Instrumente de securitate a informațiilor în afaceri. Conceptul și tipurile de amenințări la adresa securității informațiilor comerciale. Securitatea secretului comercial
Înainte de a vorbi despre ce riscuri pentru securitatea informațiilor vă pot aștepta la locul de muncă, vreau să mă prezint: mă numesc Kamila Iosipova. Sunt senior manager de securitate a informațiilor al companiei IT ICL Services, lucrez în această organizație de 5 ani. Sunt, de asemenea, auditor certificat de sisteme informatice CISA (certificarea ISACA, înseamnă Certified Information Systems Auditor).
În 2018, volumul scurgerilor de date în companii a crescut cu 5%. Factorul uman este una dintre principalele cauze ale incidentelor de securitate a informațiilor. Nepăsare, nepăsare, motiv, intenție - acestea sunt motivele pentru care angajații companiilor tale pot aduce afacerea la fund, intenționat sau neintenționat. Cum să te protejezi pe tine și pe clienții tăi, ce să faci pentru a dezvolta o cultură a lucrului cu date în rândul angajaților și ce metode să aplici în același timp, îți voi spune mai jos.
Plan de stabilire a muncii în domeniul securității informațiilor
Dacă priviți global, puteți observa că un anumit tipar poate fi urmărit în domeniul securității informațiilor: atenția acordată securității informațiilor depinde în mare măsură de activitățile companiei. De exemplu, în guvern sau în sectorul bancar, există cerințe mai stricte, prin urmare, se acordă mai multă atenție formării angajaților, ceea ce înseamnă că cultura de lucru cu date este mai dezvoltată. Cu toate acestea, astăzi toată lumea ar trebui să acorde atenție acestei probleme.
Așadar, iată câțiva pași practici care vă vor ajuta să începeți în domeniul securității informațiilor:
Pasul 1... Elaborarea și implementarea unei politici generale de securitate a informațiilor, care va conține principiile de bază ale companiei, scopurile și obiectivele în domeniul managementului securității informațiilor.
Pasul 2... Introduceți politica de clasificări și nivelurile de confidențialitate.
În acest caz, este necesar nu numai să scrieți un document la care angajatul va avea acces 24 pe 7, ci și să desfășurați diverse activități de formare, să vorbiți despre modificările care se fac. Respectați regula: prevenit este antebrat. Lăsați compania să lucreze constant în această direcție.
Pasul 3... Dezvoltați o abordare proactivă.
Este ca și prevenirea în medicină. Trebuie să recunoști că este mult mai ieftin și mai ușor să faci un examen preventiv decât să tratezi o boală avansată. De exemplu, în compania noastră, o abordare proactivă funcționează astfel: pentru a lucra cu informații în proiecte comerciale, am dezvoltat un Standard pentru Managementul Securității Informaționale în Proiecte, care conține cerințele minime necesare de securitate a informațiilor pentru a asigura un anumit nivel de maturitate a procesele de securitate a informațiilor într-un proiect comercial. Acesta descrie ce trebuie făcut pentru a menține un anumit nivel de maturitate în procesul de management al securității. Am implementat acest standard în proiecte și acum efectuăm audituri interne în fiecare an: verificăm modul în care proiectele îndeplinesc aceste cerințe, identificăm riscurile de securitate a informațiilor și cele mai bune practici care pot ajuta alți manageri de proiect.
În afară de audituri, schimbul de cunoștințe funcționează bine. Dacă „a bătut tunet” într-unul dintre proiecte, este bine ca restul să învețe despre asta și să aibă timp să ia măsurile necesare.
Pasul 4... Realizați toate documentele care explică regulile: structurate, înțelese și concise.
După cum arată practica, nimeni nu citește texte lungi de mai multe pagini. Documentul trebuie să fie scris într-un limbaj ușor de înțeles. De asemenea, trebuie să fie în concordanță cu obiectivele de afaceri și sancționat de managementul de vârf - acesta va fi un argument mai puternic pentru angajați de ce ar trebui urmate aceste reguli.
Pasul 5... Efectuați antrenamente, conversații, jocuri de afaceri și altele asemenea.
Foarte des, oamenii nu înțeleg modul în care unele reguli sunt legate de munca lor specifică, așa că trebuie să dai exemple, să explici, să arăți cum pot aplica acest lucru. Aici este important să se arate consecințele, până la pierderea afacerii, și ce consecințe specifice așteaptă angajatul, până la răspunderea penală.
Pentru a implementa toate cele de mai sus într-o companie, sunt necesare resurse, atât materiale, cât și umane. Prin urmare, acum în multe companii a început să apară funcția de Director de Securitate Informațională (CISO). Datorită acestei poziții, este posibil să le transmitem liderilor de afaceri importanța promovării oricăror decizii, a alocării fondurilor etc. CISO este capabil să promoveze securitatea informațiilor într-o companie la toate nivelurile.
Sarcinile pe care le asumă sunt extinse: comunicarea cu top managementul, justificarea anumitor decizii, comunicarea cu proprietarii de procese pentru implementarea securității în toate direcțiile. Din punctul de vedere al amenințărilor cibernetice, este un punct de contact, în același timp controlează, definește strategii de răspuns la amenințările cibernetice, coordonează munca de răspuns la atacuri.
Formarea angajaților: dificilă, consumatoare de timp, dar necesară
Cu toate acestea, înainte de a-i învăța pe oameni anumite reguli, este necesar să înțelegeți un lucru: nu vă puteți opri asupra factorului uman, poate fi altceva în spatele lui - o lipsă de resurse, cunoștințe sau tehnologie. Cea mai eficientă metodă este de a analiza cauzele adevărate, de a ajunge la cauza principală.
Când lucrați cu oameni, este necesar să selectați o cheie pentru literalmente toată lumea. Toți oamenii sunt diferiți, respectiv, și metodele trebuie aplicate diferit. Într-unul dintre interviurile cu un angajat, un specialist mi-a spus: voi face ceva doar dacă știu ce voi obține pentru nerespectarea cerinței. Și invers, pentru unii, doar acte de motivație pozitivă, cum ar fi o bună evaluare a calității muncii, recompense pentru finalizarea cu succes a trainingurilor.
Există opinia că specialiștii în securitatea informațiilor acționează adesea ca o „frână” pentru inovație, mai ales atunci când restricționează utilizarea noilor tehnologii și modele de afaceri. Acesta poate fi într-adevăr cazul, totuși, este important să rețineți următoarele: „Securitatea este ca frânele mașinii tale. Funcția lor este de a vă încetini. Dar scopul lor este să vă permită să mergeți repede. Dr. Gary Hinson "(" Siguranța este ca frânele mașinii dvs.. Funcția lor este să vă încetinească. Dar scopul lor este să vă permită să vă mișcați rapid "). Este important să înțelegeți că fără aceste reguli este imposibil să mergeți mai departe, deoarece la un moment dat pur și simplu nu vă veți putea dezvolta afacerea dacă nu vă apărați împotriva amenințărilor cibernetice și nu gestionați riscurile de securitate a informațiilor. Pentru a găsi un echilibru, compania noastră utilizează o abordare bazată pe risc, care stă la baza standardului ISO 27001. Această abordare ne permite să selectăm cerințele și măsurile de securitate care ne sunt aplicabile, care sunt necesare pentru a proteja împotriva amenințărilor care sunt relevante pentru noi. Cu ajutorul acestei abordări putem alege și din punct de vedere financiar: cât de oportună este utilizarea anumitor măsuri. De exemplu, putem pune un scanner biometric la fiecare sală de ședințe, dar cât de mult avem nevoie de el, ce valoare aduce, ce riscuri reduce? Răspunsul nu este întotdeauna evident.
La ICL Services, înțelegem că confidențialitatea informațiilor cu care lucrăm este importantă pentru noi, pentru aceasta criptăm laptopurile, deoarece chiar dacă laptopul se pierde, informațiile nu vor cădea în mâinile intrușilor. Acest lucru este esențial și suntem gata să cheltuim bani pentru asta.
Consider că doar așa se poate atinge un echilibru între securitate și valoare pentru afacere: alegeți, fiți conștienți de inovații și evaluați întotdeauna riscurile (cât de mult este comparabil costul implementării unui risc cu costul achiziționării uneia sau altei securități). soluţie).
O abordare integrată este rețeta perfectă pentru securitatea informațiilor
În opinia mea, o abordare integrată a lucrului cu securitatea este cea mai eficientă, deoarece securitatea informațiilor este o chestiune de conștientizare, comportament și organizare corectă procesele de afaceri, ținând cont de cerințele de securitate. Incidentele se întâmplă cel mai adesea din cauza angajaților: oamenii greșesc, obosesc, pot apăsa butonul greșit, așa că aici jumătate din succes sunt limitări tehnice, din incidente accidentale neintenționate, cealaltă jumătate este cultura de siguranță a fiecărui angajat.
Prin urmare, este important să se desfășoare discuții și instruiri preventive. În lumea modernă, amenințările cibernetice sunt concepute pentru oameni: dacă primiți un e-mail de phishing, acesta este inofensiv până când ajungeți la link și faceți clic pe el. Compania noastra pune accent pe constiinciozitatea personalului, pe lucrul cu oamenii, pe constientizare. Ei bine, al treilea punct este organizatoric, oamenii trebuie să cunoască regulile, regulile trebuie precizate, trebuie să existe o anumită politică pe care trebuie să o urmeze toată lumea.
Amintiți-vă: amenințările cibernetice sunt foarte răspândite în lume și, în același timp, consecințele atacurilor sunt foarte grave - până la pierderea completă a afacerii, falimentul. Desigur, problema este pe ordinea de zi. Siguranța în vremurile noastre este deja pur și simplu obligată să facă parte din cultura corporativă, iar conducerea de vârf este prima parte interesată în această problemă, din moment ce conduce afacerea, iar atunci când riscurile se realizează, va purta responsabilitatea în primul rând.
Iată câteva sfaturi pentru a-ți ajuta angajații să evite incidentele de securitate a informațiilor:
- Nu puteți urmări linkuri neverificate;
- Nu puteți distribui informații confidențiale;
- Nu puteți nota parola pe o bucată de hârtie și nu puteți lipi un autocolant;
- Nu puteți folosi unități USB despre care nu sunteți sigur (un atacator poate lăsa un dispozitiv fizic infectat în locul în care victima îl va găsi cu siguranță);
- Când vă înregistrați pe site-uri, indicând numărul de telefon și adresa poștală, uitați-vă cu atenție pentru ce este nevoie de această informație, poate că în acest fel vă veți abona la o listă de corespondență plătită.
Sper ca în timp, siguranța să devină un element cheie al culturii corporative în fiecare companie.
Poți stăpâni perfect abilitățile de lucru în domeniul securității informațiilor la facultate.
Companiile neglijează adesea problemele de securitate cibernetică și, ca urmare, suferă pierderi de mai multe milioane de dolari. Într-un nou proiect special, experții site-ului vă vor spune cum să preveniți atacurile din partea răufăcătorilor fără a încălca libertatea angajaților.
Afacerile sunt supuse unor atacuri cibernetice constante din partea infractorilor cibernetici care vizează golirea conturilor companiei sau furtul datelor clienților.
15:33 15.07.2019
Multe companii rusești uită de măsurile de bază de securitate cibernetică pentru activele lor industriale și sunt nevoite să cheltuiască sume uriașe pentru a face față consecințelor atacurilor, deși există soluții mai simple.
În urmă cu un an, multe companii rusești și străine au devenit victime ale atacurilor cibernetice la scară largă ale WannaCry și ExPetr. De atunci, nu au mai existat astfel de cazuri - înseamnă asta că afacerea a devenit mai responsabilă pentru securitatea cibernetică sau situația s-a schimbat în alt mod? Șeful Kaspersky Industrial CyberSecurity a vorbit despre ele.
Este important de înțeles că aceste atacuri nu au vizat industria, ci au „prins-o”. De obicei, atacurile cibernetice de profil înalt apar din cauza unei combinații a mai multor factori. În acest caz, dezvăluirea publică a vulnerabilității în sistemele de operare Windows foarte comune și lipsa de dorință a utilizatorilor de a o remedia rapid în întreaga întreprindere au jucat un rol. Absența unor astfel de cazuri acum nu are nimic de-a face cu faptul că companiile au devenit mai responsabile pentru siguranța lor.
Acele întreprinderi care au fost afectate de WannaCry sau în care am investigat incidente și am făcut recomandări pentru întărirea protecției, au luat anumite măsuri. Cu un grad mare de probabilitate, putem spune că nu vor repeta același atac.
Însă, în majoritatea companiilor, nimic nu s-a schimbat, deși sunt bine conștienți de riscuri și au fost destule incidente.
O veste bună pentru întreprinderile rusești este apariția nr. 187-FZ „Cu privire la securitatea infrastructurii informaționale critice”. Se aplică și sistemelor de automatizare a proceselor industriale. În Rusia, această lege este cel mai puternic motor în construirea unor sisteme reale de protecție. A intrat în vigoare la începutul anului 2018 și în 2019–2021. vom vedea deja o creștere a securității.
Care sunt principalele amenințări acum?
Cea mai frecventă cauză a infecțiilor în infrastructurile industriale este malware-ul comun. software... Practic, aceștia sunt troieni care ajung acolo accidental. Nu trebuie să fii o țintă pentru a fi o victimă.
Evident, există o contradicție: atunci când se adoptă legi și se vorbește despre securitate cibernetică în general, ei sunt îngrijorați în principal de atacurile atacatorilor motivați și calificați, le este frică de atacuri țintite. Dar acum, maturitatea securității cibernetice industriale este de așa natură încât companiile permit infecția obișnuită cu malware masiv.
Ai putea enumera astfel de atacuri curioase?
Software-ul rău intenționat este scris de oameni și nu întotdeauna de înaltă calitate - conține erori.
Incidentele din rețelele industriale apar cel mai adesea din cauza unei infecții accidentale: un antreprenor a conectat un laptop cu un virus la o rețea securizată, unui angajat i s-a oferit acces de la distanță... Un virus poate provoca refuzul serviciului, defecțiuni ale echipamentelor, oprirea tehnologică. procese, deși acest lucru nu se întâmplă în mod intenționat...
De exemplu, una dintre cele trei versiuni de WannaCry nu a putut cripta, dar era foarte prost compatibilă cu Windows XP, în urma căreia sistemul s-a prăbușit într-un ecran albastru al morții. În unele cazuri, a trebuit să ne confruntăm cu asta, și nu cu criptarea în rețeaua industrială.
Ce măsuri de precauție pot fi luate pentru a minimiza probabilitatea unor astfel de apariții?
Cu cât angajații sunt mai conștienți de un anumit tip de atac cibernetic, cu atât este mai ușor să le evite.
Cu 8-10 ani în urmă, când majoritatea specialiștilor industriali erau educați, sistemele industriale erau atacate mai rar - de regulă, erau izolate de lumea exterioară. Dar în ultimii ani, rețelele industriale au fost integrate cu rețelele corporative la cererea afacerii, de exemplu, pentru gestionarea comenzilor și managementul lanțului de aprovizionare. Contractorii au acces la rețelele tehnologice pentru a oferi mai rapid servicii întreprinderilor industriale. Rețelele devin expuse la o gamă largă de amenințări cibernetice.
Aceste amenințări sunt tratate cu succes în segmentul corporativ, dar inginerii și metrologii nu le-au mai întâlnit până acum.
Merită să le spuneți despre întrebări de bază: cum arată o scrisoare falsă sau un virus pe o unitate flash USB, de ce este imposibil să încărcați un telefon mobil de la panoul de control al mașinii, de ce este necesar să apelați un „ofițer de securitate „ când se oferă acces de la distanță unui antreprenor...
Dacă angajații ar ști despre potențialii vectori ai pătrunderii și consecințele acestora, pur și simplu nu ar face astfel de lucruri. Aceasta este una dintre măsurile prioritare, rapide și foarte ieftine.
La Kaspersky Lab, vedem misiunea noastră nu numai în dezvoltarea de produse care ajută la prevenirea atacurilor sau detectarea lor, ci și în educația profesională. În acest scop, inițiem parteneriate cu centre de formare și universități care „vorbesc” limba inginerilor. În Rusia, partenerul nostru este Abiroy, care este angajat profesional în formarea în mediul industrial de mulți ani, iar acum și în domeniul securității cibernetice. În Europa, în urmă cu câteva luni, am anunțat un parteneriat cu Institutul Fraunhofer IOSB, iar acum cursurile noastre de securitate cibernetică sunt disponibile în portofoliul lor și ne oferă o înțelegere și mai profundă a specificului industriei.
În sfârșit, nu uitați de măsurile tehnice de bază. Antivirusurile, mijloacele de organizare a accesului la distanță, segmentarea rețelei sunt foarte eficiente în protecție.
Cât de energetic și financiar sunt costurile gestionării riscurilor cibernetice în industrie?
Dificultățile de proiectare sunt într-adevăr o problemă. Imaginați-vă o rețea industrială construită în urmă cu opt ani care este conectată la o rețea corporativă pentru acces la distanță sau transfer de date. Potențial, puteți pătrunde în el, puteți ajunge la nivelul controlerelor logice programabile, puteți schimba logica controlului procesului și le puteți dezactiva. Dar adesea rețelele industriale de la nivelul inferior sunt construite pe echipamente de rețea negestionate, din care este imposibil să se organizeze oglindirea traficului pentru a conecta un sistem de detectare a intruziunilor. Drept urmare, este posibil să pătrundem într-o astfel de rețea, dar este foarte dificil să detectezi astfel de atacuri.
În multe cazuri, întreaga rețea trebuie reproiectată pentru a implementa toate protecțiile. Dar lumea industrială are propriile reguli: „funcționează – nu e nevoie să urce”.
Are propriul ciclu de modernizare și rețeaua poate fi construită după reguli noi, protejate în 5-10, sau chiar 15 ani. Este extrem de dificil să protejați vechea infrastructură cu mijloace moderne: pentru a livra un instrument de detectare a intruziunilor pentru 50 de mii de dolari, trebuie să faceți un proiect de modernizare a rețelei pentru încă 500 de mii de dolari.
A doua dificultate este personalul calificat. Nu există atât de mulți specialiști în securitatea informațiilor ICS în lume și cu atât mai mult în regiunile rusești, unde se află în principal întreprinderile industriale. Sisteme moderne securitatea cibernetică este destul de dificil de utilizat și necesită o înțelegere a modului în care vor evolua amenințările.
Desigur, există și probleme financiare. Primele proiecte de protejare a unui număr mare de infrastructuri deja construite sunt costisitoare: servicii, inspecție, proiectare, implementare, personal nou... Există multe companii cu capital de stat în Rusia care nu își pot ridica ușor prețurile serviciilor și bunurilor. De exemplu, în sectorul energetic, suprainvestiția în securitate cibernetică ne poate afecta în cele din urmă facturile de energie electrică.
Dar sunt sigur că vom depăși acest lucru și vom trece la un nou nivel de securitate. Principalul lucru este să mențineți în mod constant nivelul adecvat de securitate cibernetică pe măsură ce sistemele dumneavoastră se dezvoltă.
În Europa, numărul computerelor care suferă încercări accidentale de infectare este mult mai mic decât în Rusia. În țările dezvoltate, companiile folosesc un model de servicii pentru deservirea infrastructurilor industriale: un furnizor sau un integrator de sisteme de automatizare întreține în mod constant aceste sisteme, pas cu pas, inclusiv prin introducerea de măsuri de securitate cibernetică. Astfel, companiile occidentale au o infrastructură mai sigură, fără costuri de șoc, răspândindu-le pe mai mulți ani. În țara noastră, companiile însele sunt responsabile de infrastructura lor industrială și funcționează după principiul „dacă sistemul funcționează, nu este nevoie să-l modernizeze”. Deci, restanța se acumulează și este destul de „dureros” să-l eliminați.
De regulă, soluțiile gata făcute sunt potrivite pentru clienți sau au nevoie de proiecte individuale din cauza parametrilor non-standard?
Clienții au nevoie de proiecte individuale care conțin „cuburi” de soluții gata făcute... Lucrările de integrare, inspecția și proiectarea sistemului de protecție sunt foarte importante, dar nu are rost să reproiectăm protecția industrială pentru fiecare sistem.
Acum industria se unifică: protocoale standardizate de transfer de date, aceleași sisteme de operare... Da, uneori se întâlnesc rețele industriale foarte neobișnuite, dar, de regulă, se dovedește că acestea vor fi modernizate în următorii ani.
Dacă trebuie să protejați o infrastructură unică, atunci după o analiză cuprinzătoare, devine clar că va fi mai ieftin și mai corect să faceți acest lucru în doi ani, împreună cu modernizarea acesteia, și înainte de aceasta să luați orice măsuri compensatorii.
Puțini dintre lideri își dau seama că angajatul este „punctul de intrare” în compania sa. Cum putem duce securitatea cibernetică în afaceri la următorul nivel, astfel încât angajații să nu o considere o restricție a libertății?
Una dintre problemele cheie de securitate a informațiilor de afaceri este lipsa de conștientizare a riscurilor în rândul angajaților. Cum poate fi mărită în moduri simple?
Împărtășește cunoștințele cheie pe acest subiect, șeful departamentului regional de vânzări corporative " Kaspersky Labs»:
Oamenii care nu știu prea multe despre amenințări trebuie să stăpânească elementele de bază ale securității cibernetice pentru a se simți în siguranță. La urma urmei, ar trebui să înțelegeți ce litere nu trebuie deschise, pe ce linkuri nu trebuie să faceți clic, pe ce programe nu trebuie descărcate.
În același timp, puțini dintre lideri își dau seama că angajatul este „punctul de intrare” în companie: mai ales dacă are acces la documente și baze de date de clienți. Omul este întotdeauna veriga cea mai slabă.
Formarea tradițională în domeniul securității cibernetice arată astfel: o persoană ascultă un training care durează de la una până la trei zile, semnează un document privind studiile finalizate și merge la muncă. În cel mai bun caz, 10% din cunoștințele acumulate îmi sunt depuse în cap dacă nu sunt aplicate și exersate.
Aceasta nu este abordarea corectă. Fiecare angajat trebuie să cunoască și să aplice regulile de securitate cibernetică. Abordarea noastră presupune învățarea online, deoarece astăzi cel mai simplu mod de a învăța este online. A dezvoltat un curs online care poate fi descărcat gratuit dacă aveți mai puțin de cinci angajați și licențiat dacă aveți mai mulți. Vă puteți urmări progresul într-un singur centru de control.
Cursul conține în total 32 de module. În modulul „Poștă”, angajatul vede un exemplu de scrisoare, care conține informații despre potențiale amenințări și măsuri de securitate cibernetică (de exemplu, nu puteți furniza un cod PIN și CVV, chiar dacă banca le solicită). După ce o persoană citește scrisoarea, i se oferă să susțină un test într-un mod jucăuș. Dacă angajatul alege răspunsul corect, atunci este încurajat, iar dacă este greșit, atunci ei explică ce și de ce a greșit.
Astfel de sarcini practice necesită 15 minute pe săptămână și cu greu distrage atenția angajatului de la principalele sale sarcini.
După ce angajatul finalizează modulul de formare, punct de control vine un mesaj și este programată o verificare în câteva săptămâni. Dacă o persoană nu face clic pe linkuri rău intenționate sau nu descarcă programe îndoielnice, atunci și-a învățat lecția.
Dacă angajatul face aceleași greșeli, atunci se trimite un semnal către centrul de control că angajatul trebuie să repete lecția și să facă din nou testul. Un astfel de antrenament are loc pe tot parcursul anului, este foarte accesibil și convenabil.
Care este proporția personalului care trebuie să învețe elementele de bază și care este proporția celor care stăpânesc cu succes materialul prima dată în procesul de învățare?
Conform statisticilor noastre, 85% dintre angajați învață totul de prima dată. Cred că acest program va fi util tuturor. Dezvoltarea a fost testată pe angajații Kaspersky Lab. Nu am promovat niciodată vreun modul 100% corect, deși lucrez pe piața securității informațiilor de 12 ani. Unele întrebări par doar accesibile și simple.
Deschiderea de linkuri suspecte - cel mai simplu exemplu... Nu este un secret pentru nimeni că toată lumea folosește rețelele sociale în timpul programului de lucru. Imaginați-vă că o persoană primește un link către un videoclip interesant de la un prieten: 99% dintre oameni îl vor deschide pe computerul de serviciu și deloc în modul sigur. Nimeni nu știe ce va fi descărcat în paralel cu videoclipul.
Aproximativ 30% dintre întreprinderile mici externalizează problemele de securitate cibernetică către nespecialiști. Ce instrumente ar trebui să utilizați pentru a vă crește securitatea?
E deja bine dacă o astfel de companie și-a cumpărat un antivirus legal. Până acum, nu toată lumea folosește nici măcar asta. Iar întreprinderile mici au nevoie de cel puțin un administrator de sistem cu normă întreagă care să asigure funcționarea tuturor computerelor și să le protejeze de viruși și posibile atacuri.
Antivirusul este adesea privit ca un panaceu: din moment ce este acolo, atunci chiar nu te poți gândi la securitate, spun ei, va face totul de la sine.
Din păcate, nu este așa. Antivirusul poate fi comparat cu o ușă de fier antiglonț. Există chei pentru el și dacă le-ați pierdut sau le-ați dat cuiva, atunci protecția nu va funcționa. Pentru companiile care sunt cu adevărat preocupate de siguranța informațiilor lor, există soluții de nivel superior - pentru a proteja împotriva atacurilor direcționate. Când un atacator dorește în mod deliberat să deschidă protecția, de obicei nu folosește metode zgomotoase, ci lucrează foarte liniștit: ajunge în secret la locul de unde poate obține informațiile necesare. Nu este profitabil pentru el să fie descoperit până nu și-a atins scopul. O situație foarte similară se observă în spațiul cibernetic. În companiile mari, atacatorii pot aștepta luni de zile.
Există mai des atacuri intenționate sau neintenționate?
Presupunem că atacurile de înaltă calitate reprezintă 1% din toate amenințările. Dar ele sunt foarte semnificative: de exemplu, virusul ExPetr a fost vizat de anumite companii și a agățat simultan mii de alte companii. Lumea este saturată de tehnologii informaționale, iar oamenii din diferite structuri comunică și interacționează între ei.
Ce alte măsuri pot fi eficiente atunci când se confruntă cu interferențe intenționate? Este întotdeauna realist să detectăm acest proces sau se întâmplă să învețe despre el luni și ani mai târziu?
Procesul este realizabil dacă o faci. Există servicii speciale pentru verificarea rețelei corporative. În medie, un atac de înaltă calificare durează șase luni: mai întâi, atacatorul se infiltrează în companie, se uită în jur, iar câteva luni mai târziu, de exemplu, criptează toate computerele și retrage simultan bani din conturi.
Pentru a se proteja împotriva atacurilor țintite, specialiștii noștri, dacă dorește clientul, vizualizează traficul online, raportează activități suspecte și întreabă ce să facă cu ele: poți bloca acțiunile atacatorului sau poți crea o imitație a infrastructurii din interiorul sistemului. pentru a afla intențiile atacatorului. În paralel, experții investighează și caută sursa atacului.
Sunt companiile mici sau mari mai probabil să vizeze astfel de atacuri?
Ambele se întâmplă. Dar pentru a ataca o companie mare, trebuie să atragi profesioniști, a căror muncă este costisitoare. Iar afacerile mari au un întreg sistem de securitate cibernetică. Pentru întreprinderile mici, limita de protecție este adesea antivirus. Uneori, pentru a ajunge la o organizație mare, atacatorii își atacă furnizorii.
Adesea, atacurile, nu neapărat cele mai importante, vin de la foști angajați resentimente sau eventual de la antreprenori. Probabil chiar și neintenționat.
Dacă compania a construit un sistem de securitate, astfel de incidente pot fi minimizate. Dar, în practică, există exemple în care administratorul de sistem demis nu a fost blocat. De exemplu, într-un centru logistic mare fost angajat au blocat toate imprimantele: aproape o zi în centru nu au putut trimite și primi mărfuri, deoarece nu au putut tipări un singur document.
În măsurile de securitate, este necesar să se prescrie ca atunci când un angajat este concediat, accesul acestuia la sistem să fie blocat, parolele sistemelor importante să fie schimbate.
Există cazuri unice: pe unul întreprindere financiară parola trebuia schimbată o dată pe lună. Pentru angajații obișnuiți, acesta este un gest inutil, iar 95% dintre oameni au introdus o parolă conform schemei „lună și an”. Acest lucru a permis fost angajat profita de lacună și pătrunde în rețeaua internă a companiei.
Apropo, unul dintre modulele cursului online al Kaspersky Lab este să nu setați parole precum „12345”, așa cum încă mai fac mulți oameni.
Este necesar să ne amintim elementele de bază ale securității cibernetice: nu utilizați rețelele sociale de pe un computer de serviciu dacă nu sunt necesare pentru muncă. Schimbarea parolelor, poate, restricționează accesul la internet pentru acei angajați care nu au nevoie direct de el. Interziceți utilizarea unităților flash și a altor dispozitive amovibile.
Dar de obicei angajati de birou percep toate aceste măsuri ca o restrângere a libertăţii personale. Pe de o parte, aceste măsuri sunt corecte, pe de altă parte, tehnologiile informaționale se dezvoltă atât de rapid încât nu vom putea niciodată să controlăm totul complet. Nu puteți închide întreaga întreprindere sub o cutie - atunci nimic nu va funcționa. Chiar și în întreprinderile de apărare, unde există rețele închise și nu poți folosi Wi-Fi, Bluetooth și unități flash, există oameni care monitorizează sistemul și respectarea tuturor parametrilor. Se plictisesc să stea 12 ore și reușesc să joace un film sau să navigheze pe internet.
O persoană va găsi întotdeauna cum să ocolească restricțiile, așa că cea mai bună opțiune este să îmbunătățească alfabetizarea computerului.
Afacerile sunt supuse unor atacuri cibernetice constante din partea infractorilor cibernetici care vizează golirea conturilor companiei sau furtul datelor clienților. Companiile, în special cele mici, economisesc adesea pe securitatea informațiilor (IS), iar jumătate dintre directorii de securitate a informațiilor sunt siguri că pierderile financiare vor fi prețul de plătit pentru acest lucru.
Cum pot fi prevenite atacurile și la ce să aveți grijă pentru a vă proteja afacerea? Spune șefului departamentului de vânzări pentru întreprinderile mici și mijlocii al Kaspersky Lab.
Adesea, liderii securității cibernetice înțeleg inevitabilitatea amenințărilor, dar se confruntă cu o lipsă de bugete. Cât de mare este problema și cum pot face față afacerile?
Din păcate, securitatea cibernetică în Rusia este într-adevăr subfinanțată.
Acest lucru se datorează probabil faptului că mulți lideri și proprietari de afaceri subestimează amploarea pierderilor la care pot duce incidentele cibernetice.
Este important să evaluăm cu atenție ce pierderi va suferi compania dacă compania este inactivă timp de câteva zile - dacă site-ul sau toate computerele corporative nu mai funcționează. Desigur, pentru un vânzător de flori care face contabilitatea într-un caiet, o blocare a computerului de două zile nu va fi o problemă serioasă. Dar accesul la date este esențial pentru o agenție de turism, o companie de asigurări, un comerciant cu amănuntul care face contabilitatea electronic, livrează mărfuri pe credit, înregistrează plățile și datoriile viitoare. Toate acestea sunt cazuri reale din practica noastră.
Volumul plăților viitoare și al fondurilor care nu au ajuns încă în conturile companiei poate fi de 20-30% din cifra de afaceri anuală.
Când un antreprenor își dă seama cât de mult poate pierde, el reprezintă aproximativ cât de mult este gata să investească în buna funcționare, păstrând proprietatea intelectuală a companiei și reputația acesteia - adică asigurarea securității cibernetice și IT. Pe de o parte, acestea sunt calcule puțin efemere - cum să estimăm valoarea unei reputații? Pe de altă parte, sunt destul de evidente. De exemplu, dacă o companie aeriană nu poate vinde bilete online, clienții nu vor aștepta mult și vor cumpăra doar bilete de la un alt transportator.
Pierderea datelor va duce la dificultăți, cel puțin cu acces la 20-30% din cifra de afaceri anuală a companiei
De obicei, bugetul pentru securitatea cibernetică și securitatea informațiilor reprezintă 10-15% din bugetul total IT. Costul dispozitivelor mobile, computerelor, cartușelor, internetului este în medie de 30-50 de mii de ruble. pe angajat pe an. Și protecție de înaltă calitate a unui loc de muncă în întreprinderile mici și mijlocii - de la 1.000 la 3.500 de ruble.
Prin urmare, economisirea în securitatea IT înseamnă economisirea potrivirilor. Cheltuielile de birou pentru cafea, hârtie igienică și articole de papetărie pot fi mai mari.
Este important să înțelegeți că protejarea informațiilor dumneavoastră este un cost critic care nu trebuie neglijat.
Întreprinderile mici și mijlocii sunt acum sub controlul infractorilor cibernetici - în unele cazuri, atacurile cibernetice au dus chiar la falimentul întreprinderilor.
Infractorii cibernetici caută modalități de a se infiltra în organizație. Cel mai adesea, scrisorile sunt trimise către departamentul de contabilitate pentru aceasta, iar apoi către departamentele juridice, de personal și de marketing.
E-mailurile pot conține programe malware sau pot oferi acces la o pagină de phishing. După ce au fost infectați, atacatorii încep să colecteze diverse date: urmăresc apăsările de pe tastatură, mișcările mouse-ului, studiază corespondența, contactele și pozițiile expeditorilor de scrisori etc.
După examinarea proceselor din companie, atacatorii pot compune o scrisoare de phishing vizată, care vizează un anumit angajat.
De exemplu, scrieți unui angajat al departamentului de personal cu o solicitare de a lua în considerare un CV, atașând un fișier în format Word.
Angajații companiilor folosesc astfel de documente în fiecare zi, dar ele pot conține un script executabil care va lansa un virus și va începe să cripteze datele din cadrul companiei - în toate locațiile în care acest angajat are acces. Antivirusurile convenționale care funcționează numai cu metoda semnăturii nu pot urmări astfel de ransomware.
Criptografii sunt flagelul timpului actual. Activitatea acestora crește în trimestrul IV al anului, când au loc cele mai active vânzări, și de la sfârșitul lunii martie până în iunie, când companiile depun declarații fiscale pentru perioada trecută. Ce amenințări din partea autorităților competente pot exista dacă nu depuneți declarația fiscală la timp?
Acum imaginați-vă că toate datele de pe servere au fost criptate și pur și simplu nu există acces la programele de contabilitate și contabilitate.
Compania este obligată să plătească infractorii cibernetici sau să informeze autoritățile fiscale că nu poate depune sesizări. Prin urmare, valoarea răscumpărării crește în perioadele de vârf.
Există statistici despre care parte dintre companiile atacate acceptă să plătească și care parte încearcă să decripteze datele și să lupte împotriva intrușilor?
Este imposibil să recuperați datele fără o cheie de criptare după un atac al unui ransomware modern. În timp ce anterior exista o cheie universală pentru toate computerele afectate, malware-ul modern creează chei pentru fiecare computer în parte.
Protecția împotriva ransomware-ului va fi utilizarea nu a unor antivirusuri obișnuite, ci a unui sistem de securitate cibernetică cu mai multe straturi. Ar trebui să includă monitorizarea activității programelor, utilizatorilor, analiza comportamentală euristică, capacitatea de a preveni 100% lansarea ransomware-ului.
Dacă verificați mesajele primite pe serverele de e-mail, atașamentele cu fișiere rău intenționate nici măcar nu vor ajunge la computerul angajatului
A doua linie de apărare este la locul de muncă al angajatului: Controlul lansării aplicației verifică toate fișierele utilizate. A treia barieră este controlul web: administratorul de rețea creează liste „albe” de site-uri, unde sunt enumerate resursele permise, iar toate celelalte sunt considerate interzise.
O atenție maximă în problemele de securitate cibernetică ar trebui acordată protecției stațiilor de lucru ale contabilului, avocatului, CFO și CEO - persoanele care au acces la banii companiei. Cel mai adesea, aceștia sunt susceptibili la atacuri direcționate ale infractorilor cibernetici.
Următorul nivel de protecție împotriva ransomware-ului este anti-criptor sau monitorizarea sistemului. Anti-criptorul monitorizează comportamentul utilizatorului: dacă acesta începe brusc să cripteze datele, ceea ce nu a mai făcut niciodată, atunci activitatea suspectă va fi suspendată, iar computerul va fi oprit de restul rețelei. O parte din date va fi pusă într-o copie de rezervă pentru recuperare ulterioară. În acest fel, împiedicăm dezvoltarea atacurilor ransomware asupra clienților noștri.
- Unul dintre cele mai senzaționale programe malware -Buhtrap. Cum poți să te descurci cu asta?
Buhtrap este un program rău intenționat care vă permite să obțineți acces la servicii bancare electronice și abilitatea de a efectua tranzacții financiare într-o companie.
Încercările intrușilor de a găsi oameni care să poată efectua astfel de operațiuni devin din ce în ce mai sofisticate. Sunt infectate site-uri ale mass-media specializate, care sunt cel mai des vizitate de contabili și directori financiari, site-uri vizitate de directorii companiei, proprietarii de afaceri.
În unele cazuri, hackerii chiar creează site-uri cu conținut interesant pentru a atrage utilizatori mai specializați.
- Care sunt consecințele unei infecții cu Buhtrap?
Numai anul trecut prejudiciul adus companiilor ruse din astfel de programe rău intenționate este estimat la zeci de milioane de dolari. Puteți face față cu Buhtrap, dar trebuie să luptați nu cu consecințele atacului, ci cu sursa sa originală.
Soluțiile calificate, precum cele ale Kaspersky Lab, pot detecta resursele de știri rău intenționate prin care Buhtrap ajunge la stațiile de lucru și le pot bloca complet împreună cu malware-ul.
Uneori, securitatea cibernetică în companiile mici și mijlocii este gestionată de nespecialiști. Cum poate un lider de afaceri să realizeze importanța acestei sarcini și să o predea mâinilor potrivite?
Soluțiile specializate pentru întreprinderile mici și mijlocii, de exemplu, Kaspersky Small Office Security, vă permit să protejați companiile cu mai puțin de 25 de stații de lucru. Acest produs include protecția tranzacțiilor financiare, managerul de parole, protecția dispozitivelor mobile, serverelor și stațiilor de lucru. Programul folosește tehnologii care au fost dezvoltate inclusiv pentru protecție companii mari.
Segmentul mai mare va fi interesat de soluția Kaspersky Security Cloud. Este potrivit pentru companii cu până la 250 de angajați.
În același timp, puteți gestiona protecția nu numai de la locul de muncă, ci și de oriunde din lume unde există acces la Internet.
Adică un angajat poate pleca în vacanță în Bali și de acolo monitorizează securitatea cibernetică a companiei. Consola este intuitivă și adaptată pentru nespecialiști - chiar și contabilul șef sau liderul de afaceri își poate da seama de setări.
- Poate o afacere să se bazeze pe soluții gratuite pentru a se proteja împotriva amenințărilor financiare?
La fel ca soluțiile pentru acasă, acestea nu sunt potrivite pentru utilizatorii corporativi, deoarece nu sunt concepute pentru a proteja organizațiile. Iar atacatorii își îmbunătățesc metodele de lucru. Majoritatea versiunilor gratuite includ doar protecție de bază împotriva programelor malware, nu pot asigura securitatea tranzacțiilor financiare online, nu blochează link-urile frauduloase, nu ajută la controlul utilizării resurselor și programelor etc.
Vă puteți proteja datele de ransomware? Joc interactiv
Cum pot întreprinderile mici să se protejeze de atacurile rău intenționate și să prevină răspândirea „malware” înainte ca acesta să devină o problemă?
Suntem prea mici pentru a fi o țintă”, cred mulți directori de afaceri mici. Potrivit statisticilor de la Kaspersky Lab, 58% dintre victimele infractorilor cibernetici sunt întreprinderi mici, iar prejudiciul mediu dintr-un atac de succes pentru companiile din segmentul IMM-urilor este de 4,3 milioane de ruble.
Cum își pot proteja întreprinderile mici și mijlocii angajații de atacuri rău intenționate? Ce remedii ar trebui să folosești? Manager senior de marketing de produse la Kaspersky Lab.
Când înțelege conducerea întreprinderii că este necesar să se ia măsuri de protecție?
În cele mai multe cazuri, după primul incident. Din păcate, în întreprinderile mici, prioritatea securității IT devine foarte mare numai după ce compania este atacată pentru prima dată de un virus ransomware. Proprietarul afacerii va pune deoparte costurile suplimentare la maximum dacă nu este un utilizator avansat.
Costul unei greșeli este foarte mare. O organizație mare își poate realoca infrastructura și poate merge mai departe. Dar dacă într-o afacere mică întreaga rețea cade dintr-un atac de malware, pur și simplu încetează să ofere servicii - activitatea companiei se oprește complet. Iar concurența este foarte mare: conform statisticilor, jumătate dintre întreprinderile mici care au devenit victime ale atacului ies din piață în șase luni, pentru că nu și-au putut reface resursele la timp.
În practica mea, a fost un caz foarte dificil. Infractorii cibernetici au știut despre încălcarea securității cibernetice a întreprinderii, au acutizat „malware-ul” pentru furtul datelor organizației și au luat treptat clienți de la aceasta. Cel mai probabil, au acționat „pe bacșiș”. Dar compania avea niște oameni avansați care au fost capabili să recunoască un atac țintit și să salveze compania - acest lucru este extrem de rar.
În cele mai multe cazuri, atacurile sunt masive, iar angajații sunt întotdeauna veriga slabă. Ei caută informații de pe computerele de serviciu, descarcă programul de care au nevoie pentru muncă și pot greși. Dacă nu există niciun specialist care să monitorizeze acest lucru, atunci nimeni nu controlează situația din companie.
Protecția minimă pentru întreprinderile mici ajută la evitarea consecințelor negative ale unor astfel de greșeli. Imaginează-ți că te confrunți cu un atac de tip phishing. Dacă aveți 50-100 de oameni în organizația dvs., nu contează câți dintre ei au făcut clic pe link - chiar și un singur clic este suficient pentru a infecta rețeaua. Soluțiile pentru afaceri mici sunt concepute pentru a preveni răspândirea malware-ului chiar înainte ca acesta să devină o problemă.
De obicei, marile companii antrenează angajații să identifice fișierele și linkurile de la infractorii cibernetici în e-mail. Companiile mici își protejează angajații de astfel de amenințări?
Întreprinderile mici cheltuiesc mult timp și efort în activitatea lor de bază. Activele fixe sunt întotdeauna investite în acele domenii care pot crește potențial veniturile companiei. Au rămas resurse minime pentru susținerea proceselor, prin urmare finanțarea securității IT și IT nu este o prioritate, iar ușurința în utilizare și operarea automată sunt importante atunci când alegeți aceste servicii. Adică, deciziile ar trebui să necesite o atenție minimă.
În plus, în afacerile mici, problemele de personal sunt întotdeauna acute. O firmă mică are adesea un administrator de sistem în vizită, mai degrabă decât un angajat cu normă întreagă. În companiile puțin mai mari, un specialist poate fi responsabil atât pentru IT, cât și pentru securitatea informațiilor.
Liderii întreprinderilor mici și mijlocii se concentrează pe securitatea IT pe baza experienței lor neplăcute în acest domeniu. Dacă în general reprezintă un spectru de amenințări, s-au mai întâlnit cu astfel de incidente sau își dau seama că trebuie să protejeze compania după atacuri cibernetice masive, atunci vor căuta protecție care funcționează în mod automat.
Kaspersky Lab oferă tocmai astfel de soluții - Kaspersky Endpoint Security for Business. Numim aceste produse „Instalare și uitare”, ceea ce înseamnă instalarea și uitarea. Acestea vor oferi protecție automată maximă - întreprinderile mici nu au adesea angajați speciali în personal pentru configurarea programului.
Protecția împotriva e-mailurilor de tip phishing ar trebui, de asemenea, să fie automată, astfel încât astfel de e-mailuri, în principiu, să nu ajungă la utilizatori.
Sunt mai probabil angajații din companiile mici să primească astfel de scrisori decât din întreprinderile mari?
Există o concepție greșită periculoasă în rândul liderilor de afaceri mici că ei nu sunt ținta infractorilor cibernetici și nici o idee pentru aceștia. Dar, conform statisticilor, firmele mici și mijlocii sunt victime ale grupurilor infracționale organizate în 50% din cazuri. În cazul atacurilor globale ale fanilor, cum ar fi WannaCry, toată lumea înțelege: corporații, firme mici și utilizatori privați.
Atacurile direcționate sunt mai relevante pentru întreprinderile mari, atunci când atacatorii înțeleg dimensiunea potențialei lor „pradă”. Dar în memoria mea au existat cazuri când astfel de atacuri au fost efectuate asupra magazinelor online și a companiilor en-gros mijlocii.
Șansa unui atac crește dacă atacatorii află cumva că compania nu este implicată în informații și securitate cibernetică - în întreprinderile mici, ei speră adesea în acest lucru.
Acești antreprenori lasă securitatea IT la cheremul angajaților care sosesc sau a unui singur angajat sau este în creștere rolul protecției automate?
În microbusiness, IT-ul este adesea cea mai avansată persoană, a cărei funcție principală este diferită - uneori chiar și în logistică și vânzări. Dar dacă se dovedește că o persoană este versată în sistemele informaționale, atunci își asumă, printre altele, protecția computerelor și securitatea cibernetică. Minimul pe care trebuie să-l facă este să instaleze un software antivirus. Și are nevoie de soluții de afaceri, nu de protecție a locuinței.
Ele pun soluții pe care omul obișnuit nu le înțelege. Un nivel IT avansat este suficient pentru ca el să stabilească această protecție.
Într-o companie mai mare, unde există un incoming sau chiar propriul administrator, există și o cerință de control. Adică, întreprinderea realizează că trebuie să implementeze politici minime de securitate pentru a înțelege ce se întâmplă, pentru a reduce gama de riscuri și amenințări. Suntem pregătiți să oferim soluții din ce în ce mai avansate pe măsură ce compania se maturizează.
Este mai profitabil să folosești protecția cloud decât serviciile unui specialist obișnuit?
Un specialist IT mai are nevoie de instrumente: această soluție nu îl înlocuiește, ci devine un mijloc prin care va proteja organizația. Kaspersky Small Office este o soluție do it yourself. Cu el, organizația va putea să se protejeze de amenințările actuale și să nu recurgă încă la ajutorul unui profesionist.
Care este diferența cheie dintre Endpoint Security Cloud și care sunt beneficiile unei soluții cloud?
Protecția non-cloud este instalată pe server - aceasta necesită un specialist cu profil îngust. Trebuie să fii o persoană competentă din punct de vedere tehnic pentru a implementa o soluție Endpoint pe un server, a instala agenți, a conecta toate acestea, a configura o politică de securitate și așa mai departe. Soluția cloud vă permite să obțineți protecție rapidă: nu trebuie să cumpărați un server și să îl întrețineți - adică nu există costuri pentru întreținerea hardware-ului. Economisiți timp și bani personalului.
Soluția cloud este descărcată și instalată în câteva minute, întreaga sarcină nu durează mai mult de o oră. Principalul avantaj al acestei metode este viteza: protecția are efect în câteva minute.
Soluțiile noastre pentru întreprinderile mici sunt simplificate pe cât posibil din punct de vedere al managementului. Small Office Security nu necesită deloc să vă conectați la consola web. În Kaspersky Endpoint Security Cloud, consola este mult simplificată: toate setările sunt aplicate automat dispozitivelor noi conectate la protecție. Deși, dacă dorește, administratorul poate adăuga ceva manual. Mai mult, ambele soluții sunt bazate pe cloud și nu necesită hardware sau server.
De regulă, la aceste soluții apelează organizațiile mai avansate, sau nu neapărat?
Gradul de maturitate al organizației, al managerului și al specialistului IT, dacă este cazul, este important aici. În general, nivelul de competență IT în Rusia este destul de ridicat. O organizație în ansamblu se poate strădui pentru o infrastructură modernă: unele companii abandonează propriul hardware pentru a fi mai flexibile și mai dinamice.
Soluțiile cloud sunt foarte ușor de scalat. Dacă deschideți un nou punct de vânzare sau un nou birou, îl puteți proteja folosind Kaspersky Endpoint Security Cloud în câteva minute. Viteza cu care afacerea dvs. crește și crește nu este legată de propria infrastructură. Birourile pot fi împrăștiate în toată țara, iar tu faci totul de la distanță, deoarece toate soluțiile sunt în cloud. Companiile care sunt orientate spre creștere și înțeleg problemele implicate de scalare aleg inițial cloud-ul, deoarece soluțiile tradiționale nu le vor permite să se schimbe atât de repede.
Ce altă tendință importantă vezi în zona securității întreprinderilor mici?
O altă tendință este munca pe dispozitive mobile. Organizațiile mari au programe de mobilitate corporativă: cumpără dispozitive la nivel central, instalează instrumente de colaborare, instrumente de securitate și așa mai departe. Toate acestea sunt controlate de „bezopasnik” și, în principiu, este imposibil să se conecteze la infrastructura companiei.
Și într-o afacere mică, nimeni nu înțelege dacă acesta este un dispozitiv personal sau nu. O persoană alege cel mai convenabil gadget pentru a-și face față muncii mai rapid și mai eficient. Suntem pregătiți să sprijinim astfel de întreprinderi și să oferim protecție și pentru dispozitivele mobile. Dacă compania nu folosește încă protecția cloud, poate fi conectată mai târziu. Nu contează unde se află persoana - toată protecția poate fi instalată de la distanță.
„Dispozitivul mobil devine un instrument de supraveghere, iar această supraveghere este în esență legală de către companie”. Cum smartphone-urile și laptopurile personale ale angajaților creează o breșă de securitate în afaceri?
Companiile mici nu își pot permite întotdeauna să achiziționeze toate gadgeturile necesare pentru angajații lor, de exemplu, smartphone-uri și laptopuri de serviciu. În același timp, se încurajează utilizarea dispozitivelor personale în scop de muncă, astfel încât angajatul să poată fi mereu în contact.
Așa a apărut un trend numit BYOD (bring your own device), care se răspândește din ce în ce mai mult în întreprinderile mijlocii și mici.
„Datorită BYOD, compania economisește foarte mult bani la achiziționarea și întreținerea hardware-ului, elimină riscul de pierdere și deteriorare a dispozitivelor mobile. Și aceștia sunt bani importanți ", - comentează Victor Cebyshev , expert antivirus " Kaspersky Labs».
Cu toate acestea, conceptul BYOD este în sine controversat. Accesul dispozitivului personal al unui angajat în perimetrul intern al companiei este convenabil pentru angajatul însuși, dar creează riscuri de scurgere de date și acces necontrolat la informații.
În acest caz, abordarea BYOD este un factor de complicare și poate deveni „punctul de intrare” în companie pentru infractorii cibernetici. Prin urmare, organizația trebuie să configureze accesul și să controleze intrarea în așa fel încât să nu fie întotdeauna convenabil pentru utilizator.
Pentru a atenua riscurile unei abordări BYOD, există multe măsuri de protecție a datelor care trebuie luate. Gadgeturile personale ale personalului sunt de obicei mai puțin protejate decât cele corporative și mai susceptibile la amenințări și pierderi cibernetice. Potrivit unui studiu realizat de Kaspersky Lab, 35% dintre companiile IMM-uri (cu un personal de la 1 la 249 de angajați) s-au confruntat cu faptul că gadgeturile angajaților, pe care le foloseau, inclusiv în scopuri profesionale, erau infectate cu malware. Angajații a 28% din organizații au pierdut dispozitive personale și media cu informații corporative: smartphone-uri, laptopuri, hard disk-uri externe, unități flash. Și prejudiciul mediu de la un atac de succes asupra unei companii din segmentul întreprinderilor mici și mijlocii a fost estimat la 4,3 milioane de ruble.
Dispozitivele personale ale angajaților din afaceri: care este pericolul?
Severitatea amenințărilor depinde de modul în care departamentul IT al unei companii monitorizează securitatea dispozitivelor mobile ale lucrătorilor. Aici pot fi folosite mai multe soluții:
1.Profiluri MDM. Mobile Device Management (gestionarea dispozitivelor mobile) este un set de servicii și tehnologii care asigură controlul și protecția gadgeturilor companiei și ale angajaților săi. O parte a MDM este instalată pe gadgetul angajatului, în timp ce cealaltă este un „centru de control” pentru gestionarea dispozitivelor de la distanță.
2. Politici de limitare. Nu toți angajații au nevoie de acces la anumite resurse. De exemplu, de ce ar merge un contabil pe rețelele sociale de pe dispozitivele de lucru? Acest lucru poate fi periculos dacă gadgetul conține documente confidențiale și un angajat face clic accidental pe un link de internet rău intenționat. Prin urmare, ajustarea flexibilă a drepturilor de acces la rețelele sociale sau la alte programe sau resurse este o decizie foarte importantă și necesară.
3. Antivirusuri cu control centralizat care protejează împotriva programelor malware. Aceste soluții vă vor permite să opriți imediat dispozitivul infectat din infrastructura companiei și să efectuați o investigație a incidentului.
Dacă niciuna dintre aceste metode nu este practicată, atunci compania se confruntă cu riscuri semnificative de securitate cibernetică, avertizează Viktor Chebyshev. Potrivit acestuia, atunci când un dispozitiv mobil este infectat, sunt posibile mai multe scenarii:
1. Malware-ul colectează toate datele de pe un dispozitiv mobil - de fapt, spionează. În acest caz, puteți intercepta fișiere importante din memoria dispozitivului, puteți înregistra conversații folosind microfonul încorporat, puteți face fotografii cu camerele foto și așa mai departe. Dispozitivul mobil devine un instrument de supraveghere, iar această supraveghere este în esență legală de către companie.
2. Malware-ul stabilește un așa-numit tunel. Telefonul mobil are două interfețe de rețea - WIFI și 3G / 4G / LTE. Un atacator din orice lume poate obține acces la infrastructura internă a companiei prin intermediul acestor interfețe de rețea, deoarece telefonul mobil este în mod constant în rețea, iar rețelele WIFI interne ale companiei sunt disponibile BYOD. Consecințele unei astfel de infecții pot fi arbitrar triste.
Controlul datelor de pe laptopuri este o conversație separată. Informațiile neprotejate de pe un computer personal care pot fi pierdute la aeroport sau uitate într-o cafenea sunt un coșmar IT obișnuit.
Pentru a evita această amenințare, o serie de companii permit angajaților să lucreze doar pe computere de birou cu capacități de transfer de date extrem de limitate și porturi USB dezactivate pentru unitățile flash. Dar această abordare nu va funcționa într-o companie axată pe BYOD, avertizează Viktor Cebyshev. Protecția implică restricții la care nu pot merge toți utilizatorii.
Cum pot antreprenorii să securizeze informațiile corporative despre gadgeturile personale?
Există mai multe tehnici de bază de protecție a datelor care ar trebui aplicate în conceptul BYOD. „Nu ar trebui să le neglijezi: prețul neglijenței poate fi incomparabil cu prețul chiar și al unui set complet de protecție”, spune Viktor Cebyshev.
În niciun caz nu trebuie să neglijați protecția gadgeturilor mobile (pe lângă principalele dispozitive de lucru - computere). Protejați-vă computerele, serverele de fișiere, tabletele și smartphone-urile de atacuri pe internet, fraude financiare online, ransomware și pierderi de date cu o protecție completă. O astfel de protecție este asigurată, de exemplu, de program Kaspersky Small Office Security special conceput pentru companiile mici cu până la 25 de angajați, sau Kaspersky Endpoint Security Cloud care ajută la protejarea întreprinderilor mici fără a pune o presiune suplimentară asupra resurselor IT, timpului și finanțelor.
Activați modulul special antifurt pentru dispozitivele Android ca parte a protecției complete. Această caracteristică vă permite să blocați de la distanță un dispozitiv pierdut, să ștergeți datele de pe acesta sau să îl localizați pe o hartă.
Utilizați criptarea totală sau parțială a datelor corporative. Apoi, chiar dacă un laptop sau o unitate USB este pierdută sau furată, va fi imposibil să accesați informațiile conținute pe acestea fără o parolă.
Tehnologiile de backup vă vor salva afacerea. Cu ajutorul unei copii de rezervă, veți avea întotdeauna un spațiu de stocare de rezervă cu cea mai actualizată versiune a informațiilor de lucru valoroase în cazul, de exemplu, al unui atac de succes ransomware.
Administratorii de sistem ar trebui să știe întotdeauna ce dispozitive folosesc angajații pentru muncă și să aibă o „siguranță” de la distanță (control de la distanță) pentru datele corporative în astfel de dispozitive în cazul în care acestea sunt pierdute, furate sau proprietarul părăsește compania.
Dar, în general, nu ar trebui să permiteți ca documentele secrete să se scurgă în afara perimetrului companiei, chiar și în spațiile de stocare în cloud precum Yandex.Disk și Google.drive - și atunci nu va trebui să distrugeți nimic.
Pentru a asigura corespondența pe subiecte corporative în mesageria personală, puteți oferi mai multe recomandări. În primul rând, cea mai recentă versiune a sistemului de operare trebuie să fie instalată pe dispozitivul mobil. În al doilea rând, utilizați întotdeauna o soluție de securitate - în caz contrar, dispozitivul nu poate fi lăsat să intre în perimetrul companiei.
Contramăsurile includ soluții din linia Kaspersky Security for Business și Kaspersky Small Office Security. Acestea includ o protecție la fel de eficientă pentru computerele corporative și personale și pentru dispozitivele mobile, ceea ce este deosebit de important pentru întreprinderile mici. Kaspersky Small Office Security permite proprietarilor să se concentreze pe conducerea afacerii lor, deoarece este ușor de utilizat și nu necesită cunoștințe specializate de administrare IT pentru a securiza rețeaua unei companii.
Utilizarea dispozitivelor personale ale angajaților va deveni mai sigură pentru companie?
Latura tehnică a problemei securității cibernetice în conceptul BYOD va fi îmbunătățită și atât. mai multe companii va refuza să cumpere dispozitive, Victor Cebyshev este sigur. Este probabil ca doar companiile care folosesc dispozitive mobile specifice, cum ar fi dispozitivele rezistente la șocuri și la apă, vor urma vechile metode.
„Este probabil ca logica profilurilor dispozitivelor din sistemele de operare mobile să devină mai complexă. Adică, dispozitivul mobil însuși va decide că proprietarul se află în prezent la locul de muncă și va bloca activitățile care implică riscul de infectare sau accesul dispozitivului în locuri interzise pentru el. Odată cu aceasta evoluează mecanismele de control al dispozitivelor personale din rețeaua întreprinderii, iar în viitorul previzibil vor fi introduse soluții de învățare automată care remediază anomaliile de la dispozitivele BYOD. Astfel de sisteme sunt viitorul”, rezumă expertul în antivirus Kaspersky Lab.
2019
Prioritățile IS ale IMM-urilor
Companiile din segmentul IMM sunt atrase de cloud, de modelul de consum al serviciilor conform modelului MSSP (Managed Security Service Provider). Acest lucru îi ajută să reducă semnificativ costurile operaționale în domeniul securității informațiilor.
| Acum, unii furnizori oferă clienților lor servicii de securitate a informațiilor în cloud pe un model de abonament. În opinia mea, întreprinderile mijlocii și mici se vor îndrepta către un astfel de model de servicii de securitate a informațiilor, - notează Dmitry Livshits, director general Design digital. |
Modelul de servicii de consum de securitate a informațiilor devine din ce în ce mai solicitat de întreprinderile mici și mijlocii, întrucât aceste companii nu își pot permite un personal mare de specialiști în securitate.
Potrivit lui Vladimir Balanin, șeful Departamentului Securitate Informațională al Grupului de Companii I-Teco, segmentul IMM-urilor devine principalul consumator al serviciilor furnizorilor de servicii care furnizează imediat servicii cu servicii integrate de securitate a informațiilor: nu există costuri de administrare, monitorizarea și întreținerea propriei infrastructuri, dar riscurile cerințelor de reglementare sunt suportate de furnizorul de servicii însuși.
În același timp pentru piata ruseasca acum există o ofertă foarte limitată de securitate a informațiilor pentru IMM-uri. Potrivit lui Andrey Yankin, directorul Centrului de Securitate Informațională al Jet Infosystems, aproape toate serviciile sunt destinate clienților mari. Serviciile de securitate a informațiilor tipice și ieftine, dar nu primitive pentru IMM-uri, potrivit lui, practic nu există, deși în multe alte țări această piață este bine dezvoltată.
În același timp, odată cu dezvoltarea segmentului de servicii de securitate a informațiilor gestionate și perspectiva dezvoltării pieței asigurărilor de risc cibernetic, această categorie de clienți va primi măsuri adecvate amenințărilor moderne.
Între timp, companiile IMM-uri implementează securitatea IT de bază, ajungând rareori la nivelul proceselor de afaceri.
Potrivit lui Dmitri Pudov, director general adjunct al Angara Technologies Group for Technologies and Development, reprezentanții IMM-urilor, având în vedere bugetele lor, practic nu au acces la soluții de înaltă tehnologie sau complexe. Acest lucru nu se datorează numai costului soluțiilor, ci mai degrabă OPEX-ului pe care îl transportă.
Principalele soluții pe care clienții segmentului IMM-urilor le achiziționează sunt antivirusurile și firewall-urile software, spune Yakov Grodzensky, șeful de securitate a informațiilor la System Soft. În plus, companiile din acest segment încep în mod activ să se intereseze de auditul SI și testarea de penetrare, deoarece astfel de organizații nu angajează întotdeauna un specialist separat în securitatea informațiilor, ca să nu mai vorbim de pentesteri.
Vyacheslav Medvedev, un analist de frunte la Doctor Web, adaugă că sondajele efectuate asupra întreprinderilor mijlocii au arătat că astfel de companii nu au fonduri pentru soluții de securitate altele decât cele de bază.
Prioritățile de securitate cibernetică ale afacerilor mari
Este întotdeauna important ca acționarii, proprietarii și conducerea de top să aibă o imagine obiectivă a securității informațiilor și a proceselor tehnologice din cadrul unei organizații, prin urmare nivelul general de maturitate de securitate a informațiilor în companii crește în fiecare an. Cu toate acestea, unor organizații mari le lipsește încă ordinea de bază în procesele de afaceri care asigură funcționarea sistemelor informaționale, ceea ce poate duce la haos în securitatea informațiilor. Prin urmare, principala prioritate pentru companiile mari este rezolvarea acestor probleme, spune Nikolay Zabusov, directorul Departamentului de Informații și Securitate Rețelei la Step Logic.
În plus, afacerile mari se concentrează pe îndeplinirea cerințelor autorităților de reglementare și a standardelor interne, încercând să creeze o infrastructură protejată mai mult sau mai puțin uniform. Standardele industriale în domeniul securității informațiilor sunt dezvoltate și „implementate” în multe corporații.
Mare societăţi comerciale de fapt, s-au confruntat cu o alegere: să urmeze calea transformării digitale sau să lucreze fără a schimba paradigma de a face afaceri. Dar în al doilea caz, mai devreme sau mai târziu vor trebui să renunțe la pozițiile pe piață în fața concurenților care au dat dovadă de o mare flexibilitate.
| Printre prioritățile pentru segmentul enterprise, pot evidenția, pe de o parte, creșterea eficienței utilizării soluțiilor clasice de securitate a informațiilor, iar pe de altă parte, introducerea unor noi tipuri de instrumente de protecție împotriva amenințărilor în cadrul implementării proiectelor de digitalizare. Acesta din urmă este foarte important, deoarece restricțiile de securitate sunt adesea unul dintre principalele motive pentru progresul lent pe calea transformării digitale, - notează Oleg Shaburov, șeful Departamentului de securitate a informațiilor la Softline. |
Din punct de vedere siguranta practica vectorul trece din ce în ce mai mult de la prevenirea atacurilor la detectarea și răspunsul, spune Andrey Zaikin, șeful de securitate a informațiilor la Krok. Acest lucru duce la faptul că clasele relativ tinere de soluții devin din ce în ce mai populare și solicitate: EDR, IRP. Sistemele de răspuns automate au seturi diferite de scripturi și script-uri și vă permit să blocați încercările de răspândire a amenințărilor.
Servicii de securitate cibernetică
Companiile IMM-uri care înțeleg criticitatea securității informațiilor pentru afacerea lor urmează calea utilizării modelelor de servicii.
Introducere
Liderii de afaceri trebuie să înțeleagă importanța securității informațiilor, să învețe să prezică și să gestioneze tendințele în acest domeniu.
Afacerea de astăzi nu poate exista fără tehnologia informației. Se știe că aproximativ 70% din totalul produsului național al lumii depinde într-un fel sau altul de informațiile stocate în sistemele informaționale. Introducerea pe scară largă a computerelor a creat nu numai facilități binecunoscute, ci și probleme, dintre care cea mai gravă este problema securității informațiilor.
Alături de elementele de control pentru calculatoare și rețele de calculatoare, standardul acordă o mare atenție dezvoltării politicii de securitate, lucrului cu personalul (angajare, instruire, concediere), asigurării continuității procesului de producție și cerințelor legale.
Fără îndoială, acest subiect al lucrării de termen este foarte relevant în condițiile moderne.
Obiectul lucrării de curs: securitatea informațională a activității profesionale a organizației.
Subiect de cercetare: securitatea informațiilor.
V termen de hârtie se preconizează crearea unui proiect de soluție de management pentru organizarea securității informațiilor pe baza unei organizații reale.
Capitolul 1. Securitatea informaţională a activităţii profesionale
Securitatea informației este un domeniu relativ nou al activității profesionale a specialiștilor. Principalele obiective ale unor astfel de activități sunt:
Asigurarea protecției împotriva amenințărilor externe și interne în domeniul formării, distribuției și utilizării resurselor informaționale;
Prevenirea încălcării drepturilor cetățenilor și organizațiilor de a păstra confidențialitatea și secretul informațiilor;
Furnizarea de condiții care să prevină denaturarea sau ascunderea deliberată a informațiilor în absența temeiului legal pentru aceasta.
Clienții specialiștilor în acest domeniu sunt:
Organele federale ale puterii și administrației de stat ale Federației Ruse;
Autoritățile de stat ale entităților constitutive ale Federației Ruse;
Agenții guvernamentale, organizații și întreprinderi;
industria de apărare;
Organismele administrației publice locale;
Instituții, organizații și întreprinderi neguvernamentale
proprietate.
Apariția în vânzarea gratuită, deși ilegală, a bazei de date de clienți a companiei comunicare celulară MTS din nou și din nou ne obligă să abordăm problema securității computerelor. Se pare că acest subiect este inepuizabil. Relevanța sa este cu cât este mai mare, cu atât este mai mare nivelul de informatizare al firmelor comerciale și al organizațiilor necomerciale. Tehnologiile înalte, jucând un rol revoluționar în dezvoltarea afacerilor și practic în toate celelalte aspecte ale societății moderne, își fac utilizatorii foarte vulnerabili din punct de vedere al informației și, în cele din urmă, al securității economice.
Aceasta este o problemă nu numai în Rusia, ci și în majoritatea țărilor lumii, în primul rând în cele occidentale, deși există legi care restricționează accesul la informațiile personale și impun cerințe stricte pentru stocarea acestora. Piețele oferă diverse sisteme de protecție a rețelelor de calculatoare. Dar cum să te protejezi de propria ta „a cincea coloană” - angajați fără scrupule, neloiali sau pur și simplu neglijenți care au acces la informații clasificate? Scurgerea scandaloasă a bazei de date de clienți MTS nu s-ar fi putut produce, aparent, fără coluziune sau neglijență penală a angajaților companiei.
Se pare că mulți, dacă nu cei mai mulți, antreprenori pur și simplu nu înțeleg gravitatea problemei. Chiar și în țările cu economii de piață dezvoltate, potrivit unor studii, 80% dintre companii nu au un sistem bine gândit, planificat, pentru protejarea spațiilor de depozitare și a bazelor de date operaționale. Ce putem spune despre noi, care suntem obișnuiți să ne bazăm pe celebrul „poate”.
Prin urmare, nu este inutil să ne întoarcem la subiectul pericolelor scurgerilor. informații confidențiale, vorbiți despre măsurile de reducere a unor astfel de riscuri. O publicație în Legal Times (21 octombrie 2002), o publicație dedicată problemelor juridice (Mark M. Martin, Evan Wagner, „Vulnerability and Information Security”) ne vor ajuta în acest sens. Autorii enumera cele mai tipice tipuri și metode de amenințări informaționale. Care?
Declasificarea și furtul secretelor comerciale. Totul este mai mult sau mai puțin clar aici. Spionajul economic clasic datând din istoria antică. În timp ce înainte secretele erau păstrate în locuri secrete, în seifuri masive, sub protecție fizică și (mai târziu) electronică de încredere, astăzi mulți angajați au acces la baze de date de birou, care conțin adesea informații foarte sensibile, de exemplu, aceleași date ale clienților.
Diseminarea materialelor compromițătoare. Aici autorii se referă la utilizarea intenționată sau accidentală de către angajați în e-mail a unor astfel de informații care pătează reputația companiei. De exemplu, numele firmei se reflectă în domeniul corespondentului, care admite defăimări, insulte, pe scurt, orice poate compromite organizația în scrisorile sale.
Încălcarea proprietății intelectuale. Este important să nu uităm că orice produs intelectual produs într-o organizație aparține organizației și nu poate fi utilizat de către angajați (inclusiv generatori și autori de valori intelectuale) decât în interesul organizației. Între timp, în Rusia cu această ocazie apar adesea conflicte între organizații și angajați, revendicând produsul intelectual pe care l-au creat și folosindu-l în interesul lor personal, în detrimentul organizației. Acest lucru se datorează adesea situației juridice vagi din întreprindere, când contractul de muncă nu conține reguli și reglementări clar definite care să sublinieze drepturile și obligațiile angajaților.
Diseminarea (adesea neintenționată) de informații privilegiate care nu sunt secrete, dar care pot fi utile concurenților. De exemplu, despre noile posturi vacante în legătură cu extinderea afacerii, despre călătorii de afaceri și negocieri.
Vizite pe site-urile concurenților. Acum din ce în ce mai multe companii folosesc programe pe site-urile lor deschise (în special, concepute pentru CRM), care le permit să recunoască vizitatorii și să-și urmărească rutele în detaliu, să înregistreze timpul și durata vizualizării paginilor site-ului. Este clar că dacă vizita dumneavoastră pe site-ul unui concurent este cunoscută în detaliu operatorului acestuia, atunci acestuia din urmă nu este greu să concluzioneze ce anume vă interesează. Acesta nu este un apel la abandonarea unui canal critic de informare competitivă. Site-urile web ale concurenților au fost și rămân o sursă valoroasă de analiză și prognoză. Dar când vizitați site-uri, trebuie să vă amintiți că lăsați urme și sunteți și urmăriți.
Abuzul de comunicații de la birou în scopuri personale (ascultare, vizionare de muzică și alt conținut care nu are legătură cu serviciul, încărcarea unui computer de birou) nu reprezintă o amenințare directă la adresa securității informațiilor, dar creează încărcări suplimentare în rețeaua corporativă, reduce eficiența și interferează cu munca colegilor.
Și, în sfârșit, amenințările externe - intruziuni neautorizate etc. Acesta este un subiect pentru o altă conversație serioasă.
Cum te poți proteja de amenințările interne? 100% garantat împotriva daunelor care pot fi cauzate proprii angajați, pur si simplu nu exista. Acesta este un factor uman care nu se pretează la un control complet și necondiționat. În același timp, autorii menționați mai sus dau sfaturi utile – să dezvolte și să implementeze o politică de comunicare (sau informare) clar formulată în cadrul companiei. O astfel de politică ar trebui să tragă o linie clară între ceea ce este permis și ceea ce nu este permis în utilizarea comunicațiilor de birou. Trecerea frontierei duce la pedeapsă. Ar trebui să existe un sistem de monitorizare a cine și cum utilizează rețelele de calculatoare. Regulile adoptate în companie trebuie să respecte atât standardele naționale, cât și internaționale recunoscute pentru protecția secretelor de stat și comerciale, a informațiilor personale, private.
Capitolul 2. Securitatea informaţiei
activitate profesionala in SRL "Laspi"
2.1. o scurtă descriere a SRL „Laspi”
SRL „Laspi” a fost înființată în 1995 ca reprezentanță a unei companii cehe în Rusia. Compania este angajată în furnizarea de echipamente cehe și Provizii pentru producerea diferitelor produse din beton (de la plăci de pavajși se termină cu garduri, ghivece etc.). Echipamentul este de înaltă calitate și costuri rezonabile. Clienții care contactează biroul Samara sunt organizații din diferite orașe din Rusia și CSI (Kazan, Ufa, Izhevsk, Moscova, Nijni Novgorod etc.). Desigur, o activitate atât de mare necesită o atenție deosebită la securitatea informațiilor din cadrul companiei.
Securitatea informațiilor astăzi lasă mult de dorit. Diverse documente (tehnice, economice) sunt în domeniul public, ceea ce permite aproape oricărui angajat al companiei (de la fondator la șofer) să se familiarizeze cu ea fără piedici.
Înregistrările critice sunt păstrate în seif. Numai directorul și secretara lui au cheile seifului. Dar aici așa-zisul factor uman joacă un rol esențial. Adesea, cheile sunt uitate în biroul de pe masă, iar seiful poate fi deschis chiar și de o femeie de serviciu.
Documentele economice (rapoarte, facturi, facturi, facturi etc.) sunt aranjate in mape si rafturi intr-un dulap ce nu poate fi incuiat.
Angajații nu semnează niciun acord de nedivulgare a informațiilor care sunt secrete comerciale atunci când aplică pentru un loc de muncă, ceea ce nu le interzice să distribuie astfel de informații.
Recrutarea angajaților se realizează printr-un interviu, care constă în două etape: 1. comunicarea cu supervizorul imediat (la care se dezvăluie aptitudinile și abilitățile unui potențial angajat) 2. comunicarea cu fondatorul (este mai personală în natura și încheierea unui astfel de dialog poate fi fie „vom lucra împreună”, fie „nu vom lucra împreună”).
Toate acestea necesită o atenție mai mare din partea conducerii și un program competent pentru asigurarea securității informaționale a companiei, deoarece astăzi Laspi LLC are o mulțime de concurenți care este puțin probabil să rateze ocazia de a folosi, de exemplu, baza de clienți a companiei sau baza de furnizori. .
2.2. Proiect de solutie de management pentru asigurarea securitatii informatiei a activitatilor profesionale ale SRL Laspi.
Este important să avem un loc în sistemul măsurilor organizatorice, administrative, juridice și de altă natură care să permită rezolvarea calitativă a problemelor de suport informațional al științifice și industriale și activitati comerciale, siguranța fizică a materialului purtător de informații clasificate, prevenirea scurgerii acestora, păstrarea secretelor comerciale este ocupată de sistemul permisiv de acces al artiștilor executanți la documentele și informațiile clasificate.
Ținând cont de Legea RSFSR „Cu privire la întreprinderi și activitate antreprenorială„conducătorul întreprinderii (firmei), indiferent de forma de proprietate, poate stabili reguli speciale accesul la informațiile care lasă un secret comercial și la transportatorii săi, asigurând astfel siguranța acestora.
În sistemul măsurilor de securitate, distribuția optimă a informațiilor de producție, comerciale și financiar-creditare, lăsând secretul întreprinderii, între executanții specifici lucrării și documentelor relevante, are o importanță esențială. Atunci când se distribuie informații, pe de o parte, este necesar să se asigure că unui anumit angajat i se oferă o cantitate completă de date pentru executarea de înaltă calitate și la timp a muncii care i-a fost încredințată și, pe de altă parte, este necesar să excludeți cunoașterea de către executant cu informații clasificate inutile de care nu are nevoie pentru muncă.
Pentru a asigura accesul legal și rezonabil al contractantului la informațiile care constituie un secret comercial al companiei, se recomandă dezvoltarea și implementarea unui sistem de licențiere adecvat la întreprinderi.
Accesul se înțelege ca obținerea permisiunii scrise de la conducătorul companiei (sau, cu aprobarea acestuia, de la alți directori) de a emite informații specifice (sau integrale) clasificate unui anumit angajat, ținând cont de atribuțiile sale oficiale (puterile oficiale).
Înregistrarea accesului la CT se poate efectua în conformitate cu Reglementările privind sistemul de autorizare a accesului aprobate de director, unde competențele funcționarilor societății pentru distribuirea informațiilor și utilizarea acestora sunt consacrate legal. Șeful organizației poate autoriza utilizarea oricărei informații protejate oricărui angajat a acestei intreprinderi sau către o persoană care a sosit la instalație de la o altă organizație pentru a rezolva orice probleme, dacă aceste informații nu sunt supuse restricțiilor de familiarizare din partea partenerilor de producție și comerciali în producția în comun etc. Așadar, în SRL „Laspi” se recomandă restricționarea accesului la informațiile care constituie secret comercial (contracte cu furnizorii și clienții, rapoartele finale privind tranzacțiile), la următorii angajați:
1. fondatorul companiei.
2. director al firmei.
3. Secretarul Directorului.
Doar fondatorul și directorul firmei pot autoriza accesul la informații altor angajați.
Toți angajații și managerii de mai sus care efectuează aceste tranzacții ar trebui să aibă acces la informații despre tranzacțiile curente cu clienții.
Informațiile inițiale privind prețurile de achiziție ale echipamentelor ar trebui să fie în mod similar limitate. La el au acces doar fondatorul, directorul companiei, care furnizează restului angajaților doar prețurile deja stabilite (cu diverse „markupuri”), precum și secretarul care menține întregul flux de documente în organizație. .
Funcționarea eficientă a sistemului de autorizare este posibilă numai dacă sunt respectate anumite reguli:
1. Sistemul de autorizare, ca regulă obligatorie, include o abordare diferenţiată a autorizării accesului, ţinând cont de importanţa informaţiilor clasificate în raport cu care se decide problema accesului.
2. Este necesară o reflectare documentară a permisiunii emise pentru dreptul de a utiliza una sau alta informație protejată. Aceasta înseamnă că managerul care și-a dat acordul pentru dreptul de folosință trebuie să îl consemneze în mod obligatoriu în scris pe documentul corespunzător sau în formularul contabil în vigoare la întreprindere. Orice instrucțiuni verbale și cereri de acces de la oricine (cu excepția șefului întreprinderii) nu sunt obligatorii din punct de vedere juridic. Această cerință se aplică și managerilor de la toate nivelurile care lucrează cu informații clasificate și purtătorilor acestora. Astfel, numai permisiunea scrisă a șefului (în sfera de competență) este o permisiune pentru eliberarea de informații protejate unei anumite persoane.
3. Principiul controlului trebuie respectat cu strictețe. Fiecare permis trebuie să aibă data înregistrării și eliberării sale.
Un astfel de tip tradițional de rezoluție precum rezoluția capului pe documentul clasificat în sine este larg răspândit. O astfel de autorizație trebuie să conțină o listă cu numele angajaților care sunt obligați să se familiarizeze cu documentele sau să le execute, termenul limită de executare, alte instrucțiuni, semnătura managerului și data. Managerul poate, dacă este necesar, să prevadă restricții privind accesul anumitor angajați la anumite informații.
Rezoluția, ca tip de autorizație, este utilizată în principal pentru livrarea promptă către părțile interesate a informațiilor clasificate conținute în documente și produse primite din exterior și create la întreprindere.
Șeful întreprinderii poate acorda permisiunea de acces în documentele administrative: ordine, instrucțiuni, instrucțiuni pentru întreprindere. Acestea trebuie să conțină numele, funcțiile persoanelor, documentele specifice de clasificare și produsele la care pot fi admiși (familiarizați).
Un alt tip de autorizații - prin listele de familie ale persoanelor îndreptățite să facă cunoștință și să efectueze orice acțiuni cu documente și produse clasificate. Listele de familie sunt aprobate de directorul întreprinderii sau, în conformitate cu sistemul actual de licențiere, de manageri care, de regulă, ocupă posturi nu mai mici decât șefii departamentelor relevante.
Pe familie, listele de persoane pot fi folosite la organizarea accesului la documente clasificate și la produse care prezintă o importanță deosebită pentru întreprindere, la înregistrarea accesului în zone restricționate, la diverse tipuri de evenimente închise (conferințe, întâlniri, expoziții, întâlniri de știință și tehnică). consilii etc.). În listele de familie pot fi identificați anumiți manageri, cărora li se permite managerului să acceseze toate documentele și produsele închise fără permisiunile scrise corespunzătoare. Ele indică numele complet al persoanei. executant al muncii, compartiment, functia ocupata, categoria de documente si produse la care este admis. În practică, este aplicabilă și opțiunea listelor de locuri de muncă, care indică: poziția contractantului, volumul documentelor (categorii de documente) și tipurile de produse care trebuie utilizate de către angajații întreprinderilor care dețin funcția corespunzătoare listei. . Trebuie remarcat faptul că, pentru întreprinderile cu un volum mic de documente și produse clasificate, poate fi suficientă utilizarea unor astfel de tipuri de permisiuni precum rezoluția șefului asupra documentului în sine, prin liste de familie, liste de locuri de muncă.
Din punct de vedere organizațional, listele de familie ar trebui să fie pregătite de liderii interesați. unități structurale... Lista angajaților incluși în listă este vizată de șeful Consiliului de Securitate și aprobată de șeful întreprinderii, care poate delega drepturi de aprobare altor persoane din conducere.
Sistemul de autorizare trebuie să îndeplinească următoarele cerințe:
· Se aplică tuturor tipurilor de documente clasificate și produse disponibile la întreprindere, indiferent de localizarea și crearea acestora;
· Stabilește procedura de acces pentru toate categoriile de salariați care au primit dreptul de a lucra cu CT, precum și specialiștii sosiți temporar în întreprindere și care au legătură cu comenzi închise comune;
· Stabiliți o procedură simplă și fiabilă de eliberare a autorizațiilor de acces la documente și produse protejate, care vă permite să răspundeți imediat la schimbările din domeniul informației la nivelul întreprinderii;
· Delimitarea clară a drepturilor managerilor de diferite niveluri de muncă în proiectarea accesului pentru categoriile relevante de interpreți;
· Excludeți posibilitatea emiterii necontrolate și neautorizate de documente și produse către oricine;
· Nu permiteți persoanelor care lucrează cu informații și obiecte clasificate să efectueze modificări la date egale, precum și să înlocuiască documentele contabile.
La elaborarea unui sistem de autorizare, trebuie acordată o atenție deosebită evidențierii principalelor informații care sunt deosebit de valoroase pentru întreprindere, ceea ce va asigura un acces strict limitat la acestea. În prezența lucrului în comun cu alte întreprinderi (organizații), firme străine sau reprezentanții individuali ai acestora, este necesar să se prevadă procedura de acces al acestor categorii la secretele comerciale ale întreprinderii. Este recomandabil să se determine ordinea interacțiunii cu reprezentanții serviciului organizatii guvernamentale: supraveghere tehnica, statie sanitara si epidemiologica etc.
În Regulamentul privind sistemul de licențiere al companiei, este necesar să se precizeze că transferul documentelor și produselor clasificate de la antreprenor la antreprenor este posibil numai în cadrul unității structurale și cu permisiunea conducătorului acesteia. Transferul, returnarea unor astfel de documente de produs se face conform ordinii stabilite de firma si numai in timpul programului de lucru al zilei date.
Toate documentația clasificată și produsele primite și dezvoltate de întreprindere sunt acceptate și luate în considerare de managementul mediu și de secretar. După înregistrare, documentația se depune spre examinare conducătorului întreprinderii contra primirii.
În Regulamentul privind sistemul de licențiere al companiei, este necesar să se precizeze că ședințele închise pe probleme de afaceri se țin numai cu permisiunea șefului companiei sau a adjuncților acestuia. Cerințe speciale se pot aplica ședințelor consiliilor academice, ședințelor de revizuire a rezultatelor cercetării și dezvoltării și activităților financiare și comerciale etc. Pentru astfel de evenimente, se recomandă să se întocmească fără greșeală liste permisive și să se includă în ele numai acei angajați ai întreprinderii care au legătură directă cu evenimentele planificate și participarea la care este cauzată de necesitate oficială.
După cum sa menționat mai sus, angajații altor firme pot participa la ședințe închise numai cu permisiunea personală a conducerii firmei. Întocmește liste, de regulă, este responsabil de organizarea întâlnirii în contact cu șefii de unități structurale interesați. Lista stă la baza organizării controlului asupra admiterii la această întâlnire. Înainte de începerea ședinței, participanții sunt atenționați că informațiile discutate sunt confidențiale și nu pot fi distribuite în afara sferei de circulație stabilite de companie și oferă instrucțiuni privind modul de păstrare a evidenței.
Este important de subliniat faptul că stabilirea în companie a unei anumite proceduri de manipulare a informațiilor și produselor clasificate crește semnificativ fiabilitatea protecției secretelor comerciale, reduce probabilitatea dezvăluirii, pierderea purtătorilor acestor informații.
Pentru a asigura siguranta documentelor, se propune achizitionarea mobilierului corespunzator, care sa permita incuiarea in siguranta a documentelor. De asemenea, este necesar să sigilați dulapurile în fiecare zi, înainte de a pleca.
Cheile seifului și dulapurilor trebuie predate serviciului de securitate împotriva semnăturii. De asemenea, este recomandat să achiziționați un tub special pentru depozitarea cheilor și să-l sigilați în același mod.
O atenție deosebită trebuie acordată securității informațiilor computerizate. În SRL „Laspi” astăzi au fost create mai multe baze de date: clienții companiei (indicând nu numai adresele și numerele de telefon ale acestora, ci și domiciliul, precum și informațiile personale); o bază de date care conține prețurile și caracteristicile echipamentului furnizat; baza de date a angajaților organizației. De asemenea, computerul stochează diverse contracte, acorduri etc.
În orice caz, aducerea acestor informații în mâinile concurenților este extrem de nedorită. Pentru a preveni o astfel de dezvoltare a evenimentelor, este recomandat să creați parole pentru accesul la fiecare bază de date (și instrumentele software vă permit să faceți acest lucru). La pornirea unui computer, se recomandă, de asemenea, să setați protecția pe două niveluri (la încărcarea BIOS-ului și la încărcarea sistemului de operare Windows'2000, care nu permite accesul fără parolă la conținutul hard disk-ului, spre deosebire de versiunile anterioare ale acestui sistem de operare). Desigur, parolele ar trebui să fie disponibile doar pentru angajații companiei care lucrează direct cu aceste baze de date (secretar, manageri, programatori).
În cazul oricăror probleme legate de computer și necesitatea de a contacta o terță parte, este necesar să se controleze complet procesul de reparare a echipamentului. Întrucât este într-un astfel de moment când toate parolele sunt eliminate, când programatorul „din exterior” are acces liber și nestingherit la conținutul hard diskului, este posibil ca acesta să retragă informațiile și să le folosească în continuare în diverse scopuri .
Este necesar să actualizați constant software-ul antivirus pentru a preveni intrarea și răspândirea virușilor în computere.
O atenție deosebită trebuie acordată problemelor angajării de noi angajați. Astăzi, multe organizații practică o abordare dură a acestui proces, care este asociată cu dorința de a păstra informațiile în cadrul companiei și de a nu permite acesteia să o depășească din cauza „factorului uman”.
În timp ce în majoritatea cazurilor recrutarea se realizează în două etape (sunt rezumate mai sus), atunci iată patru etape.
1. Convorbire cu șeful departamentului de personal. Șeful departamentului de personal face cunoștință cu candidatul, CV-ul acestuia, pune întrebări despre activitățile sale profesionale, făcând note preliminare. Această etapă este de natură profesională. Apoi șeful departamentului de personal analizează informațiile primite de la candidați și le transmite șefului.
2. Să supravegheze pentru a se familiariza cu CV-ul candidaților și notele despre acestea ale șefului departamentului de personal, alegându-i pe cei mai potriviti și invitându-l la interviu. Interviul este de natură personală și implică întrebări non-standard (de exemplu, ce îi place persoanei să mănânce, care este hobby-ul său etc.) Astfel, managerul primește informații pentru a lua o decizie despre cât de potrivită este această persoană pentru el. , prezice posibile probleme cu care s-ar putea întâlni atunci când comunică cu acest candidat.
3. Testare. Aici nivelul de inteligență al angajatului este deja determinat, portretul său psihologic este întocmit pe baza diverselor teste. Dar mai întâi, trebuie să determinați cum doresc managerul și colegii să-l vadă pe noul angajat.
4. Serviciu de securitate. Aici sunt propuse două etape: a) verificarea candidaților în diverse instanțe (dacă a fost adus în judecată, a executat pedeapsa în locuri de privare de libertate, este înscris într-un dispensar de narcoterapie, sunt adevărate informațiile pe care le-a furnizat despre locurile de muncă anterioare); b) verificarea echipamentelor speciale, care se numește cel mai adesea „detector de minciuni”. În a doua etapă se stabilește cât de loial este angajatul față de companie, ce reacții are la întrebările provocatoare (de exemplu, ce va face dacă află că unul dintre colegii săi ia documente acasă) etc.
Și numai după ce candidatul a trecut toate aceste patru etape, este posibil să se ia o decizie - dacă să-l angajeze sau nu.
După ce se ia o decizie pozitivă, este stabilită o perioadă de probă pentru angajat (conform legislației Federației Ruse, aceasta poate varia de la 1 lună la trei, dar se recomandă nu mai puțin de 2 luni și, de preferință, 3). Pe parcursul perioadă de probă serviciul de management și securitate ar trebui să supravegheze noul angajat, să-i observe activitățile.
În plus, imediat după angajare, este necesară, odată cu încheierea unui contract de muncă, semnarea unui acord de nedezvăluire a secretelor comerciale. Clauzele recomandate ale acestui acord:
Aceasta nu este o listă completă a ceea ce poate fi inclus în acord.
Concluzie
Astăzi, problema organizării securității informațiilor preocupă organizațiile de orice nivel - de la mari corporații până la antreprenori fără entitate juridică. Concurența în relațiile moderne de piață este departe de a fi perfectă și adesea nu este condusă în modurile cele mai legale. Spionajul industrial înflorește. Există însă și cazuri de difuzare involuntară a informațiilor legate de secretul comercial al unei organizații. De regulă, aici joacă un rol neglijența angajaților, neînțelegerea lor a situației, cu alte cuvinte, „factorul uman”.
Lucrarea de curs prezintă un proiect al unei soluții de management pentru organizarea securității informațiilor în Laspi LLC. Proiectul acoperă trei domenii principale de organizare a securității: 1.zona de documentare (acces la materialele prezentate pe suport de hârtie, cu diferențierea acestui acces); 2. securitate informatică; 3. securitate în ceea ce privește angajarea de noi angajați.
Trebuie avut în vedere faptul că, deși acest proiect a fost dezvoltat pentru o anumită organizație, prevederile acestuia pot fi utilizate pentru organizarea securității în alte firme din categoria celor mijlocii.
Ministerul Educației și Științei al Federației Ruse
instituție de învățământ bugetar de stat federal
studii profesionale superioare
„CERCETARE NAȚIONALĂ PERM
UNIVERSITATEA POLITEHNICĂ”
prin disciplina
SECURITATEA INFORMAȚIILOR A ÎNTREPRINDERII
Subiectul „Securitatea informațiilor în afaceri pe exemplul OJSC „Alfa-Bank”
Completat de un student
grupa FK-11B:
Smyshlyaeva Maria Sergheevna
Verificat de profesor:
Şaburov Andrei Sergheevici
Perm - 2013
Introducere
Concluzie
Bibliografie
Introducere
Resursele de informații ale majorității companiilor sunt printre cele mai valoroase resurse. Din acest motiv, informațiile comerciale, confidențiale și datele cu caracter personal trebuie protejate în mod fiabil împotriva utilizării ilegale, dar în același timp ușor accesibile subiecților care participă la prelucrarea acestor informații sau le folosesc în procesul de îndeplinire a sarcinilor atribuite. Utilizarea unor instrumente speciale pentru aceasta contribuie la stabilitatea afacerii companiei și la viabilitatea acesteia.
După cum arată practica, problema organizării protecției afacerilor în condiții moderne a devenit cea mai urgentă. Magazinele online sunt „deschise” și cărțile de credit ale clienților sunt golite, cazinourile și tombolele sunt șantajate, rețelele corporative sunt sub control extern, computerele sunt „spălate” creierul și incluse în rețele bot, iar utilizarea frauduloasă a datelor personale furate devine un dezastru național. .
Prin urmare, liderii companiilor trebuie să înțeleagă importanța securității informațiilor, să învețe să prezică și să gestioneze tendințele în acest domeniu.
Scopul acestei lucrări este de a identifica avantajele și dezavantajele unui sistem de securitate a informațiilor de afaceri folosind exemplul Alfa-Bank.
Caracteristicile activităților OJSC „Alfa-Bank”
Alfa-Bank a fost fondată în 1990. Alfa-Bank este o bancă universală care desfășoară toate tipurile principale de operațiuni bancare de pe piața serviciilor financiare, inclusiv deservirea clienților privați și corporativi, servicii bancare de investiții, finanțare comercială și management al activelor.
Sediul central al Alfa-Bank este situat la Moscova; în total, 444 de sucursale și sucursale ale băncii au fost deschise în regiunile Rusiei și în străinătate, inclusiv o bancă subsidiară în Țările de Jos și financiară. companii afiliateîn SUA, Marea Britanie și Cipru. Alfa-Bank are aproximativ 17 mii de angajați.
Alfa-Bank este cea mai mare bancă privată din Rusia în ceea ce privește activele totale, capitalul total și depozitele. Banca are o bază mare de clienți atât corporativi, cât și persoane fizice. Alfa-Bank se dezvoltă ca bancă universală în principalele domenii: afaceri corporative și de investiții (inclusiv întreprinderi mici și mijlocii (IMM), comerț și finanțare structurată, leasing și factoring), afaceri cu amănuntul (inclusiv un sistem de sucursale bancare, credite auto și ipoteci). O atenție deosebită este acordată dezvoltării de produse bancare pentru afaceri corporative în segmentele de masă și IMM-uri, precum și dezvoltării de canale de autoservire la distanță și achiziții prin Internet. Prioritățile strategice ale Alfa-Bank sunt menținerea statutului de bancă privată lider în Rusia, consolidarea stabilității, creșterea profitabilității, stabilirea standardelor din industrie pentru fabricabilitate, eficiență, calitatea serviciilor pentru clienți și munca în echipă.
Alfa-Bank este una dintre cele mai active bănci rusești pe piețele mondiale de capital. Cele mai importante agenții de rating internaționale atribuie Alfa-Bank una dintre cele mai multe evaluări ridicate printre băncile private rusești. A fost clasat pe primul loc în Indexul experienței clienților de patru ori la rând. Sectorul bancar cu amănuntul după criza financiară”, condusă de Senteo împreună cu PricewaterhouseCoopers. Tot în 2012, Alfa-Bank a fost recunoscută drept cea mai bună bancă pe internet de revista GlobalFinance, premiată pentru cele mai bune analize de către Asociația Națională a Participanților la Bursa (NAUFOR) ), a devenit cea mai bună bancă privată rusă conform indicelui de încredere calculat de holdingul de cercetare Romir.
Astăzi, Banca are o rețea la scară federală de 83 de puncte de vânzare. Alfa Bank are una dintre cele mai mari rețele dintre băncile comerciale, constând din 55 de birouri și acoperind 23 de orașe. Ca urmare a extinderii rețelei, Banca a câștigat oportunități suplimentare de a-și crește baza de clienți, de a extinde gama și calitatea produselor bancare, de a implementa programe interregionale, serviciu cuprinzător clienți de bază din rândul celor mai mari întreprinderi.
Analiza bazei teoretice a problemei securității informațiilor în afaceri
Relevanţăiar importanța problemei asigurării securității informațiilor se datorează următorilor factori:
· Nivelurile și ratele actuale de dezvoltare a instrumentelor de securitate a informațiilor sunt semnificativ în urma nivelurilor și ratelor de dezvoltare a tehnologiilor informaționale.
· Rate mari de creștere ale parcului calculatoare personale aplicate în diverse domenii activitate umana... Potrivit cercetării Gartner Dataquest, în prezent există peste un miliard de computere personale în lume.
banca de afaceri pentru securitatea informațiilor
· O extindere bruscă a cercului de utilizatori cu acces direct la resurse de calcul și matrice de date;
În prezent, importanța informațiilor stocate în bănci a crescut semnificativ, informații importante și adesea secrete despre informații financiare și activitate economică mulți oameni, companii, organizații și chiar state întregi. Banca stochează și prelucrează informații valoroase care afectează interesele unui număr mare de persoane. Banca stochează informații importante despre clienții săi, ceea ce extinde cercul potențialilor intruși interesați să fure sau să deterioreze astfel de informații.
Peste 90% din toate infracțiunile sunt asociate cu utilizarea sistemelor automate de procesare a informațiilor ale băncii. În consecință, atunci când creează și modernizează ASOIB, băncile trebuie să acorde o atenție deosebită asigurării securității acestuia.
O atenție principală ar trebui acordată securității informatice a băncilor, adică securitatea sistemelor automate de procesare a informațiilor băncii, ca fiind cea mai urgentă, complexă și presantă problemă în domeniul securității informațiilor bancare.
Dezvoltarea rapidă a tehnologiei informației a deschis noi oportunități de afaceri, dar a dus și la apariția de noi amenințări. Datorită concurenței, produsele software moderne sunt vândute cu erori și defecte. Dezvoltatorii, inclusiv tot felul de funcții în produsele lor, nu au timp să efectueze o depanare de înaltă calitate a sistemelor software create. Erorile și defectele rămase în aceste sisteme duc la încălcări accidentale și deliberate ale securității informațiilor. De exemplu, cea mai mare parte a pierderii accidentale de informații este cauzată de defecțiuni în funcționarea software-ului și a hardware-ului, iar majoritatea atacurilor asupra sistemelor informatice se bazează pe erori și defecte găsite în software. De exemplu, în primele șase luni de la lansarea sistemului de operare pentru server al Microsoft Windows, au fost descoperite 14 vulnerabilități, dintre care 6 sunt critice. În ciuda faptului că de-a lungul timpului, Microsoft dezvoltă pachete de servicii care elimină deficiențele identificate, utilizatorii suferă deja de încălcări ale securității informațiilor care au apărut din cauza bug-urilor rămase. Până la rezolvarea acestor multe alte probleme, nivelul insuficient de securitate a informațiilor va fi o frână serioasă în dezvoltarea tehnologiilor informaționale.
Sub securitatea informatieiînseamnă securitatea informațiilor și a infrastructurii suport împotriva influențelor accidentale sau deliberate de natură naturală sau artificială care pot cauza daune inacceptabile subiecților relațiilor informaționale, inclusiv proprietarilor și utilizatorilor de informații și infrastructurii suport.
În lumea afacerilor moderne, există un proces de migrare a activelor corporale către activele informaționale. Pe măsură ce o organizație se dezvoltă, sistemul ei de informații devine mai complex, a cărui sarcină principală este de a asigura eficiența maximă a afacerii într-o concurență de piață în continuă schimbare.
Considerând informația ca o marfă, putem spune că asigurarea securității informațiilor în general poate duce la economii semnificative de costuri, în timp ce prejudiciul cauzat acesteia duce la costuri materiale. De exemplu, dezvăluirea tehnologiei de fabricație a produsului original va duce la apariția unui produs similar, dar de la alt producător și, ca urmare a unei încălcări a securității informațiilor, proprietarul tehnologiei și poate autorul, va pierde o parte din piață etc. Pe de altă parte, informația este subiectul controlului, iar schimbarea ei poate duce la consecințe catastrofale în obiectul de control.
Conform GOST R 50922-2006, securitatea informațiilor este o activitate care vizează prevenirea scurgerii de informații, a influențelor neautorizate și neintenționate asupra informațiilor protejate. Securitatea informațiilor este relevantă atât pentru întreprinderi, cât și pentru agențiile guvernamentale. Pentru a proteja cuprinzător resursele informaționale, se lucrează la construirea și dezvoltarea sistemelor de securitate a informațiilor.
Există multe motive care pot afecta grav funcționarea rețelelor locale și globale, duc la pierderea de informații valoroase. Printre acestea se numără următoarele:
Acces neautorizat din exterior, copiere sau modificare a informațiilor, acțiuni accidentale sau deliberate, care conduc la:
denaturarea sau distrugerea datelor;
familiarizarea persoanelor neautorizate cu informații care constituie secrete bancare, financiare sau de stat.
Operarea incorectă a software-ului care duce la pierderea sau coruperea datelor din cauza:
erori în aplicația sau software-ul de rețea;
infectarea sistemelor cu viruși informatici.
Defecțiuni tehnice ale echipamentelor cauzate de:
pana de curent;
defecțiunea sistemelor de discuri și a sistemelor de arhivare a datelor;
întreruperi ale serverelor, stațiilor de lucru, plăcilor de rețea, modemurilor.
Erori personalului de întreținere.
Desigur, nu există o soluție universală care să excludă toate aceste motive, dar multe organizații au dezvoltat și aplicat măsuri tehnice și administrative pentru a minimiza riscul de pierdere a datelor sau de acces neautorizat la acestea.
Astăzi există un arsenal mare de metode pentru asigurarea securității informațiilor, care este folosit și la Alfa-Bank:
· mijloace de identificare și autentificare a utilizatorilor (așa-numitul complex 3A);
· Instrumente de criptare pentru informații stocate pe computere și transmise prin rețele;
· firewall-uri;
· rețele private virtuale;
· instrumente de filtrare a conținutului;
· instrumente pentru verificarea integrității conținutului discurilor;
· mijloace de protecție antivirus;
· sisteme de detectare a vulnerabilităților de rețea și analizoare de atacuri de rețea.
„Complexul 3A” include autentificarea (sau identificarea), autorizarea și administrarea. Identificareși autorizarea sunt elemente cheie ale securității informațiilor. Când încercați să accesați orice program, funcția de identificare răspunde la întrebarea: „Cine ești?” și „Unde ești?” dacă ești un utilizator autorizat al programului. Funcția de autorizare este responsabilă pentru resursele la care are acces un anumit utilizator. Funcția de administrare este de a dota utilizatorul cu anumite caracteristici de identificare în cadrul unei rețele date și de a determina sfera acțiunilor permise pentru el. În Alfa-Bank, la deschiderea programelor se solicită parola și autentificarea fiecărui angajat, iar la efectuarea oricăror operațiuni, în unele cazuri, este necesară autorizarea șefului sau a adjunctului acestuia în departament.
Sisteme de criptarevă permit să minimizați pierderile în cazul accesului neautorizat la datele stocate pe un hard disk sau alt suport, precum și interceptarea informațiilor atunci când sunt trimise prin e-mail sau transmise prin protocoale de rețea. Scopul acestei protecții este asigurarea confidențialității. Principalele cerințe pentru sistemele de criptare sunt un nivel ridicat de putere criptografică și legalitatea utilizării pe teritoriul Rusiei (sau a altor state).
Firewalleste un sistem sau o combinație de sisteme care formează o barieră de protecție între două sau mai multe rețele pentru a împiedica pachetele de date neautorizate să intre sau să iasă din rețea. Principiul de bază al firewall-urilor. verificarea fiecărui pachet de date pentru conformitatea cu adresele IP de intrare și de ieșire la baza adreselor permise. Astfel, firewall-urile îmbunătățesc foarte mult capacitățile de fragmentare. retelelor de informatiiși controlul asupra circulației datelor.
Când vine vorba de criptografie și firewall-uri, ar trebui să menționăm rețelele private virtuale (VPN-uri) securizate. Utilizarea lor face posibilă rezolvarea problemelor de confidențialitate și integritate a datelor atunci când acestea sunt transmise prin canale de comunicare deschise.
Un mijloc eficient de protecție împotriva pierderii informațiilor confidențiale. Filtrarea conținutului e-mail-urilor primite și trimise. Validarea mesajelor de e-mail și a atașamentelor acestora pe baza politicilor organizaționale poate ajuta, de asemenea, să împiedice companiile să răspundă pentru pretenții legale și să își protejeze angajații de spam. Instrumentele de filtrare a conținutului vă permit să scanați fișiere de toate formatele comune, inclusiv comprimate și grafice. În același timp, lățimea de bandă a rețelei rămâne practic neschimbată.
Modern antivirustehnologiile permit detectarea aproape a tuturor programelor viruși deja cunoscute prin compararea codului unui fișier suspect cu mostrele stocate în baza de date antivirus. În plus, au fost dezvoltate tehnologii de modelare comportamentală pentru a detecta programe viruși nou create. Obiectele descoperite pot fi dezinfectate, izolate (puse în carantină) sau șterse. Protecția antivirus poate fi instalată pe stații de lucru, servere de fișiere și e-mail, firewall-uri care rulează sub aproape oricare dintre sistemele de operare comune (Windows, Unix - și Linux_systems, Novell) pe diferite tipuri de procesoare. Filtrele de spam reduc semnificativ costurile generale asociate cu analiza spam-ului, reduc traficul și încărcarea serverului, îmbunătățesc sănătatea mintală a echipei și reduc riscul implicării angajaților în tranzacții frauduloase. În plus, filtrele de spam reduc riscul de infectare cu viruși noi, deoarece mesajele care conțin viruși (chiar și cei care nu au fost încă incluse în bazele de date antivirus) prezintă adesea semne de spam și sunt filtrate. Adevărat, efectul pozitiv al filtrării spam-ului poate fi eliminat dacă filtrul, împreună cu gunoiul, șterge sau marchează ca spam și mesaje utile, de afaceri sau personale.
Există câteva dintre cele mai tipice tipuri și metode. amenințări informaționale:
Declasificarea și furtul secretelor comerciale. În timp ce înainte secretele erau păstrate în locuri secrete, în seifuri masive, sub protecție fizică și (mai târziu) electronică de încredere, astăzi mulți angajați au acces la baze de date de birou, care conțin adesea informații foarte sensibile, de exemplu, aceleași date ale clienților.
Diseminarea materialelor compromițătoare. Adică utilizarea deliberată sau accidentală de către angajați în corespondența electronică a unor astfel de informații care aruncă o umbră asupra reputației băncii.
Încălcarea proprietății intelectuale. Este important să nu uităm că orice produs intelectual produs în bănci, ca și în orice organizație, îi aparține și nu poate fi utilizat de către angajați (inclusiv generatori și autori de valori intelectuale) decât în interesul organizației. Între timp, în Rusia cu această ocazie apar adesea conflicte între organizații și angajați, revendicând produsul intelectual pe care l-au creat și folosindu-l în interesul lor personal, în detrimentul organizației. Acest lucru se datorează adesea situației juridice vagi din întreprindere, când contractul de muncă nu conține reguli și reglementări clar definite care să sublinieze drepturile și obligațiile angajaților.
Diseminarea (adesea neintenționată) de informații privilegiate care nu sunt secrete, dar care pot fi utile concurenților (alte bănci).
Vizite pe site-urile web ale băncilor concurente. Acum din ce în ce mai multe companii folosesc programe pe site-urile lor deschise (în special, concepute pentru CRM), care le permit să recunoască vizitatorii și să-și urmărească rutele în detaliu, să înregistreze timpul și durata vizualizării paginilor site-ului. Site-urile web ale concurenților au fost și rămân o sursă valoroasă de analiză și prognoză.
Abuzul de comunicații de la birou în scopuri personale (ascultare, vizionare de muzică și alt conținut care nu are legătură cu serviciul, încărcarea unui computer de birou) nu reprezintă o amenințare directă la adresa securității informațiilor, dar creează încărcări suplimentare în rețeaua corporativă, reduce eficiența și interferează cu munca colegilor.
Și, în sfârșit, amenințările externe - intruziuni neautorizate etc.
Regulile adoptate de bancă trebuie să respecte atât standardele naționale, cât și internaționale recunoscute pentru protecția secretelor de stat și comerciale, a informațiilor personale și private.
Protecția organizațională a informațiilor la Alfa-Bank
Alfa Bank OJSC a implementat o politică de securitate bazată pe o metodă selectivă de control al accesului. O astfel de gestionare în OJSC „Alfa Bank” se caracterizează printr-un set de relații de acces permise specificate de administrator. Matricea de acces este completată direct de administratorul de sistem al companiei. Aplicarea unei politici selective de securitate a informațiilor îndeplinește cerințele managementului și cerințele pentru securitatea informațiilor și controlul accesului, responsabilitate și, de asemenea, are un cost acceptabil pentru organizarea sa. Implementarea politicii de securitate a informațiilor este încredințată în totalitate administratorului de sistem al OJSC „Alfa Bank”.
Alături de politica de securitate existentă, OJSC „Alfa Bank” utilizează instrumente specializate de securitate hardware și software.
Hardware-ul de securitate este Cisco 1605. Routerul este echipat cu două interfețe Ethernet (una cu interfețe TP și AUI, cealaltă doar cu TP) pentru LAN și un slot de expansiune pentru instalarea unuia dintre modulele pentru routerele din seria Cisco 1600. În În plus, software-ul Cisco IOS FirewallFeatureSet face din Cisco 1605-R ruterul/sistemul de securitate flexibil ideal pentru biroul mic. În funcție de modulul instalat, routerul poate suporta o conexiune atât prin ISDN, cât și printr-o linie dial-up sau închiriată de la 1200 bps la 2 Mbps, FrameRelay, SMDS, x.25.
Pentru a proteja informațiile, proprietarul rețelei LAN trebuie să securizeze „perimetrul” rețelei, de exemplu, prin stabilirea controlului la joncțiunea rețelei interne cu rețeaua externă. Cisco IOS oferă flexibilitate și securitate ridicate cu ambele instrumente standard, cum ar fi: liste de acces extinse (ACL), sisteme de blocare (ACL dinamice) și autorizare de rutare. În plus, Cisco IOS FirewallFeatureSet disponibil pentru routerele din seria 1600 și 2500 oferă caracteristici de securitate complete, inclusiv:
controlul accesului contextual (CBAC)
Blocarea Java
jurnalul de bord
detectarea și prevenirea atacurilor
alerta imediata
În plus, routerul acceptă rețele virtuale de suprapunere, tuneluri, sistem de control al priorităților, sistem de rezervare a resurselor și metode diferite managementul rutare.
Soluția Kaspersky OpenSpaceSecurity este folosită ca instrument de protecție software. KasperskyOpenSpaceSecurity este pe deplin receptiv cerințe moderne aplicabil sistemelor de securitate a rețelei corporative:
o soluție pentru protejarea tuturor tipurilor de noduri de rețea;
protecție împotriva tuturor tipurilor de amenințări informatice;
suport tehnic eficient;
tehnologii „proactive” combinate cu protecția tradițională a semnăturii;
tehnologii inovatoare și un nou motor antivirus care crește productivitatea;
sistem de protecție gata de utilizare;
management centralizat;
protecția deplină a utilizatorilor din afara rețelei;
compatibilitate cu soluții terțe;
utilizarea eficientă a resurselor rețelei.
Sistemul în curs de dezvoltare ar trebui să ofere control deplin, contabilitate automatizată și analiză a protecției informațiilor personale, să permită reducerea timpului de deservire a clienților, să primească informații despre codurile de protecție a informațiilor și a datelor cu caracter personal.
Pentru a formula cerințele pentru sistemul în curs de dezvoltare este necesară formularea cerințelor pentru organizarea bazei de date, compatibilitatea informațiilor pentru sistemul în curs de dezvoltare.
Proiectarea bazei de date ar trebui să se bazeze pe opiniile utilizatorilor finali ai unei anumite organizații - cerințele conceptuale pentru sistem.
În acest caz, IS conține date despre angajații firmei. Una dintre tehnologiile care ilustrează semnificativ activitatea unui sistem informațional este dezvoltarea unei scheme de flux de lucru pentru documente.
Funcțiile sistemului în curs de dezvoltare pot fi realizate prin utilizarea tehnologiei informatice și a software-ului. Având în vedere că căutarea de informații, informații și documente contabile în activitățile specialiștilor bănci reprezintă aproximativ 30% din timpul de lucru, implementarea sistem automatizat Contabilitatea va elibera semnificativ specialiști calificați, poate duce la economii în fondul de salarii, o scădere a numărului de angajați, dar poate duce și la introducerea unei unități de personal a operatorului în personalul departamentului, ale cărei responsabilități va include introducerea de informații despre procesele de afaceri în desfășurare: documente contabile de date personale și coduri de acces.
De menționat că introducerea sistemului în curs de dezvoltare va reduce și, în mod ideal, va elimina complet erorile de contabilizare a codurilor personale și de informații și de securitate. Astfel, introducerea unei stații de lucru automatizate pentru un manager va duce la semnificative efect economic, reducerea personalului cu 1/3, economisirea salariilor, cresterea productivitatii muncii.
Alfa-Bank, ca orice altă bancă, a elaborat o Politică de Securitate a Informației, care definește un sistem de opinii asupra problemei asigurării securității informațiilor și este o declarație sistematică a scopurilor și obiectivelor protecției, ca una sau mai multe reguli, proceduri, practici și linii directoare în domeniul securității informațiilor.
Politica ia în considerare starea actuală și perspectivele imediate de dezvoltare a tehnologiilor informaționale în Bancă, scopurile, obiectivele și temeiul legal pentru funcționarea acestora, modurile de funcționare și, de asemenea, conține o analiză a amenințărilor de securitate la adresa obiectelor și subiectelor relațiilor informaționale. a Băncii.
Prevederi și cerințe de bază a acestui document se aplică tuturor diviziilor structurale ale Băncii, inclusiv birourilor suplimentare. Principalele aspecte ale Politicii se aplică și altor organizații și instituții care interacționează cu Banca în calitate de furnizori și consumatori ai resurselor informaționale ale Băncii într-o calitate sau alta.
Baza legislativă a acestei politici este Constituția Federației Ruse, Codurile Civile și Penale, legile, decretele, decretele, alte documente de reglementare ale legislației actuale a Federației Ruse, documentele Comisiei Tehnice de Stat sub președintele Rusiei. Federația, Agenția Federală pentru Comunicații și Informații Guvernamentale sub președintele Federației Ruse.
Politica este baza metodologica pentru:
· formarea și implementarea unei politici unificate în domeniul securității informațiilor în Bancă;
· luarea deciziilor manageriale și elaborarea măsurilor practice de implementare a politicii de securitate a informațiilor și elaborarea unui set de măsuri coordonate care vizează identificarea, reflectarea și eliminarea consecințelor implementării diferitelor tipuri de amenințări la adresa securității informațiilor;
· coordonarea activităților diviziilor structurale ale Băncii la desfășurarea lucrărilor de creare, dezvoltare și exploatare a tehnologiilor informaționale cu respectarea cerințelor de asigurare a securității informației;
· elaborarea de propuneri pentru îmbunătățirea securității juridice, de reglementare, tehnică și organizatorică a informațiilor din Bancă.
O abordare sistematică a construirii unui sistem de securitate a informațiilor în Bancă presupune luarea în considerare a tuturor elementelor, condițiilor și factorilor interdependenți, interacționați și schimbători de timp care sunt semnificativi pentru înțelegerea și rezolvarea problemei asigurării securității informațiilor Băncii.
Asigurarea securității informațiilor- un proces realizat de Conducerea Bancii, unitatile de protectie a informatiilor si angajatii de toate nivelurile. Aceasta nu este doar și nu atât o procedură sau o politică care este implementată într-o anumită perioadă de timp sau un set de remedii, ci un proces care trebuie să se desfășoare în mod constant la toate nivelurile din cadrul Băncii și fiecare angajat al Băncii trebuie să ia parte. în acest proces. Activitățile de securitate a informațiilor fac parte integrantă din operațiunile de zi cu zi ale Băncii. Iar eficacitatea acestuia depinde de participarea conducerii Băncii la asigurarea securității informațiilor.
În plus, majoritatea indivizilor și mijloace tehnice protectia pentru indeplinirea eficienta a functiilor sale necesita suport organizatoric (administrativ) constant (schimbarea la timp si asigurarea stocarii si folosirii corecte a numelor, parolelor, cheilor de criptare, redefinirea puterilor etc.). Întreruperile în funcționarea mijloacelor de protecție pot fi folosite de către intruși pentru a analiza metodele și mijloacele de protecție utilizate, pentru a introduce „file” speciale software și hardware și alte mijloace de depășire a protecției.
Responsabilitate personalapresupune atribuirea responsabilitatii pentru asigurarea securitatii informatiilor si a sistemului de prelucrare a acestora fiecarui angajat in limitele autoritatii sale. În conformitate cu acest principiu, repartizarea drepturilor și responsabilităților angajaților este astfel structurată încât, în cazul oricărei încălcări, cercul autorilor să fie clar cunoscut sau minimizat.
Alfa-Bank monitorizează constant activitățile oricărui utilizator, fiecare mijloc de protecție și în legătură cu orice obiect de protecție ar trebui efectuat pe baza utilizării mijloacelor control operationalși înregistrare și ar trebui să acopere atât acțiunile utilizatorului neautorizat, cât și cele autorizate.
Banca a elaborat următoarele documente organizatorice și administrative:
· Reglementări privind secretele comerciale. Prezentul Regulament reglementează organizarea, procedura de lucru cu informațiile care constituie secret comercial al Băncii, îndatoririle și responsabilitățile angajaților admiși la aceste informații, procedura de transfer a materialelor care conțin informații care constituie secret comercial al Băncii către instituțiile (comerciale) de stat. și organizații;
· Lista informațiilor care constituie secret oficial și comercial. Lista definește informațiile clasificate drept confidențiale, nivelul și condițiile de asigurare a restricțiilor privind accesul la informațiile protejate;
· Ordine și instrucțiuni pentru stabilirea unui regim de securitate a informațiilor:
· admiterea angajaților să lucreze cu informații de distribuție limitată;
· numirea administratorilor și a persoanelor responsabile cu lucrul cu informații restricționate în sistemul informațional corporativ;
· Instrucțiuni și responsabilități pentru angajați:
· privind organizarea securității și controlului accesului;
· privind organizarea muncii de birou;
· administrarea resurselor informatice ale sistemului informatic corporativ;
· alte documente de reglementare.
Concluzie
Astăzi, problema organizării securității informațiilor preocupă organizațiile de orice nivel - de la mari corporații până la antreprenori fără entitate juridică. Concurența în relațiile moderne de piață este departe de a fi perfectă și adesea nu este condusă în modurile cele mai legale. Spionajul industrial înflorește. Dar există și cazuri frecvente de diseminare involuntară a informațiilor legate de secretul comercial al unei organizații. De regulă, aici joacă un rol neglijența angajaților, neînțelegerea lor a situației, cu alte cuvinte, „factorul uman”.
Alfa-Bank protejează următoarele informații:
secret comercial
date personale (clienti, angajati ai bancii)
secret bancar
documente bancare (rapoarte ale Departamentului de Securitate, deviz anual al băncii, informații despre veniturile angajaților băncii etc.)
Informațiile din bancă sunt protejate de astfel de amenințări precum:
Natural
· Amenințări artificiale (amenințări neintenționate (neintenționate, accidentale) cauzate de erori în proiectarea sistemului informațional și a elementelor acestuia, erori în acțiunile personalului etc.; amenințări intenționate (intenționate) asociate cu aspirațiile egoiste, ideologice sau de altă natură ale oamenilor ( intruși).
Sursele de amenințări în raport cu sistemul informațional însuși pot fi atât externe, cât și interne.
Bibliografie
1. Decretul Președintelui Federației Ruse „Cu privire la măsurile de asigurare a securității informaționale a Federației Ruse la utilizarea rețelelor de informații și telecomunicații de schimb internațional de informații” din 17.03.2008 Nr. 351;
Galatenko, V.A. Bazele securității informațiilor. Universitatea de Tehnologii Informaționale pe Internet. INTUI. ru, 2008;
Galatenko, V.A. Standarde de securitate a informațiilor. Universitatea de Tehnologii Informaționale pe Internet. INTUI. ru, 2005;
Lopatin, V.N. Securitatea informațională a Rusiei: om, societate, stat. Seria: Siguranța omului și a societății. M.: 2000. - 428 s;
Shangin, V.F. Protecția informațiilor computerizate. Metode eficienteși fonduri. M .: DMK Press, 2008 .-- 544 p.
Șcherbakov, A. Yu. Securitatea computerelor moderne. Baza teoretica. Aspecte practice. M .: Knizhnyi mir, 2009 .-- 352 p.
Revistă Timp legal , editie din data de 21.10.2013
Instrucțiuni pentru lucrul cu documente confidențiale la Bancă
Îndrumare
Ai nevoie de ajutor pentru a explora un subiect?
Experții noștri vă vor consilia sau vă vor oferi servicii de îndrumare pe subiecte care vă interesează.
Trimite o cerere cu indicarea temei chiar acum pentru a afla despre posibilitatea de a obtine o consultatie.
Ar putea fi util să citiți:
- Artizanat din plastilină pentru ziua cosmonauticii;
- Ghicitori de școală - activitate distractivă pentru copii;
- Cum să modelezi un liliac de plastilină pas cu pas cu o fotografie;
- Brelocuri brodate Schema de brelocuri brodate;
- Joc de stație „târg”;
- Jocuri în tabăra de vară pentru copiii de școală primară;
- Concursuri de tabără pentru copii;
- Ghicitori pentru copii despre transport;