Verslo, kaip sistemos, informacijos saugumas. Informacijos saugumas įmonėje. Pagrindiniai verslo informacijos apsaugos metodai
Bet kokios įmonės ar įmonės, nesvarbu, didelės ar mažos, egzistavimas yra neįmanomas be tam tikros rūšies duomenų, kurių negalima atskleisti ar perduoti pašaliniams asmenims. Tai apima ir darbuotojų asmeninius duomenis, ir klientų bazę, ir unikalius pokyčius, ir, žinoma, finansinius ir apskaitos dokumentus. Verslo informacijos saugumas reiškia visų šių duomenų apsaugą nuo neteisėtos pašalinių asmenų prieigos, kopijavimo, sunaikinimo, atskleidimo ir pan. Patiems užtikrinti tinkamą informacijos saugumo lygį beveik neįmanoma, todėl šiuo klausimu geriau kreiptis į profesionalų pagalbą.
Informacijos saugumo problemos – grėsmė verslui
Tiesą sakant, verslo informacijos saugumui pavojų gali kelti ne tik sąmoningi įsibrovėlių veiksmai. Labai dažnai informacijos nutekėjimas įvyksta dėl neatsargumo ir neatsargus požiūris darbuotojų. Todėl labai svarbu nustatyti informacijos saugumo sistemos silpnąsias vietas ir tik tada užtikrinti tinkamą duomenų apsaugą visais lygmenimis.
Kiekvienoje didelėje ar mažoje įmonėje yra tokie informacijos blokai, kurie sudaro pagrindą sėkmingam verslo vystymuisi. Tai, visų pirma, klientų bazė, technologijų ypatybės gamybos procesas, duomenys apie grynųjų pinigų ir medžiagų judėjimą techninėmis priemonėmis buhalterinėje apskaitoje, finansinėje veikloje ir kt.
Nuo to, kaip patikimai yra apsaugoti nuo nutekėjimo šios informacijos judėjimo kanalai, priklauso įmonės plėtros rezultatai, jos konkurencingumas ir pelningumas. Būtent todėl norėdami sukurti patikimą informacijos apsaugos sistemą, turėtumėte kreiptis į profesionalus.
Užsisakykite verslo informacijos apsaugą
BZPT teikia profesionalias informacijos saugos paslaugas. Greitai ir efektyviai atliksime įmonės saugumo auditą ir tik tada parinksime ir įdiegsime reikiamus apsaugos būdus.
Kaip mes dirbame
- Paraiška arba skambinti
- Asmeninis susitikimas, detalių patikslinimas
- Kainos apskaičiavimas ir sutarties sudarymas
- Darbo užbaigimas
- Ataskaitos teikimas
- Mokėjimas
Kodėl verta rinktis mūsų paslaugas
- 100% konfidencialumas
- Nedelsiant
- Atitiktis galiojančiais teisės aktais
- Nemokamos konsultacijos
Kodėl verslo apsaugą verta patikėti profesionalams?
Verslo saugumas yra viena iš svarbiausių sričių bet kurioje komercinėje srityje. Su juo gali susitvarkyti ir pats vadovas, ir specialiai paskirtas asmuo ar visas padalinys. Šiandien tapo gana populiaru naudotis trečiosios šalies įmonės paslaugomis. Jūsų verslo saugumas bus visiškai kontroliuojamas, jei kreipsitės į patyrusius specialistus, kurie išmano daugybę subtilybių ir yra pasiruošę garantuoti visų įvykių patikimumą. Todėl kreiptis į profesionalus – racionalesnė išeitis?
Kaip rodo praktika, etatiniai darbuotojai nesugeba efektyviai sukurti įmonės apsaugos sistemos dėl nepakankamos kompetencijos, mokymo ir specialių žinių stokos. Be to, patirtis rodo, kad dažnai susiklosčius probleminei situacijai, dėl kurios patiriami finansiniai nuostoliai. Norint to išvengti, būtina laiku pasirūpinti apsaugos sistema, kurios objektai yra turtas ir finansiniai ištekliai, darbuotojų ir administracijos darbuotojų veikla, materialinė bazė, informaciniai ištekliai ir kt.
Verslo informacijos apsaugos paslaugos Maskvoje
Neretai, kalbėdami apie įmonės informacijos saugumo užtikrinimą, turima omenyje išorinės įsilaužimo grėsmės, įsilaužėlių atakos ir pan. Tačiau tokie „šnipų“ veiksmai labai retai jiems duoda kokių nors rezultatų. Dažniausiai nutekėjimas įvyksta dėl tyčinės ar netyčinės įmonės darbuotojų kaltės. Daugeliu atžvilgių žalos dydis dėl viešai neatskleistų asmenų veiksmų priklauso nuo to, kiek tokia grėsmė buvo neįvertinta. Todėl verslo informacijos saugumas turi būti patikėtas profesionalams. Tik patyrę ir kvalifikuoti mūsų įmonės darbuotojai geba įvertinti visas galimas rizikas ir įdiegti kompetentingą apsaugos sistemą.
Komercinės paslapties apsauga
Ar norėtumėte apsaugoti savo komercinę paslaptį? Ar įtariate, kad konkurentai naudoja nelegalius metodus? Jau šiandien turime visas galimybes suteikti Jūsų verslui. Iki šiol mūsų didelę patirtį informacijos saugumo srityje, taip pat gebėjimą spręsti nestandartines ir sudėtingas užduotis įvertino daugybė mūsų klientų. Jūsų partnerių, tiekėjų ir platintojų duomenų bazė, apskaitos ataskaitos, verslo korespondencija, informacija apie unikalias technologijas ir verslo strategijas bus saugiai apsaugota mūsų įmonės ekspertų.
Būdama viena iš konfidencialios informacijos rūšių, komercinė paslaptis, kaip institucija, grindžiama ne tiesioginiais įstatymų leidybos nurodymais, o teise turėti informaciją (kaip nuosavybę), o tai gali lemti įmonės praturtėjimą ir žalą. Todėl, kalbant apie tai, komercinė paslaptis tampa neatskiriama privalomų priemonių dalimi šią kryptį. Visų pirma, nustatomas prieigos prie tam tikros informacijos būdas ir užkertamas kelias neteisėtam jos naudojimui.
Švietimo ir mokslo ministerija Rusijos Federacija
federalinis biudžetas švietimo įstaiga
aukštasis profesinis išsilavinimas
„PERM NACIONALINIAI TYRIMAI
POLITECHNINIS UNIVERSITETAS“
pagal discipliną
ĮMONĖS INFORMACIJOS SAUGA
Tema "Informacijos saugumas versle "Alfa-Bank" pavyzdžiu
Baigė studentas
FK-11B grupė:
Smyshlyaeva Maria Sergeevna
Patikrintas mokytojo:
Šaburovas Andrejus Sergejevičius
Permė – 2013 m
Įvadas
Išvada
Bibliografija
Įvadas
Daugumos įmonių informaciniai ištekliai yra vieni vertingiausių išteklių. Dėl šios priežasties komercinė, konfidenciali informacija ir asmens duomenys turi būti patikimai apsaugoti nuo piktnaudžiavimo, bet tuo pačiu lengvai prieinami subjektams, dalyvaujantiems šios informacijos tvarkyme ar naudojantiems pavestų užduočių vykdymo procese. Tam naudojamos specialios priemonės prisideda prie įmonės verslo tvarumo ir gyvybingumo.
Kaip rodo praktika, aktualiausias tapo verslo apsaugos organizavimo šiuolaikinėmis sąlygomis klausimas. Internetinės parduotuvės „atidaromos“, o klientų kreditinės kortelės ištuštėja, kazino ir loterijos šantažuojami, įmonių tinklai patenka į žemę. išorės valdymas, kompiuteriai yra „zombinami“ ir įtraukiami į botnetus, o sukčiavimas naudojant pavogtus asmens duomenis tampa katastrofa nacionaliniu mastu.
Todėl įmonių vadovai turi suvokti informacijos saugumo svarbą, išmokti numatyti ir valdyti šios srities tendencijas.
Šio darbo tikslas – Alfa-Bank pavyzdžiu nustatyti verslo informacijos apsaugos sistemos privalumus ir trūkumus.
Alfa-Bank OJSC veiklos charakteristikos
„Alfa-Bank“ buvo įkurtas 1990 m. „Alfa-Bank“ yra universalus bankas, vykdantis visas pagrindines bankines operacijas finansinių paslaugų rinkoje, įskaitant privačių ir verslo klientų aptarnavimą, investicinę bankininkystę, prekybos finansavimą ir turto valdymą.
„Alfa-Bank“ pagrindinė buveinė yra Maskvoje, iš viso Rusijos regionuose ir užsienyje atidaryti 444 banko filialai ir filialai, tarp jų – dukterinis bankas Nyderlanduose bei finansinės antrinės įmonės JAV, Didžiojoje Britanijoje ir Kipre. „Alfa-Bank“ dirba apie 17 000 darbuotojų.
„Alfa-Bank“ yra didžiausias Rusijos privatus bankas pagal bendrą turtą, bendrą kapitalą ir indėlius. Bankas turi didelę klientų bazę tiek verslo klientų, tiek asmenys. „Alfa-Bank“ vystosi kaip universalus bankas pagrindinėse srityse: verslo ir investicijų versle (įskaitant smulkųjį ir vidutinis verslas(MVĮ), prekyba ir struktūrizuotas finansavimas, lizingas ir faktoringas), mažmeninė prekyba (įskaitant bankininkystę filialuose, paskolas automobiliui ir hipoteką). Ypatingas dėmesys skiriamas bankinių produktų verslo verslui masinio ir SVV segmentuose kūrimui bei nuotolinių savitarnos kanalų plėtrai ir priėmimui internetu. „Alfa-Bank“ strateginiai prioritetai – išlaikyti pirmaujančio privataus banko Rusijoje statusą, stiprinti stabilumą, didinti pelningumą, nustatyti pramonės standartus technologijų, efektyvumo, klientų aptarnavimo ir komandinio darbo srityse.
„Alfa-Bank“ yra vienas aktyviausių Rusijos bankų pasaulinėse kapitalo rinkose. Pirmaujančios tarptautinės reitingų agentūros suteikia „Alfa-Bank“ vieną aukščiausių reitingų tarp Rusijos privačių bankų. Jis keturis kartus iš eilės užėmė 1 vietą klientų patirties indekse. Mažmeninės bankininkystės sektorius po finansinės krizės, kurį vykdė „Senteo“ kartu su „PricewaterhouseCoopers“, taip pat 2012 metais „Alfa-Bank“ žurnalo „GlobalFinance“ buvo pripažintas geriausiu interneto banku, Nacionalinės vertybinių popierių rinkos dalyvių asociacijos (NAUFOR) apdovanotas už geriausią analizę. tapo geriausiu Rusijos privačiu banku pagal tyrimų holdingo „Romir“ apskaičiuotą pasitikėjimo indeksą.
Šiandien bankas turi federalinio masto tinklą, apimantį 83 pardavimo taškus. „Alfa Bank“ turi vieną didžiausių tinklų tarp komercinių bankų, susidedantį iš 55 biurų ir apimantį 23 miestus. Plečiantis tinklą, bankas turi papildomų galimybių plėsti savo klientų bazę, plėsti bankinių produktų asortimentą ir kokybę, įgyvendinti tarpregionines programas, teikti kompleksines paslaugas pagrindiniams klientams iš didžiausių įmonių.
Verslo informacijos saugumo klausimo teorinių pagrindų analizė
Aktualumaso informacijos saugumo užtikrinimo problemos svarbą lemia šie veiksniai:
· Šiuolaikiniai informacijos saugumo priemonių išsivystymo lygiai ir tempai gerokai atsilieka nuo informacinių technologijų plėtros lygių ir tempų.
· Dideli asmeninių kompiuterių, naudojamų įvairiose žmogaus veiklos srityse, parko augimo tempai. Remiantis „Gartner Dataquest“ atliktais tyrimais, šiuo metu pasaulyje yra daugiau nei milijardas asmeninių kompiuterių.
informacijos saugumo verslo bankas
· Staigus vartotojų, turinčių tiesioginę prieigą prie skaičiavimo išteklių ir duomenų masyvų, rato išplėtimas;
Šiuo metu labai išaugo bankuose saugomos informacijos svarba, sutelkta svarbi ir dažnai slapta informacija apie finansines ir ekonominė veikla daug žmonių, įmonių, organizacijų ir net ištisų valstybių. Bankas saugo ir apdoroja vertingą informaciją, turinčią įtakos daugelio žmonių interesams. Bankas saugo svarbią informaciją apie savo klientus, todėl išplečiamas potencialių įsibrovėlių, suinteresuotų pavogti ar sugadinti tokią informaciją, ratas.
Daugiau nei 90% visų nusikaltimų yra susiję su banko automatizuotų informacijos apdorojimo sistemų naudojimu. Todėl bankai, kurdami ir modernizuodami ASOIB, turi daug dėmesio skirti jo saugumui užtikrinti.
Didžiausias dėmesys turėtų būti skiriamas bankų kompiuteriniam saugumui, t. banko automatizuotų informacijos apdorojimo sistemų saugumas, kaip aktualiausia, sudėtingiausia ir neatidėliotina problema bankinės informacijos saugumo srityje.
Spartus informacinių technologijų vystymasis atvėrė naujas verslo galimybes, bet lėmė ir naujų grėsmių atsiradimą. Dėl konkurencijos šiuolaikiniai programinės įrangos produktai parduodami su klaidomis ir trūkumais. Kūrėjai, įtraukdami į savo gaminius įvairias funkcijas, nespėja kokybiškai atlikti sukurtų programinių sistemų derinimo. Šiose sistemose paliktos klaidos ir trūkumai lemia atsitiktinius ir tyčinius informacijos saugumo pažeidimus. Pavyzdžiui, daugumos atsitiktinio informacijos praradimo priežastys yra programinės ir techninės įrangos veikimo sutrikimai, o dauguma atakų prieš kompiuterines sistemas yra pagrįstos programinės įrangos klaidomis ir trūkumais. Taigi, pavyzdžiui, per pirmuosius šešis mėnesius po „Microsoft Windows“ serverio operacinės sistemos išleidimo buvo aptikta 14 spragų, iš kurių 6 yra kritinės. Nors laikui bėgant „Microsoft“ kuria pakeitimų paketus, kurie pašalina nustatytus trūkumus, vartotojai jau kenčia nuo informacijos saugumo pažeidimų dėl likusių klaidų. Kol šios daugelis kitų problemų nebus išspręstos, nepakankamas informacijos saugumo lygis bus rimtas informacinių technologijų plėtros stabdis.
Pagal informacijos saugumassuprantamas informacijos ir pagalbinės infrastruktūros saugumas nuo atsitiktinio ar tyčinio natūralaus ar dirbtinio poveikio, galinčio padaryti neleistiną žalą informacinių santykių subjektams, įskaitant informacijos ir pagalbinės infrastruktūros savininkus ir naudotojus.
Šiuolaikiniame verslo pasaulyje vyksta materialinių vertybių migracijos į informacinį procesas. Organizacijai tobulėjant, jos informacinė sistema tampa sudėtingesnė, kurios pagrindinis uždavinys – užtikrinti maksimalų verslo efektyvumą nuolat kintančioje konkurencinės rinkos aplinkoje.
Informaciją vertindami kaip prekę, galime teigti, kad informacijos saugumo užtikrinimas apskritai gali leisti sutaupyti daug išlaidų, o jai padaryta žala – materialines išlaidas. Pavyzdžiui, atskleidus originalaus gaminio gamybos technologiją, atsiras panašus, bet kito gamintojo produktas, o dėl informacijos saugumo pažeidimo technologijos savininkas, o gal ir autorius, neteks. rinkos dalis ir kt. Kita vertus, informacija yra kontrolės objektas, o jos pasikeitimas gali sukelti katastrofiškas pasekmes valdymo objekte.
Pagal GOST R 50922-2006 informacijos saugumo užtikrinimas yra veikla, kuria siekiama užkirsti kelią informacijos nutekėjimui, neteisėtam ir netyčiniam poveikiui saugomai informacijai. Informacijos saugumas aktualus tiek įmonėms, tiek valstybinėms įstaigoms. Siekiant visapusiškai apsaugoti informacinius išteklius, vykdomi informacijos saugumo sistemų kūrimo ir tobulinimo darbai.
Yra daug priežasčių, kurios gali rimtai paveikti vietinių ir pasaulinių tinklų veikimą, todėl prarandama vertinga informacija. Tarp jų yra šie:
Neteisėta prieiga iš išorės, informacijos kopijavimas ar keitimas atsitiktiniai ar tyčiniai veiksmai, dėl kurių:
duomenų iškraipymas ar sunaikinimas;
pašalinių asmenų supažindinimas su informacija, sudarančia bankinę, finansinę ar valstybės paslaptį.
Netinkamas programinės įrangos veikimas, dėl kurio prarandami arba sugadinami duomenys dėl:
programos ar tinklo programinės įrangos klaidos;
kompiuterio viruso infekcija.
Techninės įrangos gedimai dėl:
elektros energijos tiekimo nutraukimas;
disko sistemų ir duomenų archyvavimo sistemų gedimas;
serverių, darbo stočių, tinklo plokščių, modemų trikdžiai.
Aptarnaujančio personalo klaidos.
Žinoma, nėra universalaus sprendimo, tačiau daugelis organizacijų sukūrė ir įdiegė technines ir administracines priemones, kad sumažintų duomenų praradimo ar neteisėtos prieigos riziką.
Iki šiol yra didelis informacijos saugumo užtikrinimo metodų arsenalas, kuris taip pat naudojamas „Alfa-Bank“:
· vartotojų identifikavimo ir autentifikavimo priemonės (vadinamasis kompleksas 3A);
· Kompiuteriuose saugomos ir tinklais perduodamos informacijos šifravimo priemonės;
· ugniasienės;
· virtualūs privatūs tinklai;
· turinio filtravimo įrankiai;
· diskų turinio vientisumo tikrinimo įrankiai;
· antivirusinės apsaugos priemonės;
· tinklo pažeidžiamumo aptikimo sistemos ir tinklo atakų analizatoriai.
„3A kompleksas“ apima autentifikavimą (arba identifikavimą), autorizavimą ir administravimą. Identifikavimasir leidimas yra pagrindiniai informacijos saugumo elementai. Kai bandote pasiekti bet kurią programą, identifikavimo funkcija pateikia atsakymą į klausimą: "Kas tu esi?" ir "Kur tu esi?", ar esate įgaliotas programos vartotojas. Autorizacijos funkcija yra atsakinga už tai, prie kokių išteklių konkretus vartotojas turi prieigą. Administravimo funkcija yra suteikti vartotojui tam tikras identifikavimo funkcijas tam tikrame tinkle ir nustatyti jam leidžiamų veiksmų apimtį. Alfa-Banke atidarant programas prašoma kiekvieno darbuotojo slaptažodžio ir prisijungimo, o atliekant bet kokias operacijas tam tikrais atvejais reikalingas skyriaus vedėjo ar jo pavaduotojo įgaliojimas.
Šifravimo sistemosleisti sumažinti nuostolius neteisėtai prieigai prie duomenų, saugomų standžiajame diske ar kitoje laikmenoje, taip pat perėmus informaciją, kai ji siunčiama per paštu arba perdavimo tinklo protokolais. Šio saugumo įrankio tikslas – užtikrinti konfidencialumą. Pagrindiniai reikalavimai šifravimo sistemoms yra aukštas kriptografinio stabilumo lygis ir naudojimo teisėtumas Rusijos (ar kitų valstybių) teritorijoje.
Ugniasienėyra sistema arba sistemų derinys, kuris sudaro apsauginę barjerą tarp dviejų ar daugiau tinklų, neleidžiančių neteisėtiems duomenų paketams patekti į tinklą arba iš jo išeiti. Pagrindinis ugniasienės veikimo principas. kiekvieno duomenų paketo tikrinimas, ar įeinantis ir išeinantis IP_adresas atitinka leistiną adresų bazę. Taigi ugniasienės ženkliai išplečia informacinių tinklų segmentavimo ir duomenų cirkuliacijos kontrolės galimybes.
Kalbant apie kriptografiją ir ugniasienes, reikėtų paminėti saugius virtualius privačius tinklus (Virtual Private Network – VPN). Jų naudojimas leidžia išspręsti duomenų konfidencialumo ir vientisumo problemas juos perduodant atvirais ryšio kanalais.
Veiksminga priemonė apsisaugoti nuo konfidencialios informacijos praradimo. Gaunamų ir siunčiamų el. laiškų turinio filtravimas. Elektroninio pašto žinučių ir jų priedų patvirtinimas pagal organizacijos nustatytas taisykles taip pat padeda apsaugoti įmones nuo atsakomybės ieškiniuose ir apsaugoti savo darbuotojus nuo šiukšlių. Turinio filtravimo įrankiai leidžia nuskaityti visų įprastų formatų failus, įskaitant suglaudintus ir grafinius. Tuo pačiu metu tinklo pralaidumas praktiškai nesikeičia.
Modernus antivirusinistechnologijos leidžia aptikti beveik visas jau žinomas virusų programas, lyginant įtartino failo kodą su antivirusinėje duomenų bazėje saugomais pavyzdžiais. Be to, buvo sukurtos elgesio modeliavimo technologijos, leidžiančios aptikti naujai sukurtas virusų programas. Aptiktus objektus galima dezinfekuoti, izoliuoti (karantiną) arba ištrinti. Apsauga nuo virusų gali būti įdiegta darbo vietose, failų ir pašto serveriuose, ugniasienėse, veikiančiose beveik visose įprastose operacinėse sistemose („Windows“, „Unix“ ir „Linux_systems“, „Novell“) įvairių tipų procesoriuose. Pašto filtrai žymiai sumažina neproduktyvias darbo sąnaudas, susijusias su šiukšlių analizavimu, sumažina srautą ir serverio apkrovą, pagerina psichologinį foną komandoje ir sumažina riziką, kad įmonės darbuotojai įsitrauks į nesąžiningus sandorius. Be to, šlamšto filtrai sumažina riziką užsikrėsti naujais virusais, nes laiškai, kuriuose yra virusų (net ir tie, kurie dar neįtraukti į antivirusinių duomenų bazes), dažnai rodo nepageidaujamo pašto požymius ir yra išfiltruojami. Tiesa, teigiamą šiukšlių filtravimo poveikį galima perbraukti, jei filtras kartu su šlamštu pašalina arba pažymi kaip šlamštą ir naudingus dalykinius ar asmeninius pranešimus.
Yra keletas tipiškiausių tipų ir metodų informaciniai grasinimai:
Komercinių paslapčių išslaptinimas ir vagystė. Jei anksčiau paslaptys buvo saugomos slaptose vietose, didžiuliuose seifuose, su patikima fizine ir (vėliau) elektronine apsauga, šiandien daugelis darbuotojų turi prieigą prie biuro duomenų bazių, kuriose dažnai yra labai jautrios informacijos, pavyzdžiui, tie patys klientų duomenys.
Kompromituojančių medžiagų platinimas. Tai yra darbuotojų sąmoningas ar netyčinis panaudojimas elektroninėje korespondencijoje tokia informacija, kuri meta šešėlį banko reputacijai.
Intelektinės nuosavybės pažeidimas. Svarbu nepamiršti, kad bet koks bankuose, kaip ir bet kurioje organizacijoje, pagamintas intelektinis produktas priklauso jai ir negali būti naudojamas darbuotojų (taip pat ir intelektinių vertybių kūrėjų bei autorių), išskyrus organizacijos interesus. Tuo tarpu Rusijoje šiuo klausimu dažnai kyla konfliktų tarp organizacijų ir darbuotojų, kurie pretenduoja į savo sukurtą intelektinį produktą ir naudoja jį asmeniniams interesams, kenkiant organizacijai. Taip dažnai nutinka dėl neaiškios teisinės padėties įmonėje, kai darbo sutartyje nėra aiškiai apibrėžtų normų ir taisyklių, nusakančių darbuotojų teises ir pareigas.
Viešai neatskleistos informacijos, kuri nėra slapta, bet gali būti naudinga konkurentams (kitiems bankams), platinimas (dažnai netyčia).
Apsilankymas konkuruojančių bankų interneto svetainėse. Dabar vis daugiau įmonių savo atvirose svetainėse naudoja programas (ypač skirtas CRM), kurios leidžia atpažinti lankytojus ir detaliai sekti jų maršrutus, fiksuoti puslapių peržiūros laiką ir trukmę svetainėje. Konkurentų svetainės buvo ir tebėra vertingas analizės ir prognozių šaltinis.
Piktnaudžiavimas biuro ryšiais asmeniniais tikslais (muzikos ir kito su darbu nesusijusio turinio klausymas, žiūrėjimas, biuro kompiuterio atsisiuntimas) nekelia tiesioginės grėsmės informacijos saugumui, tačiau sukuria papildomą įtampą įmonės tinkle, mažina efektyvumą, trukdo. su kolegų darbu.
Ir galiausiai išorinės grėsmės – nesankcionuoti įsilaužimai ir pan.
Banko priimtos taisyklės turi atitikti tiek nacionalinius, tiek tarptautiniu mastu pripažintus valstybės ir komercinių paslapčių, asmeninės ir privačios informacijos apsaugos standartus.
Organizacinė informacijos apsauga Alfa-Banke
Alfa Bank OJSC įdiegė saugumo politiką, pagrįstą atrankinės prieigos kontrolės metodu. Tokiam valdymui Alfa Bank OJSC būdingas administratoriaus nurodytas leidžiamų prieigos santykių rinkinys. Prieigos matricą tiesiogiai pildo įmonės sistemos administratorius. Atrankinės informacijos saugos politikos taikymas atitinka valdymo ir informacijos saugumo bei prieigos kontrolės, atskaitomybės reikalavimus, taip pat turi priimtinas jos organizavimo išlaidas. Informacijos saugumo politikos įgyvendinimas visiškai patikėtas Alfa Bank OJSC sistemos administratoriui.
Be esamos saugumo politikos, Alfa Bank OJSC naudoja specializuotą saugumo techninę ir programinę įrangą.
Apsaugos techninė įranga yra Cisco 1605. Maršrutizatoriuje yra dvi Ethernet sąsajos (viena su TP ir AUI sąsajomis, kita tik TP) skirta LAN ir vienas išplėtimo lizdas vienam iš Cisco 1600 serijos maršrutizatorių modulių montuoti. Cisco IOSFirewallFeatureSet programinė įranga daro Cisco 1605-R idealiu lanksčiu maršruto parinktuvo / saugos sprendimu mažam biurui. Priklausomai nuo įdiegto modulio, maršrutizatorius gali palaikyti ryšį tiek per ISDN, tiek per dial-up liniją arba skirtąją liniją nuo 1200 bps iki 2 Mbps, FrameRelay, SMDS, x.25.
Norėdami apsaugoti informaciją, LAN savininkas turi apsaugoti tinklo „perimetrą“, pavyzdžiui, nustatydamas kontrolę vidinio tinklo ir išorinio tinklo sandūroje. „Cisco IOS“ suteikia didelį lankstumą ir saugumą naudojant standartines funkcijas, tokias kaip išplėstiniai prieigos sąrašai (ACL), užrakinimo sistemos (dinaminės ACL) ir maršruto parinkimo leidimas. Be to, „Cisco IOS FirewallFeatureSet“, skirtas 1600 ir 2500 serijų maršruto parinktuvams, siūlo išsamias saugos funkcijas, įskaitant:
kontekstinė prieigos kontrolė (CBAC)
java užraktas
laivo žurnalas
atakų aptikimas ir prevencija
nedelsiant pranešti
Be to, maršrutizatorius palaiko virtualius perdangos tinklus, tunelius, prioritetų valdymo sistemą, išteklių rezervavimo sistemą ir įvairius maršruto valdymo metodus.
KasperskyOpenSpaceSecurity sprendimas naudojamas kaip programinės įrangos apsaugos įrankis. KasperskyOpenSpaceSecurity visiškai reaguoja šiuolaikiniai reikalavimaiįmonių tinklų apsaugos sistemoms:
visų tipų tinklo mazgų apsaugos sprendimas;
apsauga nuo visų tipų kompiuterių grėsmių;
veiksmingas Techninė pagalba;
„proaktyvios“ technologijos, derinamos su tradicine parašų apsauga;
naujoviškos technologijos ir naujas antivirusinis variklis, pagerinantis našumą;
paruošta naudojimui apsaugos sistema;
centralizuotas valdymas;
visiška vartotojų apsauga už tinklo ribų;
suderinamumas su trečiųjų šalių sprendimais;
efektyvus tinklo išteklių naudojimas.
Sukurta sistema turėtų užtikrinti pilną asmeninės informacijos apsaugos kontrolę, automatizuotą apskaitą ir analizę, sumažinti klientų aptarnavimo laiką, gauti informaciją apie informacijos saugos kodus ir asmens duomenis.
Norint suformuoti reikalavimą kuriamai sistemai, būtina suformuoti reikalavimus duomenų bazės organizavimui, informacijos suderinamumui kuriamai sistemai.
Duomenų bazės dizainas turėtų būti pagrįstas konkrečios organizacijos galutinių vartotojų nuomone – konceptualiais sistemos reikalavimais.
Šiuo atveju IS pateikiami duomenys apie įmonės darbuotojus. Viena iš technologijų, reikšmingai iliustruojančių informacinės sistemos veikimą, yra dokumentų darbo eigos schemos kūrimas.
Sukurtos sistemos funkcijos gali būti įgyvendinamos naudojant kompiuterines technologijas ir programinę įrangą. Atsižvelgiant į tai, kad banko specialistų veikloje informacijos, informacijos ir apskaitos dokumentų paieška sudaro apie 30% darbo laiko, įdiegus automatizuotą apskaitos sistemą bus gerokai atlaisvinti kvalifikuoti specialistai, galima sutaupyti darbo užmokesčio fondo, mažinti darbuotojų, bet gali būti supažindinti ir su operatoriaus personalo padalinio skyriaus darbuotojais, kurių pareigose bus įvesti informaciją apie vykstančius verslo procesus: asmens duomenų apskaitos dokumentus ir prieigos kodus.
Pažymėtina, kad įdiegus sukurtą sistemą, sumažės, o idealiu atveju – visiškai pašalintos asmeninės informacijos ir apsaugos kodų apskaitos klaidos. Taigi, įvedus automatizuotą vadovo darbo vietą, bus pasiektas reikšmingas ekonominis efektas, sumažės darbuotojų skaičius 1/3, sutaupoma darbo užmokesčio fondo, padidės darbo našumas.
„Alfa-Bank“, kaip ir bet kuris kitas bankas, sukūrė Informacijos saugumo politiką, kuri apibrėžia požiūrių į informacijos saugumo užtikrinimo problemą sistemą ir yra sistemingas apsaugos tikslų ir uždavinių išdėstymas, kaip viena ar kelios taisyklės, procedūros, praktika. ir gaires informacijos saugumo srityje.
Politikoje atsižvelgiama į esamą informacinių technologijų plėtros Banke būklę ir artimiausias perspektyvas, jų veiklos tikslus, uždavinius ir teisinę bazę, veikimo būdus, taip pat pateikiama grėsmių informacijos objektų ir subjektų saugumui analizė. Banko santykiai.
Pagrindinės šio dokumento nuostatos ir reikalavimai taikomi visiems struktūriniams Banko padaliniams, įskaitant papildomus biurus. Pagrindiniai klausimai Politika taip pat taikoma kitoms organizacijoms ir institucijoms, kurios vienaip ar kitaip bendrauja su Banku kaip Banko informacinių išteklių tiekėjai ir vartotojai.
Šios politikos įstatyminis pagrindas yra Rusijos Federacijos konstitucija, civilinis ir baudžiamasis kodeksai, įstatymai, dekretai, nutarimai ir kt. reglamentas galiojantys Rusijos Federacijos teisės aktai, Valstybinės techninės komisijos prie Rusijos Federacijos prezidento, Federalinės vyriausybės ryšių ir informacijos agentūros prie Rusijos Federacijos prezidento dokumentai.
Ši politika yra metodologinis pagrindas:
· vieningos politikos informacijos saugumo srityje formavimas ir įgyvendinimas Banke;
· priimant valdymo sprendimus ir rengiant praktines priemones informacijos saugumo politikai įgyvendinti bei parengti koordinuotų priemonių kompleksą, skirtą įvairių informacijos saugumo grėsmių įgyvendinimo pasekmėms nustatyti, atremti ir šalinti;
· veiklos koordinavimas struktūriniai padaliniai Bankui vykdydamas informacinių technologijų kūrimo, plėtros ir eksploatavimo darbus pagal informacijos saugumo užtikrinimo reikalavimus;
· pasiūlymų dėl teisinio, reguliavimo, techninio ir organizacinio informacijos saugumo Banke gerinimo rengimas.
Sisteminis požiūris kuriant informacijos saugos sistemą Banke, reikia atsižvelgti į visus tarpusavyje susijusius, sąveikaujančius ir laikui bėgant kintančius elementus, sąlygas ir veiksnius, kurie yra reikšmingi norint suprasti ir išspręsti Banko informacijos saugumo užtikrinimo problemą.
Informacijos saugumo užtikrinimas- procesas, kurį vykdo Banko vadovybė, informacijos saugumo padaliniai ir visų lygių darbuotojai. Tai ne tik ir ne tiek procedūra ar politika, kuri įgyvendinama per tam tikrą laikotarpį, ar priemonių rinkinys, bet procesas, kuris turi nuolat vykti visuose banko lygmenyse ir jame turi dalyvauti kiekvienas banko darbuotojas. šiame procese. Informacijos saugumo veikla yra neatsiejama Banko kasdienės veiklos dalis. O jos efektyvumas priklauso nuo Banko vadovybės dalyvavimo užtikrinant informacijos saugumą.
Be to, daugumai fizinių ir techninių apsaugos priemonių reikalingas nuolatinis organizacinis (administracinis) palaikymas, kad jie galėtų efektyviai atlikti savo funkcijas (laiku pakeisti ir užtikrinti teisingą vardų, slaptažodžių, šifravimo raktų saugojimą ir naudojimą, iš naujo apibrėžti įgaliojimus ir pan.). Apsaugos priemonių veikimo sutrikimus užpuolikai gali panaudoti analizuodami naudojamus apsaugos būdus ir priemones, įvesdami specialias programinės ir techninės įrangos „žymes“ ir kitas apsaugos įveikimo priemones.
Asmeninė atsakomybėprisiima atsakomybę už informacijos ir jos tvarkymo sistemos saugumo užtikrinimą kiekvienam darbuotojui savo įgaliojimų ribose. Vadovaujantis šiuo principu, darbuotojų teisės ir pareigos paskirstomos taip, kad bet kokio pažeidimo atveju būtų aiškiai žinomas arba sumažintas kaltininkų ratas.
„Alfa-Bank“ nuolat stebi bet kurio vartotojo veiklą, kiekviena saugos priemonė ir bet kurio apsaugos objekto atžvilgiu turėtų būti atliekama naudojant operatyvinės kontrolės ir registravimo priemones ir turėtų apimti tiek neteisėtus, tiek įgaliotus vartotojų veiksmus.
Bankas parengė šiuos organizacinius ir administracinius dokumentus:
· Nuostatai dėl komercinių paslapčių. Šis reglamentas reglamentuoja Banko veiklos organizavimą, darbo su informacija, sudarančia komercinę paslaptį, tvarką, darbuotojų, kuriems suteikta ši informacija, pareigas ir atsakomybę, medžiagos, kurioje yra Banko komercinę paslaptį sudarančios informacijos, perdavimo valstybinei (komercinei) tvarka. įstaigos ir organizacijos;
· Tarnybinę ir komercinę paslaptį sudarančios informacijos sąrašas. Sąraše apibrėžiama informacija, klasifikuojama kaip konfidenciali, prieigos prie saugomos informacijos apribojimų lygis ir laikas;
· Įsakymai ir nurodymai dėl informacijos saugumo režimo nustatymo:
· darbuotojų priėmimas dirbti su riboto naudojimo informacija;
· administratorių ir asmenų, atsakingų už darbą su riboto naudojimo informacija įmonės informacinėje sistemoje, paskyrimas;
· Instrukcijos ir pareigos darbuotojams:
· dėl apsaugos prieigos režimo organizavimo;
· dėl biuro darbo organizavimo;
· įmonės informacinės sistemos informacinių išteklių administravimas;
· kitus norminius dokumentus.
Išvada
Šiandien informacijos saugumo organizavimo klausimas rūpi bet kokio lygio organizacijoms – nuo didelių korporacijų iki verslininkų, nesukuriančių juridinio asmens. Konkurencija šiuolaikiniuose rinkos santykiuose toli gražu nėra tobula ir dažnai vykdoma ne pačiais legaliausiais būdais. Pramoninis šnipinėjimas klesti. Tačiau netyčia paskleista informacija, susijusi su organizacijos komercine paslaptimi, nėra neįprasta. Paprastai čia savo vaidmenį atlieka darbuotojų aplaidumas, situacijos nesuvokimas, kitaip tariant, „žmogiškasis faktorius“.
„Alfa-Bank“ užtikrina šios informacijos apsaugą:
prekybos paslaptis
asmens duomenis (klientų, banko darbuotojų)
banko paslaptį
banko dokumentai (Apsaugos departamento ataskaitos, banko metinė sąmata, informacija apie banko darbuotojų pajamas ir kt.)
Informacija banke yra apsaugota nuo tokių grėsmių kaip:
Natūralus
· Dirbtinės grėsmės (netyčinės (netyčinės, atsitiktinės) grėsmės, kylančios dėl informacinės sistemos ir jos elementų projektavimo klaidų, klaidų personalo veiksmuose ir kt.; tyčinės (tyčinės) grėsmės, susijusios su savanaudiškais, ideologiniais ar kitokiais žmonių siekiais ( įsibrovėliai).
Grėsmių šaltiniai, susiję su pačia informacine sistema, gali būti tiek išoriniai, tiek vidiniai.
Bibliografija
1. Rusijos Federacijos prezidento 2008 m. kovo 17 d. dekretas „Dėl priemonių Rusijos Federacijos informacijos saugumui užtikrinti naudojantis tarptautinių informacijos mainų informaciniais ir telekomunikacijų tinklais“ Nr. 351;
Galatenko, V.A. Informacijos saugumo pagrindai. Interneto informacinių technologijų universitetas. INTUITAS. ru, 2008;
Galatenko, V.A. Informacijos saugumo standartai. Interneto informacinių technologijų universitetas. INTUITAS. ru, 2005;
Lopatinas, V.N. Rusijos informacinis saugumas: žmogus, visuomenė, valstybė. Serija: Žmogaus ir visuomenės saugumas. M.: 2000. - 428 p.;
Šanginas, V.F. Kompiuterinės informacijos apsauga. Veiksmingi metodai ir priemonės. M.: DMK Spauda, 2008. - 544 p.
Ščerbakovas, A. Yu. Šiuolaikinė kompiuterių apsauga. Teorinis pagrindas. Praktiniai aspektai. M.: Knižnij Mir, 2009. - 352 p.
Žurnalas Legal Times , 2013 m. spalio 21 d. leidimas
Darbo su konfidencialiais dokumentais Banke instrukcijos
Mokymas
Reikia pagalbos mokantis temos?
Mūsų ekspertai patars arba teiks kuravimo paslaugas jus dominančiomis temomis.
Pateikite paraišką nurodydami temą dabar, kad sužinotumėte apie galimybę gauti konsultaciją.
Įmonės dažnai nepaiso kibernetinio saugumo problemų ir dėl to patiria kelių milijonų dolerių nuostolius. Naujame specialiame projekte svetainės ekspertai pasakos, kaip išvengti įsibrovėlių atakų nepažeidžiant darbuotojų laisvės.
Verslą nuolat puola kibernetinės įsibrovėlių atakos, kurių tikslas – ištuštinti įmonės sąskaitas ar pavogti jos klientų duomenis.
15:33 15.07.2019
Daugelis Rusijos įmonių pamiršta pagrindines savo pramoninio turto kibernetinio saugumo priemones ir yra priverstos išleisti milžiniškas sumas, kad susidorotų su atakų pasekmėmis, nors yra ir paprastesnių sprendimų.
Prieš metus daugybė Rusijos ir užsienio kompanijų tapo didelio masto „WannaCry“ ir „ExPetr“ kibernetinių atakų aukomis. Nuo tada tokių atvejų nebuvo – ar tai reiškia, kad verslas tapo labiau atsakingas už kibernetinį saugumą, ar situacija pasikeitė kaip nors kitaip? Apie juos papasakojo „Kaspersky Industrial CyberSecurity“ vadovas.
Svarbu suprasti, kad šios atakos buvo nukreiptos ne į industriją, o ją „užkabino“. Paprastai didelio atgarsio kibernetinės atakos įvyksta dėl kelių veiksnių derinio. Šiuo atveju tam įtakos turėjo viešas labai įprastų „Windows“ operacinių sistemų pažeidžiamumo atskleidimas ir vartotojų nenoras greitai jį ištaisyti įmonės mastu. Tokių atvejų nebuvimas dabar neturi nieko bendra su tuo, kad įmonės tapo atsakingesnės už savo saugumą.
Įmonės, kurias paveikė „WannaCry“ arba kuriose mes ištyrėme incidentus ir pateikėme rekomendacijų, kaip pagerinti apsaugą, ėmėsi tam tikrų veiksmų. Esant didelei tikimybei, galime teigti, kad jie nebepasikartos to paties priepuolio.
Tačiau daugumoje įmonių niekas nepasikeitė, nors jos puikiai suvokia riziką, o incidentų jau buvo pakankamai.
Geros naujienos Rusijos įmonėms yra Nr. 187-FZ „Dėl ypatingos svarbos informacinės infrastruktūros saugumo“ atsiradimas. Tai taip pat taikoma pramoninių procesų automatizavimo sistemoms. Rusijoje šis įstatymas yra galingiausias variklis kuriant tikras apsaugos sistemas. Jis įsigaliojo 2018 metų pradžioje, o 2019–2021 m. jau matysime saugumo padidėjimą.
Kokios pagrindinės grėsmės dabar?
Dažniausia pramonės infrastruktūrų infekcijų priežastis yra banali kenkėjiška programa. Iš esmės tai yra „Trojos arklys“, kurie ten patenka atsitiktinai. Nereikia būti taikiniu, kad būtum auka.
Prieštaravimas akivaizdus: kai jie leidžia įstatymus ir kalba apie kibernetinį saugumą apskritai, jie dažniausiai nerimauja dėl motyvuotų ir kvalifikuotų užpuolikų atakų, bijo tikslinių atakų. Tačiau dabar pramoninio kibernetinio saugumo branda yra tokia, kad įmonės leidžia banaliai užsikrėsti didžiulėmis kenkėjiškomis programomis.
Ar galėtumėte išvardyti tokius keistus išpuolius?
Kenkėjišką programinę įrangą rašo žmonės, ir ne visada kokybiškai – joje yra klaidų.
Incidentai pramoniniuose tinkluose dažniausiai įvyksta dėl atsitiktinio užsikrėtimo: rangovas nešiojamąjį kompiuterį su virusu prijungė prie saugaus tinklo, darbuotojui buvo suteikta nuotolinė prieiga... Virusas gali išprovokuoti paslaugų atsisakymą, įrangos gedimus, sustabdyti procesus, nors tai atsitinka ne tyčia.
Pavyzdžiui, viena iš trijų „WannaCry“ versijų negalėjo užšifruoti, tačiau buvo labai prastai suderinama su „Windows XP“, dėl ko sistema nukrito į mėlyną mirties ekraną. Daugeliu atvejų reikėjo spręsti tai, o ne su šifravimu pramoniniame tinkle.
Kokių atsargumo priemonių galima imtis siekiant sumažinti tokių įvykių tikimybę?
Kuo geriau darbuotojai žino apie tam tikros rūšies kibernetines atakas, tuo lengviau jų išvengti.
Prieš 8-10 metų, kai didžioji dalis pramonės įmonių specialistų įgijo išsilavinimą, pramonės sistemos buvo atakuojamos rečiau – paprastai jos buvo izoliuotos nuo išorinio pasaulio. Tačiau pastaraisiais metais verslo pageidavimu pramoniniai tinklai integruojami į įmonių tinklus, pavyzdžiui, užsakymams ir tiekimo grandinei valdyti. Rangovai gauna prieigą prie technologinių tinklų, kad galėtų greičiau teikti paslaugas pramonės įmonėms. Tinklai susiduria su daugybe kibernetinių grėsmių.
Su šiomis grėsmėmis sėkmingai kovojama įmonių segmente, tačiau inžinieriai ir metrologai anksčiau su jomis nesusidūrė.
Verta pasakyti jiems pagrindinius klausimus: kaip atrodo netikras laiškas ar virusas „flash drive“, kodėl negalite įkrauti Mobilusis telefonas iš mašinos valdymo pulto, kodėl suteikiant rangovui nuotolinę prieigą reikia kviesti "apsaugą"...
Jei darbuotojai žinotų apie galimus skverbties vektorius ir jų pasekmes, jie tokių dalykų tiesiog nedarytų. Tai viena pirmųjų, greitų ir labai pigių priemonių.
Kaspersky Lab savo misiją matome ne tik kurdami produktus, leidžiančius užkirsti kelią atakoms arba jas aptikti, bet ir profesinis išsilavinimas. Norėdami tai padaryti, inicijuojame partnerystę su mokymo centrais ir universitetais, kurie „kalba“ inžinierių kalba. Rusijoje mūsų partneris yra „Abiroy“, jau daug metų profesionaliai besimokantis pramoninėje aplinkoje, o dabar – ir kibernetinio saugumo srityje. Europoje prieš kelis mėnesius paskelbėme apie partnerystę su Fraunhofer IOSB institutu, dabar mūsų informacijos saugos kursai yra jų portfelyje, ir jie suteikia mums dar gilesnį supratimą apie pramonės specifiką.
Galiausiai neturėtume pamiršti pagrindinių techninių priemonių. Antivirusinės programos, nuotolinės prieigos įrankiai, tinklo segmentavimas yra labai veiksmingi apsaugai.
Kiek energijos ir finansiškai kainuoja sprendimai, skirti kovai su kibernetine rizika pramonėje?
Projektavimo sunkumai yra tikra problema. Įsivaizduokime prieš aštuonerius metus pastatytą pramoninį tinklą, kuris nuotolinės prieigos ar duomenų perdavimo tikslais yra prijungtas prie įmonės tinklo. Potencialiai galite įsiskverbti į jį, patekti į programuojamų loginių valdiklių lygį, pakeisti procesų valdymo logiką ir juos išjungti. Tačiau dažnai žemesnio lygio pramoniniai tinklai yra sukurti ant nevaldomos tinklo įrangos, iš kurios neįmanoma organizuoti srauto atspindėjimo, kad būtų galima prijungti įsibrovimo aptikimo sistemą. Dėl to į tokį tinklą prasiskverbti įmanoma, tačiau aptikti tokias atakas labai sunku.
Daugeliu atvejų, norint įgyvendinti visas apsaugos priemones, reikia perdaryti visą tinklą. Tačiau pramoninis pasaulis turi savo taisykles: „tai veikia – nereikia lipti“.
Jis turi savo modernizavimo ciklą ir tinklas gali būti pastatytas pagal naujas, saugias taisykles per 5-10 ar net 15 metų. Apsaugoti seną infrastruktūrą šiuolaikinėmis priemonėmis itin sunku: norint už 50 000 dolerių įsibrovimų aptikimo įrankį įdiegti, reikia padaryti tinklo atnaujinimo projektą dar už 500 000 dolerių.
Antrasis sunkumas – kvalifikuotas personalas. Pasaulyje nėra tiek daug pramonės valdymo sistemų informacijos saugumo specialistų, o tuo labiau Rusijos regionuose, kur jie daugiausia yra įsikūrę. pramonės įmonės. Šiuolaikinės sistemos kibernetinio saugumo sistemas naudoti gana sudėtinga, todėl reikia suprasti, kaip vystysis grėsmės.
Žinoma, yra ir finansinių problemų. Pirmieji projektai, skirti apsaugoti daugybę jau pastatytų infrastruktūrų, kainuoja brangiai: paslaugos, tyrimai, projektavimas, įgyvendinimas, nauji darbuotojai... Rusijoje yra daug valstybinio kapitalo įmonių, kurios negali tiesiog pakelti savo paslaugų ir prekių kainų. Pavyzdžiui, energetikos sektoriuje pernelyg didelės investicijos į kibernetinį saugumą galiausiai gali atsispindėti mūsų sąskaitose už elektrą.
Tačiau esu tikras, kad tai įveiksime ir pereisime į naują saugumo lygį. Svarbiausia yra nuolat palaikyti tinkamą kibernetinio saugumo lygį, kai jų sistemos vystosi.
Europoje kompiuterių, kuriuos atsitiktinai bandoma užkrėsti, skaičius yra daug mažesnis nei Rusijoje. Išsivysčiusiose šalyse pramonės infrastruktūrų priežiūrai įmonės taiko paslaugų modelį: automatikos sistemų tiekėjas ar integratorius nuolat, žingsnis po žingsnio, prižiūri šias sistemas, įskaitant ir diegdamas kibernetinio saugumo priemones. Taigi Vakarų įmonės turi saugesnę infrastruktūrą be šoko išlaidų, paskirstytų kelerius metus. Mūsų šalyje įmonės pačios atsako už savo pramonės infrastruktūrą ir dirba pagal principą „jei sistema veikia, nereikia jos atnaujinti“. Taip kaupiasi atsilikimas, kurį gana „skausminga“ pašalinti.
Kaip taisyklė, ar klientams tinka jau paruošti sprendimai, ar jiems reikalingi individualūs projektai dėl nestandartinių parametrų?
Klientams reikalingi individualūs projektai, kuriuose būtų gatavų sprendimų „plytos“. Integratoriaus darbas, apsaugos sistemos patikra ir projektavimas yra labai svarbūs, tačiau nėra prasmės perprojektuoti kiekvienos sistemos pramoninę apsaugą.
Dabar pramonė unifikuojama: standartizuoti duomenų perdavimo protokolai, identiškos operacinės sistemos... Taip, kartais pasitaiko ir labai neįprastų pramoninių tinklų, bet, kaip taisyklė, ateinančiais metais paaiškėja, kad jie bus atnaujinti.
Jei reikia saugoti unikalią infrastruktūrą, tai atlikus išsamią analizę paaiškėja, kad tai padaryti pigiau ir teisingiau bus po dvejų metų kartu su jos modernizavimu ir prieš tai taikyti bet kokias kompensacines priemones.
Nedaug vadovų suvokia, kad darbuotojas yra „įėjimo taškas“ į savo įmonę. Kaip verslo kibernetinį saugumą pakelti į naują lygį, kad darbuotojai to nelaikytų laisvės suvaržymu?
Viena iš pagrindinių verslo informacijos saugumo problemų yra menkas darbuotojų informuotumas apie rizikas. Kaip jį galima paprastais būdais padidinti?
Pagrindinėmis žiniomis šia tema dalijasi regiono įmonių pardavimų skyriaus vadovas. Kaspersky Labs»:
Mažai apie grėsmes išmanantys žmonės turi išmokti kibernetinio saugumo pagrindus, kad jaustųsi apsaugoti. Juk reikėtų suprasti, kokių raidžių nereikėtų atidaryti, kokių nuorodų spustelėti, kokių programų atsisiųsti.
Tuo pačiu metu nedaugelis vadovų suvokia, kad darbuotojas yra „įėjimo taškas“ į įmonę: ypač jei jis turi prieigą prie dokumentų ir klientų bazės. Žmogus visada yra silpniausia grandis.
Tradiciniai kibernetinio saugumo mokymai atrodo taip: žmogus išklauso mokymus, kurie trunka nuo vienos iki trijų dienų, pasirašo dokumentą apie baigtas studijas ir eina į darbą. Galvoje geriausiu atveju nusėda 10% įgytų žinių, jei jos nepritaikomos ir neįgyvendinamos praktiškai.
Tai ne visai teisingas požiūris. Kiekvienas darbuotojas turėtų žinoti kibernetinio saugumo taisykles ir jas taikyti. Mūsų požiūris apima mokymąsi internetu, nes šiandien lengviausias būdas mokytis yra internete. "" sukūrė internetinį kursą, kurį galima atsisiųsti nemokamai, jei turite mažiau nei penkis darbuotojus, ir licencijuoti, jei turite daugiau. Galite sekti pažangą viename valdymo centre.
Iš viso kursą sudaro 32 moduliai. Pašto modulyje darbuotojas mato laiško pavyzdį, kuriame rašoma apie galimas grėsmes ir kibernetinio saugumo priemones (pavyzdžiui, PIN kodo ir CVV kodo pateikti negalite, net jei bankas jų prašo). Po to, kai asmuo perskaito laišką, jo prašoma atlikti testą žaidimo forma. Jei darbuotojas pasirenka teisingą atsakymą, tada jis yra padrąsinamas, o jei pasirenka neteisingą, tada paaiškinama, ką ir kodėl padarė ne taip.
Tokios praktinės užduotys reikalauja 15 minučių per savaitę ir beveik neatitraukia darbuotojo nuo pagrindinių pareigų.
Darbuotojui išlaikius mokymo modulį, į kontrolės punktą ateina pranešimas ir po poros savaičių suplanuotas patikrinimas. Jei žmogus nespaudžia kenkėjiškų nuorodų ir neatsisiunčia abejotinų programų, vadinasi, jis išmoko pamoką.
Jei darbuotojas daro tas pačias klaidas, tada į valdymo centrą siunčiamas signalas, kad darbuotojui reikia pakartoti pamoką ir dar kartą atlikti testą. Tokie mokymai vyksta ištisus metus, tai labai prieinama ir patogu.
Kokia dalis darbuotojų turi išmokti pagrindus ir kokia dalis tų, kurie sėkmingai mokosi medžiagą pirmą kartą mokymosi procese?
Remiantis mūsų statistika, 85% darbuotojų viską išmoksta iš pirmo karto. Manau, kad ši programa bus naudinga visiems. Kūrimas buvo išbandytas su „Kaspersky Lab“ darbuotojais. Niekada neišlaikiau nei vieno modulio 100% teisingai, nors informacijos saugumo rinkoje dirbu jau 12 metų. Kai kurie klausimai atrodo tik prieinami ir paprasti.
Atidaromos įtartinos nuorodos – paprasčiausias pavyzdys. Ne paslaptis, kad visiems patinka socialiniai tinklai in darbo laikas. Įsivaizduokite, kad žmogus iš draugo gauna nuorodą į įdomų vaizdo įrašą: 99% žmonių jį atidarys darbo kompiuteryje ir visai ne saugiuoju režimu. Kas atsisiunčiama lygiagrečiai su vaizdo įrašu, niekas nežino.
Apie 30% mažų įmonių kibernetinio saugumo klausimus patiki ne specialistams. Kokiomis priemonėmis jie turėtų padidinti savo saugumą?
Jau gerai, jei tokia įmonė nusipirko legalią antivirusinę. Iki šiol ne visi tai naudoja. O smulkiajam verslui reikia bent etatinio sistemos administratoriaus, kuris užtikrintų visų kompiuterių veikimą ir apsaugotų nuo virusų bei galimų atakų.
Antivirusinė dažnai traktuojama kaip panacėja: kadangi ji yra, apie saugumą tikrai galima negalvoti, sako, viską padarys pati.
Deja, taip nėra. Antivirusinę priemonę galima palyginti su neperšaunamomis geležinėmis durimis. Nuo jo yra raktai, o jei juos pametei ar kam nors padovanojai, tai apsauga neveiks. Įmonėms, kurios tikrai rūpinasi savo informacijos saugumu, yra daugiau sprendimų aukštas lygis- apsisaugoti nuo tikslinių atakų. Kai užpuolikas tyčia nori atidaryti apsaugą, dažniausiai nenaudoja garsių metodų, o dirba labai tyliai: slapta sėlina į vietą, kur gali gauti reikiamą informaciją. Jam nepelninga būti atrastam, kol nepasiekia savo tikslo. Labai panaši situacija stebima ir virtualioje erdvėje. Didelėse įmonėse užpuolikai gali laukti mėnesius.
Ar tyčiniai ar netyčiniai išpuoliai dažnesni?
Manome, kad aukštos kvalifikacijos atakos sudaro 1% visų grėsmių. Tačiau jie yra labai reikšmingi: pavyzdžiui, „ExPetr“ virusas buvo nukreiptas į tam tikras įmones ir tuo pat metu paveikė tūkstančius kitų įmonių. Pasaulis yra prisotintas informacinių technologijų, o žmonės iš skirtingų struktūrų bendrauja ir bendrauja vieni su kitais.
Kokios kitos priemonės gali būti veiksmingos kovojant su tyčiniais trukdžiais? Ar visada įmanoma aptikti šį procesą, ar nutinka taip, kad apie tai sužinoma po kelių mėnesių ir metų?
Procesas tikrai pastebimas, jei tai padarysite. Yra specialios įmonės tinklo tikrinimo paslaugos. Vidutiniškai aukštos kvalifikacijos ataka trunka šešis mėnesius: pirmiausia užpuolikas įeina į įmonę, apsižvalgo, o po kelių mėnesių, pavyzdžiui, užšifruoja visus kompiuterius ir kartu išima pinigus iš sąskaitų.
Norėdami apsisaugoti nuo tikslinių atakų, mūsų specialistai, klientui pageidaujant, peržiūri srautą internete, praneša apie įtartiną veiklą ir klausia, ką su ja daryti: galite blokuoti užpuoliko veiksmus arba galite sukurti infrastruktūros modeliavimą sistemos viduje, kad surastumėte. atskleisti užpuoliko ketinimus. Lygiagrečiai ekspertai tiria ir ieško išpuolio šaltinio.
Ar tokių atakų taikiniais labiau tikėtina, kad mažos ar didelės įmonės?
Būna ir šio, ir to. Tačiau norint pulti didelę įmonę, reikia pritraukti profesionalus, kurių darbas brangus. O stambus verslas turi visą kibernetinio saugumo sistemą. Mažoms įmonėms dažnai apsaugos riba yra antivirusinė. Kartais, norėdami patekti į didelę organizaciją, užpuolikai puola savo tiekėjus.
Neretai išpuoliai, nebūtinai didelio atgarsio, kyla iš įžeistų buvusių darbuotojų ar galbūt rangovų. Tikriausiai net netyčia.
Jei įmonė yra sukūrusi apsaugos sistemą, tokių atvejų galima sumažinti iki minimumo. Tačiau praktikoje yra pavyzdžių, kai atleistam sistemos administratoriui nebuvo užblokuota prieiga. Pavyzdžiui, dideliame logistikos centre buvęs darbuotojas užblokavo visus spausdintuvus: beveik parą centre jie negalėjo siųsti ir gauti prekių, nes negalėjo atspausdinti nė vieno dokumento.
Saugos priemonėse būtina numatyti, kad atleidžiant darbuotoją jam būtų blokuojama prieiga prie sistemos, keičiami svarbių sistemų slaptažodžiai.
Yra unikalių atvejų: ant vieno finansinė įmonė Slaptažodį reikėjo keisti kartą per mėnesį. Paprastiems darbuotojams tai yra papildomas gestas, o 95% žmonių slaptažodį įvedė pagal schemą „mėnuo ir metai“. Tai leido buvęs darbuotojas pasinaudoti spraga ir prasiskverbti į įmonės vidinį tinklą.
Beje, vienas iš Kaspersky Lab internetinio kurso modulių – nenustatyti tokių slaptažodžių kaip „12345“, kaip daugelis vis dar daro.
Būtina atsiminti kibernetinio saugumo pagrindus: nesinaudokite socialiniais tinklais iš darbo kompiuterio, jei jie nėra reikalingi darbui. Pakeiskite slaptažodžius, galbūt apribokite prieigą prie interneto tiems darbuotojams, kuriems jo nereikia tiesiogiai. Uždrausti naudoti „flash drives“ ir kitus išimamus įrenginius.
Tačiau paprasti biuro darbuotojai visas šias priemones suvokia kaip asmens laisvės apribojimą. Viena vertus, šios priemonės yra teisingos, kita vertus, informacinės technologijos vystosi taip sparčiai, kad niekada negalėsime visko iki galo suvaldyti. Negalite uždaryti visos įmonės po langeliu - tada niekas neveiks. Net gynybos įmonėse, kur yra uždari tinklai ir „Wi-Fi“, negalima naudoti „Bluetooth“ ir „flash drives“, yra žmonių, kurie stebi sistemą ir visų parametrų atitiktį. Jiems nuobodu sėdėti 12 valandų ir jie sugeba paleisti filmą ar naršyti internete.
Žmogus visada ras būdą, kaip apeiti apribojimus, todėl geriausia išeitis – tobulinti kompiuterinį raštingumą.
Verslą nuolat puola kibernetinės įsibrovėlių atakos, kurių tikslas – ištuštinti įmonės sąskaitas ar pavogti jos klientų duomenis. Įmonės, ypač mažos, dažnai taupo informacijos saugumą (IS), o pusė informacijos saugumo direktorių įsitikinę, kad už tai kainuos finansinius nuostolius.
Kaip galima išvengti atakų ir į ką reikėtų atsižvelgti norint apsaugoti verslą? Tells, „Kaspersky Lab“ pardavimo smulkaus ir vidutinio verslo klientams vadovas.
Dažnai kibernetinio saugumo lyderiai supranta grėsmių neišvengiamumą, tačiau susiduria su biudžeto trūkumu. Kokia yra ši problema ir kaip su ja gali susidoroti įmonės?
Deja, kibernetinis saugumas Rusijoje iš tiesų nepakankamai finansuojamas.
Tikriausiai taip yra dėl to, kad daugelis vadovų ir įmonių savininkų neįvertina nuostolių, kuriuos gali sukelti kibernetiniai incidentai, mastą.
Svarbu blaiviai įvertinti, kokius nuostolius patirs įmonė, jei kelias dienas nedirbs – jei nustos veikti svetainė ar visi įmonės kompiuteriai. Žinoma, gėlių pardavėjui, kuris buhalteriją tvarko sąsiuvinyje, dviejų dienų kompiuterio blokavimas nebus rimta problema. Tačiau prieiga prie duomenų yra labai svarbi kelionių agentūrai, draudimo bendrovei, mažmenininkui, kuris tvarko įrašus elektroniniu būdu, pristato prekes kreditu ir registruoja būsimus mokėjimus bei skolas. Tai visi tikri atvejai iš mūsų praktikos.
Būsimų mokėjimų ir dar negautų į įmonės sąskaitas lėšų apimtis gali siekti 20-30% metinės apyvartos.
Kai verslininkas supranta, kiek gali prarasti, jis maždaug įsivaizduoja, kiek yra pasirengęs investuoti į nenutrūkstamą veiklą, įmonės intelektinės nuosavybės ir jos reputacijos išsaugojimą – tai yra kibernetinio ir IT saugumo užtikrinimą. Viena vertus, tai šiek tiek efemeriškas skaičiavimas – kaip įvertinti reputacijos kainą? Kita vertus, jie yra gana akivaizdūs. Pavyzdžiui, jei oro linijų bendrovė negali parduoti bilietų internetu, klientai ilgai nelauks ir tiesiog pirks bilietus iš kito vežėjo.
Duomenų praradimas sukels sunkumų, bent jau norint gauti 20-30% įmonės metinės lėšų apyvartos
Paprastai biudžetas kibernetiniam ir informacijos saugumui yra 10-15% viso IT biudžeto. Mobiliųjų įrenginių, kompiuterių, kasečių, interneto kaina vidutiniškai 30-50 tūkstančių rublių. vienam darbuotojui per metus. O kokybiška vienos darbo vietos apsauga smulkaus ir vidutinio verslo įmonėse – nuo 1 tūkst. iki 3,5 tūkst.
Todėl taupymas IT saugumui yra taupymas rungtynėms. Biuro išlaidos kavai, tualetiniam popieriui ir raštinės reikmenims gali būti didesnės.
Svarbu suprasti, kad informacijos saugumas yra kritinės išlaidos, kurių nereikėtų pamiršti.
Smulkus ir vidutinis verslas dabar yra užpuolikų akiratyje – kai kuriais atvejais kibernetinės atakos privedė net prie įmonių bankroto.
Kibernetiniai nusikaltėliai ieško būdų, kaip įsiskverbti į organizaciją. Dažniausiai laiškai siunčiami į buhalteriją, o vėliau – į teisės, personalo ir rinkodaros skyrius.
El. laiškuose gali būti kenkėjiškų programų arba siūloma patekti į sukčiavimo puslapį. Užsikrėtę užpuolikai pradeda rinkti įvairius duomenis: seka klaviatūros klavišų paspaudimus, pelės judesius, tiria korespondenciją, laiškų siuntėjų kontaktus ir padėtis ir kt.
Ištyrę procesus įmonėje, užpuolikai gali sukurti tikslinį sukčiavimo laišką, nukreiptą į konkretų darbuotoją.
Pavyzdžiui, parašykite personalo skyriaus darbuotojui su prašymu apsvarstyti gyvenimo aprašymą, pridedant failą Word formatu.
Įmonių darbuotojai tokius dokumentus naudoja kiekvieną dieną, tačiau juose gali būti vykdomas scenarijus, kuris paleis virusą ir pradės šifruoti duomenis įmonės viduje – visose vietose, kur šis darbuotojas turi prieigą. Įprastos antivirusinės programos, veikiančios tik su parašo metodu, negali sekti tokios išpirkos reikalaujančios programos.
Kriptografai yra dabartinio laiko rykštė. Jų aktyvumas išauga ketvirtąjį metų ketvirtį, kai vyksta aktyviausi pardavimai, ir nuo kovo pabaigos iki birželio, kai įmonės pateikia praėjusio laikotarpio mokesčių deklaracijas. Kokie gali kilti grėsmės iš kompetentingų institucijų, jei laiku nepateiksite mokesčių deklaracijos?
Dabar įsivaizduokite, kad visi serveriuose esantys duomenys buvo užšifruoti, o prieigos prie apskaitos ir apskaitos programų tiesiog nėra.
Įmonė priversta sumokėti užpuolikams arba pranešti mokesčių inspekcijai, kad negali pateikti ataskaitų. Todėl išpirkos suma piko laikotarpiais didėja.
Ar yra statistika, kokia dalis užpultų įmonių sutinka mokėti, o kuri bando iššifruoti duomenis ir kovoti su užpuolikais?
Neįmanoma atkurti duomenų be šifravimo rakto po šiuolaikinio šifruotojo atakos. Jei anksčiau visiems paveiktiems kompiuteriams buvo vienas universalus raktas, tai šiuolaikinė kenkėjiška programa sukuria raktus kiekvienam atskiram įrenginiui.
Apsauga nuo išpirkos programų bus ne įprastų antivirusinių programų naudojimas, o daugiasluoksnė kibernetinio saugumo sistema. Tai turėtų apimti programų, vartotojų veiklos stebėjimą, euristinę elgesio analizę, galimybę 100% užkirsti kelią išpirkos reikalaujančios programinės įrangos paleidimui.
Jei tikrinsite gaunamus pranešimus pašto serveriuose, tada priedai su kenkėjiškais failais net nepasieks darbuotojo kompiuterio
Antroji gynybos linija yra darbuotojo darbo vietoje: programos paleidimo kontrolė patikrina visus panaudotus failus. Trečia kliūtis yra žiniatinklio valdymas: tinklo administratorius sudaro „baltuosius“ svetainių sąrašus, kuriuose pateikiami leidžiami ištekliai, o visi kiti laikomi draudžiamais.
Didžiausias dėmesys kibernetinio saugumo klausimais turėtų būti skiriamas buhalterio, teisininko, finansų direktoriaus ir generalinio direktoriaus darbo vietų apsaugai – žmonių, turinčių prieigą prie įmonės pinigų. Dažniausiai jie yra nukreipti į įsibrovėlių atakas.
Kitas apsaugos nuo išpirkos reikalaujančių programų lygis yra antikriptorius arba sistemos stebėjimas. Antikriptorius stebi vartotojo elgesį: jei jis staiga pradės šifruoti duomenis, ko dar niekada nedarė, tuomet įtartina veikla bus sustabdyta, o kompiuteris bus atjungtas nuo likusio tinklo. Dalis duomenų bus patalpinta į atsarginę kopiją, kad vėliau būtų galima atkurti. Tokiu būdu užkertame kelią išpirkos reikalaujančių programų atakoms prieš mūsų klientus.
- Viena iš labiausiai žinomų kenkėjiškų programų -Buhtrap. Kaip tu gali su juo kovoti?
Buhtrap yra kenkėjiška programa, leidžianti gauti prieigą prie elektroninio banko, galimybę atlikti finansines operacijas įmonėje.
Užpuolikų bandymai surasti žmones, galinčius atlikti tokias operacijas, darosi vis sudėtingesni. Užkrėstos specializuotų žiniasklaidos priemonių svetainės, kuriose dažniausiai lankosi buhalteriai ir finansų direktoriai, svetainės, kuriose lankosi įmonių vadovai, įmonių savininkai.
Kai kuriais atvejais įsilaužėliai netgi sukuria įdomaus turinio išteklius, kad pritrauktų labiau specializuotus vartotojus.
– Kokios pasekmės užsikrėtus Buhtrap?
Žalos dydis Rusijos įmonės Iš panašių kenkėjiškų programų vien praėjusiais metais skaičiuojama dešimtimis milijonų dolerių. Galite susidoroti su Buhtrap, bet jums reikia kovoti ne su išpuolio pasekmėmis, o su pirminiu jo šaltiniu.
Kvalifikuoti sprendimai, tokie kaip „Kaspersky Lab“, leidžia aptikti kenkėjiškus naujienų išteklius, kuriuos „Buhtrap“ naudoja, kad patektų į darbo vietas ir visiškai blokuotų juos kartu su kenkėjiškomis programomis.
Kartais su kibernetiniu saugumu mažose ir vidutinėse įmonėse užsiima ne specialistai. Kaip verslo lyderis gali suvokti šios užduoties svarbą ir perduoti ją į tinkamas rankas?
Specializuoti sprendimai mažoms ir vidutinėms įmonėms, tokie kaip „Kaspersky Small Office Security“, padeda apsaugoti įmones, kuriose yra mažiau nei 25 darbo vietos. Šis produktas apima finansinių operacijų apsaugą, slaptažodžių tvarkyklę, mobiliųjų įrenginių, serverių ir darbo vietų apsaugą. Programoje naudojamos technologijos, kurios buvo sukurtos, be kita ko, siekiant apsaugoti dideles įmones.
Didesniame segmente bus įdomus Kaspersky Security Cloud sprendimas. Jis tinka įmonėms, kuriose dirba iki 250 darbuotojų.
Tuo pačiu metu apsaugą galima valdyti ne tik iš darbo vietos, bet iš bet kurios pasaulio vietos, kur yra interneto prieiga.
Tai yra, darbuotojas gali išvykti atostogų į Balį ir iš ten stebėti įmonės kibernetinį saugumą. Konsolė yra intuityvi ir pritaikyta ne specialistams – net vyriausiasis buhalteris ar verslo vadovas gali išsiaiškinti nustatymus.
– Ar verslas gali pasikliauti nemokamais finansinių grėsmių apsaugos sprendimais?
Kaip ir sprendimai namų įrenginiams, jie netinka verslo vartotojams, nes nėra skirti apsaugoti organizacijas. O užpuolikai tobulina savo darbo metodus. Dauguma nemokamų versijų apima tik pagrindinę apsaugą nuo kenkėjiškų programų, jos negali apsaugoti internetinių finansinių operacijų, neblokuoja apgaulingų nuorodų, nepadeda kontroliuoti išteklių ir programų naudojimo ir pan.
Ar galite apsaugoti savo duomenis nuo išpirkos reikalaujančių programų? Interaktyvus žaidimas
Kaip mažoms įmonėms apsisaugoti nuo kenkėjiškų atakų ir užkirsti kelią „kenkėjiškų programų“ plitimui, kol tai netampa problema?
Esame per maži, kad būtume taikinys“, – mano daugelis smulkaus verslo vadovų. Remiantis „Kaspersky Lab“ statistika, 58% kibernetinių nusikaltėlių aukų yra mažos įmonės, o vidutinė sėkmingos atakos žala SMB segmento įmonėms siekia 4,3 mln.
Kaip mažos ir vidutinės įmonės gali apsaugoti savo darbuotojus nuo įsibrovėlių atakų? Kokias apsaugos priemones reikia naudoti? Tells, „Kaspersky Lab“ vyresnysis produktų rinkodaros vadovas.
Kada įmonės vadovybė supranta, kad būtina imtis kokių nors apsaugos priemonių?
Daugeliu atvejų po pirmojo incidento. Deja, mažame versle IT saugumo prioritetas tampa labai aukštas tik tada, kai įmonę pirmą kartą užpuola išpirkos reikalaujantis virusas. Verslo savininkas kiek įmanoma sutaupys papildomoms išlaidoms, jei jis nėra pažengęs vartotojas.
Klaidos kaina yra labai didelė. Didelė organizacija gali perskirstyti savo infrastruktūrą ir toliau veikti. Bet jei mažame versle visas tinklas nukrenta nuo „kenkėjiškų programų“ atakos, jis tiesiog nustoja teikti paslaugas - įmonės darbas visiškai sustoja. O konkurencija labai didelė: statistikos duomenimis, pusė atakos aukomis tapusių smulkiųjų verslų po pusmečio išskrenda iš rinkos, nes nespėjo laiku atkurti resursų.
Mano praktikoje buvo labai sunkus atvejis. Užpuolikai žinojo apie įmonės kibernetinio saugumo pažeidimą, „kenkėjišką programinę įrangą“ pavertė organizacijos duomenų vagyste ir palaipsniui vogė iš jos klientus. Greičiausiai jie pasielgė „gavę arbatpinigių“. Tačiau bendrovė rado pažangių žmonių, kurie sugebėjo atpažinti tikslinę ataką ir išgelbėti įmonę – tai itin reta.
Daugeliu atvejų atakos yra didžiulės, o darbuotojai visada yra silpnoji grandis. Jie ieško informacijos iš darbo kompiuterių, atsisiunčia darbui reikalingą programą ir gali suklysti. Jei nėra specialisto, kuris tai stebi, tai niekas nekontroliuoja situacijos įmonėje.
Minimali apsauga smulkiajam verslui padeda išvengti neigiamų pasekmių būtent dėl tokių klaidų. Įsivaizduokite, kad susiduriate su sukčiavimo ataka. Jei jūsų organizacijoje yra 50-100 žmonių, nesvarbu, kiek jų spustelėjo nuorodą – tinklui užkrėsti užtenka net vieno paspaudimo. Smulkaus verslo sprendimai skirti užkirsti kelią „kenkėjiškų programų“ plitimui, kol tai netampa problema.
Paprastai didelės įmonės moko darbuotojus atpažinti failus ir nuorodas el. pašte nuo įsibrovėlių. Ar mažos įmonės saugo savo darbuotojus nuo tokių grėsmių?
Mažos įmonės skiria daug laiko ir pastangų savo pagrindinei veiklai. Ilgalaikis turtas visada investuojamas į tas sritis, kurios potencialiai gali padidinti įmonės pajamas. Palaikymo procesams lieka nedaug resursų, todėl finansavimas IT ir IT saugumui nėra prioritetas, o renkantis šias paslaugas svarbus naudojimosi patogumas ir automatinis veikimas. Tai reiškia, kad sprendimams reikia skirti minimalų dėmesį.
Be to, mažose įmonėse visada aktualios personalo problemos. Mažoje įmonėje dažnai ateina sistemos administratorius, o ne visą darbo dieną dirbantis darbuotojas. Kiek didesnėse įmonėse vienas specialistas gali būti atsakingas ir už IT, ir už informacijos saugumą.
SVV vadovai daugiausia dėmesio skiria IT saugumui, remdamiesi savo bloga patirtimi šioje srityje. Jei jie paprastai atstovauja įvairioms grėsmėms, yra patyrę tokių incidentų anksčiau arba žino, kad reikia apsaugoti įmonę po didžiulių kibernetinių atakų, jie ieškos apsaugos, kuri veiktų automatiškai.
Kaspersky Lab siūlo būtent tokius sprendimus – Kaspersky Endpoint Security for Business. Tokius gaminius vadiname „Įdiegti ir pamiršti“, tai yra įdiegti ir pamiršti. Jie užtikrins maksimalią automatinę apsaugą – mažose įmonėse dažnai nėra specialių darbuotojų programai nustatyti.
Apsauga nuo sukčiavimo laiškų taip pat turėtų būti automatinė, kad tokie laiškai iš esmės nepasiektų vartotojų.
Ar mažų įmonių darbuotojai labiau linkę gauti tokius el. laiškus nei didelėse įmonėse?
Smulkaus verslo lyderiai turi pavojingą kliedesį, kad jie nėra kibernetinių nusikaltėlių taikinys ir jiems „smulkmena“. Tačiau pagal statistiką, organizuotų nusikalstamų grupuočių aukos 50% atvejų yra mažos ir vidutinės įmonės. Pasaulinių gerbėjų atakų, tokių kaip „WannaCry“, atveju užklumpa visi: korporacijos, mažos įmonės ir privatūs vartotojai.
Tikslinės atakos labiau aktualios didelėms įmonėms, kai užpuolikai supranta savo galimo „grobio“ dydį. Bet mano atmintyje buvo atvejų, kai tokie išpuoliai buvo vykdomi prieš internetines parduotuves ir vidutines didmeninės prekybos įmones.
Atakos tikimybė išauga, jei užpuolikai kažkokiu būdu sužino, kad įmonė neužsiima informacijos ir kibernetiniu saugumu – smulkios įmonės dažnai pasikliauja atsitiktinumu.
Ar šie verslininkai IT apsaugą palieka atvykstančių darbuotojų ar vieno darbuotojo malonei, ar didėja automatinės apsaugos vaidmuo?
Labai mažame versle IT klausimus dažnai sprendžia pats pažangiausias žmogus, kurio pagrindinis darbas yra kitur – kartais net logistikos ir pardavimų srityse. Bet jei paaiškėjo, kad žmogus supranta informacines sistemas, tai jis, be kita ko, imasi ir kompiuterių apsaugos, ir kibernetinio saugumo. Mažiausiai jam reikia įdiegti antivirusines programas. Ir jam reikia verslo sprendimų, o ne namų apsaugos.
Jie priima sprendimus, kurių paprastas žmogus nesupranta. Jam reikia aukštesnio IT lygio, kad įdiegtų šią apsaugą.
Didesnėje įmonėje, kur yra ateinantis ar net nuosavas administratorius, yra dar vienas kontrolės reikalavimas. Tai reiškia, kad įmonė žino, kad norint suprasti, kas vyksta, sumažinti pavojų ir grėsmių spektrą, reikia įgyvendinti minimalią saugumo politiką. Įmonei bręstant esame pasirengę pasiūlyti vis pažangesnius sprendimus.
Ar naudoti apsaugą nuo debesies yra pelningiau nei įprasto specialisto paslaugas?
IT specialistui vis dar reikia įrankių: šis sprendimas jo nepakeičia, o tampa priemone, kuria jis apsaugos organizaciją. „Kaspersky Small Office“ yra „pasidaryk pats“ sprendimas. Su juo organizacija galės apsisaugoti nuo dabartinių grėsmių ir dar nesikreipti į profesionalų pagalbą.
Koks yra pagrindinis skirtumas tarp Endpoint Security Cloud ir kokie yra debesies sprendimo pranašumai?
Serveryje įdiegta apsauga nuo debesies – tam reikia labai specializuoto specialisto. Turite būti techniškai raštingas žmogus, kad galėtumėte įdiegti Endpoint sprendimą serveryje, įdiegti agentus, visa tai sujungti, konfigūruoti saugos politiką ir pan. Debesų sprendimas leidžia gauti greitą apsaugą: nereikia pirkti serverio ir jo prižiūrėti – tai yra, nėra išlaidų už techninės įrangos priežiūrą. Sutaupote pinigų ir laiko darbuotojams.
Debesų sprendimas atsisiunčiamas ir įdiegiamas per kelias minutes, visa užduotis trunka ne ilgiau nei valandą. Pagrindinis šio metodo privalumas – greitis: apsauga pradeda veikti per kelias minutes.
Mūsų sprendimai mažoms įmonėms yra kuo paprastesni valdymo požiūriu. „Small Office Security“ iš viso nereikalauja prisijungti prie žiniatinklio konsolės. Kaspersky Endpoint Security Cloud konsolė yra labai supaprastinta: visi nustatymai automatiškai taikomi naujiems įrenginiams, prijungtiems prie apsaugos. Nors, jei pageidaujama, administratorius gali ką nors pridėti rankiniu būdu. Tuo pačiu metu abu sprendimai yra pagrįsti debesimis ir jiems nereikia aparatinės įrangos ar serverio.
Paprastai tokių sprendimų griebiasi labiau pažengusios organizacijos, ar nebūtinai?
Čia svarbus organizacijos, vadovo ir IT specialisto, jei toks yra, brandos laipsnis. Apskritai IT kompetencijos lygis Rusijoje yra gana aukštas. Visa organizacija gali siekti modernios infrastruktūros: kai kurios įmonės atsisako savo techninės įrangos, kad būtų lankstesnės ir dinamiškesnės.
Debesų sprendimai yra labai lengvai keičiami. Jei atidarysite naują prekybos vietą arba naujas biuras, tada su Kaspersky Endpoint Security Cloud pagalba jį galima apsaugoti per kelias minutes. Jūsų verslo didėjimo ir augimo greitis nėra susijęs su jūsų infrastruktūra. Biurai gali būti išsibarstę po šalį, o jūs viską darote nuotoliniu būdu, nes visi sprendimai yra debesyje. Įmonės, kurios siekia augimo ir supranta su mastelio keitimu susijusias problemas, iš pradžių renkasi debesį, nes tradiciniai sprendimai neleis joms taip greitai pasikeisti.
Kokią dar svarbią tendenciją matote smulkaus verslo saugumo srityje?
Kita tendencija – darbas mobiliuosiuose įrenginiuose. Didelės organizacijos turi įmonių mobilumo programas: centralizuotai perkami įrenginiai, diegia bendradarbiavimo priemones, saugos priemones ir pan. Visa tai kontroliuoja „apsauga“, o prisijungti prie įmonės infrastruktūros iš esmės neįmanoma.
O mažame versle niekas nesupranta, ar šis įrenginys asmeninis, ar ne. Žmogus pasirenka jam patogiausią programėlę, kad greičiau ir efektyviau atliktų savo darbą. Esame pasirengę palaikyti tokias įmones ir užtikrinti apsaugą, įskaitant mobiliuosius įrenginius. Jei įmonė dar nenaudoja debesų apsaugos, ją galima prijungti vėliau. Ir nesvarbu, kur žmogus yra – visas apsaugas galima įdiegti nuotoliniu būdu.
„Mobilusis įrenginys virsta stebėjimo įrankiu, o šį stebėjimą iš esmės leidžia įmonė. Kaip darbuotojų asmeniniai išmanieji telefonai ir nešiojamieji kompiuteriai pažeidžia verslo informacijos saugumą?
Mažos įmonės ne visada gali sau leisti įsigyti visų darbuotojams reikalingų programėlių, tokių kaip darbiniai išmanieji telefonai ir nešiojamieji kompiuteriai. Kartu skatinamas asmeninių prietaisų naudojimas darbo tikslais, kad darbuotojas visada galėtų susisiekti.
Taip atsirado tendencija, vadinama BYOD (bring your own device arba „bring your own device“), kuri vis labiau plinta vidutiniame ir mažame versle.
„Dėl BYOD įmonė sutaupo daug pinigų techninės įrangos įsigijimui ir priežiūrai, pašalina mobiliųjų įrenginių praradimo ir sugadinimo riziką. Ir tai nemaži pinigai “, - komentuoja Viktoras Čebyševas , antivirusinė ekspertė Kaspersky Labs».
Tačiau pati BYOD koncepcija yra prieštaringa. Darbuotojo asmeninio įrenginio patekimas į vidinį įmonės perimetrą darbuotojui patogus, tačiau sukuria duomenų nutekėjimo ir nekontroliuojamos informacijos prieigos riziką.
Šiuo atveju BYOD metodas yra apsunkinantis veiksnys ir gali tapti užpuolikų „įėjimo tašku“ į įmonę. Todėl organizacija turi nustatyti prieigą ir kontroliuoti įvedimą taip, kad tai ne visada būtų patogu vartotojui.
Norint sumažinti BYOD metodo riziką, reikia imtis daugelio duomenų apsaugos priemonių. Darbuotojų asmeninės programėlės paprastai yra mažiau apsaugotos nei įmonės ir yra labiau linkusios į kibernetines grėsmes bei praradimus. „Kaspersky Lab“ tyrimo duomenimis, 35% SVV įmonių (turinčių darbuotojų nuo 1 iki 249 darbuotojų) susidūrė su tuo, kad darbuotojų programėlės, kurias jos naudojo, taip pat ir darbo tikslais, buvo užkrėstos kenkėjiška programa. 28% organizacijų darbuotojai prarado asmeninius įrenginius ir laikmenas su įmonės informacija: išmaniuosius telefonus, nešiojamuosius kompiuterius, išorinius standžiuosius diskus, „flash drives“. O vidutinė žala dėl sėkmingo išpuolio prieš įmonę iš smulkaus ir vidutinio verslo segmento buvo įvertinta 4,3 mln.
Asmeniniai darbuotojų įrenginiai versle: koks pavojus?
Grėsmių rimtumas priklauso nuo to, kaip įmonės IT skyrius stebi darbuotojų mobiliųjų įrenginių saugumą. Čia gali būti naudojami keli sprendimai:
1.MDM profiliai. Mobiliųjų įrenginių valdymas (mobiliųjų įrenginių valdymas) – tai paslaugų ir technologijų visuma, užtikrinanti įmonės ir jos darbuotojų programėlių kontrolę ir apsaugą. Viena MDM dalis įdiegta darbuotojo programėlėje, o kita – nuotolinio įrenginio valdymo „valdymo centras“.
2. Ribojančios politikos. Ne visiems darbuotojams reikia prieigos prie tam tikrų išteklių. Pavyzdžiui, kodėl buhalteris turi prieiti prie socialinių tinklų iš darbo įrenginių? Tai gali būti pavojinga, jei programėlėje yra konfidencialių dokumentų, o darbuotojas netyčia spusteli kenkėjišką interneto nuorodą. Todėl lankstus prieigos teisių prie socialinių tinklų ar kitų programų ar išteklių konfigūravimas yra labai svarbus ir reikalingas sprendimas.
3. Antivirusinės programos su centralizuotu valdymu, apsaugančios nuo kenkėjiškų programų. Šie sprendimai iš karto atjungs užkrėstą įrenginį nuo įmonės infrastruktūros ir ištirs incidentą.
Jei nė vienas iš šių metodų nėra praktikuojamas, įmonė turi didelių kibernetinio saugumo pavojų, perspėja Viktoras Čebyševas. Anot jo, užsikrėtus mobiliuoju įrenginiu, galimi keli scenarijai:
1. Kenkėjiška programa renka visus duomenis iš mobiliojo įrenginio – iš tikrųjų šnipinėja. Tokiu atveju galite perimti svarbius įrenginio atmintyje esančius failus, įrašyti pokalbius naudodami integruotą mikrofoną, fotografuoti fotoaparatu ir pan. Mobilusis įrenginys tampa stebėjimo įrankiu, o tokį stebėjimą iš esmės leidžia įmonė.
2. Kenkėjiška programa sukuria vadinamąjį tunelį. Mobilusis telefonas turi dvi tinklo sąsajas – WIFI ir 3G/4G/LTE. Užpuolikas iš bet kurios pasaulio vietos per šias tinklo sąsajas gali pasiekti įmonės vidinę infrastruktūrą, nes mobilusis telefonas nuolat yra prisijungęs, o BYOD yra prieinami įmonės vidiniai WIFI tinklai. Tokios infekcijos pasekmės gali būti savavališkai liūdnos.
Duomenų valdymas nešiojamuosiuose kompiuteriuose yra atskiras pokalbis. Neapsaugota informacija asmeniniame kompiuteryje, kurią galima pamesti oro uoste ar pamiršti kavinėje – tipiškas IT skyriaus košmaras.
Siekdamos išvengti šios grėsmės, nemažai įmonių leidžia darbuotojams dirbti tik biuro kompiuteriais, kurių duomenų perdavimo galimybės yra labai apribotos ir išjungti USB prievadai „flash drives“. Tačiau toks požiūris neveiks įmonėje, kuri orientuota į BYOD, perspėja Viktoras Čebyševas. Apsauga apima apribojimus, į kuriuos gali patekti ne visi vartotojai.
Kaip verslininkai gali apsaugoti įmonės informaciją asmeninėse programėlėse?
BYOD koncepcijoje verta taikyti kelis pagrindinius duomenų apsaugos metodus. „Jų nereikėtų pamiršti: aplaidaus požiūrio kaina gali būti nepalyginama su net viso apsaugos komplekto kaina“, – sako Viktoras Čebyševas.
Jokiu būdu nepamirškite mobiliųjų prietaisų apsaugos (be pagrindinių darbo įrenginių - kompiuterių). Naudokite visapusišką kompiuterių, failų serverių, taip pat planšetinių kompiuterių ir išmaniųjų telefonų apsaugą nuo interneto atakų, finansinio sukčiavimo internete, išpirkos reikalaujančių programų ir duomenų praradimo. Tokią apsaugą suteikia, pavyzdžiui, programa „Kaspersky Small Office Security“. , specialiai sukurta mažoms įmonėms, kuriose dirba iki 25 darbuotojų, arba „Kaspersky Endpoint Security Cloud“. , kuri padeda apsaugoti smulkųjį verslą be papildomos naštos IT ištekliams, laikui ir finansams.
Suaktyvinkite specialų apsaugos nuo vagystės modulį, skirtą „Android“ įrenginiams, kaip visapusės apsaugos dalį. Ši funkcija leidžia nuotoliniu būdu užblokuoti prarastą įrenginį, ištrinti jame esančius duomenis arba nustatyti jo vietą žemėlapyje.
Taikyti visišką arba dalinį įmonės duomenų šifravimą. Tada net pametus ar pavogus nešiojamąjį kompiuterį ar USB atmintinę, juose esančios informacijos nebus galima pasiekti be slaptažodžio.
Atsarginės kopijos technologijos išgelbės jūsų verslą. Naudodamiesi atsargine kopija, visada turėsite atsarginę saugyklą su naujausia vertingos darbinės informacijos versija, pavyzdžiui, sėkmingos išpirkos programinės įrangos atakos atveju.
Sistemos administratoriai visada turėtų žinoti, kokius įrenginius darbuotojai naudoja darbui, ir tokiuose įrenginiuose turėti nuotolinį „detonatorių“ (nuotolinio valdymo pultą) įmonės duomenims, jei jie būtų pamesti, pavogti ar jų savininkas išeitų iš įmonės.
Tačiau apskritai neturėtumėte leisti slaptiems dokumentams nutekėti už įmonės perimetro, net į debesų saugyklas, tokias kaip Yandex.disk ir Google.drive – tada jums nereikės nieko naikinti.
Norėdami užtikrinti susirašinėjimą įmonės temomis asmeniniuose pasiuntiniuose, galite pateikti keletą rekomendacijų. Pirma, mobiliajame įrenginyje turi būti įdiegta naujausia operacinės sistemos versija. Antra, visada naudokite apsaugos sprendimą – kitu atveju įrenginio negalima įleisti į įmonės perimetrą.
Atsakomosios priemonės apima „Kaspersky Security for Business“ ir „Kaspersky Small Office Security“ linijos sprendimus. Jie apima vienodai veiksmingą įmonių ir asmeninių kompiuterių bei mobiliųjų įrenginių apsaugą, o tai ypač svarbu mažoms įmonėms. „Kaspersky Small Office Security“ leidžia savininkams susitelkti ties savo verslo valdymu, nes juo paprasta naudotis ir nereikia specialių IT administravimo žinių, kad būtų apsaugotas įmonės tinklas.
Ar įmonei taps saugesnis naudojimasis darbuotojų asmeniniais įrenginiais?
BYOD koncepcijoje bus tobulinama techninė kibernetinio saugumo problemos pusė, o vis daugiau įmonių atsisakys pirkti įrenginius, – įsitikinęs Viktoras Čebyševas. Tikėtina, kad senais metodais vadovausis tik įmonės, kurios naudoja specifinius mobiliuosius įrenginius, pavyzdžiui, atsparius smūgiams ir vandeniui.
„Įrenginių profilių logika mobiliosiose operacinėse sistemose tikrai taps sudėtingesnė. Tai yra, pats mobilusis įrenginys nuspręs, ką daryti Šis momentas savininkas yra darbe ir blokuoti veiklą, susijusią su užsikrėtimo rizika arba įrenginio patekimu į jam draudžiamas vietas. Tuo pačiu metu tobulinami asmeninių įrenginių stebėjimo mechanizmai įmonės tinkle, o artimiausioje ateityje bus pristatyti mašininiu mokymusi pagrįsti sprendimai, ištaisantys BYOD įrenginių anomalijas. Tokios sistemos – ateitis“, – reziumuoja „Kaspersky Lab“ antivirusinė ekspertė.
Informacijos saugumo vaidmuo verslo tęstinumui
Aleksandras Antipovas
Informacijos saugumo strategija turėtų būti glaudžiai integruota į bendrą įmonės veiklos tęstinumo programą.
Šiuolaikinis verslas priklauso nuo Informacinės technologijos ir labai reikia užtikrinti procesų tęstinumą: net valanda paslaugų prastovos finansinių paslaugų ar telekomunikacijų įmonėse gali atnešti didžiulių nuostolių. Veiklos tęstinumas yra tiesiogiai susijęs su IT ir yra labai svarbus bet kuriai organizacijai, nesvarbu, ar tai būtų dideli mažmenininkai, lėktuvų bilietų agentūros ar vyriausybinės agentūros. Pramonėje, infrastruktūros įmonėse ar transporto sektoriuje viskas dar rimčiau: diegiant skaitmenines technologijas IT paslaugų gedimai gali sukelti ne tik finansinius nuostolius, bet ir žmogaus sukeltas nelaimes. Žinoma, mažoms įmonėms dažniausiai nėra prasmės įgyvendinti tęstinumo planus, jos problemas sprendžia neoficialiai. Tačiau didelėms įmonėms rizika yra nepalyginamai didesnė.
Ekskursija į istoriją
Pirmą kartą apie veiklos tęstinumą pagalvota praėjusio amžiaus šeštajame dešimtmetyje – inžinieriai pradėjo rimtai spręsti atkūrimo po incidentų problemą. Galutinis šios praktikos susiformavimas įvyko devintajame dešimtmetyje, o kitą dešimtmetį, sparčiai tobulėjant technologijoms, taikomi metodai tapo sudėtingesni.
Dešimtojo dešimtmečio antroje pusėje atkūrimą po nelaimių pakeitė veiklos tęstinumo sąvoka arba BCM (Verslo tęstinumo valdymas), tačiau daugelis ekspertų vis dar painioja šiuos dalykus. Šiandien duomenų atsarginės kopijos, šaltos ar karštos atsarginės svetainės nebeužtenka. Sklandaus visos organizacijos veiklos problema turi įtakos gamybos įrangai ir technologiniams procesams, komunikacijos priemonėms, personalui ir daug daugiau. Daugiausia dėmesio skirsime IT sistemoms, nes jų gedimas gali visiškai paralyžiuoti įmonės veiklą.
Standartai ir įrankiai
Yra daug tarptautinių organizacijų, sprendžiančių veiklos tęstinumo klausimus. Garsiausias laikomas sukurtas pagal BSI (British Standard Institute) standartą BS25999. Verta paminėti Didžiosios Britanijos BCI (Verslo tęstinumo instituto), taip pat Amerikos DRI (Disaster Recovery Institute) ir SANS (SysAdmin, Audit, Network, Security Institute) ir Australijos nacionalinės audito tarnybos vadovybę. ANAO).
Taip pat prie to galite pridėti įvairių nacionalinių, pramonės ir net vidinių įmonių standartų – nesunku paskęsti šioje informacinėje jūroje. Blogiausia, kad teorinius pagrindus aprašantys dokumentai neatsako į paprastą klausimą: „Kaip išspręsti problemą praktiškai?“.
Inicijuojame projektą
Stengsimės sujungti esamas metodikas ir svarstysime verslo procesų tęstinumo užtikrinimą kaip projektą – etapais. Svarbu suprasti, kad jo įgyvendinimas yra nenutrūkstamas cikliškas procesas, kuriame atsižvelgiama į verslo pokyčius, Rusijos ir tarptautinius teisės aktus bei technologines naujoves.
Mūsų projekto tikslas – sukurti ir įgyvendinti įmonės veiklos tęstinumo valdymo (BCM) programą. Pirmiausia reikės suformuluoti jo turinį ir sudaryti laipsnišką įgyvendinimo planą. Tada – apibrėžkite komandos narių vaidmenis, projekto tikslus ir pagalvokite, kaip stebėti ir kontroliuoti. Kad projektas neužstrigtų, verta sukurti specialų komitetą iš visų suinteresuotų šalių atstovų – jis turėtų periodiškai posėdžiauti aptarti darbų eigos ir iškylančių problemų.
Dirbant su plano kūrimu svarbu suprasti, ar projektui reikės išorės konsultantų, ar pavyks susitvarkyti savarankiškai. Netgi verta projektui vadovauti paskirti veiklos tęstinumo vadovą – įmonės darbuotoją ar užsakomąjį konsultantą.
Poveikio verslui analizė
Pirmas žingsnis: atliekame išsamų įmonės verslo procesų tyrimą (Business Environment Analysis, BEA) ir nustatome tęstinumo reikalavimus.
Dažniausiai už projektą atsakingas konsultantas veda pokalbius su projekto paveiktų padalinių vadovais. Sudaromas procesų sąrašas ir darbas prasideda nuo jų savininkų: būtina nustatyti proceso įtakos verslui tipą, jo priklausomybės nuo IT laipsnį, taip pat maksimalią leistiną prastovą (Maximum Allowable Outage, MAO). ), po kurio kyla grėsmė prarasti organizacijos gyvybingumą.
Nustatę kiekvieno verslo proceso MAO, turite nurodyti leistiną jų atkūrimo laiką (atkūrimo laiko tikslas, RTO) ir tikslinį atkūrimo tašką (atkūrimo taško tikslas, RPO) - paprastai tai yra laiko intervalas prieš įvykstant avarijai. dėl kurių gali būti prarasti duomenys. Taip pat verta nurodyti priimtinus našumo lygius (Verslo tęstinumo lygis, LBC) kritinėse situacijose – paprastai kaip normalaus veikimo procentą.
Poveikio vertinimas (Business Impact Analysis, BIA) analizuoja procesų poveikį visam verslui kaip visumai. Dėl to turėtų būti sudarytas svarbiausių procesų ir jų tarpusavio priklausomybių sąrašas bei pačių procesų ir su jais susijusių informacinių sistemų prastovos ir atkūrimo laikas. Toliau reikalinga rizikos analizė (Risk Analysis, RA), kurios metu įvertinamos pažeidžiamumas, grėsmės proceso tęstinumui ir jų prevencijos efektyvumas.
Identifikavę procesus, galinčius sutrikdyti įmonės veiklą, bei galimą žalą, galėsime numatyti galimus pavojus, grėsmių šaltinius ir savo pažeidžiamumą.
Strategija ir planai
Antras žingsnis: sukurkite tinkamą veiklos tęstinumo strategiją (Verslo tęstinumo strategijos apibrėžimas), turinčią įtakos visiems įmonės aspektams.
Kiekvienai krypčiai sukuriamas atskiras skyrius, kuriame aprašomi galimi techniniai ir organizaciniai sprendimai, leidžiantys operatyviai atkurti verslo procesus. IT sprendimai daugiausia naudojami karšto ir šalto budėjimo svetainėse, dinaminio apkrovos balansavimo įrankiai, taip pat mobiliosios svetainės ir trečiųjų šalių paslaugų teikėjų pajėgumai (užsakomosios paslaugos). Jie daugiausia skiriasi sąnaudomis ir atkūrimo laiku.
Būtina sukurti veiklos tęstinumo planus (Verslo tęstinumo planas, BCP) ir infrastruktūros atkūrimo ekstremaliose situacijose planus (Disaster Recovery Plan, DRP), taip pat sukurti techninius ir organizacinė sistema BCM. Į planus paprastai įtraukiami trys tęstinumo atkūrimo etapai: reagavimas į incidentą, verslui svarbių procesų vykdymas kritinės situacijos metu ir perėjimas prie įprastos veiklos.
Įgyvendinimas ir palaikymas
Trečias žingsnis: perkame ir įgyvendiname pasirinktus sprendimus.
Įgyvendinimas yra sudėtingas procesas, dėl kurio gali prireikti trečiosios šalies rangovo. Tačiau net ir jį užbaigus nereikėtų užmigti ant laurų – veiklos tęstinumo užtikrinimas yra nenutrūkstamas ir cikliškas procesas.
Įmonės BCM programa turės būti ne tik nuolat tobulinama, bet ir integruota į įmonės kultūrą. Negalime apsiriboti vien planų rengimu – juos reikės išbandyti arba naudojant darbalaukio patikras (Tabletop), imitacijas (imitacija) arba pilną testavimą (viso verslo tęstinumo testavimas). Remiantis testų rezultatais, sudaromos ataskaitos su panaudotais scenarijais ir gautais rezultatais bei pasiūlymais tobulinti esamus planus. Paprastai jie atnaujinami kasmet, o kartais ir dažniau – pasikeitus, pavyzdžiui, IT infrastruktūrai ar teisės aktams.
Bendravimas su IS
Ekspertai dalijasi veiklos tęstinumo planais ir atkūrimo po nelaimių planais, tačiau informacijos saugumo politikos vaidmuo BCM programoje nėra akivaizdus visiems.
Vienas iš pastarųjų atvejų – incidentas ant Maskvos funikulieriaus, kurio veikla buvo visiškai paralyžiuota dėl kibernetinės atakos. Kad ir koks geras buvo atkūrimo planas šiuo atveju, jis nepadėjo greitai sukonfigūruoti įmonės veikimo – serveriai, atkurti iš atsarginės kopijos, turės tų pačių spragų. Būtent todėl į veiklos tęstinumo planus reikėjo įtraukti veiksmų sąrašą sėkmingos IT infrastruktūros atakos atveju, siekiant sumažinti prastovų laiką nerizikuojant keleiviams.
Pramonėje yra daug daugiau grėsmių. Jei kaip pavyzdį paimtume naftos ir dujų pramonę, kuri Rusijoje laikoma labiausiai automatizuota, tai technologiniai procesai kasybos, perdirbimo ir rinkodaros įmonėse iš tikrųjų yra valdomi kompiuteriais. Analoginių prietaisų rankinių rodmenų niekas neima, juos pakeitė skaitmeniniai jutikliai ir išmaniosios stebėjimo sistemos.
Sklendės, vožtuvai ir kitos pavaros taip pat tapo skaitmeninėmis. Jei sėkminga ataka prieš ICS nutrūksta technologinis procesas kelioms sekundėms tai gali sukelti įmonės išjungimą daugeliui valandų ar savaičių, brangios įrangos gedimo ir net rimtų žmogaus sukeltų nelaimių. Dar visai neseniai buvo manoma, kad dėl technologinės dalies izoliacijos nuo viešųjų tinklų įsilaužėlių atakos prieš pramonės valdymo sistemas tampa neįmanomos, tačiau tobulėjant gamybos skaitmeninimui ši izoliacija mažėja, o grėsmių daugėja. Be pramonės, yra ir kitų veiklos sričių, be to, ne visas verslui svarbias paslaugas galima išskirti.
Pagrindinė išvada – informacijos saugumo strategija turėtų būti glaudžiai integruota į bendrą įmonės veiklos tęstinumo programą. Tam reikalingi kompleksiniai sprendimai, galintys sujungti visus įrankius, užtikrinančius išteklių prieinamumą ir apsaugą nuo įsilaužėlių atakų, duomenų konfidencialumą ir vientisumą, taip pat automatizuotą šaltinio kodo ir programų saugumo kontrolę. Rizikos analizės ir poveikio verslui vertinimo etapuose būtina atsižvelgti į galimus informacinių sistemų pažeidžiamumus, kuriuos gali atakuoti piktadariai, o veiklos tęstinumo plane turės būti numatytos naujausių duomenų gavimo procedūros. apie IT infrastruktūrai kylančias grėsmes, jų kritiškumą ir pataisymų prieinamumą. Į veiklos tęstinumo strategiją taip pat turėtų būti įtrauktos paslaugos atkūrimo po sėkmingų atakų procedūros.
Prieš kalbėdamas apie tai, kokios informacijos saugumo rizikos jūsų gali laukti darbe, noriu prisistatyti: esu Kamila Iosipova. Esu IT įmonės ICL Services vyresnioji informacijos saugos vadovė, šioje organizacijoje dirbu 5 metus. Taip pat esu CISA sertifikuotas informacinių sistemų auditorius (ISACA sertifikatas reiškia Certified Information Systems Auditor).
2018 metais duomenų pažeidimų apimtys įmonėse išaugo 5 proc. Žmogiškasis faktorius yra viena iš pagrindinių informacijos saugumo incidentų priežasčių. Nerūpestingumas, nerūpestingumas, motyvas, tyčia – tai priežastys, dėl kurių jūsų įmonių darbuotojai tyčia ar netyčia gali nuvesti verslą į dugną. Kaip apsaugoti save ir savo klientus, ką daryti, kad tarp darbuotojų būtų sukurta darbo su duomenimis kultūra ir kokius metodus šiuo atveju taikyti – pasakysiu toliau.
Darbo informacijos saugumo srityje steigimo planas
Žvelgiant globaliai, matyti, kad informacijos saugumo srityje galima atsekti tam tikrą šabloną: dėmesys informacijos saugumui labai priklauso nuo įmonės veiklos. Pavyzdžiui, valstybinėse įstaigose ar bankų sektoriuje yra griežtesni reikalavimai, todėl didesnis dėmesys skiriamas darbuotojų mokymui, todėl labiau išvystyta darbo su duomenimis kultūra. Tačiau šiandien kiekvienas turėtų atkreipti dėmesį į šią problemą.
Taigi, čia yra keletas praktinių žingsnių, kurie padės atlikti savo darbą informacijos saugumo srityje:
1 žingsnis. Sukurti ir įgyvendinti bendrą informacijos saugumo politiką, kurioje bus pagrindiniai įmonės darbo principai, tikslai ir uždaviniai informacijos saugumo valdymo srityje.
2 žingsnis. Įveskite klasifikavimo politiką ir privatumo lygius.
Tuo pačiu reikia ne tik surašyti dokumentą, prie kurio darbuotojas turės prieigą 24 valandas per parą, 7 dienas per savaitę, bet ir vesti įvairius mokymus bei kalbėti apie atliekamus pakeitimus. Laikykitės taisyklės: iš anksto įspėtas yra ginkluotas. Leiskite įmonei elgtis Nuolatinis darbasšia kryptimi.
3 žingsnis. Sukurkite aktyvų požiūrį.
Tai tarsi prevencija medicinoje. Sutikite, daug pigiau ir lengviau atlikti profilaktinį patikrinimą, nei gydyti pažengusią ligą. Pavyzdžiui, mūsų įmonėje proaktyvus požiūris veikia taip: darbui su informacija komerciniuose projektuose sukūrėme IS valdymo standartą projektuose, kuriame yra būtini minimalūs IS reikalavimai tam tikram IS procesų brandos lygiui užtikrinti. komercinis projektas. Jame aprašoma, ką reikia padaryti norint išlaikyti tam tikrą saugumo valdymo proceso brandos lygį. Šį standartą įdiegėme projektuose, o dabar kasmet atliekame vidaus auditus: tikriname, kaip projektai atitinka šiuos reikalavimus, nustatome informacijos saugumo rizikas bei gerąją praktiką, kuri gali padėti ir kitiems projektų vadovams.
Be audito, dalijimasis žiniomis veikia gerai. Jei viename iš projektų „perkūnija nugriaudėjo“, kitiems pravartu apie tai žinoti ir turėti laiko imtis reikiamų priemonių.
4 žingsnis. Padarykite visus dokumentus, paaiškinančius taisykles: struktūrizuotus, aiškius ir glaustus.
Kaip rodo praktika, ilgų kelių puslapių tekstų niekas neskaito. Dokumentas turi būti parašytas paprasta kalba. Taip pat tai turi atitikti verslo tikslus ir patvirtinti aukščiausios vadovybės – tai bus galingesnis argumentas darbuotojams, kodėl šių taisyklių reikia laikytis.
5 žingsnis. Veda mokymus, pokalbius, dalykinius žaidimus ir panašiai.
Labai dažnai žmonės nesupranta, kaip tam tikros taisyklės yra susijusios su konkrečiu jų darbu, todėl reikia pateikti pavyzdžių, paaiškinti, parodyti, kaip jie gali tai pritaikyti. Čia svarbu parodyti pasekmes, iki verslo praradimo ir kokios konkrečios pasekmės laukia darbuotojo, iki baudžiamosios atsakomybės.
Norint įgyvendinti visa tai, kas išdėstyta aukščiau, įmonėje reikia išteklių – tiek materialinių, tiek žmogiškųjų. Todėl dabar daugelyje įmonių pradėjo atsirasti informacijos saugumo (CISO) direktoriaus pareigos. Šios pozicijos dėka galima perteikti verslo lyderiams bet kokių sprendimų skatinimo, lėšų skyrimo ir pan. CISO gali skatinti informacijos saugumą įmonėje visais lygiais.
Užduotys, kurių jis imasi, yra plačios: bendravimas su aukščiausia vadovybe, tam tikrų sprendimų pagrindimas, bendravimas su procesų savininkais siekiant užtikrinti saugumą visose srityse. Kibernetinių grėsmių požiūriu jis yra kontaktinis taškas, o valdo, nustato reagavimo į kibernetines grėsmes strategijas ir koordinuoja atsako į atakas darbus.
Darbuotojų mokymas: sunkus, ilgas, bet būtinas
Tačiau prieš mokydami žmones tam tikrų taisyklių, turite suprasti vieną dalyką: negalite gilintis į žmogiškąjį faktorių, už jo gali slypėti kažkas kita - išteklių, žinių ar technologijų trūkumas. Čia pats efektyviausias metodas – išanalizuoti tikrąsias priežastis, prieiti prie pagrindinės priežasties.
Dirbant su žmonėmis, būtina pasirinkti raktą tiesiogine prasme visiems. Visi žmonės yra skirtingi, todėl ir metodai, kuriuos reikia taikyti, yra skirtingi. Viename pokalbyje su darbuotoja specialistė man pasakė: ką nors darysiu tik tada, jei žinosiu, kad gausiu už reikalavimo neįvykdymą. Ir atvirkščiai, vieniems veikia tik teigiama motyvacija, pavyzdžiui, geras darbo kokybės įvertinimas, paskatinimas sėkmingai baigti mokymus.
Yra nuomonė, kad informacijos saugumo specialistai dažnai stabdo inovacijas, ypač kai jie riboja naujų technologijų ir verslo modelių naudojimą. Taip iš tiesų gali būti, tačiau svarbu atsiminti: „Saugumas yra kaip jūsų automobilio stabdžiai. Jų funkcija yra sulėtinti jus. Tačiau jų tikslas yra leisti jums eiti greitai. Dr. Gary Hinson“ („Sauga yra kaip jūsų automobilio stabdžiai. Jų funkcija – sulėtinti jus. Tačiau jų paskirtis – įgalinti jus važiuoti greitai“). Svarbu suprasti, kad be šių taisyklių neįmanoma judėti toliau, nes tam tikru momentu jūs tiesiog negalėsite vystyti savo verslo, jei neapsisaugosite nuo kibernetinių grėsmių ir nesuvaldysite informacijos saugumo rizikos. Siekdama išlaikyti pusiausvyrą, mūsų įmonė taiko rizika pagrįstą metodą, kuris yra ISO 27001 standarto pagrindas. Šis metodas leidžia pasirinkti mums keliamus reikalavimus ir saugumo priemones, kurios yra būtinos siekiant apsisaugoti. nuo mums aktualių grėsmių. Tokio požiūrio pagalba galime pasirinkti ir finansiniu požiūriu: kaip tikslinga taikyti tam tikras priemones. Pavyzdžiui, kiekvienoje posėdžių salėje galime pastatyti biometrinį skaitytuvą, bet kiek mums jo reikia, kokią vertę jis atneša, kokią riziką sumažina? Atsakymas ne visada akivaizdus.
Mes, ICL Services, suprantame, kad mums svarbus informacijos, su kuria dirbame, konfidencialumas, tam šifruojame nešiojamus kompiuterius, nes net ir praradus nešiojamąjį kompiuterį informacija nepateks į įsibrovėlių rankas. Tai labai svarbu, todėl esame pasirengę tam išleisti pinigus.
Tikiu, kad tik taip galima rasti pusiausvyrą tarp saugumo ir verslo vertės: rinktis, žinoti naujoves ir visada įvertinti rizikas (kiek rizikos diegimo kaštai prilyginami vieno ar kito saugumo sprendimo įsigijimo išlaidoms ).
Integruotas požiūris yra idealus informacijos saugumo receptas
Mano nuomone, integruotas požiūris į darbą su apsauga yra pats efektyviausias, nes informacijos saugumas yra žmogaus sąmoningumo, elgesio ir tinkamo verslo procesų organizavimo reikalas, atsižvelgiant į saugumo reikalavimus. Incidentai dažniausiai nutinka dėl darbuotojų: žmonės klysta, pavargsta, gali paspausti ne tą mygtuką, tad čia pusė sėkmės – techniniai apribojimai, nuo atsitiktinių netyčinių incidentų, kita pusė – kiekvieno darbuotojo saugos kultūra.
Todėl svarbu vesti prevencinius pokalbius ir mokymus. Šiuolaikiniame pasaulyje kibernetinės grėsmės yra skirtos žmonėms: jei gaunate sukčiavimo el. laišką, jis yra nekenksmingas, kol nepasieksite nuorodos ir nepaspausite jos. Mūsų įmonėje akcentuojamas personalo sąmoningumas, darbas su žmonėmis, sąmoningumas. Na, o trečias punktas – organizacinis, žmonės turi žinoti taisykles, taisyklės turi būti surašytos, turi būti tam tikra politika, kurios turi laikytis visi.
Atsiminkite: kibernetinės grėsmės pasaulyje yra labai paplitusios, o tuo pačiu atakų pasekmės yra labai rimtos – iki visiško verslo praradimo, bankroto. Natūralu, kad klausimas įtrauktas į darbotvarkę. Mūsų laikais saugumas tiesiog privalo būti jo dalimi Firmos kultūra, o aukščiausia vadovybė šiuo klausimu yra pirmoji suinteresuota šalis, nes ji valdo verslą, o kai rizika bus suvokta, atsakomybė pirmiausia teks jiems.
Štai keletas patarimų, kurie padės darbuotojams išvengti kibernetinio saugumo incidentų:
- Negalite sekti nepatvirtintų nuorodų;
- Neplatinti konfidencialios informacijos;
- Jūs negalite užsirašyti slaptažodžio ant popieriaus lapo ir priklijuoti lipduko;
- Nenaudokite USB laikmenų, dėl kurių nesate tikri (užkrėstą fizinį įrenginį užpuolikas gali palikti tokioje vietoje, kur auka jį tikrai ras);
- Registruodamiesi svetainėse, nurodydami telefono numerį ir pašto adresą, atidžiai ieškokite, kam ši informacija reikalinga, galbūt tokiu būdu užsiprenumeruojate mokamą naujienlaiškį.
Tikiuosi, kad laikui bėgant saugumas taps pagrindiniu kiekvienos įmonės verslo kultūros elementu.
Fakultete puikiai įvaldysite darbo informacijos saugumo srityje įgūdžius.