Информационная безопасность предприятия информационная защита бизнеса. Информационная безопасность бизнеса Важность защиты информационная безопасность бизнеса

Прежде чем рассказывать о том, какие риски информационной безопасности могут поджидать вас при работе, хочу представиться: меня зовут Камила Иосипова. Я являюсь старшим менеджером по информационной безопасности IT-компании ICL Services, работаю в данной организации уже 5 лет. Также я являюсь сертифицированным аудитором информационных систем CISA (сертификация ISACA, расшифровывается как Certified Information Systems Auditor).

В 2018 объем утечек данных в компаниях вырос на 5% . Человеческий фактор является одной из основных причин возникновения инцидентов, связанных с информационной безопасностью. Беспечность, неосторожность, мотив, умысел – вот те причины, по которым сотрудники ваших компаний могут умышленно или неумышленно свести бизнес на дно. Как обезопасить себя и своих клиентов, что делать для развития культуры работы с данными у сотрудников, и какие при этом применять методы расскажу далее.

План по налаживанию работы в области ИБ

Если взглянуть глобально, то можно увидеть, что в области информационной безопасности прослеживается определенная закономерность: внимание к ИБ во многом зависит от деятельности компании. Например, в государственных органах или банковской сфере существуют более жесткие требования, следовательно, уделяется больше внимания обучению сотрудников, а значит и культура работы с данными более развита. Однако сегодня обратить внимание на эту проблему стоит каждому.

Итак, вот несколько практических шагов, которые помогут вам наладить работу в области ИБ:

1 шаг . Разработайте и внедрите общую политику информационной безопасности, которая будет содержать основные принципы работы компании, цели и задачи в области управления ИБ.

2 шаг . Введите политику классификаций и уровни конфиденциальности.

При этом необходимо не просто написать документ, к которому сотрудник будет иметь доступ 24 на 7, но и проводить различные обучающие мероприятия, рассказывать о вносимых изменениях. Придерживайтесь правила: предупрежден – значит вооружен. Пусть в компании ведется постоянная работа в данном направлении.

3 шаг . Развивайте проактивный подход.

Это как профилактика в медицине. Согласитесь, гораздо дешевле и проще пройти профилактическое обследование, чем лечить запущенную болезнь. Например, в нашей компании проактивный подход работает так: для работы с информацией в коммерческих проектах мы разработали Стандарт управления ИБ в проектах, который содержит необходимый минимум требований по ИБ для обеспечения определенного уровня зрелости процессов ИБ в коммерческом проекте. Там описано что нужно делать, чтобы поддерживать определенный уровень зрелости процесса управления безопасностью. Этот стандарт мы внедрили в проекты и теперь ежегодно проводим внутренние аудиты: проверяем насколько проекты соответствуют этим требованиям, выявляем риски ИБ и лучшие практики, которые могут помочь и другим проектным менеджерам.

Помимо аудитов хорошо работает Knowledge sharing. Если «гром грянул» в одном из проектов, остальным хорошо об этом узнать и успеть принять необходимые меры.

4 шаг . Все документы, объясняющие правила, делайте: структурированными, понятными и емкими.

Как показывает практика, длинные многостраничные тексты никто не читает. Документ необходимо писать понятным языком. Также, он должен быть в согласии с бизнес-целями и санкционировано топ-менеджментом – это будет более весомым аргументом для сотрудников почему этим правилам нужно следовать.

5 шаг . Проводите тренинги, беседы, деловые игры и тому подобное.

Очень часто люди не понимают, как некоторые правила связаны с их конкретной работой, поэтому нужно приводить примеры, объяснять, показывать, как они могут это применить. Здесь важно показать последствия, вплоть до потери бизнеса, и какие конкретно последствия ждут сотрудника, вплоть до уголовной ответственности.

Чтобы внедрять все вышеперечисленное в компании, необходимы ресурсы, как материальные, так и человеческие. Поэтому сейчас во многих компаниях стала появляться должность Директора по информационной безопасности (CISO). Благодаря данной должности есть возможность донести до руководителей бизнеса важность продвижения каких-либо решений, выделения средств и т.д. CISO способен продвигать информационную безопасность в компании на всех уровнях.

Задачи, которые он берет на себя, обширны: коммуникации с топ-менеджментом, обоснование тех или иных решений, коммуникации с владельцами процессов для внедрения безопасности во по всем направлениям. С точки зрения киберугроз, он является точкой контакта, при этом он управляет, определяет стратегии по реагированию на киберугрозы, координирует работу по реагированию на атаки.

Обучение сотрудников: сложно, долго, но необходимо

Однако, прежде чем учить людей определенным правилам, необходимо понимать одну вещь: нельзя останавливаться на человеческом факторе, за ним может быть что-то другое – недостаток ресурсов, знаний или технологий. Здесь самый эффективный метод – проводить анализ истинных причин, добираться до корневой причины.

При работе с людьми необходимо подбирать ключик буквально к каждому. Все люди разные, соответственно и методы применять нужно разные. В одном из интервью с сотрудником, специалист сказал мне: я буду что-то делать, только если буду знать, что мне попадет за невыполнение требования. И наоборот, на некоторых действует только положительная мотивация, такая как хорошая оценка качества работы, поощрение за успешное прохождение тренингов.

Бытует мнение, что специалисты ИБ часто выступают в качестве «тормоза» инноваций, особенно когда они ограничивают применение новых технологий и моделей работы бизнеса. Это действительно может быть так, однако, важно помнить следующее: «Security is like brakes on your car. Their function is to slow you down. But their purpose is to allow you to go fast. Dr.Gary Hinson» («Безопасность – это как тормоза на твоей машине. Их функция – замедлить тебя. Но их цель в том, чтобы дать тебе возможность двигаться быстро»). Важно понимать, что без этих правил невозможно идти дальше, ведь в какой-то момент ты просто не сможешь развивать свой бизнес, если не будешь защищаться от киберугроз и управлять рисками ИБ. Для того, чтобы соблюсти баланс, в нашей компании используется риск-ориентированный подход, который лежит в основе стандарта ISO 27001. Данный подход позволяет выбрать применимые к нам требования и меры безопасности, которые необходимы для того, чтобы защититься от актуальных для нас угроз. С помощью этого подхода мы можем выбирать и с финансовой точки зрения: насколько целесообразно применение тех или иных мер. Например, мы можем поставить биометрический сканер на каждой переговорке, но насколько это нам нужно, какую ценность приносит, какие риски снижает? Не всегда ответ очевиден.

Мы в ICL Services понимаем, что нам важна конфиденциальность информации, с которой мы работаем, для этого мы шифруем ноутбуки, ведь даже если ноутбук потеряется, информация не попадет в руки злоумышленников. Вот это критично, и на это мы готовы тратить средства.

Я считаю, что только таким образом можно соблюсти баланс между безопасностью и ценностью для бизнеса: выбирать, быть в курсе инноваций и всегда оценивать риски (насколько стоимость реализации риска сопоставима с затратами на закупку того или иного решения для защиты).

Комплексный подход – идеальный рецепт ИБ

На мой взгляд, комплексный подход в работе с безопасностью является самым эффективным, ведь ИБ – это вопрос человеческой осведомленности, поведения и правильной организации бизнес-процессов, с учетом требований безопасности. Инциденты чаще всего случаются из-за сотрудников: люди ошибаются, устают, могут нажать не на ту кнопку, поэтому здесь половина успеха – это технические ограничения, от случайных непреднамеренных инцидентов, вторая половина – культура безопасности каждого сотрудника.

Поэтому важно проводить профилактические беседы, тренинги. В современном мире киберугрозы рассчитаны на людей: если ты получил фишинговое письмо, оно безвредное, пока ты не дотянешься до ссылки и не кликнешь на нее. В нашей компании идет упор на сознательность персонала, на работу с людьми, на осведомленность. Ну и третий момент – организационный, люди должны знать правила, правила должны быть прописаны, должна быть определенная политика, которой всем необходимо следовать.

Помните: в мире киберугрозы очень распространены, и при этом последствия атак очень серьезные – до полной потери бизнеса, банкротства. Естественно, вопрос стоит на повестке. Безопасность в наше время уже просто обязана быть частью корпоративной культуры, и топ-менеджмент является первой заинтересованной стороной в данном вопросе, поскольку управляет бизнесом, и при реализации рисков понесет ответственность в первую очередь.

Вот несколько советов, которые позволят вашим сотрудникам избежать инцидентов ИБ:

1. Нельзя проходить по непроверенным ссылкам;
2. Нельзя распространять конфиденциальную информацию;
3. Нельзя записывать пароль на бумажке и клеить стикер;
4. Нельзя пользоваться USB-носителями, в которых вы не уверены (злоумышленник может оставлять зараженное физическое устройство в том месте, где его обязательно найдет жертва);
5. При регистрации на сайтах, указывая номер телефона и почтовый адрес, внимательно смотрите, для чего необходима данная информация, возможно таким образом, вы подпишитесь на платную рассылку.

Я надеюсь, что со временем безопасность станет ключевым элементом корпоративной культуры в каждой компании.

В совершенстве овладеть навыками для работы в области информационной безопасности вы можете на факультете .

Введение

Руководители компаний должны осознать важность информационной безопасности, научиться прогнозировать тенденции в этой области и управлять ими.

Сегодняшний бизнес не может существовать без информационных технологий. Известно, что около 70% мирового совокупного национального продукта зависят тем или иным образом от информации, хранящейся в информационных системах. Повсеместное внедрение компьютеров создало не только известные удобства, но и проблемы, наиболее серьезной из которых является проблема информационной безопасности.

Наряду с элементами управления для компьютеров и компьютерных сетей стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

Несомненно, данная тема курсовой работы очень актуальна в современных условиях.

Объект курсовой работы: информационная безопасность профессиональной деятельности организации.

Предмет исследования: обеспечение информационной безопасности.

В курсовой работе планируется создать проект управленческого решения по организации информационной безопасности на базе реально существующей организации.

Глава 1. Информационная безопасность профессиональной деятельности

Обеспечение информационной безопасности является сравнительно новой областью профессиональной деятельности специалистов. Основными целями такой деятельности являются:

Обеспечение защищенности от внешних и внутренних угроз в сфере формирования, распространения и использования информационных ресурсов;

Предотвращение нарушений прав граждан и организаций на сохранение конфиденциальности и секретности информации;

Обеспечение условий, препятствующих преднамеренному искажению или сокрытию информации при отсутствии для этого законных оснований.

Заказчиками специалистов в данной области являются:

Федеральные органы государственной власти и управления РФ;

Органы государственной власти субъектов РФ;

Государственные учреждения, организации и предприятия;

Оборонная промышленность;

Органы местного самоуправления;

Учреждения, организации и предприятия негосударственной формы
собственности.

Появление в свободной, хотя и нелегальной продаже базы данных клиентов компании сотовой связи МТС вновь и вновь вынуждает обращаться к проблеме компьютерной безопасности. Похоже, эта тема неисчерпаема. Ее актуальность тем больше, чем выше уровень компьютеризации коммерческих фирм и некоммерческих организаций. Высокие технологии, играя революционную роль в развитии бизнеса и практически всех других сторон современного общества, делают их пользователей весьма уязвимыми с точки зрения информационной, а в конечном счете экономической безопасности.

Это проблема не только России, но большинства стран мира, в первую очередь западных, хотя там и действуют законы, ограничивающие доступ к персональной информации и предъявляющие жесткие требования к ее хранению. На рынках предлагают различные системы защиты компьютерных сетей. Но как защититься от собственной “пятой колонны” - недобросовестных, нелояльных, или просто безалаберных сотрудников, имеющих доступ к закрытой информации? Скандальная утечка клиентской базы данных МТС не могла, видимо, произойти без сговора, либо преступной халатности служащих компании.

Такое впечатление, что многие, если не большинство предпринимателей просто не осознают всей серьезности проблемы. Даже в странах развитой рыночной экономики, согласно некоторым исследованиям, 80% компаний не имеют продуманной, спланированной системы защиты хранилищ, операционных баз данных. Что же говорить о нас, привыкших полагаться на знаменитое “авось”.

Поэтому не бесполезно обратиться к теме опасностей, которыми грозят утечки конфиденциальной информации, поговорить о мерах по снижению таких рисков. В этом нам поможет публикация в “Legal Times” (October 21, 2002) - издании, посвященном правовым вопросам (Марк М. Мартин, Эван Вагнер, “Уязвимость и защита информации”). Авторы перечисляют наиболее типичные виды и способы информационных угроз. Какие именно?

Рассекречивание и кража коммерческой тайны. Тут все более или менее понятно. Классический, уходящий в древнюю историю, экономический шпионаж. Если раньше секреты хранились в потайных местах, в массивных сейфах, под надежной физической и (позднее) электронной защитой, то сегодня многие служащие имеют доступ к офисным базам данных, нередко содержащим весьма чувствительную информацию, например, те же данные о клиентах.

Распространение компрометирующих материалов. Здесь авторы имеют в виду умышленное или случайное использование сотрудниками в электронной переписке таких сведений, которые бросают тень на репутацию фирмы. К примеру, название компании отражено в домене корреспондента, допускающего в своих письмах диффамацию, оскорбления, короче все, что может скомпрометировать организацию.

Посягательство на интеллектуальную собственность. Важно не забывать, что любой интеллектуальный продукт, производимый в организации, принадлежит организации и не может использоваться сотрудниками (в том числе генераторами и авторами интеллектуальных ценностей) иначе как в интересах организации. Между тем, в России по этому поводу часто возникают конфликты между организациями и служащими, претендующими на созданный ими интеллектуальный продукт и использующими его в личных интересах, в ущерб организации. Это нередко происходит из-за расплывчатой правовой ситуации на предприятии, когда в трудовом контракте нет четко прописанных норм и правил, очерчивающих права и обязанности служащих.

Распространение (часто неумышленное) внутренней информации, не секретной, но могущей быть полезной для конкурентов. Например, о новых вакансиях в связи с расширением бизнеса, о командировках и переговорах.

Посещения сайтов конкурентов. Сейчас все больше компаний используют на своих открытых сайтах программы (в частности, предназначенные для CRM), которые позволяют распознавать посетителей и детально отслеживать их маршруты, фиксировать время, длительность просмотра ими страниц сайта. Понятно, что если ваш заход на сайт конкурента в подробностях известен его оператору, то последнему не трудно сделать вывод, что именно вас интересует. Это не призыв отказаться от важнейшего канала конкурентной информации. Сайты конкурентов были и остаются ценным источником для анализа и прогноза. Но, посещая сайты, надо помнить, что вы оставляете следы и за вами тоже наблюдают.

Злоупотребление офисными коммуникациями в личных целях (прослушивание, просмотр музыкального и прочего контента, не имеющего отношения к работе, загрузка офисного компьютера) не несет прямой угрозы для информационной безопасности, но создает дополнительные нагрузки на корпоративную сеть, снижает эффективность, мешает работе коллег.

И, наконец, внешние угрозы - несанкционированные вторжения и т.п. Это тема отдельного серьезного разговора.

Как защититься от внутренних угроз? 100% гарантии от ущерба, который могут нанести собственные работники, просто не существует. Это человеческий фактор, который не поддается полному и безусловному контролю. Вместе с тем, упомянутые выше авторы дают полезный совет - разрабатывать и внедрять внутри компании четко сформулированную коммуникационную (или информационную) политику. Такая политика должна провести четкую границу между дозволенным и недозволенным в использовании офисных коммуникаций. Переход границы ведет к наказанию. Должны быть система мониторинга, кто и как использует компьютерные сети. Правила, принятые в компании, должны соответствовать как национальному, так и международно-признанным нормам защиты государственных и коммерческих тайн, персональной, приватной информации.

Глава 2. Обеспечение информационной безопасности

профессиональной деятельности в ООО «Ласпи»

2.1. Краткая характеристика ООО «Ласпи»

ООО «Ласпи» было создано в 1995 году как представительство чешской компании в России. Фирма занимается поставкой чешского оборудования и расходных материалов для производства различных бетонных изделий (начиная с тротуарной плитки и заканчивая заборами, вазонами и т.п.). Оборудование отличается высоким качеством и приемлемой стоимостью. Заказчиками, обращающимися в Самарский офис, являются организации из различных городов России и СНГ (Казань, Уфа, Ижевск, Москва, Нижний Новгород и т.д.). Естественно, такая широкомасштабная деятельность требует особого отношения к информационной безопасности внутри фирмы.

На сегодняшний день информационная безопасность оставляет желать лучшего. Различная документация (техническая, экономическая) находится в открытом доступе, что позволяет практически любому сотруднику фирмы (начиная с учредителя и заканчивая водителем) беспрепятственно с ней ознакомиться.

Особо важная документация хранится в сейфе. Ключи от сейфа есть только у директора и у его секретаря. Но здесь существенную роль играет так называемый человеческий фактор. Нередко ключи забываются в кабинете на столе и сейф может быть вскрыт даже уборщицей.

Экономическая документация (отчеты, накладные, счета, счета-фактуры и т.п.) разложены по папкам и полкам в шкафу, который не запирается.

Сотрудники не подписывают при устройстве на работу никаких соглашений о неразглашении сведений, которые относятся к коммерческой тайне, что не запрещает им распространять подобную информацию.

Набор сотрудников производится посредством собеседования, состоящего из двух этапов: 1. общение с непосредственным начальником (на котором выявляются умения и способности потенциального работника) 2. общение с учредителем (носит более личностный характер и выводом подобного диалога может быть либо «сработаемся», либо «не сработаемся»).

Все это требует более пристального внимания со стороны руководства и грамотной программы по обеспечению информационной безопасности фирмы, потому что сегодня у ООО «Ласпи» появилось достаточно много конкурентов, которые вряд ли упустят возможность воспользоваться, например, клиентской базой или базой поставщиков фирмы.

2.2. Проект управленческого решения по обеспечению информационной безопасности профессиональной деятельности ООО «Ласпи».

Важно место в системе организационных, административных, правовых и других мер, позволяющих качественно решать задачи информационного обеспечения научно-производственной и коммерческой деятельности, физической сохранности материальных носителей закрытых сведений, предотвращения их утечки, сохранения коммерческой тайны занимает разрешительная система доступа исполнителей к классифицированным документам и сведениям.

С учетом Закона РСФСР "О предприятиях и предпринимательской деятельности" руководитель предприятия (фирмы) вне зависимости от форм собственности может устанавливать специальные правила доступа к сведениям, оставляющим коммерческую тайну, и ее носителям, тем самым обеспечивая их сохранность.

В системе мер безопасности существенное значение имеет оптимальное распределение производственных, коммерческих и финансово-кредитных сведений, оставляющих тайну предприятия, между конкретными исполнителями соответствующих работ и документов. При распределении информации, с одной стороны, необходимо обеспечить предоставление конкретному сотруднику для качественного и своевременного выполнения порученных ему работ полного объема данных, а с другой стороны, исключить ознакомление исполнителя с излишними, не нужными ему для работы классифицированными сведениями.

В целях обеспечения правомерного и обоснованного доступа исполнителя к сведениям, составляющим коммерческую тайну фирмы, рекомендуется разрабатывать и внедрять на предприятиях соответствующую разрешительную систему.

Под доступом понимается получение письменного разрешения руководителя фирмы (или, с его санкции, других руководящих лиц) на выдачу тому или иному сотруднику конкретных (или в полном объеме) закрытых сведений с учетом его служебных обязанностей (должностных полномочий).

Оформление доступа к КТ может производиться в соответствии с утвержденным директором Положением о разрешительной системе доступа, где юридически закрепляются полномочия должностных лиц предприятия по распределению информации и пользовании ею. Руководитель организации может разрешить пользование любой охраняемой информацией любому работнику данного предприятия или лицу, прибывшему на объект из другой организации для решения каких-либо вопросов, если в отношении этих сведений не установлены ограничения на ознакомление со стороны производственно-коммерческих партнеров по совместному производству и т.п. Так, в ООО «Ласпи» рекомендуется ограничить доступ к информации, являющейся коммерческой тайной (договора с поставщиками и клиентами, итоговые отчеты о сделках), следующими сотрудниками:

1.учредитель фирмы.

2.директор фирмы.

3.секретарь директора.

Санкцию на доступ к информации другим сотрудникам могут давать только учредитель и директор фирмы.

Доступ к информации о текущих сделках с клиентами должны иметь все перечисленные выше сотрудники и менеджеры, которые ведут эти сделки.

Исходная информация о закупочных ценах на оборудование должна быть так же ограничена. Доступ к ней имеют только учредитель, директор фирмы, которые остальным сотрудникам предоставляют только уже проработанные цены (с различными «накрутками»), а так же секретарь, который ведет весь документооборот в организации.

Эффективная работа разрешительной системы возможна только при соблюдении определенных правил:

1. Разрешительная система в качестве обязательного для выполнения правила включает в себя дифференцированный подход к разрешению доступа, учитывающий важность классифицированных сведений, в отношении которых решается вопрос о доступе.

2. Необходимо документальное отражение выданного разрешения на право пользования теми или иными защищаемыми сведениями. Это означает, что руководитель, давший разрешения на право пользования, должен его в обязательном порядке зафиксировать в письменном виде на соответствующем документе или в действующей на предприятии учетной форме. Никакие устные указания и просьбы о доступе кого бы то ни было (за исключением руководителя предприятия) не имеют юридической силы. Это требование относится и к руководителям всех уровней, работающих с классифицированной информацией и ее носителями. Таким образом, только письменное разрешение руководителя (в рамках полномочий) является разрешением для выдачи тому или иному лицу охраняемых сведений.

3. Следует строго соблюдать принцип контроля. Каждое разрешение должно иметь дату его оформления и выдачи.

Широкое распространение имеет такой традиционный вид разрешения как резолюция руководителя на самом классифицированном документе. Такое разрешение должно содержать перечень фамилий сотрудников, обязанных ознакомиться с документами или их исполнить, срок исполнения, другие указания, подпись руководителя и дату. Руководитель может при необходимости предусмотреть ограничения в доступе конкретных сотрудников к определенным сведениям.

Резолюция, как вид разрешения, применяется главным образом для оперативного доведения до заинтересованных лиц закрытой информации, содержащихся в документах и изделиях, поступаемых извне и создаваемых на предприятии.

Руководитель предприятия может дать разрешение на доступ в распорядительных документах: приказах, указаниях, распоряжениях по предприятию. В них должны содержать фамилии, должности лиц, конкретные классификационные документы и изделия, к которым они могут быть допущены (ознакомлены).

Другой вид разрешений - по фамильные списки лиц, имеющих право знакомиться и производить какие-либо действия с классифицированными документами и изделиями. По фамильные списки утверждаются директором предприятия или в соответствии с действующей разрешительной системой руководителями, занимающими, как правило, должности не ниже руководителей соответствующих подразделений.

По фамильные списки лиц могут использоваться при организации доступа к классифицированным документам и изделиям, имеющим особо важное значение для предприятия, при оформлении доступа в режимные помещения, на различного рода закрытые мероприятия (конференции, совещания, выставки, заседания научно-технических советов и т.п.). В по фамильных списках могут быть определены конкретные руководители, которые допускаются руководителем ко всем закрытым документам и изделиям без соответствующих письменных разрешений. В них указывается Ф.И.О. исполнителя работ, отдел, занимаемая должность, категория документов и изделий, к которым он допущен. На практике применим и вариант должностных списков, в которых указывается: должность исполнителя, объем документов (категории документов) и типы изделий, которыми необходимо пользоваться работникам предприятий, занимающим соответствующую списку должность. Следует отметить, что для предприятий с небольшим объемом классифицированных документов и изделий может оказаться достаточным использование таких видов разрешения, как резолюция руководителя на самом документе, по фамильные списки, должностные списки.

В организационном плане по фамильные списки должны готовиться заинтересованными руководителями структурных подразделений. Перечень сотрудников, вошедших в список, визируется начальником СБ и утверждается руководителем предприятия, который может делегировать права утверждения другим лицам из числа дирекции.

Разрешительная система должна отвечать следующим требованиям:

· распространяться на все виды классифицированных документов и изделий, имеющихся на предприятии, независимо от их место нахождения и создания;

· определять порядок доступа всех категорий сотрудников, получивших право работать с КТ, а также специалистов, временно прибывших на предприятие и имеющих отношение к совместным закрытым заказам;

· устанавливать простой и надежный порядок оформления разрешений на доступ к охраняемым документам и изделиям, позволяющий незамедлительно реагировать на изменения в области информации на предприятии;

· четко разграничивать права руководителей различных должностных уровней в оформлении доступа соответствующих категорий исполнителей;

· исключать возможность бесконтрольной и несанкционированной выдачи документов и изделий кому бы то ни было;

· не разрешать лицам, работающим с классифицированной информацией и объектами, вносить изменения в четные данные, а также подменять учетные документы.

При разработке разрешительной системы особое внимание должно быть уделено выделению главных, особо ценных для предприятия сведений, что позволит обеспечить к ним строго ограниченный доступ. При наличии совместных работ с другими предприятиями (организациями), иностранными фирмами или их отдельными представителями, необходимо предусмотреть порядок доступа этих категорий к коммерческой тайне предприятия. Целесообразно определить порядок взаимодействия с представителями обслуживающих государственных организаций: технадзором, санэпидемстанцией и др.

В Положение о разрешительной системе фирмы необходимо указать, что передача классифицированных документов и изделий от исполнителя к исполнителю возможна только в пределах структурного подразделения и с разрешения его руководителя. Передача, возврат таких документов изделий производится по установленному на фирме порядку и только в течение рабочего времени данного дня.

Вся классифицированная документация и изделия, поступившие на предприятие и разработанные на нем, принимаются и учитываются руководством среднего звена и секретарем. После регистрации документация передается на рассмотрение руководителю предприятия под расписку.

В Положение о разрешительной системе фирмы необходимо указать, что закрытые совещания по служебным вопросам проводятся только с разрешения руководителя фирмы или его заместителей. Особые требования могут распространяться на заседания ученых советов, совещания по рассмотрению результатов НИОКР и финансово-коммерческой деятельности и т.п. На такие мероприятия рекомендуется в обязательном порядке оформлять разрешительные списки и включать в них лишь тех сотрудников предприятия, которые имеют непосредственное отношение к планируемым мероприятиям и участие в которых вызывается служебной необходимостью.

Как уже отмечалось выше, сотрудники других фирм могут участвовать в закрытых совещаниях только с персонального разрешения руководства фирмы. Готовит списки, как правило, ответственный за организацию совещания в контакте с заинтересованными руководителями структурных подразделений. Список является основанием для организации контроля за допуском на данное совещание. Перед началом совещания присутствующие предупреждаются, что обсуждаемая информация носит закрытый характер и не подлежит распространению за пределы установленной фирмой сферы обращения, и выдает инструкции по порядку ведения записей.

Важно подчеркнуть, что установление на фирме определенного порядка обращения с закрытой информацией и изделиями существенным образом повышает надежность защиты коммерческой тайны, снижает вероятность разглашения, утраты носителей этих сведений.

Для обеспечения сохранности документации предлагается закупить соответствующую мебель, которая позволяет надежно запирать документы. Так же необходимо каждый день, перед уходом, опечатывать шкафы.

Ключи от сейфа и шкафов должны сдаваться службе безопасности под роспись. Так же рекомендуется приобрести специальный тубус для хранения ключей и так же его опечатывать.

Особое внимание следует уделить безопасности компьютерной информации. В ООО «Ласпи» сегодня создано несколько баз данных: клиенты фирмы (с указанием не только их рабочих адресов и телефонов, но и домашних, а также сведений носящих личный характер); база данных, содержащая цены и характеристику поставляемого оборудования; база данных сотрудников организации. Так же в компьютере хранятся различные договора, соглашения и т.п.

В любом случае, попадание этой информации в руки конкурентов крайне нежелательно. Для предотвращения такого развития событий рекомендуется создание паролей для доступа в каждую базу данных (а программные средства позволяют это реализовать). При загрузке компьютера так же рекомендуется ставить двухуровневую защиту (при загрузке BIOS и при загрузке OS Windows’2000, которая не позволяет беспарольный доступ к содержимому винчестера, в отличие от предыдущих версий этой операционной системы). Естественно, пароли так же должны быть доступны только тем сотрудникам фирмы, которые непосредственно работают с этими базами данных (секретарь, руководители, программисты).

В случае возникновения каких-либо проблем, связанных с компьютером и необходимости обращения в постороннюю фирму, необходимо полностью контролировать процесс ремонта техники. Так как именно в такой момент, когда сняты все пароли, когда программист «со стороны» имеет свободный и беспрепятственный доступ к содержимому жесткого диска, возможно изъятие им информации и дальнейшее ее использование в различных целях.

Необходимо постоянно обновлять антивирусные программы с целью препятствования попадания и распространения вирусов в компьютерах.

Особое внимание необходимо уделить вопросам приема новых сотрудников на работу. Сегодня во многих организациях практикуется ужесточенный подход к этому процессу, что связано с желанием сохранить информацию внутри фирмы и не дать ей выйти за ее пределы из-за «человеческого фактора».

Если в большинстве случаев прием на работу осуществляется в два этапа (они кратко изложены выше), то здесь предлагается четыре этапа.

1. Беседа с начальником отдела кадров. Начальник отдела кадров знакомится с кандидатом, его резюме, задает вопросы по профессиональной деятельности, делая предварительные пометки. Этот этап носит профессиональный характер. Затем начальник отдела кадров анализирует полученную информацию от кандидатов и передает ее руководителю.

2. Руководить знакомиться с резюме кандидатов и заметками о них начальника отдела кадров, выбирая наиболее подходящих и приглашает к себе на собеседование. Собеседование носит личностный характер и предполагает нестандартные вопросы (например, что человек любит есть, какое у него хобби и т.п.) Таким образом руководитель получает информацию для принятия решения о том, насколько для него подходит этот человек, прогнозирует возможные проблемы, с которыми он может столкнуться при общении с этим кандидатом.

3. Тестирование. Здесь уже определяется уровень интеллекта сотрудника, составляется его психологический портрет на основе различных тестов. Но сначала необходимо определить, каким хотят видеть нового сотрудника его руководитель и коллеги.

4. Служба безопасности. Здесь предлагаются два этапа: а) проверка кандидатов в различных инстанциях (привлекался ли к суду, отбывал ли срок в местах лишения свободы, стоит ли на учете в наркологическом диспансере, соответствуют ли действительности сведения, которые он предоставил о предыдущих местах работы); б) проверка на специальной аппаратуре, которую чаще всего называют «детектором лжи». На втором этапе определяется, насколько сотрудник лоялен к фирме, какие у него реакции на провокационные вопросы (например, что он будет делать, если узнает, что кто-то из его коллег берет документы домой) и т.д.

И только после того, как кандидат прошел все эти четыре стадии, можно принимать решение – брать ли его на работу или нет.

После того, как вынесено положительное решение, сотруднику устанавливается испытательный срок (по законодательству РФ он может варьироваться от 1 месяца до трех, но рекомендуется не меньше 2 месяцев, а лучше 3). В течение испытательного срока руководство и служба безопасности должны присматриваться к новому сотруднику, наблюдать за его деятельностью.

Кроме того, сразу же при приеме на работу необходимо наряду с заключением трудового договора, подписание соглашения о неразглашении коммерческой тайны. Рекомендуемые пункты этого соглашения:

Это не полный перечень того, что может быть включено в соглашение.

Заключение

Сегодня вопрос об организации информационной безопасности волнует организации любого уровня – начиная с крупных корпораций, и заканчивая предпринимателями без образования юридического лица. Конкуренция в современных рыночных отношениях далеко от совершенства и часто ведется не самыми легальными способами. Процветает промышленный шпионаж. Но нередки и случае непреднамеренного распространения информации, относящейся к коммерческой тайне организации. Как правило, здесь играет роль халатность сотрудников, непонимание ими обстановки, иными словами, «человеческий фактор».

В курсовой работе представлен проект управленческого решения по организации информационной безопасности в ООО «Ласпи». Проект затрагивает три основные сферы организации безопасности: 1. документационная сфера (доступ к материалам, представленным на бумажных носителях, с разграничением этого доступа); 2.компьютерная безопасность; 3. безопасность в плане приема на работу новых сотрудников.

Следует учитывать, что хоть данный проект и разработан под конкретную организацию, его положения могут использоваться и для организации безопасности в других фирмах, относящихся к разряду средних.

Здесь конечно двоякое отношение может быть... Пожалуй, следует уточнить - вероятность того, что посвященный в тайны предприятия работник сольет информацию на сторону должна быть минимальной. А это - тоже часть концепции ИБ.
Интересен и тот факт, что информационный ландскнехт может как профессионал менять хозяина. Не всегда этика и материальная сторона совместимы. Тем более, что одно дело - когда дело идет о безопасности страны, а другое - когда человек охраняет абстрактное юридическое лицо, которое не факт, что его не кинет под танк. Тоже наблюдал такие случаи... Порядочные и уважаемые люди иногда в результате оставались в... (ну, в луже что ли - как мягче выразиться?). Но! За ними ведь стоит семья! И тогда решается вопрос приоритета самого скользкого понятия - "долга" - кому больше должен - семье или предприятию? Должна ли семья страдать из-за предприятия? А это ведь - причина разрушения многих семей и тоски в глазах детей - "...а я помню вот как мы с папкой!..." Я не драматизирую - я вспоминаю те времена, которые были несколько раньше и сравниваю их с прогнозами будущих месяцев и лет. Думаю, что стоит провести параллели - увеличение уровня преступности, попустительства, образованности информационных диверсантов и т.п.
Поэтому на самом деле Денис поднял в этой конференции крайне важную тему, которая переросла в дискуссию о более глубоких вопросах безопасности.
На этой неделе должна выйти в свет пробным тиражом моя книга - "Теория безопасности", анонсы некоторых глав из которой мы опубликовали в нашем "Кадровом рентгене" - http://www.absg.ru/test - там я рассматриваю вопросы информационных войн, противостояние концепций безопасности, значение личностей в системах безопасности и др. К сожалению, по условиям издательства я определенное время не распоряжаюсь этой книгой, поэтому спрошу разрешения выложить хотя бы одну главу полностью на обозрение и суд уважаемых коллег.
Александру Т:
"Хотя понятие профессиональная этика для меня не "пустой звук":
Александр! На самом деле очень приятно сознавать, что есть такие люди, которые могут считать себя определенной кастой. Кастой неподкупных людей. Это качество как нельзя лучше должно сочетаться с понятиями справедливости и морали.
Если уважаемые коллеги не сочтут за труд - прошу посмотреть 2 ссылки -
http://train.absg.ru/?p=19 - моральный кодекс, который мы предлагаем соблюдать всем гражданам и как минимум - придерживаться основных его принципов, анализируя свои действия с точки зрения морали. А также
http://www.absg.ru/5mln в разделе мультимедийных версий - я взял на себя смелость прокомментировать декларацию о правах человека и конституцию. К сожалению, текстовый вариант никак не могу найти кроме как в тексте журнала.
Извините, что м.быть несколько не в тему - просто почему-то затронуло что-то в душе фраза о проф.этике... Если оглянуться - ... да что там говорить - на вес золота она сейчас и так же крупицами по земле рассыпана как золотой песок по недрам!..

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Хованскова В.С., Румянцев К.Е., Ховансков С.А. Метод повышения защиты работоспособности распределенных вычислений в компьютерных сетях // Известия ЮФУ. Технические науки. - 2012. - № 4 (129). - С. 102-107.

2. Ховансков С.А., Норкин О.Р. Алгоритм повышения производительности распределенных сетевых вычислений // Информатизация и связь. - 2011. - № 3. - С. 96-98.

3. Литвиненко В.А., Ховансков С.А. Решения задач путем организации распределенных вычислений в сети // Известия ЮФУ. Технические науки. - 2008. - № 3 (80). - С. 16-21.

4. Ховансков С.А., Норкин О.Р. Алгоритмическая оптимизация конфигурации системы децентрализованных вычислений // Телекоммуникации. - 2012. - № 11. - С. 2-5.

5. Ховансков С.А. Организация распределенных вычислений с иерархической структурой связей // Информационное противодействие угрозам терроризма. - 2007. - № 9. - С. 170-178.

6. Литвиненко В.А., Ховансков С.А. Алгоритм оптимизации параметров компьютерной сети для уменьшения времени решения задачи на основе мультиагентной системы // Известия ЮФУ. Технические науки. - 2007. - № 2 (77). - С. 186-190.

7. Ховансков С.А., Литвиненко В.А., Норкин О.Р. Организация распределенных вычислений для решения задач трассировки // Известия ЮФУ. Технические науки. - 2010.

- № 12 (113). - С. 48-55.

8. Калашников В.А., Трунов И.Л., Ховансков С.А. Параллельный алгоритм размещения на многопроцессорной вычислительной системе // Известия ЮФУ. Технические науки.

1997. - № 3 (6). - С. 181-184.

Румянцев Константин Евгеньевич - Федеральное государственное автономное образовательное учреждение высшего профессионального образования «Южный федеральный университет»; e-mail: [email protected]; 347900, г. Таганрог, ул. Чехова, 2; тел.: 88634328725; кафедра ИБТКС; зав. кафедрой; д.т.н.; профессор,

Ховансков Сергей Андреевич - e-mail: [email protected]; тел.: 88634642530; кафедра ИБТКС; к.т.н.; доцент.

Хованскова Вера Сергеевна - e-mail: [email protected]; тел.: 88634676616; студентка.

Rumyantsev Constantine Evgen’evich - Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 2, Chekhov street, Taganrog, 347900, Russia; phone: +78634328725; the department of IBTKS; head the department; dr. of eng. sc.; professor.

Khovanskov Sergey Andreevich - e-mail: [email protected]; phone: 88634642530; the department of ISTCN; cand. of eng. sc.; associate professor.

Khovanskovа Vera Sergeevna - e-mail: [email protected]; phone: +78634676616; student.

Е.Н. Ефимов, Г.М. Лапицкая

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И БИЗНЕС-ПРОЦЕССЫ

КОМПАНИИ

Цель исследования показать, что информационная безопасность должна создаваться и существовать в рамках достижения бизнес-целей компании. При этом бизнес-процессы являются первоисточником данных для организации информационной безопасности компании.

При разработке стратегии управления информационной безопасностью предложена комплексная диагностика состояния компании с помощью SWOT-анализа с условной количественной оценкой результатов, полученной с помощью метода анализа иерархий.

Идентификация рисков необходима для оценки значимости угроз и построения системы безопасности. Анализ показал, что риски бизнес-процессов компании группируются в следующие категории: риски при проектировании, риски при реинжиниринге и риски в процессе использования бизнес-процессов.

Автоматизировать процессы информационной безопасности компании целесообразно с помощью системы класса GRC (Governance, Risk management and Compliance), которые сегодня рассматриваются как один из эффективных способов управления информационными технологиями и информационной безопасностью. Систему GRC при этом целесообразно комплексировать с системами класса Business Process Management, предназначенных для управления бизнес-процессами компании.

Бизнес-цели; информационная безопасность; бизнес-процессы.

E.N. Efimov, G.M. Lapitskaya

INFORMATION SECURITY AND BUSINESS PROCESSES OF THE COMPANY

The Purpose of the study to show that information safety must be created and exist within the framework of achievement business-integer to companies. At business-processes are a firsthand given for organization of information safety to companies.

At development of the strategies of management information safety is offered complex diagnostics of the condition to companies by means of SWOT-analysis with conditional quantitative estimation result, got by means of method of the analysis hierarchy.

The Identification risk required for estimation of value of the threats and buildings of the system to safety. The Analysis has shown that risks business-processes to companies are grouped in the following categories: risks when designing, risks under reengineering and risks in process of the use business-processes.

Automate the processes to safety to companies reasonable by means of systems of the class GRC (Governance, Risk management and Compliance), which are today considered as one of the efficient ways of management information technology and information safety. The Systems GRC herewith necessary complex with system of the class Business Process Management, intended for governing business-process to companies.

Business-purposes; information safety; business-processes.

Постановка проблемы. Информационная безопасность должна создаваться и существовать в рамках достижения бизнес-целей компаний. Эффективное ведение бизнеса невозможно без использования современных информационных технологий (ИТ), которые используются для поддержки практически всех бизнес-процессов современной компании. Однако сегодня очевидна тенденция: информационная безопасность из защиты конкретных сетей, серверов, информационных ресурсов, превращается в безопасность бизнес-процессов компаний, поддерживаемых ИТ. Это предполагает наличие двух взаимозависимых направлений обеспечения безопасности компании: с одной стороны - эффективная работа бизнеса в части функционирования бизнес-процессов; с другой - нормальное функционирование поддерживающей ИТ-инфраструктуры. В настоящее время не сложилось единого подхода к информационной безопасности именно в данном контексте.

Для понимания основных проблем безопасности компании целесообразно выполнить тщательный анализ внешней и внутренней среды бизнеса, выделить те компоненты, которые действительно имеют значение, провести сбор и отслеживание информации по каждому компоненту и на основе оценки реального положения выяснить состояние компании и причины этого положения. Точная, комплексная, своевременная диагностика состояния компании - первый этап в разработке стратегии управления безопасной деятельностью.

Самый распространенный способ оценки стратегического положения компании - SWOT-анализ1. Матрица SWOT-анализа может быть представлена в виде следующей совокупности:

SWOT = ,

где St (Strengths) - множество сильных сторон организации, St = (St1, St2, ..., Stmt); W (Weaknesses) - множество слабых сторон организации, W = (W1, W2, ..., Wnw); Op (Opportunities) - множество возможностей организации, Op = (Op1, Op2, ., Opnop); Th (Threats) - множество угроз организации, Th = (Th1, Th2, ..., Thnth).

При этом важно понимать, что сильные St = (St1, St2, ..., Stnst) и слабые W = (W1, W2, ..., Wnw) стороны - это те составные части деятельности компании, которые она может контролировать, а возможности Op = (Op1, Op2, ., Opnop) и угрозы Th = (Th1, Th2, ..., Thnth) - это те факторы, которые находятся вне контроля компании и могут повлиять на процесс ее развития .

Результаты SWOT-анализа позволяют сформулировать стратегию безопасности компании на данном этапе развития. Эта задача вряд ли может быть формализована, однако на основе этих данных может быть разработано множество стратегий организации S = (S1, S2, ., Sn).

Для условной количественной оценки SWOT-матрицы возможно использовать, например, метод анализа иерархий (МАИ). Данный метод обеспечивает реализацию наиболее эффективного способа оценки количественно неизмеримых, но вместе с тем важных, факторов для принятия обоснованных решений. Кроме того, метод работает с несогласованными суждениями и не требует, чтобы предпочтения потребителей или лица принимающего решение (ЛПР) соответствовали аксиомам полезности. МАИ позволяет сводить исследования сложных проблем к простой процедуре проведения последовательно парных сравнений .

В качестве примера рассматривались результаты SWOT-анализа действующего предприятия телекоммуникационной отрасли (ОАО «Телеком»), предоставляющего полный спектр услуг связи (проводная и беспроводная телефония, доступ в сеть Интернет, услуги радиосвязи, информационные услуги) на территории города и области (в статье не приводится). Вариант последующей оценки SWOT-матрицы с помощью МАИ представлен в табл. 1.

Таблица 1

Оценка SWOT-матрицы

St W Op Th Вектор приоритетов Нормализованный вектор

St 1 1 0,33 0,33 0,58 0,10

W 1 1 0,2 0,14 0,41 0,07

Op 3 5 1 0,2 1,32 0,24

Th 3 7 5 1 3,20 0,58

Индекс согласованности ИС = 0,14 и отношение согласованности ОС = 15,58 < 20 % показывают удовлетворительную согласованность оценок ЛПР.

Значения нормализованного вектора лежат в пределах , поэтому результаты экспертных расчетов могут трактоваться следующим образом: “угрозы” организации значительны (П = 0,58), “возможности” организации для решения проблем удовлетворительны (Op = 0,24), “силы” организации для преодоления проблем посредственны ^ = 0,1), “слабости” организации незначительны ^ = 0,07).

1 SWOT - это аббревиатура, включающая начальные буквы четырёх английских слов: strength («сила»), weakness («слабость»), opportunities («возможности»), и threats («угрозы»)

Такой взгляд на проблему безопасности компании позволяет конкретизировать ее цель и задачи, объекты и угрозы, выработать план мероприятий по снижению рисков бизнес-процессов и произвести оценку эффективности проведенных мероприятий.

В связи с определенной спецификой исследования информационной безопасности с точки зрения безопасности бизнес-процессов компании необходимо вначале выполнить идентификацию рисков бизнес-процессов. Целью идентификации рисков является оценка подверженности компании угрозам, которые могут нанести существенный ущерб. Для сбора информации о рисках производится анализ бизнес-процессов компании и опрос экспертов предметной области. Результатом данного процесса является классифицированный перечень всех потенциальных рисков.

Идентификация рисков бизнес-процессов. Бизнес-процесс можно представить как преобразование:

Р (X, Я, Я, I О) ^ У, где Р - процесс, имеющий вид множества действий Р = {Бх, Б2, ..., Бр};X = {Хх, Х2,..., Х} - входные потоки бизнес-процесса и их поставщики; У = { Ух, У2,..., У} -выходные потоки бизнес-процесса и их потребители; Я = {Ях, Я2,..., Я/} - множество ресурсов, используемых для выполнения бизнес-процесса (технические, материальные, информационные); Я = {Я1, Я2,..., Яп} - множество функций, реализуемых в бизнес-процессе; I = { 2Ь 12,..., 1т} - множество участников и исполнителей бизнес-процесса; О = {Ох, О2,..., О} - границы и интерфейсы процесса.

Из данного определения видно, что бизнес-процессы являются первоисточником данных для организации информационной безопасности компании.

Вначале необходимо определить объекты защиты, т.е. что и от каких угроз следует защищать. К объектам защиты, безусловно, относятся информация, бизнес-процессы и материальные ресурсы компании.

Очевидным началом работ по информационной безопасности сегодня признается классификации данных компании. Классификация - процесс сложный, требующий немало времени и средств. Для того, чтобы классификация была эффективной, ее необходимо постоянно поддерживать и актуализировать. Целесообразность классификации заключается в том, что она позволяет определить все места хранения информации и выявить ту информацию, которую следует защищать. Это позволяет минимизировать количество конфиденциальной информации. При проведении классификации выявляются документы, бывшие когда-то секретными, но теперь уже потерявшие свою актуальность. Их можно отправить в архив или безвозвратно удалить.

Информационные активы (ИА) как объекты защиты требуют поддержания целостности, доступности и, если требуется, конфиденциальности информации в бизнес-системах. Проведенный анализ возможных угроз показал, что информационная инфраструктура должна обладать свойством защищенности информации, используемой в бизнес-процессах, т.е. обеспечивать защиту от несанкционированного (преднамеренного или случайного) получения, изменения, уничтожения или использования коммерческой, служебной или технологической информации. С учетом наличия компонентов бизнес-процесса, а также их взаимосвязей, к потенциально опасным ситуациям относятся: несанкционированный доступ нарушителей (не владельцев и участников процессов) к информации, хранящейся и обрабатываемой в средствах автоматизации, с целью ознакомления, искажения или уничтожения. При этом, точками входа могут быть интерфейсы и границы процесса, а также информация, необходимая для реализации функций (операций, процедур) процесса; перехват информации при ее приеме (передаче) по каналам связи

(сети) функциями процесса, а также за счет хищения носителей информации; уничтожение (изменение, искажение) информации за счет случайных помех, сбоев технических (программных) средств при передаче, хранении и обработке информации; несанкционированное влияние на бизнес-процесс нарушителей из числа владельцев и (или) участников процесса .

Анализ предметной области показал, что целесообразно идентифицировать риски бизнес-процессов компании на всех основных стадиях их жизненного цикла: на этапах проектирования, реинжиниринга и в процессе использования бизнес-процессов.

Идентификация рисков при проектировании и реинжиниринге бизнес-процессов. Даже первоначальное описание основных бизнес-процессов компании приносит как ощутимые результаты повышения эффективности работы, так и возможные потери (риски). Это, прежде всего, риски из-за ошибок при проектировании процессов: ошибки незавершенности (наличие пробелов в описании процесса); ошибки несоответствия (неадекватного использования информационных ресурсов в различных частях процесса, что приводит к искаженному восприятию информации или к неясности указаний); ошибки иерархической или «наследственной» несовместимости (наличие конфликта между основными и последующими процессами). Очевидно, следует допустить и наличие иных видов ошибок.

Следующий ряд рисков возникает из-за ошибок в методологии описания процессов (или парадигмы «.методология - модель - нотация - средства»): при отображении функций системы; процессов, обеспечивающих выполнение функций; данных и организационных структур, обеспечивающих выполнение функций; материальных и информационных потоков в ходе выполнения функций.

Далее следует отметить риски, возникающие из-за несоответствия топологии процесса, не позволяющие добиться максимально понятного течения процесса, отражающего при этом либо реальное положение вещей, либо оптимальное с учетом загрузки исполнителей, доступности ресурсов или других обстоятельств. Анализ ошибок топологии процесса может проводиться в несколько итераций. В результате анализируемый процесс может кардинально измениться. Например, функции, которые раньше выполнялись последовательно друг за другом, будут выполняться параллельно. Безусловно, что при этом не должна исказиться логика процесса и получаемый результат.

Идентификация рисков при использовании бизнес-процессов. Операционный риск можно определить как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, несанкционированных действий персонала или внешнего воздействия. Операционный риск критичен для процессов, характеризующихся значимостью для деятельности организации в целом, большим числом транзакций в единицу времени, сложной системой технической поддержки. Выделяемые обычно риск-факторы аналогичны показателям состояния внутренней операционной среды и бизнес-процессов - объем операций, оборот, процент ошибочных действий. Управление операционными рисками осуществляется построением прозрачных и управляемых бизнес-процессов, правильной организационной структурой с опорой на экспертное знание .

Для решения задач устранения операционных рисков бизнес-процессов может быть использована система lean production (бережливое производство) - концепция менеджмента, созданная на основе производственной системы Toyota. Цель lean - идентифицировать, проанализировать и устранить потери в производственных процессах . В соответствии с концепцией lean в бизнес-процессах возникает восемь видов потерь: неиспользование потенциала сотрудников; потери

от перепроизводства; потери на транспортировку; потери от брака, излишних отходов и переделок; потери на обслуживание запасов; потери на перемещениях и движениях персонала; потери от простоев; потери из-за чрезмерной обработки. Потери в этом случае рассматриваются как операции, на которые затрачиваются временные и материальные ресурсы, без добавления ценности товару или услуге для конечного потребителя.

Так, к примеру, необходима защита от противоправных действий персонала, выполняющего бизнес-процессы, несанкционированного воздействия на поставщиков, объемы и сроки поставки ресурсов; регламент выполнения бизнес-процессов, в т.ч. регламент внутренних и внешних интерфейсов; технологию выполнения бизнес-процессов и прочее.

Описание бизнес-процессов, их моделирование, последующий контроль и анализ выполнения - постоянная и последовательная деятельность по устранению операционных рисков, а следовательно и потерь.

Автоматизировать процессы информационной безопасности компании можно с помощью систем класса GRC (Governance, Risk management and Compliance), которые рассматриваются сегодня как один из эффективных способов управления информационными технологиями и информационной безопасностью.

GRC это взгляд на управление чем-либо с трёх точек зрения: высшего руководства (Governance), управления рисками (Risk management) и соответствия требованиям (Compliance). Результатом обработки информации о деятельности всех подразделений компании становятся наглядные отчеты, сформулированные в терминах бизнеса.2

Например, модуль Enterprise Management продукта RSA Archer eGRC позволяет выполнить инвентаризацию и классификацию активов компании, создать единый реестр взаимоувязанных между собой активов, включая информационные и технологические активы, бизнес-процессы, товары и услуги, подразделения и отдельные бизнес-единицы, производственные помещения и оборудование, контакты с ответственными работниками компании, партнерами и поставщиками. Для каждого актива определяется его владелец и ценность для компании. Результаты данной работы могут использоваться при дальнейшем проведении процедуры оценки рисков информационной безопасности. Интеграция с системами управления уязвимостями SIEM или DLP позволяет установить приоритет устранения уязвимостей и нейтрализации инцидентов в отношении каждого конкретного актива.3

Однако реализовать все функции GRC в контексте безопасности бизнес-процессов с помощью одного, пусть даже хорошего, ИТ-решения практически невозможно. Система, которая может помочь в решении задач этой концепции, должна быть такая же комплексная, как и сами задачи GRC.4 Для комплексирова-ния с GRC-системой целесообразно использовать системы класса Business Process Management (ВРМ), Business" Performance Management и Business Intelligence, предназначенные для автоматизации и управления бизнес-процессами. Диаграмма взаимосвязи бизнес-процессов и основных субъектов информационной безопасности компании в нотации UML приведена на рис. 1.

2 Евгений Безгодов Что такое ОЯС и чем это может быть полезно для информационной безопасности? [Электронный ресурс] http://ru.deiteriy.com/what_is_grc_and_its_ ^аЬИ-ityJnJnformation_security/.

3 ОЯС - путь к оптимизации процессов управления ИБ //Банковское обозрение №9 (176) Сентябрь 2013 [электронный ресурс] http://www.bosfera.ru/bo/put-k-optimizatsii-protsessov

4 Концепция ОЯС стала очередным этапом развития рынка ИБ [Электронный ресурс] http://www.cnews.ru/reviews/free/security2008/articles/grc.shtml.

Рис. 1. Взаимосвязь бизнес-процессов и основных субъектов информационной

безопасности компании

Взаимодействие бизнес-процессов компании и среды, создающей угрозы, прежде всего для бизнес-процессов, в рамках системы информационной безопасности приведено на диаграмме ниже (рис. 2).

Рис. 2. Взаимодействие бизнес-процессов и среды, создающей угрозы

Основные выводы.

Комплексная диагностика состояния компании - первый этап в разработке стратегии управления информационной безопасностью, которую лучше всего выполнить с помощью SWOT-анализа с предлагаемой условной количественной оценкой.

Анализ показал, что бизнес-процессы являются первоисточником данных для организации информационной безопасности компании.

Обеспечение информационной безопасности бизнес-процессов следует начинать с разработки классификации данных, которая позволяет выявить информацию для защиты, минимизировать количество конфиденциальной информации, определить все места хранения информации, что может быть использовано для оптимизации бизнес-процессов в компании.

Анализ возможных рисков бизнес-процессов позволил установить следующие группы: риски при проектировании, реинжиниринге и в процессе использования бизнес-процессов.

Автоматизировать процессы информационной безопасности компании целесообразно с помощью системы класса GRC (Governance, Risk management and Compliance), которая должна комплексироваться с системами класса Business Process Management, Business Performance Management или Business Intelligence, предназначенные для автоматизации и управления бизнес-процессами.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Каменнова М.С., Громов А.И., Ферапонтов М.М., Шматалюк А.Е. Моделирование бизнеса. Методология ARIS. - М.: Весть-МетаТехнология, 2001.

2. Саати Т. Принятие решений. Метод анализа иерархий. - М.: Радио и связь, 1993.

3. Стельмашонок Е.В. Организация информационной защиты-бизнес-процессов // Прикладная информатика. - 2006. - № 2. - C. 42-57.

4. Тимохин А. Как найти все потери: практика применения методологии lean в НПО «ЭЛСИБ» // "БОСС" № 9, 2012.

5. Ханова А.А. Структурно-функциональная модель сбалансированной системы показателей при принятии управленческих решений // Вестник АГТУ Сер.: Управление, вычислительная техника и информатика. - 2012. - № 1. - C. 200-208.

Ефимов Евгений Николаевич - Ростовский государственный экономический университет (РИНХ); e-mail: [email protected]; 344002, г. Ростов-на-Дону, Б. Садовая, 69, комн. 306 а; тел.: 89525721917; кафедра информационных технологий и защиты информации; д.э.н.; профессор.

Лапицкая Галина Мелконовна - e-mail: [email protected]; тел.: 89286050143; кафедра информационных технологий и защиты информации; к.э.н.; профессор.

Efimov Evgeniy Nikolayevich - Rostov State Economic University; e-mail: [email protected]; 69, B. Sadovaya street, room 306 a, Rostov-on-Don, 344002, Russia; phone: +79525721917; the department information technologies and information security; dr.ec. sc.; professor.

Lapickaya Galina Melkovna - e-mail: [email protected]; phone: +79286050143; the department information technologies and information security; cand.ec. sc.; professor.

Компания «Бюро экономической безопасности (бизнеса)» профессионально занимается обеспечением информационной безопасности на предприятиях.

По статистики больше половины всех проблем бизнеса возникают по причине «пробелов» в информационной безопасности. Утечка информации к конкурентам, потеря данных, передача в чужие руки секретной информации компании – все это несет большой риск для бизнеса.

На первом месте находится защита финансовых данных, на втором – защита от утечек, а на третьем – защита от DdoS-атак. И если первые два пункта уже давно в тройке лидеров, то проблема с атаками появилась лишь недавно. Причина такого интереса – возросшее число DdoS-атак на компании малого и среднего сегмента.

Основные методы информационной защиты бизнеса:

1. Защита от вторжений

– установка программ или оборудования, необходимого для контроля трафика в сети. При появлении первой же опасности (вторжения) система реагирует и блокирует доступ. Одновременно с этим происходит оповещение ответственного сотрудника.

2. Защита от утечек

– набор мер, позволяющих предотвратить попадание конфиденциальной информации в посторонние руки. Утечка может произойти двумя способами:

— путем злонамеренной кражи (шпионаж, рейдеры, инсайдеры);
— по причине оплошности персонала (потеря носителя, отсылка пароля по почте, переход на страничку с вирусом, отсутствие ответственных людей за передачу прав на доступ к данным и так далее).

При злонамеренной краже методы защиты следующие – ограничение режима допуска на предприятие, установка камер наблюдения, монтаж средств уничтожения данных на серверах, шифрование информации, хранение данных на зарубежных серверах.

Кроме этого, для защиты от случайных ошибок важно организовать – запись телефонных разговоров, мониторинг трафика и работы сотрудника за ПК, шифрование USB карт, применение RMS, внедрение DLP систем и так далее.

3. Защита IP-сетей

бурное развитие IP-сетей, в том числе сети Интернет, способствовало созданию и совершенствованию большого количества проверенных временем и бизнесом средств и механизмов обеспечения безопасности. Их применение позволяет сделать информационный обмен по IP-сетям намного более безопасным, чем передачу данных по специализированным линиям связи.

Безопасность в IP-сетях — это реальность.

4. Защита файлов

подразумевает сохранность всей наиболее важной информации, которая хранится на компьютерах и серверах внутри компании. Она реализуется следующим образом:

— шифрованием файловых систем (данных) – применение систем EFS, Qnap, CryptoPro и так далее;

— шифрованием ноутбуков (нетбуков), носителей информации, мобильных аппаратов – программные решения (Kasperskiy, SecretDisk, Endpoint Encryption) или модули шифрования от Sony, Asus и прочих компаний;

— защита информации от системного администратора , к примеру, с помощью TrueCrypt;

— регистрация мобильного на трекерах мониторинговых систем (с помощью Касперского или Prey);

— запрет (ограничение) доступа к различным электронным файлам (один из лучших вариантов — Active Directory Rights Management Services).

— единая аутентификация. Можно использовать две схемы – на доменной авторизации (оборудование привязывается к доменной структуре), с помощью электронного ключа E-token или с помощью оповещения СМС.

5. Оптимизация и защита 1С

— при работе с базой 1С – шифрование дисков, ограничение прав доступа, установка системы защиты процессов обмена данными и фалов;

— при работе с СУБД базы 1С – ограничение прав администратора у пользователей, использование систем шифрования, выполнение мер по ограничению удаленного или физического доступа к серверам и так далее;

— защита конфиденциальных данны х.

Кроме перечисленных выше мер, к способам обеспечения информационной безопасности относится:

— защита корпоративных коммуникаций;
— быстрое удаление информации с сервера;
— контроль работы сотрудников;
— обеспечение отказоустойчивости и стабильности всех бизнес процессов.