Ministerstwo Edukacji i Nauki Federacja Rosyjska

federalna państwowa budżetowa instytucja edukacyjna

wyższe wykształcenie zawodowe

„PERM BADANIA KRAJOWE

POLITECHNIKA"

Test

przez dyscyplinę

BEZPIECZEŃSTWO INFORMACJI PRZEDSIĘBIORSTWA

Temat „Bezpieczeństwo informacji w biznesie na przykładzie Alfa-Banku”

Ukończone przez studenta

Grupa FK-11B:

Smyshlyaeva Maria Siergiejewna

Sprawdzone przez nauczyciela:

Szaburow Andriej Siergiejewicz

Perm - 2013

Wstęp

Wniosek

Bibliografia

Wstęp

Zasoby informacyjne większości firm należą do najcenniejszych zasobów. Z tego powodu informacje handlowe, poufne i dane osobowe muszą być niezawodnie chronione przed niewłaściwym wykorzystaniem, ale jednocześnie łatwo dostępne dla podmiotów zajmujących się przetwarzaniem tych informacji lub wykorzystywaniem ich w procesie wykonywania powierzonych zadań. Wykorzystanie do tego specjalnych narzędzi przyczynia się do zrównoważonego rozwoju firmy i jej rentowności.

Jak pokazuje praktyka, kwestia organizacji ochrony biznesu w nowoczesnych warunkach stała się najistotniejsza. Sklepy internetowe są „otwierane”, a karty kredytowe klientów są opróżniane, kasyna i loterie są szantażowane, sieci korporacyjne ulegają kontrola zewnętrzna, komputery są „zombifikowane” i włączane do botnetów, a oszustwa z wykorzystaniem skradzionych danych osobowych stają się katastrofą na skalę krajową.

Dlatego liderzy firm muszą być świadomi znaczenia bezpieczeństwa informacji, nauczyć się przewidywać i zarządzać trendami w tym obszarze.

Celem pracy jest identyfikacja zalet i wad systemu bezpieczeństwa informacji biznesowej na przykładzie Alfa-Banku.

Charakterystyka działalności Alfa-Bank OJSC

Alfa-Bank powstał w 1990 roku. Alfa-Bank jest bankiem uniwersalnym, który wykonuje wszystkie główne rodzaje operacji bankowych na rynku usług finansowych, w tym obsługę klientów indywidualnych i korporacyjnych, bankowość inwestycyjną, finansowanie handlu oraz zarządzanie aktywami.

Centrala Alfa-Banku znajduje się w Moskwie, w sumie w Rosji i za granicą otwarto 444 oddziały i oddziały banku, w tym bank-córkę w Holandii i filie finansowe w USA, Wielkiej Brytanii i na Cyprze. Alfa-Bank zatrudnia około 17 000 pracowników.

Alfa-Bank jest największym rosyjskim prywatnym bankiem pod względem sumy aktywów, całkowitego kapitału i depozytów. Bank posiada dużą bazę klientów zarówno korporacyjnych, jak i osoby fizyczne. Alfa-Bank rozwija się jako bank uniwersalny w głównych obszarach: biznesu korporacyjnego i inwestycyjnego (w tym małych i średni biznes(MŚP), handel i finansowanie strukturalne, leasing i faktoring), biznes detaliczny(w tym system placówek bankowych, kredytów samochodowych i hipotecznych). Szczególną wagę przywiązuje się do rozwoju produktów bankowych dla biznesu korporacyjnego w segmencie masowym i MSP, a także rozwoju zdalnych kanałów samoobsługowych i akwizycji internetowej. Strategiczne priorytety Alfa-Banku to utrzymanie statusu wiodącego prywatnego banku w Rosji, wzmacnianie stabilności, zwiększanie rentowności oraz wyznaczanie standardów branżowych w zakresie technologii, wydajności, obsługi klienta i pracy zespołowej.

Alfa-Bank jest jednym z najbardziej aktywnych rosyjskich banków na światowych rynkach kapitałowych. Czołowe międzynarodowe agencje ratingowe przyznają Alfa-Bankowi jedne z najwyższych ocen wśród rosyjskich banków prywatnych. Zajęła pierwsze miejsce w rankingu Customer Experience Index cztery razy z rzędu. Sektor bankowości detalicznej po kryzysie finansowym, prowadzony przez Senteo wspólnie z PricewaterhouseCoopers.Również w 2012 roku Alfa-Bank został doceniony najlepszy internet Bank według magazynu GlobalFinance, został nagrodzony za najlepszą analitykę przez Narodowe Stowarzyszenie Uczestników Giełdy (NAUFOR), został najlepszym rosyjskim bankiem prywatnym według indeksu zaufania obliczonego przez holding badawczy Romir.

Dziś Bank posiada sieć o zasięgu federalnym, obejmującą 83 punkty sprzedaży. Alfa Bank posiada jedną z największych sieci wśród banków komercyjnych, składającą się z 55 biur i obejmującą 23 miasta. W wyniku rozbudowy sieci Bank ma dodatkowe możliwości powiększania bazy klientów, poszerzania oferty i jakości produktów bankowych, realizacji programów międzyregionalnych oraz kompleksowej obsługi klientów szkieletowych spośród największych przedsiębiorstw.

Analiza podstaw teoretycznych zagadnienia bezpieczeństwa informacji biznesowej

Stosownośća waga problemu zapewnienia bezpieczeństwa informacji wynika z następujących czynników:

· Współczesne poziomy i tempo rozwoju narzędzi bezpieczeństwa informacji pozostają daleko w tyle za poziomami i tempem rozwoju technologii informatycznych.

· Wysokie tempo wzrostu parku komputery osobiste wykorzystywane w różnych dziedzinach ludzkiej działalności. Według badań przeprowadzonych przez Gartner Dataquest na świecie jest obecnie ponad miliard komputerów osobistych.

bank biznesowy zajmujący się bezpieczeństwem informacji

· Gwałtowne poszerzenie kręgu użytkowników o bezpośredni dostęp do zasobów obliczeniowych i macierzy danych;

Obecnie znacznie wzrosło znaczenie informacji przechowywanych w bankach, skoncentrowano ważne i często tajne informacje o charakterze finansowym i działalność gospodarcza wiele osób, firm, organizacji, a nawet całych państw. Bank przechowuje i przetwarza cenne informacje mające wpływ na interesy dużej liczby osób. Bank przechowuje ważne informacje o swoich klientach, co poszerza krąg potencjalnych intruzów zainteresowanych kradzieżą lub uszkodzeniem takich informacji.

Ponad 90% wszystkich przestępstw związanych jest z wykorzystaniem systemów automatycznego przetwarzania informacji banku. Dlatego tworząc i modernizując ASOIB, banki muszą zwracać szczególną uwagę na zapewnienie jego bezpieczeństwa.

Główną uwagę należy zwrócić na bezpieczeństwo komputerowe banków, m.in. bezpieczeństwo systemów zautomatyzowanego przetwarzania informacji banku, jako najistotniejszy, złożony i pilny problem w dziedzinie bezpieczeństwa informacji bankowej.

Szybki rozwój technologii informatycznych otworzył nowe możliwości biznesowe, ale także doprowadził do pojawienia się nowych zagrożeń. Ze względu na konkurencję, nowoczesne oprogramowanie sprzedawane jest z błędami i niedociągnięciami. Deweloperzy, w tym różne funkcje w swoich produktach, nie mają czasu na wykonywanie wysokiej jakości debugowania tworzonych systemów oprogramowania. Błędy i usterki pozostawione w tych systemach prowadzą do przypadkowych i celowych naruszeń bezpieczeństwa informacji. Na przykład przyczyną większości przypadkowej utraty informacji są awarie w działaniu oprogramowania i sprzętu, a większość ataków na systemy komputerowe opiera się na błędach i wadach znalezionych w oprogramowaniu. Na przykład w ciągu pierwszych sześciu miesięcy po wydaniu systemu operacyjnego Microsoft Windows dla serwerów wykryto 14 luk w zabezpieczeniach, z których 6 jest krytycznych. Chociaż z biegiem czasu firma Microsoft opracowuje dodatki Service Pack, które usuwają zidentyfikowane błędy, użytkownicy już cierpią z powodu naruszeń bezpieczeństwa informacji z powodu pozostałych błędów. Dopóki nie zostanie rozwiązanych wiele innych problemów, niewystarczający poziom bezpieczeństwa informacji będzie poważnym hamulcem rozwoju technologii informatycznych.

Pod bezpieczeństwo informacjirozumiane jest zabezpieczenie infrastruktury informacyjnej i pomocniczej przed przypadkowymi lub umyślnymi oddziaływaniami o charakterze naturalnym lub sztucznym, które mogą wyrządzić niedopuszczalne szkody podmiotom relacji informacyjnych, w tym właścicielom i użytkownikom infrastruktury informacyjnej i pomocniczej.

Migracja ma miejsce w dzisiejszym świecie biznesu aktywa rzeczowe w kierunku informacji. Wraz z rozwojem organizacji jej system informatyczny staje się coraz bardziej złożony, którego głównym zadaniem jest zapewnienie maksymalnej efektywności biznesowej w stale zmieniającym się konkurencyjnym otoczeniu rynkowym.

Traktując informację jako towar, można powiedzieć, że zapewnienie bezpieczeństwa informacji w ogóle może prowadzić do znacznych oszczędności kosztów, a wyrządzone jej szkody prowadzą do kosztów materiałowych. Np. ujawnienie technologii wytwarzania oryginalnego produktu doprowadzi do pojawienia się produktu podobnego, ale pochodzącego od innego producenta, a w wyniku naruszenia bezpieczeństwa informacji właściciel technologii, a być może autor, straci część rynku itp. Z drugiej strony informacja jest przedmiotem kontroli, a jej zmiana może prowadzić do katastrofalnych konsekwencji w przedmiocie kontroli.

Według GOST R 50922-2006 zapewnienie bezpieczeństwa informacji jest działaniem mającym na celu zapobieganie wyciekom informacji, nieautoryzowanemu i niezamierzonemu wpływowi na chronione informacje. Bezpieczeństwo informacji jest istotne zarówno dla przedsiębiorstw, jak i agencji rządowych. W celu kompleksowej ochrony zasobów informacyjnych prowadzone są prace nad budową i rozwojem systemów bezpieczeństwa informacji.

Istnieje wiele przyczyn, które mogą poważnie wpłynąć na działanie sieci lokalnych i globalnych, prowadząc do utraty cennych informacji. Wśród nich są następujące:

Nieuprawniony dostęp z zewnątrz, kopiowanie lub zmiana informacji przypadkowe lub celowe działania prowadzące do:

zniekształcenie lub zniszczenie danych;

zapoznawanie osób nieuprawnionych z informacjami stanowiącymi tajemnicę bankową, finansową lub państwową.

Nieprawidłowe działanie oprogramowania, prowadzące do utraty lub uszkodzenia danych z powodu:

błędy w aplikacji lub oprogramowaniu sieciowym;

infekcja wirusem komputerowym.

Awarie urządzeń technicznych spowodowane:

brak prądu;

awaria systemów dyskowych i systemów archiwizacji danych;

zakłócenia pracy serwerów, stacji roboczych, kart sieciowych, modemów.

Błędy personelu serwisowego.

Oczywiście nie ma jednego uniwersalnego rozwiązania, ale wiele organizacji opracowało i wdrożyło środki techniczne i administracyjne, aby zminimalizować ryzyko utraty danych lub nieautoryzowanego dostępu.

Na dzień dzisiejszy istnieje duży arsenał metod zapewniających bezpieczeństwo informacji, który jest również wykorzystywany w Alfa-Banku:

· środki identyfikacji i uwierzytelniania użytkowników (tzw. kompleks 3A);

· sposoby szyfrowania informacji przechowywanych na komputerach i przesyłanych przez sieci;

· zapory sieciowe;

· wirtualne sieci prywatne;

· narzędzia do filtrowania treści;

· narzędzia do sprawdzania integralności zawartości dysków;

· środki ochrony antywirusowej;

· systemy wykrywania podatności sieci i analizatory ataków sieciowych.

„Kompleks 3A” obejmuje uwierzytelnianie (lub identyfikację), autoryzację i administrację. Identyfikacjai autoryzacja są kluczowymi elementami bezpieczeństwa informacji. Gdy próbujesz uzyskać dostęp do dowolnego programu, funkcja identyfikacji daje odpowiedź na pytanie: „Kim jesteś?” oraz „Gdzie jesteś?”, czy jesteś autoryzowanym użytkownikiem programu. Funkcja autoryzacji odpowiada za to, do jakich zasobów ma dostęp dany użytkownik. Funkcją administracyjną jest udostępnienie użytkownikowi określonych cech identyfikacyjnych w ramach danej sieci oraz określenie zakresu dozwolonych dla niego działań. W Alfa-Banku przy otwieraniu programów wymagane jest podanie hasła i loginu każdego pracownika, a przy wykonywaniu jakichkolwiek operacji w niektórych przypadkach wymagana jest autoryzacja kierownika lub jego zastępcy w dziale.

Zaporato system lub kombinacja systemów, która tworzy barierę ochronną między dwiema lub większą liczbą sieci, zapobiegając przedostawaniu się do sieci lub opuszczaniu jej przez nieautoryzowane pakiety danych. Podstawowa zasada działania zapór ogniowych. sprawdzenie każdego pakietu danych pod kątem dopasowania przychodzącego i wychodzącego adresu IP do dozwolonej bazy adresów. Tym samym zapory znacznie rozszerzają możliwości segmentacji sieci informacyjnych i kontrolowania obiegu danych.

Mówiąc o kryptografii i firewallach, należy wspomnieć o bezpiecznych wirtualnych sieciach prywatnych (Virtual Private Network - VPN). Ich zastosowanie pozwala na rozwiązanie problemów poufności i integralności danych podczas ich transmisji otwartymi kanałami komunikacyjnymi.

Skuteczny środek ochrony przed utratą poufnych informacji. Filtrowanie treści przychodzących i wychodzących E-mail. Weryfikacja wiadomości e-mail i ich załączników w oparciu o zasady ustalone przez organizację pomaga również chronić firmy przed odpowiedzialnością w procesach sądowych oraz chronić ich pracowników przed spamem. Narzędzia do filtrowania treści umożliwiają skanowanie plików we wszystkich popularnych formatach, w tym skompresowanych i graficznych. Jednocześnie przepustowość sieci pozostaje praktycznie niezmieniona.

Nowoczesny środek przeciwwirusowytechnologie umożliwiają wykrycie prawie wszystkich znanych już programów wirusowych poprzez porównanie kodu podejrzanego pliku z próbkami przechowywanymi w antywirusowej bazie danych. Ponadto opracowano technologie modelowania zachowań w celu wykrywania nowo tworzonych programów wirusowych. Wykryte obiekty można wyleczyć, odizolować (poddać kwarantannie) lub usunąć. Ochronę antywirusową można zainstalować na stacjach roboczych, serwerach plików i poczty, firewallach działających w prawie każdym z popularnych systemów operacyjnych (Windows, Unix i Linux_systems, Novell) na różnych typach procesorów. Filtry antyspamowe znacznie zmniejszają nieproduktywne koszty pracy związane z analizowaniem spamu, redukują ruch i obciążenie serwera, poprawiają przygotowanie psychologiczne w zespole oraz zmniejszają ryzyko zaangażowania pracowników firmy w oszukańcze transakcje. Ponadto filtry spamu zmniejszają ryzyko infekcji nowymi wirusami, ponieważ wiadomości zawierające wirusy (nawet te, które nie zostały jeszcze uwzględnione w antywirusowych bazach danych) często wykazują oznaki spamu i są odfiltrowywane. To prawda, że ​​pozytywny efekt filtrowania spamu można przekreślić, jeśli filtr wraz ze śmieciami usunie lub oznaczy jako spam i wiadomości przydatne, służbowe lub osobiste.

Istnieje kilka najbardziej typowych typów i metod zagrożenia informacyjne:

Odtajnienie i kradzież tajemnic handlowych. Podczas gdy wcześniej tajemnice były trzymane w tajnych miejscach, w ogromnych sejfach, pod niezawodną fizyczną i (później) elektroniczną ochroną, dziś wielu pracowników ma dostęp do biurowych baz danych, często zawierających bardzo wrażliwe informacje, na przykład te same dane klientów.

Dystrybucja materiałów kompromitujących. Oznacza to celowe lub przypadkowe wykorzystanie przez pracowników w korespondencji elektronicznej takich informacji, które rzucają cień na reputację banku.

Naruszenie własności intelektualnej. Ważne jest, aby nie zapominać, że każdy produkt intelektualny wytworzony w banku, jak w każdej organizacji, należy do niego i nie może być używany przez pracowników (w tym twórców i autorów wartości intelektualnych), chyba że w interesie organizacji. Tymczasem w Rosji często w tej kwestii dochodzi do konfliktów między organizacjami i pracownikami, którzy twierdzą, że stworzony przez siebie produkt intelektualny i wykorzystują go do celów osobistych, ze szkodą dla organizacji. Często wynika to z niejasnej sytuacji prawnej w przedsiębiorstwie, kiedy umowa o pracę nie ma jasno określonych norm i zasad określających prawa i obowiązki pracowników.

Dystrybucja (często niezamierzona) informacji poufnych, które nie są tajne, ale mogą być przydatne dla konkurencji (innych banków).

Wizyty na stronach konkurencyjnych banków. Teraz coraz więcej firm korzysta z programów na swoich otwartych witrynach (w szczególności przeznaczonych do CRM), które pozwalają rozpoznawać odwiedzających i szczegółowo śledzić ich trasy, rejestrować czas i czas przeglądania stron w witrynie. Witryny konkurencji były i pozostają cennym źródłem analiz i prognoz.

Nadużywanie komunikacji biurowej do celów osobistych (słuchanie, oglądanie muzyki i innych treści niezwiązanych z pracą, pobieranie komputera biurowego) nie stanowi bezpośredniego zagrożenia dla bezpieczeństwa informacji, ale powoduje dodatkowy stres w sieci firmowej, zmniejsza wydajność i zakłóca z pracą kolegów.

I wreszcie zagrożenia zewnętrzne - nieautoryzowane włamania itp.

Zasady przyjęte przez bank muszą być zgodne zarówno z krajowymi, jak i międzynarodowymi standardami ochrony tajemnicy państwowej i handlowej, danych osobowych i prywatnych.

Ochrona organizacyjna informacji w Alfa-Banku

Alfa Bank OJSC wdrożył politykę bezpieczeństwa opartą na selektywnej metodzie kontroli dostępu. Takie zarządzanie w Alfa Bank OJSC charakteryzuje się zestawem dozwolonych relacji dostępu określonych przez administratora. Macierz dostępu jest wypełniana bezpośrednio przez administratora systemu firmy. Stosowanie selektywnej polityki bezpieczeństwa informacji jest zgodne z wymaganiami kierownictwa oraz wymaganiami dotyczącymi bezpieczeństwa informacji i kontroli dostępu, rozliczalności, a także ma akceptowalny koszt jej organizacji. Wdrożenie polityki bezpieczeństwa informacji w całości powierzone jest administratorowi systemu Alfa Bank OJSC.

Wraz z istniejącą polityką bezpieczeństwa Alfa Bank OJSC korzysta ze specjalistycznego sprzętu i oprogramowania zabezpieczającego.

Sprzęt zabezpieczający to Cisco 1605. Router wyposażony jest w dwa interfejsy Ethernet (jeden z interfejsami TP i AUI, drugi tylko z TP) dla sieci LAN oraz jedno gniazdo rozszerzeń do instalacji jednego z modułów dla routerów serii Cisco 1600. Dodatkowo, Oprogramowanie Cisco IOSFirewallFeatureSet sprawia, że ​​Cisco 1605-R jest idealnym elastycznym routerem/rozwiązaniem bezpieczeństwa dla małego biura. W zależności od zainstalowanego modułu router może obsługiwać połączenia zarówno przez ISDN, jak i łącze wdzwaniane lub dzierżawione od 1200 bps do 2 Mbps, FrameRelay, SMDS, x.25.

Aby chronić informacje, właściciel sieci LAN musi zabezpieczyć „obwód” sieci, na przykład ustanawiając kontrolę na styku sieci wewnętrznej z siecią zewnętrzną. Cisco IOS zapewnia wysoką elastyczność i bezpieczeństwo dzięki obu standardowym funkcjom, takim jak: rozszerzone listy dostępu (ACL), systemy blokowania (dynamiczne listy ACL) i autoryzacja routingu. Ponadto zestaw funkcji Cisco IOS FirewallFeatureSet dostępny dla routerów z serii 1600 i 2500 zapewnia kompleksowe funkcje zabezpieczeń, w tym:

kontekstowa kontrola dostępu (CBAC)

blokada java

dziennik okrętowy

wykrywanie i zapobieganie atakom

natychmiastowe powiadomienie

Ponadto router obsługuje wirtualne sieci nakładkowe, tunele, system zarządzania priorytetami, system rezerwacji zasobów oraz różne metody kontrola routingu.

Rozwiązanie KasperskyOpenSpaceSecurity służy jako narzędzie ochrony oprogramowania. KasperskyOpenSpaceSecurity jest w pełni responsywny nowoczesne wymagania dla systemów bezpieczeństwa sieci korporacyjnych:

rozwiązanie do ochrony wszystkich typów węzłów sieciowych;

ochrona przed wszystkimi rodzajami zagrożeń komputerowych;

skuteczne wsparcie techniczne;

„proaktywne” technologie połączone z tradycyjną ochroną opartą na sygnaturach;

innowacyjne technologie i nowy silnik antywirusowy poprawiający wydajność;

gotowy do użycia system ochrony;

scentralizowane zarządzanie;

pełna ochrona użytkowników poza siecią;

kompatybilność z rozwiązaniami firm trzecich;

efektywne wykorzystanie zasobów sieciowych.

Opracowany system powinien zapewniać pełną kontrolę, automatyczne rozliczanie i analizę zabezpieczeń informacje osobiste, pozwalają skrócić czas obsługi klienta, otrzymywać informacje o kodach bezpieczeństwa informacji i danych osobowych.

Aby sformułować wymagania dla tworzonego systemu, konieczne jest sformułowanie wymagań dotyczących organizacji bazy danych, kompatybilności informacyjnej dla tworzonego systemu.

Projekt bazy danych powinien opierać się na poglądach użytkowników końcowych danej organizacji - wymagania koncepcyjne dla systemu.

W takim przypadku IS zawiera dane o pracownikach firmy. Jedną z technologii, która w znaczący sposób obrazuje działanie systemu informatycznego, jest opracowanie schematu obiegu dokumentów.

Funkcje opracowanego systemu można osiągnąć dzięki wykorzystaniu technologii komputerowej i oprogramowania. Biorąc pod uwagę, że poszukiwanie informacji, informacji i dokumentów księgowych w działalności specjalistów bankowych to około 30% czasu pracy, wprowadzenie zautomatyzowanego systemu księgowego znacznie uwolni wykwalifikowanych specjalistów, może prowadzić do oszczędności w funduszu płac, zmniejszając pracowników, ale może również doprowadzić do wprowadzenia do personelu działu komórki kadrowej operatora, do której obowiązków będzie należało wprowadzanie informacji o realizowanych procesach biznesowych: dane osobowe, dokumenty księgowe oraz kody dostępu.

Należy zauważyć, że wprowadzenie opracowanego systemu ograniczy, a najlepiej całkowicie wyeliminuje błędy w księgowaniu danych osobowych i kodów zabezpieczających. Tym samym wprowadzenie zautomatyzowanego miejsca pracy dla menedżera doprowadzi do znaczącego efektu ekonomicznego, redukcji zatrudnienia o 1/3, oszczędności w funduszu płac i wzrostu wydajności pracy.

Alfa-Bank, jak każdy inny bank, opracował Politykę Bezpieczeństwa Informacji, która określa system poglądów na problem zapewnienia bezpieczeństwa informacji i jest systematycznym zestawieniem celów i zadań ochrony, jako jednej lub więcej zasad, procedur, praktyk oraz wytyczne w zakresie bezpieczeństwa informacji.

Polityka uwzględnia aktualny stan i najbliższe perspektywy rozwoju technologii informatycznych w Banku, cele, zadania i ramy prawne ich działanie, tryby działania, a także zawiera analizę zagrożeń bezpieczeństwa obiektów i podmiotów relacji informacyjnych Banku.

Główne postanowienia i wymagania niniejszego dokumentu dotyczą wszystkich pionów strukturalnych Banku, w tym oddziałów dodatkowych. Kluczowe zagadnienia Polityka dotyczy również innych organizacji i instytucji współpracujących z Bankiem jako dostawców i konsumentów zasobów informacyjnych Banku w takim czy innym charakterze.

Podstawą prawną niniejszej Polityki jest Konstytucja Federacji Rosyjskiej, kodeksy cywilne i karne, ustawy, dekrety, uchwały itp. przepisy prawne aktualne ustawodawstwo Federacji Rosyjskiej, dokumenty Państwowej Komisji Technicznej przy Prezydencie Federacji Rosyjskiej, Federalnej Agencji ds. Komunikacji i Informacji Rządowej przy Prezydencie Federacji Rosyjskiej.

Polityka jest metodologiczną podstawą dla:

· tworzenie i wdrażanie jednolitej polityki w zakresie bezpieczeństwa informacji w Banku;

· podejmowanie decyzji zarządczych i opracowywanie praktycznych środków realizacji polityki bezpieczeństwa informacji oraz opracowanie zestawu skoordynowanych działań mających na celu identyfikację, odstraszanie i eliminowanie skutków wdrażania różnego rodzaju zagrożeń bezpieczeństwa informacji;

· koordynacja działań podziały strukturalne Bank przy prowadzeniu prac nad tworzeniem, rozwojem i działaniem technologii informatycznych zgodnie z wymogami zapewnienia bezpieczeństwa informacji;

· opracowywanie propozycji poprawy bezpieczeństwa prawnego, regulacyjnego, technicznego i organizacyjnego informacji w Banku.

Podejście systemowe budowanie systemu bezpieczeństwa informacji w Banku polega na uwzględnieniu wszystkich powiązanych ze sobą, wzajemnie oddziałujących i zmiennych w czasie elementów, warunków i czynników, które są istotne dla zrozumienia i rozwiązania problemu zapewnienia bezpieczeństwa informacji Banku.

Zapewnienie bezpieczeństwa informacji- proces realizowany przez Zarząd Banku, jednostki bezpieczeństwa informacji oraz pracowników wszystkich szczebli. To nie tylko i nie tyle procedura czy polityka, która jest wdrażana w określonym czasie lub zestaw środków zaradczych, ale proces, który musi trwać nieustannie na wszystkich szczeblach w Banku i każdy pracownik Banku musi w nim uczestniczyć w tym procesie. Czynności związane z bezpieczeństwem informacji stanowią integralną część codziennej działalności Banku. A jego skuteczność zależy od udziału kierownictwa Banku w zapewnieniu bezpieczeństwa informacji.

Ponadto większość fizycznych i technicznych środków ochrony wymaga stałego wsparcia organizacyjnego (administracyjnego) w celu efektywnego wykonywania swoich funkcji (terminowa zmiana i zapewnienie prawidłowego przechowywania i używania nazw, haseł, kluczy szyfrujących, redefinicja uprawnień itp.). Przerwy w działaniu narzędzi ochronnych mogą być wykorzystywane przez atakujących do analizy stosowanych metod i środków ochrony, wprowadzania specjalnych „zakładek” programowych i sprzętowych oraz innych sposobów na pokonanie ochrony.

Osobista odpowiedzialnośćprzejmuje odpowiedzialność za zapewnienie bezpieczeństwa informacji i systemu ich przetwarzania każdemu pracownikowi w granicach jego uprawnień. Zgodnie z tą zasadą podział praw i obowiązków pracowników jest budowany w taki sposób, aby w przypadku jakiegokolwiek naruszenia krąg sprawców był wyraźnie znany lub zminimalizowany.

Alfa-Bank stale monitoruje działania każdego użytkownika, każde narzędzie zabezpieczające oraz w odniesieniu do dowolnego przedmiotu ochrony powinno odbywać się w oparciu o wykorzystanie narzędzi kontroli operacyjnej i rejestracji oraz obejmować zarówno nieautoryzowane, jak i autoryzowane działania użytkowników.

Bank opracował następujące dokumenty organizacyjno-administracyjne:

· Przepisy dotyczące tajemnic handlowych. Niniejszy Regulamin reguluje organizację, tryb pracy z informacjami stanowiącymi tajemnicę handlową Banku, obowiązki i zakres odpowiedzialności pracowników dopuszczonych do tych informacji, tryb przekazywania państwu (handlowej) materiałów zawierających informacje stanowiące tajemnicę handlową Banku. instytucje i organizacje;

· Wykaz informacji stanowiących tajemnicę urzędową i handlową. Wykaz definiuje informacje sklasyfikowane jako poufne, poziom i czas ograniczenia dostępu do informacji chronionych;

· Rozkazy i dyrektywy w sprawie ustanowienia reżimu bezpieczeństwa informacji:

· dopuszczenie pracowników do pracy z zastrzeżonymi informacjami;

· wyznaczenie administratorów i osób odpowiedzialnych za pracę z informacjami zastrzeżonymi w korporacyjnym systemie informacyjnym;

· Instrukcje i obowiązki funkcjonalne pracowników:

· w sprawie organizacji systemu bezpieczeństwa dostępu;

· w sprawie organizacji pracy biurowej;

· administrowanie zasobami informacyjnymi korporacyjnego systemu informacyjnego;

· inne dokumenty regulacyjne.

Wniosek

Dziś kwestia organizacji bezpieczeństwa informacji dotyczy organizacji każdego szczebla – od dużych korporacji po przedsiębiorców bez tworzenia osobowości prawnej. Konkurencja we współczesnych stosunkach rynkowych jest daleka od doskonałości i często nie jest realizowana w najbardziej legalny sposób. Szpiegostwo przemysłowe kwitnie. Ale przypadki nieumyślnego rozpowszechniania informacji dotyczących tajemnicy handlowej organizacji nie są rzadkie. Z reguły rolę odgrywa tu zaniedbanie pracowników, ich niezrozumienie sytuacji, czyli „czynnik ludzki”.

Alfa-Bank zapewnia ochronę następujących informacji:

tajemnica handlowa

tajemnica bankowa

dokumenty bankowe (sprawozdania Departamentu Ochrony, kosztorys roczny banku, informacje o dochodach pracowników banku itp.)

Informacje w banku są chronione przez takie zagrożenia jak:

· Naturalny

· Zagrożenia sztuczne (niezamierzone (niezamierzone, przypadkowe) zagrożenia spowodowane błędami w konstrukcji systemu informatycznego i jego elementów, błędami w działaniu personelu itp.; celowe (celowe) zagrożenia związane z egoistycznymi, ideologicznymi lub innymi dążeniami ludzi ( intruzów).

Źródła zagrożeń w odniesieniu do samego systemu informatycznego mogą być zarówno zewnętrzne, jak i wewnętrzne.

Bibliografia

1. Zarządzenie Prezydenta Federacji Rosyjskiej „W sprawie środków zapewniających bezpieczeństwo informacyjne Federacji Rosyjskiej przy korzystaniu z sieci informacyjnych i telekomunikacyjnych międzynarodowej wymiany informacji” z dnia 17 marca 2008 r. nr 351;

Galatenko, V.A. Podstawy bezpieczeństwa informacji. Internetowa Wyższa Szkoła Informatyki. INTUICYJNA. ru, 2008;

Galatenko, V.A. Standardy bezpieczeństwa informacji. Internetowa Wyższa Szkoła Informatyki. INTUICYJNA. ru, 2005;

Bezpieczeństwo biznesowe to zestaw działań i środków mających na celu kompleksową ochronę działalność przedsiębiorcza z różnego rodzaju zagrożeń (informacyjne, prawne, fizyczne, ekonomiczne, organizacyjne i kadrowe). Wszelkie decyzje dotyczące kompleksowej ochrony biznesu i podejmowanych działań powierzane są służbie bezpieczeństwa, szefom odpowiednich działów oraz dyrektorowi organizacji.

Rodzaje problemów bezpieczeństwa biznesowego i sposoby ich rozwiązywania

W każdym biznesie zawsze jest miejsce na ryzyko. Jednocześnie dobry lider nie będzie czekał na problemy - podejmie na czas działania, aby zabezpieczyć się przed najbardziej prawdopodobnymi problemami w obszarze biznesowym. Obejmują one:

- kłopoty korporacyjne– spory i sytuacje konfliktowe między wspólnikami firmy, konflikty między menedżerami najwyższego szczebla czy złożoność relacji między właścicielami firmy a szefami działów;

- zagrożenia zewnętrzne- zagrożenia ze strony struktur przestępczych, konflikty z organami ścigania i agencjami rządowymi, naloty i tak dalej;

- Straty finansowe- oszukańcze działania personelu (klientów), kradzież, nieuczciwi pośrednicy lub dostawcy, niewłaściwe wykorzystanie zasobów firmy, przyjmowanie łapówek za określone działania wbrew interesom firmy;

- zagrożenia informacyjne– wycieku informacji tajnych firmy (jej ukrycie lub zniszczenie), uzyskanie nieuprawnionego dostępu do poufnych danych, ujawnienie tajemnic handlowych itp.;

- luki w zabezpieczeniach- kradzież środków materialnych i technicznych przez osoby nieuprawnione, nieuprawniony wjazd na teren firmy, naruszenie dyscypliny pracy;

- problemy z reputacją- obecność w strukturze pracowników o złej reputacji, współpraca z osobami (kontrahentami) o złej reputacji.

Aby rozwiązać wszystkie te problemy biznesowe, wymagane są następujące rodzaje ochrony:

- fizyczne– systemy bezpieczeństwa, zabezpieczenia, kamery monitorujące i tak dalej;
- ekonomiczny– weryfikacja kontrahenta, ochrona banku klienta, optymalizacja podatkowa;
- organizacyjno-kadrowym– weryfikacja przychodzącego personelu, kontrola istniejących pracowników;
- informacyjny– ochrona przed włamaniami, ochrona plików i dokumentów, optymalizacja i ochrona 1C, pojedyncze uwierzytelnianie, ochrona przed wyciekami informacji i tak dalej;
- legalne– badanie zrealizowanych transakcji, weryfikacja projektów dokumentów, usługi abonamentowe i tak dalej.

biznes

Według statystyk ponad połowa wszystkich problemów biznesowych wynika z „luk” w bezpieczeństwie informacji. Wyciek informacji do konkurencji, utrata danych, przekazanie tajemnicy firmy w niepowołane ręce – wszystko to niesie za sobą duże ryzyko dla biznesu. W takiej sytuacji kierownicy IT firmy podejmują szereg skutecznych działań, aby zapewnić kompleksową ochronę firmy.

Na pierwszym miejscu jest ochrona danych finansowych, na drugim ochrona przed wyciekami, a na trzecim ochrona przed atakami DDoS. A jeśli pierwsze dwa punkty od dawna znajdują się w pierwszej trójce, to problem z atakami pojawił się dopiero od niedawna. Powodem tego zainteresowania jest zwiększona liczba ataków DDoS na małe i średnie firmy.

Wśród głównych środków, które rosyjskie firmy podjęły w dziedzinie bezpieczeństwa, są ochrona przed złośliwym oprogramowaniem, zarządzanie aktualizacjami, kontrola aplikacji, struktura sieci, rozwiązania do ochrony transferów finansowych, kontrola wykorzystania urządzeń zewnętrznych, ochrona telefony komórkowe itp.


Metody podstawowe ochrona informacji przedsiębiorstwa są następujące:

1. Ochrona przed włamaniami– instalacja programów lub sprzętu niezbędnego do kontrolowania ruchu w sieci. Gdy pojawi się pierwsze zagrożenie (wtargnięcie), system reaguje i blokuje dostęp. Jednocześnie powiadamiany jest odpowiedzialny pracownik.

System ochrony realizowany jest na dwa sposoby:

- System IPS. Jego zadaniem jest blokowanie wszelkiej aktywności w sieci, która budzi podejrzenia, aby skutecznie odfiltrować „dodatkowy” ruch. Zaletą systemu jest możliwość nie tylko wykrywania, ale także zapobiegania włamaniom. Minus - wysoki odsetek fałszywych trafień, co prowadzi do ciągłego odwracania uwagi pracowników od sprawy i przestoju sieci komputerowej podczas kontroli;

- system IDS– monitoruje bieżącą anomalną aktywność, po wystąpieniu której sygnalizowany jest administrator. Pozytywne cechy - skuteczna walka z włamaniami, przeniesienie uprawnień decyzyjnych na administratora. Minusem jest to, że odpowiedzialny pracownik może nie mieć czasu na podjęcie działań i system zostanie nieodwracalnie uszkodzony.

Idealny system ochrony przed włamaniami wygląda tak:

2. Ochrona przed wyciekami– zestaw środków zapobiegających dostaniu się informacji poufnych w niepowołane ręce. Wyciek może nastąpić na dwa sposoby:

Złośliwą kradzieżą (szpiegostwo, najeźdźcy, wtajemniczeni);
- z powodu przeoczenia personelu (utrata mediów, przesłanie hasła pocztą, przejście do strony z wirusem, brak osób odpowiedzialnych za przekazanie praw dostępu do danych itp.).

W przypadku złośliwej kradzieży metody ochrony są następujące - ograniczenie trybu dostępu do, instalowanie kamer monitorujących, instalowanie narzędzi do niszczenia danych na serwerach, szyfrowanie informacji, przechowywanie danych na obcych serwerach.

W celu ochrony przed błędami kadrowymi skuteczne można nazwać następującymi metodami – minimalizacja praw dostępu do informacji poufnych, indywidualna odpowiedzialność pracowników, korzystanie z bezpiecznych kanałów, tworzenie regulaminów pracy z ważnymi dokumentami przez pracowników, wprowadzenie odpowiedzialności za nośniki danych przekazywane pracownikom .

Dodatkowo, aby zabezpieczyć się przed przypadkowymi błędami, ważne jest zorganizowanie – nagrywanie rozmów telefonicznych, monitorowanie ruchu i pracy pracowników na komputerze PC, szyfrowanie kart USB, korzystanie z RMS, wdrażanie systemów DLP i tak dalej.

3. Ochrona plików oznacza bezpieczeństwo wszystkich najważniejszych informacji przechowywanych na komputerach i serwerach w firmie. Jest realizowany w następujący sposób:

- szyfrowanie systemów plików (danych)– korzystanie z systemów EFS, Qnap, CryptoPro i tak dalej;

- szyfrowanie laptopów (netbooków), nośniki danych, urządzenia mobilne - rozwiązania programowe (Kasperskiy, SecretDisk, Endpoint Encryption) lub moduły szyfrujące firm Sony, Asus i innych;

Tutaj oczywiście może być niejednoznaczna postawa… Być może należy doprecyzować – prawdopodobieństwo, że pracownik wtajemniczony w tajniki przedsiębiorstwa wycieknie na bok informacji, powinno być minimalne. I to również jest częścią koncepcji bezpieczeństwa informacji.
Innym ciekawym faktem jest to, że informacje landsknecht jako profesjonalista mogą zmienić swojego pana. Etyka i strona materialna nie zawsze są kompatybilne. Co więcej, co innego – jeśli chodzi o bezpieczeństwo kraju, a co innego – gdy człowiek strzeże abstrakcji podmiot, co nie jest faktem, że nie zostanie wrzucony pod zbiornik. Ja też obserwowałem takie przypadki... Przyzwoici i szanowani ludzie czasem trafiali do... (no, w kałuży czy coś - jakby to delikatnie mówiąc?). Jednak! Za nimi jest rodzina! I wtedy rozstrzyga się pytanie o pierwszeństwo najbardziej śliskiego pojęcia - "dług" - kto więcej zawdzięcza rodzinie czy przedsiębiorstwu? Czy rodzina powinna cierpieć z powodu przedsiębiorstwa? I to przecież jest przyczyną zniszczenia wielu rodzin i tęsknoty w oczach dzieci – „…a pamiętam, że tak jesteśmy z teczką!…” Nie dramatyzuję – pamiętam czasy, które były nieco wcześniej i porównaj je z przyszłymi prognozami na miesiące i lata. Myślę, że warto rysować paralele – wzrost poziomu przestępczości, współudziału, edukacji informacyjnej dywersantów itp.
W rzeczywistości Denis poruszył bardzo ważny temat na tej konferencji, która przerodziła się w dyskusję o głębszych kwestiach bezpieczeństwa.
W tym tygodniu moja książka „Teoria bezpieczeństwa” powinna zostać opublikowana w wersji próbnej, zapowiedzi niektórych rozdziałów, z których opublikowaliśmy w naszym „Personnel X-ray” - http://www.absg.ru/test - gdzie ja rozważać kwestie wojen informacyjnych, konfrontacji koncepcji bezpieczeństwa, znaczenia osobowości w systemach bezpieczeństwa itp. Niestety, ze względu na warunki wydawnictwa, przez pewien czas nie rozporządzam tą książką, dlatego poproszę o pozwolenie opublikuj co najmniej jeden rozdział w całości do przeglądu i oceny przez szanowanych kolegów.
Aleksandru T:
„Chociaż pojęcie etyki zawodowej nie jest dla mnie pustym frazesem:
Aleksandrze! W rzeczywistości bardzo przyjemnie jest wiedzieć, że są ludzie, którzy mogą uważać się za pewną kastę. Kasta nieprzekupnych ludzi. Ta cecha powinna być jak najlepiej połączona z pojęciami sprawiedliwości i moralności.
Jeśli drodzy koledzy nie uważają tego za ciężką pracę - zobacz 2 linki -
http://train.absg.ru/?p=19 - kodeks moralny, którego proponujemy przestrzegać dla wszystkich obywateli i przynajmniej przestrzegać jego podstawowych zasad, analizując ich działania z punktu widzenia moralności. Jak również
http://www.absg.ru/5mln w dziale wersje multimedialne - pozwoliłem sobie komentować deklarację praw człowieka i konstytucję. Niestety nie mogę znaleźć wersji tekstowej w żaden sposób poza tekstem magazynu.
Przepraszam, to może być trochę nie na temat - po prostu z jakiegoś powodu fraza o etyce zawodowej poruszyła coś w mojej duszy ... Jeśli się rozejrzysz - ... ale cóż mogę powiedzieć - teraz jest na wagę złota i tak jak ziarno ziemia jest rozsypana jak złoty piasek w głębinach!..

Rola bezpieczeństwa informacji w ciągłości działania

Aleksander Antipow

Strategia bezpieczeństwa informacji powinna być ściśle zintegrowana z ogólnym programem ciągłości działania firmy.

Współczesny biznes zależy od technologia informacyjna i pilnie potrzebuje zapewnienia ciągłości procesów: nawet godzina przestoju usług w usługach finansowych czy firmach telekomunikacyjnych może prowadzić do ogromnych strat. Ciągłość biznesowa jest bezpośrednio związana z IT i ma kluczowe znaczenie dla każdej organizacji, czy to dużych sprzedawców detalicznych, agencji biletów lotniczych czy agencji rządowych. W przemyśle, w przedsiębiorstwach infrastrukturalnych czy w sektorze transportu wszystko jest jeszcze poważniejsze: wraz z wprowadzeniem technologii cyfrowych awarie usług IT mogą prowadzić nie tylko do strat finansowych, ale także do katastrof spowodowanych przez człowieka. Oczywiście małe firmy zazwyczaj nie mają sensu wdrażać planów ciągłości, rozwiązują problemy nieformalnie. Ale dla duży biznes ryzyko jest nieporównywalnie wyższe.

Wycieczka do historii

Po raz pierwszy o ciągłości działania pomyślano w latach pięćdziesiątych ubiegłego wieku – inżynierowie zaczęli poważnie zajmować się problemem odtwarzania po awarii po awarii. Ostateczne ukształtowanie się tej praktyki nastąpiło w latach osiemdziesiątych, a następna dekada, wraz z szybkim rozwojem technologii, zwiększyła złożoność stosowanych podejść.

Koncepcja ciągłości działania lub BCM (Business Continuity Management) zastąpiła odtwarzanie po awarii w drugiej połowie lat dziewięćdziesiątych, ale wielu ekspertów wciąż myli te rzeczy. Dziś backup danych, zimny lub gorący serwis backupu już nie wystarcza. Problem sprawnego funkcjonowania całej organizacji dotyczy urządzeń produkcyjnych i procesów technologicznych, środków komunikacji, personelu i wielu innych. Skupimy się głównie na systemach informatycznych, gdyż ich awaria może całkowicie sparaliżować działalność firmy.

Normy i narzędzia

Istnieje wiele międzynarodowych organizacji zajmujących się kwestiami ciągłości działania. Najbardziej znany jest uważany za opracowany przez normę BSI (British Standard Institute) BS25999. Warto wspomnieć o najlepszych praktykach brytyjskiego BCI (Business Continuity Institute), a także amerykańskiego DRI (Disaster Recovery Institute) i SANS (SysAdmin, Audit, Network, Security Institute) oraz kierownictwa australijskiego National Audit Office ( ANAO).

Można do tego dodać różne standardy krajowe, branżowe, a nawet wewnętrzne korporacyjne – w tym informacyjnym morzu łatwo się utopić. Co najgorsze, opisując podstawy teoretyczne dokumenty nie odpowiadają na proste pytanie: „Jak rozwiązać problem w praktyce?”.

Inicjujemy projekt

Postaramy się połączyć istniejące metodologie i rozważymy zapewnienie ciągłości procesów biznesowych jako projekt - etapami. Ważne jest, aby zrozumieć, że jego wdrażanie jest ciągłym, cyklicznym procesem, który uwzględnia zmiany w biznesie, prawodawstwo rosyjskie i międzynarodowe oraz innowacje technologiczne.

Celem naszego projektu jest stworzenie i wdrożenie programu zarządzania ciągłością działania przedsiębiorstwa (BCM). Na początek konieczne będzie sformułowanie jego treści i skomponowanie plan krok po kroku wykonanie. Następnie - zdefiniuj role członków zespołu, cele projektu i zastanów się, jak monitorować i kontrolować. Aby projekt nie utknął w martwym punkcie, warto stworzyć specjalną komisję, składającą się z przedstawicieli wszystkich zainteresowanych stron – powinna się ona spotykać okresowo w celu omówienia postępów prac i pojawiających się problemów.

Podczas pracy nad stworzeniem planu ważne jest, aby zrozumieć, czy projekt będzie wymagał zaangażowania konsultantów zewnętrznych, czy też będzie w stanie samodzielnie go obsłużyć. Do zarządzania projektem warto nawet wyznaczyć menedżera ciągłości działania – pracownika firmy lub zewnętrznego konsultanta.

Analiza wpływu na biznes

Krok pierwszy: przeprowadzamy szczegółowe badanie procesów biznesowych (Analiza Środowiska Biznesowego, BEA) firmy i określamy wymagania dotyczące ciągłości.

Najczęściej konsultant odpowiedzialny za projekt przeprowadza wywiady z szefami działów, których dotyczy projekt. Opracowywana jest lista procesów i rozpoczyna się praca z ich właścicielami: konieczne jest określenie rodzaju wpływu procesu na biznes, stopnia jego uzależnienia od IT, a także maksymalnego dopuszczalnego przestoju (maksymalna dopuszczalna przestój, MAO ), po czym istnieje zagrożenie utraty rentowności organizacji.

Po ustaleniu MAO dla każdego procesu biznesowego należy wyznaczyć dopuszczalny czas odzyskiwania (cel czasu odzyskiwania, RTO) i punkt docelowy odzyskiwanie (cel punktu odzyskiwania, RPO) – jest to zwykle przedział czasowy przed wystąpieniem sytuacji awaryjnej, dla którego dane mogą zostać utracone. Warto również wyznaczyć akceptowalne poziomy wydajności (Level of Business Continuity, LBC) w sytuacjach awaryjnych – zwykle jako procent normalnej pracy.

Ocena wpływu (Business Impact Analysis, BIA) analizuje wpływ procesów na cały biznes jako całość. W rezultacie należy sporządzić listę krytycznych procesów i ich współzależności, a także czasy przestojów i odzyskiwania zarówno samych procesów, jak i związanych z nimi systemów informatycznych. Ponadto wymagana jest analiza ryzyka (Risk Analysis, RA), podczas której oceniane są podatności, zagrożenia ciągłości procesów oraz skuteczność ich przeciwdziałania.

Identyfikując procesy, które mogą zakłócić działalność firmy, a także ewentualne szkody, będziemy w stanie przewidzieć potencjalne zagrożenia, źródła zagrożeń oraz własne podatności.

Strategia i plany

Krok drugi: opracowanie odpowiedniej strategii ciągłości działania (definicja Strategii Ciągłości Działania), mającej wpływ na wszystkie aspekty firmy.

Dla każdego kierunku tworzona jest osobna sekcja opisująca możliwe rozwiązania techniczne i organizacyjne dla szybkiego przywrócenia procesów biznesowych. Wykorzystywane rozwiązania informatyczne to przede wszystkim witryny typu hot i cold standby, narzędzia do dynamicznego równoważenia obciążenia, a także witryny mobilne i możliwości zewnętrznych dostawców usług (outsourcing). Różnią się głównie kosztem i czasem odzyskiwania.

Niezbędne jest tworzenie planów ciągłości działania (Plan Ciągłości działania, BCP) i odtwarzania infrastruktury w sytuacjach awaryjnych (Plan Odzyskiwania Po awarii, DRP), a także tworzenie technicznych i system organizacyjny BCM. Plany zazwyczaj obejmują trzy fazy przywracania ciągłości: reagowanie na incydent, wykonywanie krytycznych procesów biznesowych w sytuacji awaryjnej oraz przejście do normalnej działalności.

Wdrażanie i wsparcie

Krok trzeci: kupujemy i wdrażamy wybrane rozwiązania.

Wdrożenie to złożony proces, który może wymagać zaangażowania zewnętrznego wykonawcy. Ale nawet po jej ukończeniu nie należy spocząć na laurach – zapewnienie ciągłości biznesowej to proces ciągły i cykliczny.

Korporacyjny program BCM będzie musiał być nie tylko stale ulepszany, ale także integrowany z Kultura korporacyjna. Nie będzie można ograniczyć się tylko do sporządzania planów – trzeba je będzie przetestować, albo poprzez testy desktopowe (Tabletop), symulacje (Imitacja), albo pełne testy (Pełne testy ciągłości działania). Na podstawie wyników testów opracowywane są raporty z zastosowanymi scenariuszami i uzyskanymi wynikami, a także z propozycjami poprawy istniejących planów. Są one zazwyczaj aktualizowane corocznie, a czasem częściej – w przypadku istotnych zmian np. w infrastrukturze IT lub w przepisach.

Komunikacja z IS

Eksperci dzielą się planami ciągłości działania i planami odtwarzania po awarii, ale rola polityki bezpieczeństwa informacji w programie BCM nie jest oczywista dla wszystkich.

Jednym z ostatnich przypadków jest incydent na moskiewskiej kolejce linowej, której działalność została całkowicie sparaliżowana w wyniku cyberataku. Bez względu na to, jak dobry był w tym przypadku plan Disaster Recovery, nie pomógł on w szybkim skonfigurowaniu działania przedsiębiorstwa – serwery odtworzone z kopii zapasowej będą narażone na te same podatności. Dlatego plany ciągłości działania musiały zawierać listę działań na wypadek udanego ataku na infrastrukturę IT, aby skrócić czas przestoju bez narażania pasażerów.

Zagrożeń w branży jest znacznie więcej. Jeśli weźmiemy za przykład przemysł naftowy i gazowy, który jest uważany za najbardziej zautomatyzowany w Rosji, to procesy technologiczne w przedsiębiorstwach wydobywczych, przetwórczych i marketingowych są faktycznie kontrolowane przez komputery. Nikt nie wykonuje ręcznych odczytów przyrządów analogowych, zostały one zastąpione czujnikami cyfrowymi i inteligentnymi systemami monitorowania.

Zasuwy, zawory i inne siłowniki również stały się cyfrowe. Jeśli udany atak na zautomatyzowany system kontroli procesu przerwie proces na kilka sekund, może to prowadzić do wyłączenia zakładu na wiele godzin lub tygodni, awarii drogiego sprzętu, a nawet do poważnych katastrof spowodowanych przez człowieka. Do niedawna uważano, że izolacja części technologicznej od sieci publicznych uniemożliwia ataki hakerskie na przemysłowe systemy sterowania, jednak wraz z rozwojem cyfryzacji produkcji izolacja ta maleje, a liczba zagrożeń rośnie. Oprócz przemysłu istnieją inne obszary działalności, poza tym nie wszystkie usługi o znaczeniu krytycznym dla biznesu można wyodrębnić.

Główny wniosek jest taki, że strategia bezpieczeństwa informacji powinna być ściśle zintegrowana z ogólnym programem ciągłości działania firmy. Wymaga to kompleksowych rozwiązań, które mogą połączyć wszystkie narzędzia zapewniające dostępność zasobów i ochronę przed atakami hakerskimi, poufność i integralność danych, a także zautomatyzowaną kontrolę kodu źródłowego i bezpieczeństwa aplikacji. Podczas analizy ryzyka i etapów oceny wpływu na działalność należy wziąć pod uwagę możliwą obecność: systemy informacyjne podatności narażone na atak złośliwych podmiotów, a Plan Ciągłości Działania będzie musiał zawierać procedury pozyskiwania aktualnych danych o zagrożeniach dla infrastruktury IT, ich krytyczności oraz dostępności poprawek. Strategia ciągłości działania powinna również obejmować procedury przywracania usług po udanych atakach.

Bezpieczeństwo informacji przedsiębiorstwa
Ochrona informacji biznesu

*Z Wikipedii

Bezpieczeństwo informacji- To jest stan bezpieczeństwa środowiska informacyjnego. Ochrona informacji to działanie mające na celu zapobieganie wyciekom chronionych informacji, nieautoryzowanemu i niezamierzonemu wpływowi na chronione informacje, czyli proces mający na celu osiągnięcie tego stanu.

Bezpieczeństwo informacji przedsiębiorstwa: zagrożenie wewnętrzne

Szereg poważnych specjalistów w dziedzinie bezpieczeństwo informacji organizacji nazywa zagrożenie wewnętrzne najważniejszym, dając mu do 80% całkowitej liczby potencjalnych zagrożeń. Rzeczywiście, jeśli weźmiemy pod uwagę średnie obrażenia od ataków hakerskich, to będzie ono bliskie zeru ze względu na dużą liczbę prób hakerskich i ich bardzo niską skuteczność. Pojedynczy przypadek błędu ludzkiego lub udane okrucieństwo z wykorzystaniem informacji poufnych może kosztować firmę miliony dolarów strat (bezpośrednich i pośrednich), sporu sądowego i rozgłosu w oczach klientów. W rzeczywistości samo istnienie firmy może być zagrożone, a to, niestety, jest rzeczywistością. Jak zapewnić ? Jak uchronić się przed wyciekami informacji? Jak na czas rozpoznać i zapobiec zagrożeniu wewnętrznemu? Jakie metody radzenia sobie z nim są dziś najskuteczniejsze?

Wróg wewnątrz

Prawie każdy pracownik, który ma dostęp do poufnych informacji firmowych, może stać się atakującym od wewnątrz. Motywacja działań insidera nie zawsze jest oczywista, co pociąga za sobą znaczne trudności w jego identyfikacji. Niedawno zwolniony pracownik, który żywi urazę do pracodawcy; nieuczciwy pracownik, który chce dorobić sprzedając dane; współczesny Herostratus; specjalnie wszczepiony agent konkurenta lub grupy przestępczej - to tylko kilka archetypów insidera.

Korzeniem wszystkich bolączek, jakie może sprowadzić wewnętrzna złośliwość, jest niedocenianie wagi tego zagrożenia. Według badania przeprowadzonego przez Perimetrix, wyciek ponad 20% poufnych informacji firmy w większości przypadków prowadzi do jej upadku i bankructwa. Szczególnie częstą, ale wciąż najbardziej narażoną ofiarą insiderów są instytucje finansowe, dowolnej wielkości – zatrudniające od setek do kilku tysięcy pracowników. Pomimo tego, że w większości przypadków firmy starają się ukryć lub znacznie nie docenić rzeczywistych danych dotyczących szkód spowodowanych działaniami poufnych, nawet oficjalnie ogłoszone straty są naprawdę imponujące. Znacznie bardziej dotkliwe od strat finansowych dla firmy jest uszczerbek na reputacji firmy i gwałtowny spadek zaufania klientów. Często straty pośrednie mogą wielokrotnie przewyższać rzeczywiste szkody bezpośrednie. Znany jest więc przypadek banku Liechtenstein LGT, kiedy w 2008 roku pracownik banku przekazał bazę deponentów służbom specjalnym Niemiec, USA, Wielkiej Brytanii i innych krajów. Jak się okazało, ogromna liczba zagranicznych klientów banku wykorzystywała specjalny status LGT do przeprowadzania transakcji z pominięciem przepisów podatkowych w swoich krajach. Świat przetoczyła się fala dochodzeń finansowych i związanych z nimi sporów sądowych, a bank LGT stracił wszystkich swoich znaczących klientów, poniósł krytyczne straty i pogrążył cały Liechtenstein w poważnym kryzysie gospodarczym i dyplomatycznym. Nie trzeba też daleko szukać bardzo świeżych przykładów – na początku 2011 roku taki gigant finansowy jak Bank of America przyznał się do wycieku danych osobowych klientów. W wyniku oszukańczych działań z banku wyciekły informacje z nazwiskami, adresami, numerami PESEL i telefonu, numerami konta bankowego i prawa jazdy, adresami e-mail, kodami PIN i innymi danymi osobowymi deponentów. Trudno jest dokładnie określić realną skalę strat banku, gdyby tylko oficjalnie ogłoszono kwotę „ponad 10 milionów dolarów”. Powodem wycieku danych są działania insidera, który przekazał informacje zorganizowanej grupie przestępczej. Jednak pod groźbą ataków poufnych, nie tylko banków i funduszy, wystarczy przypomnieć szereg głośnych afer związanych z publikacją poufnych danych w zasobach WikiLeaks – zdaniem ekspertów spora ilość informacji była uzyskane przez insiderów.

proza ​​życia

Nieumyślne uszkodzenie poufnych danych firmy, ich wyciek lub utrata to znacznie częstsza i prozaiczna rzecz niż szkoda wyrządzona przez insiderów. Niedbałość personelu i brak odpowiedniego zabezpieczenia technicznego informacji może doprowadzić do bezpośredniego wycieku tajemnic korporacyjnych. Takie zaniedbanie nie tylko powoduje poważne straty w budżecie i reputacji firmy, ale może również wywołać powszechny dysonans społeczny. Po uwolnieniu tajne informacje stają się własnością nie wąskiego kręgu intruzów, ale całej przestrzeni informacyjnej - o wycieku dyskutuje się w Internecie, telewizji, prasie. Pamiętajmy o głośnym skandalu z publikacją wiadomości SMS największego rosyjskiego operatora komórkowego MegaFon. Z powodu nieuwagi personelu technicznego wiadomości SMS były indeksowane przez wyszukiwarki internetowe, a do sieci trafiała korespondencja abonentów zawierająca informacje o charakterze zarówno osobistym, jak i biznesowym. Bardzo niedawny przypadek: publikacja danych osobowych klientów rosyjskiego funduszu emerytalnego. Błąd przedstawicieli jednego z regionalnych przedstawicielstw funduszu doprowadził do zindeksowania danych osobowych 600 osób - nazwiska, numery rejestracyjne, szczegółowe kwoty oszczędności klientów PFR mógł odczytać każdy internauta.

Bardzo częstą przyczyną wycieków poufnych danych z powodu zaniedbań jest codzienna rotacja dokumentów w firmie. Na przykład pracownik może skopiować plik zawierający wrażliwe dane na laptopa, pendrive'a lub PDA, aby pracować z danymi poza biurem. Informacje mogą również trafić do usługi hostingu plików lub osobistej poczty pracownika. W takich sytuacjach dane są całkowicie bezbronne dla atakujących, którzy mogą wykorzystać niezamierzony wyciek.

Złota zbroja czy kamizelka kuloodporna?

W celu ochrony przed wyciekiem danych w branży bezpieczeństwa informacji tworzone są różne systemy ochrony informacji przed wyciekiem, tradycyjnie oznaczane skrótem DLP z języka angielskiego. Zapobieganie wyciekom danych („zapobieganie wyciekom danych”). Z reguły są to najbardziej złożone systemy oprogramowania o szerokiej funkcjonalności zapobiegające złośliwemu lub przypadkowemu wyciekowi tajnych informacji. Cechą takich systemów jest to, że ich prawidłowe działanie wymaga ugruntowanej struktury wewnętrznego obiegu informacji i dokumentów, ponieważ analiza bezpieczeństwa wszelkich działań z informacją opiera się na pracy z bazami danych. Tłumaczy to wysoki koszt instalacji profesjonalnych rozwiązań DLP: jeszcze przed bezpośrednim wdrożeniem firma klienta musi zakupić system zarządzania bazą danych (najczęściej Oracle lub SQL), zlecić kosztowną analizę i audyt struktury przepływu informacji oraz opracować nowe zabezpieczenia polityka. Częstą sytuacją jest sytuacja, gdy ponad 80% informacji w firmie jest nieustrukturyzowana, co daje wizualne wyobrażenie o skali działań przygotowawczych. Oczywiście sam system DLP też sporo kosztuje. Nic dziwnego, tylko duże firmy, które chcą wydać miliony na bezpieczeństwo informacji organizacji.

Ale co z małymi i średnimi firmami, które muszą zapewnić? bezpieczeństwo informacji biznesowych, ale nie ma środków i możliwości na wdrożenie profesjonalnego systemu DLP? Najważniejszą rzeczą dla dyrektora firmy lub pracownika ds. bezpieczeństwa jest określenie, jakie informacje należy chronić i które strony działania informacyjne pracowników podlegających nadzorowi. W rosyjskim biznesie wciąż dominuje opinia, że ​​należy chronić absolutnie wszystko, bez klasyfikowania informacji i obliczania skuteczności środków ochronnych. Przy takim podejściu jest dość oczywiste, że poznawszy wysokość wydatków na bezpieczeństwo informacji przedsiębiorstwa, szef średniego i małego biznesu macha ręką i liczy na „może”.

Istnieć alternatywne sposoby zabezpieczenia, które nie wpływają na bazy danych i ustalony cykl życia informacji, ale zapewniają niezawodną ochronę przed działaniami intruzów i zaniedbaniami pracowników. Są to elastyczne modułowe kompleksy, które bez problemu współpracują z innymi narzędziami bezpieczeństwa, zarówno sprzętowymi, jak i programowymi (na przykład z antywirusami). Dobrze zaprojektowany system zabezpieczeń zapewnia bardzo niezawodną ochronę zarówno przed zagrożeniami zewnętrznymi, jak i wewnętrznymi, zapewniając idealną równowagę ceny i funkcjonalności. Według ekspertów rosyjskiej firmy-dewelopera systemów bezpieczeństwa informacji SafenSoft, optymalne połączenie elementów ochrony przed zagrożeniami zewnętrznymi (np. HIPS do zapobiegania włamaniom oraz skaner antywirusowy) z narzędziami do monitorowania i kontrolowania dostępu użytkowników i aplikacji do poszczególnych sektorów informacji. Dzięki takiemu podejściu cała struktura sieciowa organizacji jest całkowicie chroniona przed ewentualnym włamaniem lub infekcją wirusami, a środki monitorowania i monitorowania działań personelu podczas pracy z informacjami mogą skutecznie zapobiegać wyciekom danych. W obecności całego niezbędnego arsenału sprzętu ochronnego koszt systemów modułowych jest dziesięciokrotnie niższy niż złożonych rozwiązań DLP i nie wymaga żadnych kosztów wstępnej analizy i dostosowania struktury informacyjnej firmy.

Więc podsumujmy. Zagrożenia bezpieczeństwo informacji przedsiębiorstwa całkiem realne, nie należy ich lekceważyć. Oprócz przeciwdziałania zagrożeniom zewnętrznym, szczególną uwagę należy zwrócić na zagrożenia wewnętrzne. Należy pamiętać, że do wycieków tajemnic korporacyjnych dochodzi nie tylko z powodu złośliwych zamiarów – z reguły są one spowodowane elementarnym zaniedbaniem i nieuwagą pracownika. Wybierając środki ochrony, nie należy próbować obejmować wszystkich możliwych i nie do pomyślenia zagrożeń, po prostu nie starczy na to pieniędzy i siły. Zbuduj niezawodny modułowy system bezpieczeństwa, który jest zamknięty przed ryzykiem wtargnięcia z zewnątrz i pozwala kontrolować i monitorować przepływ informacji w firmie.