Introducción
Los líderes empresariales deben reconocer la importancia de la seguridad de la información, aprender a predecir y gestionar las tendencias en esta área.
Los negocios de hoy no pueden existir sin la tecnología de la información. Se sabe que alrededor del 70% del producto nacional total del mundo depende de una forma u otra de la información almacenada en los sistemas de información. La introducción generalizada de las computadoras ha creado no solo las conocidas comodidades, sino también problemas, el más grave de los cuales es el problema de la seguridad de la información.
Junto con los controles para computadoras y redes informáticas, la norma presta gran atención al desarrollo de políticas de seguridad, trabajo con personal (contratación, capacitación, despido del trabajo), aseguramiento de la continuidad del proceso productivo y requisitos legales.
Sin duda, este tema, por supuesto, el trabajo del curso es muy relevante en las condiciones modernas.
El objeto del trabajo del curso: seguridad de la información de las actividades profesionales de la organización.
Tema de estudio: garantizar la seguridad de la información.
En el trabajo del curso, se planea crear una decisión de gestión de proyectos sobre la organización de la seguridad de la información sobre la base de una organización de la vida real.
Capítulo 1. Seguridad de la información de la actividad profesional
Garantizar la seguridad de la información es un área de actividad profesional relativamente nueva para los especialistas. Los principales objetivos de tales actividades son:
Garantizar la protección contra amenazas externas e internas en el campo de la formación, distribución y uso de los recursos de información;
Prevención de violaciones de los derechos de los ciudadanos y organizaciones a mantener la confidencialidad y el secreto de la información;
Asegurar condiciones que impidan la distorsión u ocultación deliberada de información en ausencia de fundamento legal para ello.
Los clientes de los especialistas en este campo son:
Órganos federales de poder estatal y administración de la Federación Rusa;
Autoridades estatales de las entidades constitutivas de la Federación Rusa;
Instituciones, organismos y empresas del Estado;
Industria de defensa;
Organismos locales de autogobierno;
Instituciones, organizaciones y empresas de forma no estatal
propiedad.
La aparición en la venta gratuita, aunque ilegal, de una base de datos de clientes de la empresa de comunicación celular MTS, nos obliga una y otra vez a volver al problema de la seguridad informática. Parece que este tema es inagotable. Su relevancia es mayor cuanto mayor sea el nivel de informatización de las empresas comerciales y organizaciones sin fines de lucro. Las altas tecnologías, que desempeñan un papel revolucionario en el desarrollo de los negocios y en casi todos los demás aspectos de la sociedad moderna, hacen que sus usuarios sean muy vulnerables en términos de información y, en última instancia, de seguridad económica.
Este es un problema no solo en Rusia, sino en la mayoría de los países del mundo, principalmente occidentales, aunque existen leyes que restringen el acceso a la información personal e imponen requisitos estrictos para su almacenamiento. Los mercados ofrecen varios sistemas para proteger las redes informáticas. Pero, ¿cómo protegerse de su propia "quinta columna": empleados sin escrúpulos, desleales o simplemente descuidados que tienen acceso a información clasificada? La escandalosa filtración de la base de datos de clientes de MTS aparentemente no podría haber ocurrido sin colusión o negligencia criminal de los empleados de la empresa.
Parece que muchos empresarios, si no la mayoría, simplemente no se dan cuenta de la gravedad del problema. Incluso en países con una economía de mercado desarrollada, según algunos estudios, el 80% de las empresas no tienen un sistema de protección de almacenamiento planificado y bien pensado, bases de datos operativas. Qué podemos decir de nosotros, acostumbrados a confiar en el famoso "tal vez".
Por tanto, no está de más volver al tema de los peligros que suponen las fugas de información confidencial, para hablar de medidas para reducir dichos riesgos. Una publicación en Legal Times (21 de octubre de 2002), una publicación legal (Mark M. Martin, Evan Wagner, “Information Vulnerability and Security”), nos ayudará con esto. Los autores enumeran los tipos y métodos más típicos de amenazas de información. ¿Qué exactamente?
Desclasificación y robo de secretos comerciales. Todo está más o menos claro aquí. Clásico, historia antigua, espionaje económico. Mientras que antes los secretos se guardaban en lugares secretos, en cajas fuertes masivas, bajo protección física y (posteriormente) electrónica fiable, hoy en día muchos empleados tienen acceso a las bases de datos de la oficina, que a menudo contienen información muy sensible, por ejemplo, los mismos datos de los clientes.
Distribución de materiales comprometedores. Aquí, los autores se refieren al uso intencional o accidental por parte de los empleados en la correspondencia electrónica de dicha información que ensombrece la reputación de la empresa. Por ejemplo, el nombre de la empresa queda reflejado en el dominio del corresponsal, quien permite difamaciones, insultos en sus cartas, en fin, todo lo que pueda comprometer a la organización.
Infracción de la propiedad intelectual. Es importante no olvidar que cualquier producto intelectual producido en una organización pertenece a la organización y no puede ser utilizado por los empleados (incluidos los generadores y autores de valores intelectuales) excepto en interés de la organización. Mientras tanto, en Rusia, a menudo surgen conflictos sobre este tema entre organizaciones y empleados que reclaman el producto intelectual que han creado y lo utilizan para intereses personales, en detrimento de la organización. Esto sucede a menudo debido a la vaga situación legal de la empresa, cuando el contrato de trabajo no contiene normas y reglas claramente definidas que describan los derechos y obligaciones de los empleados.
Distribución (a menudo no intencional) de información privilegiada que no es secreta, pero que puede ser útil para los competidores. Por ejemplo, sobre nuevas vacantes por expansión comercial, sobre viajes de negocios y negociaciones.
Visitas a sitios web de la competencia. Ahora, cada vez más empresas utilizan programas en sus sitios abiertos (en particular, diseñados para CRM), que le permiten reconocer a los visitantes y rastrear sus rutas en detalle, registrar el tiempo y la duración de la visualización de las páginas del sitio por ellos. Está claro que si su visita al sitio web de un competidor es conocida en detalle por su operador, entonces no es difícil para este último concluir qué es exactamente lo que le interesa. Este no es un llamado a abandonar el canal más importante de información competitiva. Los sitios web de la competencia han sido y siguen siendo una fuente valiosa para el análisis y la previsión. Pero al visitar sitios, debe recordar que deja huellas y también está siendo observado.
El abuso de las comunicaciones de la oficina para fines personales (escuchar, ver música y otro contenido no relacionado con el trabajo, descargar una computadora de la oficina) no representa una amenaza directa para la seguridad de la información, pero genera estrés adicional en la red corporativa, reduce la eficiencia e interfiere. con el trabajo de los compañeros.
Y, finalmente, amenazas externas: intrusiones no autorizadas, etc. Este es un tema para una discusión seria por separado.
¿Cómo protegerse de las amenazas internas? Simplemente no existe una garantía del 100 % contra los daños que pueden causar sus propios empleados. Este es un factor humano que no puede ser controlado completa e incondicionalmente. Al mismo tiempo, los autores mencionados anteriormente brindan consejos útiles: desarrollar e implementar una política de comunicación (o información) claramente formulada dentro de la empresa. Dicha política debería trazar una línea clara entre lo que está permitido y lo que no está permitido en el uso de las comunicaciones de la oficina. Cruzar la frontera lleva al castigo. Debe haber un sistema para monitorear quién usa las redes informáticas y cómo. Las reglas adoptadas por la empresa deben cumplir con los estándares reconocidos tanto a nivel nacional como internacional para la protección de secretos de estado y comerciales, información personal y privada.
Capítulo 2. Garantizar la seguridad de la información
actividad profesional en LLC "Laspi"
2.1. Breve descripción de Laspi LLC
Laspi LLC se estableció en 1995 como oficina de representación de una empresa checa en Rusia. La empresa se dedica al suministro de equipos y consumibles checos para la producción de diversos productos de hormigón (comenzando con losas de pavimento y terminando con cercas, macetas, etc.). El equipo es de alta calidad y costo razonable. Los clientes que solicitan la oficina de Samara son organizaciones de varias ciudades de Rusia y la CEI (Kazan, Ufa, Izhevsk, Moscú, Nizhny Novgorod, etc.). Naturalmente, una actividad de tan gran escala requiere una actitud especial hacia la seguridad de la información dentro de la empresa.
Hoy en día la seguridad de la información deja mucho que desear. Diversa documentación (técnica, económica) es de dominio público, lo que permite que casi cualquier empleado de la empresa (desde el fundador hasta el conductor) se familiarice con ella sin obstáculos.
Los documentos particularmente importantes se guardan en una caja fuerte. Solo el director y su secretaria tienen las llaves de la caja fuerte. Pero aquí el llamado factor humano juega un papel significativo. A menudo, las llaves se olvidan en la oficina sobre la mesa y la caja fuerte puede abrirse incluso por el limpiador.
La documentación económica (informes, facturas, recibos, facturas, etc.) se dispone en carpetas y estanterías en un armario que no tiene llave.
Los empleados no firman ningún acuerdo de confidencialidad sobre secretos comerciales cuando solicitan un trabajo, lo que no les prohíbe distribuir dicha información.
La captación de empleados se realiza a través de una entrevista, que consta de dos etapas: 1. comunicación con el jefe inmediato (en la que se revelan las habilidades y capacidades de un potencial empleado) 2. comunicación con el fundador (es de carácter más personal y la conclusión de tal diálogo puede ser "trabajar juntos" o "no trabajaremos").
Todo esto requiere una mayor atención por parte de la gerencia y un programa competente para garantizar la seguridad de la información de la empresa, porque hoy Laspi LLC tiene muchos competidores que es poco probable que pierdan la oportunidad de utilizar, por ejemplo, la base de clientes o la base de los proveedores de la empresa.
2.2. Proyecto de decisión de gestión para garantizar la seguridad de la información de las actividades profesionales de Laspi LLC.
Un lugar importante en el sistema de medidas organizativas, administrativas, legales y de otro tipo que permiten resolver cualitativamente los problemas de soporte de información para actividades científicas, industriales y comerciales, la seguridad física de los portadores materiales de información clasificada, la prevención de su fuga. , la preservación de los secretos comerciales está ocupada por el sistema permisivo de acceso de los artistas intérpretes o ejecutantes a documentos e información clasificados.
Teniendo en cuenta la Ley de la RSFSR "Sobre Empresas y Actividades Empresariales", el titular de una empresa (firme), independientemente de la forma de propiedad, puede establecer reglas especiales para el acceso a la información que deja un secreto comercial y sus portadores, por lo tanto velando por su seguridad.
En el sistema de medidas de seguridad, es fundamental la distribución óptima de la información productiva, comercial, financiera y crediticia que deje el secreto de la empresa entre los ejecutantes específicos de la obra y los documentos correspondientes. Al distribuir información, por un lado, es necesario asegurarse de que un empleado específico reciba una cantidad completa de datos para el desempeño oportuno y de alta calidad del trabajo que se le ha asignado y, por otro lado, excluir el familiarización del artista con información clasificada innecesaria que no necesita para trabajar.
Para garantizar el acceso legítimo y justificado del contratista a la información que constituye un secreto comercial de la empresa, se recomienda desarrollar e implementar un sistema de permisos adecuado en las empresas.
Se entiende por acceso la obtención del permiso por escrito del titular de la empresa (o, con su sanción, de otros directivos) para la emisión de información clasificada específica (o completa) a uno u otro empleado, teniendo en cuenta sus funciones oficiales (autoridad oficial ).
El registro de acceso a CT puede realizarse de conformidad con el Reglamento del Sistema de Permisos de Acceso aprobado por el director, el cual establece legalmente las facultades de los funcionarios de la empresa para distribuir información y utilizarla. El jefe de la organización puede permitir el uso de cualquier información protegida a cualquier empleado de esta empresa o una persona que llegó a las instalaciones de otra organización para resolver cualquier problema, si esta información no está sujeta a restricciones de familiarización por parte de socios comerciales y de producción. en producción conjunta, etc. P. Así, Laspi LLC recomienda restringir el acceso a la información que sea secreto comercial (contratos con proveedores y clientes, informes finales de transacciones) a los siguientes empleados:
1. Fundador de la empresa.
2.director de la empresa.
3. secretario del director.
Solo el fundador y director de la empresa puede dar permiso para acceder a la información a otros empleados.
El acceso a la información sobre las transacciones actuales con los clientes debe tener todos los empleados y gerentes antes mencionados que realizan estas transacciones.
La información inicial sobre los precios de compra de equipos también debe ser limitada. Solo tienen acceso a él el fundador, el director de la empresa, quienes brindan al resto de los empleados solo los precios ya elaborados (con varios "recargos"), así como la secretaria que administra todo el flujo de documentos en la organización.
El funcionamiento efectivo del sistema de licencias solo es posible si se observan ciertas reglas:
1. El sistema permisivo, como regla imperativa, incluye un enfoque diferenciado para permitir el acceso, teniendo en cuenta la importancia de la información clasificada respecto de la cual se decide la cuestión del acceso.
2. Es necesario documentar el permiso emitido para el derecho a usar cierta información protegida. Esto significa que el administrador que otorgó el derecho de uso debe fijarlo necesariamente por escrito en el documento correspondiente o en el formulario contable vigente en la empresa. Ninguna instrucción verbal o solicitud de acceso por parte de nadie (a excepción del director de la empresa) es legalmente vinculante. Este requisito también se aplica a los gerentes de todos los niveles que trabajan con información clasificada y sus portadores. Así, sólo el permiso escrito del titular (dentro de los límites de la autoridad) es un permiso para la emisión de información protegida a una u otra persona.
3. Debe observarse estrictamente el principio de control. Cada permiso debe tener la fecha de su expedición y expedición.
Un tipo de permiso tan tradicional como la resolución del encabezado en el documento más clasificado es ampliamente utilizado. Dicho permiso debe contener una lista de los nombres de los empleados que deben familiarizarse con los documentos o ejecutarlos, la fecha límite para la ejecución, otras instrucciones, la firma del titular y la fecha. El gerente puede, si es necesario, prever restricciones en el acceso de empleados específicos a cierta información.
La resolución, como un tipo de permiso, se utiliza principalmente para la pronta comunicación a los interesados de información clasificada contenida en documentos y productos recibidos del exterior y creados en la empresa.
El jefe de la empresa puede dar permiso para acceder a los documentos administrativos: órdenes, instrucciones, instrucciones para la empresa. Deben contener los nombres, cargos de las personas, documentos de clasificación específicos y productos a los que pueden ser admitidos (familiarizados).
Otro tipo de permisos: según las listas familiares de personas que tienen derecho a conocer y realizar cualquier acción con documentos y productos clasificados. Según las listas familiares, son aprobadas por el director de la empresa o, de acuerdo con el sistema de permisos vigente, por los gerentes que, por regla general, ocupan puestos no inferiores a los jefes de los departamentos correspondientes.
Según las listas familiares de personas, se pueden utilizar para organizar el acceso a documentos y productos clasificados que son de particular importancia para la empresa, al registrar el acceso a salas seguras, a varios tipos de eventos cerrados (conferencias, reuniones, exposiciones, reuniones de consejos científicos y técnicos, etc.). En las listas familiares, se pueden identificar líderes específicos, a quienes el jefe les permite acceder a todos los documentos y productos cerrados sin el debido permiso por escrito. Indican el nombre completo. contratista, departamento, cargo que ocupa, categoría de documentos y productos a los que está admitido. En la práctica, también se aplica la versión de las listas de trabajos, que indican: el puesto del contratista, el volumen de documentos (categorías de documentos) y los tipos de productos que deben utilizar los empleados de las empresas que ocupan el puesto correspondiente al lista. Cabe señalar que para las empresas con un pequeño volumen de documentos y productos clasificados, puede ser suficiente usar tipos de permiso como la resolución del encabezado en el documento mismo, por listas familiares, listas de trabajo.
En términos de organización, las listas familiares deben ser preparadas por los jefes de unidades estructurales interesados. La lista de empleados incluidos en la lista es refrendada por el titular del Consejo de Seguridad y aprobada por el titular de la empresa, quien puede delegar los derechos de aprobación en otras personas de la dirección.
El sistema de licencias debe cumplir con los siguientes requisitos:
aplicarse a todo tipo de documentos y productos clasificados disponibles en la empresa, independientemente de su ubicación y creación;
determinar el procedimiento de acceso para todas las categorías de empleados que hayan recibido el derecho a trabajar con CT, así como especialistas que hayan llegado temporalmente a la empresa y estén relacionados con pedidos cerrados conjuntos;
establecer un procedimiento simple y confiable para la emisión de permisos de acceso a documentos y productos protegidos, que le permita responder de inmediato a los cambios en el campo de la información en la empresa;
· delinear claramente los derechos de los administradores de varios niveles oficiales en el diseño del acceso a las categorías relevantes de artistas intérpretes o ejecutantes;
excluir la posibilidad de emisión incontrolada y no autorizada de documentos y productos a cualquier persona;
· no permitir que las personas que trabajan con información y objetos clasificados realicen cambios en los datos uniformes, así como también reemplacen los documentos contables.
Al desarrollar un sistema de permisos, se debe prestar especial atención a resaltar la información principal, especialmente valiosa para la empresa, lo que asegurará un acceso estrictamente limitado a ella. En presencia de trabajo conjunto con otras empresas (organizaciones), firmas extranjeras o sus representantes individuales, es necesario prever el procedimiento para el acceso de estas categorías al secreto comercial de la empresa. Es recomendable determinar el procedimiento de interacción con los representantes de los organismos de servicios estatales: supervisión técnica, estación sanitaria y epidemiológica, etc.
Es necesario indicar en el Reglamento sobre el sistema de licencias de la empresa que la transferencia de documentos y productos clasificados de contratista a contratista solo es posible dentro de la unidad estructural y con el permiso de su jefe. La transferencia, devolución de dichos documentos de productos se realiza de acuerdo con el procedimiento establecido por la empresa y solo durante el horario laboral del día indicado.
Toda la documentación clasificada y los productos recibidos por la empresa y desarrollados en ella son aceptados y tenidos en cuenta por los mandos intermedios y la secretaría. Después del registro, la documentación se presenta para su consideración al jefe de la empresa contra recibo.
Es necesario indicar en el Reglamento sobre el sistema de permisos de la empresa que las reuniones cerradas sobre asuntos oficiales se llevan a cabo solo con el permiso del jefe de la empresa o sus adjuntos. Pueden aplicarse requisitos especiales a las reuniones de consejos académicos, reuniones para revisar los resultados de I+D y actividades financieras y comerciales, etc. Para tales eventos, se recomienda elaborar listas permisivas sin falta e incluir en ellas solo a aquellos empleados de la empresa que estén directamente relacionados con los eventos planificados y cuya participación sea causada por una necesidad oficial.
Como se señaló anteriormente, los empleados de otras empresas pueden participar en reuniones cerradas solo con el permiso personal de la gerencia de la empresa. Prepara listas, por regla general, responsables de organizar la reunión en contacto con los jefes de unidades estructurales interesados. La lista es la base para organizar el control de admisión a esta reunión. Antes del inicio de la reunión, se advierte a los presentes que la información tratada es confidencial y no está sujeta a distribución fuera del ámbito de circulación establecido por la empresa, y se imparten instrucciones sobre cómo llevar registros.
Es importante enfatizar que el establecimiento de un determinado procedimiento para el manejo de información y productos clasificados en una empresa aumenta significativamente la confiabilidad de proteger los secretos comerciales, reduce la probabilidad de divulgación, pérdida de portadores de esta información.
Para garantizar la seguridad de los documentos, se propone comprar muebles apropiados que le permitan bloquear documentos de forma segura. También es necesario todos los días, antes de salir, sellar los armarios.
Las llaves de la caja fuerte y de los armarios deben entregarse al servicio de seguridad contra firma. También se recomienda comprar un tubo especial para guardar llaves y sellarlo de la misma manera.
Se debe prestar especial atención a la seguridad de la información informática. En Laspi LLC hoy se han creado varias bases de datos: clientes de la empresa (indicando no solo sus direcciones y teléfonos de trabajo, sino también sus domicilios, así como información personal); una base de datos con precios y características de los equipos suministrados; base de datos de los empleados de la organización. Varios contratos, acuerdos, etc. también se almacenan en la computadora.
En cualquier caso, poner esta información en manos de los competidores es altamente indeseable. Para evitar este escenario, se recomienda crear contraseñas para acceder a cada base de datos (y las herramientas de software lo permiten). Al iniciar la computadora, también se recomienda configurar la protección de dos niveles (al cargar el BIOS y al cargar el sistema operativo Windows'2000, que no permite el acceso sin contraseña al contenido del disco duro, a diferencia de las versiones anteriores de este sistema operativo) . Naturalmente, las contraseñas también deben estar disponibles solo para aquellos empleados de la empresa que trabajan directamente con estas bases de datos (secretaria, gerentes, programadores).
En caso de cualquier problema relacionado con la computadora y la necesidad de contactar a una empresa externa, es necesario controlar completamente el proceso de reparación del equipo. Dado que es en ese momento cuando se eliminan todas las contraseñas, cuando el programador "desde afuera" tiene acceso libre y sin obstáculos a los contenidos del disco duro, es posible que se apodere de la información y la utilice para varios propósitos.
Debe mantener su software antivirus actualizado para evitar que los virus ingresen y se propaguen en sus computadoras.
Se debe prestar especial atención a la contratación de nuevos empleados. Hoy en día, muchas organizaciones practican un enfoque más duro de este proceso, lo que se asocia con el deseo de mantener la información dentro de la empresa y no dejarla ir más allá debido al "factor humano".
Donde la mayoría de las contrataciones ocurren en dos etapas (como se resume arriba), aquí se sugieren cuatro etapas.
1. Conversación con el jefe del departamento de personal. El jefe del departamento de personal se familiariza con el candidato, su currículum, hace preguntas sobre actividades profesionales y toma notas preliminares. Este paso es profesional. Luego, el jefe del departamento de personal analiza la información recibida de los candidatos y se la transfiere al jefe.
2. Consiga familiarizarse con los currículums de los candidatos y notas sobre ellos por parte del jefe del departamento de personal, eligiendo los más adecuados e invitándolos a una entrevista. La entrevista es de naturaleza personal e involucra preguntas no estándar (por ejemplo, qué le gusta comer a una persona, cuál es su pasatiempo, etc.). Así, el gerente recibe información para decidir qué tan adecuada es esta persona para él, predice posibles problemas con los que se puede encontrar al comunicarse con este candidato.
3. Pruebas. Aquí ya se determina el nivel de inteligencia del empleado, su retrato psicológico se compila sobre la base de varias pruebas. Pero primero debe determinar cómo el gerente y los colegas quieren ver al nuevo empleado.
4. Servicio de seguridad. Aquí se proponen dos etapas: a) verificación de los candidatos en diversas instancias (si fue llevado a juicio, si cumplió condena en lugares de privación de libertad, si está registrado en un dispensario de drogadicción, si la información que proporcionó sobre antecedentes trabajos es cierto); b) verificar equipos especiales, que con mayor frecuencia se denominan "detectores de mentiras". En la segunda etapa, se determina qué tan leal es el empleado a la empresa, qué reacciones tiene ante las preguntas provocativas (por ejemplo, qué hará si se entera de que uno de sus compañeros se lleva documentos a casa), etc.
Y solo después de que el candidato haya superado estas cuatro etapas, puede decidir si contratarlo o no.
Después de que se toma una decisión positiva, se establece un período de prueba para el empleado (según la legislación de la Federación Rusa, puede variar de 1 a 3 meses, pero se recomiendan al menos 2 meses y preferiblemente 3). Durante el período de prueba, la gerencia y el servicio de seguridad deben vigilar al nuevo empleado, observar sus actividades.
Además, inmediatamente después de la contratación, es necesario, junto con la celebración de un contrato de trabajo, firmar un acuerdo de no divulgación de secretos comerciales. Cláusulas recomendadas de este acuerdo:
Esta no es una lista completa de lo que se puede incluir en un acuerdo.
Conclusión
Hoy en día, el tema de la organización de la seguridad de la información preocupa a organizaciones de cualquier nivel, desde grandes corporaciones hasta empresarios sin formar una entidad legal. La competencia en las relaciones de mercado modernas está lejos de ser perfecta y, a menudo, no se lleva a cabo de la manera más legal. Florece el espionaje industrial. Pero también hay casos de difusión no intencional de información relacionada con el secreto comercial de la organización. Como regla general, la negligencia de los empleados, su falta de comprensión de la situación, en otras palabras, el "factor humano" juega un papel aquí.
El trabajo del curso presenta un proyecto de decisión de gestión sobre la organización de la seguridad de la información en Laspi LLC. El proyecto afecta a tres áreas principales de organización de la seguridad: 1. área de documentación (acceso a los materiales presentados en papel, con la delimitación de este acceso); 2.seguridad informática; 3. seguridad en términos de contratación de nuevos empleados.
Hay que tener en cuenta que si bien este proyecto fue desarrollado para una organización específica, sus disposiciones también pueden ser utilizadas para organizar la seguridad en otras medianas empresas.
Introducción
Los líderes empresariales deben reconocer la importancia de la seguridad de la información, aprender a predecir y gestionar las tendencias en esta área.
Los negocios de hoy no pueden existir sin la tecnología de la información. Se sabe que alrededor del 70% del producto nacional total del mundo depende de una forma u otra de la información almacenada en los sistemas de información. La introducción generalizada de las computadoras ha creado no solo las conocidas comodidades, sino también problemas, el más grave de los cuales es el problema de la seguridad de la información.
Junto con los controles para computadoras y redes informáticas, la norma presta gran atención al desarrollo de políticas de seguridad, trabajo con personal (contratación, capacitación, despido del trabajo), aseguramiento de la continuidad del proceso productivo y requisitos legales.
Sin duda, este tema, por supuesto, el trabajo del curso es muy relevante en las condiciones modernas.
El objeto del trabajo del curso: seguridad de la información de las actividades profesionales de la organización.
Tema de estudio: garantizar la seguridad de la información.
En el trabajo del curso, se planea crear una decisión de gestión de proyectos sobre la organización de la seguridad de la información sobre la base de una organización de la vida real.
Capítulo 1. Seguridad de la información de la actividad profesional
Garantizar la seguridad de la información es un área de actividad profesional relativamente nueva para los especialistas. Los principales objetivos de tales actividades son:
Garantizar la protección contra amenazas externas e internas en el campo de la formación, distribución y uso de los recursos de información;
Prevención de violaciones de los derechos de los ciudadanos y organizaciones a mantener la confidencialidad y el secreto de la información;
Asegurar condiciones que impidan la distorsión u ocultación deliberada de información en ausencia de fundamento legal para ello.
Los clientes de los especialistas en este campo son:
Órganos federales de poder estatal y administración de la Federación Rusa;
Autoridades estatales de las entidades constitutivas de la Federación Rusa;
Instituciones, organismos y empresas del Estado;
Industria de defensa;
Organismos locales de autogobierno;
Instituciones, organizaciones y empresas de forma no estatal
propiedad.
La aparición en la venta gratuita, aunque ilegal, de una base de datos de clientes de la empresa de comunicación celular MTS, nos obliga una y otra vez a volver al problema de la seguridad informática. Parece que este tema es inagotable. Su relevancia es mayor cuanto mayor sea el nivel de informatización de las empresas comerciales y organizaciones sin fines de lucro. Las altas tecnologías, que desempeñan un papel revolucionario en el desarrollo de los negocios y en casi todos los demás aspectos de la sociedad moderna, hacen que sus usuarios sean muy vulnerables en términos de información y, en última instancia, de seguridad económica.
Este es un problema no solo en Rusia, sino en la mayoría de los países del mundo, principalmente occidentales, aunque existen leyes que restringen el acceso a la información personal e imponen requisitos estrictos para su almacenamiento. Los mercados ofrecen varios sistemas para proteger las redes informáticas. Pero, ¿cómo protegerse de su propia "quinta columna": empleados sin escrúpulos, desleales o simplemente descuidados que tienen acceso a información clasificada? La escandalosa filtración de la base de datos de clientes de MTS aparentemente no podría haber ocurrido sin colusión o negligencia criminal de los empleados de la empresa.
Parece que muchos empresarios, si no la mayoría, simplemente no se dan cuenta de la gravedad del problema. Incluso en países con una economía de mercado desarrollada, según algunos estudios, el 80% de las empresas no tienen un sistema de protección de almacenamiento planificado y bien pensado, bases de datos operativas. Qué podemos decir de nosotros, acostumbrados a confiar en el famoso "tal vez".
Por tanto, no está de más volver al tema de los peligros que suponen las fugas de información confidencial, para hablar de medidas para reducir dichos riesgos. Una publicación en Legal Times (21 de octubre de 2002), una publicación legal (Mark M. Martin, Evan Wagner, “Information Vulnerability and Security”), nos ayudará con esto. Los autores enumeran los tipos y métodos más típicos de amenazas de información. ¿Qué exactamente?
Desclasificación y robo de secretos comerciales. Todo está más o menos claro aquí. Clásico, historia antigua, espionaje económico. Mientras que antes los secretos se guardaban en lugares secretos, en cajas fuertes masivas, bajo protección física y (posteriormente) electrónica fiable, hoy en día muchos empleados tienen acceso a las bases de datos de la oficina, que a menudo contienen información muy sensible, por ejemplo, los mismos datos de los clientes.
Distribución de materiales comprometedores. Aquí, los autores se refieren al uso intencional o accidental por parte de los empleados en la correspondencia electrónica de dicha información que ensombrece la reputación de la empresa. Por ejemplo, el nombre de la empresa queda reflejado en el dominio del corresponsal, quien permite difamaciones, insultos en sus cartas, en fin, todo lo que pueda comprometer a la organización.
Infracción de la propiedad intelectual. Es importante no olvidar que cualquier producto intelectual producido en una organización pertenece a la organización y no puede ser utilizado por los empleados (incluidos los generadores y autores de valores intelectuales) excepto en interés de la organización. Mientras tanto, en Rusia, a menudo surgen conflictos sobre este tema entre organizaciones y empleados que reclaman el producto intelectual que han creado y lo utilizan para intereses personales, en detrimento de la organización. Esto sucede a menudo debido a la vaga situación legal de la empresa, cuando el contrato de trabajo no contiene normas y reglas claramente definidas que describan los derechos y obligaciones de los empleados.
Distribución (a menudo no intencional) de información privilegiada que no es secreta, pero que puede ser útil para los competidores. Por ejemplo, sobre nuevas vacantes por expansión comercial, sobre viajes de negocios y negociaciones.
Visitas a sitios web de la competencia. Ahora, cada vez más empresas utilizan programas en sus sitios abiertos (en particular, diseñados para CRM), que le permiten reconocer a los visitantes y rastrear sus rutas en detalle, registrar el tiempo y la duración de la visualización de las páginas del sitio por ellos. Está claro que si su visita al sitio web de un competidor es conocida en detalle por su operador, entonces no es difícil para este último concluir qué es exactamente lo que le interesa. Este no es un llamado a abandonar el canal más importante de información competitiva. Los sitios web de la competencia han sido y siguen siendo una fuente valiosa para el análisis y la previsión. Pero al visitar sitios, debe recordar que deja huellas y también está siendo observado.
El abuso de las comunicaciones de la oficina para fines personales (escuchar, ver música y otro contenido no relacionado con el trabajo, descargar una computadora de la oficina) no representa una amenaza directa para la seguridad de la información, pero genera estrés adicional en la red corporativa, reduce la eficiencia e interfiere. con el trabajo de los compañeros.
Y, finalmente, amenazas externas: intrusiones no autorizadas, etc. Este es un tema para una discusión seria por separado.
¿Cómo protegerse de las amenazas internas? Simplemente no existe una garantía del 100 % contra los daños que pueden causar sus propios empleados. Este es un factor humano que no puede ser controlado completa e incondicionalmente. Al mismo tiempo, los autores mencionados anteriormente brindan consejos útiles: desarrollar e implementar una política de comunicación (o información) claramente formulada dentro de la empresa. Dicha política debería trazar una línea clara entre lo que está permitido y lo que no está permitido en el uso de las comunicaciones de la oficina. Cruzar la frontera lleva al castigo. Debe haber un sistema para monitorear quién usa las redes informáticas y cómo. Las reglas adoptadas por la empresa deben cumplir con los estándares reconocidos tanto a nivel nacional como internacional para la protección de secretos de estado y comerciales, información personal y privada.
Capítulo 2. Garantizar la seguridad de la información
actividad profesional en LLC "Laspi"
2.1. Breve descripción de Laspi LLC
Laspi LLC se estableció en 1995 como oficina de representación de una empresa checa en Rusia. La empresa se dedica al suministro de equipos y consumibles checos para la producción de diversos productos de hormigón (comenzando con losas de pavimento y terminando con cercas, macetas, etc.). El equipo es de alta calidad y costo razonable. Los clientes que solicitan la oficina de Samara son organizaciones de varias ciudades de Rusia y la CEI (Kazan, Ufa, Izhevsk, Moscú, Nizhny Novgorod, etc.). Naturalmente, una actividad de tan gran escala requiere una actitud especial hacia la seguridad de la información dentro de la empresa.
Hoy en día la seguridad de la información deja mucho que desear. Diversa documentación (técnica, económica) es de dominio público, lo que permite que casi cualquier empleado de la empresa (desde el fundador hasta el conductor) se familiarice con ella sin obstáculos.
Los documentos particularmente importantes se guardan en una caja fuerte. Solo el director y su secretaria tienen las llaves de la caja fuerte. Pero aquí el llamado factor humano juega un papel significativo. A menudo, las llaves se olvidan en la oficina sobre la mesa y la caja fuerte puede abrirse incluso por el limpiador.
La documentación económica (informes, facturas, recibos, facturas, etc.) se dispone en carpetas y estanterías en un armario que no tiene llave.
Los empleados no firman ningún acuerdo de confidencialidad sobre secretos comerciales cuando solicitan un trabajo, lo que no les prohíbe distribuir dicha información.
La captación de empleados se realiza a través de una entrevista, que consta de dos etapas: 1. comunicación con el jefe inmediato (en la que se revelan las habilidades y capacidades de un potencial empleado) 2. comunicación con el fundador (es de carácter más personal y la conclusión de tal diálogo puede ser "trabajar juntos" o "no trabajaremos").
Enviar su buen trabajo en la base de conocimiento es simple. Utilice el siguiente formulario
Los estudiantes, estudiantes de posgrado, jóvenes científicos que utilizan la base de conocimientos en sus estudios y trabajos le estarán muy agradecidos.
Seguridad de la información en los negocios.
Introducción
Información a proteger
¿De quién se debe proteger la información?
Protección de Datos
Conclusión
Literatura
Introducción
A la fecha, el problema de la seguridad es uno de los más urgentes en los negocios. Sin embargo, a menudo, la seguridad se entiende solo como la protección física del personal y los bienes materiales. Pero de esta manera, solo se puede resistir el crimen. Mientras tanto, al entrar en relaciones de mercado, cualquier organización se enfrenta a la feroz competencia que existe en cualquier mercado civilizado. Y esta lucha está llena de muchos peligros para la empresa. Si una empresa ha logrado algún éxito en su negocio, no hay duda de que atrae un interés considerable de las empresas competidoras. Cualquier información sobre el trabajo de la empresa atraerá una mayor atención por parte de ellos. Por lo tanto, la protección de la información se está convirtiendo en una parte esencial del sistema de seguridad empresarial moderno.
"Quien es dueño de la información, es dueño del mundo". Esta verdad cobra especial relevancia en el umbral del siglo XXI, cuando la era posindustrial está siendo reemplazada por la era de la información. En el nuevo siglo, el tema de la seguridad de la información empresarial se vuelve aún más importante.
El propósito de este trabajo es considerar la esencia de la seguridad de la información en los negocios.
De acuerdo con este objetivo, se establecieron las siguientes tareas:
Determinar los tipos y fuentes de información a proteger;
Identificar objetos para los cuales la información de otra persona es de interés;
Revelar métodos de protección de la información.
Información a proteger
Para entender el problema de la seguridad de la información, responderemos a tres preguntas:
¿Qué información necesitamos proteger?
¿De quién y qué necesitamos para protegerlo?
¿Cómo debemos proteger la información?
Entonces, ¿qué tipo de información necesitamos proteger? La efectividad de nuestro sistema de seguridad de la información depende principalmente de cuán correctamente determinemos la respuesta a esta pregunta. En primer lugar, es necesario proteger la información: Gorokhov P.K. Seguridad de la información. - M.: Radio y comunicación, 2005.
Sobre las ventajas competitivas que posee la empresa
Sobre las tecnologías de su trabajo.
Sobre el movimiento de flujos de efectivo y materiales de la empresa
Sobre los planes estratégicos de la empresa
Sobre nuevos productos.
Dependiendo de la naturaleza de las actividades de la empresa, la lista de objetos de protección de la información se puede ampliar. Por lo tanto, tiene sentido que la mayoría de las empresas también mantengan la información en secreto de los competidores: Gorokhov P.K. Seguridad de la información. - M.: Radio y comunicación, .2005
Sobre tus clientes
Sobre el personal de la empresa.
Es importante entender que una empresa debe proteger lejos de toda la información que posee, sino sólo aquella, cuyo uso por parte de terceros puede perjudicar las actividades de la empresa. Por el contrario, también existe esa información que la empresa simplemente necesita divulgar. Por lo tanto, no tiene sentido proteger la información sobre nuestros precios de los competidores. Pero la información sobre precios y condiciones bajo las cuales compramos productos, materias primas y materiales debe mantenerse en secreto de los competidores. La excesiva cercanía de la empresa puede provocar una actitud negativa hacia ella por parte de potenciales socios, clientes e inversores. Esto es especialmente cierto para las empresas que planean colocar sus valores. Para evitar que esto suceda, la empresa debe determinar inicialmente qué información, en qué volumen y con qué periodicidad debe divulgar. En este caso, puede centrarse en los estándares occidentales de divulgación de información. Los mismos estándares han sido fijados por la Comisión Federal del Mercado de Valores para las empresas que ofrecen valores. La información que debe ser divulgada incluye: Negocios modernos: Ética, cultura, seguridad. - M.: GPNTB, 2007.
Estados financieros anuales (balance, estado de resultados, estado de flujo de efectivo)
Datos del accionista
Datos sobre transacciones significativas de capital.
En cuanto a la información que no está sujeta a divulgación, la organización debe clasificarla según el grado de secreto y desarrollar estándares de seguridad de la información para cada categoría.
¿De quién se debe proteger la información?
En sus actividades, la empresa se enfrenta a diversas organizaciones que componen su entorno. Estos son: Rastorguev S.P. Guerra de información. - M.: Radio y comunicación, 2007. Competidores, clientes, socios, autoridades fiscales, reguladores.
Como se señaló anteriormente, los competidores muestran un interés particular en varios tipos de información. Y son sus acciones las que conllevan el mayor peligro para la empresa. Después de todo, la cuota de mercado que ocupa una empresa es siempre un sabroso bocado para los competidores, y el daño por la filtración de diversos tipos de información, por ejemplo, sobre las características de un producto que se está preparando para su lanzamiento, puede ser irreparable.
En cuanto a los socios, su interés en relación con la información sobre su empresa puede ser causado, en primer lugar, por consideraciones de su propia seguridad. Por lo tanto, es necesario crear las condiciones más favorables para que reciban información sobre la empresa que no vaya más allá del marco necesario para una cooperación fructífera. Aquí es necesario definir claramente de qué tipo de información se trata, con el fin de brindarla en tiempo y forma y en su totalidad y restringir el acceso a otra información.
La información que los clientes quieren recibir es muy específica. Estos son: Sociedad de la Información: Guerras de la Información. Gestión de la información. Seguridad de la Información / Ed. M. A. Vus. - M.: Editorial de San Petersburgo. un-ta, 2006. información general sobre la empresa y sus productos, información sobre la confiabilidad de la empresa, información sobre precios.
Para los clientes, es importante asegurarse de que dicha información sea lo más accesible posible. Hablando de la protección de la información, debe entenderse que "sacar la basura de la choza" sería indeseable. Sin embargo, lo mismo se aplica a las relaciones con los socios. Por lo tanto, es especialmente importante definir claramente qué información interna de la empresa no se puede divulgar.
Las relaciones de la empresa con las autoridades fiscales y reguladoras son específicas. Estos organismos tienen sus propios requisitos específicos para el suministro de información a ellos. En la relación con ellos, es importante cumplir a cabalidad con sus requerimientos, brindar información en tiempo y forma y en el volumen requerido, pero sin exceder este volumen. En este caso, tanto la falta como el exceso de información facilitada pueden acarrear las consecuencias más indeseables.
El siguiente tema importante es comprender de qué información se debe proteger. Las acciones indeseables que se pueden realizar con la información que constituye el secreto de la organización son: Sociedad de la información: Guerras de la información. Gestión de la información. Seguridad de la Información / Ed. M. A. Vus. - M.: Editorial de San Petersburgo. un-ta, 2006. destrucción de información importante, distorsión de información abierta, posesión de información secreta, copia de información electrónica confidencial, cierre o restricción de acceso a información requerida por la empresa, acceso no autorizado a información con acceso restringido.
Antes de considerar las medidas para proteger la información, detengámonos en qué medios y métodos se pueden utilizar para obtener la información necesaria sobre la empresa. Existen dos grandes grupos de medios y métodos de inteligencia económica o espionaje industrial: Seguridad de la información: Proc. para las universidades de humanidades. y socioeconómico. especialidades - M.: Pasante. relaciones: Cronista, 2007.
Métodos de recopilación de información utilizando equipos especiales.
Métodos de recopilación fragmentaria de información.
El espionaje industrial asociado con el uso de equipos especiales incluye: Seguridad de la información: Proc. para las universidades de humanidades. y socioeconómico. especialidades - M.: Pasante. relaciones: Cronista, 2007.
Escuchar conversaciones telefónicas
sala de espionaje
vigilancia televisiva
Intrusión en la red informática
Lectura de información de los monitores.
Todos estos métodos consumen mucho tiempo y son costosos, y solo pueden ser utilizados por grandes competidores y organismos encargados de hacer cumplir la ley. La implementación de tales acciones solo es posible por parte de un profesional, lo que hace que tales acciones sean especialmente peligrosas.
Los métodos de recopilación fragmentaria de información incluyen: Seguridad de la información: Proc. para las universidades de humanidades. y socioeconómico. especialidades - M.: Pasante. relaciones: Cronista, 2007.
Inteligencia telefónica. Se puede obtener mucha información sobre una empresa por teléfono, llamando con algún pretexto plausible, como establecer contactos comerciales o realizar una encuesta estadística. Si el personal de la empresa no es lo suficientemente consciente de qué información no debe divulgarse, corre el riesgo de filtrar información importante sin saberlo.
Negociaciones falsas. Usando este método muy común, sus competidores pueden presentarse, por ejemplo, como sus clientes o socios potenciales y durante las negociaciones preliminares recibir mucha información de interés para ellos si no los somete a una verificación preliminar y es demasiado abierto con ellos. Diversas exposiciones son un terreno especialmente fértil para obtener este tipo de información.
Reclutamiento de empleados. Invitar a trabajar a especialistas de una empresa competidora a veces te permite aprender mucho sobre sus actividades. Incluso si una persona, por razones de decencia, no da información que era un secreto en su lugar de trabajo anterior, de acuerdo con sus conocimientos, hábitos, comportamiento, se pueden sacar numerosas conclusiones sobre el trabajo de una empresa competidora. Algunas empresas también practican la “falsa caza furtiva” de empleados, atrayéndolos con un salario alto. En numerosas entrevistas y entrevistas, pueden aprender mucho sobre su empresa, mientras que él nunca consigue un nuevo trabajo.
Introducir empleados propios en la plantilla de la competencia. Este método de espionaje industrial es el más peligroso, ya que al introducir a su persona en el equipo de otra persona, puede averiguar sobre la empresa cualquier información que sea competencia de este empleado. Y si la empresa no toma medidas para restringir el acceso a la información interna, un empleado común puede saber casi todo sobre la empresa.
Por lo tanto, hemos llegado al tema más importante de la seguridad de la información comercial: ¿cómo proteger la información?
Protección de Datos
En general, garantizar la seguridad de la información de las empresas se reduce a resolver dos tareas principales: Stepanov E. A., Korneev I. K. Seguridad de la información y protección de la información. - M.: INFRA-M, 2008.
Velar por la integridad y seguridad de la información.
Protección de la información contra el acceso no autorizado.
Considerar medidas para garantizar la integridad y seguridad de la información. Por regla general, la información se almacena en:
medios de papel
Medios electrónicos.
Los documentos generalmente se almacenan en papel. El número de copias de documentos es limitado, a veces pueden existir en una sola copia. Entonces su pérdida hará imposible la recuperación. Para evitar que esto suceda, es necesario llevar un estricto registro de todos los documentos, almacenarlos en condiciones adecuadas y garantizar el control de acceso a los mismos. Siempre que sea posible, se deben conservar y almacenar copias de la información en lugares especialmente equipados. Al mismo tiempo, es importante que los originales y las copias se almacenen en habitaciones separadas. Además, es deseable, si es posible, trabajar con copias y guardar los originales en bóvedas secretas. Esto puede ser especialmente importante en circunstancias imprevistas, como un incendio o un robo.
Actualmente, existe una clara tendencia hacia la expansión del uso de medios electrónicos. En muchas empresas, todo el flujo de documentos se realiza electrónicamente. Una parte integral de la estructura de información de las empresas son varias bases de datos electrónicas. La información de audio y video también se almacena en medios electrónicos. En los últimos años, incluso los pagos se realizan electrónicamente. Y al mismo tiempo, es la información electrónica la más vulnerable en términos de destrucción y daño. El hecho es que los medios electrónicos no son muy duraderos y el manejo inadecuado de los equipos puede provocar la destrucción accidental de la información. Otro gran peligro son los virus informáticos, que se han generalizado en los últimos tiempos. Como medidas utilizadas para proteger la información electrónica de daños y destrucción, suelen utilizar: Stepanov E. A., Korneev I. K. Seguridad de la información y protección de la información. - M.: INFRA-M, 2008.
Información de respaldo. Se lleva a cabo diariamente y brinda la capacidad de restaurar información a una profundidad de no más de un día. Las copias diarias generalmente se mantienen separadas de la red informática.
Disponibilidad de servidores redundantes en la red local. Le permite no dejar de trabajar si falla el servidor principal.
Uso de sistemas de alimentación ininterrumpida. Permite proteger la red informática de la empresa de pérdidas de información asociadas a problemas en la red eléctrica.
Creación de archivos de información. Toda la información más importante se archiva, graba en medios extraíbles y se almacena en una sala especialmente equipada. Además, para aumentar la fiabilidad, se deben hacer varias copias y almacenarlas de forma independiente. Al elegir un transportador, se debe prestar especial atención a su confiabilidad y durabilidad.
Protección antivirus. Para proteger eficazmente una red informática de un ataque de virus, se deben controlar todos los archivos que provienen del exterior. Para hacer esto, se recomienda deshabilitar las unidades de disco en las estaciones de trabajo de la red local y escribir todos los archivos externos solo a través del administrador de la red después de una verificación antivirus adecuada. Se recomienda prohibir el uso de disquetes en su organización. La mayor amenaza de virus está cargada con el uso de Internet. Es necesario construir un sistema de protección antivirus de tal manera que todos los archivos que llegan a través de Internet se verifiquen antes de su uso. También debe realizar una verificación preventiva diaria antes de realizar una copia de seguridad.
Limitación de acceso. Para evitar daños accidentales o la eliminación de información o software necesarios, debe limitar el acceso de cada usuario a la red local de la empresa solo a la información que necesita. Cuando se deba proteger la información del propio usuario, se debe utilizar el acceso de solo lectura.
Ahora considere medidas para proteger la información del acceso no autorizado.
El medio más importante para combatir la fuga de información es el trabajo con el personal. El paso más importante es la selección del personal. Al contratar una empresa, se debe prestar atención no solo a las cualidades comerciales y profesionales de los candidatos, sino, en primer lugar, a sus cualidades humanas: decencia, honestidad, lealtad. Después de la contratación, es necesario, de vez en cuando, realizar un seguimiento encubierto de las actividades de los empleados para evitar posibles fugas de información. También es necesario que la gerencia esté siempre al tanto de los problemas de sus subordinados para evitar tales situaciones cuando la búsqueda de ingresos adicionales o la ambición excesiva empuja a una persona a vender los secretos de la empresa.
Sin embargo, todas estas medidas no traerán ningún resultado si la empresa no desarrolla un sistema claro para delimitar el acceso a la información. Dependiendo de la jerarquía existente en la empresa, cada empleado debe tener acceso a una cantidad de información estrictamente definida. Además, es necesario contar con una disposición interna sobre información oficial y secretos comerciales y definir claramente el grado de secreto de cada documento.
La forma más efectiva de proteger la información del acceso no deseado es fragmentar la información. Este principio radica en que cualquiera de los empleados debe tener únicamente información relacionada con su área de trabajo. Por lo tanto, cualquier información se divide entre los empleados y ninguna información secreta puede ser completamente accesible para una sola persona. Como resultado, no puede comunicar consciente ni inconscientemente todo el secreto a nadie.
Para protegerse contra el espionaje industrial utilizando medios técnicos, es necesario utilizar medios especiales. Actualmente, por cada "bicho" hay un "anti-bicho". Es importante llevar a cabo regularmente los controles apropiados, monitorear constantemente las vulnerabilidades. Puede reducir significativamente la posibilidad de utilizar medios técnicos de espionaje en su contra si tiene un sistema de control de acceso a las instalaciones que funcione correctamente. La contabilidad de todos los movimientos de empleados e invitados dentro de la empresa y la vigilancia por televisión interna y externa no lo protegerán por completo, pero en algunos casos ayudarán a identificar y prevenir acciones en su contra. Y, por supuesto, el principal objeto de protección contra el acceso no autorizado es la información electrónica. Los principales métodos de su protección son: Stepanov E. A., Korneev I. K. Seguridad de la información y protección de la información. - M.: INFRA-M, 2008.
Control de acceso. Como se indicó anteriormente, cada empleado debe trabajar en la red local solo con la información que necesita para realizar sus funciones laborales. Esto es especialmente cierto en organizaciones que utilizan grandes sistemas automatizados integrados. El descuido de la separación del acceso o su aplicación incorrecta puede llevar al hecho de que los empleados ordinarios tendrán casi toda la información sobre las actividades de la empresa. También es necesario registrar y monitorear periódicamente el trabajo de los usuarios en la red.
Localización de la red informática interna. Para evitar la fuga de información, se deben instalar en la red computadoras que no tengan unidades de disco y puertos paralelos. Esto imposibilitará la descarga de información de los equipos de la empresa.
Exclusión de los equipos más importantes de la red local. Para reducir la probabilidad de acceso no autorizado, se recomienda que solo las computadoras conectadas a un solo proceso tecnológico se conecten a una red local. Es cierto que, por regla general, tales computadoras son la mayoría. Sin embargo, es deseable que los líderes de la empresa cuenten con sus propias computadoras independientes, a las que solo ellos mismos tienen acceso.
Localización del trabajo con Internet. La red informática mundial está plagada de muchos peligros, no solo desde el punto de vista de los ataques de virus, sino también desde el punto de vista de la piratería de las redes informáticas de las empresas. Para evitar que esto suceda, es necesario separar la red interna de la empresa e Internet. En empresas pequeñas, es posible asignar una computadora local separada para trabajar en la red mundial. Sin embargo, en una gran empresa donde la mayoría de los empleados utilizan Internet, esto no siempre es posible. En este caso, las estaciones de trabajo deben configurarse en un modo en el que la computadora esté desconectada de la red local antes de ingresar a Internet.
Cifrado de información. Este método se utiliza principalmente cuando se transmite información a través de módem a través de líneas telefónicas, ya que existe la posibilidad de interceptación de dicha información por parte de terceros. Actualmente existen programas criptográficos certificados y deben ser utilizados si utiliza algún canal de transmisión de información electrónica permanente.
Firma digital electrónica. Garantiza la fiabilidad de la información transmitida a través del módem. Sirve como protección contra la distorsión intencional de la información transmitida. Actualmente, existen programas de firma digital certificada con diversos grados de protección. El uso de tales medios es de particular importancia cuando se utilizan pagos electrónicos y se transmiten mensajes de mayor secreto.
Conclusión
Todas las medidas descritas no deben aplicarse por separado. Para garantizar una protección eficaz de la información, es necesario desarrollar un sistema de seguridad de la información para la empresa. Solo estas medidas tomadas en combinación pueden proteger de manera confiable su negocio de pérdidas no deseadas. Cada organización tiene sus propios detalles y, en consecuencia, debe tener su propia estructura del sistema de seguridad de la información. La corrección de su elección depende de la profesionalidad de los empleados que se ocupan de este problema y de los gerentes de la empresa. El componente más importante de dicho sistema debe ser el análisis regular de los "puntos débiles" y la adopción de las medidas necesarias para prevenir posibles problemas.
Para terminar, quiero señalar que a la hora de crear un sistema de seguridad de la información es importante, por un lado, no ser tacaños, ya que las pérdidas pueden ser inconmensurablemente mayores, y por otro lado, no excederse para no tirar el dinero en medidas pseudoprotectoras innecesarias y no impedir el paso de los flujos de información. Nunca hay suficiente seguridad, pero nunca se debe olvidar que el objetivo principal de un sistema de seguridad es garantizar el funcionamiento confiable e ininterrumpido de una organización.
Literatura
1. Gorokhov P. K. Seguridad de la información. - M.: Radio y comunicación, 2002.
2. Seguridad de la información: Proc. para las universidades de humanidades. y socioeconómico. especialidades - M.: Pasante. relaciones: Cronista, 2007.
3. Sociedad de la información: Guerras de la información. Gestión de la información. Seguridad de la Información / Ed. M. A. Vus. - M.: Editorial de San Petersburgo. un-ta, 2006.
4. Rastorguev S. P. Guerra de información. - M.: Radio y comunicación, 2005.
5. Negocios modernos: Ética, cultura, seguridad. - M.: GPNTB, 2004.
6. Stepanov E. A., Korneev I. K. Seguridad de la información y protección de la información. - M.: INFRA-M, 2008.
Documentos similares
La estructura y características del sistema operativo Linux, la historia de su desarrollo. Seguridad de la información: concepto y documentos normativos, direcciones de fuga de información y su protección. Cálculo de la creación de un sistema de seguridad de la información y estudio de su eficacia.
trabajo final, agregado el 24/01/2014
Los principales canales de fuga de información. Principales fuentes de información confidencial. Los principales objetos de protección de la información. El trabajo principal en el desarrollo y mejora del sistema de seguridad de la información. Modelo de protección de seguridad de la información de Russian Railways.
documento final, añadido el 05/09/2013
Garantizar la seguridad de la información en la Rusia moderna. Análisis de métodos para proteger la información de interferencias accidentales o deliberadas que perjudiquen a sus propietarios o usuarios. Estudiar el soporte legal de la seguridad de la información.
prueba, añadido el 26/02/2016
Características y características de la seguridad de la información, entendida como la seguridad de la información y de la infraestructura que la soporta de cualquier impacto accidental o malicioso. Seguridad de la información en Internet. Características antivirus.
prueba, añadido el 24/02/2011
El concepto de seguridad de la información, el concepto y clasificación, tipos de amenazas. Descripción de los medios y métodos para proteger la información de amenazas aleatorias, de amenazas de interferencia no autorizada. Métodos criptográficos de protección de la información y firewalls.
documento final, agregado el 30/10/2009
Amenazas externas a la seguridad de la información, formas de su manifestación. Métodos y medios de protección contra el espionaje industrial, sus objetivos: obtener información sobre un competidor, destruir información. Formas de acceso no autorizado a la información confidencial.
prueba, agregada el 18/09/2016
El concepto y principios básicos para garantizar la seguridad de la información. El concepto de seguridad en los sistemas automatizados. Fundamentos de la legislación de la Federación Rusa en el campo de la seguridad de la información y los procesos de certificación, licencia y protección de la información.
curso de conferencias, añadido el 17/04/2012
Categorías de acciones que pueden dañar la seguridad de la información, métodos para garantizarla. El alcance de la empresa y el análisis del desempeño financiero. El sistema de seguridad de la información de la empresa y el desarrollo de un conjunto de medidas para su modernización.
tesis, agregada el 15/09/2012
Objetivos de la seguridad de la información. Fuentes de las principales amenazas de información para Rusia. La importancia de la seguridad de la información para diversos especialistas desde el puesto de la empresa y stakeholders. Métodos para proteger la información de amenazas de información intencionales.
presentación, añadido el 27/12/2010
El concepto, significado y direcciones de la seguridad de la información. Un enfoque sistemático para organizar la seguridad de la información, protegiendo la información del acceso no autorizado. Medios de protección de la información. Métodos y sistemas de seguridad de la información.
Seguridad empresarial- este es un conjunto de medidas y medidas destinadas a la protección integral de las actividades comerciales de varios tipos de amenazas (informativas, legales, físicas, económicas, organizativas y de personal). Todas las decisiones relativas a la protección integral de la empresa y las medidas adoptadas se asignan al servicio de seguridad, a los jefes de los departamentos correspondientes y al director de la organización.
Tipos de problemas de seguridad empresarial y formas de resolverlos
En cualquier tipo de negocio, siempre hay espacio para el riesgo. Al mismo tiempo, un buen líder no esperará problemas: tomará medidas oportunas para protegerse contra los problemas más probables en el área comercial. Éstos incluyen:
- problemas corporativos– disputas y situaciones de conflicto entre los accionistas de la empresa, conflictos entre altos directivos o la complejidad de la relación entre los propietarios de la empresa y los jefes de departamento;
- peligros externos- amenazas de estructuras criminales, conflictos con las fuerzas del orden y agencias gubernamentales, incursiones de asaltantes, etc.;
- pérdidas financieras- acciones fraudulentas del personal (clientes), robo, intermediarios o proveedores sin escrúpulos, uso inapropiado de los recursos de la empresa, aceptar sobornos para ciertas actividades en contra de los intereses de la empresa;
- peligros de la información– fuga de información secreta de la empresa (su ocultación o destrucción), obtención de acceso no autorizado a datos confidenciales, divulgación de secretos comerciales, etc.;
- agujeros de seguridad- robo de activos materiales y técnicos por parte de personas no autorizadas, entrada no autorizada en el territorio de la empresa, violación de la disciplina laboral;
- problemas de reputación- la presencia en la estructura de empleados con mala reputación, cooperación con personas (contrapartes) con mala reputación.
Para resolver todos estos problemas comerciales, se requieren los siguientes tipos de protección:
- físico– sistemas de seguridad, seguridad, cámaras de vigilancia, etc.;
- económico– verificación de la contraparte, protección del banco cliente, optimización fiscal;
- organización y personal– verificación del personal entrante, control de los empleados existentes;
- informativo– protección contra intrusiones, protección de archivos y documentos, optimización y protección de 1C, autenticación única, protección contra fugas de información, etc.;
- legal– examen de transacciones completadas, verificación de borradores de documentos, servicios de suscripción, etc.
negocio
Según las estadísticas, más de la mitad de todos los problemas comerciales surgen debido a "brechas" en la seguridad de la información. La fuga de información a los competidores, la pérdida de datos, la transferencia de información secreta de la empresa a manos equivocadas: todo esto conlleva un gran riesgo para el negocio. En tal situación, los administradores de TI de la empresa toman una serie de medidas efectivas para garantizar una protección integral de la empresa.
En primer lugar está la protección de datos financieros, en segundo lugar - protección contra fugas y en tercero - protección contra ataques DDoS. Y si los dos primeros puntos han estado entre los tres primeros durante mucho tiempo, entonces el problema con los ataques ha aparecido recientemente. El motivo de este interés es el aumento del número de ataques DDoS a pequeñas y medianas empresas.
Entre las principales medidas que han tomado las empresas rusas en el campo de la seguridad se encuentran la protección contra malware, la gestión de actualizaciones, el control de aplicaciones, la estructura de la red, las soluciones para proteger las transferencias financieras, el control del uso de dispositivos externos, la protección de teléfonos móviles, etc.
Los principales métodos de protección de la información comercial son los siguientes:
1. Protección contra intrusiones– instalación de programas o equipos necesarios para el control del tráfico en la red. Cuando aparece el primer peligro (intrusión), el sistema reacciona y bloquea el acceso. Al mismo tiempo, se notifica al empleado responsable.
El sistema de protección se implementa de una de dos maneras:
- Sistema IPS. Su tarea es bloquear cualquier actividad de red que despierte sospechas, para filtrar efectivamente el tráfico "extra". La ventaja del sistema es la capacidad no solo de detectar, sino también de prevenir la intrusión. Menos: un alto porcentaje de falsos positivos, lo que conduce a la distracción constante de los empleados del caso y al tiempo de inactividad de la red informática durante el control;
- Sistema IDS– monitorea la actividad anómala actual, ante lo cual se da una señal al administrador. Características positivas: una lucha eficaz contra la intrusión, la transferencia de los derechos de toma de decisiones al administrador. La desventaja es que el empleado responsable puede no tener tiempo para actuar y el sistema se dañará irreparablemente.
El sistema ideal de defensa contra intrusiones se ve así:
2. Protección contra fugas– un conjunto de medidas para evitar que la información confidencial caiga en manos no autorizadas. Una fuga puede ocurrir de dos maneras:
Por hurto doloso (espionaje, asaltantes, iniciados);
- por un descuido del personal (pérdida de medios, envío de contraseña por correo, acceso a una página con virus, falta de responsables de ceder derechos de acceso a los datos, etc.).
En caso de robo malicioso, los métodos de protección son los siguientes: limitar el modo de acceso, instalar cámaras de vigilancia, instalar herramientas de destrucción de datos en servidores, cifrar información, almacenar datos en servidores externos.
Para protegerse contra errores de personal, los siguientes métodos pueden considerarse efectivos: minimizar los derechos de acceso a información confidencial, responsabilidad individual de los empleados, usar canales seguros, crear regulaciones para que los empleados trabajen con documentos importantes, introducir responsabilidad por los portadores de datos transferidos a los empleados. .
Además, para protegerse contra errores accidentales, es importante organizar: grabar conversaciones telefónicas, monitorear el tráfico y el trabajo de los empleados en una PC, encriptar tarjetas USB, usar RMS, implementar sistemas DLP, etc.
3. Protección de archivos implica la seguridad de toda la información más importante que se encuentra almacenada en los equipos y servidores de la empresa. Se implementa de la siguiente manera:
- cifrado de sistemas de archivos (datos)– uso de sistemas EFS, Qnap, CryptoPro, etc.;
- cifrado de portátiles (netbooks), medios de almacenamiento, dispositivos móviles: soluciones de software (Kasperskiy, SecretDisk, Endpoint Encryption) o módulos de cifrado de Sony, Asus y otras empresas;
Garantizar la seguridad de la información de las empresas Andrianov V.V.
1.3. Modelo de seguridad de la información empresarial
1.3.1. Motivación
La práctica rusa y mundial de regulación de la seguridad de la información (SI) del pasado reciente consistía en requisitos obligatorios de organismos nacionales autorizados, redactados en forma de directrices de RD. Por lo tanto, para la alta dirección y los propietarios de las organizaciones, solo había un problema de cumplimiento de los mismos (cumplimiento) y solo una forma de resolverlo: cómo cumplir con los requisitos propuestos con un costo mínimo. Los organismos autorizados tenían su propio problema, tanto por la imposibilidad de cubrir todos los tipos posibles de actividades y las condiciones para su implementación, como por las diferencias significativas en los objetivos de las actividades, para ofrecer un conjunto universal de requisitos. Para ello, se consideró el problema de la seguridad de la información como un ente autosuficiente, invariable a la actividad, objetivos, condiciones, y también se redujo significativamente en contenido en aras de la universalidad.
Ambos enfoques (de las organizaciones y los reguladores) son inadecuados a la realidad existente y la presentan de forma significativamente distorsionada. Así, las principales restricciones sustantivas a las actividades de SI están asociadas al modelo tradicional de SI, que asume la presencia obligatoria de un atacante que busca dañar los activos (información) y, en consecuencia, se enfoca en proteger la información de las acciones de dicho sujeto. (grupo de sujetos). Al mismo tiempo, los incidentes relacionados, por ejemplo, con cambios regulares en el software de la aplicación, no pueden atribuirse a un atacante. Sus posibles razones son una gestión poco desarrollada y una base tecnológica débil. La propia inadecuación de la organización (gestión, procesos core de negocio) a las condiciones imperantes en general es una fuente de problemas muy potente, que se ignora por la imposibilidad de vincularla a un atacante.
La evolución posterior de los modelos IS estuvo asociada con el fortalecimiento del papel del propietario (propietario) y se redujo al hecho de que él mismo eligió (bajo su propio riesgo y riesgo) del conjunto estándar de medidas de protección que se le ofrecen las que necesitaba, es decir, aquellos que, en su opinión, pueden proporcionar un nivel de seguridad aceptable. Este fue un avance significativo, ya que aseguró que la seguridad de la información estuviera ligada a un objeto específico con condiciones específicas para su existencia, resolviendo parcialmente las contradicciones asociadas a la autosuficiencia del problema de la seguridad de la información. Sin embargo, no fue posible ofrecer un mecanismo constructivo para el propietario, excepto la creación de un catálogo de objetos con medidas de protección típicas seleccionadas (perfiles de protección). Los perfiles mismos fueron creados utilizando el método heurístico experto. Al mismo tiempo, se desconocía qué tipo de riesgo asumía el propietario y se determinaba en la práctica.
La evolución posterior se redujo a la tesis de que la seguridad de la información puede crear (generar) daños para los fines de la actividad y, por lo tanto, los riesgos de la seguridad de la información (que permanecieron autosuficientes) deben coordinarse (vincularse) con los riesgos de la organización. Solo restaba indicar cómo vincularlos e integrar el sistema de gestión de seguridad de la información (SGSI) en la gestión empresarial no como un sistema de procesos aislado e independiente, sino como un componente integral y fuertemente conectado de la gestión. Esto falló. Sin embargo, este enfoque avanzó bien en varias categorías de evaluación de SI, incluidos los riesgos de SI.
También se conocen modelos de IS pragmáticos, basados en la evaluación del costo total de propiedad (en relación con IS) y el "retorno" de las inversiones en IS. En el marco de este enfoque, un grupo de organizaciones similares en términos de objetivos y condiciones de actividad evalúa periódicamente las áreas de implementación de SI y forma un modelo que consta de las mejores prácticas para el grupo. Además, cada una de las organizaciones, de acuerdo con su rezago, las mejores prácticas y sus condiciones (incidencias ocurridas), determina la dirección y el volumen de las inversiones. La efectividad de las inversiones se evalúa en el próximo período mediante la reducción de daños por incidentes que terminaron en el área de las inversiones realizadas y, por lo tanto, no causaron grandes daños.
Sin embargo, este enfoque, con muchos de sus méritos, requiere un amplio intercambio de información sensible, y el conflicto de intereses de los participantes en el intercambio excluye la creación de cualquier medida de fomento de la confianza de calidad, por lo que no se usa ampliamente.
El modelo IS propuesto en el estándar del Banco Central de la Federación de Rusia avanzó aún más el problema tanto en términos de su integración (asociado con los objetivos de la actividad) como en términos de ampliar la interpretación de la esencia del "intruso". . Un atacante es una persona que puede enfrentarse al propietario y tiene su propio objetivo, que se da cuenta, logrando el control sobre los activos de la organización.
Este enfoque amplía significativamente los tipos y fuentes de daño a la organización que caen dentro del alcance de la consideración de SI, donde su solución es más racional. Sin embargo, fue en gran medida un enfoque de compromiso y requiere urgentemente una mayor aproximación de los problemas de seguridad de la información al resultado final de la actividad (producto elaborado). Necesitamos un modelo que realmente ayude al negocio, contribuya directamente a su desempeño y la mejora necesaria a través de la creación y mantenimiento de una esfera de información segura y confiable, incluso a través de la lucha contra un intruso. Solo un modelo de este tipo puede ser percibido por las empresas. Cualquier otro será rechazado por ellos.
Este texto es una pieza introductoria. Del libro Aplicación de tecnologías de banca electrónica: un enfoque basado en el riesgo autor Lyamin L. V.5.4. Adaptación de la seguridad de la información
autor Andrianov V. V.1. Filosofía de seguridad de la información empresarial
Del libro Seguridad de la información empresarial autor Andrianov V. V.1.1.4. Definición de seguridad de la información Comprensión gradual del hecho de que el impacto de la información en un proceso de negocio (en su gestión) puede ser más efectivo que el impacto material o financiero, así como un umbral bajo de recursos para tales impactos
Del libro Seguridad de la información empresarial autor Andrianov V. V.2. Modelos de gestión (gestión) existentes aplicables para garantizar la seguridad de la información comercial Si una organización tiene un recurso ilimitado, entonces no hay problemas de gestión para garantizar la seguridad de la información de su negocio. si un
Del libro Seguridad de la información empresarial autor Andrianov V. V.3. Evaluación de la seguridad de la información empresarial. El problema de medir y evaluar la seguridad de la información empresarial 3.1. Formas de evaluar la seguridad de la información Organizaciones cuyo negocio depende en gran medida de la esfera de la información para lograr los objetivos comerciales
Del libro Seguridad de la información empresarial autor Andrianov V. V.3.1. Métodos para evaluar la seguridad de la información Las organizaciones cuyo negocio depende en gran medida de la esfera de la información, para lograr los objetivos comerciales, deben mantener un sistema de seguridad de la información (Sistema de mantenimiento de SI) en el nivel requerido. ISIS es un conjunto
Del libro Seguridad de la información empresarial autor Andrianov V. V.3.2. Proceso de evaluación de la seguridad de la información 3.2.1. Elementos principales del proceso de evaluación El proceso de evaluación de SI incluye los siguientes elementos de la evaluación: - el contexto de la evaluación, que determina los datos de entrada: los objetivos y el propósito de la evaluación de SI, el tipo de evaluación (evaluación independiente,
Del libro Seguridad de la información empresarial autor Andrianov V. V.3.2.2. El contexto de la evaluación de la seguridad de la información de la organización El contexto de la evaluación de SI incluye las metas y el propósito de la evaluación de SI, el tipo de evaluación, el objeto y las áreas de la evaluación de SI, las limitaciones de la evaluación, los roles y los recursos. implementación del proceso de evaluación incluyen al organizador,
Del libro Seguridad de la información empresarial autor Andrianov V. V.