Боловсрол, шинжлэх ухааны яам Оросын Холбооны Улс

холбооны улсын төсвийн боловсролын байгууллага

дээд мэргэжлийн боловсрол

"ПЕРМИЙН ҮНДЭСНИЙ СУДАЛГАА

УЛСЫН ТЕХНИКИЙН ИХ СУРГУУЛЬ"

Туршилт

сахилга батаар

ҮЙЛДВЭРИЙН МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДАЛ

Сэдэв "Альфа-Банкны жишээн дээрх бизнесийн мэдээллийн аюулгүй байдал"

Оюутан бөглөсөн

FK-11B бүлэг:

Смышляева Мария Сергеевна

Багш шалгасан:

Шабуров Андрей Сергеевич

Пермь - 2013 он

Танилцуулга

Дүгнэлт

Ном зүй

Танилцуулга

Ихэнх компаниудын мэдээллийн нөөц бол хамгийн үнэ цэнэтэй нөөц юм. Энэ шалтгааны улмаас арилжааны, нууц мэдээлэл, хувийн мэдээллийг буруугаар ашиглахаас найдвартай хамгаалсан байх ёстой, гэхдээ нэгэн зэрэг эдгээр мэдээллийг боловсруулах, эсвэл даалгасан даалгаврыг гүйцэтгэх явцад ашиглаж буй байгууллагуудад хялбар хандах боломжтой. Үүний тулд тусгай хэрэгслийг ашиглах нь компанийн бизнесийн тогтвортой байдал, түүний амьдрах чадварыг нэмэгдүүлэхэд хувь нэмэр оруулдаг.

Практикаас харахад орчин үеийн нөхцөлд бизнесийг хамгаалах ажлыг зохион байгуулах асуудал хамгийн их хамааралтай болсон. Онлайн дэлгүүрүүд "нээлттэй" болж, үйлчлүүлэгчдийн зээлийн карт хоосорч, казино, сугалаагаар шантаажилж, корпорацийн сүлжээ гадаад хяналт, компьютерийг "зомбичилж", ботнетэд оруулсан бөгөөд хулгайлагдсан хувийн мэдээллийг ашиглан залилан мэхлэх нь үндэсний хэмжээний гамшиг болж байна.

Тиймээс компанийн удирдагчид мэдээллийн аюулгүй байдлын ач холбогдлыг ухамсарлаж, энэ чиглэлийн чиг хандлагыг урьдчилан таамаглаж, удирдаж сурах ёстой.

Энэхүү ажлын зорилго нь Альфа-Банкны жишээн дээр бизнесийн мэдээллийн аюулгүй байдлын системийн давуу болон сул талуудыг тодорхойлох явдал юм.

Альфа-Банк ХК-ийн үйл ажиллагааны онцлог

Альфа-Банк нь 1990 онд байгуулагдсан. Альфа-Банк нь хувийн болон корпорацийн үйлчлүүлэгчдэд үйлчлэх, хөрөнгө оруулалтын банк, худалдааны санхүүжилт, хөрөнгийн менежмент зэрэг санхүүгийн үйлчилгээний зах зээл дээрх бүх төрлийн банкны үйл ажиллагааг явуулдаг бүх нийтийн банк юм.

Альфа-Банкны төв оффис нь Москва хотод байрладаг бөгөөд ОХУ болон гадаадад тус банкны 444 салбар, салбар нээгдсэн бөгөөд үүнд Нидерланд дахь охин банк, АНУ, Их Британи, Кипр дэх санхүүгийн салбарууд байдаг. Альфа-Банк 17,000 орчим ажилтантай.

Альфа-Банк нь нийт хөрөнгө, нийт хөрөнгө, хадгаламжийн хэмжээгээрээ Оросын хамгийн том хувийн банк юм. Банк нь аж ахуйн нэгжийн үйлчлүүлэгчид болон хувь хүмүүс. Альфа-Банк нь үндсэн чиглэлээр бүх нийтийн банк болж хөгжиж байна: корпорацийн болон хөрөнгө оруулалтын бизнес (жижиг болон дунд бизнес(ЖДҮ), худалдаа, зохион байгуулалттай санхүү, лизинг, факторинг), жижиглэнгийн бизнес(банкны салбар, автомашины зээл, моргейжийн систем орно). Олон нийтийн болон ЖДҮ-ийн сегмент дэх корпорацийн бизнест зориулсан банкны бүтээгдэхүүнийг хөгжүүлэх, түүнчлэн алсын зайнаас өөрөө өөртөө үйлчлэх сувгийг хөгжүүлэх, интернетийн эквайринг хөгжүүлэхэд онцгой анхаарал хандуулж байна. Альфа-Банкны стратегийн тэргүүлэх чиглэлүүд нь ОХУ-ын хувийн тэргүүлэгч банкны статусаа хадгалах, тогтвортой байдлыг бэхжүүлэх, ашигт ажиллагааг нэмэгдүүлэх, технологи, үр ашиг, харилцагчийн үйлчилгээ, багаар ажиллах салбарын стандартыг тогтоох явдал юм.

Альфа-Банк бол дэлхийн хөрөнгийн зах зээл дэх Оросын хамгийн идэвхтэй банкуудын нэг юм. Олон улсын тэргүүлэх зэрэглэлийн агентлагууд Альфа-Банкыг Оросын хувийн банкнуудын дунд хамгийн өндөр үнэлгээг өгдөг. Хэрэглэгчийн туршлагын индексээр дөрвөн удаа дараалан 1-р байранд орсон. Санхүүгийн хямралын дараах жижиглэнгийн банкны салбарыг Senteo болон PricewaterhouseCoopers-тэй хамтран явуулсан. Мөн 2012 онд Альфа-Банкийг хүлээн зөвшөөрсөн. шилдэг интернет GlobalFinance сэтгүүлийн дагуу Хөрөнгийн зах зээлд оролцогчдын үндэсний холбоо (NAUFOR)-аас шилдэг аналитик үнэлгээгээр шагнагдсан банк Ромир судалгааны холдингийн тооцоолсон итгэлцлийн индексээр Оросын шилдэг хувийн банк болжээ.

Өнөөдөр банк нь холбооны хэмжээний сүлжээтэй бөгөөд үүнд 83 худалдааны цэг багтдаг. Альфа банк нь 23 хотыг хамарсан 55 оффистой, арилжааны банкуудын дунд хамгийн том сүлжээтэй. Сүлжээг өргөтгөсний үр дүнд банк харилцагчийн баазаа нэмэгдүүлэх, банкны бүтээгдэхүүний нэр төрөл, чанарыг нэмэгдүүлэх, бүс нутаг хоорондын хөтөлбөрүүдийг хэрэгжүүлэх, томоохон аж ахуйн нэгжүүдээс тулгуур харилцагчдад цогц үйлчилгээ үзүүлэх нэмэлт боломжууд нээгдэж байна.

Бизнесийн мэдээллийн аюулгүй байдлын асуудлын онолын үндэслэлд дүн шинжилгээ хийх

Хамааралтай байдалМэдээллийн аюулгүй байдлыг хангах асуудлын ач холбогдол нь дараах хүчин зүйлүүдтэй холбоотой юм.

· Мэдээллийн аюулгүй байдлын хэрэгслийн хөгжлийн орчин үеийн түвшин, хурд нь мэдээллийн технологийн хөгжлийн түвшин, хурдаас хамаагүй хоцорч байна.

· Паркийн өсөлтийн хурд өндөр хувийн компьютеруудхүний ​​үйл ажиллагааны янз бүрийн салбарт ашигладаг. Gartner Dataquest-ийн судалгаагаар одоогоор дэлхий дээр нэг тэрбум гаруй хувийн компьютер байна.

мэдээллийн аюулгүй байдлын бизнесийн банк

· Тооцооллын нөөц, өгөгдлийн массив руу шууд нэвтрэх хэрэглэгчдийн хүрээ огцом өргөжих;

Одоогийн байдлаар банкуудад хадгалагдаж буй мэдээллийн ач холбогдол ихээхэн нэмэгдэж, санхүүгийн болон эдийн засгийн үйл ажиллагааолон хүн, компани, байгууллага, тэр байтугай бүх муж улсууд. Банк нь олон тооны хүмүүсийн ашиг сонирхолд нийцсэн үнэ цэнэтэй мэдээллийг хадгалж, боловсруулдаг. Банк нь үйлчлүүлэгчдийнхээ тухай чухал мэдээллийг хадгалдаг бөгөөд энэ нь ийм мэдээллийг хулгайлах, гэмтээх сонирхолтой халдагчдын хүрээг өргөжүүлдэг.

Нийт гэмт хэргийн 90 гаруй хувь нь банкны мэдээлэл боловсруулах автомат системийг ашигласантай холбоотой байна. Тиймээс банкууд АСОИБ-ыг бий болгож, шинэчлэхдээ түүний аюулгүй байдлыг хангах тал дээр ихээхэн анхаарах шаардлагатай байна.

Банкуудын компьютерийн аюулгүй байдалд гол анхаарлаа хандуулах хэрэгтэй, i. Банкны мэдээллийн автоматжуулсан системийн аюулгүй байдал нь банкны мэдээллийн аюулгүй байдлын хамгийн чухал, төвөгтэй, тулгамдсан асуудал юм.

Мэдээллийн технологийн хурдацтай хөгжил нь бизнесийн шинэ боломжийг нээж өгсөн ч шинэ аюул заналхийллийг бий болгоход хүргэсэн. Өрсөлдөөнөөс болж орчин үеийн программ хангамжийн бүтээгдэхүүнүүд алдаа дутагдалтай зарагддаг. Хөгжүүлэгчид, түүний дотор бүтээгдэхүүнийхээ янз бүрийн функцууд нь бий болгосон програм хангамжийн системийг өндөр чанартай дибаг хийх цаг байдаггүй. Эдгээр системд үлдсэн алдаа, дутагдал нь мэдээллийн аюулгүй байдлыг санамсаргүй, санаатайгаар зөрчихөд хүргэдэг. Жишээлбэл, ихэнх мэдээлэл санамсаргүй алдагдах шалтгаан нь програм хангамж, техник хангамжийн үйл ажиллагааны доголдол бөгөөд компьютерийн системд хийсэн халдлагын ихэнх нь програм хангамжийн алдаа, дутагдал дээр суурилдаг. Жишээлбэл, Microsoft Windows серверийн үйлдлийн системийг гаргаснаас хойшхи эхний зургаан сарын хугацаанд 14 сул талыг илрүүлсний 6 нь маш чухал юм. Хэдийгээр цаг хугацаа өнгөрөхөд Майкрософт илэрсэн дутагдлыг арилгах үйлчилгээний багцуудыг хөгжүүлдэг ч үлдсэн алдаануудын улмаас хэрэглэгчид аль хэдийн мэдээллийн аюулгүй байдлын зөрчилд өртөж байна. Энэ олон асуудлыг шийдэх хүртэл мэдээллийн аюулгүй байдлын түвшин хангалтгүй байгаа нь мэдээллийн технологийн хөгжилд ноцтой саад тотгор учруулах болно.

Доод мэдээллийн нууцлалМэдээллийн харилцааны субьект, түүний дотор мэдээллийн болон туслах дэд бүтцийн эзэмшигч, хэрэглэгчдэд хүлээн зөвшөөрөгдөөгүй хохирол учруулж болзошгүй байгалийн болон зохиомол шинж чанартай санамсаргүй буюу санаатай нөлөөллөөс мэдээлэл, туслах дэд бүтцийн аюулгүй байдлыг ойлгоно.

Өнөөгийн бизнесийн ертөнцөд шилжилт хөдөлгөөн өрнөж байна биет хөрөнгөмэдээлэл рүү чиглэв. Байгууллага хөгжихийн хэрээр мэдээллийн систем нь илүү төвөгтэй болж, түүний гол зорилго нь байнга өөрчлөгдөж байдаг өрсөлдөөнт зах зээлийн орчинд бизнесийн үр ашгийг дээд зэргээр хангах явдал юм.

Мэдээллийг бараа бүтээгдэхүүн гэж үзвэл мэдээллийн аюулгүй байдлыг ерөнхийд нь хангах нь зардлыг ихээхэн хэмнэдэг бол түүнд учирсан хохирол нь материаллаг зардалд хүргэдэг гэж хэлж болно. Жишээлбэл, анхны бүтээгдэхүүний үйлдвэрлэлийн технологийг задруулах нь ижил төстэй бүтээгдэхүүн гарч ирэхэд өөр үйлдвэрлэгчээс гарах бөгөөд мэдээллийн аюулгүй байдлын зөрчлийн үр дүнд технологийн эзэн, магадгүй зохиогч нь хохирох болно. зах зээлийн нэг хэсэг гэх мэт. Нөгөө талаас мэдээлэл нь хяналтын объект бөгөөд түүний өөрчлөлт нь хяналтын объектод сүйрлийн үр дагаварт хүргэж болзошгүй юм.

ГОСТ R 50922-2006 стандартын дагуу мэдээллийн аюулгүй байдлыг хангах нь мэдээлэл алдагдахаас урьдчилан сэргийлэх, хамгаалагдсан мэдээлэлд зөвшөөрөлгүй, санамсаргүй нөлөөлөл үзүүлэхээс урьдчилан сэргийлэхэд чиглэсэн үйл ажиллагаа юм. Мэдээллийн аюулгүй байдал нь аж ахуйн нэгж, төрийн байгууллагуудын аль алинд нь хамааралтай. Мэдээллийн нөөцийг иж бүрэн хамгаалах зорилгоор мэдээллийн аюулгүй байдлын тогтолцоог бүрдүүлэх, хөгжүүлэх ажил хийгдэж байна.

Дотоодын болон дэлхийн сүлжээний үйл ажиллагаанд ноцтой нөлөөлж, үнэ цэнэтэй мэдээллийг алдахад хүргэдэг олон шалтгаан бий. Тэдгээрийн дотор дараахь зүйлс орно.

Гаднаас зөвшөөрөлгүй нэвтрэх, мэдээллийг хуулах, өөрчлөх нь санамсаргүй болон санаатай үйлдлүүд нь:

өгөгдлийг гажуудуулах, устгах;

банк, санхүүгийн болон төрийн нууцыг бүрдүүлсэн мэдээлэлтэй зөвшөөрөлгүй этгээдийг танилцуулах.

Програм хангамжийн буруу ажиллагаа нь дараах шалтгааны улмаас өгөгдөл алдагдах, эвдрэлд хүргэдэг.

програм эсвэл сүлжээний програм хангамжийн алдаа;

компьютерийн вирусын халдвар.

Техникийн тоног төхөөрөмжийн эвдрэл дараахь шалтгааны улмаас үүсдэг.

Цахилгааны хомсдол;

дискний систем болон өгөгдөл архивлах системийн эвдрэл;

сервер, ажлын станц, сүлжээний карт, модемийг тасалдуулах.

Үйлчилгээний ажилтнуудын алдаа.

Мэдээжийн хэрэг, нэг төрлийн шийдэл байхгүй, гэхдээ олон байгууллага мэдээлэл алдагдах, зөвшөөрөлгүй нэвтрэх эрсдлийг багасгахын тулд техникийн болон захиргааны арга хэмжээг боловсруулж, хэрэгжүүлсэн.

Өнөөдрийг хүртэл мэдээллийн аюулгүй байдлыг хангах олон арсенал байдаг бөгөөд үүнийг Альфа-Банканд ашигладаг.

· хэрэглэгчдийг таних, баталгаажуулах хэрэгсэл (3А цогцолбор гэж нэрлэгддэг);

· компьютер дээр хадгалагдаж, сүлжээгээр дамжуулагдсан мэдээллийг шифрлэх хэрэгсэл;

· галт хана;

· виртуал хувийн сүлжээ;

· контент шүүх хэрэгсэл;

· дискний агуулгын бүрэн бүтэн байдлыг шалгах хэрэгсэл;

· вирусын эсрэг хамгаалах хэрэгсэл;

· сүлжээний эмзэг байдлыг илрүүлэх систем ба сүлжээний халдлагын анализаторууд.

"Цогцолбор 3A" нь нэвтрэлт танилт (эсвэл таних), зөвшөөрөл, удирдлага орно. Танихболон зөвшөөрөл нь мэдээллийн аюулгүй байдлын гол элементүүд юм. Ямар ч програм руу нэвтрэхийг оролдох үед таних функц нь "Чи хэн бэ?" Гэсэн асуултын хариултыг өгдөг. болон "Та хаана байна?", Та програмын эрх бүхий хэрэглэгч эсэх. Зөвшөөрлийн функц нь тухайн хэрэглэгч ямар нөөцөд хандахыг хариуцдаг. Удирдлагын чиг үүрэг нь хэрэглэгчийг тухайн сүлжээн дэх тодорхой таних боломжоор хангах, түүнд зөвшөөрөгдсөн үйл ажиллагааны цар хүрээг тодорхойлох явдал юм. Альфа-Банканд програм нээхдээ ажилтан бүрийн нууц үг, нэвтрэх нэрийг шаарддаг бөгөөд аливаа үйл ажиллагаа явуулахдаа зарим тохиолдолд хэлтсийн дарга эсвэл түүний орлогчийн зөвшөөрөл шаардлагатай байдаг.

Галт ханань зөвшөөрөлгүй өгөгдлийн пакетуудыг сүлжээнд нэвтрэх, гарахаас сэргийлж, хоёр ба түүнээс дээш сүлжээний хооронд хамгаалалтын хаалт үүсгэдэг систем буюу системийн хослол юм. Галт хананы ажиллах үндсэн зарчим. өгөгдлийн багц бүрийг ирж буй болон гарах IP_хаяг зөвшөөрөгдсөн хаягийн суурьтай тааруулж байгаа эсэхийг шалгах. Тиймээс галт хана нь мэдээллийн сүлжээг сегментчлэх, мэдээллийн эргэлтийг хянах боломжийг ихээхэн өргөжүүлдэг.

Криптограф болон галт хананы тухай ярихдаа бид аюулгүй виртуал хувийн сүлжээг дурдах хэрэгтэй (Virtual Private Network - VPN). Тэдгээрийн хэрэглээ нь нээлттэй харилцаа холбооны сувгаар дамжуулах явцад мэдээллийн нууцлал, бүрэн бүтэн байдлын асуудлыг шийдвэрлэх боломжийг олгодог.

Нууц мэдээллийг алдахаас хамгаалах үр дүнтэй хэрэгсэл. Дотогшоо болон гарч буй контентыг шүүдэг Имэйл. Байгууллагын тогтоосон дүрмийн дагуу имэйл мессеж болон тэдгээрийн хавсралтыг баталгаажуулах нь компаниудыг шүүхэд өгөх хариуцлагаас хамгаалах, ажилчдаа спамаас хамгаалахад тусалдаг. Контент шүүлтүүрийн хэрэгслүүд нь шахагдсан болон график гэх мэт бүх нийтлэг форматтай файлуудыг сканнердах боломжийг танд олгоно. Үүний зэрэгцээ сүлжээний зурвасын өргөн бараг өөрчлөгдөөгүй хэвээр байна.

Орчин үеийн вирусын эсрэгТехнологи нь сэжигтэй файлын кодыг вирусын эсрэг мэдээллийн санд хадгалагдсан дээжтэй харьцуулах замаар бараг бүх мэдэгдэж байгаа вирусын програмуудыг илрүүлэх боломжийг олгодог. Үүнээс гадна шинээр үүсгэсэн вирусын программуудыг илрүүлэх зан үйлийн загварчлалын технологийг боловсруулсан. Илрүүлсэн объектыг халдваргүйжүүлж, тусгаарлаж (хорио цээрийн дэглэмд), эсвэл устгаж болно. Вирусын хамгаалалтыг янз бүрийн төрлийн процессорууд дээр бараг бүх нийтлэг үйлдлийн системүүд (Windows, Unix - болон Linux_systems, Novell) дээр ажилладаг ажлын станцууд, файл, шуудангийн серверүүд, галт ханууд дээр суулгаж болно. Спамын шүүлтүүрүүд нь спам задлан шинжлэхтэй холбоотой бүтээмжгүй хөдөлмөрийн зардлыг эрс багасгаж, траффик болон серверийн ачааллыг бууруулж, багийн сэтгэлзүйн байдлыг сайжруулж, компанийн ажилчдыг хуурамч гүйлгээнд оролцох эрсдэлийг бууруулдаг. Нэмж дурдахад, спам шүүлтүүр нь вирус агуулсан мессежүүд (вирусын эсрэг мэдээллийн санд хараахан ороогүй байгаа) ихэвчлэн спамын шинж тэмдэг илэрч, шүүгддэг тул шинэ вирусын халдвар авах эрсдлийг бууруулдаг. Шүүлтүүр нь хог хаягдлын хамт спам болон бизнесийн болон хувийн хэрэгцээт мессежийг устгаж эсвэл тэмдэглэвэл спам шүүлтүүрийн эерэг үр нөлөөг арилгах боломжтой.

Хамгийн түгээмэл хэд хэдэн төрөл, аргууд байдаг мэдээллийн аюул:

Худалдааны нууцыг задлах, хулгайлах. Өмнө нь нууцыг нууц газар, асар том сейфэнд, найдвартай биет болон (дараа) цахим хамгаалалтад хадгалдаг байсан бол өнөөдөр олон ажилчид оффисын мэдээллийн санд хандах боломжтой байдаг бөгөөд энэ нь ихэвчлэн маш эмзэг мэдээлэл, тухайлбал хэрэглэгчийн ижил мэдээлэл агуулсан байдаг.

Эвдэрсэн материалын хуваарилалт. Өөрөөр хэлбэл, банкны нэр хүндэд сөргөөр нөлөөлж буй ийм мэдээллийг ажилтнууд цахим захидал харилцаанд санаатайгаар эсвэл санамсаргүй байдлаар ашиглах явдал юм.

Оюуны өмчид халдсан. Банкинд үйлдвэрлэсэн аливаа оюуны бүтээгдэхүүн нь аль ч байгууллагад харьяалагддаг бөгөөд тухайн байгууллагын эрх ашгаас бусад тохиолдолд ажилтнууд (үүнд оюуны үнэт зүйлийг үүсгэгч, зохиогчид) ашиглах боломжгүй гэдгийг мартаж болохгүй. Энэ хооронд ОХУ-д өөрсдийн бүтээсэн оюуны бүтээгдэхүүнээ нэхэж, хувийн ашиг сонирхлын үүднээс байгууллагыг хохироож ашигладаг байгууллага, ажилчдын хооронд энэ асуудлаар зөрчилдөөн гарах нь элбэг. Энэ нь ихэвчлэн аж ахуйн нэгжийн хууль эрх зүйн нөхцөл байдал тодорхойгүй байгаатай холбоотой байдаг хөдөлмөрийн гэрээажилтны эрх, үүргийг тодорхойлсон тодорхой хэм хэмжээ, дүрэм байдаггүй.

Нууц биш боловч өрсөлдөгчид (бусад банкуудад) ашигтай байж болох дотоод мэдээллийг тараах (ихэвчлэн санамсаргүй байдлаар).

Өрсөлдөгч банкуудын вэбсайтад зочилно. Одоо улам олон компаниуд нээлттэй сайтууд дээрээ (ялангуяа CRM-д зориулагдсан) програмуудыг ашиглаж байгаа бөгөөд энэ нь зочдыг таньж, тэдний маршрутыг нарийвчлан хянах, сайт дээрх хуудсыг үзэх цаг, үргэлжлэх хугацааг бүртгэх боломжийг олгодог. Өрсөлдөгчийн вэбсайтууд дүн шинжилгээ хийх, урьдчилан таамаглах үнэ цэнэтэй эх сурвалж байсаар ирсэн.

Албан тасалгааны харилцаа холбоог хувийн зорилгоор урвуулан ашиглах (сонсох, хөгжим болон ажилтай холбоогүй бусад контент үзэх, оффисын компьютер татаж авах) нь мэдээллийн аюулгүй байдалд шууд заналхийлдэггүй, харин компанийн сүлжээнд нэмэлт дарамт үүсгэж, үр ашгийг бууруулж, хөндлөнгийн оролцоог бий болгодог. хамт олныхоо ажилтай.

Эцэст нь гадны аюул заналхийлэл - зөвшөөрөлгүй халдлага гэх мэт.

Банкны баталсан дүрэм нь төрийн болон арилжааны нууц, хувийн болон хувийн мэдээллийг хамгаалах үндэсний болон олон улсад хүлээн зөвшөөрөгдсөн стандартад нийцсэн байх ёстой.

Альфа-Банк дахь мэдээллийн зохион байгуулалтын хамгаалалт

Альфа Банк ХК нь сонгомол хандалтын хяналтын аргад суурилсан аюулгүй байдлын бодлогыг хэрэгжүүлсэн. "Альфа Банк" ХК-ийн ийм менежмент нь администраторын тодорхойлсон хандалтын харилцааны багцаар тодорхойлогддог. Хандалтын матрицыг компанийн системийн администратор шууд бөглөнө. Мэдээллийн аюулгүй байдлын сонгомол бодлогыг хэрэгжүүлэх нь удирдлагын шаардлага, мэдээллийн аюулгүй байдал, хандалтын хяналт, хариуцлагын шаардлагад нийцэж байгаа бөгөөд зохион байгуулалтын хувьд хүлээн зөвшөөрөгдсөн өртөгтэй байдаг. Мэдээллийн аюулгүй байдлын бодлогыг хэрэгжүүлэх ажлыг "Альфа Банк" ХК-ийн системийн администратор бүрэн хариуцдаг.

Одоо байгаа аюулгүй байдлын бодлогын зэрэгцээ Альфа Банк ХК нь хамгаалалтын тусгай техник хангамж, програм хангамжийг ашигладаг.

Хамгаалалтын техник хангамж нь Cisco 1605. Чиглүүлэгч нь LAN-д зориулсан хоёр Ethernet интерфэйсээр (нэг нь TP болон AUI интерфейстэй, нөгөө нь зөвхөн TP-тэй) болон Cisco 1600 цуврал чиглүүлэгчид зориулсан модулиудын аль нэгийг суулгах зориулалттай өргөтгөлийн үүрээр тоноглогдсон. Үүнээс гадна, Cisco IOSFirewallFeatureSet програм хангамж нь Cisco 1605-R-ийг жижиг оффисын хувьд хамгийн тохиромжтой уян хатан чиглүүлэгч/аюулгүй байдлын шийдэл болгодог. Суурилуулсан модулиас хамааран чиглүүлэгч нь ISDN болон залгах шугам эсвэл 1200 bps-ээс 2 Mbps, FrameRelay, SMDS, x.25 хүртэлх түрээсийн шугамаар холболтыг дэмждэг.

Мэдээллийг хамгаалахын тулд LAN эзэмшигч нь сүлжээний "периметр" -ийг хамгаалах ёстой, жишээлбэл, дотоод сүлжээг гадаад сүлжээтэй холбох цэг дээр хяналт тавих. Cisco IOS нь өргөтгөсөн хандалтын жагсаалт (ACL), түгжих систем (динамик ACL) болон чиглүүлэлтийн зөвшөөрөл зэрэг стандарт шинж чанаруудын аль алинаар нь өндөр уян хатан, аюулгүй байдлыг хангадаг. Нэмж дурдахад, 1600 болон 2500 цуврал чиглүүлэгчид ашиглах боломжтой Cisco IOS FirewallFeatureSet нь дараах хамгаалалтын иж бүрэн функцуудыг хангадаг.

контекст хандалтын хяналт (CBAC)

java түгжээ

бүртгэлийн дэвтэр

халдлагыг илрүүлэх, урьдчилан сэргийлэх

яаралтай мэдэгдэл

Нэмж дурдахад чиглүүлэгч нь виртуал давхаргын сүлжээ, хонгил, тэргүүлэх удирдлагын систем, нөөцийн захиалгын систем, болон янз бүрийн аргачиглүүлэлтийн хяналт.

KasperskyOpenSpaceSecurity шийдлийг програм хангамжийн хамгаалалтын хэрэгсэл болгон ашигладаг. KasperskyOpenSpaceSecurity нь бүрэн хариу үйлдэл үзүүлдэг орчин үеийн шаардлагакорпорацийн сүлжээний аюулгүй байдлын системд:

бүх төрлийн сүлжээний зангилааг хамгаалах шийдэл;

бүх төрлийн компьютерийн аюулаас хамгаалах;

үр дүнтэй техникийн дэмжлэг;

"Идэвхтэй" технологиуд нь уламжлалт гарын үсэгт суурилсан хамгаалалттай хослуулсан;

шинэлэг технологи, гүйцэтгэлийг сайжруулдаг вирусын эсрэг шинэ хөдөлгүүр;

ашиглахад бэлэн хамгаалалтын систем;

төвлөрсөн удирдлага;

сүлжээнээс гадуурх хэрэглэгчдийн бүрэн хамгаалалт;

гуравдагч талын шийдлүүдтэй нийцтэй байх;

сүлжээний нөөцийг үр ашигтай ашиглах.

Боловсруулсан систем нь хамгаалалтыг бүрэн хянах, автоматжуулсан нягтлан бодох бүртгэл, дүн шинжилгээг хангах ёстой хувийн мэдээлэл, харилцагчийн үйлчилгээний хугацааг багасгах, мэдээллийн аюулгүй байдлын код, хувийн мэдээллийн талаарх мэдээллийг авах боломжийг танд олгоно.

Боловсруулж буй системд тавигдах шаардлагыг бүрдүүлэхийн тулд мэдээллийн сангийн зохион байгуулалт, боловсруулж буй системийн мэдээллийн нийцтэй байдалд тавигдах шаардлагыг бүрдүүлэх шаардлагатай.

Өгөгдлийн сангийн дизайн нь тухайн байгууллагын эцсийн хэрэглэгчдийн үзэл бодол - системийн үзэл баримтлалын шаардлагад үндэслэсэн байх ёстой.

Энэ тохиолдолд IS нь компанийн ажилчдын талаархи мэдээллийг агуулдаг. Мэдээллийн системийн ажиллагааг ихээхэн харуулсан технологийн нэг бол баримт бичгийн ажлын урсгалын схемийг боловсруулах явдал юм.

Хөгжүүлсэн системийн функцийг компьютерийн технологи, програм хангамжийг ашиглах замаар хийж болно. Банкны мэргэжилтнүүдийн үйл ажиллагаанд мэдээлэл, мэдээлэл, нягтлан бодох бүртгэлийн баримт хайлт нь ажлын цагийн 30 орчим хувийг эзэлдэг тул нягтлан бодох бүртгэлийн автоматжуулсан системийг нэвтрүүлэх нь мэргэшсэн мэргэжилтнүүдийг ихээхэн чөлөөлж, цалингийн санд хэмнэлт гаргах, цалингийн хэмжээг бууруулахад хүргэдэг. ажилтнууд, гэхдээ бас операторын ажилтнуудын нэгжийн хэлтсийн ажилтнуудад танилцуулахад хүргэж болох бөгөөд тэдгээрийн үүрэг нь явагдаж буй бизнесийн үйл явцын талаархи мэдээллийг оруулах болно: хувийн мэдээллийн нягтлан бодох бүртгэлийн баримт бичиг, нэвтрэх код.

Боловсруулсан системийг нэвтрүүлснээр хувийн мэдээлэл, аюулгүй байдлын кодыг нягтлан бодох бүртгэлийн алдааг бууруулж, бүрэн арилгах болно гэдгийг тэмдэглэх нь зүйтэй. Ийнхүү удирдах ажилтны автоматжуулсан ажлын байрыг нэвтрүүлснээр эдийн засагт ихээхэн үр нөлөө үзүүлж, орон тоо 1/3-аар цөөрч, цалингийн сан хэмнэж, хөдөлмөрийн бүтээмж нэмэгдэнэ.

Альфа-Банк нь бусад банкны нэгэн адил мэдээллийн аюулгүй байдлыг хангах асуудлын талаархи үзэл бодлын тогтолцоог тодорхойлсон Мэдээллийн аюулгүй байдлын бодлогыг боловсруулсан бөгөөд хамгаалалтын зорилго, зорилтуудыг нэг буюу хэд хэдэн дүрэм, журам, практик болгон системчилсэн мэдэгдэл юм. мэдээллийн аюулгүй байдлын чиглэлээрх удирдамж.

Бодлого нь Банкны мэдээллийн технологийн хөгжлийн өнөөгийн байдал, ойрын хэтийн төлөв, зорилго, зорилт, хууль эрх зүйн орчинтэдгээрийн үйл ажиллагаа, үйл ажиллагааны горим, түүнчлэн банкны мэдээллийн харилцааны объект, субьектүүдийн аюулгүй байдалд заналхийлсэн дүн шинжилгээг багтаасан болно.

Энэхүү баримт бичгийн үндсэн заалт, шаардлага нь банкны бүх бүтцийн хэлтэс, түүний дотор нэмэлт оффисуудад хамаарна. Гол асуудлууд Энэ бодлого нь Банкны мэдээллийн нөөцийн ханган нийлүүлэгч, хэрэглэгчийн хувьд аль нэг чадавхиар Банктай харилцаж буй бусад байгууллага, байгууллагад мөн хамаарна.

Энэхүү бодлогын хууль тогтоомжийн үндэс нь ОХУ-ын Үндсэн хууль, Иргэний болон Эрүүгийн хууль, хууль тогтоомж, тогтоол, тогтоол гэх мэт. дүрэм журамОХУ-ын одоогийн хууль тогтоомж, ОХУ-ын Ерөнхийлөгчийн дэргэдэх Улсын техникийн комисс, ОХУ-ын Ерөнхийлөгчийн дэргэдэх Засгийн газрын харилцаа холбоо, мэдээллийн холбооны агентлагийн баримт бичиг.

Бодлого нь дараахь арга зүйн үндэс болно.

· Банкны мэдээллийн аюулгүй байдлын чиглэлээр нэгдсэн бодлогыг бүрдүүлэх, хэрэгжүүлэх;

· мэдээллийн аюулгүй байдлын бодлогыг хэрэгжүүлэхэд чиглэсэн удирдлагын шийдвэр гаргах, практик арга хэмжээг боловсруулах, мэдээллийн аюулгүй байдлын янз бүрийн төрлийн заналхийллийг хэрэгжүүлэх үр дагаврыг илрүүлэх, няцаах, арилгахад чиглэсэн уялдаа холбоотой цогц арга хэмжээг боловсруулах;

· үйл ажиллагааны зохицуулалт бүтцийн хэлтэсБанк нь мэдээллийн аюулгүй байдлыг хангахад тавигдах шаардлагын дагуу мэдээллийн технологийг бий болгох, хөгжүүлэх, ашиглах ажлыг гүйцэтгэхдээ;

· Банкны мэдээллийн хууль эрх зүй, зохицуулалт, техникийн болон зохион байгуулалтын аюулгүй байдлыг сайжруулах талаар санал боловсруулах.

Системийн хандлагаБанкинд мэдээллийн аюулгүй байдлын тогтолцоог бий болгох нь банкны мэдээллийн аюулгүй байдлыг хангах асуудлыг ойлгох, шийдвэрлэхэд чухал ач холбогдолтой харилцан уялдаатай, харилцан үйлчлэлцдэг, цаг хугацааны хувьд өөрчлөгддөг бүх элемент, нөхцөл, хүчин зүйлийг харгалзан үзэх явдал юм.

Мэдээллийн аюулгүй байдлыг хангах- Банкны Удирдлага, мэдээллийн аюулгүй байдлын алба, бүх шатны ажилтнуудын хэрэгжүүлдэг үйл явц. Энэ нь зөвхөн тодорхой хугацаанд хэрэгждэг журам, бодлого юм уу, цогц арга хэмжээ авахаас гадна Банкны бүх түвшинд байнга явагдах, банкны ажилтан бүр оролцох ёстой үйл явц юм. энэ үйл явцад. Мэдээллийн аюулгүй байдлын үйл ажиллагаа нь Банкны өдөр тутмын үйл ажиллагааны салшгүй хэсэг юм. Үүний үр нөлөө нь мэдээллийн аюулгүй байдлыг хангахад банкны удирдлагын оролцооноос хамаарна.

Нэмж дурдахад ихэнх физик болон техникийн хамгаалалтын хэрэгсэл нь үүргээ үр дүнтэй гүйцэтгэхийн тулд байнгын зохион байгуулалтын (захиргааны) дэмжлэг шаарддаг (нэр, нууц үг, шифрлэлтийн түлхүүрийг цаг тухайд нь өөрчлөх, зөв ​​хадгалах, ашиглах, эрх мэдлийг дахин тодорхойлох гэх мэт). Хамгаалалтын хэрэгслийн үйл ажиллагааны тасалдлыг халдагчид ашигласан хамгаалалтын арга, хэрэгслийг шинжлэх, тусгай програм хангамж, техник хангамжийн "хавчуурга" болон хамгаалалтыг даван туулах бусад хэрэгслийг нэвтрүүлэхэд ашиглаж болно.

Хувийн хариуцлагаМэдээллийн аюулгүй байдал, түүнийг боловсруулах тогтолцоог хангах үүрэг хариуцлагыг ажилтан бүрт эрх мэдлийнхээ хүрээнд хариуцна. Энэ зарчмын дагуу ажилтны эрх, үүргийн хуваарилалтыг аливаа зөрчил гарсан тохиолдолд гэмт этгээдийн хүрээг тодорхой мэддэг, эсвэл аль болох багасгаж байхаар байгуулдаг.

Альфа-Банк нь аливаа хэрэглэгчийн үйл ажиллагааг байнга хянаж байдаг, хамгаалалтын хэрэгсэл бүр, аливаа хамгаалалтын объекттой холбоотой үйл ажиллагааны хяналт, бүртгэлийн хэрэгслийг ашиглах үндсэн дээр хийгдэх ёстой бөгөөд хэрэглэгчдийн зөвшөөрөлгүй болон зөвшөөрөгдсөн үйлдлүүдийг хамрах ёстой.

Банк нь дараахь зохион байгуулалт, захиргааны баримт бичгийг боловсруулсан.

· Худалдааны нууцын тухай журам. Энэхүү журам нь байгууллага, банкны арилжааны нууцыг бүрдүүлсэн мэдээлэлтэй ажиллах журам, эдгээр мэдээлэлд хүлээн зөвшөөрөгдсөн ажилтны үүрэг, хариуцлага, банкны арилжааны нууцыг бүрдүүлсэн мэдээллийг агуулсан материалыг төрийн (арилжааны) байгууллагад шилжүүлэх журмыг зохицуулна. байгууллага, байгууллага;

· Албан болон арилжааны нууцыг бүрдүүлсэн мэдээллийн жагсаалт. Жагсаалтад нууцын зэрэглэлд хамаарах мэдээлэл, хамгаалагдсан мэдээлэлд хандах хязгаарлалтын түвшин, хугацааг тодорхойлсон;

· Мэдээллийн аюулгүй байдлын дэглэм тогтоох тушаал, заавар:

· хязгаарлагдмал мэдээлэлтэй ажилчдыг ажилд оруулах;

· байгууллагын мэдээллийн систем дэх хязгаарлагдмал мэдээлэлтэй ажиллах үүрэгтэй администратор, хүмүүсийг томилох;

· Заавар ба функциональ үүрэг хариуцлагаажилчид:

· аюулгүй байдлын хандалтын горимыг зохион байгуулах тухай;

· оффисын ажлын зохион байгуулалтын талаар;

· компанийн мэдээллийн системийн мэдээллийн нөөцийн удирдлага;

· бусад зохицуулалтын баримт бичиг.

Дүгнэлт

Өнөөдөр мэдээллийн аюулгүй байдлыг зохион байгуулах асуудал нь томоохон корпорацуудаас эхлээд хуулийн этгээд үүсгээгүй бизнес эрхлэгчид хүртэл ямар ч түвшний байгууллагуудад санаа зовж байна. Орчин үеийн зах зээлийн харилцаанд өрсөлдөөн нь төгс төгөлдөр биш бөгөөд ихэнхдээ хууль ёсны дагуу явагддаггүй. Аж үйлдвэрийн тагнуул цэцэглэн хөгжиж байна. Гэхдээ байгууллагын худалдааны нууцтай холбоотой мэдээллийг санамсаргүйгээр тараах тохиолдол цөөнгүй гардаг. Дүрмээр бол ажилчдын хайхрамжгүй байдал, нөхцөл байдлын талаархи ойлголтгүй байдал, өөрөөр хэлбэл "хүний ​​хүчин зүйл" энд үүрэг гүйцэтгэдэг.

Альфа-Банк нь дараахь мэдээллийн хамгаалалтыг баталгаажуулдаг.

худалдааны нууц

банкны нууц

банкны баримт бичиг (Аюулгүй байдлын хэлтсийн тайлан, банкны жилийн тооцоо, банкны ажилчдын орлогын талаархи мэдээлэл гэх мэт)

Банкны мэдээлэл дараахь аюул заналхийллээр хамгаалагдсан байдаг.

· Байгалийн

· Зохиомол аюул занал (санамсаргүй (санаагүй, санамсаргүй) аюул занал, мэдээллийн систем ба түүний элементүүдийн дизайн дахь алдаа, ажилтнуудын үйл ажиллагааны алдаа гэх мэт); хүмүүсийн хувиа хичээсэн, үзэл суртлын болон бусад хүсэл эрмэлзэлтэй холбоотой санаатай (санаатай) аюул заналхийлэл ( халдагчид).

Мэдээллийн системтэй холбоотой аюулын эх үүсвэр нь гадаад болон дотоод аль аль нь байж болно.

Ном зүй

1. ОХУ-ын Ерөнхийлөгчийн 2008 оны 3-р сарын 17-ны өдрийн 351 тоот "Олон улсын мэдээлэл солилцох мэдээлэл, харилцаа холбооны сүлжээг ашиглах үед ОХУ-ын мэдээллийн аюулгүй байдлыг хангах арга хэмжээний тухай" зарлиг;

Галатенко, В.А. Мэдээллийн аюулгүй байдлын үндэс. Интернэт мэдээллийн технологийн их сургууль. ЗӨНХӨН ЗҮЙ. ru, 2008;

Галатенко, В.А. Мэдээллийн аюулгүй байдлын стандартууд. Интернэт мэдээллийн технологийн их сургууль. ЗӨНХӨН ЗҮЙ. ru, 2005;

Бизнесийн аюулгүй байдалиж бүрэн хамгаалахад чиглэсэн үйл ажиллагаа, арга хэмжээний цогц юм бизнес эрхлэх үйл ажиллагааянз бүрийн төрлийн аюулаас (мэдээллийн, хууль эрх зүйн, биет, эдийн засгийн, зохион байгуулалтын болон боловсон хүчин). Бизнесийн иж бүрэн хамгаалалт, авсан арга хэмжээний талаархи бүх шийдвэрийг хамгаалалтын алба, холбогдох хэлтсийн дарга, байгууллагын захиралд даалгадаг.

Бизнесийн аюулгүй байдлын асуудлууд, тэдгээрийг шийдвэрлэх арга замууд

Аливаа бизнест эрсдэлд орох орон зай үргэлж байдаг. Үүний зэрэгцээ сайн удирдагч бэрхшээлийг хүлээхгүй - бизнесийн салбарт гарч болзошгүй бэрхшээлээс хамгаалах арга хэмжээг цаг тухайд нь авах болно. Үүнд:

- корпорацийн асуудал- компанийн хувьцаа эзэмшигчдийн хоорондын маргаан, зөрчилдөөн, дээд менежерүүдийн хоорондох зөрчилдөөн эсвэл компанийн эзэд болон хэлтсийн дарга нарын хоорондын харилцааны нарийн төвөгтэй байдал;

- гадаад аюул- эрүүгийн бүтцийн аюул занал, хууль сахиулах болон төрийн байгууллагуудтай зөрчилдөх, дайралт хийх гэх мэт;

- санхүүгийн алдагдал- ажилтнуудын (үйлчлүүлэгчдийн) залилан мэхлэх, хулгай хийх, шударга бус зуучлагч, ханган нийлүүлэгч, компанийн нөөцийг зүй бусаар ашиглах, компанийн ашиг сонирхлын эсрэг тодорхой үйл ажиллагаанд хахууль авах;

- мэдээллийн аюул- компанийн нууц мэдээллийг задруулах (түүнийг нуун дарагдуулах, устгах), нууц мэдээлэлд зөвшөөрөлгүй нэвтрэх, худалдааны нууцыг задруулах гэх мэт;

- хамгаалалтын нүхнүүд- материал, техникийн хөрөнгийг зөвшөөрөлгүй хүмүүс хулгайлах, компанийн нутаг дэвсгэрт зөвшөөрөлгүй нэвтрэх, хөдөлмөрийн сахилга батыг зөрчсөн;

- нэр хүндийн асуудал- бүтцэд муу нэр хүндтэй ажилчдын байх, муу нэр хүндтэй хүмүүстэй (эсрэг талууд) хамтран ажиллах.

Эдгээр бүх бизнесийн асуудлыг шийдвэрлэхийн тулд дараахь төрлийн хамгаалалт шаардлагатай.

- физик– хамгаалалтын систем, хамгаалалт, хяналтын камер гэх мэт;
- эдийн засгийн– эсрэг талын баталгаажуулалт, үйлчлүүлэгч банкийг хамгаалах, татварын оновчтой болгох;
- зохион байгуулалт, боловсон хүчин- ирж буй боловсон хүчнийг шалгах, одоо байгаа ажилчдыг хянах;
- мэдээллийн– халдлагаас хамгаалах, файл, баримт бичгийг хамгаалах, 1С-ийг оновчтой болгох, хамгаалах, нэг удаагийн баталгаажуулалт, мэдээлэл алдагдахаас хамгаалах гэх мэт;
- хууль ёсны– дууссан гүйлгээг шалгах, баримт бичгийн төслийг шалгах, захиалгын үйлчилгээ гэх мэт.

бизнес

Статистикийн мэдээгээр бизнесийн нийт асуудлын талаас илүү хувь нь мэдээллийн аюулгүй байдлын "цоорхой"-оос үүдэлтэй байдаг. Өрсөлдөгчдөө мэдээлэл алдах, мэдээлэл алдах, компанийн нууц мэдээллийг буруу гарт шилжүүлэх - энэ бүхэн бизнест томоохон эрсдэл дагуулдаг. Ийм нөхцөлд компанийн мэдээллийн технологийн менежерүүд компанийг бүрэн хамгаалахын тулд хэд хэдэн үр дүнтэй арга хэмжээ авдаг.

Эхний ээлжинд санхүүгийн мэдээллийг хамгаалах, хоёрдугаарт - алдагдахаас хамгаалах, гуравдугаарт - DDoS халдлагаас хамгаалах. Хэрэв эхний хоёр оноо эхний гуравт бичигдэж байсан бол довтолгооны асуудал саяхан гарч ирэв. Ингэж сонирхох болсон шалтгаан нь жижиг дунд компаниудад DDoS халдлага ихэссэнтэй холбоотой.

Аюулгүй байдлын чиглэлээр Оросын компаниудын авч хэрэгжүүлсэн гол арга хэмжээний нэг нь хортой програмаас хамгаалах, шинэчлэлтийн менежмент, хэрэглээний хяналт, сүлжээний бүтэц, санхүүгийн шилжүүлгийг хамгаалах шийдэл, гадаад төхөөрөмжийн ашиглалтын хяналт, хамгаалалт юм. гар утасгэх мэт.


Үндсэн аргууд мэдээллийн хамгаалалтбизнесүүд нь дараах байдалтай байна.

1. Халдвараас хамгаалах– сүлжээн дэх урсгалыг хянахад шаардлагатай программ хангамж эсвэл тоног төхөөрөмжийг суурилуулах. Эхний аюул (халдлага) гарч ирэхэд систем хариу үйлдэл үзүүлж, хандалтыг хаадаг. Үүний зэрэгцээ хариуцлагатай ажилтанд мэдэгдэнэ.

Хамгаалалтын системийг хоёр аргын аль нэгээр хэрэгжүүлдэг.

- IPS систем.Үүний үүрэг бол сэжиг төрүүлж буй сүлжээний аливаа үйл ажиллагааг хаах, "нэмэлт" урсгалыг үр дүнтэй шалгах явдал юм. Системийн давуу тал нь зөвхөн илрүүлэх төдийгүй халдлагаас урьдчилан сэргийлэх чадвар юм. Хасах - хуурамч эерэг үзүүлэлтүүдийн өндөр хувь нь шалгалтын явцад ажилчдын анхаарлыг байнга сарниулж, компьютерийн сүлжээний сул зогсолтод хүргэдэг;

- IDS систем- одоогийн хэвийн бус үйл ажиллагааг хянадаг бөгөөд энэ нь администраторт дохио өгдөг. Эерэг шинж чанарууд - халдлагын эсрэг үр дүнтэй тэмцэл, шийдвэр гаргах эрхийг администраторт шилжүүлэх. Сул тал нь хариуцлагатай ажилтан арга хэмжээ авч амжаагүй, систем нь нөхөж баршгүй эвдэрч болзошгүй.

Халдвараас хамгаалах хамгийн тохиромжтой систем нь дараах байдалтай байна.

2. Нэвчилтийн хамгаалалт– нууц мэдээлэл зөвшөөрөлгүй хүний ​​гарт орохоос урьдчилан сэргийлэх цогц арга хэмжээ. Нэвчилт нь хоёр аргаар тохиолдож болно:

Хорлонтой хулгайгаар (тагнуул, дээрэмчин, дотоод мэдээлэл);
- ажилтнуудын хяналтаас (хэвлэл мэдээллийн хэрэгсэл алдагдах, шуудангаар нууц үг илгээх, вирустай хуудас руу орох, өгөгдөлд нэвтрэх эрхийг шилжүүлэх хариуцлагатай хүмүүс байхгүй гэх мэт).

Хорлонтой хулгайн тохиолдолд хамгаалах арга нь дараах байдалтай байна - хандалтын горимыг хязгаарлах, хяналтын камер суурилуулах, сервер дээр өгөгдөл устгах хэрэгсэл суурилуулах, мэдээллийг шифрлэх, гадаад сервер дээр өгөгдлийг хадгалах.

Ажилтны алдаанаас хамгаалахын тулд дараахь аргуудыг үр дүнтэй гэж нэрлэж болно - нууц мэдээлэлд нэвтрэх эрхийг багасгах, ажилчдын хувийн хариуцлага, аюулгүй сувгийг ашиглах, ажилчдад чухал баримт бичигтэй ажиллах зохицуулалтыг бий болгох, ажилчдад шилжүүлсэн мэдээлэл зөөвөрлөгчдийн хариуцлагыг нэвтрүүлэх. .

Нэмж дурдахад санамсаргүй алдаанаас хамгаалахын тулд утасны яриаг бүртгэх, замын хөдөлгөөн, ажилчдын компьютер дээрх ажлыг хянах, USB картуудыг шифрлэх, RMS ашиглах, DLP системийг хэрэгжүүлэх гэх мэт ажлыг зохион байгуулах нь чухал юм.

3. Файлын хамгаалалтКомпанийн компьютер, серверт хадгалагдаж буй бүх чухал мэдээллийн аюулгүй байдлыг илэрхийлдэг. Үүнийг дараах байдлаар хэрэгжүүлнэ.

- файлын системийг шифрлэх (өгөгдөл)– EFS, Qnap, CryptoPro систем гэх мэтийг ашиглах;

- зөөврийн компьютерын шифрлэлт (нэтбүүк),хадгалах хэрэгсэл, хөдөлгөөнт төхөөрөмж - програм хангамжийн шийдэл (Kasperskiy, SecretDisk, Endpoint Encryption) эсвэл Sony, Asus болон бусад компаниудын шифрлэлтийн модулиуд;

Энд мэдээжийн хэрэг, хоёрдмол утгатай хандлага байж болно ... Магадгүй, үүнийг тодруулах хэрэгтэй - аж ахуйн нэгжийн нууцыг мэддэг ажилтан мэдээллийг хажуу тийш нь алдах магадлал хамгийн бага байх ёстой. Мөн энэ нь мэдээллийн аюулгүй байдлын үзэл баримтлалын нэг хэсэг юм.
Өөр нэг сонирхолтой баримт мэдээлэл landsknecht болно, мэргэжлийн хувьд, түүний эзэн өөрчилж болно. Ёс зүй, материаллаг тал тэр бүр таарч тохирохгүй. Түүгээр ч барахгүй, улс орны аюулгүй байдлын тухайд нэг зүйл, нөгөө нь хүн хийсвэрийг сахих нь өөр зүйл юм. аж ахуйн нэгж, энэ нь савны доор хаяхгүй гэсэн баримт биш юм. Би ч бас ийм тохиолдлуудыг ажигласан ... Зохистой, нэр хүндтэй хүмүүс заримдаа ... (за, шалбааг эсвэл ямар нэгэн зүйлд - яаж зөөлөн хэлэх вэ?) -д ордог. Гэхдээ! Тэдний ард гэр бүл байна! Тэгээд хамгийн гулгамтгай ойлголт болох "өр"-ийн тэргүүлэх ач холбогдол - гэр бүл эсвэл аж ахуйн нэгжид хэн илүү өртэй вэ гэсэн асуулт шийдэгдэнэ. Аж ахуйн нэгжээс болж гэр бүл хохирох ёстой юу? Эцсийн эцэст, энэ нь олон гэр бүл сүйрч, хүүхдүүдийн нүдэн дэх хүсэл тэмүүллийн шалтгаан болж байна - "... бид хавтастай ийм байсныг би санаж байна! ..." Би жүжиглэхгүй - би санаж байна. бага зэрэг эрт байсан тэр үеийг ирээдүйн сар, жилүүдтэй харьцуулж үзээрэй. Гэмт хэргийн түвшин нэмэгдэж, эвлэрэл, мэдээллийн хорлон сүйтгэгчдийн боловсрол гэх мэт параллелуудыг зурах нь зүйтэй гэж би бодож байна.
Тиймээс үнэн хэрэгтээ Денис энэ бага хуралд маш чухал сэдвийг хөндсөн бөгөөд энэ нь аюулгүй байдлын гүнзгий асуудлын талаар хэлэлцүүлэг болж хувирав.
Энэ долоо хоногт миний "Аюулгүй байдлын онол" ном туршилтын хувилбарт хэвлэгдэх ёстой бөгөөд зарим бүлгүүдийн зарыг манай "Боловсон хүчний рентген" - http://www.absg.ru/test - энд нийтэлсэн болно. мэдээллийн дайн, аюулгүй байдлын үзэл баримтлалын зөрчилдөөн, аюулгүй байдлын систем дэх хувь хүний ​​ач холбогдол гэх мэт асуудлуудыг авч үзэх. Харамсалтай нь, хэвлэлийн газрын нөхцөл байдлаас шалтгаалан би энэ номыг тодорхой хугацаанд устгаагүй тул би зөвшөөрөл хүсэх болно. дор хаяж нэг бүлгийг бүрэн эхээр нь нийтэлж, нэр хүндтэй хамт ажиллагсаддаа хянаж, дүгнэх.
Александру Т:
"Хэдийгээр мэргэжлийн ёс зүй гэдэг нь миний хувьд хоосон хэллэг биш юм.
Александр! Үнэндээ өөрсдийгөө тодорхой каст гэж үзэх хүмүүс байдаг гэдгийг мэдэх нь маш таатай байна. Ялдаггүй хүмүүсийн каст. Энэ чанарыг шударга ёс, ёс суртахууны тухай ойлголттой аль болох сайн хослуулах ёстой.
Хэрэв эрхэм хамт олон үүнийг хэцүү ажил гэж үзэхгүй бол 2 холбоосыг үзнэ үү -
http://train.absg.ru/?p=19 - бидний санал болгож буй ёс суртахууны хэм хэмжээ нь бүх иргэдэд дагаж мөрдөх, наад зах нь түүний үндсэн зарчмуудыг дагаж мөрдөх, тэдний үйлдлийг ёс суртахууны үүднээс шинжлэх явдал юм. Мөн түүнчлэн
http://www.absg.ru/5mln Мультимедиа хувилбарын хэсэгт - Би хүний ​​эрхийн тунхаглал, үндсэн хуулийн талаар санал бодлоо чөлөөтэй илэрхийлсэн. Харамсалтай нь би сэтгүүлийн текстээс өөр ямар ч хэлбэрээр текстийн хувилбарыг олж чадахгүй байна.
Уучлаарай, энэ нь сэдвээс арай өөр байж магадгүй - зүгээр л мэргэжлийн ёс зүйн тухай хэллэг яагаад ч юм миний сэтгэлд ямар нэг зүйл нөлөөлсөн ... Хэрэв та эргэн тойрноо харвал - ... гэхдээ би юу хэлэх вэ - энэ нь одоо алтаар үнэлэгдэх болно. Үр тариа шиг газар дэлхий гүнд алтан элс шиг тарсан!..

Бизнесийн тасралтгүй байдалд мэдээллийн аюулгүй байдлын үүрэг

Александр Антипов

Мэдээллийн аюулгүй байдлын стратеги нь бизнесийн тасралтгүй байдлын ерөнхий хөтөлбөрт нягт уялдаатай байх ёстой.

Орчин үеийн бизнес нь үүнээс хамаардаг мэдээллийн технологиүйл явцын тасралтгүй байдлыг хангах зайлшгүй шаардлагатай байна: санхүүгийн үйлчилгээ эсвэл харилцаа холбооны компаниудад нэг цаг ажиллахгүй байх нь асар их алдагдалд хүргэж болзошгүй юм. Бизнесийн тасралтгүй байдал нь мэдээллийн технологитой шууд холбоотой бөгөөд томоохон жижиглэн худалдаачид, онгоцны тийзний агентлагууд эсвэл төрийн байгууллагуудаас үл хамааран аливаа байгууллагад чухал ач холбогдолтой юм. Аж үйлдвэр, дэд бүтцийн аж ахуйн нэгжүүд эсвэл тээврийн салбарт бүх зүйл илүү ноцтой хэвээр байна: дижитал технологи нэвтрүүлснээр мэдээллийн технологийн үйлчилгээний доголдол нь зөвхөн санхүүгийн алдагдалд хүргэхээс гадна хүний ​​үйл ажиллагааны гамшигт хүргэж болзошгүй юм. Мэдээжийн хэрэг, жижиг компаниуд тасралтгүй үйл ажиллагааны төлөвлөгөө хэрэгжүүлэх нь ихэвчлэн утгагүй бөгөөд тэд асуудлыг албан бусаар шийддэг. Харин том бизнесэрсдэл нь зүйрлэшгүй өндөр байна.

Түүхэнд хийсэн аялал

Өнгөрсөн зууны 50-аад оны үед бизнесийн тасралтгүй байдлын талаар анх удаа бодож байсан - инженерүүд ослын дараа гамшгийн нөхөн сэргээлтийн асуудлыг нухацтай шийдэж эхлэв. Энэхүү практикийн эцсийн хэлбэр нь наяад онд болсон бөгөөд дараагийн арван жилд технологийн хурдацтай хөгжил нь ашигласан арга барилын нарийн төвөгтэй байдлыг нэмэгдүүлсэн.

Бизнесийн тасралтгүй байдлын тухай ойлголт буюу BCM (Бизнесийн тасралтгүй байдлын менежмент) нь ерээд оны хоёрдугаар хагаст гамшгийн нөхөн сэргээлтийг орлож байсан ч олон шинжээчид эдгээр зүйлийг төөрөлдүүлсээр байна. Өнөөдөр өгөгдөл нөөцлөх, хүйтэн эсвэл халуун нөөцлөх сайт хангалттай байхаа больсон. Бүхэл бүтэн байгууллагын хэвийн үйл ажиллагааны асуудал нь үйлдвэрлэлийн тоног төхөөрөмж, технологийн процесс, харилцаа холбооны хэрэгсэл, боловсон хүчин болон бусад олон зүйлд нөлөөлдөг. Тэдний бүтэлгүйтэл нь компанийн үйл ажиллагааг бүрэн саатуулж болзошгүй тул бид голчлон мэдээллийн технологийн системд анхаарлаа хандуулах болно.

Стандарт ба багаж хэрэгсэл

Бизнесийн тасралтгүй байдлын асуудлаар олон улсын байгууллага олон байдаг. Хамгийн алдартай нь BSI (Британийн Стандарт Институт) BS25999 стандартаар боловсруулагдсан гэж тооцогддог. Британийн BCI (Бизнесийн тасралтгүй байдлын институт), мөн Америкийн DRI (Гамшгийн нөхөн сэргээх хүрээлэн) болон SANS (SysAdmin, Аудит, Сүлжээ, Аюулгүй байдлын хүрээлэн) болон Австралийн Үндэсний Аудитын Байгууллагын удирдлагын шилдэг туршлагуудыг дурдах нь зүйтэй. ANAO).

Та үүнд үндэсний, аж үйлдвэр, тэр байтугай корпорацийн дотоод зохицуулалтыг нэмж болно - энэ мэдээллийн далайд живэхэд хялбар байдаг. Хамгийн муу нь тайлбарлаж байна онолын үндэслэлбаримт бичиг нь энгийн асуултанд хариулдаггүй: "Практикт асуудлыг хэрхэн шийдвэрлэх вэ?".

Бид төсөл санаачилж байна

Бид одоо байгаа арга зүйгээ нэгтгэхийг хичээж, бизнесийн үйл явцын тасралтгүй байдлыг хангах төслийг үе шаттайгаар авч үзэх болно. Үүнийг хэрэгжүүлэх нь бизнес, Оросын болон олон улсын хууль тогтоомжийн өөрчлөлт, технологийн шинэчлэлийг харгалзан үздэг тасралтгүй мөчлөгийн үйл явц гэдгийг ойлгох нь чухал юм.

Манай төслийн зорилго бол аж ахуйн нэгжийн бизнесийн тасралтгүй байдлын менежмент (BCM) хөтөлбөрийг бий болгож хэрэгжүүлэх явдал юм. Эхлэхийн тулд түүний агуулгыг томъёолж, зохиох шаардлагатай болно алхам алхмаар төлөвлөгөөгүйцэтгэл. Дараа нь - багийн гишүүдийн үүрэг, төслийн зорилгыг тодорхойлж, хэрхэн хянах, хянах талаар бодох. Төсөл гацахаас урьдчилан сэргийлэхийн тулд бүх сонирхогч талуудын төлөөллөөс бүрдсэн тусгай хороо байгуулах нь зүйтэй - тэд үе үе хуралдаж, ажлын явц, шинээр гарч ирж буй асуудлуудыг хэлэлцэх ёстой.

Төлөвлөгөө боловсруулахдаа төсөл нь хөндлөнгийн зөвлөхүүдийн оролцоог шаардах уу, эсвэл бие даан шийдвэрлэх боломжтой юу гэдгийг ойлгох нь чухал юм. Төслийг удирдахын тулд бизнесийн тасралтгүй байдлын менежерийг хуваарилах нь зүйтэй - компанийн ажилтан эсвэл аутсорсинг зөвлөх.

Бизнест үзүүлэх нөлөөнд дүн шинжилгээ хийх

Нэгдүгээр алхам: бид компанийн бизнесийн үйл явцын нарийвчилсан судалгааг (Бизнесийн орчны шинжилгээ, BEA) хийж, тасралтгүй байдлын шаардлагыг тодорхойлдог.

Ихэнхдээ төслийг хариуцсан зөвлөх нь төслийн нөлөөлөлд өртсөн хэлтсийн дарга нартай ярилцлага хийдэг. Процессуудын жагсаалтыг эмхэтгэж, ажил нь эзэмшигчдээс эхэлдэг: үйл явцын бизнест үзүүлэх нөлөөллийн хэлбэр, мэдээллийн технологийн хамаарлын зэрэг, түүнчлэн зөвшөөрөгдөх хамгийн их зогсолтыг тодорхойлох шаардлагатай (Хамгийн их зөвшөөрөгдөх тасалдал, MAO). ), үүний дараа байгууллагын амьдрах чадвар алдагдах аюул заналхийлж байна.

Бизнесийн үйл явц бүрийн MAO-г тодорхойлсны дараа та нөхөн сэргээх зөвшөөрөгдөх хугацааг (сэргээх хугацааны зорилго, RTO) зааж өгөх хэрэгтэй. зорилтот цэгсэргээх (сэргээх цэгийн зорилго, RPO) - энэ нь ихэвчлэн онцгой байдлын үед өгөгдөл алдагдахаас өмнөх хугацаа юм. Мөн онцгой байдлын үед хүлээн зөвшөөрөгдсөн гүйцэтгэлийн түвшинг (Бизнесийн тасралтгүй байдлын түвшин, LBC) тодорхойлох нь зүйтэй - ихэвчлэн хэвийн үйл ажиллагааны хувиар.

Нөлөөллийн үнэлгээ (Бизнесийн нөлөөллийн шинжилгээ, BIA) нь бүхэл бүтэн бизнест үйл явцын нөлөөнд дүн шинжилгээ хийдэг. Үүний үр дүнд чухал процессуудын жагсаалт, тэдгээрийн харилцан хамаарлын жагсаалт, түүнчлэн процессууд болон тэдгээртэй холбоотой мэдээллийн системүүдийн сул зогсолт, сэргээх хугацааг гаргах шаардлагатай. Цаашилбал, эрсдэлийн шинжилгээ (Эрсдлийн шинжилгээ, RA) хийх шаардлагатай бөгөөд энэ явцад эмзэг байдал, үйл явцын тасралтгүй байдалд заналхийлж буй аюул, түүнээс урьдчилан сэргийлэх үр нөлөөг үнэлдэг.

Компанийн үйл ажиллагааг тасалдуулж болзошгүй үйл явц, түүнчлэн учирч болзошгүй хохирлыг тодорхойлох замаар бид болзошгүй аюул, аюулын эх үүсвэр, өөрсдийн эмзэг байдлыг урьдчилан таамаглаж чадна.

Стратеги ба төлөвлөгөө

Хоёрдугаар алхам: Компанийн бүх талыг хамарсан бизнесийн тасралтгүй байдлын зөв стратеги (Бизнесийн тасралтгүй байдлын стратегийн тодорхойлолт) боловсруулах.

Чиглэл бүрийн хувьд бизнесийн үйл явцыг хурдан сэргээх техникийн болон зохион байгуулалтын боломжит шийдлүүдийг тодорхойлсон тусдаа хэсгийг бий болгосон. Ашигласан мэдээллийн технологийн шийдлүүд нь ихэвчлэн халуун, хүйтэн зогсолтын цэгүүд, динамик ачааллыг тэнцвэржүүлэх хэрэгсэл, түүнчлэн гар утасны сайтууд болон гуравдагч талын үйлчилгээ үзүүлэгчдийн хүчин чадал (аутсорсинг) юм. Тэдгээр нь үндсэндээ өртөг, нөхөн сэргээх хугацаандаа ялгаатай байдаг.

Бизнесийн тасралтгүй байдлын төлөвлөгөө (Бизнесийн тасралтгүй байдлын төлөвлөгөө, BCP) болон онцгой байдлын үед дэд бүтцийг сэргээх (гамшгийн нөхөн сэргээх төлөвлөгөө, DRP), түүнчлэн техникийн болон зохион байгуулалтын системМБЗ. Төлөвлөгөөнүүд нь ихэвчлэн үйл явдлын тасралтгүй байдлыг сэргээх гурван үе шатыг агуулдаг: ослын үед хариу арга хэмжээ авах, онцгой байдлын үед бизнесийн чухал үйл явцыг гүйцэтгэх, хэвийн үйл ажиллагаанд шилжих.

Хэрэгжүүлэх, дэмжих

Гуравдугаар алхам: Бид сонгосон шийдлүүдийг худалдан авч хэрэгжүүлдэг.

Хэрэгжүүлэх нь гуравдагч талын гүйцэтгэгчийг оролцуулах шаардлагатай нарийн төвөгтэй үйл явц юм. Гэхдээ үүнийг дуусгасны дараа ч гэсэн та амжилт дээрээ тайвширч болохгүй - бизнесийн тасралтгүй байдлыг хангах нь тасралтгүй, мөчлөгт үйл явц юм.

Корпорацийн МБЗ хөтөлбөрийг байнга сайжруулаад зогсохгүй, нэгтгэх шаардлагатай болно Байгууллагын соёл. Зөвхөн төлөвлөгөө гаргахаар хязгаарлагдах боломжгүй - тэдгээрийг ширээний шалгалт (Ширээний дээд), симуляци (дууриамал) эсвэл бүрэн туршилтаар (бизнесийн тасралтгүй байдлын бүрэн тест) туршиж үзэх шаардлагатай. Туршилтын үр дүнд үндэслэн ашигласан хувилбарууд, олж авсан үр дүн, одоо байгаа төлөвлөгөөг сайжруулах зөвлөмжийн хамт тайлангуудыг эмхэтгэсэн. Мэдээллийн технологийн дэд бүтцэд, жишээлбэл, хууль тогтоомжид мэдэгдэхүйц өөрчлөлт гарсан тохиолдолд тэдгээрийг ихэвчлэн жил бүр, заримдаа илүү олон удаа шинэчилдэг.

IS-тэй харилцах

Мэргэжилтнүүд бизнесийн тасралтгүй байдлын төлөвлөгөө, гамшгаас хамгаалах төлөвлөгөөг хуваалцдаг боловч МБЗ-ийн хөтөлбөрт мэдээллийн аюулгүй байдлын бодлогын үүрэг нь хүн бүрт ойлгомжтой байдаггүй.

Сүүлийн үеийн тохиолдлуудын нэг бол кибер халдлагын улмаас үйл ажиллагаа нь бүрмөсөн саажилттай болсон Москвагийн төмөр замд болсон явдал юм. Энэ тохиолдолд Гамшгийн нөхөн сэргээх төлөвлөгөө хичнээн сайн байсан ч энэ нь аж ахуйн нэгжийн үйл ажиллагааг хурдан зохион байгуулахад тусалсангүй - нөөцлөлтөөс сэргээгдсэн серверүүд ижил эмзэг байдалд өртөх болно. Ийм учраас бизнесийн тасралтгүй байдлын төлөвлөгөөнд зорчигчдод эрсдэл учруулахгүйгээр зогсолтыг багасгахын тулд мэдээллийн технологийн дэд бүтцэд амжилттай халдлага хийсэн тохиолдолд авах арга хэмжээний жагсаалтыг оруулах шаардлагатай байв.

Энэ салбарт өөр олон аюул заналхийлж байна. ОХУ-д хамгийн өндөр автоматжуулсан гэж тооцогддог газрын тос, байгалийн хийн салбарыг жишээ болгон авч үзвэл уул уурхай, боловсруулалт, маркетингийн аж ахуйн нэгжүүдийн технологийн процессыг компьютерээр удирддаг. Аналог хэрэгслийн гар утсыг хэн ч авдаггүй, тэдгээрийг дижитал мэдрэгч, ухаалаг хяналтын системээр сольсон.

Хаалганы хавхлага, хавхлага болон бусад идэвхжүүлэгчид мөн дижитал болсон. Хэрэв процессын автоматжуулсан хяналтын системд амжилттай халдлага үйл явцыг хэдхэн секундын турш тасалдуулж байвал энэ нь үйлдвэрийг олон цаг, долоо хоногоор зогсоох, үнэтэй тоног төхөөрөмж эвдрэх, тэр байтугай хүний ​​гараар хийсэн ноцтой гамшигт хүргэж болзошгүй юм. Саяхныг хүртэл технологийн хэсгийг олон нийтийн сүлжээнээс тусгаарласнаар үйлдвэрлэлийн хяналтын системд хакерын халдлага хийх боломжгүй гэж үздэг байсан ч үйлдвэрлэлийг дижиталчилснаар энэ тусгаарлалт буурч, аюул заналхийллийн тоо нэмэгдсээр байна. Аж үйлдвэрээс гадна бусад үйл ажиллагааны чиглэлүүд байдаг бөгөөд үүнээс гадна бизнест чухал ач холбогдолтой бүх үйлчилгээг тусгаарлах боломжгүй юм.

Гол дүгнэлт нь мэдээллийн аюулгүй байдлын стратеги нь бизнесийн тасралтгүй байдлын ерөнхий хөтөлбөртэй нягт уялдаатай байх ёстой. Энэ нь нөөцийн хүртээмж, хакерын халдлагаас хамгаалах, мэдээллийн нууцлал, бүрэн бүтэн байдлыг хангах, мөн эх кодын автомат удирдлага, хэрэглээний аюулгүй байдлыг хангах бүх хэрэгслийг нэгтгэх цогц шийдлүүдийг шаарддаг. Эрсдэлд дүн шинжилгээ хийх, бизнест үзүүлэх нөлөөллийн үнэлгээний үе шатуудын үед боломжит нөхцөл байдлыг анхаарч үзэх хэрэгтэй мэдээллийн системХорлонт этгээдүүдийн халдлагад өртөж болзошгүй эмзэг байдлын тухай, Бизнесийн тасралтгүй байдлын төлөвлөгөөнд мэдээллийн технологийн дэд бүтцэд учирч буй аюул занал, тэдгээрийн эгзэгтэй байдал, засч залруулах боломжийн талаарх хамгийн сүүлийн үеийн мэдээллийг олж авах журмыг тусгасан байх ёстой. Бизнесийн тасралтгүй байдлын стратеги нь амжилттай халдлага хийсний дараа үйлчилгээг сэргээх журмыг багтаасан байх ёстой.

Аж ахуйн нэгжийн мэдээллийн аюулгүй байдал
Бизнесийн мэдээллийн хамгаалалт

*Википедиагаас

Мэдээллийн нууцлал-Мэдээллийн орчны аюулгүй байдлын байдал ийм байна. Мэдээллийн хамгаалалт гэдэг нь хамгаалагдсан мэдээлэл алдагдахаас урьдчилан сэргийлэх, хамгаалагдсан мэдээлэлд зөвшөөрөлгүй, санамсаргүй нөлөөлөл үзүүлэхээс урьдчилан сэргийлэх үйл ажиллагаа, өөрөөр хэлбэл энэ байдалд хүрэхэд чиглэсэн үйл явц юм.

Байгууллагын мэдээллийн аюулгүй байдал: дотоод аюул

Хэд хэдэн ноцтой мэргэжилтнүүд байгууллагын мэдээллийн аюулгүй байдалдотоод аюулыг хамгийн чухал гэж нэрлэдэг бөгөөд энэ нь нийт болзошгүй эрсдлийн 80 хүртэлх хувийг өгдөг. Үнэн хэрэгтээ, хэрэв бид хакерын халдлагын дундаж хохирлыг авч үзвэл олон тооны хакердах оролдлого, тэдгээрийн үр нөлөө нь маш бага тул тэг рүү ойртох болно. Хүний алдаа эсвэл амжилттай дотоод харгислал нь компанид олон сая долларын алдагдал (шууд ба шууд бус), шүүх ажиллагаа, үйлчлүүлэгчдийн нүдэн дээр алдар нэрээр хохирох болно. Үнэн хэрэгтээ компанийн оршин тогтнох аюул заналхийлж магадгүй бөгөөд энэ нь харамсалтай нь бодит байдал юм. Хэрхэн баталгаажуулах вэ ? Мэдээлэл алдагдахаас өөрийгөө хэрхэн хамгаалах вэ? Дотоод аюулыг хэрхэн цаг тухайд нь таньж, урьдчилан сэргийлэх вэ? Өнөөдөр үүнийг шийдвэрлэх ямар аргууд хамгийн үр дүнтэй вэ?

Дотор нь дайсан

Компанийн нууц мэдээлэлд нэвтрэх боломжтой бараг бүх ажилтан дотоод халдлага үйлдэгч, эсвэл дотоод мэдээлэлд халддаг. Дотоод хүний ​​үйлдлийн сэдэл нь үргэлж тодорхой байдаггүй бөгөөд энэ нь түүнийг танихад ихээхэн бэрхшээл учруулдаг. Саяхан халагдсан ажилтан, ажил олгогчдоо өшөө хорсгодог; өгөгдөл зарж нэмэлт мөнгө олохыг хүсдэг шударга бус ажилтан; орчин үеийн Герострат; өрсөлдөгч эсвэл гэмт хэргийн бүлэглэлийн тусгайлан суулгасан төлөөлөгч - эдгээр нь инсайдерын цөөн хэдэн архетипууд юм.

Дотоодын хорон санаанаас үүдэлтэй бүх өвчний үндэс нь энэхүү аюул заналхийллийн ач холбогдлыг дутуу үнэлдэг явдал юм. Perimetrix-ийн хийсэн судалгаагаар компанийн нууц мэдээллийн 20 гаруй хувь нь алдагдсан нь ихэнх тохиолдолд дампуурал, дампууралд хүргэдэг. Ялангуяа байнга тохиолддог, гэхдээ инсайдеруудын хамгийн эмзэг хохирогч бол хэдэн зуугаас хэдэн мянган ажилтантай санхүүгийн байгууллагууд бөгөөд ямар ч хэмжээтэй байдаг. Ихэнх тохиолдолд компаниуд дотоод хэргийн улмаас учирсан хохирлын бодит тоог нуух эсвэл дутуу үнэлэхийг оролддог ч албан ёсоор зарласан алдагдал нь үнэхээр гайхалтай юм. Компанийн хувьд санхүүгийн алдагдлаас хамаагүй илүү зовлонтой зүйл бол компанийн нэр хүндэд сөргөөр нөлөөлж, үйлчлүүлэгчдийн итгэл эрс буурсан явдал юм. Ихэнхдээ шууд бус алдагдал нь бодит шууд хохирлоос хэд дахин давж гардаг. Ийнхүү Лихтенштейн банкны LGT-ийн хэрэг 2008 онд банкны ажилтан хадгаламж эзэмшигчдийн мэдээллийн санг ХБНГУ, АНУ, Их Британи болон бусад орны тусгай албанд хүлээлгэн өгсөн тохиолдол олонд танигдсан. Тус банкны олон тооны гадаадын үйлчлүүлэгчид LGT-ийн онцгой статусыг ашиглан өөрийн орны татварын хуулиудыг тойрон гүйлгээ хийдэг байжээ. Санхүүгийн мөрдөн байцаалтын давалгаа, түүнтэй холбоотой шүүх хурал дэлхийг хамарч, LGT банк бүх чухал харилцагчдаа алдаж, ноцтой хохирол амсаж, Лихтенштейнийг бүхэлд нь эдийн засаг, дипломатын хүнд хямралд оруулав. Та маш шинэ жишээг холоос хайх шаардлагагүй - 2011 оны эхээр Bank of America зэрэг санхүүгийн аварга компани харилцагчийн хувийн мэдээлэл алдагдсаныг хүлээн зөвшөөрсөн. Залилан мэхлэх гэмт хэргийн улмаас хадгаламж эзэмшигчдийн нэр, хаяг, нийгмийн даатгал болон утасны дугаар, банкны данс болон жолооны үнэмлэхний дугаар, цахим шуудангийн хаяг, ПИН код болон бусад хувийн мэдээлэл бүхий мэдээлэл банкнаас алдагдсан байна. "10 гаруй сая доллар"-ыг албан ёсоор зарласан бол банкны алдагдлын бодит хэмжээг нарийн тодорхойлох боломжгүй. Мэдээлэл задрах болсон шалтгаан нь зохион байгуулалттай гэмт бүлэглэлд мэдээлэл дамжуулсан хүний ​​үйлдэл юм. Гэсэн хэдий ч зөвхөн банк, сангууд төдийгүй дотоод мэдээллийн халдлагад өртөх аюулын дор WikiLeaks-ийн нөөцөд нууц мэдээлэл нийтэлсэнтэй холбоотой хэд хэдэн олны анхаарлыг татсан дуулиан шуугианыг эргэн санахад хангалттай байх болно - шинжээчдийн үзэж байгаагаар хангалттай хэмжээний мэдээлэл байсан. дотоод хүмүүсээр дамжуулан олж авсан.

амьдралын зохиол

Компанийн нууц мэдээлэлд санамсаргүй байдлаар хохирол учруулах, алдагдуулах, алдах нь инсайдеруудын учруулсан хохирлоос хамаагүй илүү элбэг бөгөөд зохиомол зүйл юм. Ажилтны хайхрамжгүй байдал, техникийн мэдээллийн зохих хамгаалалтгүй байдал нь компанийн нууцыг шууд задлахад хүргэдэг. Ийм хайхрамжгүй байдал нь компанийн төсөв, нэр хүндэд ноцтой хохирол учруулаад зогсохгүй олон нийтийн дунд үл ойлголцол үүсгэж болзошгүй юм. Үнэгүй, нууц мэдээлэл нь халдагчдын явцуу хүрээний өмч биш, харин бүх мэдээллийн орон зайн өмч болж хувирдаг - алдагдсан тухай интернет, телевиз, хэвлэлээр ярилцдаг. Оросын хамгийн том үүрэн холбооны оператор MegaFon-ын SMS мессеж нийтлэгдсэнтэй холбоотой дуулиан шуугианыг санацгаая. Техникийн ажилтнуудын хайхрамжгүй байдлаас болж SMS мессежийг интернет хайлтын системээр индексжүүлж, хувийн болон бизнесийн шинж чанартай мэдээллийг агуулсан захиалагчдын захидал харилцааг сүлжээнд оруулав. Хамгийн сүүлийн үеийн тохиолдол: ОХУ-ын Тэтгэврийн сангийн үйлчлүүлэгчдийн хувийн мэдээллийг нийтэлсэн. Сангийн бүс нутгийн төлөөлөгчийн газрын төлөөлөгчдийн алдаа нь 600 хүний ​​​​хувийн мэдээллийг индексжүүлэхэд хүргэсэн - PFR үйлчлүүлэгчдийн нэрс, регистрийн дугаар, хадгаламжийн дэлгэрэнгүй дүнг ямар ч интернет хэрэглэгч унших боломжтой.

Анхаарал болгоомжгүй байдлаас болж нууц мэдээлэл алдагдсаны маш түгээмэл шалтгаан нь компанийн доторх бичиг баримтыг өдөр бүр сэлгэхтэй холбоотой байдаг. Жишээлбэл, ажилтан оффисын гадна өгөгдөлтэй ажиллахын тулд эмзэг өгөгдөл агуулсан файлыг зөөврийн компьютер, USB зөөгч эсвэл PDA руу хуулж болно. Мөн файл байршуулах үйлчилгээ эсвэл ажилтны хувийн шуудангаар мэдээлэл авах боломжтой. Ийм нөхцөлд өгөгдөл нь санамсаргүй алдагдлыг ашиглан халдагчдын хувьд бүрэн хамгаалалтгүй байдаг.

Алтан хуяг уу, биеийн хуяг уу?

Мэдээллийн аюулгүй байдлын салбарт мэдээлэл алдагдахаас хамгаалахын тулд англи хэлнээс DLP товчлолоор тэмдэглэдэг уламжлалт байдлаар мэдээллийг алдагдахаас хамгаалах янз бүрийн системийг бий болгож байна. Мэдээлэл алдагдахаас урьдчилан сэргийлэх ("мэдээлэл алдагдахаас урьдчилан сэргийлэх"). Дүрмээр бол эдгээр нь нууц мэдээллийг хор хөнөөлтэй эсвэл санамсаргүй байдлаар алдахаас урьдчилан сэргийлэх өргөн функц бүхий хамгийн төвөгтэй програм хангамжийн системүүд юм. Ийм системийн нэг онцлог шинж чанар нь тэдгээрийн зөв ажиллахын тулд мэдээлэл, баримт бичгийн дотоод эргэлтийн сайн тогтсон бүтцийг шаарддаг, учир нь мэдээлэл бүхий бүх үйлдлийн аюулгүй байдлын шинжилгээ нь мэдээллийн сантай ажиллахад суурилдаг. Энэ нь мэргэжлийн DLP шийдлүүдийг суулгах өндөр өртөгтэйг тайлбарлаж байна: шууд хэрэгжүүлэхээс өмнө үйлчлүүлэгч компани нь өгөгдлийн сангийн удирдлагын системийг (ихэвчлэн Oracle эсвэл SQL) худалдаж авах, мэдээллийн урсгалын бүтцэд үнэтэй дүн шинжилгээ хийх, аудит хийх, шинэ аюулгүй байдлыг бий болгох шаардлагатай болдог. бодлого. Нийтлэг нөхцөл байдал бол компанийн мэдээллийн 80-аас дээш хувь нь бүтэцгүй байх явдал бөгөөд энэ нь бэлтгэл ажлын цар хүрээний талаархи харааны санааг өгдөг. Мэдээжийн хэрэг, DLP систем өөрөө маш их мөнгө шаарддаг. Гайхалтай зүйл биш, зөвхөн томоохон компаниуд сая саяыг зарцуулахад бэлэн байна байгууллагын мэдээллийн аюулгүй байдал.

Харин хангах шаардлагатай жижиг, дунд бизнесийг яах вэ бизнесийн мэдээллийн аюулгүй байдал, гэхдээ мэргэжлийн DLP системийг хэрэгжүүлэх хөрөнгө, боломж байхгүй байна уу? Компанийн гүйцэтгэх захирал эсвэл хамгаалалтын ажилтанд хамгийн чухал зүйл бол ямар мэдээллийг хамгаалах, аль талыг нь тодорхойлох явдал юм мэдээллийн үйл ажиллагааажилчдад хяналт тавих. Оросын бизнест мэдээллийг ангилах, хамгаалах арга хэмжээний үр нөлөөг тооцохгүйгээр бүх зүйлийг хамгаалах шаардлагатай гэсэн үзэл бодол давамгайлсаар байна. Энэ аргын тусламжтайгаар зардлын хэмжээг мэдэж авсан нь тодорхой юм аж ахуйн нэгжийн мэдээллийн аюулгүй байдал, дунд, жижиг бизнесийн тэргүүн гараа даллаж, "магадгүй" гэж найдаж байна.

Орших өөр арга замуудМэдээллийн сан, мэдээллийн тогтсон амьдралын мөчлөгт нөлөөлдөггүй, харин халдагчдын үйлдэл, ажилчдын хайхрамжгүй байдлаас найдвартай хамгаалалтыг хангадаг хамгаалалтууд. Эдгээр нь бусад аюулгүй байдлын хэрэгслүүд, техник хангамж, програм хангамж (жишээлбэл, вирусны эсрэг програм) -тай ямар ч асуудалгүй ажилладаг уян хатан модульчлагдсан цогцолборууд юм. Сайн зохион бүтээсэн хамгаалалтын систем нь гадаад болон дотоод аюул заналхийллээс маш найдвартай хамгаалалт болж, үнэ болон үйл ажиллагааны оновчтой тэнцвэрийг хангадаг. Мэдээллийн аюулгүй байдлын систем хөгжүүлэгч Оросын компанийн мэргэжилтнүүдийн үзэж байгаагаар SafenSoft, гадны аюулаас хамгаалах элементүүдийн оновчтой хослол (жишээлбэл, халдлагаас урьдчилан сэргийлэх HIPS, вирусын сканнер гэх мэт) нь мэдээллийн тусдаа салбаруудад хэрэглэгчийн болон хэрэглээний хандалтыг хянах, хянах хэрэгсэлтэй. Энэхүү аргын тусламжтайгаар байгууллагын сүлжээний бүтцийг бүхэлд нь хакердах, вирусын халдвараас бүрэн хамгаалж, мэдээлэлтэй ажиллахдаа ажилтнуудын үйл ажиллагааг хянах, хянах хэрэгсэл нь мэдээлэл алдагдахаас үр дүнтэй урьдчилан сэргийлэх боломжтой юм. Хамгаалалтын бүх шаардлагатай арсенал байгаа тохиолдолд модульчлагдсан системийн өртөг нь DLP-ийн нарийн төвөгтэй шийдлүүдээс арав дахин бага бөгөөд компанийн мэдээллийн бүтцийг урьдчилан шинжлэх, дасан зохицоход ямар ч зардал шаарддаггүй.

Ингээд дүгнэж хэлье. Аюул заналхийлэл аж ахуйн нэгжийн мэдээллийн аюулгүй байдалүнэхээр бодитой, тэдгээрийг дутуу үнэлж болохгүй. Гадны аюул заналхийллийг эсэргүүцэхийн зэрэгцээ дотоод аюулд онцгой анхаарал хандуулах хэрэгтэй. Корпорацийн нууц задрах нь зөвхөн хорлонтой санаатай холбоотой биш гэдгийг санах нь чухал бөгөөд дүрмээр бол тэдгээр нь ажилтны энгийн хайхрамжгүй байдал, хайхрамжгүй байдлаас үүдэлтэй байдаг. Хамгаалах хэрэгслийг сонгохдоо бүх төсөөлж болох, төсөөлшгүй аюул заналхийллийг хамрах гэж оролдох ёсгүй, үүнд хангалттай мөнгө, хүч чадал байхгүй болно. Гаднаас орж ирэх эрсдэлээс хамгаалагдсан, компанийн доторх мэдээллийн урсгалыг хянах, хянах боломжтой найдвартай модульчлагдсан хамгаалалтын системийг бий болгох.