ៉ាងពេញលេញ តម្រូវការទំនើបសម្រាប់ប្រព័ន្ធសុវត្ថិភាពនៃបណ្តាញសាជីវកម្ម៖

ដំណោះស្រាយសម្រាប់ការការពារគ្រប់ប្រភេទនៃថ្នាំងបណ្តាញ;

ការការពារប្រឆាំងនឹងគ្រប់ប្រភេទនៃការគំរាមកំហែងកុំព្យូទ័រ;

មានប្រសិទ្ធិភាព ការ​គាំទ្រ​ផ្នែក​បច្ចេកទេស;

បច្ចេកវិជ្ជា "សកម្ម" រួមបញ្ចូលគ្នាជាមួយនឹងការការពារដែលមានមូលដ្ឋានលើហត្ថលេខាប្រពៃណី។

បច្ចេកវិជ្ជាច្នៃប្រឌិត និងម៉ាស៊ីនប្រឆាំងមេរោគថ្មី ដែលធ្វើអោយដំណើរការប្រសើរឡើង។

ប្រព័ន្ធការពារដែលត្រៀមរួចជាស្រេច;

ការគ្រប់គ្រងកណ្តាល;

ការការពារពេញលេញនៃអ្នកប្រើប្រាស់នៅខាងក្រៅបណ្តាញ;

ភាពឆបគ្នាជាមួយដំណោះស្រាយភាគីទីបី;

ការប្រើប្រាស់ធនធានបណ្តាញប្រកបដោយប្រសិទ្ធភាព។

ប្រព័ន្ធដែលបានអភិវឌ្ឍគួរតែផ្តល់នូវការគ្រប់គ្រងពេញលេញ គណនេយ្យស្វ័យប្រវត្តិ និងការវិភាគលើការការពារព័ត៌មានផ្ទាល់ខ្លួន កាត់បន្ថយពេលវេលានៃសេវាកម្មអតិថិជន ទទួលព័ត៌មានអំពីលេខកូដសុវត្ថិភាពព័ត៌មាន និងទិន្នន័យផ្ទាល់ខ្លួន។

ដើម្បីបង្កើតតម្រូវការសម្រាប់ប្រព័ន្ធដែលកំពុងត្រូវបានបង្កើតឡើង ចាំបាច់ត្រូវបង្កើតតម្រូវការសម្រាប់ការរៀបចំប្រព័ន្ធទិន្នន័យ ភាពឆបគ្នានៃព័ត៌មានសម្រាប់ប្រព័ន្ធដែលកំពុងត្រូវបានបង្កើតឡើង។

ការរចនាមូលដ្ឋានទិន្នន័យគួរតែផ្អែកលើទស្សនៈរបស់អ្នកប្រើចុងក្រោយនៃអង្គការជាក់លាក់មួយ - តម្រូវការគំនិតសម្រាប់ប្រព័ន្ធ។

ក្នុងករណីនេះ IS មានទិន្នន័យអំពីបុគ្គលិករបស់ក្រុមហ៊ុន។ បច្ចេកវិទ្យាមួយក្នុងចំណោមបច្ចេកវិទ្យាដែលបង្ហាញយ៉ាងសំខាន់នូវប្រតិបត្តិការនៃប្រព័ន្ធព័ត៌មានគឺការបង្កើតគ្រោងការណ៍លំហូរការងារសម្រាប់ឯកសារ។

មុខងារនៃប្រព័ន្ធដែលបានអភិវឌ្ឍអាចសម្រេចបានតាមរយៈការប្រើប្រាស់បច្ចេកវិទ្យាកុំព្យូទ័រ និងកម្មវិធី។ ដោយពិចារណាថាការស្វែងរកព័ត៌មានព័ត៌មាននិងឯកសារគណនេយ្យក្នុងសកម្មភាពរបស់អ្នកឯកទេសធនាគារគឺប្រហែល 30% នៃពេលវេលាធ្វើការ ការដាក់ឱ្យប្រើប្រាស់ប្រព័ន្ធគណនេយ្យស្វ័យប្រវត្តិនឹងធ្វើឱ្យអ្នកឯកទេសមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់អាចបង្កើនប្រាក់សន្សំក្នុងមូលនិធិបើកប្រាក់បៀវត្សរ៍កាត់បន្ថយ។ បុគ្គលិក ប៉ុន្តែក៏អាចនាំទៅដល់ការណែនាំដល់បុគ្គលិកនៃនាយកដ្ឋាននៃអង្គភាពបុគ្គលិករបស់ប្រតិបត្តិករ ដែលភារកិច្ចរបស់ពួកគេនឹងរួមបញ្ចូលការបញ្ចូលព័ត៌មានអំពីដំណើរការអាជីវកម្មដែលកំពុងដំណើរការ៖ ឯកសារគណនេយ្យទិន្នន័យផ្ទាល់ខ្លួន និងលេខកូដចូលប្រើប្រាស់។

វាគួរតែត្រូវបានកត់សម្គាល់ថាការណែនាំនៃប្រព័ន្ធដែលបានអភិវឌ្ឍនឹងកាត់បន្ថយហើយតាមឧត្ដមគតិលុបបំបាត់កំហុសទាំងស្រុងក្នុងគណនេយ្យព័ត៌មានផ្ទាល់ខ្លួននិងលេខកូដសុវត្ថិភាព។ ដូច្នេះ ការដាក់ឱ្យប្រើប្រាស់កន្លែងធ្វើការដោយស្វ័យប្រវត្តិសម្រាប់អ្នកគ្រប់គ្រងនឹងនាំឱ្យមានឥទ្ធិពលសេដ្ឋកិច្ចយ៉ាងសំខាន់ ការកាត់បន្ថយបុគ្គលិកចំនួន 1/3 ការសន្សំប្រាក់ក្នុងមូលនិធិប្រាក់ឈ្នួល និងការបង្កើនផលិតភាពការងារ។

Alfa-Bank ដូចជាធនាគារដទៃទៀតដែរ បានបង្កើតគោលនយោបាយសន្តិសុខព័ត៌មាន ដែលកំណត់ប្រព័ន្ធទស្សនៈស្តីពីបញ្ហានៃការធានាសុវត្ថិភាពព័ត៌មាន និងជាសេចក្តីថ្លែងការណ៍ជាប្រព័ន្ធនៃគោលដៅ និងគោលបំណងនៃការការពារ ជាច្បាប់ នីតិវិធី ការអនុវត្តមួយ ឬច្រើន និងការណែនាំក្នុងវិស័យសន្តិសុខព័ត៌មាន។

គោលនយោបាយនេះគិតគូរពីស្ថានភាពបច្ចុប្បន្ន និងការរំពឹងទុកភ្លាមៗសម្រាប់ការអភិវឌ្ឍន៍បច្ចេកវិទ្យាព័ត៌មាននៅក្នុងធនាគារ គោលដៅ គោលបំណង និងក្របខ័ណ្ឌច្បាប់សម្រាប់ប្រតិបត្តិការរបស់ពួកគេ របៀបនៃប្រតិបត្តិការ ហើយក៏មានការវិភាគអំពីការគំរាមកំហែងសុវត្ថិភាពចំពោះវត្ថុ និងប្រធានបទនៃព័ត៌មានផងដែរ។ ទំនាក់ទំនងរបស់ធនាគារ។

បទប្បញ្ញត្តិ និងតម្រូវការសំខាន់ៗនៃឯកសារនេះអនុវត្តចំពោះផ្នែករចនាសម្ព័ន្ធទាំងអស់របស់ធនាគារ រួមទាំងការិយាល័យបន្ថែម។ បញ្ហាសំខាន់ៗ គោលការណ៍នេះក៏អនុវត្តចំពោះស្ថាប័ន និងស្ថាប័នផ្សេងទៀតដែលមានអន្តរកម្មជាមួយធនាគារក្នុងនាមជាអ្នកផ្គត់ផ្គង់ និងអ្នកប្រើប្រាស់ធនធានព័ត៌មានរបស់ធនាគារក្នុងសមត្ថភាពមួយ ឬមួយផ្សេងទៀត។

មូលដ្ឋាននីតិប្បញ្ញត្តិនៃគោលនយោបាយនេះគឺរដ្ឋធម្មនុញ្ញនៃសហព័ន្ធរុស្ស៊ី ក្រមរដ្ឋប្បវេណី និងព្រហ្មទណ្ឌ ច្បាប់ ក្រឹត្យ ដំណោះស្រាយ។ល។ បទប្បញ្ញត្តិច្បាប់បច្ចុប្បន្ននៃសហព័ន្ធរុស្ស៊ី ឯកសារនៃគណៈកម្មការបច្ចេកទេសរដ្ឋក្រោមប្រធានសហព័ន្ធរុស្ស៊ី ទីភ្នាក់ងារសហព័ន្ធសម្រាប់ការទំនាក់ទំនង និងព័ត៌មានរបស់រដ្ឋាភិបាលក្រោមប្រធានសហព័ន្ធរុស្ស៊ី។

គោល​ន​យោ​បាយ​គឺ​ជា​មូល​ដ្ឋាន​នៃ​វិធីសាស្ត្រ​សម្រាប់៖

· ការបង្កើត និងការអនុវត្តគោលនយោបាយបង្រួបបង្រួមក្នុងវិស័យសន្តិសុខព័ត៌មាននៅក្នុងធនាគារ។

· ធ្វើការសម្រេចចិត្តគ្រប់គ្រង និងបង្កើតវិធានការជាក់ស្តែង ដើម្បីអនុវត្តគោលនយោបាយសន្តិសុខព័ត៌មាន និងបង្កើតសំណុំនៃវិធានការសម្របសម្រួលដែលមានគោលបំណងកំណត់ លុបបំបាត់ និងលុបបំបាត់ផលវិបាកនៃការអនុវត្តប្រភេទផ្សេងៗនៃការគំរាមកំហែងសន្តិសុខព័ត៌មាន។

· ការសម្របសម្រួលនៃសកម្មភាព ការបែងចែករចនាសម្ព័ន្ធធនាគារនៅពេលអនុវត្តការងារលើការបង្កើត ការអភិវឌ្ឍន៍ និងប្រតិបត្តិការនៃបច្ចេកវិទ្យាព័ត៌មាន ដោយអនុលោមតាមតម្រូវការសម្រាប់ការធានាសុវត្ថិភាពព័ត៌មាន។

· ការបង្កើតសំណើសម្រាប់ការកែលម្អច្បាប់ និយតកម្ម បច្ចេកទេស និងសុវត្ថិភាពអង្គភាពនៃព័ត៌មាននៅក្នុងធនាគារ។

វិធីសាស្រ្តប្រព័ន្ធក្នុងការកសាងប្រព័ន្ធសន្តិសុខព័ត៌មាននៅក្នុងធនាគារ ពាក់ព័ន្ធនឹងការគិតគូរពីធាតុផ្សំ អន្តរកម្ម និងពេលវេលាផ្លាស់ប្តូរទាំងអស់ ដែលមានសារៈសំខាន់សម្រាប់ការយល់ដឹង និងដោះស្រាយបញ្ហានៃការធានាសុវត្ថិភាពព័ត៌មានរបស់ធនាគារ។

ការធានាសុវត្ថិភាពព័ត៌មាន- ដំណើរការដែលធ្វើឡើងដោយអ្នកគ្រប់គ្រងរបស់ធនាគារ អង្គភាពសន្តិសុខព័ត៌មាន និងបុគ្គលិកគ្រប់លំដាប់ថ្នាក់។ នេះមិនត្រឹមតែជានីតិវិធី ឬគោលនយោបាយដែលត្រូវបានអនុវត្តក្នុងរយៈពេលជាក់លាក់ណាមួយ ឬដំណោះស្រាយមួយប៉ុណ្ណោះទេ ប៉ុន្តែដំណើរការដែលត្រូវតែបន្តជានិច្ចនៅគ្រប់កម្រិតទាំងអស់នៅក្នុងធនាគារ ហើយនិយោជិតគ្រប់រូបរបស់ធនាគារត្រូវតែចូលរួម។ នៅក្នុងដំណើរការនេះ។ សកម្មភាពសន្តិសុខព័ត៌មានគឺជាផ្នែកសំខាន់មួយនៃសកម្មភាពប្រចាំថ្ងៃរបស់ធនាគារ។ ហើយប្រសិទ្ធភាពរបស់វាអាស្រ័យលើការចូលរួមពីអ្នកគ្រប់គ្រងរបស់ធនាគារក្នុងការធានាសុវត្ថិភាពព័ត៌មាន។

លើសពីនេះ មធ្យោបាយការពាររូបវន្ត និងបច្ចេកទេសភាគច្រើនទាមទារការគាំទ្រពីស្ថាប័ន (រដ្ឋបាល) ជាប្រចាំ ដើម្បីអនុវត្តមុខងាររបស់ពួកគេប្រកបដោយប្រសិទ្ធភាព (ការផ្លាស់ប្តូរទាន់ពេលវេលា និងធានាបាននូវការផ្ទុកត្រឹមត្រូវ និងការប្រើប្រាស់ឈ្មោះ ពាក្យសម្ងាត់ សោអ៊ិនគ្រីប ការកំណត់ឡើងវិញនៃអំណាច។ល។)។ ការរំខាននៅក្នុងប្រតិបត្តិការឧបករណ៍ការពារអាចត្រូវបានប្រើប្រាស់ដោយអ្នកវាយប្រហារដើម្បីវិភាគវិធីសាស្ត្រ និងមធ្យោបាយការពារដែលបានប្រើ ដើម្បីណែនាំកម្មវិធីពិសេស និងផ្នែករឹង "ចំណាំ" និងមធ្យោបាយផ្សេងទៀតនៃការយកឈ្នះលើការការពារ។

ទំនួលខុសត្រូវផ្ទាល់ខ្លួនសន្មត់ថាការចាត់តាំងនៃការទទួលខុសត្រូវសម្រាប់ការធានាសុវត្ថិភាពនៃព័ត៌មាន និងប្រព័ន្ធសម្រាប់ដំណើរការរបស់វាដល់បុគ្គលិកម្នាក់ៗក្នុងដែនកំណត់នៃសិទ្ធិអំណាចរបស់គាត់។ អនុលោមតាមគោលការណ៍នេះ ការចែកចាយសិទ្ធិ និងកាតព្វកិច្ចរបស់និយោជិតត្រូវបានបង្កើតឡើងតាមរបៀបដែលក្នុងករណីមានការរំលោភបំពានណាមួយ រង្វង់ជនល្មើសត្រូវបានគេស្គាល់យ៉ាងច្បាស់ ឬកាត់បន្ថយជាអប្បបរមា។

Alfa-Bank តាមដានសកម្មភាពរបស់អ្នកប្រើប្រាស់ជានិច្ច ឧបករណ៍សុវត្ថិភាពនីមួយៗ និងទាក់ទងនឹងវត្ថុនៃការការពារណាមួយគួរតែត្រូវបានអនុវត្តដោយឈរលើមូលដ្ឋាននៃការប្រើប្រាស់ឧបករណ៍ត្រួតពិនិត្យប្រតិបត្តិការ និងការចុះឈ្មោះ ហើយគួរតែគ្របដណ្តប់ទាំងសកម្មភាពដែលគ្មានការអនុញ្ញាត និងការអនុញ្ញាតពីអ្នកប្រើប្រាស់។

ធនាគារបានបង្កើតឯកសាររៀបចំ និងរដ្ឋបាលដូចខាងក្រោម៖

· បទប្បញ្ញត្តិស្តីពីអាថ៌កំបាំងពាណិជ្ជកម្ម។ បទប្បញ្ញត្តិនេះគ្រប់គ្រងស្ថាប័ន នីតិវិធីសម្រាប់ធ្វើការជាមួយព័ត៌មានដែលបង្កើតជាសម្ងាត់ពាណិជ្ជកម្មរបស់ធនាគារ ភារកិច្ច និងការទទួលខុសត្រូវរបស់និយោជិតដែលបានទទួលយកព័ត៌មាននេះ នីតិវិធីសម្រាប់ការផ្ទេរសម្ភារៈដែលមានព័ត៌មានដែលបង្កើតជាអាថ៌កំបាំងពាណិជ្ជកម្មរបស់ធនាគារទៅជារដ្ឋ (ពាណិជ្ជកម្ម)។ ស្ថាប័ននិងអង្គការ;

· បញ្ជីព័ត៌មានដែលបង្កើតជាអាថ៌កំបាំងផ្លូវការ និងពាណិជ្ជកម្ម។ បញ្ជីកំណត់ព័ត៌មានដែលត្រូវបានចាត់ថ្នាក់ជាការសម្ងាត់ កម្រិត និងពេលវេលានៃការរឹតបន្តឹងលើការចូលប្រើព័ត៌មានដែលត្រូវបានការពារ។

· បទបញ្ជា និងសេចក្តីណែនាំ ដើម្បីបង្កើតរបបសន្តិសុខព័ត៌មាន៖

· ការទទួលយកនិយោជិតឱ្យធ្វើការជាមួយនឹងព័ត៌មានកំហិត;

· ការតែងតាំងអ្នកគ្រប់គ្រង និងអ្នកទទួលខុសត្រូវក្នុងការធ្វើការជាមួយព័ត៌មានដែលមានកម្រិតនៅក្នុងប្រព័ន្ធព័ត៌មានសាជីវកម្ម។

· សេចក្តីណែនាំ និងទំនួលខុសត្រូវរបស់និយោជិត៖

· ស្តីពីការរៀបចំរបបចូលប្រើសុវត្ថិភាព;

· ស្តីពីការរៀបចំការងារការិយាល័យ;

· ការគ្រប់គ្រងធនធានព័ត៌មាននៃប្រព័ន្ធព័ត៌មានសាជីវកម្ម;

· ឯកសារបទប្បញ្ញត្តិផ្សេងទៀត។

សេចក្តីសន្និដ្ឋាន

សព្វថ្ងៃនេះបញ្ហានៃការរៀបចំសន្តិសុខព័ត៌មានគឺជាការព្រួយបារម្ភចំពោះអង្គការគ្រប់កម្រិត - ពីសាជីវកម្មធំ ៗ ដល់សហគ្រិនដោយមិនបង្កើតនីតិបុគ្គល។ ការប្រកួតប្រជែងក្នុងទំនាក់ទំនងទីផ្សារទំនើបគឺនៅឆ្ងាយពីភាពល្អឥតខ្ចោះ ហើយជារឿយៗមិនត្រូវបានអនុវត្តតាមវិធីស្របច្បាប់បំផុតនោះទេ។ ចារកម្មឧស្សាហកម្មរីកចំរើន។ ប៉ុន្តែករណីនៃការផ្សព្វផ្សាយព័ត៌មានដោយអចេតនាទាក់ទងនឹងការសម្ងាត់ពាណិជ្ជកម្មរបស់អង្គការមិនមែនជារឿងចម្លែកនោះទេ។ តាមក្បួនមួយការធ្វេសប្រហែសរបស់និយោជិតការខ្វះខាតការយល់ដឹងអំពីស្ថានភាពរបស់ពួកគេនិយាយម្យ៉ាងទៀត "កត្តាមនុស្ស" ដើរតួនៅទីនេះ។

Alfa-Bank ធានានូវការការពារព័ត៌មានខាងក្រោម៖

សម្ងាត់ពាណិជ្ជកម្ម

ទិន្នន័យផ្ទាល់ខ្លួន (អតិថិជន បុគ្គលិកធនាគារ)

ការសម្ងាត់ធនាគារ

ឯកសារធនាគារ (របាយការណ៍របស់នាយកដ្ឋានសន្តិសុខ ការប៉ាន់ប្រមាណប្រចាំឆ្នាំរបស់ធនាគារ ព័ត៌មានអំពីប្រាក់ចំណូលរបស់បុគ្គលិកធនាគារ។ល។)

ព័ត៌មាននៅក្នុងធនាគារត្រូវបានការពារដោយការគំរាមកំហែងដូចជា៖

ធម្មជាតិ

· ការគំរាមកំហែងសិប្បនិម្មិត (ដោយអចេតនា (អចេតនា) ការគំរាមកំហែងដែលបណ្តាលមកពីកំហុសក្នុងការរចនាប្រព័ន្ធព័ត៌មាន និងធាតុផ្សំរបស់វា កំហុសក្នុងសកម្មភាពរបស់បុគ្គលិក។ អ្នកឈ្លានពាន) ។

ប្រភពនៃការគំរាមកំហែងទាក់ទងនឹងប្រព័ន្ធព័ត៌មានខ្លួនឯងអាចមានទាំងខាងក្រៅ និងខាងក្នុង។

គន្ថនិទ្ទេស

1. ក្រឹត្យរបស់ប្រធានសហព័ន្ធរុស្ស៊ី "ស្តីពីវិធានការធានាសន្តិសុខព័ត៌មាននៃសហព័ន្ធរុស្ស៊ីនៅពេលប្រើប្រាស់បណ្តាញព័ត៌មាននិងទូរគមនាគមន៍នៃការផ្លាស់ប្តូរព័ត៌មានអន្តរជាតិ" ចុះថ្ងៃទី 17 ខែមីនាឆ្នាំ 2008 លេខ 351;

Galatenko, V.A. មូលដ្ឋានគ្រឹះនៃសន្តិសុខព័ត៌មាន។ សាកលវិទ្យាល័យអ៊ីនធឺណែតនៃបច្ចេកវិទ្យាព័ត៌មាន។ INTUIT ru, 2008;

Galatenko, V.A. ស្តង់ដារសុវត្ថិភាពព័ត៌មាន។ សាកលវិទ្យាល័យអ៊ីនធឺណែតនៃបច្ចេកវិទ្យាព័ត៌មាន។ INTUIT ru, 2005;

Lopatin, V.N. សន្តិសុខព័ត៌មាននៃប្រទេសរុស្ស៊ី៖ បុរសសង្គមរដ្ឋ។ ស៊េរី៖ សន្តិសុខរបស់មនុស្ស និងសង្គម។ M. : 2000. - 428 ទំ។ ;

Shangin, V.F. ការការពារព័ត៌មានកុំព្យូទ័រ។ មធ្យោបាយ និងមធ្យោបាយដ៏មានប្រសិទ្ធភាព។ M.: DMK Press, 2008. - 544 ទំ។

Shcherbakov, A.Yu. សុវត្ថិភាពកុំព្យូទ័រទំនើប។ មូលដ្ឋានទ្រឹស្តី។ ទិដ្ឋភាពជាក់ស្តែង។ M. : Knizhny Mir, 2009. - 352 ទំ។

ទស្សនាវដ្តី ពេលវេលាស្របច្បាប់ , បោះពុម្ពចុះថ្ងៃទី ២១ ខែតុលា ឆ្នាំ ២០១៣

សេចក្តីណែនាំសម្រាប់ធ្វើការជាមួយឯកសារសម្ងាត់នៅក្នុងធនាគារ

ការបង្រៀន

ត្រូវការជំនួយក្នុងការរៀនប្រធានបទមួយ?

អ្នកជំនាញរបស់យើងនឹងផ្តល់ប្រឹក្សា ឬផ្តល់សេវាកម្មបង្រៀនលើប្រធានបទដែលអ្នកចាប់អារម្មណ៍។
ដាក់ស្នើកម្មវិធីបង្ហាញពីប្រធានបទឥឡូវនេះ ដើម្បីស្វែងយល់អំពីលទ្ធភាពនៃការទទួលបានការពិគ្រោះយោបល់។

ក្រុមហ៊ុនជាច្រើនតែងតែធ្វេសប្រហែសចំពោះបញ្ហាសន្តិសុខតាមអ៊ីនធឺណិត ហើយទទួលរងការខាតបង់ជាច្រើនលានដុល្លារជាលទ្ធផល។ នៅក្នុងគម្រោងពិសេសថ្មីមួយ អ្នកជំនាញគេហទំព័រនឹងប្រាប់អ្នកពីវិធីការពារការវាយប្រហារដោយអ្នកឈ្លានពានដោយមិនបំពានលើសេរីភាពរបស់បុគ្គលិក។

អាជីវកម្មនេះស្ថិតនៅក្រោមការវាយប្រហារតាមអ៊ីនធឺណិតឥតឈប់ឈរនៃអ្នកឈ្លានពាន គោលបំណងគឺដើម្បីលុបគណនីរបស់ក្រុមហ៊ុន ឬលួចទិន្នន័យរបស់អតិថិជនរបស់ខ្លួន។

15:33 15.07.2019

ក្រុមហ៊ុនរុស្ស៊ីជាច្រើនភ្លេចអំពីវិធានការសន្តិសុខតាមអ៊ីនធឺណិតជាមូលដ្ឋាននៃទ្រព្យសកម្មឧស្សាហកម្មរបស់ពួកគេ ហើយត្រូវបង្ខំចិត្តចំណាយប្រាក់យ៉ាងច្រើនដើម្បីទប់ទល់នឹងផលវិបាកនៃការវាយប្រហារ ទោះបីជាមានដំណោះស្រាយសាមញ្ញជាងក៏ដោយ។

កាលពីមួយឆ្នាំមុន ក្រុមហ៊ុនរុស្ស៊ី និងបរទេសជាច្រើនបានក្លាយជាជនរងគ្រោះនៃការវាយប្រហារតាមអ៊ីនធឺណិតទ្រង់ទ្រាយធំ WannaCry និង ExPetr ។ ចាប់តាំងពីពេលនោះមកមិនមានករណីបែបនេះទេ - តើនេះមានន័យថាអាជីវកម្មបានក្លាយទៅជាទំនួលខុសត្រូវកាន់តែច្រើនសម្រាប់សន្តិសុខតាមអ៊ីនធឺណិតឬតើស្ថានភាពបានផ្លាស់ប្តូរតាមរបៀបផ្សេងទៀតដែរឬទេ? ប្រធាន Kaspersky Industrial CyberSecurity បានប្រាប់អំពីពួកគេ។

វាជាការសំខាន់ណាស់ដែលត្រូវយល់ថាការវាយប្រហារទាំងនេះមិនត្រូវបានកំណត់គោលដៅលើឧស្សាហកម្មនេះទេ ប៉ុន្តែ "បានភ្ជាប់" វា។ ជាធម្មតាការវាយប្រហារតាមអ៊ីនធឺណេតដែលមានទម្រង់ខ្ពស់កើតឡើងដោយសារតែការរួមបញ្ចូលគ្នានៃកត្តាជាច្រើន។ ក្នុងករណីនេះ ការលាតត្រដាងជាសាធារណៈអំពីភាពងាយរងគ្រោះនៅក្នុងប្រព័ន្ធប្រតិបត្តិការ Windows ទូទៅ និងការមិនមានឆន្ទៈរបស់អ្នកប្រើប្រាស់ក្នុងការជួសជុលវាឱ្យបានឆាប់រហ័សលើមាត្រដ្ឋានសហគ្រាសបានដើរតួនាទីមួយ។ អវត្ដមាននៃករណីបែបនេះឥឡូវនេះមិនមានពាក់ព័ន្ធនឹងការពិតដែលថាក្រុមហ៊ុនបានក្លាយទៅជាការទទួលខុសត្រូវបន្ថែមទៀតសម្រាប់សុវត្ថិភាពរបស់ពួកគេ។

អាជីវកម្មទាំងនោះដែលត្រូវបានរងផលប៉ះពាល់ដោយ WannaCry ឬកន្លែងដែលយើងបានស៊ើបអង្កេតឧប្បត្តិហេតុ និងបានធ្វើការណែនាំដើម្បីកែលម្អការការពារបានចាត់វិធានការមួយចំនួន។ ជាមួយនឹងកម្រិតខ្ពស់នៃប្រូបាប៊ីលីតេ យើងអាចនិយាយបានថាពួកគេនឹងមិនមានការវាយប្រហារដូចគ្នាម្តងទៀតនោះទេ។

ប៉ុន្តែនៅក្នុងក្រុមហ៊ុនភាគច្រើន គ្មានអ្វីផ្លាស់ប្តូរទេ ទោះបីជាពួកគេដឹងយ៉ាងច្បាស់អំពីហានិភ័យ ហើយមានឧប្បត្តិហេតុគ្រប់គ្រាន់រួចទៅហើយ។

ដំណឹងល្អសម្រាប់សហគ្រាសរុស្ស៊ីគឺការលេចឡើងនៃលេខ 187-FZ "ស្តីពីសុវត្ថិភាពនៃហេដ្ឋារចនាសម្ព័ន្ធព័ត៌មានសំខាន់ៗ" ។ វាក៏អនុវត្តចំពោះប្រព័ន្ធស្វ័យប្រវត្តិកម្មដំណើរការឧស្សាហកម្មផងដែរ។ នៅក្នុងប្រទេសរុស្ស៊ីច្បាប់នេះគឺជាអ្នកបើកបរដ៏មានឥទ្ធិពលបំផុតក្នុងការកសាងប្រព័ន្ធការពារពិតប្រាកដ។ វាចូលជាធរមាននៅដើមឆ្នាំ 2018 និងនៅឆ្នាំ 2019-2021។ យើង​នឹង​ឃើញ​ការ​កើន​ឡើង​នៃ​សុវត្ថិភាព​រួច​ទៅ​ហើយ។

តើការគំរាមកំហែងសំខាន់ៗឥឡូវនេះជាអ្វី?

មូលហេតុទូទៅបំផុតនៃការឆ្លងនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធឧស្សាហកម្មគឺមេរោគ banal ។ ជាទូទៅ ទាំងនេះគឺជា "Trojans" ដែលទៅដល់ទីនោះដោយចៃដន្យ។ អ្នកមិនចាំបាច់ជាគោលដៅដើម្បីក្លាយជាជនរងគ្រោះទេ។

ភាពផ្ទុយគ្នាគឺជាក់ស្តែង៖ នៅពេលដែលពួកគេអនុម័តច្បាប់ និងនិយាយអំពីសុវត្ថិភាពតាមអ៊ីនធឺណិត ជាទូទៅពួកគេភាគច្រើនព្រួយបារម្ភអំពីការវាយប្រហាររបស់អ្នកវាយប្រហារដែលមានការលើកទឹកចិត្ត និងមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់ ពួកគេខ្លាចការវាយប្រហារតាមគោលដៅ។ ប៉ុន្តែឥឡូវនេះ ភាពចាស់ទុំនៃសន្តិសុខតាមអ៊ីនធឺណែតឧស្សាហកម្មគឺដូចជាក្រុមហ៊ុនអនុញ្ញាតឱ្យមានការឆ្លងមេរោគដោយហាមប្រាមជាមួយនឹងមេរោគដ៏ធំ។

តើអ្នកអាចរាយបញ្ជីការវាយប្រហារដែលចង់ដឹងចង់ឃើញបែបនេះបានទេ?

កម្មវិធីព្យាបាទត្រូវបានសរសេរដោយមនុស្ស និងមិនតែងតែមានគុណភាពខ្ពស់នោះទេ វាមានកំហុស។

ឧប្បត្តិហេតុនៅក្នុងបណ្តាញឧស្សាហកម្មភាគច្រើនកើតឡើងដោយសារតែការឆ្លងដោយចៃដន្យ៖ អ្នកម៉ៅការបានភ្ជាប់កុំព្យូទ័រយួរដៃជាមួយមេរោគទៅបណ្តាញសុវត្ថិភាព និយោជិតម្នាក់ត្រូវបានផ្តល់ការចូលប្រើពីចម្ងាយ ... មេរោគអាចបង្កឱ្យមានការបដិសេធសេវាកម្ម ការបរាជ័យឧបករណ៍ បញ្ឈប់ដំណើរការ ទោះបីជា នេះមិនកើតឡើងដោយចេតនាទេ។

ជាឧទាហរណ៍ កំណែមួយក្នុងចំណោមកំណែទាំងបីរបស់ WannaCry មិនអាចអ៊ិនគ្រីបបានទេ ប៉ុន្តែត្រូវគ្នាយ៉ាងលំបាកជាមួយ Windows XP ដែលជាលទ្ធផលដែលប្រព័ន្ធបានធ្លាក់ចូលទៅក្នុងអេក្រង់ពណ៌ខៀវស្លាប់។ ក្នុង​ករណី​មួយ​ចំនួន វា​ជា​ការ​ចាំបាច់​ដើម្បី​ដោះស្រាយ​បញ្ហា​នេះ ហើយ​មិនមែន​ជាមួយ​នឹង​ការ​អ៊ិនគ្រីប​ក្នុង​បណ្តាញ​ឧស្សាហកម្ម​ទេ។

តើ​មាន​ការ​ប្រុង​ប្រយ័ត្ន​អ្វី​ខ្លះ​ដែល​អាច​ត្រូវ​បាន​ធ្វើ​ដើម្បី​កាត់​បន្ថយ​លទ្ធភាព​នៃ​ការ​កើត​ឡើង​បែប​នេះ?

ការយល់ដឹងរបស់និយោជិតកាន់តែខ្ពស់អំពីប្រភេទជាក់លាក់នៃការវាយប្រហារតាមអ៊ីនធឺណិត វាកាន់តែងាយស្រួលក្នុងការជៀសវាងពួកគេ។

កាលពី 8-10 ឆ្នាំមុននៅពេលដែលអ្នកឯកទេសភាគច្រើននៃសហគ្រាសឧស្សាហកម្មបានទទួលការអប់រំប្រព័ន្ធឧស្សាហកម្មត្រូវបានវាយប្រហារតិចជាងមុន - តាមក្បួនមួយពួកគេនៅដាច់ដោយឡែកពីពិភពខាងក្រៅ។ ប៉ុន្តែក្នុងប៉ុន្មានឆ្នាំថ្មីៗនេះ តាមសំណើអាជីវកម្ម បណ្តាញឧស្សាហកម្មកំពុងត្រូវបានដាក់បញ្ចូលជាមួយក្រុមហ៊ុនសាជីវកម្ម ឧទាហរណ៍ ដើម្បីគ្រប់គ្រងការបញ្ជាទិញ និងខ្សែសង្វាក់ផ្គត់ផ្គង់។ អ្នកម៉ៅការទទួលបានបណ្តាញបច្ចេកវិទ្យាដើម្បីផ្តល់សេវាកម្មដល់សហគ្រាសឧស្សាហកម្មកាន់តែលឿន។ បណ្តាញកំពុងប្រឈមមុខនឹងការគំរាមកំហែងតាមអ៊ីនធឺណិតយ៉ាងទូលំទូលាយ។

ការគំរាមកំហែងទាំងនេះកំពុងត្រូវបានដោះស្រាយដោយជោគជ័យនៅក្នុងផ្នែកសាជីវកម្ម ប៉ុន្តែវិស្វករ និងអ្នកវាស់ស្ទង់មិនបានជួបប្រទះពួកគេពីមុនមកទេ។

វាមានតម្លៃប្រាប់ពួកគេអំពីសំណួរជាមូលដ្ឋាន៖ តើសំបុត្រក្លែងក្លាយ ឬមេរោគមើលទៅដូចអ្វីនៅលើ flash drive ហេតុអ្វីបានជាអ្នកមិនអាចសាកថ្មបាន ទូរស័ព្ទចល័តពីផ្ទាំងបញ្ជារបស់ម៉ាស៊ីន ហេតុអ្វីបានជាចាំបាច់ត្រូវហៅទូរស័ព្ទទៅ "សន្តិសុខ" នៅពេលផ្តល់ការចូលប្រើពីចម្ងាយទៅកាន់អ្នកម៉ៅការ...

ប្រសិនបើនិយោជិតបានដឹងអំពីសក្តានុពលនៃការជ្រៀតចូល និងផលវិបាករបស់ពួកគេ ពួកគេនឹងមិនធ្វើរឿងបែបនេះទេ។ នេះគឺជាវិធានការដំបូង រហ័ស និងថោកបំផុត។

នៅ Kaspersky Lab យើងឃើញបេសកកម្មរបស់យើងមិនត្រឹមតែក្នុងការអភិវឌ្ឍន៍ផលិតផលដែលអនុញ្ញាតឱ្យយើងការពារការវាយប្រហារ ឬរកឃើញពួកវាប៉ុណ្ណោះទេ ប៉ុន្តែក៏មាននៅក្នុង ការអប់រំវិជ្ជាជីវៈ. ដើម្បីធ្វើដូច្នេះ យើងចាប់ផ្តើមភាពជាដៃគូជាមួយមជ្ឈមណ្ឌលបណ្តុះបណ្តាល និងសាកលវិទ្យាល័យដែល "និយាយ" ភាសារបស់វិស្វករ។ នៅប្រទេសរុស្ស៊ី ដៃគូរបស់យើងគឺ Abiroy ដែលបានបណ្តុះបណ្តាលវិជ្ជាជីវៈក្នុងបរិយាកាសឧស្សាហកម្មអស់រយៈពេលជាច្រើនឆ្នាំ ហើយឥឡូវនេះក៏នៅក្នុងវិស័យសន្តិសុខតាមអ៊ីនធឺណិតផងដែរ។ នៅអឺរ៉ុប កាលពីប៉ុន្មានខែមុន យើងបានប្រកាសពីភាពជាដៃគូជាមួយវិទ្យាស្ថាន Fraunhofer IOSB ឥឡូវនេះវគ្គសិក្សាសុវត្ថិភាពព័ត៌មានរបស់យើងមាននៅក្នុងផលប័ត្ររបស់ពួកគេ ហើយពួកគេផ្តល់ឱ្យយើងនូវការយល់ដឹងកាន់តែស៊ីជម្រៅអំពីជាក់លាក់នៃឧស្សាហកម្មនេះ។

ជាចុងក្រោយយើងមិនគួរភ្លេចអំពីវិធានការបច្ចេកទេសជាមូលដ្ឋាននោះទេ។ កំចាត់មេរោគ ឧបករណ៍ចូលប្រើពីចម្ងាយ ការបែងចែកបណ្តាញមានប្រសិទ្ធភាពណាស់ក្នុងការការពារ។

តើដំណោះស្រាយថាមពល និងហិរញ្ញវត្ថុមានតម្លៃប៉ុន្មាន ដើម្បីប្រយុទ្ធប្រឆាំងនឹងហានិភ័យតាមអ៊ីនធឺណិតនៅក្នុងឧស្សាហកម្ម?

ការលំបាកក្នុងការរចនាគឺជាបញ្ហាពិត។ តោះស្រមៃមើលបណ្តាញឧស្សាហកម្មដែលបានសាងសង់កាលពីប្រាំបីឆ្នាំមុនដែលត្រូវបានភ្ជាប់ទៅបណ្តាញសាជីវកម្មសម្រាប់គោលបំណងនៃការចូលប្រើពីចម្ងាយឬការបញ្ជូនទិន្នន័យ។ សក្តានុភាព អ្នកអាចជ្រៀតចូលវាបាន ឈានដល់កម្រិតនៃឧបករណ៍បញ្ជាតក្កវិជ្ជាដែលអាចសរសេរកម្មវិធីបាន ផ្លាស់ប្តូរតក្កវិជ្ជានៃការគ្រប់គ្រងដំណើរការ និងបិទពួកវា។ ប៉ុន្តែជាញឹកញាប់បណ្តាញឧស្សាហកម្មនៅកម្រិតទាបត្រូវបានបង្កើតឡើងនៅលើឧបករណ៍បណ្តាញដែលមិនអាចគ្រប់គ្រងបាន ដែលវាមិនអាចទៅរួចទេក្នុងការរៀបចំការឆ្លុះបញ្ចាំងចរាចរណ៍ដើម្បីភ្ជាប់ប្រព័ន្ធរាវរកការឈ្លានពាន។ ជាលទ្ធផលវាអាចទៅរួចក្នុងការជ្រៀតចូលបណ្តាញបែបនេះប៉ុន្តែវាពិបាកណាស់ក្នុងការរកឃើញការវាយប្រហារបែបនេះ។

ក្នុងករណីជាច្រើន ដើម្បីអនុវត្តវិធានការការពារទាំងអស់ អ្នកត្រូវធ្វើបណ្តាញទាំងមូលឡើងវិញ។ ប៉ុន្តែពិភពឧស្សាហកម្មមានច្បាប់ផ្ទាល់ខ្លួន៖ "វាដំណើរការ - អ្នកមិនចាំបាច់ឡើងភ្នំទេ" ។

វាមានវដ្តនៃការធ្វើទំនើបកម្មផ្ទាល់ខ្លួន ហើយបណ្តាញអាចត្រូវបានសាងសង់ដោយយោងទៅតាមច្បាប់ថ្មីដែលមានសុវត្ថិភាពក្នុងរយៈពេល 5-10 ឬសូម្បីតែ 15 ឆ្នាំ។ វាជាការលំបាកខ្លាំងណាស់ក្នុងការការពារហេដ្ឋារចនាសម្ព័ន្ធចាស់ជាមួយនឹងមធ្យោបាយទំនើប៖ ដើម្បីដំឡើងឧបករណ៍រកឃើញការឈ្លានពានក្នុងតម្លៃ 50,000 ដុល្លារ អ្នកត្រូវបង្កើតគម្រោងដើម្បីធ្វើឱ្យប្រសើរឡើងបណ្តាញក្នុងតម្លៃ 500,000 ដុល្លារផ្សេងទៀត។

ការលំបាកទីពីរគឺបុគ្គលិកដែលមានសមត្ថភាព។ មិនមានអ្នកឯកទេសច្រើនទេនៅក្នុងសន្តិសុខព័ត៌មាននៃប្រព័ន្ធគ្រប់គ្រងឧស្សាហកម្មនៅលើពិភពលោក ហើយសូម្បីតែច្រើនទៀតដូច្នេះនៅក្នុងតំបន់រុស្ស៊ី ដែលពួកគេមានទីតាំងនៅជាចម្បង។ សហគ្រាសឧស្សាហកម្ម. ប្រព័ន្ធទំនើបប្រព័ន្ធសុវត្ថិភាពតាមអ៊ីនធឺណិតមានភាពស្មុគស្មាញក្នុងការប្រើប្រាស់ ហើយទាមទារឱ្យមានការយល់ដឹងអំពីរបៀបដែលការគំរាមកំហែងនឹងវិវត្តន៍។

ជា​ការ​ពិត​ណាស់​ក៏​មាន​បញ្ហា​ហិរញ្ញវត្ថុ​ដែរ។ គម្រោងដំបូងដើម្បីការពារហេដ្ឋារចនាសម្ព័ន្ធដែលបានសាងសង់រួចហើយមួយចំនួនធំមានតម្លៃថ្លៃ៖ សេវាកម្ម ការស្ទង់មតិ ការរចនា ការអនុវត្ត បុគ្គលិកថ្មី... មានក្រុមហ៊ុនជាច្រើននៅក្នុងប្រទេសរុស្ស៊ីដែលមានដើមទុនរបស់រដ្ឋដែលមិនអាចដំឡើងថ្លៃសេវា និងទំនិញរបស់ពួកគេបានយ៉ាងសាមញ្ញ។ ជាឧទាហរណ៍ ក្នុងវិស័យថាមពល ការវិនិយោគច្រើនពេកលើសន្តិសុខតាមអ៊ីនធឺណិតអាចឆ្លុះបញ្ចាំងនៅក្នុងវិក្កយបត្រអគ្គិសនីរបស់យើង។

ប៉ុន្តែ​ខ្ញុំ​ប្រាកដ​ថា​យើង​នឹង​ជម្នះ​បញ្ហា​នេះ ហើយ​ឈាន​ទៅ​កម្រិត​សុវត្ថិភាព​ថ្មី។ រឿងចំបងគឺត្រូវរក្សាកម្រិតសុវត្ថិភាពតាមអ៊ីនធឺណិតជានិច្ច នៅពេលដែលប្រព័ន្ធរបស់ពួកគេអភិវឌ្ឍ។

នៅអឺរ៉ុប ចំនួនកុំព្យូទ័រដែលទទួលរងការប៉ុនប៉ងឆ្លងដោយចៃដន្យគឺតិចជាងនៅរុស្ស៊ីច្រើន។ នៅក្នុងប្រទេសអភិវឌ្ឍន៍ ក្រុមហ៊ុនប្រើប្រាស់គំរូសេវាកម្មសម្រាប់ការថែរក្សាហេដ្ឋារចនាសម្ព័ន្ធឧស្សាហកម្ម៖ ក្រុមហ៊ុនផ្គត់ផ្គង់ប្រព័ន្ធស្វ័យប្រវត្តិកម្ម ឬអ្នករួមបញ្ចូលតែងតែរក្សាប្រព័ន្ធទាំងនេះជាជំហានៗ រួមទាំងការអនុវត្តវិធានការសន្តិសុខតាមអ៊ីនធឺណិតផងដែរ។ ដូច្នេះហើយ ក្រុមហ៊ុនលោកខាងលិចមានហេដ្ឋារចនាសម្ព័ន្ធដែលមានសុវត្ថិភាពជាងមុន ដោយមិនមានការចំណាយដ៏គួរឱ្យភ្ញាក់ផ្អើលដែលរីករាលដាលក្នុងរយៈពេលជាច្រើនឆ្នាំ។ នៅក្នុង​ប្រទេស​យើង ក្រុមហ៊ុន​ខ្លួនឯង​ទទួលខុសត្រូវ​លើ​ហេដ្ឋារចនាសម្ព័ន្ធ​ឧស្សាហកម្ម​របស់​ពួកគេ ហើយ​ធ្វើការ​តាម​គោលការណ៍ «​ប្រសិនបើ​ប្រព័ន្ធ​ដំណើរការ នោះ​មិនចាំបាច់​ដំឡើង​វា​ទេ​»​។ នេះជារបៀបដែល backlog ប្រមូលផ្តុំ ដែលពិតជា "ឈឺចាប់" ក្នុងការលុបបំបាត់។

តាមក្បួនមួយ តើដំណោះស្រាយដែលត្រៀមរួចជាស្រេចគឺសមរម្យសម្រាប់អតិថិជន ឬតើពួកគេត្រូវការគម្រោងបុគ្គលដោយសារតែប៉ារ៉ាម៉ែត្រមិនស្តង់ដារ?

អតិថិជនត្រូវការគម្រោងបុគ្គលដែលមាន "ឥដ្ឋ" នៃដំណោះស្រាយដែលត្រៀមរួចជាស្រេច។ ការងារសមាហរណកម្ម ការត្រួតពិនិត្យ និងការរចនាប្រព័ន្ធការពារមានសារៈសំខាន់ណាស់ ប៉ុន្តែវាគ្មានចំណុចណាក្នុងការរៀបចំឡើងវិញនូវការការពារឧស្សាហកម្មសម្រាប់ប្រព័ន្ធនីមួយៗនោះទេ។

ឥឡូវនេះ ឧស្សាហកម្មនេះកំពុងត្រូវបានបង្រួបបង្រួម៖ ពិធីការផ្ទេរទិន្នន័យស្តង់ដារ ប្រព័ន្ធប្រតិបត្តិការដូចគ្នាបេះបិទ... បាទ ពេលខ្លះបណ្តាញឧស្សាហ៍កម្មមិនធម្មតាកើតឡើង ប៉ុន្តែតាមក្បួនវាប្រែថាពួកវានឹងត្រូវបានធ្វើឱ្យប្រសើរឡើងនៅក្នុងប៉ុន្មានឆ្នាំខាងមុខនេះ។

ប្រសិនបើអ្នកត្រូវការការពារហេដ្ឋារចនាសម្ព័ន្ធតែមួយគត់ បន្ទាប់មកបន្ទាប់ពីការវិភាគដ៏ទូលំទូលាយ វាច្បាស់ថាវានឹងមានតម្លៃថោក និងត្រឹមត្រូវជាងមុនក្នុងការធ្វើវាក្នុងរយៈពេលពីរឆ្នាំ រួមជាមួយនឹងទំនើបកម្មរបស់វា ហើយមុននឹងអនុវត្តវិធានការសំណងណាមួយ។

អ្នកគ្រប់គ្រងតិចតួចដែលដឹងថាបុគ្គលិកគឺជា "ចំណុចចូល" ទៅកាន់ក្រុមហ៊ុនរបស់គាត់។ តើធ្វើដូចម្តេចដើម្បីលើកកម្ពស់សន្តិសុខតាមអ៊ីនធឺណិតដល់កម្រិតថ្មីមួយដើម្បីកុំឱ្យបុគ្គលិកចាត់ទុកថាវាជាការរឹតត្បិតសេរីភាព?

បញ្ហាសំខាន់មួយនៃសុវត្ថិភាពព័ត៌មានអាជីវកម្មគឺការយល់ដឹងមិនល្អរបស់និយោជិតអំពីហានិភ័យ។ តើ​វា​អាច​កើន​ឡើង​ដោយ​របៀប​ណា​?

ចំណេះដឹងសំខាន់ៗលើប្រធានបទនេះត្រូវបានចែករំលែកដោយប្រធានផ្នែកលក់សាជីវកម្មប្រចាំតំបន់» មន្ទីរពិសោធន៍ Kaspersky»:

អ្នកដែលដឹងតិចតួចអំពីការគំរាមកំហែងនៅតែត្រូវរៀនមូលដ្ឋានគ្រឹះនៃសុវត្ថិភាពតាមអ៊ីនធឺណិត ដើម្បីមានអារម្មណ៍ថាត្រូវបានការពារ។ យ៉ាងណាមិញ អ្នកគួរតែយល់ថាអក្សរណាដែលមិនគួរបើក តំណភ្ជាប់ណាដែលមិនគួរចុច កម្មវិធីណាដែលមិនគួរត្រូវបានទាញយក។

ទន្ទឹមនឹងនេះដែរ អ្នកគ្រប់គ្រងមួយចំនួនតូចយល់ថា បុគ្គលិកគឺជា “ចំណុចចូល” ទៅកាន់ក្រុមហ៊ុន៖ ជាពិសេសប្រសិនបើគាត់មានសិទ្ធិចូលប្រើប្រាស់ឯកសារ និង មូលដ្ឋានអតិថិជន. បុរសតែងតែជាតំណភ្ជាប់ខ្សោយបំផុត។

ការបណ្តុះបណ្តាលសុវត្ថិភាពតាមអ៊ីនធឺណិតតាមបែបប្រពៃណីមើលទៅដូចនេះ៖ មនុស្សម្នាក់ស្តាប់ការបណ្តុះបណ្តាលដែលមានរយៈពេលពីមួយទៅបីថ្ងៃ ចុះហត្ថលេខាលើឯកសារស្តីពីការសិក្សាដែលបានបញ្ចប់ហើយទៅធ្វើការ។ នៅក្នុងក្បាល ល្អបំផុត 10% នៃចំនេះដឹងដែលទទួលបានគឺត្រូវបានតំកល់ទុក ប្រសិនបើពួកគេមិនបានអនុវត្ត និងអនុវត្តជាក់ស្តែង។

នេះមិនមែនជាវិធីសាស្រ្តត្រឹមត្រូវទេ។ និយោជិតគ្រប់រូបគួរតែដឹងពីច្បាប់សុវត្ថិភាពតាមអ៊ីនធឺណិត ហើយអនុវត្តវា។ វិធីសាស្រ្តរបស់យើងពាក់ព័ន្ធនឹងការរៀនតាមអ៊ីនធឺណិត ព្រោះសព្វថ្ងៃនេះ វិធីងាយស្រួលបំផុតដើម្បីរៀនគឺនៅលើអ៊ីនធឺណិត។ "" បានបង្កើតវគ្គសិក្សាតាមអ៊ិនធរណេត ដែលអាចទាញយកបានដោយឥតគិតថ្លៃ ប្រសិនបើអ្នកមានបុគ្គលិកតិចជាងប្រាំនាក់ និងទទួលបានអាជ្ញាប័ណ្ណ ប្រសិនបើអ្នកមានច្រើនជាងនេះ។ អ្នកអាចតាមដានវឌ្ឍនភាពនៅក្នុងមជ្ឈមណ្ឌលបញ្ជាតែមួយ។

វគ្គសិក្សាមាន 32 ម៉ូឌុលសរុប។ នៅក្នុងម៉ូឌុលសំបុត្រ និយោជិតឃើញសំបុត្រគំរូដែលនិយាយអំពីការគំរាមកំហែងដែលអាចកើតមាន និងវិធានការសុវត្ថិភាពតាមអ៊ីនធឺណិត (ឧទាហរណ៍ អ្នកមិនអាចផ្តល់លេខកូដ PIN និងលេខកូដ CVV បានទេ ទោះបីជាធនាគារស្នើសុំពួកគេក៏ដោយ)។ បន្ទាប់​ពី​អ្នក​នោះ​អាន​សំបុត្រ​ហើយ គេ​សុំ​ឲ្យ​ប្រឡង​ចូល ទម្រង់ហ្គេម. ប្រសិនបើនិយោជិតជ្រើសរើសចម្លើយត្រឹមត្រូវ នោះគាត់ត្រូវបានលើកទឹកចិត្ត ហើយប្រសិនបើគាត់ជ្រើសរើសខុស នោះពួកគេពន្យល់ពីអ្វី និងមូលហេតុដែលគាត់ធ្វើខុស។

កិច្ចការជាក់ស្តែងបែបនេះទាមទារ 15 នាទីក្នុងមួយសប្តាហ៍ ហើយស្ទើរតែមិនរំខានបុគ្គលិកពីភារកិច្ចចម្បងរបស់គាត់។

បន្ទាប់ពីនិយោជិតឆ្លងកាត់ម៉ូឌុលបណ្តុះបណ្តាល សារមួយមកដល់ចំណុចត្រួតពិនិត្យ ហើយការត្រួតពិនិត្យត្រូវបានកំណត់ពេលបន្ទាប់ពីពីរបីសប្តាហ៍។ ប្រសិនបើមនុស្សម្នាក់មិនចុចលើតំណភ្ជាប់ព្យាបាទ ឬទាញយកកម្មវិធីគួរឱ្យសង្ស័យ នោះគាត់បានរៀនមេរៀនរបស់គាត់។

ប្រសិនបើនិយោជិតមានកំហុសដូចគ្នា នោះសញ្ញាមួយត្រូវបានបញ្ជូនទៅមជ្ឈមណ្ឌលបញ្ជា ដែលនិយោជិតត្រូវការមេរៀនម្តងទៀត ហើយធ្វើតេស្តម្តងទៀត។ ការបណ្តុះបណ្តាលបែបនេះធ្វើឡើងពេញមួយឆ្នាំ វាមានតម្លៃសមរម្យ និងងាយស្រួល។

តើសមាមាត្រនៃបុគ្គលិកដែលត្រូវរៀនមូលដ្ឋានគ្រឹះគឺជាអ្វី ហើយតើសមាមាត្រនៃអ្នកដែលរៀនសម្ភារៈដោយជោគជ័យជាលើកដំបូងនៅក្នុងដំណើរការសិក្សាគឺជាអ្វី?

យោងតាមស្ថិតិរបស់យើង 85% នៃបុគ្គលិករៀនអ្វីគ្រប់យ៉ាងជាលើកដំបូង។ ខ្ញុំគិតថាកម្មវិធីនេះនឹងមានប្រយោជន៍សម្រាប់អ្នករាល់គ្នា។ ការអភិវឌ្ឍន៍ត្រូវបានសាកល្បងលើបុគ្គលិករបស់ Kaspersky Lab ។ ខ្ញុំមិនដែលឆ្លងកាត់ម៉ូឌុលតែមួយត្រឹមត្រូវ 100% ទេ ទោះបីជាខ្ញុំបានធ្វើការនៅក្នុងទីផ្សារសន្តិសុខព័ត៌មានអស់រយៈពេល 12 ឆ្នាំក៏ដោយ។ សំណួរខ្លះហាក់ដូចជាអាចចូលបាន និងសាមញ្ញប៉ុណ្ណោះ។

បើកតំណភ្ជាប់គួរឱ្យសង្ស័យ - ឧទាហរណ៍សាមញ្ញបំផុត។. វាមិនមែនជាអាថ៌កំបាំងទេដែលមនុស្សគ្រប់គ្នាចូលចិត្ត បណ្ដាញ​សង្គមក្នុង ម៉ោង​ធ្វើការ. ស្រមៃថាមនុស្សម្នាក់ទទួលបានតំណភ្ជាប់ទៅវីដេអូគួរឱ្យចាប់អារម្មណ៍ពីមិត្តម្នាក់: 99% នៃមនុស្សនឹងបើកវានៅលើកុំព្យូទ័រការងារ ហើយមិនមែននៅក្នុងរបៀបសុវត្ថិភាពនោះទេ។ អ្វី​ដែល​ត្រូវ​បាន​ទាញ​យក​ស្រប​ជាមួយ​នឹង​វីដេអូ​នេះ​មិន​មាន​នរណា​ម្នាក់​ដឹង​។

ប្រហែល 30% នៃអាជីវកម្មខ្នាតតូចបានប្រគល់បញ្ហាសុវត្ថិភាពតាមអ៊ីនធឺណិតទៅឱ្យអ្នកដែលមិនជំនាញ។ តើ​ពួកគេ​គួរ​ប្រើ​មធ្យោបាយ​អ្វី​ដើម្បី​បង្កើន​សុវត្ថិភាព​របស់​ពួកគេ?

វាល្អហើយប្រសិនបើក្រុមហ៊ុនបែបនេះបានទិញកំចាត់មេរោគស្របច្បាប់។ រហូត​មក​ដល់​ពេល​នេះ មិន​មែន​អ្នក​រាល់​គ្នា​ប្រើ​សូម្បី​តែ​នេះ​ទេ។ ហើយអាជីវកម្មខ្នាតតូចត្រូវការយ៉ាងហោចណាស់អ្នកគ្រប់គ្រងប្រព័ន្ធពេញម៉ោងដែលនឹងធានានូវប្រតិបត្តិការនៃកុំព្យូទ័រទាំងអស់ និងការពារពួកគេពីមេរោគ និងការវាយប្រហារដែលអាចកើតមាន។

កំចាត់មេរោគជារឿយៗត្រូវបានចាត់ទុកជាថ្នាំលេប៖ ដោយសារវាមានស្រាប់ អ្នកពិតជាមិនអាចគិតអំពីសុវត្ថិភាពបានទេ ពួកគេនិយាយថា វានឹងធ្វើអ្វីៗគ្រប់យ៉ាងដោយខ្លួនឯង។

ជាអកុសល នេះមិនមែនដូច្នោះទេ។ កំចាត់មេរោគអាចប្រៀបធៀបទៅនឹងទ្វារដែកការពារគ្រាប់កាំភ្លើង។ មានកូនសោពីវា ហើយប្រសិនបើអ្នកបាត់វា ឬផ្តល់ឱ្យពួកគេទៅនរណាម្នាក់ នោះការការពារនឹងមិនដំណើរការទេ។ សម្រាប់ក្រុមហ៊ុនដែលមានការព្រួយបារម្ភយ៉ាងពិតប្រាកដអំពីសុវត្ថិភាពនៃព័ត៌មានរបស់ពួកគេ មានដំណោះស្រាយបន្ថែមទៀត កម្រិតខ្ពស់- ដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារគោលដៅ។ នៅពេលអ្នកវាយប្រហារដោយចេតនាចង់បើកការការពារ ជាធម្មតាគាត់មិនប្រើវិធីសាស្ត្រខ្លាំងៗទេ ប៉ុន្តែធ្វើការដោយស្ងប់ស្ងាត់៖ លួចលាក់ដោយសម្ងាត់ទៅកាន់កន្លែងដែលគាត់អាចទទួលបានព័ត៌មានចាំបាច់។ វាមិនមានប្រយោជន៍សម្រាប់គាត់ក្នុងការត្រូវបានរកឃើញរហូតដល់គាត់បានសម្រេចគោលដៅរបស់គាត់។ ស្ថានភាពស្រដៀងគ្នានេះត្រូវបានគេសង្កេតឃើញនៅក្នុង cyberspace ។ នៅក្នុងក្រុមហ៊ុនធំៗ អ្នកវាយប្រហារអាចរង់ចាំរាប់ខែ។

តើការវាយប្រហារដោយចេតនា ឬអចេតនាជារឿងធម្មតាទេ?

យើងសន្មត់ថាការវាយប្រហារដែលមានជំនាញខ្ពស់មានចំនួន 1% នៃការគំរាមកំហែងទាំងអស់។ ប៉ុន្តែពួកវាមានសារៈសំខាន់ខ្លាំងណាស់៖ ឧទាហរណ៍ មេរោគ ExPetr ត្រូវបានកំណត់គោលដៅលើក្រុមហ៊ុនមួយចំនួន ហើយក្នុងពេលដំណាលគ្នាប៉ះពាល់ដល់សហគ្រាសរាប់ពាន់ផ្សេងទៀត។ ពិភពលោកពោរពេញដោយបច្ចេកវិទ្យាព័ត៌មាន ហើយមនុស្សមកពីរចនាសម្ព័ន្ធផ្សេងៗគ្នាទំនាក់ទំនង និងប្រាស្រ័យទាក់ទងគ្នាទៅវិញទៅមក។

តើវិធានការអ្វីផ្សេងទៀតដែលអាចមានប្រសិទ្ធភាពក្នុងការប្រយុទ្ធប្រឆាំងនឹងការជ្រៀតជ្រែកដោយចេតនា? តើវាតែងតែអាចរកឃើញដំណើរការនេះ ឬតើវាកើតឡើងដែលពួកគេរៀនអំពីវាច្រើនខែ និងច្រើនឆ្នាំក្រោយ?

ដំណើរការគឺពិតជាអាចរកឃើញប្រសិនបើអ្នកធ្វើវា។ មានសេវាកម្មពិសេសសម្រាប់ត្រួតពិនិត្យបណ្តាញសាជីវកម្ម។ ជាមធ្យម ការវាយប្រហារដែលមានជំនាញខ្ពស់ត្រូវចំណាយពេលប្រាំមួយខែ៖ ដំបូង អ្នកវាយប្រហារចូលក្រុមហ៊ុនមួយ មើលជុំវិញ ហើយពីរបីខែក្រោយមក ឧទាហរណ៍ អ៊ិនគ្រីបកុំព្យូទ័រទាំងអស់ និងដកប្រាក់ពីគណនីក្នុងពេលដំណាលគ្នា។

ដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារតាមគោលដៅ អ្នកឯកទេសរបស់យើង ប្រសិនបើអតិថិជនចង់មើលចរាចរណ៍តាមអ៊ីនធឺណិត រាយការណ៍ពីសកម្មភាពគួរឱ្យសង្ស័យ និងសួរថាតើត្រូវធ្វើអ្វីជាមួយពួកគេ៖ អ្នកអាចទប់ស្កាត់សកម្មភាពរបស់អ្នកវាយប្រហារ ឬអ្នកអាចបង្កើតការក្លែងធ្វើហេដ្ឋារចនាសម្ព័ន្ធនៅក្នុងប្រព័ន្ធដើម្បីស្វែងរក ចេញពីចេតនារបស់អ្នកវាយប្រហារ។ ស្របគ្នានោះ អ្នកជំនាញកំពុងស៊ើបអង្កេត និងស្វែងរកប្រភពនៃការវាយប្រហារនេះ។

តើ​ក្រុមហ៊ុន​តូច ឬ​ធំ​ទំនង​ជា​ត្រូវ​បាន​គេ​កំណត់​គោលដៅ​ដោយ​ការ​វាយ​ប្រហារ​បែប​នេះ?

ទាំងរឿងនេះ និងរឿងនោះកើតឡើង។ ប៉ុន្តែដើម្បីវាយប្រហារក្រុមហ៊ុនធំមួយ អ្នកត្រូវទាក់ទាញអ្នកជំនាញដែលការងាររបស់ពួកគេមានតម្លៃថ្លៃ។ ហើយអាជីវកម្មធំមានប្រព័ន្ធសន្តិសុខតាមអ៊ីនធឺណិតទាំងមូល។ សម្រាប់អាជីវកម្មខ្នាតតូច ជារឿយៗដែនកំណត់នៃការការពារគឺកំចាត់មេរោគ។ ពេលខ្លះ ដើម្បីទៅដល់អង្គការធំ អ្នកវាយប្រហារវាយប្រហារអ្នកផ្គត់ផ្គង់របស់ពួកគេ។

វាមិនមែនជារឿងចម្លែកទេដែលការវាយប្រហារ មិនមែនបុគ្គលដែលមានកេរ្តិ៍ឈ្មោះខ្ពស់ មកពីអតីតនិយោជិតដែលអាក់អន់ចិត្ត ឬប្រហែលជាអ្នកម៉ៅការ។ ប្រហែលជាសូម្បីតែដោយអចេតនា។

ប្រសិនបើក្រុមហ៊ុនបានសាងសង់ប្រព័ន្ធសុវត្ថិភាព ករណីបែបនេះអាចត្រូវបានបង្រួមអប្បបរមា។ ប៉ុន្តែនៅក្នុងការអនុវត្ត មានឧទាហរណ៍នៅពេលដែលអ្នកគ្រប់គ្រងប្រព័ន្ធដែលត្រូវបានបណ្តេញចេញមិនត្រូវបានរារាំងពីការចូលប្រើ។ ជាឧទាហរណ៍ នៅក្នុងមជ្ឈមណ្ឌលភស្តុភារដ៏ធំមួយ អតីតបុគ្គលិកម្នាក់បានបិទម៉ាស៊ីនបោះពុម្ពទាំងអស់៖ ស្ទើរតែមួយថ្ងៃនៅក្នុងមជ្ឈមណ្ឌលនេះ ពួកគេមិនអាចផ្ញើ និងទទួលទំនិញបានទេ ដោយសារពួកគេមិនអាចបោះពុម្ពឯកសារតែមួយបាន។

វាចាំបាច់ក្នុងការចេញវេជ្ជបញ្ជានៅក្នុងវិធានការសុវត្ថិភាពដែលនៅពេលដែលនិយោជិតត្រូវបានបណ្តេញចេញការចូលទៅកាន់ប្រព័ន្ធត្រូវបានរារាំងសម្រាប់គាត់ពាក្យសម្ងាត់នៃប្រព័ន្ធសំខាន់ៗត្រូវបានផ្លាស់ប្តូរ។

មានករណីតែមួយគត់: នៅលើមួយ។ សហគ្រាសហិរញ្ញវត្ថុពាក្យសម្ងាត់ត្រូវបានទាមទារឱ្យផ្លាស់ប្តូរម្តងក្នុងមួយខែ។ សម្រាប់និយោជិតធម្មតា នេះគឺជាកាយវិការបន្ថែម ហើយមនុស្ស 95% បានបញ្ចូលលេខសម្ងាត់តាមគ្រោងការណ៍ "ខែ និងឆ្នាំ"។ នេះអនុញ្ញាត អតីត​បុគ្គលិកទាញយកអត្ថប្រយោជន៍ពីចន្លោះប្រហោង និងជ្រាបចូលទៅក្នុងបណ្តាញផ្ទៃក្នុងរបស់ក្រុមហ៊ុន។

ដោយវិធីនេះ ម៉ូឌុលមួយនៃវគ្គសិក្សាតាមអ៊ីនធឺណិត Kaspersky Lab គឺមិនត្រូវកំណត់ពាក្យសម្ងាត់ដូចជា "12345" ដូចដែលមនុស្សជាច្រើននៅតែធ្វើនោះទេ។

វាចាំបាច់ក្នុងការចងចាំមូលដ្ឋានគ្រឹះនៃសន្តិសុខតាមអ៊ីនធឺណិត៖ កុំប្រើបណ្តាញសង្គមពីកុំព្យូទ័រការងារ ប្រសិនបើពួកគេមិនត្រូវបានទាមទារសម្រាប់ការងារ។ ផ្លាស់ប្តូរពាក្យសម្ងាត់ ប្រហែលជាដាក់កម្រិតការចូលប្រើអ៊ីនធឺណិតចំពោះបុគ្គលិកទាំងនោះដែលមិនត្រូវការវាដោយផ្ទាល់។ ហាមប្រើ flash drives និងឧបករណ៍ចល័តផ្សេងទៀត។

ប៉ុន្តែ​បុគ្គលិក​ការិយាល័យ​ធម្មតា​យល់​ឃើញ​ថា​វិធានការ​ទាំង​អស់​នេះ​ជា​ការ​រឹតត្បិត​សេរីភាព​ផ្ទាល់ខ្លួន។ ម៉្យាងវិញទៀត វិធានការទាំងនេះគឺត្រឹមត្រូវ ម៉្យាងវិញទៀត បច្ចេកវិទ្យាព័ត៌មានកំពុងអភិវឌ្ឍយ៉ាងឆាប់រហ័ស ដែលយើងនឹងមិនអាចគ្រប់គ្រងអ្វីៗទាំងអស់បានទាំងស្រុងនោះទេ។ អ្នកមិនអាចបិទសហគ្រាសទាំងមូលនៅក្រោមប្រអប់ - បន្ទាប់មកគ្មានអ្វីនឹងដំណើរការទេ។ សូម្បីតែនៅសហគ្រាសការពារជាតិ ដែលជាកន្លែងដែលមានបណ្តាញបិទ និង Wi-Fi ប៊្លូធូស និងដ្រាយវ៍ពន្លឺមិនអាចប្រើបានទេ មានមនុស្សតាមដានប្រព័ន្ធ និងការអនុលោមតាមប៉ារ៉ាម៉ែត្រទាំងអស់។ ពួកគេធុញទ្រាន់នឹងការអង្គុយរយៈពេល 12 ម៉ោង ហើយពួកគេអាចចាប់ផ្តើមភាពយន្ត ឬលេងអ៊ីនធឺណិត។

មនុស្សម្នាក់នឹងតែងតែស្វែងរកវិធីដើម្បីទទួលបានការរឹតបន្តឹង ដូច្នេះជម្រើសដ៏ល្អបំផុតគឺការកែលម្អចំណេះដឹងកុំព្យូទ័រ។

អាជីវកម្មនេះស្ថិតនៅក្រោមការវាយប្រហារតាមអ៊ីនធឺណិតឥតឈប់ឈរនៃអ្នកឈ្លានពាន គោលបំណងគឺដើម្បីលុបគណនីរបស់ក្រុមហ៊ុន ឬលួចទិន្នន័យរបស់អតិថិជនរបស់ខ្លួន។ ក្រុមហ៊ុននានា ជាពិសេសក្រុមហ៊ុនតូចៗ ជារឿយៗសន្សំលើសុវត្ថិភាពព័ត៌មាន (IS) ហើយពាក់កណ្តាលនៃនាយកសន្តិសុខព័ត៌មានប្រាកដថាការខាតបង់ផ្នែកហិរញ្ញវត្ថុនឹងក្លាយជាតម្លៃសម្រាប់រឿងនេះ។

តើការវាយប្រហារអាចត្រូវបានការពារដោយរបៀបណា ហើយអ្វីដែលគួរត្រូវយកមកពិចារណាដើម្បីការពារអាជីវកម្ម? Tells ប្រធានផ្នែកលក់សម្រាប់អតិថិជនអាជីវកម្មខ្នាតតូច និងមធ្យមនៃ Kaspersky Lab ។

ជារឿយៗ អ្នកដឹកនាំសន្តិសុខតាមអ៊ីនធឺណិតយល់ពីភាពជៀសមិនរួចនៃការគំរាមកំហែង ប៉ុន្តែត្រូវប្រឈមមុខនឹងការខ្វះខាតថវិកា។ តើ​បញ្ហា​នេះ​ធំ​ប៉ុណ្ណា ហើយ​តើ​អាជីវកម្ម​អាច​ដោះស្រាយ​វា​ដោយ​របៀប​ណា?

ជាអកុសល សន្តិសុខតាមអ៊ីនធឺណិតនៅក្នុងប្រទេសរុស្ស៊ីគឺពិតជាខ្វះថវិកា។

នេះប្រហែលជាដោយសារតែអ្នកគ្រប់គ្រង និងម្ចាស់អាជីវកម្មជាច្រើនបានមើលស្រាលលើទំហំនៃការខាតបង់ដែលឧប្បត្តិហេតុតាមអ៊ីនធឺណិតអាចនាំឱ្យមាន។

វាមានសារៈសំខាន់ណាស់ក្នុងការវាយតម្លៃដោយប្រុងប្រយ័ត្ននូវអ្វីដែលក្រុមហ៊ុននឹងខាតបង់ប្រសិនបើវានៅទំនេររយៈពេលជាច្រើនថ្ងៃ ប្រសិនបើគេហទំព័រ ឬកុំព្យូទ័រសាជីវកម្មទាំងអស់ឈប់ដំណើរការ។ ជាការពិតណាស់សម្រាប់អ្នកលក់ផ្កាដែលធ្វើសៀវភៅកត់ត្រាក្នុងសៀវភៅកត់ត្រា ការបិទកុំព្យូទ័ររយៈពេលពីរថ្ងៃនឹងមិនមានបញ្ហាធ្ងន់ធ្ងរនោះទេ។ ប៉ុន្តែការចូលប្រើទិន្នន័យមានសារៈសំខាន់សម្រាប់ទីភ្នាក់ងារទេសចរណ៍ ក្រុមហ៊ុនធានារ៉ាប់រង អ្នកលក់រាយដែលរក្សាកំណត់ត្រាអេឡិចត្រូនិក ចែកចាយទំនិញតាមឥណទាន និងធ្វើកំណត់ត្រានៃការទូទាត់ និងបំណុលនាពេលអនាគត។ ទាំងនេះគឺជាករណីពិតពីការអនុវត្តរបស់យើង។

បរិមាណនៃការទូទាត់នាពេលខាងមុខ និងមូលនិធិដែលមិនទាន់បានទទួលនៅលើគណនីរបស់ក្រុមហ៊ុនអាចមាន 20-30% នៃចំណូលប្រចាំឆ្នាំ។

នៅពេលដែលសហគ្រិនយល់ថាតើគាត់អាចខាតបង់បានប៉ុន្មាន គាត់ស្រមៃប្រហែលថាតើគាត់ត្រៀមខ្លួនរួចជាស្រេចក្នុងការវិនិយោគក្នុងប្រតិបត្តិការដែលមិនមានការរំខាន ដោយរក្សាកម្មសិទ្ធិបញ្ញា និងកេរ្តិ៍ឈ្មោះរបស់ក្រុមហ៊ុន ពោលគឺធានាសុវត្ថិភាពតាមអ៊ីនធឺណិត និងបច្ចេកវិទ្យាព័ត៌មាន។ នៅលើដៃមួយ, នេះបន្តិចនៃការគណនា ephemeral - របៀបដើម្បីវាយតម្លៃតម្លៃនៃកេរ្តិ៍ឈ្មោះ? ម៉្យាងទៀតពួកគេច្បាស់ណាស់។ ជាឧទាហរណ៍ ប្រសិនបើក្រុមហ៊ុនអាកាសចរណ៍មិនអាចលក់សំបុត្រតាមអ៊ីនធឺណិតបានទេ អតិថិជននឹងមិនរង់ចាំយូរទេ ហើយគ្រាន់តែទិញសំបុត្រពីក្រុមហ៊ុនដឹកជញ្ជូនផ្សេងទៀត។

ការបាត់បង់ទិន្នន័យនឹងនាំឱ្យមានការលំបាក យ៉ាងហោចណាស់ជាមួយនឹងលទ្ធភាពទទួលបាន 20-30% នៃចំណូលប្រចាំឆ្នាំរបស់ក្រុមហ៊ុន

ជាធម្មតា ថវិកាសម្រាប់សន្តិសុខអ៊ីនធឺណិត និងសន្តិសុខព័ត៌មានគឺ 10-15% នៃថវិកា IT សរុប។ តម្លៃនៃឧបករណ៍ចល័តកុំព្យូទ័រព្រីនធឺរអ៊ិនធឺណិតជាមធ្យម 30-50 ពាន់រូប្លិ៍។ សម្រាប់និយោជិតក្នុងមួយឆ្នាំ។ និងការការពារគុណភាពខ្ពស់នៃកន្លែងធ្វើការមួយនៅក្នុងអាជីវកម្មខ្នាតតូចនិងមធ្យម - ពី 1 ពាន់ទៅ 3,5 ពាន់រូប្លិ៍។

ដូច្នេះ ការសន្សំលើសុវត្ថិភាព IT គឺការសន្សំលើការប្រកួត។ ការចំណាយការិយាល័យលើកាហ្វេ ក្រដាសបង្គន់ និងសម្ភារៈការិយាល័យអាចខ្ពស់ជាង។

វាជាការសំខាន់ណាស់ដែលត្រូវយល់ថាសុវត្ថិភាពព័ត៌មានគឺជាការចំណាយដ៏សំខាន់ដែលមិនគួរត្រូវបានធ្វេសប្រហែស។

អាជីវកម្មខ្នាតតូច និងមធ្យមឥឡូវនេះស្ថិតនៅក្រោមការត្រួតពិនិត្យរបស់អ្នកវាយប្រហារ - ក្នុងករណីខ្លះ ការវាយប្រហារតាមអ៊ីនធឺណិត ថែមទាំងនាំទៅដល់ការក្ស័យធនរបស់សហគ្រាសទៀតផង។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងស្វែងរកមធ្យោបាយដើម្បីជ្រៀតចូលទៅក្នុងអង្គការមួយ។ ភាគច្រើនជាញឹកញាប់ សំបុត្រត្រូវបានផ្ញើទៅកាន់នាយកដ្ឋានគណនេយ្យ ហើយបន្ទាប់មកទៅកាន់ផ្នែកច្បាប់ បុគ្គលិក និងផ្នែកទីផ្សារ។

អ៊ីមែលអាចផ្ទុកមេរោគ ឬផ្តល់ជូនទៅកាន់ទំព័របន្លំ។ បន្ទាប់ពីឆ្លងមេរោគ អ្នកវាយប្រហារចាប់ផ្តើមប្រមូលទិន្នន័យផ្សេងៗ៖ ពួកគេតាមដានការចុចគ្រាប់ចុចនៅលើក្តារចុច ចលនាកណ្ដុរ ការសិក្សាការឆ្លើយឆ្លង ទំនាក់ទំនង និងទីតាំងរបស់អ្នកផ្ញើសំបុត្រ។ល។

ដោយបានសិក្សាពីដំណើរការនៅក្នុងក្រុមហ៊ុន អ្នកវាយប្រហារអាចបង្កើតសំបុត្របោកបញ្ឆោតដែលតម្រង់ទៅបុគ្គលិកជាក់លាក់។

ឧទាហរណ៍ សរសេរទៅបុគ្គលិកនៃនាយកដ្ឋានបុគ្គលិក ជាមួយនឹងសំណើដើម្បីពិចារណាប្រវត្តិរូបសង្ខេបដោយភ្ជាប់ឯកសារក្នុងទម្រង់ Word ។

និយោជិតនៃក្រុមហ៊ុនប្រើប្រាស់ឯកសារបែបនេះជារៀងរាល់ថ្ងៃ ប៉ុន្តែពួកគេអាចមានស្គ្រីបដែលអាចប្រតិបត្តិបានដែលនឹងចាប់ផ្តើមមេរោគ ហើយចាប់ផ្តើមអ៊ិនគ្រីបទិន្នន័យនៅក្នុងក្រុមហ៊ុន - នៅគ្រប់ទីតាំងដែលបុគ្គលិកនេះមានសិទ្ធិចូលប្រើប្រាស់។ កំចាត់មេរោគធម្មតាដែលដំណើរការតែជាមួយវិធីសាស្ត្រហត្ថលេខាមិនអាចតាមដាន ransomware បែបនេះបានទេ។

Cryptographers គឺជាការវាយលុកនៃពេលវេលាបច្ចុប្បន្ន។ សកម្មភាពរបស់ពួកគេកើនឡើងនៅក្នុងត្រីមាសទី 4 នៃឆ្នាំ នៅពេលដែលមានការលក់សកម្មបំផុត ហើយចាប់ពីចុងខែមីនាដល់ខែមិថុនា នៅពេលដែលក្រុមហ៊ុនដាក់លិខិតប្រកាសពន្ធសម្រាប់រយៈពេលកន្លងមក។ តើ​ការ​គំរាម​កំហែង​អ្វី​ពី​អាជ្ញាធរ​មាន​សមត្ថកិច្ច​ប្រសិន​បើ​អ្នក​មិន​ដាក់​លិខិត​ប្រកាស​ពន្ធ​ទាន់​ពេល?

ឥឡូវស្រមៃថាទិន្នន័យទាំងអស់នៅលើម៉ាស៊ីនមេត្រូវបានអ៊ិនគ្រីប ហើយមិនមានការចូលប្រើកម្មវិធីគណនេយ្យ និងគណនេយ្យទេ។

ក្រុមហ៊ុនត្រូវបង្ខំឱ្យបង់ប្រាក់ដល់អ្នកវាយប្រហារ ឬជូនដំណឹងដល់អាជ្ញាធរពន្ធដារថា ខ្លួនមិនអាចដាក់របាយការណ៍បានទេ។ ដូច្នេះ ចំនួន​តម្លៃ​លោះ​ក្នុង​កំឡុង​ពេល​កំពូល​មាន​ការ​កើន​ឡើង។

តើមានស្ថិតិអំពីផ្នែកណានៃក្រុមហ៊ុនដែលរងការវាយប្រហារយល់ព្រមបង់ប្រាក់ ហើយតើផ្នែកមួយណាដែលកំពុងព្យាយាមឌិគ្រីបទិន្នន័យ និងប្រយុទ្ធប្រឆាំងនឹងអ្នកវាយប្រហារ?

វាមិនអាចទៅរួចទេក្នុងការសង្គ្រោះទិន្នន័យដោយគ្មានសោអ៊ិនគ្រីប បន្ទាប់ពីការវាយប្រហារដោយ cryptor ទំនើប។ ប្រសិនបើមុននេះមានកូនសោសកលមួយសម្រាប់កុំព្យូទ័រដែលរងផលប៉ះពាល់ទាំងអស់នោះ មេរោគទំនើបនឹងបង្កើតសោសម្រាប់ម៉ាស៊ីននីមួយៗ។

ការការពារប្រឆាំងនឹងមេរោគ ransomware នឹងមិនមែនជាការប្រើប្រាស់កំចាត់មេរោគធម្មតានោះទេ ប៉ុន្តែជាប្រព័ន្ធសន្តិសុខតាមអ៊ីនធឺណិតពហុស្រទាប់។ វាគួរតែរួមបញ្ចូលការត្រួតពិនិត្យសកម្មភាពរបស់កម្មវិធី អ្នកប្រើប្រាស់ ការវិភាគអាកប្បកិរិយាតាមបែប heuristic លទ្ធភាពនៃការទប់ស្កាត់ 100% នៃការចាប់ផ្តើមនៃ ransomware ។

ប្រសិនបើអ្នកពិនិត្យមើលសារចូលនៅលើម៉ាស៊ីនមេ នោះឯកសារភ្ជាប់ជាមួយឯកសារព្យាបាទនឹងមិនអាចទៅដល់កុំព្យូទ័ររបស់និយោជិតបានឡើយ។

ខ្សែការពារទីពីរគឺនៅកន្លែងធ្វើការរបស់និយោជិត៖ ការត្រួតពិនិត្យការបើកដំណើរការកម្មវិធីត្រួតពិនិត្យឯកសារដែលបានប្រើទាំងអស់។ ឧបសគ្គទីបីគឺការគ្រប់គ្រងគេហទំព័រ៖ អ្នកគ្រប់គ្រងបណ្តាញបង្កើតបញ្ជី "ស" នៃគេហទំព័រដែលធនធានដែលបានអនុញ្ញាតត្រូវបានរាយបញ្ជី ហើយផ្សេងទៀតទាំងអស់ត្រូវបានចាត់ទុកថាហាមឃាត់។

ការយកចិត្តទុកដាក់ជាអតិបរមាក្នុងបញ្ហាសន្តិសុខតាមអ៊ីនធឺណិតគួរតែត្រូវបានបង់ទៅការពារស្ថានីយការងាររបស់គណនេយ្យករ មេធាវី នាយកហិរញ្ញវត្ថុ និងនាយកប្រតិបត្តិ - មនុស្សដែលមានសិទ្ធិចូលប្រើលុយរបស់ក្រុមហ៊ុន។ ភាគច្រើនពួកគេទទួលរងការវាយប្រហារដោយអ្នកឈ្លានពាន។

កម្រិតបន្ទាប់នៃការការពារប្រឆាំងនឹង ransomware គឺកម្មវិធីប្រឆាំងគ្រីប ឬការត្រួតពិនិត្យប្រព័ន្ធ។ កម្មវិធីប្រឆាំងគ្រីបត្រួតពិនិត្យឥរិយាបថរបស់អ្នកប្រើ៖ ប្រសិនបើភ្លាមៗនោះគាត់ចាប់ផ្តើមអ៊ិនគ្រីបទិន្នន័យ ដែលគាត់មិនធ្លាប់ធ្វើពីមុនមក សកម្មភាពគួរឱ្យសង្ស័យនឹងត្រូវផ្អាក ហើយកុំព្យូទ័រនឹងត្រូវកាត់ផ្តាច់ពីបណ្តាញដែលនៅសល់។ ផ្នែកមួយនៃទិន្នន័យនឹងត្រូវបានដាក់នៅក្នុងការបម្រុងទុកសម្រាប់ការសង្គ្រោះនៅពេលក្រោយ។ នៅក្នុងវិធីនេះ យើងការពារការអភិវឌ្ឍន៍នៃការវាយប្រហារ ransomware លើអតិថិជនរបស់យើង។

- មេរោគដ៏ល្បីបំផុតមួយ -Buhtrap ។ តើអ្នកអាចប្រយុទ្ធជាមួយគាត់ដោយរបៀបណា?

Buhtrap គឺជាកម្មវិធីព្យាបាទដែលអនុញ្ញាតឱ្យអ្នកចូលប្រើធនាគារអេឡិចត្រូនិក ដល់លទ្ធភាពធ្វើប្រតិបត្តិការហិរញ្ញវត្ថុនៅក្នុងក្រុមហ៊ុន។

ការប៉ុនប៉ងរបស់អ្នកវាយប្រហារដើម្បីស្វែងរកមនុស្សដែលអាចអនុវត្តប្រតិបត្តិការបែបនេះកាន់តែមានភាពស្មុគ្រស្មាញ។ គេហទំព័រនៃប្រព័ន្ធផ្សព្វផ្សាយឯកទេសត្រូវបានឆ្លងមេរោគ ដែលត្រូវបានចូលមើលញឹកញាប់បំផុតដោយគណនេយ្យករ និង នាយកហិរញ្ញវត្ថុគេហទំព័រដែលបានចូលមើលដោយនាយកប្រតិបត្តិក្រុមហ៊ុន ម្ចាស់អាជីវកម្ម។

ក្នុងករណីខ្លះ ពួក Hacker ថែមទាំងបង្កើតធនធានដែលមានខ្លឹមសារគួរឱ្យចាប់អារម្មណ៍ ដើម្បីទាក់ទាញអ្នកប្រើប្រាស់ដែលមានឯកទេសបន្ថែមទៀត។

- តើ​មាន​ផល​វិបាក​អ្វី​ខ្លះ​នៃ​ការ​ឆ្លង​មេរោគ Buhtrap?

បរិមាណការខូចខាត ក្រុមហ៊ុនរុស្ស៊ីពីកម្មវិធីព្យាបាទស្រដៀងគ្នាកាលពីឆ្នាំមុនត្រូវបានប៉ាន់ប្រមាណថាមានចំនួនរាប់សិបលានដុល្លារ។ អ្នកអាចដោះស្រាយជាមួយ Buhtrap ប៉ុន្តែអ្នកត្រូវដោះស្រាយមិនមែនជាមួយនឹងផលវិបាកនៃការវាយប្រហារនោះទេ ប៉ុន្តែជាមួយនឹងប្រភពចម្បងរបស់វា។

ដំណោះស្រាយដែលមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់ ដូចជា Kaspersky Lab អនុញ្ញាតឱ្យអ្នករកឃើញធនធានព័ត៌មានព្យាបាទដែល Buhtrap ប្រើដើម្បីទទួលនៅលើស្ថានីយការងារ និងរារាំងពួកគេទាំងស្រុងជាមួយនឹងមេរោគ។

ពេលខ្លះអ្នកមិនមែនជាអ្នកជំនាញដោះស្រាយជាមួយសន្តិសុខតាមអ៊ីនធឺណិតនៅក្នុងអាជីវកម្មខ្នាតតូច និងមធ្យម។ តើអ្នកដឹកនាំអាជីវកម្មអាចដឹងពីសារៈសំខាន់នៃកិច្ចការនេះដោយរបៀបណា ហើយផ្ទេរវាទៅដៃស្តាំ?

ដំណោះស្រាយពិសេសសម្រាប់អាជីវកម្មខ្នាតតូច និងមធ្យម ដូចជា Kaspersky Small Office Security ជួយការពារក្រុមហ៊ុនដែលមានស្ថានីយការងារតិចជាង 25 ។ ផលិតផលនេះរួមមានការការពារប្រតិបត្តិការហិរញ្ញវត្ថុ កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ ការការពារឧបករណ៍ចល័ត ម៉ាស៊ីនមេ និងស្ថានីយការងារ។ កម្មវិធីនេះប្រើប្រាស់បច្ចេកវិទ្យាដែលត្រូវបានបង្កើតឡើង ក្នុងចំណោមរបស់ផ្សេងទៀត ដើម្បីការពារក្រុមហ៊ុនធំៗ។

នៅក្នុងផ្នែកធំជាងនេះ ដំណោះស្រាយ Kaspersky Security Cloud នឹងមានការចាប់អារម្មណ៍។ វាសាកសមសម្រាប់ក្រុមហ៊ុនដែលមានបុគ្គលិករហូតដល់ 250 នាក់។

ក្នុងពេលជាមួយគ្នានេះ ការការពារអាចត្រូវបានគ្រប់គ្រងមិនត្រឹមតែពីកន្លែងធ្វើការប៉ុណ្ណោះទេ ប៉ុន្តែមកពីគ្រប់ទិសទីក្នុងពិភពលោកដែលមានអ៊ីនធឺណិត។

នោះគឺបុគ្គលិកម្នាក់អាចទៅវិស្សមកាលទៅកាន់កោះបាលី និងតាមដានសុវត្ថិភាពតាមអ៊ីនធឺណិតរបស់ក្រុមហ៊ុនពីទីនោះ។ កុងសូលមានលក្ខណៈវិចារណញាណ និងសម្របខ្លួនសម្រាប់អ្នកដែលមិនមែនជាអ្នកជំនាញ - សូម្បីតែប្រធានគណនេយ្យករ ឬអ្នកគ្រប់គ្រងអាជីវកម្មក៏អាចស្វែងយល់ពីការកំណត់នេះបានដែរ។

- តើអាជីវកម្មអាចពឹងផ្អែកលើដំណោះស្រាយការពារការគំរាមកំហែងផ្នែកហិរញ្ញវត្ថុដោយឥតគិតថ្លៃបានទេ?

ដូចជាដំណោះស្រាយសម្រាប់ឧបករណ៍ក្នុងផ្ទះ ពួកវាមិនស័ក្តិសមសម្រាប់អ្នកប្រើប្រាស់សាជីវកម្មទេ ព្រោះវាមិនត្រូវបានបង្កើតឡើងដើម្បីការពារអង្គការនានា។ ហើយ​អ្នក​វាយ​ប្រហារ​កំពុង​ធ្វើ​ការ​កែ​លម្អ​ក្នុង​វិធី​សាស្រ្ត​នៃ​ការ​ងារ​របស់​ពួក​គេ។ កំណែឥតគិតថ្លៃភាគច្រើនរួមបញ្ចូលតែការការពារមេរោគជាមូលដ្ឋាន ពួកគេមិនអាចធានាប្រតិបត្តិការហិរញ្ញវត្ថុតាមអ៊ីនធឺណិត ពួកគេមិនទប់ស្កាត់តំណភ្ជាប់ក្លែងបន្លំ ពួកគេមិនជួយគ្រប់គ្រងការប្រើប្រាស់ធនធាន និងកម្មវិធីជាដើម។

តើអ្នកអាចការពារទិន្នន័យរបស់អ្នកពី ransomware បានទេ? ល្បែងអន្តរកម្ម

តើអាជីវកម្មខ្នាតតូចអាចការពារខ្លួនពីការវាយប្រហារដោយព្យាបាទ និងការពារការរីករាលដាលនៃ "មេរោគ" មុនពេលវាក្លាយជាបញ្ហាយ៉ាងដូចម្តេច?

យើងតូចពេកក្នុងការក្លាយជាគោលដៅ" នាយកប្រតិបត្តិអាជីវកម្មខ្នាតតូចជាច្រើនជឿ។ យោងតាមស្ថិតិរបស់ Kaspersky Lab ជនរងគ្រោះ 58% នៃឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតគឺជាអាជីវកម្មខ្នាតតូច ហើយការខូចខាតជាមធ្យមពីការវាយប្រហារដោយជោគជ័យសម្រាប់ក្រុមហ៊ុនពីផ្នែក SMB គឺ 4.3 លានរូប្លិ៍។

តើអាជីវកម្មខ្នាតតូច និងមធ្យមអាចការពារបុគ្គលិករបស់ពួកគេពីការវាយប្រហារដោយអ្នកឈ្លានពានដោយរបៀបណា? តើឧបករណ៍ការពារអ្វីខ្លះដែលត្រូវប្រើ? Tells អ្នកគ្រប់គ្រងទីផ្សារផលិតផលជាន់ខ្ពស់នៅ Kaspersky Lab ។

តើនៅពេលណាដែលអ្នកគ្រប់គ្រងសហគ្រាសយល់ថាចាំបាច់ត្រូវចាត់វិធានការការពារ?

ក្នុងករណីភាគច្រើនបន្ទាប់ពីឧប្បត្តិហេតុដំបូង។ ជាអកុសល នៅក្នុងអាជីវកម្មខ្នាតតូច អាទិភាពនៃសុវត្ថិភាព IT កាន់តែខ្ពស់ បន្ទាប់ពីក្រុមហ៊ុនត្រូវបានវាយប្រហារជាលើកដំបូងដោយមេរោគ ransomware ។ ម្ចាស់អាជីវកម្មនឹងសន្សំបានច្រើនតាមតែអាចធ្វើទៅបានលើការចំណាយបន្ថែម ប្រសិនបើគាត់មិនមែនជាអ្នកប្រើប្រាស់កម្រិតខ្ពស់។

តម្លៃនៃកំហុសគឺខ្ពស់ណាស់។ អង្គការធំមួយអាចចែកចាយឡើងវិញនូវហេដ្ឋារចនាសម្ព័ន្ធរបស់ខ្លួន ហើយបន្តដំណើរការ។ ប៉ុន្តែប្រសិនបើនៅក្នុងអាជីវកម្មតូចមួយបណ្តាញទាំងមូលធ្លាក់ពីការវាយប្រហារ "មេរោគ" វាគ្រាន់តែបញ្ឈប់ការផ្តល់សេវា - ការងាររបស់ក្រុមហ៊ុនឈប់ទាំងស្រុង។ ហើយការប្រកួតប្រជែងគឺខ្ពស់ណាស់៖ យោងតាមស្ថិតិ ពាក់កណ្តាលនៃអាជីវកម្មខ្នាតតូចដែលបានក្លាយជាជនរងគ្រោះនៃការវាយប្រហារបានហោះចេញពីទីផ្សារបន្ទាប់ពីប្រាំមួយខែ ដោយសារតែពួកគេមិនអាចស្តារធនធានរបស់ពួកគេបានទាន់ពេលវេលា។

នៅក្នុងការអនុវត្តរបស់ខ្ញុំ មានករណីដ៏លំបាកមួយ។ អ្នកវាយប្រហារបានដឹងអំពីការរំលោភលើសន្តិសុខតាមអ៊ីនធឺណិតរបស់សហគ្រាស បង្វែរ "មេរោគ" ទៅជាការលួចទិន្នន័យរបស់ស្ថាប័ន ហើយបន្តិចម្តងៗលួចអតិថិជនឱ្យឆ្ងាយពីវា។ ភាគច្រើនទំនងជាពួកគេបានធ្វើសកម្មភាព "នៅលើព័ត៌មានជំនួយ" ។ ប៉ុន្តែក្រុមហ៊ុនបានរកឃើញមនុស្សជឿនលឿនដែលអាចទទួលស្គាល់ការវាយប្រហារតាមគោលដៅ និងជួយសង្គ្រោះក្រុមហ៊ុន - នេះគឺជាកម្រណាស់។

ក្នុងករណីភាគច្រើន ការវាយប្រហារមានទំហំធំ ហើយបុគ្គលិកតែងតែជាតំណភ្ជាប់ខ្សោយ។ ពួកគេកំពុងស្វែងរកព័ត៌មានពីកុំព្យូទ័រការងារ ទាញយកកម្មវិធីដែលត្រូវការសម្រាប់ការងារ ហើយពួកគេអាចមានកំហុស។ ប្រសិនបើ​គ្មាន​អ្នក​ជំនាញ​ដែល​តាមដាន​រឿង​នេះ​ទេ នោះ​គ្មាន​អ្នក​ណា​គ្រប់គ្រង​ស្ថានការណ៍​ក្នុង​ក្រុមហ៊ុន​ឡើយ។

ការការពារតិចតួចបំផុតសម្រាប់អាជីវកម្មខ្នាតតូចជួយជៀសវាងផលវិបាកអវិជ្ជមាននៃកំហុសបែបនេះ។ ស្រមៃថាអ្នកកំពុងប្រឈមមុខនឹងការវាយប្រហារក្លែងបន្លំ។ ប្រសិនបើអ្នកមានមនុស្ស 50-100 នាក់នៅក្នុងស្ថាប័នរបស់អ្នក មិនថាមានមនុស្សប៉ុន្មាននាក់បានចុចលើតំណនោះទេ - សូម្បីតែចុចមួយដងគឺគ្រប់គ្រាន់ដើម្បីឆ្លងបណ្តាញ។ ដំណោះស្រាយសម្រាប់អាជីវកម្មខ្នាតតូចត្រូវបានរចនាឡើងដើម្បីការពារការរីករាលដាលនៃ "មេរោគ" មុនពេលវាក្លាយជាបញ្ហា។

តាមក្បួនក្រុមហ៊ុនធំ ៗ បណ្តុះបណ្តាលបុគ្គលិកដើម្បីកំណត់អត្តសញ្ញាណឯកសារនិងតំណភ្ជាប់នៅក្នុងអ៊ីមែលពីអ្នកឈ្លានពាន។ តើក្រុមហ៊ុនតូចៗការពារបុគ្គលិករបស់ពួកគេពីការគំរាមកំហែងបែបនេះទេ?

អាជីវកម្មខ្នាតតូចចំណាយពេលវេលា និងការខិតខំប្រឹងប្រែងច្រើនលើសកម្មភាពស្នូលរបស់ពួកគេ។ ទ្រព្យសកម្មថេរតែងតែត្រូវបានវិនិយោគលើផ្នែកទាំងនោះដែលអាចបង្កើនប្រាក់ចំណូលរបស់ក្រុមហ៊ុន។ ធនធានមួយចំនួនត្រូវបានទុកសម្រាប់គាំទ្រដល់ដំណើរការ ដូច្នេះការផ្តល់មូលនិធិសម្រាប់សន្តិសុខព័ត៌មានវិទ្យា និងព័ត៌មានវិទ្យាមិនមែនជាអាទិភាពនោះទេ ហើយនៅពេលជ្រើសរើសសេវាកម្មទាំងនេះ ភាពងាយស្រួលនៃការប្រើប្រាស់ និងប្រតិបត្តិការដោយស្វ័យប្រវត្តិមានសារៈសំខាន់។ នោះ​គឺ​ការ​សម្រេច​ចិត្ត​គួរ​តែ​ទាមទារ​ការ​យក​ចិត្ត​ទុក​ដាក់​ជា​អប្បបរមា។

លើសពីនេះ បញ្ហាបុគ្គលិកតែងតែមានភាពធ្ងន់ធ្ងរនៅក្នុងអាជីវកម្មខ្នាតតូច។ ក្រុមហ៊ុនតូចមួយតែងតែមានអ្នកគ្រប់គ្រងប្រព័ន្ធចូលមក ជាជាងបុគ្គលិកពេញម៉ោង។ នៅក្នុងក្រុមហ៊ុនធំជាងបន្តិច អ្នកឯកទេសម្នាក់អាចទទួលខុសត្រូវទាំងផ្នែកព័ត៌មានវិទ្យា និងសុវត្ថិភាពព័ត៌មាន។

អ្នកដឹកនាំ SMB ផ្តោតលើសុវត្ថិភាព IT ដោយផ្អែកលើបទពិសោធន៍មិនល្អរបស់ពួកគេនៅក្នុងវិស័យនេះ។ ប្រសិនបើជាទូទៅពួកគេតំណាងឱ្យការគំរាមកំហែងជាច្រើន ធ្លាប់ជួបប្រទះឧប្បត្តិហេតុបែបនេះពីមុនមក ឬដឹងពីតម្រូវការក្នុងការធានាក្រុមហ៊ុនបន្ទាប់ពីការវាយប្រហារតាមអ៊ីនធឺណិតដ៏ធំ នោះពួកគេនឹងស្វែងរកការការពារដែលដំណើរការដោយស្វ័យប្រវត្តិ។

Kaspersky Lab ផ្តល់ដំណោះស្រាយបែបនេះ - Kaspersky Endpoint Security សម្រាប់អាជីវកម្ម។ យើងហៅផលិតផលបែបនេះថា "ដំឡើងហើយបំភ្លេច" នោះគឺដំឡើងហើយភ្លេច។ ពួកគេនឹងផ្តល់ការការពារដោយស្វ័យប្រវត្តិអតិបរមា - អាជីវកម្មខ្នាតតូចជារឿយៗមិនមានបុគ្គលិកពិសេសលើបុគ្គលិកដើម្បីរៀបចំកម្មវិធីនោះទេ។

ការការពារប្រឆាំងនឹងអ៊ីមែលបន្លំគួរតែជាស្វ័យប្រវត្តិផងដែរ ដូច្នេះជាគោលការណ៍ការផ្ញើសំបុត្របែបនេះមិនទៅដល់អ្នកប្រើប្រាស់ទេ។

តើបុគ្គលិកនៅក្នុងក្រុមហ៊ុនតូចៗទំនងជាទទួលបានអ៊ីមែលបែបនេះជាងនៅក្នុងអាជីវកម្មធំៗដែរឬទេ?

អ្នកដឹកនាំអាជីវកម្មខ្នាតតូចមានការយល់ច្រឡំដ៏គ្រោះថ្នាក់ដែលថាពួកគេមិនមែនជាគោលដៅនៃឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត និងជា "ព័ត៌មានសម្ងាត់" សម្រាប់ពួកគេ។ ប៉ុន្តែយោងទៅតាមស្ថិតិជនរងគ្រោះនៃក្រុមឧក្រិដ្ឋជនដែលបានរៀបចំក្នុង 50% នៃករណីគឺជាក្រុមហ៊ុនខ្នាតតូចនិងមធ្យម។ ក្នុងករណីនៃការវាយប្រហាររបស់អ្នកគាំទ្រទូទាំងពិភពលោកដូចជា WannaCry អ្នកគ្រប់គ្នាទទួលបាន៖ សាជីវកម្ម ក្រុមហ៊ុនតូចៗ និងអ្នកប្រើប្រាស់ឯកជន។

ការវាយប្រហារតាមគោលដៅគឺមានភាពពាក់ព័ន្ធច្រើនជាងទៅនឹងសហគ្រាសធំៗ នៅពេលដែលអ្នកវាយប្រហារយល់ពីទំហំនៃ "សត្វព្រៃ" សក្តានុពលរបស់ពួកគេ។ ប៉ុន្តែនៅក្នុងការចងចាំរបស់ខ្ញុំមានករណីជាច្រើននៅពេលដែលការវាយប្រហារបែបនេះត្រូវបានធ្វើឡើងនៅលើហាងអនឡាញ និងក្រុមហ៊ុនខ្នាតមធ្យមក្នុងពាណិជ្ជកម្មលក់ដុំ។

ឱកាសនៃការវាយប្រហារកើនឡើង ប្រសិនបើអ្នកវាយប្រហាររកឃើញថាក្រុមហ៊ុនមិនបានចូលរួមក្នុងផ្នែកព័ត៌មាន និងសន្តិសុខតាមអ៊ីនធឺណិតទេ អាជីវកម្មខ្នាតតូចតែងតែពឹងផ្អែកលើឱកាស។

តើសហគ្រិនទាំងនេះចាកចេញពីសន្តិសុខ IT ដោយក្តីមេត្តាករុណារបស់បុគ្គលិកដែលចូលមក ឬបុគ្គលិកតែមួយ ឬតើតួនាទីនៃការការពារដោយស្វ័យប្រវត្តិកើនឡើងដែរឬទេ?

នៅក្នុងអាជីវកម្មខ្នាតតូច IT តែងតែត្រូវបានគ្រប់គ្រងដោយមនុស្សជឿនលឿនបំផុតដែលការងារសំខាន់គឺនៅកន្លែងផ្សេង ជួនកាលសូម្បីតែផ្នែកដឹកជញ្ជូន និងការលក់។ ប៉ុន្តែប្រសិនបើវាប្រែថាមនុស្សម្នាក់យល់ពីប្រព័ន្ធព័ត៌មាន នោះគាត់ទទួលយកការការពារកុំព្យូទ័រ និងសន្តិសុខតាមអ៊ីនធឺណិត ក្នុងចំណោមរបស់ផ្សេងៗទៀត។ អប្បបរមាដែលគាត់ត្រូវធ្វើគឺដំឡើងកំចាត់មេរោគ។ ហើយគាត់ត្រូវការដំណោះស្រាយអាជីវកម្ម មិនមែនការការពារផ្ទះទេ។

ពួកគេធ្វើការសម្រេចចិត្តដែលមនុស្សជាមធ្យមមិនយល់។ គាត់ត្រូវការកម្រិត IT កម្រិតខ្ពស់ ដើម្បីដំឡើងការការពារនេះ។

នៅក្នុងក្រុមហ៊ុនធំមួយ ដែលជាកន្លែងដែលមានអ្នកគ្រប់គ្រងចូល ឬសូម្បីតែអ្នកគ្រប់គ្រងផ្ទាល់ វាមានតម្រូវការមួយផ្សេងទៀតសម្រាប់ការគ្រប់គ្រង។ នោះគឺសហគ្រាសដឹងថាពួកគេត្រូវអនុវត្តគោលនយោបាយសន្តិសុខតិចតួច ដើម្បីយល់ពីអ្វីដែលកំពុងកើតឡើង កាត់បន្ថយហានិភ័យ និងការគំរាមកំហែងនានា។ នៅពេលដែលក្រុមហ៊ុនមានភាពចាស់ទុំ យើងត្រៀមខ្លួនរួចជាស្រេចក្នុងការផ្តល់ជូននូវដំណោះស្រាយកម្រិតខ្ពស់បន្ថែមទៀត។

តើការប្រើប្រាស់ការការពារលើពពកមានផលចំណេញច្រើនជាងសេវាកម្មរបស់អ្នកឯកទេសដែលចូលមកធម្មតាឬ?

អ្នកឯកទេសផ្នែកព័ត៌មានវិទ្យានៅតែត្រូវការឧបករណ៍៖ ដំណោះស្រាយនេះមិនជំនួសគាត់ទេ ប៉ុន្តែក្លាយជាមធ្យោបាយមួយដែលគាត់នឹងការពារអង្គការ។ Kaspersky Small Office គឺជាដំណោះស្រាយ "ធ្វើវាដោយខ្លួនឯង"។ ជាមួយនឹងវា អង្គការនឹងអាចការពារខ្លួនពីការគំរាមកំហែងនាពេលបច្ចុប្បន្ន ហើយមិនទាន់ងាកទៅរកជំនួយពីអ្នកជំនាញនោះទេ។

តើអ្វីជាភាពខុសគ្នាដ៏សំខាន់រវាង Endpoint Security Cloud និងតើអ្វីជាអត្ថប្រយោជន៍នៃដំណោះស្រាយលើពពក?

ការការពារមិនមែនពពកត្រូវបានដំឡើងនៅលើម៉ាស៊ីនមេ - នេះតម្រូវឱ្យមានអ្នកឯកទេសដែលមានជំនាញខ្ពស់។ អ្នកត្រូវក្លាយជាមនុស្សដែលមានចំណេះដឹងផ្នែកបច្ចេកទេស ដើម្បីដាក់ឱ្យប្រើប្រាស់ដំណោះស្រាយ Endpoint នៅលើម៉ាស៊ីនមេ ដំឡើងភ្នាក់ងារ ភ្ជាប់អ្វីៗទាំងអស់នេះ កំណត់រចនាសម្ព័ន្ធគោលការណ៍សុវត្ថិភាព និងអ្វីៗផ្សេងទៀត។ ដំណោះស្រាយលើពពកអនុញ្ញាតឱ្យអ្នកទទួលបានការការពារយ៉ាងឆាប់រហ័ស៖ អ្នកមិនចាំបាច់ទិញម៉ាស៊ីនមេ ហើយថែទាំវាទេ ពោលគឺវាមិនមានតម្លៃសម្រាប់ការថែរក្សាផ្នែករឹងនោះទេ។ អ្នកសន្សំប្រាក់ និងពេលវេលាសម្រាប់បុគ្គលិក។

ដំណោះស្រាយពពកត្រូវបានទាញយក និងដំឡើងក្នុងរយៈពេលពីរបីនាទី កិច្ចការទាំងមូលចំណាយពេលមិនលើសពីមួយម៉ោង។ អត្ថប្រយោជន៍ចម្បងនៃវិធីសាស្រ្តនេះគឺល្បឿន: ការការពារមានប្រសិទ្ធិភាពក្នុងរយៈពេលពីរបីនាទី។

ដំណោះស្រាយរបស់យើងសម្រាប់អាជីវកម្មខ្នាតតូចមានភាពងាយស្រួលតាមដែលអាចធ្វើទៅបានក្នុងលក្ខខណ្ឌនៃការគ្រប់គ្រង។ សុវត្ថិភាពការិយាល័យតូចមិនតម្រូវឱ្យអ្នកចូលទៅក្នុងកុងសូលបណ្តាញទាល់តែសោះ។ នៅក្នុង Kaspersky Endpoint Security Cloud កុងសូលត្រូវបានសម្រួលយ៉ាងខ្លាំង៖ ការកំណត់ទាំងអស់ត្រូវបានអនុវត្តដោយស្វ័យប្រវត្តិចំពោះឧបករណ៍ថ្មីដែលភ្ជាប់ទៅនឹងការការពារ។ ទោះបីជាចង់បានក៏ដោយ អ្នកគ្រប់គ្រងអាចបន្ថែមអ្វីមួយដោយដៃ។ ទន្ទឹមនឹងនេះ ដំណោះស្រាយទាំងពីរគឺផ្អែកលើពពក ហើយមិនត្រូវការផ្នែករឹង ឬម៉ាស៊ីនមេទេ។

តាមក្បួនមួយ អង្គការជឿនលឿនជាងងាកទៅរកដំណោះស្រាយបែបនេះ ឬមិនចាំបាច់?

កម្រិតនៃភាពចាស់ទុំរបស់អង្គការ អ្នកគ្រប់គ្រង និងអ្នកជំនាញផ្នែកព័ត៌មានវិទ្យា មានសារៈសំខាន់នៅទីនេះ។ ជាទូទៅ កម្រិតសមត្ថភាព IT នៅក្នុងប្រទេសរុស្ស៊ីគឺខ្ពស់ណាស់។ អង្គការទាំងមូលអាចនឹងខិតខំសម្រាប់ហេដ្ឋារចនាសម្ព័ន្ធទំនើប៖ ក្រុមហ៊ុនមួយចំនួនកំពុងបោះបង់ចោលផ្នែករឹងផ្ទាល់ខ្លួនរបស់ពួកគេ ដើម្បីឲ្យមានភាពបត់បែន និងសកម្មជាងមុន។

ដំណោះស្រាយលើពពកមានភាពងាយស្រួលក្នុងការធ្វើមាត្រដ្ឋាន។ ប្រសិនបើអ្នកបើកចំណុចលក់ថ្មីឬ ការិយាល័យថ្មី។បន្ទាប់មក ដោយមានជំនួយពី Kaspersky Endpoint Security Cloud វាអាចត្រូវបានការពារក្នុងរយៈពេលប៉ុន្មាននាទី។ ល្បឿននៃការធ្វើមាត្រដ្ឋាន និងការរីកចម្រើននៃអាជីវកម្មរបស់អ្នកមិនជាប់នឹងហេដ្ឋារចនាសម្ព័ន្ធផ្ទាល់ខ្លួនរបស់អ្នកទេ។ ការិយាល័យអាចនៅរាយប៉ាយទូទាំងប្រទេស ហើយអ្នកធ្វើអ្វីគ្រប់យ៉ាងពីចម្ងាយ ពីព្រោះដំណោះស្រាយទាំងអស់ស្ថិតនៅក្នុងពពក។ ក្រុមហ៊ុនដែលមានគំនិតរីកចម្រើន និងយល់ពីបញ្ហាដែលទាក់ទងនឹងការធ្វើមាត្រដ្ឋាន ជ្រើសរើសពពកដំបូង ព្រោះដំណោះស្រាយបែបប្រពៃណីនឹងមិនអនុញ្ញាតឱ្យពួកគេផ្លាស់ប្តូរយ៉ាងឆាប់រហ័សនោះទេ។

តើអ្នកឃើញនិន្នាការសំខាន់អ្វីទៀតក្នុងវិស័យសន្តិសុខអាជីវកម្មខ្នាតតូច?

និន្នាការមួយទៀតកំពុងដំណើរការលើឧបករណ៍ចល័ត។ អង្គការធំៗមានកម្មវិធីចល័តសាជីវកម្ម៖ ឧបករណ៍ត្រូវបានទិញនៅកណ្តាល ពួកគេដំឡើងឧបករណ៍សហការ ឧបករណ៍សុវត្ថិភាពជាដើម។ ទាំងអស់នេះត្រូវបានគ្រប់គ្រងដោយ "សន្តិសុខ" ហើយជាគោលការណ៍វាមិនអាចទៅរួចទេក្នុងការតភ្ជាប់ទៅហេដ្ឋារចនាសម្ព័ន្ធរបស់ក្រុមហ៊ុន។

ហើយនៅក្នុងអាជីវកម្មខ្នាតតូចគ្មាននរណាម្នាក់យល់ថាឧបករណ៍នេះមានលក្ខណៈផ្ទាល់ខ្លួនឬអត់នោះទេ។ មនុស្សម្នាក់ជ្រើសរើសឧបករណ៍ដែលងាយស្រួលបំផុតដើម្បីធ្វើការងាររបស់គាត់កាន់តែលឿន និងមានប្រសិទ្ធភាព។ យើងត្រៀមខ្លួនជាស្រេចដើម្បីគាំទ្រសហគ្រាសបែបនេះ និងផ្តល់ការការពារ រួមទាំងឧបករណ៍ចល័តផងដែរ។ ប្រសិនបើក្រុមហ៊ុនមិនទាន់ប្រើការការពារលើពពកទេ វាអាចភ្ជាប់នៅពេលក្រោយ។ ហើយមិនថាមនុស្សនៅឯណាទេ - ការការពារទាំងអស់អាចត្រូវបានដំឡើងពីចម្ងាយ។

"ឧបករណ៍ចល័តកំពុងប្រែទៅជាឧបករណ៍ឃ្លាំមើល ហើយការឃ្លាំមើលនេះត្រូវបានអនុញ្ញាតជាចាំបាច់ដោយក្រុមហ៊ុន។" តើស្មាតហ្វូន និងកុំព្យូទ័រយួរដៃផ្ទាល់ខ្លួនរបស់និយោជិតបង្កើតការរំលោភលើសុវត្ថិភាពព័ត៌មានអាជីវកម្មដោយរបៀបណា?

ក្រុមហ៊ុនតូចៗមិនអាចតែងតែមានលទ្ធភាពទិញឧបករណ៍ចាំបាច់ទាំងអស់សម្រាប់បុគ្គលិក ដូចជាស្មាតហ្វូនសម្រាប់ធ្វើការ និងកុំព្យូទ័រយួរដៃនោះទេ។ ទន្ទឹមនឹងនេះ ការប្រើប្រាស់ឧបករណ៍ផ្ទាល់ខ្លួនសម្រាប់គោលបំណងការងារត្រូវបានលើកទឹកចិត្តដើម្បីឱ្យបុគ្គលិកអាចទាក់ទងគ្នាបានជានិច្ច។

នេះជារបៀបដែលនិន្នាការដែលហៅថា BYOD (នាំយកឧបករណ៍ផ្ទាល់ខ្លួនរបស់អ្នក ឬ "នាំយកឧបករណ៍ផ្ទាល់ខ្លួនរបស់អ្នក") បានកើតឡើង ហើយវាកំពុងរីករាលដាលកាន់តែខ្លាំងឡើងនៅក្នុងអាជីវកម្មខ្នាតតូច និងមធ្យម។

"ដោយសារតែ BYOD ក្រុមហ៊ុនសន្សំប្រាក់បានច្រើនលើការទិញ និងថែទាំផ្នែករឹង បំបាត់ហានិភ័យនៃការបាត់បង់ និងការខូចខាតដល់ឧបករណ៍ចល័ត។ ហើយ​នេះ​ជា​ប្រាក់​ដ៏​សំខាន់» លោក Viktor Chebyshev អ្នកជំនាញកំចាត់មេរោគ " មន្ទីរពិសោធន៍ Kaspersky».

ទោះជាយ៉ាងណាក៏ដោយគំនិតនៃ BYOD ខ្លួនវាគឺមានភាពចម្រូងចម្រាស។ ការចូលប្រើឧបករណ៍ផ្ទាល់ខ្លួនរបស់និយោជិតទៅកាន់បរិវេណខាងក្នុងរបស់ក្រុមហ៊ុនគឺងាយស្រួលសម្រាប់បុគ្គលិក ប៉ុន្តែបង្កើតហានិភ័យនៃការលេចធ្លាយទិន្នន័យ និងការចូលប្រើប្រាស់ព័ត៌មានដោយមិនមានការគ្រប់គ្រង។

ក្នុងករណីនេះ វិធីសាស្រ្ត BYOD គឺជាកត្តាស្មុគស្មាញ ហើយអាចក្លាយជា “ចំណុចចូល” របស់ក្រុមហ៊ុនសម្រាប់អ្នកវាយប្រហារ។ ដូច្នេះហើយ ស្ថាប័នមួយចាំបាច់ត្រូវរៀបចំការចូលប្រើប្រាស់ និងគ្រប់គ្រងការចូលតាមរបៀបដែលវានឹងមិនតែងតែងាយស្រួលសម្រាប់អ្នកប្រើប្រាស់នោះទេ។

ដើម្បីកាត់បន្ថយហានិភ័យនៃវិធីសាស្រ្ត BYOD វិធានការការពារទិន្នន័យជាច្រើនចាំបាច់ត្រូវអនុវត្ត។ ឧបករណ៍ផ្ទាល់ខ្លួនរបស់បុគ្គលិកជាធម្មតាត្រូវបានការពារតិចជាងឧបករណ៍សាជីវកម្ម ហើយងាយនឹងទទួលរងការគំរាមកំហែង និងការបាត់បង់តាមអ៊ីនធឺណិត។ យោងតាមការសិក្សារបស់ Kaspersky Lab បានឱ្យដឹងថា 35% នៃក្រុមហ៊ុនសហគ្រាសធុនតូច និងមធ្យម (ដែលមានបុគ្គលិកពី 1 ដល់ 249 នាក់) បានប្រឈមនឹងការពិតដែលថាឧបករណ៍របស់បុគ្គលិកដែលពួកគេបានប្រើរួមទាំងសម្រាប់គោលបំណងការងារត្រូវបានឆ្លងមេរោគ។ និយោជិត 28% នៃអង្គការបានបាត់បង់ឧបករណ៍ផ្ទាល់ខ្លួន និងប្រព័ន្ធផ្សព្វផ្សាយជាមួយនឹងព័ត៌មានសាជីវកម្ម៖ ស្មាតហ្វូន កុំព្យូទ័រយួរដៃ ដ្រាយវ៍រឹងខាងក្រៅ ដ្រាយវ៍ពន្លឺ។ ហើយការខូចខាតជាមធ្យមពីការវាយប្រហារដោយជោគជ័យលើក្រុមហ៊ុនពីផ្នែកនៃអាជីវកម្មខ្នាតតូច និងមធ្យមត្រូវបានគេប៉ាន់ប្រមាណថាមានចំនួន 4.3 លានរូប្លិ៍។

ឧបករណ៍ផ្ទាល់ខ្លួនរបស់និយោជិតក្នុងអាជីវកម្ម៖ តើអ្វីទៅជាគ្រោះថ្នាក់?

ភាពធ្ងន់ធ្ងរនៃការគម្រាមកំហែងអាស្រ័យទៅលើរបៀបដែលនាយកដ្ឋាន IT របស់ក្រុមហ៊ុនត្រួតពិនិត្យសុវត្ថិភាពនៃឧបករណ៍ចល័តរបស់កម្មករ។ ដំណោះស្រាយជាច្រើនអាចប្រើបាននៅទីនេះ៖

1.ទម្រង់ MDM ។ ការគ្រប់គ្រងឧបករណ៍ចល័ត (ការគ្រប់គ្រងឧបករណ៍ចល័ត) គឺជាសំណុំនៃសេវាកម្ម និងបច្ចេកវិទ្យាដែលផ្តល់ការគ្រប់គ្រង និងការពារឧបករណ៍របស់ក្រុមហ៊ុន និងបុគ្គលិករបស់ខ្លួន។ ផ្នែកមួយនៃ MDM ត្រូវបានដំឡើងនៅលើឧបករណ៍របស់និយោជិត ហើយមួយទៀតគឺជា "មជ្ឈមណ្ឌលបញ្ជា" សម្រាប់ការគ្រប់គ្រងឧបករណ៍ពីចម្ងាយ។

2. គោលនយោបាយកំណត់។ មិនមែននិយោជិតទាំងអស់ត្រូវការសិទ្ធិចូលប្រើប្រាស់ធនធានជាក់លាក់នោះទេ។ ជាឧទាហរណ៍ ហេតុអ្វីបានជាគណនេយ្យករគួរចូលប្រើបណ្តាញសង្គមពីឧបករណ៍ការងារ? វាអាចមានគ្រោះថ្នាក់ប្រសិនបើមានឯកសារសម្ងាត់នៅលើឧបករណ៍ ហើយនិយោជិតបានចុចលើតំណភ្ជាប់អ៊ីនធឺណិតដែលមានគំនិតអាក្រក់ដោយចៃដន្យ។ ដូច្នេះ ការកំណត់រចនាសម្ព័ន្ធដែលអាចបត់បែនបាននៃសិទ្ធិចូលប្រើប្រាស់បណ្តាញសង្គម ឬកម្មវិធី ឬធនធានផ្សេងទៀត គឺជាការសម្រេចចិត្តដ៏សំខាន់ និងចាំបាច់បំផុត។

3.Antiviruses ជាមួយនឹងការគ្រប់គ្រងកណ្តាលដែលការពារប្រឆាំងនឹងមេរោគ។ ដំណោះស្រាយទាំងនេះនឹងកាត់ផ្តាច់ឧបករណ៍ដែលមានមេរោគភ្លាមៗចេញពីហេដ្ឋារចនាសម្ព័ន្ធរបស់ក្រុមហ៊ុន និងស៊ើបអង្កេតឧប្បត្តិហេតុនេះ។

លោក Viktor Chebyshev ព្រមានថា ប្រសិនបើគ្មានវិធីសាស្រ្តទាំងនេះត្រូវបានអនុវត្តទេនោះ ក្រុមហ៊ុនមានហានិភ័យសន្តិសុខតាមអ៊ីនធឺណិតយ៉ាងសំខាន់។ យោងតាមគាត់នៅពេលដែលឧបករណ៍ចល័តត្រូវបានឆ្លង សេណារីយ៉ូជាច្រើនអាចធ្វើទៅបាន:

1. មេរោគនេះប្រមូលទិន្នន័យទាំងអស់ពីឧបករណ៍ចល័ត - តាមពិតការធ្វើចារកម្ម។ ក្នុងករណីនេះ អ្នកអាចស្ទាក់ចាប់ឯកសារសំខាន់ៗនៅក្នុងអង្គចងចាំរបស់ឧបករណ៍ កត់ត្រាការសន្ទនាដោយប្រើមីក្រូហ្វូនដែលភ្ជាប់មកជាមួយ ថតរូបកាមេរ៉ាជាដើម។ ឧបករណ៍ចល័តក្លាយជាឧបករណ៍ឃ្លាំមើល ហើយការឃ្លាំមើលនេះត្រូវបានអនុញ្ញាតជាចាំបាច់ដោយក្រុមហ៊ុន។

2. មេរោគបង្កើតអ្វីដែលគេហៅថាផ្លូវរូងក្រោមដី។ ទូរស័ព្ទចល័តមានចំណុចប្រទាក់បណ្តាញពីរ - WIFI និង 3G/4G/LTE ។ អ្នកវាយប្រហារមកពីគ្រប់ទិសទីក្នុងពិភពលោកអាចចូលទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធខាងក្នុងរបស់ក្រុមហ៊ុនតាមរយៈចំណុចប្រទាក់បណ្តាញទាំងនេះ ចាប់តាំងពីទូរសព្ទចល័តតែងតែមានអ៊ីនធឺណិត ហើយបណ្តាញ WIFI ខាងក្នុងរបស់ក្រុមហ៊ុនមានសម្រាប់ BYOD ។ ផលវិបាកនៃការឆ្លងមេរោគបែបនេះអាចជាការសោកសៅតាមអំពើចិត្ត។

ការគ្រប់គ្រងទិន្នន័យនៅលើកុំព្យូទ័រយួរដៃគឺជាការសន្ទនាដាច់ដោយឡែក។ ព័ត៌មានដែលមិនបានការពារនៅលើកុំព្យូទ័រផ្ទាល់ខ្លួនដែលអាចបាត់បង់នៅព្រលានយន្តហោះ ឬភ្លេចនៅក្នុងហាងកាហ្វេ គឺជាសុបិន្តអាក្រក់ធម្មតាសម្រាប់នាយកដ្ឋានព័ត៌មានវិទ្យា។

ដើម្បីជៀសវាងការគំរាមកំហែងនេះ ក្រុមហ៊ុនមួយចំនួនអនុញ្ញាតឱ្យបុគ្គលិកធ្វើការតែលើកុំព្យូទ័រការិយាល័យ ដែលមានសមត្ថភាពផ្ទេរទិន្នន័យមានកម្រិតធ្ងន់ធ្ងរ និងបិទច្រក USB សម្រាប់ flash drive។ ប៉ុន្តែវិធីសាស្រ្តនោះនឹងមិនដំណើរការនៅក្នុងក្រុមហ៊ុនដែលផ្តោតលើ BYOD, Viktor Chebyshev ព្រមាន។ ការការពារពាក់ព័ន្ធនឹងការរឹតបន្តឹងដែលមិនមែនអ្នកប្រើប្រាស់ទាំងអស់អាចចូលទៅនោះទេ។

តើសហគ្រិនអាចធានាបាននូវព័ត៌មានសាជីវកម្មលើឧបករណ៍ផ្ទាល់ខ្លួនដោយរបៀបណា?

នៅក្នុងគោលគំនិត BYOD វាមានតម្លៃអនុវត្តវិធីសាស្រ្តការពារទិន្នន័យជាមូលដ្ឋានមួយចំនួន។ លោក Viktor Chebyshev មានប្រសាសន៍ថា "ពួកគេមិនគួរត្រូវបានធ្វេសប្រហែសទេ៖ តម្លៃនៃអាកប្បកិរិយាធ្វេសប្រហែសអាចមានតម្លៃមិនអាចកាត់ថ្លៃបានជាមួយនឹងតម្លៃនៃការការពារពេញលេញ" ។

ក្នុងករណីណាក៏ដោយកុំធ្វេសប្រហែសការការពារឧបករណ៍ចល័ត (បន្ថែមលើឧបករណ៍ធ្វើការសំខាន់ - កុំព្យូទ័រ) ។ ប្រើការការពារដ៏ទូលំទូលាយសម្រាប់កុំព្យូទ័រ ម៉ាស៊ីនមេឯកសារ ក៏ដូចជាថេប្លេត និងស្មាតហ្វូនប្រឆាំងនឹងការវាយប្រហារតាមអ៊ីនធឺណិត ការក្លែងបន្លំហិរញ្ញវត្ថុតាមអ៊ីនធឺណិត មេរោគ ransomware និងការបាត់បង់ទិន្នន័យ។ ការការពារបែបនេះត្រូវបានផ្តល់ជាឧទាហរណ៍ដោយកម្មវិធី សុវត្ថិភាពការិយាល័យតូច Kaspersky បង្កើតជាពិសេសសម្រាប់ក្រុមហ៊ុនតូចៗដែលមានបុគ្គលិករហូតដល់ 25 នាក់ ឬ Kaspersky Endpoint Security Cloud ដែលជួយការពារអាជីវកម្មខ្នាតតូចដោយគ្មានបន្ទុកបន្ថែមលើធនធាន IT ពេលវេលា និងហិរញ្ញវត្ថុ។

បើកដំណើរការម៉ូឌុលប្រឆាំងការលួចពិសេសសម្រាប់ឧបករណ៍ Android ដែលជាផ្នែកមួយនៃការការពារដ៏ទូលំទូលាយ។ មុខងារនេះអនុញ្ញាតឱ្យអ្នកទប់ស្កាត់ឧបករណ៍ដែលបាត់ពីចម្ងាយ លុបទិន្នន័យនៅលើវា ឬកំណត់ទីតាំងនៅលើផែនទី។

អនុវត្តការអ៊ិនគ្រីបពេញលេញ ឬដោយផ្នែកនៃទិន្នន័យសាជីវកម្ម។ បន្ទាប់មក ទោះបីជាកុំព្យូទ័រយួរដៃ ឬ USB drive ត្រូវបានបាត់បង់ ឬត្រូវបានគេលួចក៏ដោយ វានឹងមិនអាចចូលប្រើព័ត៌មានដែលមាននៅលើពួកវាដោយគ្មានពាក្យសម្ងាត់បានទេ។

បច្ចេកវិទ្យាបម្រុងទុកនឹងជួយសង្គ្រោះអាជីវកម្មរបស់អ្នក។ ដោយមានជំនួយពីការបម្រុងទុក អ្នកនឹងតែងតែមានកន្លែងផ្ទុកទិន្នន័យបម្រុងទុកជាមួយនឹងកំណែចុងក្រោយបំផុតនៃព័ត៌មានការងារដ៏មានតម្លៃក្នុងករណីឧទាហរណ៍ ការវាយប្រហារដោយ ransomware ជោគជ័យ។

អ្នកគ្រប់គ្រងប្រព័ន្ធគួរតែដឹងជានិច្ចថាឧបករណ៍ណាដែលនិយោជិតប្រើប្រាស់សម្រាប់ការងារ និងមាន "ឧបករណ៍បំផ្ទុះ" (ឧបករណ៍បញ្ជាពីចម្ងាយ) សម្រាប់ទិន្នន័យសាជីវកម្មនៅក្នុងឧបករណ៍បែបនេះ ក្នុងករណីដែលពួកគេត្រូវបានបាត់បង់ ត្រូវបានគេលួច ឬម្ចាស់របស់ពួកគេចាកចេញពីក្រុមហ៊ុន។

ប៉ុន្តែជាទូទៅ អ្នកមិនគួរអនុញ្ញាតឱ្យឯកសារសម្ងាត់លេចធ្លាយនៅខាងក្រៅបរិវេណរបស់ក្រុមហ៊ុននោះទេ សូម្បីតែឃ្លាំងផ្ទុកពពកដូចជា Yandex.disk និង Google.drive ហើយបន្ទាប់មកអ្នកនឹងមិនចាំបាច់បំផ្លាញអ្វីទាំងអស់។

ដើម្បីធានាបាននូវការឆ្លើយឆ្លងលើប្រធានបទសាជីវកម្មនៅក្នុងអ្នកនាំសារផ្ទាល់ខ្លួន អ្នកអាចផ្តល់អនុសាសន៍មួយចំនួន។ ជាដំបូង ឧបករណ៍ចល័តត្រូវតែមានកំណែចុងក្រោយបំផុតនៃប្រព័ន្ធប្រតិបត្តិការដែលបានដំឡើង។ ទីពីរ តែងតែប្រើដំណោះស្រាយសុវត្ថិភាព - បើមិនដូច្នេះទេ ឧបករណ៍មិនត្រូវអនុញ្ញាតឱ្យចូលទៅក្នុងបរិវេណរបស់ក្រុមហ៊ុនឡើយ។

វិធានការប្រឆាំងរួមមានដំណោះស្រាយពី Kaspersky Security for Business និង Kaspersky Small Office Security line។ ពួកវារួមបញ្ចូលការការពារប្រកបដោយប្រសិទ្ធភាពស្មើគ្នាសម្រាប់កុំព្យូទ័រសាជីវកម្ម និងផ្ទាល់ខ្លួន និងសម្រាប់ឧបករណ៍ចល័ត ដែលមានសារៈសំខាន់ជាពិសេសសម្រាប់អាជីវកម្មខ្នាតតូច។ Kaspersky Small Office Security អនុញ្ញាតឱ្យម្ចាស់ផ្តោតលើការដំណើរការអាជីវកម្មរបស់ពួកគេ ព្រោះវាងាយស្រួលប្រើ និងមិនទាមទារចំណេះដឹងផ្នែករដ្ឋបាល IT ពិសេសដើម្បីការពារបណ្តាញរបស់ក្រុមហ៊ុន។

តើការប្រើប្រាស់ឧបករណ៍ផ្ទាល់ខ្លួនរបស់បុគ្គលិកនឹងកាន់តែមានសុវត្ថិភាពសម្រាប់ក្រុមហ៊ុនដែរឬទេ?

ផ្នែកបច្ចេកទេសនៃបញ្ហាសន្តិសុខតាមអ៊ីនធឺណិតនៅក្នុងគោលគំនិត BYOD នឹងត្រូវបានកែលម្អ ហើយក្រុមហ៊ុនកាន់តែច្រើនឡើងនឹងបដិសេធមិនទិញឧបករណ៍ Viktor Chebyshev ប្រាកដ។ វាទំនងជាថាមានតែក្រុមហ៊ុនដែលប្រើឧបករណ៍ចល័តជាក់លាក់ដូចជាការឆក់និងមិនជ្រាបទឹកនឹងធ្វើតាមវិធីសាស្រ្តចាស់។

“តក្កវិជ្ជានៃទម្រង់ឧបករណ៍នៅក្នុងប្រព័ន្ធប្រតិបត្តិការចល័តពិតជានឹងកាន់តែស្មុគស្មាញ។ នោះគឺឧបករណ៍ចល័តខ្លួនឯងនឹងសម្រេចចិត្តថាត្រូវធ្វើអ្វី ពេលនេះម្ចាស់គឺនៅកន្លែងធ្វើការ ហើយសកម្មភាពរារាំងដែលទាក់ទងនឹងហានិភ័យនៃការឆ្លងមេរោគ ឬការចូលទៅកាន់កន្លែងហាមឃាត់សម្រាប់គាត់។ ទន្ទឹមនឹងនេះ យន្តការសម្រាប់ត្រួតពិនិត្យឧបករណ៍ផ្ទាល់ខ្លួននៅក្នុងបណ្តាញសហគ្រាសកំពុងវិវឌ្ឍ ហើយនៅពេលអនាគតដ៏ខ្លីខាងមុខ ដំណោះស្រាយផ្អែកលើការរៀនម៉ាស៊ីននឹងត្រូវបានណែនាំដែលជួសជុលភាពមិនប្រក្រតីពីឧបករណ៍ BYOD ។ ប្រព័ន្ធបែបនេះគឺជាអនាគត" សង្ខេបអ្នកជំនាញប្រឆាំងមេរោគនៃ Kaspersky Lab ។

តួនាទីនៃសន្តិសុខព័ត៌មានក្នុងការបន្តអាជីវកម្ម

Alexander Antipov

យុទ្ធសាស្ត្រសុវត្ថិភាពព័ត៌មានគួរតែត្រូវបានបញ្ចូលយ៉ាងតឹងរ៉ឹងទៅក្នុងកម្មវិធីបន្តអាជីវកម្មសាជីវកម្មទាំងមូល។

អាជីវកម្មទំនើបអាស្រ័យលើ ព​ត៌​មាន​វិទ្យាហើយត្រូវការយ៉ាងធ្ងន់ធ្ងរក្នុងការធានានូវដំណើរការបន្ត៖ សូម្បីតែការឈប់សម្រាកមួយម៉ោងសម្រាប់សេវាកម្មនៅក្នុងសេវាកម្មហិរញ្ញវត្ថុ ឬក្រុមហ៊ុនទូរគមនាគមន៍អាចនាំឱ្យមានការខាតបង់យ៉ាងច្រើន។ ការបន្តអាជីវកម្មគឺទាក់ទងដោយផ្ទាល់ទៅនឹងព័ត៌មានវិទ្យា ហើយមានសារៈសំខាន់សម្រាប់ស្ថាប័នណាមួយ មិនថាជាក្រុមហ៊ុនលក់រាយធំ ភ្នាក់ងារលក់សំបុត្រយន្តហោះ ឬភ្នាក់ងាររដ្ឋាភិបាលនោះទេ។ នៅក្នុងឧស្សាហកម្ម សហគ្រាសហេដ្ឋារចនាសម្ព័ន្ធ ឬក្នុងវិស័យដឹកជញ្ជូន អ្វីៗគឺកាន់តែធ្ងន់ធ្ងរទៅទៀត៖ ជាមួយនឹងការណែនាំនៃបច្ចេកវិទ្យាឌីជីថល ការបរាជ័យនៃសេវាកម្ម IT អាចនាំឱ្យមិនត្រឹមតែការខាតបង់ផ្នែកហិរញ្ញវត្ថុប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងគ្រោះមហន្តរាយដែលបង្កើតឡើងដោយមនុស្សផងដែរ។ ជាការពិតណាស់ វាជាធម្មតាមិនសមហេតុផលសម្រាប់ក្រុមហ៊ុនតូចៗក្នុងការអនុវត្តផែនការបន្តនោះទេ ពួកគេដោះស្រាយបញ្ហាក្រៅផ្លូវការ។ ប៉ុន្តែសម្រាប់អាជីវកម្មធំៗ ហានិភ័យគឺខ្ពស់ជាងដែលមិនអាចប្រៀបផ្ទឹមបាន។

ដំណើរកំសាន្តទៅកាន់ប្រវត្តិសាស្ត្រ

ជាលើកដំបូង ការបន្តអាជីវកម្មត្រូវបានគិតក្នុងទសវត្សរ៍ទី 50 នៃសតវត្សចុងក្រោយ - វិស្វករបានចាប់ផ្តើមដោះស្រាយយ៉ាងធ្ងន់ធ្ងរជាមួយនឹងបញ្ហានៃការស្ដារឡើងវិញនូវគ្រោះមហន្តរាយបន្ទាប់ពីឧប្បត្តិហេតុ។ ការបង្កើតចុងក្រោយនៃការអនុវត្តនេះបានកើតឡើងនៅក្នុងទសវត្សរ៍ទី 80 ហើយទស្សវត្សរ៍បន្ទាប់ ជាមួយនឹងការអភិវឌ្ឍន៍យ៉ាងឆាប់រហ័សនៃបច្ចេកវិទ្យា បានបង្កើនភាពស្មុគស្មាញនៃវិធីសាស្រ្តដែលបានប្រើ។

គោលគំនិតនៃការបន្តអាជីវកម្ម ឬ BCM (Business Continuity Management) បានជំនួសការស្ដារឡើងវិញនូវគ្រោះមហន្តរាយនៅពាក់កណ្តាលទីពីរនៃទសវត្សរ៍ទី 90 ប៉ុន្តែអ្នកជំនាញជាច្រើននៅតែច្រឡំរឿងទាំងនេះ។ សព្វថ្ងៃនេះ ការបម្រុងទុកទិន្នន័យ គេហទំព័របម្រុងទុកត្រជាក់ ឬក្តៅគឺលែងគ្រប់គ្រាន់ទៀតហើយ។ បញ្ហានៃប្រតិបត្តិការរលូននៃអង្គភាពទាំងមូលប៉ះពាល់ដល់ឧបករណ៍ផលិតកម្ម និងដំណើរការបច្ចេកវិជ្ជា មធ្យោបាយទំនាក់ទំនង បុគ្គលិក និងច្រើនទៀត។ យើងនឹងផ្តោតជាសំខាន់លើប្រព័ន្ធ IT ព្រោះថាការបរាជ័យរបស់ពួកគេអាចធ្វើអោយសកម្មភាពរបស់ក្រុមហ៊ុនទាំងមូលចុះខ្សោយ។

ស្តង់ដារនិងឧបករណ៍

មានអង្គការអន្តរជាតិជាច្រើនដែលដោះស្រាយបញ្ហាការបន្តអាជីវកម្ម។ ភាពល្បីល្បាញបំផុតត្រូវបានចាត់ទុកថាត្រូវបានបង្កើតឡើងដោយ BSI (វិទ្យាស្ថានស្តង់ដារអង់គ្លេស) ស្តង់ដារ BS25999 ។ វាគឺមានតំលៃនិយាយអំពីការអនុវត្តល្អបំផុតរបស់ British BCI (Business Continuity Institute) ក៏ដូចជា American DRI (Disaster Recovery Institute) និង SANS (SysAdmin, Audit, Network, Security Institute) និងភាពជាអ្នកដឹកនាំនៃការិយាល័យសវនកម្មជាតិអូស្ត្រាលី ( អេណាអូ) ។

អ្នកក៏អាចបន្ថែមស្តង់ដារជាតិ ឧស្សាហកម្ម និងសូម្បីតែស្តង់ដារសាជីវកម្មផ្ទៃក្នុងផ្សេងៗផងដែរ - វាងាយស្រួលក្នុងការលង់ទឹកក្នុងសមុទ្រព័ត៌មាននេះ។ អាក្រក់ជាងនេះទៅទៀត ឯកសារដែលពិពណ៌នាអំពីមូលដ្ឋានគ្រឹះទ្រឹស្តីមិនឆ្លើយសំណួរសាមញ្ញទេ៖ "តើត្រូវដោះស្រាយបញ្ហាក្នុងការអនុវត្តដោយរបៀបណា?"។

យើងចាប់ផ្តើមគម្រោងមួយ។

យើងនឹងព្យាយាមនាំយកវិធីសាស្រ្តដែលមានស្រាប់មកជាមួយគ្នា ហើយនឹងពិចារណាធានាការបន្តនៃដំណើរការអាជីវកម្មជាគម្រោង - ជាដំណាក់កាល។ វាជាការសំខាន់ណាស់ដែលត្រូវយល់ថាការអនុវត្តរបស់វាគឺជាដំណើរការវដ្តបន្តដែលគិតគូរពីការផ្លាស់ប្តូរនៅក្នុងអាជីវកម្ម ច្បាប់របស់រុស្ស៊ី និងអន្តរជាតិ និងការច្នៃប្រឌិតបច្ចេកវិទ្យា។

គោលដៅនៃគម្រោងរបស់យើងគឺបង្កើត និងអនុវត្តកម្មវិធីគ្រប់គ្រងបន្តអាជីវកម្មសហគ្រាស (BCM)។ ដើម្បីចាប់ផ្តើមជាមួយ វានឹងចាំបាច់ក្នុងការបង្កើតខ្លឹមសាររបស់វា និងរៀបចំផែនការអនុវត្តជាជំហានៗ។ បន្ទាប់មក - កំណត់តួនាទីរបស់សមាជិកក្រុម គោលដៅនៃគម្រោង ហើយគិតពីរបៀបត្រួតពិនិត្យ និងគ្រប់គ្រង។ ដើម្បីបងា្ករគម្រោងពីការជាប់គាំង វាគឺមានតម្លៃបង្កើតគណៈកម្មាធិការពិសេសនៃអ្នកតំណាងនៃភាគីដែលចាប់អារម្មណ៍ទាំងអស់ - វាគួរតែជួបជាទៀងទាត់ដើម្បីពិភាក្សាអំពីវឌ្ឍនភាពនៃការងារ និងបញ្ហាដែលកំពុងកើតមាន។

នៅពេលធ្វើការលើការបង្កើតផែនការ វាជារឿងសំខាន់ក្នុងការយល់ដឹងថាតើគម្រោងនេះនឹងតម្រូវឱ្យមានការចូលរួមពីអ្នកប្រឹក្សាខាងក្រៅ ឬនឹងអាចគ្រប់គ្រងដោយខ្លួនឯងបាន។ វាថែមទាំងមានតម្លៃក្នុងការបែងចែកអ្នកគ្រប់គ្រងបន្តអាជីវកម្មដើម្បីគ្រប់គ្រងគម្រោង - និយោជិតរបស់ក្រុមហ៊ុន ឬអ្នកប្រឹក្សាខាងក្រៅ។

ការវិភាគផលប៉ះពាល់លើអាជីវកម្ម

ជំហានទីមួយ៖ យើងធ្វើការសិក្សាលម្អិតអំពីដំណើរការអាជីវកម្ម (ការវិភាគបរិយាកាសធុរកិច្ច, BEA) របស់ក្រុមហ៊ុន និងកំណត់តម្រូវការសម្រាប់ការបន្ត។

ភាគច្រើនជាញឹកញាប់ អ្នកប្រឹក្សាដែលទទួលខុសត្រូវលើគម្រោងនេះ ធ្វើការសម្ភាសន៍ជាមួយប្រធាននាយកដ្ឋានដែលរងផលប៉ះពាល់ដោយគម្រោង។ បញ្ជីនៃដំណើរការត្រូវបានចងក្រង ហើយការងារចាប់ផ្តើមជាមួយម្ចាស់របស់ពួកគេ៖ វាចាំបាច់ក្នុងការកំណត់ប្រភេទនៃផលប៉ះពាល់នៃដំណើរការលើអាជីវកម្ម កម្រិតនៃការពឹងផ្អែករបស់វាលើ IT ក៏ដូចជាពេលវេលារងចាំអតិបរមាដែលអាចអនុញ្ញាតបាន (អតិបរិមានៃការដាច់ភ្លើងអតិបរមា MAO ) បន្ទាប់ពីនោះមានការគំរាមកំហែងនៃការបាត់បង់លទ្ធភាពជោគជ័យរបស់អង្គការ។

ដោយបានកំណត់ MAO សម្រាប់ដំណើរការអាជីវកម្មនីមួយៗ អ្នកត្រូវកំណត់គោលដៅពេលវេលានៃការងើបឡើងវិញដែលអាចទទួលយកបាន (RTO) និងគោលបំណងចំណុចងើបឡើងវិញ (RPO) - ជាធម្មតានេះគឺជាចន្លោះពេលមុនពេលមានអាសន្នកើតឡើង ដែលទិន្នន័យអាចបាត់បង់។ វាក៏មានតម្លៃផងដែរក្នុងការកំណត់កម្រិតនៃការអនុវត្តដែលអាចទទួលយកបាន (កម្រិតនៃការបន្តអាជីវកម្ម, LBC) ក្នុងស្ថានភាពអាសន្ន - ជាធម្មតាជាភាគរយនៃប្រតិបត្តិការធម្មតា។

ការវាយតម្លៃផលប៉ះពាល់ (Business Impact Analysis, BIA) វិភាគផលប៉ះពាល់នៃដំណើរការលើអាជីវកម្មទាំងមូលទាំងមូល។ ជាលទ្ធផល បញ្ជីនៃដំណើរការសំខាន់ៗ និងភាពអាស្រ័យគ្នាទៅវិញទៅមកគួរតែត្រូវបានចងក្រង ក៏ដូចជាពេលវេលារងចាំ និងពេលវេលានៃការស្តារឡើងវិញសម្រាប់ទាំងដំណើរការខ្លួនឯង និងប្រព័ន្ធព័ត៌មានដែលពាក់ព័ន្ធជាមួយពួកគេ។ លើសពីនេះ ការវិភាគហានិភ័យ (ការវិភាគហានិភ័យ RA) ត្រូវបានទាមទារ ក្នុងអំឡុងពេលដែលភាពងាយរងគ្រោះ ការគំរាមកំហែងក្នុងដំណើរការបន្ត និងប្រសិទ្ធភាពនៃការបង្ការរបស់ពួកគេត្រូវបានវាយតម្លៃ។

តាមរយៈការកំណត់អត្តសញ្ញាណដំណើរការដែលអាចរំខានដល់សកម្មភាពរបស់ក្រុមហ៊ុន ក៏ដូចជាការខូចខាតដែលអាចកើតមាន យើងនឹងអាចព្យាករណ៍ពីគ្រោះថ្នាក់ដែលអាចកើតមាន ប្រភពនៃការគំរាមកំហែង និងភាពងាយរងគ្រោះផ្ទាល់ខ្លួនរបស់យើង។

យុទ្ធសាស្ត្រ និងផែនការ

ជំហានទីពីរ៖ បង្កើតយុទ្ធសាស្រ្តបន្តអាជីវកម្មត្រឹមត្រូវ (និយមន័យយុទ្ធសាស្រ្តបន្តអាជីវកម្ម) ដែលប៉ះពាល់ដល់គ្រប់ទិដ្ឋភាពទាំងអស់របស់ក្រុមហ៊ុន។

សម្រាប់ទិសដៅនីមួយៗ ផ្នែកដាច់ដោយឡែកមួយត្រូវបានបង្កើតឡើងដែលពិពណ៌នាអំពីដំណោះស្រាយបច្ចេកទេស និងការរៀបចំដែលអាចធ្វើទៅបានសម្រាប់ការស្ដារឡើងវិញភ្លាមៗនៃដំណើរការអាជីវកម្ម។ ដំណោះស្រាយ IT ដែលប្រើជាចម្បងគឺកន្លែងរង់ចាំក្តៅ និងត្រជាក់ ឧបករណ៍តុល្យភាពបន្ទុកថាមវន្ត ក៏ដូចជាគេហទំព័រទូរសព្ទចល័ត និងសមត្ថភាពរបស់អ្នកផ្តល់សេវាភាគីទីបី (ខាងក្រៅ)។ ពួកវាខុសគ្នាជាចម្បងនៅក្នុងការចំណាយ និងពេលវេលានៃការងើបឡើងវិញ។

វាចាំបាច់ដើម្បីបង្កើតផែនការបន្តអាជីវកម្ម (ផែនការបន្តអាជីវកម្ម, BCP) និងការស្ដារឡើងវិញនូវហេដ្ឋារចនាសម្ព័ន្ធក្នុងស្ថានភាពអាសន្ន (ផែនការសង្គ្រោះគ្រោះមហន្តរាយ, DRP) ក៏ដូចជាបង្កើតបច្ចេកទេស និង ប្រព័ន្ធអង្គការ BCM ផែនការជាធម្មតារួមមានបីដំណាក់កាលនៃការស្ដារឡើងវិញនូវភាពបន្ត៖ ការឆ្លើយតបទៅនឹងឧប្បត្តិហេតុមួយ ដំណើរការអាជីវកម្មដែលសំខាន់ក្នុងអំឡុងពេលមានអាសន្ន និងការផ្លាស់ប្តូរទៅប្រតិបត្តិការធម្មតា។

ការអនុវត្តនិងការគាំទ្រ

ជំហានទីបី៖ យើងទិញ និងអនុវត្តដំណោះស្រាយដែលបានជ្រើសរើស។

ការអនុវត្តគឺជាដំណើរការស្មុគ្រស្មាញ ដែលអាចទាមទារឱ្យមានការចូលរួមពីអ្នកម៉ៅការភាគីទីបី។ ប៉ុន្តែទោះបីជាបន្ទាប់ពីបញ្ចប់វាក៏ដោយ អ្នកមិនគួរសម្រាកលើឡូរ៉លរបស់អ្នកទេ - ការធានាឱ្យមានការបន្តអាជីវកម្មគឺជាដំណើរការបន្ត និងជាវដ្ត។

កម្មវិធី BCM របស់សាជីវកម្មនឹងមិនត្រឹមតែត្រូវបានកែលម្អឥតឈប់ឈរប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបញ្ចូលទៅក្នុងវប្បធម៌សាជីវកម្មផងដែរ។ វានឹងមិនអាចទៅរួចទេក្នុងការកំណត់ខ្លួនយើងឱ្យត្រឹមតែគូរផែនការប៉ុណ្ណោះ - ពួកគេនឹងត្រូវធ្វើតេស្តដោយការត្រួតពិនិត្យផ្ទៃតុ (Tabletop) ការក្លែងបន្លំ (ការធ្វើត្រាប់តាម) ឬការធ្វើតេស្តពេញលេញ (ការធ្វើតេស្តបន្តអាជីវកម្មពេញលេញ) ។ ដោយផ្អែកលើលទ្ធផលនៃការធ្វើតេស្ត របាយការណ៍ត្រូវបានចងក្រងជាមួយនឹងសេណារីយ៉ូដែលបានប្រើ និងលទ្ធផលដែលទទួលបាន ក៏ដូចជាការផ្តល់យោបល់សម្រាប់ការកែលម្អផែនការដែលមានស្រាប់។ ជាធម្មតាពួកវាត្រូវបានធ្វើបច្ចុប្បន្នភាពជារៀងរាល់ឆ្នាំ ហើយជួនកាលច្រើនដងទៀត ក្នុងករណីមានការផ្លាស់ប្តូរសំខាន់ៗនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធព័ត៌មានវិទ្យា ឧទាហរណ៍ ឬនៅក្នុងច្បាប់។

ទំនាក់ទំនងជាមួយ IS

អ្នកជំនាញចែករំលែកផែនការបន្តអាជីវកម្ម និងផែនការសង្គ្រោះគ្រោះមហន្តរាយ ប៉ុន្តែតួនាទីនៃគោលនយោបាយសន្តិសុខព័ត៌មាននៅក្នុងកម្មវិធី BCM គឺមិនច្បាស់សម្រាប់មនុស្សគ្រប់គ្នានោះទេ។

ករណីមួយក្នុងចំនោមករណីថ្មីៗនេះគឺឧបទ្ទវហេតុនៅលើរថយន្តខ្សែកាបទីក្រុងម៉ូស្គូដែលជាសកម្មភាពត្រូវបានខ្វិនទាំងស្រុងជាលទ្ធផលនៃការវាយប្រហារតាមអ៊ីនធឺណិត។ មិនថាផែនការសង្គ្រោះគ្រោះមហន្តរាយល្អប៉ុនណាទេក្នុងករណីនេះ វាមិនអាចជួយក្នុងការរៀបចំប្រតិបត្តិការរបស់សហគ្រាសបានឆាប់រហ័សនោះទេ - ម៉ាស៊ីនមេដែលបានស្ដារពីការបម្រុងទុកនឹងត្រូវទទួលរងនូវភាពងាយរងគ្រោះដូចគ្នា។ នោះហើយជាមូលហេតុដែលផែនការបន្តអាជីវកម្មចាំបាច់ដើម្បីបញ្ចូលបញ្ជីសកម្មភាពនៅក្នុងព្រឹត្តិការណ៍នៃការវាយប្រហារដោយជោគជ័យលើហេដ្ឋារចនាសម្ព័ន្ធ IT ដើម្បីកាត់បន្ថយពេលវេលារងចាំដោយមិនបង្កគ្រោះថ្នាក់ដល់អ្នកដំណើរ។

មានការគំរាមកំហែងជាច្រើនទៀតនៅក្នុងឧស្សាហកម្មនេះ។ ប្រសិនបើយើងយកឧស្សាហកម្មប្រេង និងឧស្ម័ន ដែលត្រូវបានចាត់ទុកថាជាឧស្សាហកម្មស្វ័យប្រវត្តិខ្ពស់បំផុតនៅក្នុងប្រទេសរុស្ស៊ី ជាឧទាហរណ៍ នោះដំណើរការបច្ចេកវិជ្ជានៅឯសហគ្រាសរុករករ៉ែ កែច្នៃ និងទីផ្សារពិតជាត្រូវបានគ្រប់គ្រងដោយកុំព្យូទ័រ។ គ្មាននរណាម្នាក់ទទួលយកការអានដោយដៃនៃឧបករណ៍អាណាឡូកទេ ពួកគេត្រូវបានជំនួសដោយឧបករណ៍ចាប់សញ្ញាឌីជីថល និងប្រព័ន្ធត្រួតពិនិត្យឆ្លាតវៃ។

សន្ទះបិទបើក សន្ទះបិទបើក និងឧបករណ៍ធ្វើសកម្មភាពផ្សេងទៀតបានក្លាយទៅជាឌីជីថលផងដែរ។ ប្រសិនបើការវាយប្រហារជោគជ័យលើ ICS រំខាន ដំណើរការបច្ចេកវិជ្ជាក្នុងរយៈពេលពីរបីវិនាទី នេះអាចនាំទៅដល់ការបិទសហគ្រាសជាច្រើនម៉ោង ឬច្រើនសប្តាហ៍ រហូតដល់ការបរាជ័យនៃឧបករណ៍ថ្លៃៗ និងសូម្បីតែគ្រោះមហន្តរាយដ៏ធ្ងន់ធ្ងរដែលបង្កើតឡើងដោយមនុស្ស។ រហូតមកដល់ពេលថ្មីៗនេះ វាត្រូវបានគេជឿថា ភាពឯកោនៃផ្នែកបច្ចេកវិជ្ជាពីបណ្តាញសាធារណៈធ្វើឱ្យការវាយប្រហាររបស់ពួក Hacker លើប្រព័ន្ធគ្រប់គ្រងឧស្សាហកម្មមិនអាចទៅរួច ប៉ុន្តែជាមួយនឹងការអភិវឌ្ឍន៍នៃផលិតកម្មឌីជីថល ភាពឯកោនេះគឺមានការថយចុះ ហើយចំនួននៃការគំរាមកំហែងកំពុងកើនឡើង។ ក្រៅពីវិស័យឧស្សាហកម្ម មានសកម្មភាពផ្សេងៗទៀត ក្រៅពីនេះ មិនមែនគ្រប់សេវាកម្មដែលសំខាន់សម្រាប់អាជីវកម្មអាចនៅដាច់ពីគេបានទេ។

ការសន្និដ្ឋានសំខាន់គឺថាយុទ្ធសាស្រ្តសន្តិសុខព័ត៌មានគួរតែត្រូវបានរួមបញ្ចូលយ៉ាងជិតស្និទ្ធទៅក្នុងកម្មវិធីបន្តអាជីវកម្មសាជីវកម្មទាំងមូល។ នេះតម្រូវឱ្យមានដំណោះស្រាយដ៏ទូលំទូលាយដែលអាចនាំមកនូវឧបករណ៍ទាំងអស់ដែលធានានូវភាពអាចរកបាននៃធនធាន និងការការពារពីការវាយប្រហាររបស់ពួក Hacker ការរក្សាការសម្ងាត់ទិន្នន័យ និងភាពសុចរិត ព្រមទាំងការគ្រប់គ្រងដោយស្វ័យប្រវត្តិនៃកូដប្រភព និងសុវត្ថិភាពកម្មវិធី។ នៅដំណាក់កាលនៃការវិភាគហានិភ័យ និងការវាយតម្លៃផលប៉ះពាល់អាជីវកម្ម ចាំបាច់ត្រូវគិតគូរអំពីវត្តមាននៃភាពងាយរងគ្រោះដែលអាចកើតមាននៅក្នុងប្រព័ន្ធព័ត៌មានដែលទទួលរងការវាយប្រហារដោយជនខិលខូច ហើយផែនការបន្តអាជីវកម្មនឹងត្រូវរួមបញ្ចូលនីតិវិធីសម្រាប់ការទទួលបានទិន្នន័យទាន់សម័យ។ លើការគំរាមកំហែងដល់ហេដ្ឋារចនាសម្ព័ន្ធព័ត៌មានវិទ្យា ការរិះគន់របស់ពួកគេ និងលទ្ធភាពនៃការជួសជុល។ យុទ្ធសាស្រ្តបន្តអាជីវកម្មក៏គួររួមបញ្ចូលនីតិវិធីសម្រាប់ការស្ដារសេវាកម្មឡើងវិញបន្ទាប់ពីការវាយប្រហារដោយជោគជ័យ។

មុននឹងនិយាយអំពីហានិភ័យសុវត្ថិភាពព័ត៌មានដែលអាចរង់ចាំអ្នកនៅកន្លែងធ្វើការ ខ្ញុំចង់ណែនាំខ្លួនខ្ញុំផ្ទាល់៖ ឈ្មោះរបស់ខ្ញុំគឺ Kamila Iosipova ។ ខ្ញុំជាអ្នកគ្រប់គ្រងសន្តិសុខព័ត៌មានជាន់ខ្ពស់នៅក្រុមហ៊ុន IT ICL Services ខ្ញុំបានធ្វើការនៅក្នុងអង្គការនេះអស់រយៈពេល 5 ឆ្នាំមកហើយ។ ខ្ញុំក៏ជាសវនករប្រព័ន្ធព័ត៌មានដែលមានការបញ្ជាក់ CISA (វិញ្ញាបនប័ត្រ ISACA តំណាងឱ្យសវនករប្រព័ន្ធព័ត៌មានដែលបានបញ្ជាក់)។

នៅឆ្នាំ 2018 បរិមាណនៃការបំពានទិន្នន័យនៅក្នុងក្រុមហ៊ុនបានកើនឡើង 5% ។ កត្តាមនុស្សគឺជាមូលហេតុចម្បងមួយនៃឧប្បត្តិហេតុសន្តិសុខព័ត៌មាន។ ការធ្វេសប្រហែស ការធ្វេសប្រហែស ការជម្រុញ ចេតនា - ទាំងនេះគឺជាហេតុផលដែលបុគ្គលិកនៃក្រុមហ៊ុនរបស់អ្នកអាចនាំអាជីវកម្មដោយចេតនា ឬអចេតនា។ របៀបការពារខ្លួនអ្នក និងអតិថិជនរបស់អ្នក អ្វីដែលត្រូវធ្វើដើម្បីអភិវឌ្ឍវប្បធម៌នៃការធ្វើការជាមួយទិន្នន័យក្នុងចំណោមបុគ្គលិក និងវិធីសាស្រ្តអ្វីខ្លះដែលត្រូវអនុវត្តក្នុងករណីនេះ ខ្ញុំនឹងប្រាប់បន្ថែមទៀត។

ផែនការបង្កើតការងារក្នុងវិស័យសន្តិសុខព័ត៌មាន

ប្រសិនបើអ្នកក្រឡេកមើលជាសកល អ្នកអាចមើលឃើញថាគំរូជាក់លាក់មួយអាចត្រូវបានតាមដាននៅក្នុងវិស័យសុវត្ថិភាពព័ត៌មាន៖ ការយកចិត្តទុកដាក់លើសុវត្ថិភាពព័ត៌មានភាគច្រើនអាស្រ័យទៅលើសកម្មភាពរបស់ក្រុមហ៊ុន។ ជាឧទាហរណ៍ មានតម្រូវការតឹងរ៉ឹងជាងមុននៅក្នុងទីភ្នាក់ងាររដ្ឋាភិបាល ឬវិស័យធនាគារ ដូច្នេះការយកចិត្តទុកដាក់កាន់តែច្រើនគឺត្រូវបានយកចិត្តទុកដាក់ចំពោះការបណ្តុះបណ្តាលបុគ្គលិក ដែលមានន័យថាវប្បធម៌នៃការធ្វើការជាមួយទិន្នន័យត្រូវបានអភិវឌ្ឍកាន់តែច្រើន។ ទោះជាយ៉ាងណាក៏ដោយថ្ងៃនេះអ្នកគ្រប់គ្នាគួរតែយកចិត្តទុកដាក់ចំពោះបញ្ហានេះ។

ដូច្នេះ នេះជាជំហានជាក់ស្តែងមួយចំនួនដែលនឹងជួយអ្នកឱ្យបំពេញការងាររបស់អ្នកក្នុងវិស័យសន្តិសុខព័ត៌មាន៖

1 ជំហាន. បង្កើត និងអនុវត្តគោលនយោបាយសន្តិសុខព័ត៌មានទូទៅ ដែលនឹងមានគោលការណ៍ជាមូលដ្ឋាននៃការងារ គោលដៅ និងគោលបំណងរបស់ក្រុមហ៊ុនក្នុងវិស័យគ្រប់គ្រងសន្តិសុខព័ត៌មាន។

2 ជំហាន. បញ្ចូលគោលការណ៍ចាត់ថ្នាក់ និងកម្រិតឯកជនភាព។

ក្នុងពេលជាមួយគ្នានេះ វាចាំបាច់មិនត្រឹមតែសរសេរឯកសារដែលនិយោជិតអាចចូលប្រើប្រាស់បាន 24/7 ប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងរៀបចំព្រឹត្តិការណ៍បណ្តុះបណ្តាលផ្សេងៗ និងនិយាយអំពីការផ្លាស់ប្តូរដែលកំពុងធ្វើផងដែរ។ ប្រកាន់​ខ្ជាប់​នឹង​ក្បួន : ការ​ព្រមាន​ទុក​ជា​មុន​គឺ​ជា​ការ​លើក​មុខ។ អនុញ្ញាតឱ្យក្រុមហ៊ុនដឹកនាំ ការងារអចិន្រ្តៃយ៍ក្នុងទិសដៅនេះ។

3 ជំហាន. បង្កើតវិធីសាស្រ្តសកម្ម។

វាដូចជាការការពារក្នុងឱសថ។ យល់ស្រប វាមានតម្លៃថោកជាង និងងាយស្រួលក្នុងការឆ្លងកាត់ការពិនិត្យបង្ការជាជាងការព្យាបាលជំងឺកម្រិតខ្ពស់។ ឧទាហរណ៍ នៅក្នុងក្រុមហ៊ុនរបស់យើង វិធីសាស្រ្តសកម្មដំណើរការដូចនេះ៖ ដើម្បីធ្វើការជាមួយព័ត៌មាននៅក្នុងគម្រោងពាណិជ្ជកម្ម យើងបានបង្កើតស្តង់ដារគ្រប់គ្រង IS នៅក្នុងគម្រោងដែលមានតម្រូវការ IS អប្បបរមាចាំបាច់ ដើម្បីធានាបាននូវកម្រិតជាក់លាក់នៃដំណើរការ IS នៅក្នុង គម្រោងពាណិជ្ជកម្ម។ វាពិពណ៌នាអំពីអ្វីដែលត្រូវធ្វើ ដើម្បីរក្សាកម្រិតជាក់លាក់នៃដំណើរការគ្រប់គ្រងសុវត្ថិភាព។ យើងបានអនុវត្តស្តង់ដារនេះនៅក្នុងគម្រោង ហើយឥឡូវនេះយើងធ្វើសវនកម្មផ្ទៃក្នុងជារៀងរាល់ឆ្នាំ៖ យើងពិនិត្យមើលពីរបៀបដែលគម្រោងអនុលោមតាមតម្រូវការទាំងនេះ កំណត់អត្តសញ្ញាណហានិភ័យសុវត្ថិភាពព័ត៌មាន និងការអនុវត្តល្អបំផុតដែលអាចជួយអ្នកគ្រប់គ្រងគម្រោងផ្សេងទៀតផងដែរ។

បន្ថែមពីលើការធ្វើសវនកម្ម ការចែករំលែកចំណេះដឹងដំណើរការបានល្អ។ ប្រសិនបើ "ផ្គរលាន់" នៅក្នុងគម្រោងណាមួយនោះ វាជាការល្អសម្រាប់អ្នកដែលនៅសល់ដើម្បីដឹងអំពីវា ហើយមានពេលវេលាដើម្បីចាត់វិធានការចាំបាច់។

4 ជំហាន. ធ្វើឯកសារទាំងអស់ពន្យល់អំពីច្បាប់៖ មានរចនាសម្ព័ន្ធច្បាស់លាស់ និងសង្ខេប។

ដូចដែលការអនុវត្តបង្ហាញ គ្មាននរណាម្នាក់អានអត្ថបទច្រើនទំព័រវែងនោះទេ។ ឯកសារត្រូវតែសរសេរជាភាសាសាមញ្ញ។ ដូចគ្នានេះផងដែរ វាត្រូវតែស្របតាមគោលបំណងអាជីវកម្ម និងត្រូវបានអនុម័តដោយអ្នកគ្រប់គ្រងកំពូល - នេះនឹងជាអាគុយម៉ង់ដ៏មានឥទ្ធិពលសម្រាប់បុគ្គលិកថាហេតុអ្វីបានជាច្បាប់ទាំងនេះចាំបាច់ត្រូវអនុវត្តតាម។

5 ជំហាន. ធ្វើការបណ្តុះបណ្តាល ការពិភាក្សា ហ្គេមអាជីវកម្ម និងផ្សេងៗទៀត។

ជារឿយៗមនុស្សមិនយល់ពីរបៀបដែលច្បាប់ជាក់លាក់ទាក់ទងនឹងការងារជាក់លាក់របស់ពួកគេ ដូច្នេះអ្នកត្រូវផ្តល់ឧទាហរណ៍ ពន្យល់ បង្ហាញពីរបៀបដែលពួកគេអាចអនុវត្តវាបាន។ នៅទីនេះវាមានសារៈសំខាន់ណាស់ក្នុងការបង្ហាញពីផលវិបាក រហូតដល់ការបាត់បង់អាជីវកម្ម និងផលវិបាកជាក់លាក់ណាមួយដែលកំពុងរង់ចាំបុគ្គលិក រហូតដល់ការទទួលខុសត្រូវព្រហ្មទណ្ឌ។

ដើម្បីអនុវត្តទាំងអស់ខាងលើនៅក្នុងក្រុមហ៊ុនមួយ ធនធានគឺចាំបាច់ទាំងសម្ភារៈ និងមនុស្ស។ ដូច្នេះហើយឥឡូវនេះនៅក្នុងក្រុមហ៊ុនជាច្រើនមុខតំណែងជានាយកសន្តិសុខព័ត៌មាន (CISO) បានចាប់ផ្តើមលេចឡើង។ សូមអរគុណចំពោះមុខតំណែងនេះ វាអាចបង្ហាញដល់អ្នកដឹកនាំអាជីវកម្មអំពីសារៈសំខាន់នៃការលើកកម្ពស់ការសម្រេចចិត្តណាមួយ ការបែងចែកមូលនិធិជាដើម។ CISO អាចលើកកម្ពស់សន្តិសុខព័ត៌មាននៅក្នុងក្រុមហ៊ុនគ្រប់កម្រិត។

ភារកិច្ចដែលគាត់ធ្វើគឺទូលំទូលាយ៖ ការប្រាស្រ័យទាក់ទងជាមួយអ្នកគ្រប់គ្រងកំពូល យុត្តិកម្មនៃការសម្រេចចិត្តជាក់លាក់ ការទំនាក់ទំនងជាមួយម្ចាស់ដំណើរការដើម្បីអនុវត្តសន្តិសុខលើគ្រប់វិស័យ។ ទាក់ទងនឹងការគំរាមកំហែងតាមអ៊ីនធឺណិត គាត់គឺជាចំណុចនៃទំនាក់ទំនង ខណៈពេលដែលគាត់គ្រប់គ្រង កំណត់យុទ្ធសាស្រ្តសម្រាប់ការឆ្លើយតបទៅនឹងការគំរាមកំហែងតាមអ៊ីនធឺណិត និងសម្របសម្រួលការងារដើម្បីឆ្លើយតបទៅនឹងការវាយប្រហារ។

ការបណ្តុះបណ្តាលបុគ្គលិក៖ ពិបាក វែង ប៉ុន្តែចាំបាច់

ទោះជាយ៉ាងណាក៏ដោយ មុននឹងបង្រៀនមនុស្សអំពីច្បាប់មួយចំនួន អ្នកត្រូវយល់រឿងមួយ៖ អ្នកមិនអាចពឹងផ្អែកលើកត្តាមនុស្សបានទេ វាអាចមានអ្វីផ្សេងទៀតនៅពីក្រោយវា - កង្វះធនធាន ចំណេះដឹង ឬបច្ចេកវិទ្យា។ ខាងក្រោមនេះជាវិធីសាស្ត្រដ៏មានប្រសិទ្ធភាពបំផុតគឺការវិភាគរកមូលហេតុពិត ដើម្បីឈានទៅរកមូលហេតុដើម។

នៅពេលធ្វើការជាមួយមនុស្ស ចាំបាច់ត្រូវជ្រើសរើសគន្លឹះសម្រាប់មនុស្សគ្រប់គ្នាតាមព្យញ្ជនៈ។ មនុស្ស​ទាំងអស់​គឺ​ខុស​គ្នា ដូច្នេះ​ហើយ​វិធី​ដែល​ត្រូវ​អនុវត្ត​គឺ​ខុស​គ្នា។ នៅក្នុងការសម្ភាសន៍មួយជាមួយនិយោជិត អ្នកឯកទេសបានប្រាប់ខ្ញុំថា: ខ្ញុំនឹងធ្វើអ្វីមួយ លុះត្រាតែខ្ញុំដឹងថាខ្ញុំនឹងត្រូវទទួលទោសចំពោះការមិនបំពេញតម្រូវការ។ ហើយផ្ទុយទៅវិញ សម្រាប់អ្នកខ្លះ មានតែសកម្មភាពលើកទឹកចិត្តវិជ្ជមានប៉ុណ្ណោះ ដូចជាការវាយតម្លៃល្អនៃគុណភាពការងារ ការលើកទឹកចិត្តសម្រាប់ការបញ្ចប់វគ្គបណ្តុះបណ្តាលប្រកបដោយជោគជ័យ។

មានមតិមួយដែលអ្នកឯកទេសសន្តិសុខព័ត៌មានតែងតែដើរតួជាហ្វ្រាំងលើការច្នៃប្រឌិត ជាពិសេសនៅពេលដែលពួកគេដាក់កម្រិតលើការប្រើប្រាស់បច្ចេកវិទ្យាថ្មីៗ និងគំរូអាជីវកម្ម។ នេះប្រហែលជាករណីនេះពិតមែន ប៉ុន្តែវាជាការសំខាន់ដែលត្រូវចងចាំដូចខាងក្រោម៖ “សុវត្ថិភាពគឺដូចជាហ្វ្រាំងនៅលើឡានរបស់អ្នក។ មុខងាររបស់ពួកគេគឺធ្វើឱ្យអ្នកយឺត។ ប៉ុន្តែគោលបំណងរបស់ពួកគេគឺចង់ឱ្យអ្នកទៅលឿន។ វេជ្ជបណ្ឌិត Gary Hinson” (“សុវត្ថិភាពគឺដូចជាហ្វ្រាំងនៅលើឡានរបស់អ្នក។ មុខងាររបស់ពួកគេគឺធ្វើឱ្យអ្នកបន្ថយល្បឿន។ ប៉ុន្តែគោលបំណងរបស់ពួកគេគឺដើម្បីឱ្យអ្នកអាចធ្វើដំណើរបានលឿន”)។ វាជារឿងសំខាន់ដែលត្រូវយល់ថា បើគ្មានច្បាប់ទាំងនេះ វាមិនអាចទៅរួចទេក្នុងការបន្តទៅមុខទៀត ពីព្រោះនៅចំណុចខ្លះ អ្នកនឹងមិនអាចអភិវឌ្ឍអាជីវកម្មរបស់អ្នកបានទេ ប្រសិនបើអ្នកមិនការពារខ្លួនអ្នកពីការគំរាមកំហែងតាមអ៊ីនធឺណិត និងគ្រប់គ្រងហានិភ័យសុវត្ថិភាពព័ត៌មាន។ ដើម្បីធ្វើសមតុល្យ ក្រុមហ៊ុនរបស់យើងប្រើវិធីសាស្រ្តផ្អែកលើហានិភ័យ ដែលជាមូលដ្ឋាននៃស្តង់ដារ ISO 27001 ។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យយើងជ្រើសរើសតម្រូវការដែលអនុវត្តចំពោះយើង និងវិធានការសុវត្ថិភាពដែលចាំបាច់ដើម្បីការពារខ្លួនយើង។ ពីការគំរាមកំហែងដែលទាក់ទងនឹងយើង។ ដោយមានជំនួយពីវិធីសាស្រ្តនេះ យើងក៏អាចជ្រើសរើសតាមទស្សនៈហិរញ្ញវត្ថុផងដែរ៖ តើវាសមស្របយ៉ាងណាក្នុងការអនុវត្តវិធានការជាក់លាក់។ ជាឧទាហរណ៍ យើងអាចដាក់ម៉ាស៊ីនស្កែនជីវមាត្រនៅគ្រប់បន្ទប់ប្រជុំ ប៉ុន្តែតើយើងត្រូវការវាប៉ុន្មាន តើតម្លៃអ្វីដែលនាំមក ហានិភ័យអ្វីខ្លះដែលវាកាត់បន្ថយ? ចម្លើយគឺមិនតែងតែច្បាស់នោះទេ។

យើងនៅសេវាកម្ម ICL យល់ថាការរក្សាការសម្ងាត់នៃព័ត៌មានដែលយើងធ្វើការជាមួយគឺមានសារៈសំខាន់សម្រាប់យើង សម្រាប់រឿងនេះ យើងអ៊ិនគ្រីបកុំព្យូទ័រយួរដៃ ពីព្រោះទោះបីជាកុំព្យូទ័រយួរដៃបាត់ក៏ដោយ ព័ត៌មាននឹងមិនធ្លាក់ចូលទៅក្នុងដៃរបស់អ្នកឈ្លានពានឡើយ។ នេះ​ជា​ការ​រិះ​គន់ ហើយ​យើង​ត្រៀម​ខ្លួន​ជា​ស្រេច​ក្នុង​ការ​ចំណាយ​ប្រាក់​លើ​រឿង​នេះ។

ខ្ញុំជឿថានេះជាមធ្យោបាយតែមួយគត់ក្នុងការធ្វើសមតុល្យរវាងសុវត្ថិភាព និងតម្លៃអាជីវកម្ម៖ ជ្រើសរើស ដឹងអំពីការបង្កើតថ្មី ហើយតែងតែវាយតម្លៃហានិភ័យ (ចំពោះតម្លៃនៃការអនុវត្តហានិភ័យគឺអាចប្រៀបធៀបទៅនឹងតម្លៃនៃការទិញដំណោះស្រាយសុវត្ថិភាពមួយ ឬមួយផ្សេងទៀត។ )

វិធីសាស្រ្តរួមបញ្ចូលគ្នាគឺជារូបមន្តដ៏ល្អសម្រាប់សុវត្ថិភាពព័ត៌មាន

តាមគំនិតរបស់ខ្ញុំ វិធីសាស្រ្តរួមបញ្ចូលគ្នាក្នុងការធ្វើការជាមួយសន្តិសុខគឺមានប្រសិទ្ធភាពបំផុត ពីព្រោះសុវត្ថិភាពព័ត៌មានគឺជាបញ្ហានៃការយល់ដឹងរបស់មនុស្ស អាកប្បកិរិយា និងការរៀបចំត្រឹមត្រូវនៃដំណើរការអាជីវកម្ម ដោយគិតពីតម្រូវការសុវត្ថិភាព។ ឧប្បត្តិហេតុភាគច្រើនកើតឡើងដោយសារតែបុគ្គលិក៖ មនុស្សធ្វើខុស អស់កម្លាំង ពួកគេអាចចុចប៊ូតុងខុស ដូច្នេះជោគជ័យពាក់កណ្តាលគឺកម្រិតបច្ចេកទេស ពីឧបទ្ទវហេតុអចេតនាចៃដន្យ ពាក់កណ្តាលទៀតគឺជាវប្បធម៌សុវត្ថិភាពរបស់បុគ្គលិកម្នាក់ៗ។

ដូច្នេះ វាមានសារៈសំខាន់ណាស់ក្នុងការធ្វើការសន្ទនា និងការបណ្តុះបណ្តាលបង្ការ។ នៅក្នុងពិភពលោកនាពេលបច្ចុប្បន្ននេះ ការគំរាមកំហែងតាមអ៊ីនធឺណិតត្រូវបានរចនាឡើងសម្រាប់មនុស្ស៖ ប្រសិនបើអ្នកទទួលបានអ៊ីមែលបន្លំ វាគ្មានគ្រោះថ្នាក់ទាល់តែអ្នកទៅដល់តំណ ហើយចុចលើវា។ នៅក្នុងក្រុមហ៊ុនរបស់យើង មានការសង្កត់ធ្ងន់លើស្មារតីរបស់បុគ្គលិក លើការធ្វើការជាមួយមនុស្ស លើការយល់ដឹង។ អញ្ចឹង ចំណុចទី៣ គឺការរៀបចំ ប្រជាពលរដ្ឋត្រូវតែចេះច្បាប់ ច្បាប់ត្រូវតែសរសេរ ត្រូវតែមានគោលការណ៍ជាក់លាក់ ដែលគ្រប់គ្នាត្រូវធ្វើតាម។

សូមចងចាំថា៖ ការគំរាមកំហែងតាមអ៊ីនធឺណិតគឺជារឿងធម្មតាណាស់នៅក្នុងពិភពលោក ហើយក្នុងពេលជាមួយគ្នានោះ ផលវិបាកនៃការវាយប្រហារគឺធ្ងន់ធ្ងរណាស់ រហូតដល់ការបាត់បង់អាជីវកម្មទាំងស្រុង ការក្ស័យធន។ ជាធម្មតាបញ្ហាគឺស្ថិតនៅក្នុងរបៀបវារៈ។ សន្តិសុខនៅក្នុងពេលវេលារបស់យើងគឺគ្រាន់តែមានកាតព្វកិច្ចជាផ្នែកនៃ វប្ប​ធ​ម៍​របស់​ក្រុមហ៊ុនហើយអ្នកគ្រប់គ្រងកំពូលគឺជាភាគីដែលចាប់អារម្មណ៍ដំបូងក្នុងបញ្ហានេះ ចាប់តាំងពីវាគ្រប់គ្រងអាជីវកម្ម ហើយនៅពេលដែលហានិភ័យត្រូវបានដឹង ពួកគេនឹងទទួលខុសត្រូវជាមុនសិន។

នេះគឺជាគន្លឹះមួយចំនួនដើម្បីជួយបុគ្គលិករបស់អ្នកជៀសវាងឧប្បត្តិហេតុសុវត្ថិភាពតាមអ៊ីនធឺណិត៖

1. អ្នកមិនអាចធ្វើតាមតំណដែលមិនបានបញ្ជាក់;
2. កុំចែកចាយព័ត៌មានសម្ងាត់;
3. អ្នក​មិន​អាច​សរសេរ​លេខ​សម្ងាត់​លើ​ក្រដាស​មួយ​សន្លឹក ហើយ​បិទ​ស្ទីគ័រ​បាន​ទេ។
4. កុំប្រើមេឌៀ USB ដែលអ្នកមិនប្រាកដអំពី (អ្នកវាយប្រហារអាចទុកឧបករណ៍រាងកាយដែលមានមេរោគនៅក្នុងកន្លែងដែលជនរងគ្រោះពិតជានឹងរកវាឃើញ);
5. នៅពេលចុះឈ្មោះនៅលើគេហទំព័រ ដោយចង្អុលបង្ហាញលេខទូរស័ព្ទ និងអាសយដ្ឋានប្រៃសណីយ៍ រកមើលដោយប្រុងប្រយ័ត្ននូវអ្វីដែលព័ត៌មាននេះត្រូវការសម្រាប់ ប្រហែលជាតាមរបៀបនេះអ្នកជាវព្រឹត្តិប័ត្រព័ត៌មានដែលបង់ប្រាក់។

ខ្ញុំសង្ឃឹមថាយូរ ៗ ទៅសន្តិសុខនឹងក្លាយជាធាតុសំខាន់នៃវប្បធម៌សាជីវកម្មនៅគ្រប់ក្រុមហ៊ុនទាំងអស់។

អ្នកអាចធ្វើជាម្ចាស់យ៉ាងល្អឥតខ្ចោះនូវជំនាញសម្រាប់ធ្វើការក្នុងវិស័យសន្តិសុខព័ត៌មាននៅមហាវិទ្យាល័យ។