Introducere
Liderii de afaceri trebuie să recunoască importanța securității informațiilor, să învețe cum să prezică și să gestioneze tendințele în acest domeniu.
Afacerea de astăzi nu poate exista fără tehnologia informației. Se știe că aproximativ 70% din totalul produsului național al lumii depinde într-un fel sau altul de informațiile stocate în sistemele informaționale. Introducerea pe scară largă a computerelor a creat nu numai facilități binecunoscute, ci și probleme, dintre care cea mai gravă este problema securității informațiilor.
Alături de controalele pentru calculatoare și rețele de calculatoare, standardul acordă o mare atenție dezvoltării politicilor de securitate, lucrului cu personalul (angajare, instruire, concediere), asigurării continuității procesului de producție și cerințelor legale.
Fără îndoială, acest subiect de lucru este foarte relevant în condițiile moderne.
Obiectul lucrării de curs: securitatea informațională a activităților profesionale ale organizației.
Obiectul de studiu: asigurarea securității informațiilor.
În cadrul cursului, este planificat să se creeze o decizie de management de proiect privind organizarea securității informațiilor pe baza unei organizații din viața reală.
Capitolul 1. Securitatea informaţională a activităţii profesionale
Asigurarea securității informațiilor este un domeniu relativ nou de activitate profesională pentru specialiști. Principalele obiective ale unor astfel de activități sunt:
Asigurarea protecției împotriva amenințărilor externe și interne în domeniul formării, distribuției și utilizării resurselor informaționale;
Prevenirea încălcării drepturilor cetățenilor și organizațiilor de a păstra confidențialitatea și secretul informațiilor;
Asigurarea unor condiții care să prevină denaturarea sau ascunderea deliberată a informațiilor în lipsa unor temeiuri legale pentru aceasta.
Clienții specialiștilor în acest domeniu sunt:
Organele federale ale puterii și administrației de stat ale Federației Ruse;
Autoritățile de stat ale entităților constitutive ale Federației Ruse;
Instituții, organizații și întreprinderi de stat;
industria de apărare;
Organisme locale de autoguvernare;
Institutii, organizatii si intreprinderi de forma nestatali
proprietate.
Apariția în vânzarea gratuită, deși ilegală a unei baze de date de clienți a companiei de comunicații celulare MTS, ne obligă din nou și din nou să ne întoarcem la problema securității computerelor. Se pare că acest subiect este inepuizabil. Relevanța sa este cu cât este mai mare, cu atât este mai mare nivelul de informatizare al firmelor comerciale și al organizațiilor non-profit. Tehnologiile înalte, jucând un rol revoluționar în dezvoltarea afacerilor și, practic, în toate celelalte aspecte ale societății moderne, își fac utilizatorii foarte vulnerabili în ceea ce privește informațiile și, în ultimă instanță, securitatea economică.
Aceasta este o problemă nu numai în Rusia, ci și în majoritatea țărilor lumii, în primul rând occidentale, deși există legi care restricționează accesul la informațiile personale și impun cerințe stricte pentru stocarea acestora. Piețele oferă diverse sisteme de protecție a rețelelor de calculatoare. Dar cum să te protejezi de propria ta „a cincea coloană” - angajați fără scrupule, neloiali sau pur și simplu neglijenți care au acces la informații clasificate? Scurgerea scandaloasă a bazei de date de clienți MTS nu s-ar fi putut produce, aparent, fără coluziune sau neglijență penală a angajaților companiei.
Se pare că mulți, dacă nu cei mai mulți, antreprenori pur și simplu nu realizează gravitatea problemei. Chiar și în țările cu economie de piață dezvoltată, conform unor studii, 80% dintre companii nu au un sistem de protecție a stocării bine gândit, planificat, baze de date operaționale. Ce să spunem despre noi, obișnuiți să ne bazăm pe celebrul „poate”.
Prin urmare, nu este inutil să ne întoarcem la subiectul pericolelor pe care le prezintă scurgerile de informații confidențiale, să vorbim despre măsuri de reducere a unor astfel de riscuri. O publicație în Legal Times (21 octombrie 2002), o publicație juridică (Mark M. Martin, Evan Wagner, „Information Vulnerability and Security”), ne vor ajuta în acest sens. Autorii enumera cele mai tipice tipuri și metode de amenințări informaționale. Ce anume?
Declasificarea și furtul secretelor comerciale. Totul este mai mult sau mai puțin clar aici. Clasic, istorie veche, spionaj economic. În timp ce anterior secretele erau păstrate în locuri secrete, în seifuri masive, sub protecție fizică și (ulterior) electronică de încredere, astăzi mulți angajați au acces la baze de date de birou, care conțin adesea informații foarte sensibile, de exemplu, aceleași date ale clienților.
Distribuirea materialelor compromițătoare. Aici, autorii se referă la utilizarea intenționată sau accidentală de către angajați în corespondența electronică a unor astfel de informații care aruncă o umbră asupra reputației companiei. De exemplu, numele firmei se reflectă în domeniul corespondentului, care permite defăimări, insulte în scrisorile sale, pe scurt, tot ceea ce poate compromite organizația.
Încălcarea proprietății intelectuale. Este important să nu uităm că orice produs intelectual produs într-o organizație aparține organizației și nu poate fi utilizat de către angajați (inclusiv generatori și autori de valori intelectuale) decât în interesul organizației. Între timp, în Rusia, adesea apar conflicte pe această temă între organizații și angajați care revendică produsul intelectual pe care l-au creat și îl folosesc în interes personal, în defavoarea organizației. Acest lucru se întâmplă adesea din cauza situației juridice vagi din întreprindere, când contractul de muncă nu conține norme și reguli clar definite care conturează drepturile și obligațiile angajaților.
Distribuirea (adesea neintenționată) de informații privilegiate care nu sunt secrete, dar care pot fi utile concurenților. De exemplu, despre noile posturi vacante datorate expansiunii afacerilor, despre călătorii de afaceri și negocieri.
Vizite pe site-urile concurenților. Acum tot mai multe companii folosesc programe pe site-urile lor deschise (în special, concepute pentru CRM), care vă permit să recunoașteți vizitatorii și să urmăriți rutele acestora în detaliu, să înregistrați timpul și durata de vizualizare a paginilor de pe site. Este clar că, dacă vizita dumneavoastră pe site-ul unui concurent este cunoscută în detaliu operatorului acestuia, atunci acestuia din urmă nu este greu să concluzioneze ce anume vă interesează. Acesta nu este un apel la abandonarea celui mai important canal de informare competitivă. Site-urile web ale concurenților au fost și rămân o sursă valoroasă de analiză și prognoză. Dar când vizitați site-uri, trebuie să vă amintiți că lăsați urme și sunteți și urmăriți.
Abuzul de comunicații de birou în scopuri personale (ascultarea, vizionarea muzicii și a altor conținuturi care nu au legătură cu serviciul, descărcarea unui computer de birou) nu reprezintă o amenințare directă la adresa securității informațiilor, dar creează stres suplimentar asupra rețelei corporative, reduce eficiența și interferează. cu munca colegilor.
Și, în sfârșit, amenințările externe - intruziuni neautorizate etc. Acesta este un subiect pentru o discuție serioasă separată.
Cum să te protejezi de amenințările interne? Pur și simplu nu există o garanție 100% împotriva daunelor care pot fi cauzate de proprii angajați. Acesta este un factor uman care nu poate fi controlat complet și necondiționat. În același timp, autorii menționați mai sus dau sfaturi utile – să dezvolte și să implementeze o politică de comunicare (sau informare) clar formulată în cadrul companiei. O astfel de politică ar trebui să tragă o linie clară între ceea ce este permis și ceea ce nu este permis în utilizarea comunicațiilor de birou. Trecerea frontierei duce la pedeapsă. Ar trebui să existe un sistem de monitorizare a cine și cum utilizează rețelele de calculatoare. Regulile adoptate de companie trebuie să respecte atât standardele naționale, cât și internaționale recunoscute pentru protecția secretelor de stat și comerciale, a informațiilor personale și private.
Capitolul 2. Asigurarea securității informațiilor
activitate profesionala in SRL "Laspi"
2.1. Scurtă descriere a Laspi LLC
Laspi LLC a fost înființată în 1995 ca reprezentanță a unei companii cehe în Rusia. Compania este angajată în furnizarea de echipamente și consumabile cehe pentru producția de diverse produse din beton (începând cu plăci de pavaj și terminând cu garduri, ghivece etc.). Echipamentul este de înaltă calitate și costuri rezonabile. Clienții care aplică la biroul Samara sunt organizații din diferite orașe din Rusia și CSI (Kazan, Ufa, Izhevsk, Moscova, Nijni Novgorod etc.). Desigur, o activitate atât de mare necesită o atitudine deosebită față de securitatea informațiilor din cadrul companiei.
Astăzi, securitatea informațiilor lasă mult de dorit. Diverse documente (tehnice, economice) sunt în domeniul public, ceea ce permite aproape oricărui angajat al companiei (de la fondator la șofer) să se familiarizeze cu ea fără piedici.
Documentele deosebit de importante sunt păstrate într-un seif. Numai directorul și secretara lui au cheile seifului. Dar aici așa-numitul factor uman joacă un rol semnificativ. Adesea cheile sunt uitate în biroul de pe masă, iar seiful poate fi deschis chiar și de către curățenia.
Documentațiile economice (rapoarte, facturi, facturi, facturi etc.) sunt aranjate în mape și rafturi într-un dulap care nu este încuiat.
Angajații nu semnează niciun acord de nedezvăluire privind secretele comerciale atunci când aplică pentru un loc de muncă, ceea ce nu le interzice să distribuie astfel de informații.
Recrutarea angajaților se realizează printr-un interviu, care constă în două etape: 1. comunicarea cu supervizorul imediat (pe care se dezvăluie abilitățile și abilitățile unui potențial angajat) 2. comunicarea cu fondatorul (este mai personală ca natură). iar încheierea unui astfel de dialog poate fi fie „lucram împreună”, fie „nu vom lucra”).
Toate acestea necesită o atenție mai mare din partea conducerii și un program competent pentru a asigura securitatea informațională a companiei, deoarece astăzi Laspi LLC are o mulțime de concurenți care este puțin probabil să rateze ocazia de a profita, de exemplu, de baza de clienți sau de baza de furnizori ai companiei.
2.2. Proiect de decizie de management pentru asigurarea securității informaționale a activităților profesionale ale Laspi SRL.
Un loc important în sistemul măsurilor organizatorice, administrative, juridice și de altă natură care fac posibilă rezolvarea calitativă a problemelor de suport informațional pentru activități științifice, industriale și comerciale, siguranța fizică a purtătorilor materiale de informații clasificate, prevenirea scurgerii acestora. , păstrarea secretelor comerciale este ocupată de sistemul permisiv de acces al artiștilor interpreți sau executanți la documente și informații clasificate.
Ținând cont de Legea RSFSR „Cu privire la întreprinderi și activități antreprenoriale”, șeful unei întreprinderi (firme), indiferent de forma de proprietate, poate stabili reguli speciale pentru accesul la informațiile care lasă un secret comercial și la purtătorii acesteia, astfel asigurarea sigurantei acestora.
În sistemul măsurilor de securitate este esențială distribuirea optimă a informațiilor de producție, comerciale și financiare și de credit care lasă secretul întreprinderii între executanții specifici ai lucrării și documentelor relevante. Atunci când se distribuie informații, pe de o parte, este necesar să se asigure că unui anumit angajat i se oferă o cantitate completă de date pentru efectuarea de înaltă calitate și la timp a muncii care i-a fost atribuită și, pe de altă parte, să se excludă familiarizarea executantului cu informații clasificate inutile de care nu are nevoie pentru muncă.
Pentru a asigura accesul legal și rezonabil al contractantului la informațiile care constituie secretul comercial al companiei, se recomandă elaborarea și implementarea unui sistem de autorizare adecvat la întreprinderi.
Accesul se înțelege ca obținerea permisiunii scrise din partea conducătorului companiei (sau, cu sancțiunea acestuia, a altor directori) pentru eliberarea unor informații specifice (sau integrale) clasificate unuia sau altuia, ținând cont de atribuțiile sale oficiale (puterile oficiale). ).
Înregistrarea accesului la CT poate fi efectuată în conformitate cu Reglementările privind Sistemul de Acces în Permise aprobate de director, care stabilește în mod legal competențele funcționarilor companiei de a distribui informații și de a le folosi. Șeful organizației poate permite utilizarea oricărei informații protejate oricărui angajat al acestei întreprinderi sau unei persoane care a sosit la instalație de la o altă organizație pentru a rezolva orice probleme, dacă aceste informații nu sunt supuse restricțiilor de familiarizare de către partenerii de producție și comerciali. în producția în comun etc. P. Astfel, Laspi SRL recomandă restricționarea accesului la informațiile care constituie secret comercial (contracte cu furnizorii și clienții, rapoarte finale privind tranzacțiile) următorilor angajați:
1. Fondator al companiei.
2.directorul firmei.
3. secretarul directorului.
Autorizația de acces la informații altor angajați poate fi acordată numai de către fondatorul și directorul companiei.
Accesul la informații despre tranzacțiile curente cu clienții ar trebui să aibă toți angajații și managerii de mai sus care efectuează aceste tranzacții.
Informațiile inițiale privind prețurile de achiziție a echipamentelor ar trebui, de asemenea, să fie limitate. La el au acces doar fondatorul, directorul companiei, care oferă restului angajaților doar prețuri deja stabilite (cu diverse „markup”), precum și secretarul care gestionează întregul flux de documente din organizație.
Funcționarea eficientă a sistemului de licențiere este posibilă numai dacă sunt respectate anumite reguli:
1. Sistemul permisiv, ca regulă obligatorie, include o abordare diferențiată a permiterii accesului, ținând cont de importanța informațiilor clasificate în privința cărora se decide problema accesului.
2. Este necesar să documentați permisiunea eliberată pentru dreptul de utilizare a anumitor informații protejate. Aceasta înseamnă că managerul care a dat permisiunea pentru dreptul de utilizare trebuie neapărat să îl stabilească în scris pe documentul corespunzător sau în formularul contabil în vigoare la întreprindere. Nicio instrucțiuni verbale sau cereri de acces din partea nimănui (cu excepția conducătorului întreprinderii) nu sunt obligatorii din punct de vedere juridic. Această cerință se aplică și managerilor de la toate nivelurile care lucrează cu informații clasificate și purtătorilor acestora. Astfel, doar permisiunea scrisă a șefului (în limitele autorității) este o permisiune pentru eliberarea de informații protejate uneia sau alteia.
3. Principiul controlului trebuie respectat cu strictețe. Fiecare permis trebuie să aibă data eliberării și eliberării sale.
Un astfel de tip tradițional de permisiune precum rezoluția capului pe documentul cel mai clasificat este utilizat pe scară largă. Un astfel de permis trebuie să conțină o listă cu numele angajaților cărora li se cere să se familiarizeze cu documentele sau să le execute, termenul limită de executare, alte instrucțiuni, semnătura șefului și data. Managerul poate, dacă este necesar, să prevadă restricții privind accesul anumitor angajați la anumite informații.
Rezoluția, ca tip de autorizație, este utilizată în principal pentru comunicarea promptă către părțile interesate a informațiilor clasificate conținute în documente și produse primite din exterior și create la întreprindere.
Șeful întreprinderii poate acorda permisiunea de acces în documentele administrative: ordine, instrucțiuni, instrucțiuni pentru întreprindere. Acestea trebuie să conțină numele, funcțiile persoanelor, documentele specifice de clasificare și produsele la care pot fi admiși (familiarizați).
Un alt tip de autorizații - conform listelor de familie ale persoanelor care au dreptul de a se familiariza și de a efectua orice acțiuni cu documente și produse clasificate. Conform listelor de familie, acestea sunt aprobate de directorul întreprinderii sau, în conformitate cu sistemul de autorizare actual, de către manageri care, de regulă, ocupă posturi nu mai mici decât șefii departamentelor relevante.
Conform listelor de familie de persoane, acestea pot fi utilizate la organizarea accesului la documente clasificate și la produse care prezintă o importanță deosebită pentru întreprindere, la înregistrarea accesului în săli securizate, la diferite tipuri de evenimente închise (conferințe, întâlniri, expoziții, întâlniri). ale consiliilor științifice și tehnice etc.). În listele de familie pot fi identificați anumiți lideri, cărora li se permite șefului să acceseze toate documentele și produsele închise fără permisiunea scrisă corespunzătoare. Ele indică numele complet. antreprenor, departament, post, categoria de documente si produse la care este admis. În practică, este aplicabilă și versiunea listelor de locuri de muncă, care indică: poziția contractantului, volumul documentelor (categorii de documente) și tipurile de produse care trebuie utilizate de către angajații întreprinderilor care ocupă poziția corespunzătoare listă. Trebuie remarcat faptul că, pentru întreprinderile cu o cantitate mică de documente și produse clasificate, poate fi suficientă utilizarea unor astfel de tipuri de permisiuni precum rezoluția capului pe documentul în sine, prin liste de familie, liste de locuri de muncă.
Din punct de vedere organizatoric, listele de familie ar trebui întocmite de șefii de unități structurale interesați. Lista angajaților incluși în listă este vizată de șeful Consiliului de Securitate și aprobată de șeful întreprinderii, care poate delega drepturi de avizare altor persoane din regie.
Sistemul de licențiere trebuie să îndeplinească următoarele cerințe:
se aplică tuturor tipurilor de documente clasificate și produse disponibile la întreprindere, indiferent de locația și crearea acestora;
stabilește procedura de acces pentru toate categoriile de salariați care au primit dreptul de a lucra cu CT, precum și specialiștii sosiți temporar în întreprindere și care au legătură cu comenzi închise comune;
stabiliți o procedură simplă și fiabilă de eliberare a permiselor de acces la documente și produse protejate, permițându-vă să răspundeți imediat la schimbările din domeniul informațiilor din întreprindere;
· delimitarea clară a drepturilor managerilor de diferite niveluri oficiale în proiectarea accesului la categoriile relevante de artiști interpreți;
exclude posibilitatea emiterii necontrolate și neautorizate de documente și produse către oricine;
· să nu permită persoanelor care lucrează cu informații și obiecte clasificate să efectueze modificări la date egale, precum și să înlocuiască documentele contabile.
La elaborarea unui sistem de autorizare, trebuie acordată o atenție deosebită evidențierii principalelor informații, mai ales valoroase pentru întreprindere, care vor asigura un acces strict limitat la acesta. În prezența lucrului în comun cu alte întreprinderi (organizații), firme străine sau reprezentanții individuali ai acestora, este necesar să se prevadă procedura de acces al acestor categorii la secretul comercial al întreprinderii. Este recomandabil să se stabilească procedura de interacțiune cu reprezentanții organizațiilor de serviciu de stat: supraveghere tehnică, stație sanitară și epidemiologică etc.
Este necesar să se indice în Regulamentul privind sistemul de licențiere al companiei că transferul documentelor și produselor clasificate de la antreprenor la antreprenor este posibil numai în cadrul unității structurale și cu permisiunea conducătorului acesteia. Transferul, returnarea unor astfel de documente de produse se efectuează conform procedurii stabilite de companie și numai în timpul programului de lucru al zilei date.
Toate documentația clasificată și produsele primite de întreprindere și dezvoltate pe aceasta sunt acceptate și luate în considerare de managementul mediu și de secretar. După înregistrare, documentația se depune spre examinare conducătorului întreprinderii contra primirii.
Este necesar să se indice în Regulamentul privind sistemul de autorizare al companiei că ședințele închise pe probleme oficiale se țin numai cu permisiunea șefului companiei sau a adjuncților acestuia. Cerințe speciale se pot aplica ședințelor consiliilor academice, ședințelor de revizuire a rezultatelor cercetării și dezvoltării și activităților financiare și comerciale etc. Pentru astfel de evenimente, se recomandă să se întocmească fără greșeală liste permisive și să se includă în ele numai acei angajați ai întreprinderii care au legătură directă cu evenimentele planificate și participarea la care este cauzată de necesitate oficială.
După cum sa menționat mai sus, angajații altor firme pot participa la ședințe închise numai cu permisiunea personală a conducerii firmei. Întocmește liste, de regulă, responsabile cu organizarea întâlnirii în contact cu șefii de unități structurale interesați. Lista stă la baza organizării controlului asupra admiterii la această întâlnire. Înainte de începerea ședinței, cei prezenți sunt atenționați că informațiile discutate sunt confidențiale și nu fac obiectul distribuirii în afara sferei de circulație stabilite de companie și emite instrucțiuni privind modul de păstrare a evidenței.
Este important de subliniat faptul că stabilirea unei anumite proceduri de manipulare a informațiilor și produselor clasificate într-o companie crește semnificativ fiabilitatea protejării secretelor comerciale, reduce probabilitatea dezvăluirii, pierderea purtătorilor acestor informații.
Pentru a asigura siguranța documentelor, se propune achiziționarea de mobilier adecvat care să vă permită blocarea în siguranță a documentelor. De asemenea, este necesar în fiecare zi, înainte de plecare, să sigilați dulapurile.
Cheile seifului și dulapurilor trebuie predate serviciului de securitate împotriva semnăturii. De asemenea, este recomandat să achiziționați un tub special pentru depozitarea cheilor și să-l sigilați în același mod.
O atenție deosebită trebuie acordată securității informațiilor computerizate. La Laspi SRL au fost create astăzi mai multe baze de date: clienții companiei (indicând nu doar adresele și numerele de telefon ale acestora, ci și adresele de domiciliu, precum și informațiile personale); o bază de date care conține prețurile și caracteristicile echipamentului furnizat; baza de date a angajaților organizației. În computer sunt stocate și diverse contracte, acorduri etc.
În orice caz, aducerea acestor informații în mâinile concurenților este extrem de nedorită. Pentru a preveni o astfel de dezvoltare a evenimentelor, se recomandă crearea parolelor de acces la fiecare bază de date (și instrumentele software permit acest lucru). La pornirea computerului, se recomandă și configurarea protecției pe două niveluri (la încărcarea BIOS-ului și la încărcarea Windows'2000, care nu permite accesul fără parolă la conținutul hard disk-ului, spre deosebire de versiunile anterioare ale acestui sistem de operare) . Desigur, parolele ar trebui să fie disponibile doar pentru acei angajați ai companiei care lucrează direct cu aceste baze de date (secretar, manageri, programatori).
În cazul oricăror probleme legate de computer și nevoia de a contacta o companie din exterior, este necesar să se controleze complet procesul de reparare a echipamentului. Întrucât este într-un astfel de moment când toate parolele sunt eliminate, când programatorul „din exterior” are acces liber și nestingherit la conținutul hard diskului, este posibil ca acesta să secheze informații și să le folosească în continuare în diverse scopuri.
Trebuie să păstrați software-ul antivirus actualizat pentru a preveni pătrunderea și răspândirea virușilor pe computerele dvs.
O atenție deosebită trebuie acordată recrutării de noi angajați. Astăzi, multe organizații practică o abordare mai dură a acestui proces, care este asociată cu dorința de a păstra informațiile în interiorul companiei și de a nu le lăsa să treacă dincolo de ea din cauza „factorului uman”.
Acolo unde majoritatea angajărilor au loc în două etape (după cum s-a rezumat mai sus), aici sunt sugerate patru etape.
1. Convorbire cu șeful departamentului de personal. Șeful departamentului de personal face cunoștință cu candidatul, CV-ul acestuia, pune întrebări despre activitățile profesionale, făcând note preliminare. Acest pas este profesional. Apoi șeful departamentului de personal analizează informațiile primite de la candidați și le transferă șefului.
2. Reușește să se familiarizeze cu CV-urile candidaților și notițe despre acestea de către șeful departamentului de personal, alegându-le pe cele mai potrivite și invitându-i la un interviu. Interviul este de natură personală și implică întrebări non-standard (de exemplu, ce îi place unei persoane să mănânce, care este hobby-ul său etc.) Astfel, managerul primește informații pentru a decide cât de potrivită este această persoană pentru el, prezice posibil probleme cu care poate întâmpina atunci când comunică cu acest candidat.
3. Testare. Aici nivelul de inteligență al angajatului este deja determinat, portretul său psihologic este alcătuit pe baza diferitelor teste. Dar mai întâi trebuie să determinați cum doresc managerul și colegii să-l vadă pe noul angajat.
4. Serviciu de securitate. Aici sunt propuse două etape: a) verificarea candidaților în diverse instanțe (dacă a fost adus în judecată, dacă a executat pedeapsă în locuri de privare de libertate, dacă este înscris într-un dispensar de dependență de droguri, dacă informațiile pe care le-a furnizat despre anterioare). locuri de muncă este adevărat); b) verificarea echipamentelor speciale, care se numește cel mai adesea „detector de minciuni”. În a doua etapă se stabilește cât de loial este angajatul față de companie, ce reacții are la întrebările provocatoare (de exemplu, ce va face dacă află că unul dintre colegii lui ia documente acasă) etc.
Și numai după ce candidatul a trecut toate aceste patru etape, poți decide dacă îl angajezi sau nu.
După ce se ia o decizie pozitivă, este stabilită o perioadă de probă pentru angajat (conform legislației Federației Ruse, aceasta poate varia de la 1 la 3 luni, dar se recomandă cel puțin 2 luni, de preferință 3). În timpul perioadei de probă, conducerea și serviciul de securitate ar trebui să țină cont de noul angajat, să-i observe activitățile.
În plus, imediat după angajare, este necesară, odată cu încheierea unui contract de muncă, semnarea unui acord de nedezvăluire a secretelor comerciale. Clauzele recomandate ale acestui acord:
Aceasta nu este o listă completă a ceea ce poate fi inclus într-un acord.
Concluzie
Astăzi, problema organizării securității informațiilor preocupă organizațiile de orice nivel - de la mari corporații până la antreprenori fără a forma o entitate juridică. Concurența în relațiile moderne de piață este departe de a fi perfectă și adesea nu se desfășoară în cele mai legale moduri. Spionajul industrial înflorește. Dar există și cazuri de difuzare neintenționată a informațiilor legate de secretul comercial al organizației. De regulă, neglijența angajaților, lipsa lor de înțelegere a situației, cu alte cuvinte, „factorul uman” joacă aici un rol.
Lucrarea de curs prezintă un proiect de decizie de management privind organizarea securității informațiilor în Laspi LLC. Proiectul afectează trei domenii principale de organizare a securității: 1. zona de documentare (accesul la materialele prezentate pe hârtie, cu delimitarea acestui acces); 2.securitatea computerelor; 3. securitate în ceea ce privește angajarea de noi angajați.
Trebuie avut în vedere faptul că, deși acest proiect a fost dezvoltat pentru o anumită organizație, prevederile sale pot fi folosite și pentru organizarea securității în alte companii mijlocii.
Introducere
Liderii de afaceri trebuie să recunoască importanța securității informațiilor, să învețe cum să prezică și să gestioneze tendințele în acest domeniu.
Afacerea de astăzi nu poate exista fără tehnologia informației. Se știe că aproximativ 70% din totalul produsului național al lumii depinde într-un fel sau altul de informațiile stocate în sistemele informaționale. Introducerea pe scară largă a computerelor a creat nu numai facilități binecunoscute, ci și probleme, dintre care cea mai gravă este problema securității informațiilor.
Alături de controalele pentru calculatoare și rețele de calculatoare, standardul acordă o mare atenție dezvoltării politicilor de securitate, lucrului cu personalul (angajare, instruire, concediere), asigurării continuității procesului de producție și cerințelor legale.
Fără îndoială, acest subiect de lucru este foarte relevant în condițiile moderne.
Obiectul lucrării de curs: securitatea informațională a activităților profesionale ale organizației.
Obiectul de studiu: asigurarea securității informațiilor.
În cadrul cursului, este planificat să se creeze o decizie de management de proiect privind organizarea securității informațiilor pe baza unei organizații din viața reală.
Capitolul 1. Securitatea informaţională a activităţii profesionale
Asigurarea securității informațiilor este un domeniu relativ nou de activitate profesională pentru specialiști. Principalele obiective ale unor astfel de activități sunt:
Asigurarea protecției împotriva amenințărilor externe și interne în domeniul formării, distribuției și utilizării resurselor informaționale;
Prevenirea încălcării drepturilor cetățenilor și organizațiilor de a păstra confidențialitatea și secretul informațiilor;
Asigurarea unor condiții care să prevină denaturarea sau ascunderea deliberată a informațiilor în lipsa unor temeiuri legale pentru aceasta.
Clienții specialiștilor în acest domeniu sunt:
Organele federale ale puterii și administrației de stat ale Federației Ruse;
Autoritățile de stat ale entităților constitutive ale Federației Ruse;
Instituții, organizații și întreprinderi de stat;
industria de apărare;
Organisme locale de autoguvernare;
Institutii, organizatii si intreprinderi de forma nestatali
proprietate.
Apariția în vânzarea gratuită, deși ilegală a unei baze de date de clienți a companiei de comunicații celulare MTS, ne obligă din nou și din nou să ne întoarcem la problema securității computerelor. Se pare că acest subiect este inepuizabil. Relevanța sa este cu cât este mai mare, cu atât este mai mare nivelul de informatizare al firmelor comerciale și al organizațiilor non-profit. Tehnologiile înalte, jucând un rol revoluționar în dezvoltarea afacerilor și, practic, în toate celelalte aspecte ale societății moderne, își fac utilizatorii foarte vulnerabili în ceea ce privește informațiile și, în ultimă instanță, securitatea economică.
Aceasta este o problemă nu numai în Rusia, ci și în majoritatea țărilor lumii, în primul rând occidentale, deși există legi care restricționează accesul la informațiile personale și impun cerințe stricte pentru stocarea acestora. Piețele oferă diverse sisteme de protecție a rețelelor de calculatoare. Dar cum să te protejezi de propria ta „a cincea coloană” - angajați fără scrupule, neloiali sau pur și simplu neglijenți care au acces la informații clasificate? Scurgerea scandaloasă a bazei de date de clienți MTS nu s-ar fi putut produce, aparent, fără coluziune sau neglijență penală a angajaților companiei.
Se pare că mulți, dacă nu cei mai mulți, antreprenori pur și simplu nu realizează gravitatea problemei. Chiar și în țările cu economie de piață dezvoltată, conform unor studii, 80% dintre companii nu au un sistem de protecție a stocării bine gândit, planificat, baze de date operaționale. Ce să spunem despre noi, obișnuiți să ne bazăm pe celebrul „poate”.
Prin urmare, nu este inutil să ne întoarcem la subiectul pericolelor pe care le prezintă scurgerile de informații confidențiale, să vorbim despre măsuri de reducere a unor astfel de riscuri. O publicație în Legal Times (21 octombrie 2002), o publicație juridică (Mark M. Martin, Evan Wagner, „Information Vulnerability and Security”), ne vor ajuta în acest sens. Autorii enumera cele mai tipice tipuri și metode de amenințări informaționale. Ce anume?
Declasificarea și furtul secretelor comerciale. Totul este mai mult sau mai puțin clar aici. Clasic, istorie veche, spionaj economic. În timp ce anterior secretele erau păstrate în locuri secrete, în seifuri masive, sub protecție fizică și (ulterior) electronică de încredere, astăzi mulți angajați au acces la baze de date de birou, care conțin adesea informații foarte sensibile, de exemplu, aceleași date ale clienților.
Distribuirea materialelor compromițătoare. Aici, autorii se referă la utilizarea intenționată sau accidentală de către angajați în corespondența electronică a unor astfel de informații care aruncă o umbră asupra reputației companiei. De exemplu, numele firmei se reflectă în domeniul corespondentului, care permite defăimări, insulte în scrisorile sale, pe scurt, tot ceea ce poate compromite organizația.
Încălcarea proprietății intelectuale. Este important să nu uităm că orice produs intelectual produs într-o organizație aparține organizației și nu poate fi utilizat de către angajați (inclusiv generatori și autori de valori intelectuale) decât în interesul organizației. Între timp, în Rusia, adesea apar conflicte pe această temă între organizații și angajați care revendică produsul intelectual pe care l-au creat și îl folosesc în interes personal, în defavoarea organizației. Acest lucru se întâmplă adesea din cauza situației juridice vagi din întreprindere, când contractul de muncă nu conține norme și reguli clar definite care conturează drepturile și obligațiile angajaților.
Distribuirea (adesea neintenționată) de informații privilegiate care nu sunt secrete, dar care pot fi utile concurenților. De exemplu, despre noile posturi vacante datorate expansiunii afacerilor, despre călătorii de afaceri și negocieri.
Vizite pe site-urile concurenților. Acum tot mai multe companii folosesc programe pe site-urile lor deschise (în special, concepute pentru CRM), care vă permit să recunoașteți vizitatorii și să urmăriți rutele acestora în detaliu, să înregistrați timpul și durata de vizualizare a paginilor de pe site. Este clar că, dacă vizita dumneavoastră pe site-ul unui concurent este cunoscută în detaliu operatorului acestuia, atunci acestuia din urmă nu este greu să concluzioneze ce anume vă interesează. Acesta nu este un apel la abandonarea celui mai important canal de informare competitivă. Site-urile web ale concurenților au fost și rămân o sursă valoroasă de analiză și prognoză. Dar când vizitați site-uri, trebuie să vă amintiți că lăsați urme și sunteți și urmăriți.
Abuzul de comunicații de birou în scopuri personale (ascultarea, vizionarea muzicii și a altor conținuturi care nu au legătură cu serviciul, descărcarea unui computer de birou) nu reprezintă o amenințare directă la adresa securității informațiilor, dar creează stres suplimentar asupra rețelei corporative, reduce eficiența și interferează. cu munca colegilor.
Și, în sfârșit, amenințările externe - intruziuni neautorizate etc. Acesta este un subiect pentru o discuție serioasă separată.
Cum să te protejezi de amenințările interne? Pur și simplu nu există o garanție 100% împotriva daunelor care pot fi cauzate de proprii angajați. Acesta este un factor uman care nu poate fi controlat complet și necondiționat. În același timp, autorii menționați mai sus dau sfaturi utile – să dezvolte și să implementeze o politică de comunicare (sau informare) clar formulată în cadrul companiei. O astfel de politică ar trebui să tragă o linie clară între ceea ce este permis și ceea ce nu este permis în utilizarea comunicațiilor de birou. Trecerea frontierei duce la pedeapsă. Ar trebui să existe un sistem de monitorizare a cine și cum utilizează rețelele de calculatoare. Regulile adoptate de companie trebuie să respecte atât standardele naționale, cât și internaționale recunoscute pentru protecția secretelor de stat și comerciale, a informațiilor personale și private.
Capitolul 2. Asigurarea securității informațiilor
activitate profesionala in SRL "Laspi"
2.1. Scurtă descriere a Laspi LLC
Laspi LLC a fost înființată în 1995 ca reprezentanță a unei companii cehe în Rusia. Compania este angajată în furnizarea de echipamente și consumabile cehe pentru producția de diverse produse din beton (începând cu plăci de pavaj și terminând cu garduri, ghivece etc.). Echipamentul este de înaltă calitate și costuri rezonabile. Clienții care aplică la biroul Samara sunt organizații din diferite orașe din Rusia și CSI (Kazan, Ufa, Izhevsk, Moscova, Nijni Novgorod etc.). Desigur, o activitate atât de mare necesită o atitudine deosebită față de securitatea informațiilor din cadrul companiei.
Astăzi, securitatea informațiilor lasă mult de dorit. Diverse documente (tehnice, economice) sunt în domeniul public, ceea ce permite aproape oricărui angajat al companiei (de la fondator la șofer) să se familiarizeze cu ea fără piedici.
Documentele deosebit de importante sunt păstrate într-un seif. Numai directorul și secretara lui au cheile seifului. Dar aici așa-numitul factor uman joacă un rol semnificativ. Adesea cheile sunt uitate în biroul de pe masă, iar seiful poate fi deschis chiar și de către curățenia.
Documentațiile economice (rapoarte, facturi, facturi, facturi etc.) sunt aranjate în mape și rafturi într-un dulap care nu este încuiat.
Angajații nu semnează niciun acord de nedezvăluire privind secretele comerciale atunci când aplică pentru un loc de muncă, ceea ce nu le interzice să distribuie astfel de informații.
Recrutarea angajaților se realizează printr-un interviu, care constă în două etape: 1. comunicarea cu supervizorul imediat (pe care se dezvăluie abilitățile și abilitățile unui potențial angajat) 2. comunicarea cu fondatorul (este mai personală ca natură). iar încheierea unui astfel de dialog poate fi fie „lucram împreună”, fie „nu vom lucra”).
Trimiteți-vă munca bună în baza de cunoștințe este simplu. Foloseste formularul de mai jos
Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.
Securitatea informațiilor în afaceri
Introducere
Informații care trebuie protejate
De cine ar trebui protejate informațiile?
Protejarea datelor
Concluzie
Literatură
Introducere
Până în prezent, problema securității este una dintre cele mai urgente în afaceri. Cu toate acestea, de multe ori, securitatea este înțeleasă doar ca protecție fizică a personalului și a bunurilor materiale. Dar în acest fel, numai crimei i se poate rezista. Între timp, intrând în relații de piață, orice organizație se confruntă cu o concurență acerbă care există pe orice piață civilizată. Și această luptă este plină de multe pericole pentru întreprindere. Dacă o companie a obținut vreun succes în afaceri, nu există nicio îndoială că atrage un interes considerabil din partea companiilor concurente. Orice informație despre activitatea companiei va atrage o atenție sporită din partea acestora. Prin urmare, protecția informațiilor devine o parte esențială a sistemului modern de securitate a afacerilor.
„Cine deține informațiile, deține lumea”. Acest adevăr devine deosebit de relevant în pragul secolului XXI, când era postindustrială este înlocuită de era informațională. În noul secol, problema securității informațiilor în afaceri devine și mai semnificativă.
Scopul acestei lucrări este de a lua în considerare esența securității informațiilor în afaceri.
În conformitate cu acest obiectiv, au fost stabilite următoarele sarcini:
Determinați tipurile și sursele de informații care trebuie protejate;
Identificați obiecte pentru care informațiile altcuiva sunt de interes;
Pentru a dezvălui metode de protecție a informațiilor.
Informații care trebuie protejate
Pentru a înțelege problema securității informațiilor, vom răspunde la trei întrebări:
Ce informații trebuie să protejăm?
De cine și ce trebuie să o protejăm?
Cum trebuie să protejăm informațiile?
Deci, ce fel de informații trebuie să protejăm? Eficacitatea sistemului nostru de securitate a informațiilor depinde în principal de cât de corect determinăm răspunsul la această întrebare. În primul rând, este necesar să se protejeze informațiile: Gorokhov P.K. Securitatea informațiilor. - M.: Radio și comunicare, 2005.
Despre avantajele competitive pe care compania le detine
Despre tehnologiile muncii sale
Despre mișcarea fluxurilor de numerar și materiale ale companiei
Despre planurile strategice ale companiei
Despre produse noi.
În funcție de natura activităților companiei, lista obiectelor de protecție a informațiilor poate fi extinsă. Deci, are sens ca majoritatea companiilor să păstreze informațiile secrete și față de concurenți: Gorokhov P.K. Securitatea informațiilor. - M.: Radio şi comunicare, .2005
Despre clienții tăi
Despre personalul companiei.
Este important de înțeles că o întreprindere trebuie să protejeze departe de toate informațiile pe care le deține, ci doar atât, a căror utilizare de către terți poate dăuna activităților companiei. Dimpotrivă, există și astfel de informații pe care compania trebuie pur și simplu să le dezvăluie. Deci, nu are rost să protejăm informațiile despre prețurile noastre față de concurenți. Dar informațiile despre prețurile și condițiile în care achiziționăm produse, materii prime și materiale trebuie păstrate secrete față de concurenți. Apropierea excesivă a companiei poate provoca o atitudine negativă față de aceasta din partea potențialilor parteneri, clienți și investitori. Acest lucru este valabil mai ales pentru firmele care intenționează să-și plaseze valorile mobiliare. Pentru a preveni acest lucru, compania trebuie să stabilească inițial ce informații, în ce volum și cu ce regularitate ar trebui să dezvăluie. În acest caz, vă puteți concentra pe standardele occidentale de divulgare a informațiilor. Aceleași standarde au fost stabilite de Comisia Federală pentru Piața Valorilor Mobiliare pentru companiile care oferă valori mobiliare. Informațiile care trebuie dezvăluite includ: Afaceri moderne: Etică, cultură, siguranță. - M.: GPNTB, 2007.
Situații financiare anuale (bilanț, contul de profit și pierdere, situația fluxului de numerar)
Datele acționarilor
Date privind tranzacțiile semnificative cu acțiuni.
În ceea ce privește informațiile care nu fac obiectul dezvăluirii, organizația trebuie să le clasifice în funcție de gradul de secretizare și să elaboreze standarde de securitate a informațiilor pentru fiecare categorie.
De cine ar trebui protejate informațiile?
În activitățile sale, întreprinderea se confruntă cu diverse organizații care alcătuiesc mediul său. Acestea sunt: Rastorguev S.P. Războiul informațional. - M.: Radio și comunicare, 2007. Concurenți, clienți, parteneri, autorități fiscale, autorități de reglementare.
După cum sa menționat mai sus, concurenții manifestă un interes deosebit pentru diverse tipuri de informații. Și acțiunile lor sunt pline de cel mai mare pericol pentru companie. La urma urmei, cota de piață pe care o ocupă o companie este întotdeauna o bucată delicioasă pentru concurenți, iar daunele din scurgerea diferitelor tipuri de informații, de exemplu, despre caracteristicile unui produs care este pregătit pentru lansare, pot fi ireparabile.
În ceea ce privește partenerii, interesul acestora în legătură cu informațiile despre compania dumneavoastră poate fi cauzat, în primul rând, de considerente de securitate proprie. Prin urmare, este necesar să se creeze cele mai favorabile condiții pentru ca aceștia să primească informații despre companie care să nu depășească cadrul necesar unei cooperări fructuoase. Aici este necesar să se definească clar despre ce fel de informații este vorba, pentru a le furniza în timp util și în totalitate și a restricționa accesul la alte informații.
Informațiile pe care clienții doresc să le primească sunt foarte specifice. Acestea sunt: Societatea Informațională: Războaiele Informaționale. Administrarea informației. Securitatea Informației / Ed. M. A. Vus. - M.: Editura din Sankt Petersburg. un-ta, 2006. informatii generale despre firma si produsele acesteia, informatii despre fiabilitatea firmei, informatii despre preturi.
Pentru clienți, este important să se asigure că astfel de informații sunt cât mai accesibile posibil. Vorbind despre protecția informațiilor, ar trebui să se înțeleagă că „scoaterea gunoiului din colibă” ar fi nedorită. Totuși, același lucru este valabil și pentru relațiile cu partenerii. Prin urmare, este deosebit de important să se definească clar ce informații interne ale companiei nu pot fi dezvăluite.
Relațiile companiei cu autoritățile fiscale și de reglementare sunt specifice. Aceste organisme au propriile lor cerințe specifice pentru furnizarea de informații. În relațiile cu aceștia, este important să respectați pe deplin cerințele acestora, să furnizați informații în timp util și în volumul necesar, dar fără a depăși acest volum. În acest caz, atât lipsa, cât și excesul de informații furnizate pot duce la cele mai nedorite consecințe.
Următoarea problemă importantă este înțelegerea de ce informații ar trebui protejate. Acțiunile nedorite care pot fi efectuate cu informații care constituie secretul organizației sunt: Societatea informațională: Războaiele informaționale. Administrarea informației. Securitatea Informației / Ed. M. A. Vus. - M.: Editura din Sankt Petersburg. un-ta, 2006. distrugerea de informații importante, denaturarea informațiilor deschise, deținerea de informații secrete, copierea informațiilor electronice confidențiale, închiderea sau restricționarea accesului la informațiile solicitate de companie, acces neautorizat la informații cu acces restricționat.
Înainte de a lua în considerare măsuri de protejare a informațiilor, să ne oprim asupra mijloacelor și metodelor care pot fi folosite pentru a obține informațiile necesare despre companie. Există două mari grupe de mijloace și metode de inteligență economică sau de spionaj industrial: Securitatea informației: Proc. pentru universitățile în științe umaniste. și socioeconomice. specialități. - M.: Intern. relații: Cronicar, 2007.
Metode de colectare a informațiilor folosind echipamente speciale
Metode de colectare fragmentară a informațiilor.
Spionajul industrial asociat cu utilizarea echipamentelor speciale include: Securitatea informațiilor: Proc. pentru universitățile în științe umaniste. și socioeconomice. specialități. - M.: Intern. relații: Cronicar, 2007.
Ascultarea convorbirilor telefonice
Ascultarea camerei
supraveghere televizată
Intruziunea în rețeaua de calculatoare
Citirea informațiilor de pe monitoare.
Toate aceste metode sunt foarte costisitoare și consumatoare de timp și pot fi utilizate doar de marii concurenți și agențiile de aplicare a legii. Implementarea unor astfel de acțiuni este posibilă doar de către un profesionist, ceea ce face ca astfel de acțiuni să fie deosebit de periculoase.
Metodele de colectare fragmentară a informațiilor includ: Securitatea informațiilor: Proc. pentru universitățile în științe umaniste. și socioeconomice. specialități. - M.: Intern. relații: Cronicar, 2007.
Inteligența telefonică. Multe informații despre o firmă pot fi obținute prin telefon, apelând sub un pretext plauzibil, cum ar fi stabilirea de contacte de afaceri sau efectuarea unui sondaj statistic. Dacă personalul companiei nu este suficient de conștient de ce informații nu ar trebui dezvăluite, atunci riscați să scurgeți informații importante fără să le cunoașteți.
Negocieri false. Folosind această metodă foarte comună, concurenții tăi se pot prezenta, de exemplu, ca potențiali clienți sau parteneri și în timpul negocierilor preliminare primesc multe informații de interes pentru ei dacă nu îi supui verificării preliminare și sunt prea deschis față de ei. Diverse expoziții sunt un teren deosebit de fertil pentru obținerea acestui gen de informații.
Recrutarea angajaților. Invitarea la muncă a specialiștilor unei companii concurente vă permite uneori să aflați multe despre activitățile acesteia. Chiar dacă o persoană, din motive de decență, nu oferă informații care erau secrete la locul său anterior de muncă, conform cunoștințelor, obiceiurilor, comportamentului său, se pot trage numeroase concluzii despre activitatea unei companii concurente. Unele companii practică și „braconajul fals” a angajaților, ademenindu-i cu un salariu mare. În numeroase interviuri și interviuri, aceștia pot afla multe despre compania lui, în timp ce el nu primește niciodată un nou loc de muncă.
Introducerea propriilor angajați în personalul concurentului. Această metodă de spionaj industrial este cea mai periculoasă, deoarece introducându-vă persoana în echipa altcuiva, puteți afla despre companie orice informație care este de competența acestui angajat. Și dacă compania nu ia măsuri pentru a restricționa accesul la informațiile interne, atunci un angajat obișnuit poate ști aproape totul despre companie.
Astfel, am ajuns la cea mai importantă problemă a securității informațiilor în afaceri - cum să protejăm informațiile?
Protejarea datelor
În general, asigurarea securității informațiilor în afaceri se rezumă la rezolvarea a două sarcini majore: Stepanov E. A., Korneev I. K. Securitatea informațiilor și protecția informațiilor. - M.: INFRA-M, 2008.
Asigurarea integrității și siguranței informațiilor.
Protecția informațiilor împotriva accesului neautorizat.
Luați în considerare măsuri pentru a asigura integritatea și siguranța informațiilor. De regulă, informațiile sunt stocate în:
Suport de hârtie
Media electronică.
Documentele sunt de obicei stocate pe hârtie. Numărul de copii ale documentelor este limitat, uneori pot exista într-un singur exemplar. Atunci pierderea lor va face recuperarea imposibilă. Pentru a preveni acest lucru, este necesar să se țină o evidență strictă a tuturor documentelor, să le păstreze în condiții adecvate și să se asigure controlul accesului la acestea. Acolo unde este posibil, copiile informațiilor ar trebui păstrate și stocate în locuri special echipate. În același timp, este important ca originalele și copiile să fie depozitate în camere separate. Mai mult, este de dorit, dacă este posibil, să lucrați cu copii și să păstrați originalele în seifuri secrete. Acest lucru poate fi deosebit de important în circumstanțe neprevăzute, cum ar fi incendiul sau furtul.
În prezent, există o tendință clară de extindere a utilizării mijloacelor electronice. În multe companii, întregul flux de documente se realizează electronic. O parte integrantă a structurii informaționale a companiilor sunt diverse baze de date electronice. Informațiile audio și video sunt, de asemenea, stocate pe suporturi electronice. În ultimii ani, chiar și plățile se fac electronic. Și, în același timp, informațiile electronice sunt cele mai vulnerabile în ceea ce privește distrugerea și deteriorarea. Faptul este că mediile electronice nu sunt foarte durabile, iar manipularea necorespunzătoare a echipamentelor poate duce la distrugerea accidentală a informațiilor. Un alt pericol major îl reprezintă virușii informatici, care s-au răspândit în ultimul timp. Ca măsuri utilizate pentru a proteja informațiile electronice de deteriorare și distrugere, aceștia folosesc de obicei: Stepanov E. A., Korneev I. K. Securitatea informațiilor și protecția informațiilor. - M.: INFRA-M, 2008.
Informații de rezervă. Se efectuează zilnic și oferă capacitatea de a restabili informațiile la o adâncime de cel mult o zi. Copiile zilnice sunt de obicei păstrate separat de rețeaua de calculatoare.
Disponibilitatea serverelor redundante în rețeaua locală. Vă permite să nu încetați să lucrați dacă serverul principal eșuează.
Utilizarea surselor de alimentare neîntreruptibile. Vă permite să protejați rețeaua de calculatoare a companiei de pierderile de informații asociate cu problemele din rețeaua electrică.
Crearea arhivelor informative. Toate cele mai importante informații sunt arhivate, înregistrate pe suporturi amovibile și stocate într-o cameră special echipată. Mai mult, pentru a crește fiabilitatea, mai multe copii ar trebui făcute și stocate independent unele de altele. Atunci când alegeți un transportator, trebuie acordată o atenție deosebită fiabilității și durabilității acestuia.
Protecție antivirus. Pentru a proteja eficient o rețea de calculatoare de un atac de viruși, toate fișierele care vin din exterior ar trebui controlate. Pentru a face acest lucru, este recomandat să dezactivați unitățile de disc de pe stațiile de lucru din rețeaua locală și să scrieți toate fișierele externe numai prin intermediul administratorului de rețea după o verificare adecvată anti-virus. Este recomandat să interziceți utilizarea dischetelor în organizația dvs. Cea mai mare amenințare de virus este plină de utilizarea internetului. Este necesar să construiți un sistem de protecție antivirus în așa fel încât toate fișierele care vin prin Internet să fie verificate înainte de utilizare. De asemenea, ar trebui să efectuați o verificare preventivă zilnică înainte de a face backup.
Limitarea accesului. Pentru a evita deteriorarea accidentală sau eliminarea informațiilor sau software-ului necesar, ar trebui să limitați accesul fiecărui utilizator al rețelei locale a companiei doar la informațiile de care are nevoie. În cazul în care informațiile vor fi protejate de utilizatorul însuși, ar trebui să se folosească accesul numai în citire.
Acum luați în considerare măsuri pentru a proteja informațiile împotriva accesului neautorizat.
Cel mai important mijloc de combatere a scurgerilor de informații este lucrul cu personalul. Cel mai important pas este selectarea personalului. Atunci când angajați o companie, trebuie acordată atenție nu numai calităților de afaceri și profesionale ale candidaților, ci, în primul rând, calităților umane ale acestora - decență, onestitate, loialitate. După angajare, este necesar din când în când să se efectueze o monitorizare sub acoperire a activităților angajaților pentru a preveni eventualele scurgeri de informații. De asemenea, este necesar ca conducerea să fie mereu conștientă de problemele subordonaților lor pentru a evita astfel de situații când căutarea unui venit suplimentar sau ambiția excesivă împinge o persoană să vândă secretele întreprinderii.
Totuși, toate aceste măsuri nu vor aduce niciun rezultat dacă întreprinderea nu dezvoltă un sistem clar de delimitare a accesului la informație. În funcție de ierarhia existentă în întreprindere, fiecare angajat trebuie să aibă acces la o cantitate de informații strict definită. În plus, este necesar să existe o prevedere internă privind informațiile oficiale și secretele comerciale și să se definească clar gradul de secretizare al fiecărui document.
Cea mai eficientă modalitate de a proteja informațiile împotriva accesului nedorit este fragmentarea informațiilor. Acest principiu constă în faptul că oricare dintre angajați ar trebui să aibă doar informații legate de domeniul său de activitate. Astfel, orice informație este împărțită între angajați și nicio informație secretă nu poate fi pe deplin accesibilă unei singure persoane. Drept urmare, el nu poate comunica nimănui nici în mod conștient, nici inconștient întregul secret.
Pentru a proteja împotriva spionajului industrial folosind mijloace tehnice, este necesar să folosiți mijloace speciale. În prezent, pentru fiecare „bug” există un „anti-bug”. Este important să efectuați în mod regulat verificări adecvate, să monitorizați în mod constant vulnerabilitățile. Puteți reduce semnificativ posibilitatea de a folosi mijloace tehnice de spionaj împotriva dvs. dacă aveți un sistem de control al accesului funcțional la sediu. Contabilitatea tuturor mișcărilor angajaților și oaspeților în cadrul companiei și supravegherea internă și externă a televiziunii nu vă va proteja complet, dar în unele cazuri va ajuta la identificarea și prevenirea acțiunilor împotriva dvs. Și, desigur, principalul obiect de protecție împotriva accesului neautorizat îl reprezintă informațiile electronice. Principalele metode de protecție a acestuia sunt: Stepanov E. A., Korneev I. K. Securitatea informațiilor și protecția informațiilor. - M.: INFRA-M, 2008.
Controlul accesului. După cum sa menționat mai sus, fiecare angajat ar trebui să lucreze în rețeaua locală numai cu informațiile de care are nevoie pentru a-și îndeplini sarcinile de serviciu. Acest lucru este valabil mai ales în organizațiile care utilizează sisteme automate integrate mari. Neglijarea separării accesului sau aplicarea incorectă a acestuia poate duce la faptul că angajații obișnuiți vor avea aproape toate informațiile despre activitățile companiei. De asemenea, este necesar să se înregistreze și să se monitorizeze periodic activitatea utilizatorilor în rețea.
Localizarea rețelei interne de calculatoare. Pentru a preveni scurgerea de informații, computerele care nu au unități de disc și porturi paralele trebuie instalate în rețea. Acest lucru va face imposibilă descărcarea informațiilor de pe computerele companiei.
Excluderea celor mai importante computere din rețeaua locală. Pentru a reduce probabilitatea accesului neautorizat, se recomandă ca numai computerele conectate la un singur proces tehnologic să fie conectate la o rețea locală. Adevărat, de regulă, astfel de computere sunt majoritatea. Cu toate acestea, este de dorit ca liderii companiilor să aibă propriile computere independente, acces la care doar ei înșiși au.
Localizarea lucrărilor cu Internetul. Rețeaua de calculatoare la nivel mondial este plină de multe pericole, nu numai din punctul de vedere al atacurilor de viruși, ci și din punctul de vedere al hackării rețelelor de computere ale întreprinderilor. Pentru a preveni acest lucru, este necesar să se separe rețeaua internă a întreprinderii și internetul. În firmele mici, este posibil să se aloce un computer local separat pentru a lucra în rețeaua mondială. Cu toate acestea, într-o întreprindere mare în care majoritatea angajaților folosesc internetul, acest lucru nu este întotdeauna posibil. În acest caz, stațiile de lucru ar trebui să fie setate într-un mod în care computerul este deconectat de la rețeaua locală înainte de a intra pe Internet.
Criptarea informațiilor. Această metodă este utilizată în principal la transmiterea de informații prin modem prin linii telefonice, deoarece există posibilitatea de interceptare a unor astfel de informații de către terți. În prezent există programe criptografice certificate și acestea trebuie utilizate dacă utilizați orice canale de transmitere a informațiilor electronice permanente.
Semnătura electronică digitală. Asigură fiabilitatea informațiilor transmise prin modem. Servește ca protecție împotriva distorsiunii intenționate a informațiilor transmise. În prezent, există programe de semnătură digitală certificate cu diferite grade de protecție. Utilizarea unor astfel de mijloace este de o importanță deosebită atunci când se utilizează plăți electronice și se transmit mesaje cu secretizare sporită.
Concluzie
Toate măsurile descrise nu trebuie aplicate separat unele de altele. Pentru a asigura o protecție eficientă a informațiilor, este necesară dezvoltarea unui sistem de securitate a informațiilor pentru întreprindere. Doar aceste măsuri luate în combinație vă pot proteja în mod fiabil afacerea de pierderi nedorite. Fiecare organizație are specificul său și, în consecință, trebuie să aibă propria sa structură a sistemului de securitate a informațiilor. Corectitudinea alegerii acesteia depinde de profesionalismul angajaților care se confruntă cu această problemă, și de managerii companiei. Cea mai importantă componentă a unui astfel de sistem ar trebui să fie analiza regulată a „punctelor slabe” și adoptarea măsurilor necesare pentru a preveni eventualele probleme.
În concluzie, vreau să menționez că la crearea unui sistem de securitate a informațiilor este important, pe de o parte, să nu fii zgârcit, deoarece pierderile pot fi nemăsurat mai mari, iar pe de altă parte, să nu exagerezi pentru a nu să arunce banii pe măsuri pseudo-protectoare inutile și să nu împiedice trecerea fluxurilor informaționale . Nu există niciodată suficientă securitate, dar nu trebuie să uităm niciodată că scopul principal al unui sistem de securitate este acela de a asigura funcționarea fiabilă și neîntreruptă a unei organizații.
Literatură
1. Gorokhov P. K. Securitatea informațiilor. - M.: Radio și comunicare, 2002.
2. Securitatea informaţiei: Proc. pentru universitățile în științe umaniste. și socioeconomice. specialități. - M.: Intern. relații: Cronicar, 2007.
3. Societatea informațională: Războaiele informaționale. Administrarea informației. Securitatea Informației / Ed. M. A. Vus. - M.: Editura din Sankt Petersburg. un-ta, 2006.
4. Rastorguev S. P. Războiul informațional. - M.: Radio și comunicare, 2005.
5. Afaceri moderne: Etică, cultură, siguranță. - M.: GPNTB, 2004.
6. Stepanov E. A., Korneev I. K. Securitatea informațiilor și protecția informațiilor. - M.: INFRA-M, 2008.
Documente similare
Structura și caracteristicile sistemului de operare Linux, istoria dezvoltării sale. Securitatea informațiilor: documente conceptuale și de reglementare, direcții de scurgere de informații și protecția acesteia. Calculul creării unui sistem de securitate a informațiilor și studiul eficacității acestuia.
lucrare de termen, adăugată 24.01.2014
Principalele canale de scurgere de informații. Principalele surse de informații confidențiale. Principalele obiecte ale protecției informațiilor. Lucrarea principală privind dezvoltarea și îmbunătățirea sistemului de securitate a informațiilor. Modelul de protecție a securității informațiilor al Căilor Ferate Ruse.
lucrare de termen, adăugată 09.05.2013
Asigurarea securității informațiilor în Rusia modernă. Analiza metodelor de protejare a informațiilor împotriva interferențelor accidentale sau deliberate care dăunează proprietarilor sau utilizatorilor acestora. Studierea suportului juridic al securității informațiilor.
test, adaugat 26.02.2016
Caracteristicile și caracteristicile securității informațiilor, care este înțeleasă ca securitatea informațiilor și infrastructura care o susține de orice influențe accidentale sau rău intenționate. Securitatea informațiilor pe Internet. Caracteristici antivirus.
test, adaugat 24.02.2011
Conceptul de securitate a informațiilor, conceptul și clasificarea, tipurile de amenințări. Descrierea mijloacelor și metodelor de protecție a informațiilor de amenințări aleatorii, de amenințări de interferență neautorizată. Metode criptografice de protecție a informațiilor și firewall-uri.
lucrare de termen, adăugată 30.10.2009
Amenințări externe la adresa securității informațiilor, forme de manifestare a acestora. Metode și mijloace de protecție împotriva spionajului industrial, scopurile acestuia: obținerea de informații despre un concurent, distrugerea informațiilor. Modalități de acces neautorizat la informații confidențiale.
test, adaugat 18.09.2016
Conceptul și principiile de bază ale asigurării securității informațiilor. Conceptul de securitate în sistemele automatizate. Fundamentele legislației Federației Ruse în domeniul securității informațiilor și al protecției informațiilor, proceselor de licențiere și certificare.
curs de prelegeri, adăugat 17.04.2012
Categorii de acțiuni care pot dăuna securității informațiilor, metode de asigurare a acesteia. Sfera companiei și analiza performanței financiare. Sistemul de securitate informatică al companiei și elaborarea unui set de măsuri pentru modernizarea acesteia.
teză, adăugată 15.09.2012
Obiectivele securității informațiilor. Surse ale principalelor amenințări informaționale pentru Rusia. Importanța securității informațiilor pentru diverși specialiști din poziția companiei și a părților interesate. Metode de protejare a informațiilor împotriva amenințărilor informaționale intenționate.
prezentare, adaugat 27.12.2010
Conceptul, sensul și direcțiile securității informațiilor. O abordare sistematică a organizării securității informațiilor, protejând informațiile împotriva accesului neautorizat. Mijloace de protecție a informațiilor. Metode și sisteme de securitate a informațiilor.
Securitatea afacerii- acesta este un ansamblu de măsuri și măsuri care vizează protecția cuprinzătoare a activităților de afaceri de diverse tipuri de amenințări (informaționale, juridice, fizice, economice, organizaționale și de personal). Toate deciziile privind protecția globală a afacerii și măsurile luate sunt atribuite serviciului de securitate, șefilor departamentelor relevante și directorului organizației.
Tipuri de probleme de securitate în afaceri și modalități de a le rezolva
În orice tip de afacere, există întotdeauna loc pentru risc. În același timp, un lider bun nu va aștepta probleme - va lua măsuri în timp util pentru a se proteja împotriva celor mai probabile probleme din zona de afaceri. Acestea includ:
- necazuri corporative– dispute și situații conflictuale între acționarii companiei, conflicte între managerii de vârf sau relații complexe între proprietarii companiei și șefii de departamente;
- pericole externe- amenințări din partea structurilor criminale, conflicte cu forțele de ordine și agențiile guvernamentale, raiduri și așa mai departe;
- pierderi financiare- actiuni frauduloase ale personalului (clientii), furt, intermediari sau furnizori fara scrupule, folosirea necorespunzatoare a resurselor companiei, luare de mita pentru anumite activitati contrare intereselor firmei;
- pericole informaţionale– scurgerea de informații secrete ale companiei (ascunderea sau distrugerea acestora), obținerea accesului neautorizat la date confidențiale, dezvăluirea secretelor comerciale etc.;
- gauri de securitate- furtul de bunuri materiale si tehnice de catre persoane neautorizate, intrarea neautorizata pe teritoriul societatii, incalcarea disciplinei muncii;
- probleme de reputație- prezenta in structura a angajatilor cu reputatie proasta, cooperarea cu persoane (contrapartide) cu reputatie proasta.
Pentru a rezolva toate aceste probleme de afaceri, sunt necesare următoarele tipuri de protecție:
- fizică– sisteme de securitate, securitate, camere de supraveghere și așa mai departe;
- economice– verificarea contrapartidei, protectia bancii client, optimizare fiscala;
- organizatorice si de personal– verificarea personalului sosit, controlul angajaților existenți;
- informativ– protecție împotriva intruziunilor, protecția fișierelor și documentelor, optimizarea și protecția 1C, autentificare unificată, protecție împotriva scurgerilor de informații etc.;
- legal– examinarea tranzacțiilor finalizate, verificarea proiectelor de documente, servicii de abonament și așa mai departe.
Afaceri
Potrivit statisticilor, mai mult de jumătate din toate problemele de afaceri apar din cauza „lacunelor” în securitatea informațiilor. Scurgerea de informații către concurenți, pierderea datelor, transferul informațiilor secrete ale companiei în mâini greșite - toate acestea implică un risc mare pentru afacere. Într-o astfel de situație, managerii IT ai companiei iau o serie de măsuri eficiente pentru a asigura o protecție completă a companiei.
Pe primul loc este protecția datelor financiare, pe al doilea - protecția împotriva scurgerilor, iar pe al treilea - protecția împotriva atacurilor DDoS. Și dacă primele două puncte au fost de mult în primele trei, atunci problema atacurilor a apărut abia de curând. Motivul acestui interes este numărul crescut de atacuri DDoS asupra companiilor mici și mijlocii.
Printre principalele măsuri pe care companiile ruse le-au luat în domeniul securității se numără protecția împotriva malware-ului, managementul actualizărilor, controlul aplicațiilor, structura rețelei, soluțiile de protecție a transferurilor financiare, controlul utilizării dispozitivelor externe, protecția telefonului mobil etc.
Principalele metode de protecție a informațiilor comerciale sunt următoarele:
1. Protecție la intruziune– instalarea de programe sau echipamente necesare controlului traficului în rețea. Când apare primul pericol (intruziune), sistemul reacţionează şi blochează accesul. Totodată, angajatul responsabil este anunțat.
Sistemul de protecție este implementat în unul din două moduri:
- sistem IPS. Sarcina sa este de a bloca orice activitate de rețea care trezește suspiciuni, pentru a elimina în mod eficient traficul „în plus”. Avantajul sistemului este capacitatea nu numai de a detecta, ci și de a preveni intruziunea. Minus - un procent ridicat de fals pozitive, ceea ce duce la distragerea constantă a angajaților de la cazul și timpul de nefuncționare a rețelei de calculatoare în timpul verificării;
- sistem IDS– monitorizează activitatea anormală curentă, la apariția căreia se dă un semnal administratorului. Caracteristici pozitive - o luptă eficientă împotriva intruziunii, transferul drepturilor de decizie către administrator. Dezavantajul este că angajatul responsabil poate să nu aibă timp să ia măsuri, iar sistemul va fi deteriorat iremediabil.
Sistemul ideal de apărare împotriva intruziunii arată astfel:
2. Protecție împotriva scurgerilor– un set de măsuri pentru a preveni ca informațiile confidențiale să cadă în mâini neautorizate. O scurgere se poate întâmpla în două moduri:
Prin furt rău intenționat (spionaj, raiders, persoane din interior);
- din cauza unei supravegheri a personalului (pierderea media, trimiterea unei parole prin poștă, accesarea unei pagini cu virus, lipsa persoanelor responsabile pentru transferul drepturilor de acces la date etc.).
În caz de furt rău intenționat, metodele de protecție sunt următoarele - limitarea modului de acces la, instalarea camerelor de supraveghere, instalarea instrumentelor de distrugere a datelor pe servere, criptarea informațiilor, stocarea datelor pe servere străine.
Pentru a proteja împotriva erorilor de personal, următoarele metode pot fi numite eficiente - minimizarea drepturilor de acces la informații confidențiale, responsabilitatea individuală a angajaților, utilizarea canalelor securizate, crearea de reglementări pentru ca angajații să lucreze cu documente importante, introducerea responsabilității pentru suporturile de date transferate angajaților. .
În plus, pentru a vă proteja împotriva erorilor accidentale, este important să organizați - înregistrarea conversațiilor telefonice, monitorizarea traficului și munca angajaților la un computer, criptarea cardurilor USB, utilizarea RMS, implementarea sistemelor DLP și așa mai departe.
3. Protecția fișierelor implică siguranța tuturor celor mai importante informații care sunt stocate pe computerele și serverele din cadrul companiei. Se implementează după cum urmează:
- criptarea sistemelor de fișiere (date)– utilizarea sistemelor EFS, Qnap, CryptoPro și așa mai departe;
- criptarea laptopurilor (netbook-uri), medii de stocare, dispozitive mobile - soluții software (Kasperskiy, SecretDisk, Endpoint Encryption) sau module de criptare de la Sony, Asus și alte companii;
Asigurarea securității informațiilor afacerii Andrianov V.V.
1.3. Model de securitate a informațiilor de afaceri
1.3.1. Motivația
Practica rusă și mondială de reglementare a securității informațiilor (SI) din trecutul recent a constat în cerințe obligatorii ale organismelor naționale autorizate, întocmite sub formă de ghiduri RD. Prin urmare, pentru conducerea de vârf și proprietarii organizațiilor, a existat o singură problemă de conformitate cu acestea (conformitatea) și o singură modalitate de a o rezolva - cum să îndepliniți cerințele propuse cu costuri minime. Organismele abilitate au avut propria lor problemă – atât din cauza imposibilității acoperirii tuturor tipurilor posibile de activități, cât și a condițiilor de implementare a acestora, cât și a diferențelor semnificative în scopurile activităților, pentru a oferi un set universal de cerințe. Pentru a face acest lucru, problema securității informațiilor a fost considerată ca o entitate autosuficientă, invariantă față de activitate, obiective, condiții și, de asemenea, a fost redusă semnificativ în conținut de dragul universalității.
Ambele abordări (ale organizațiilor și ale autorităților de reglementare) sunt inadecvate realității existente și o prezintă într-o formă semnificativ distorsionată. Astfel, principalele restricții de fond ale activităților IS sunt asociate cu modelul tradițional IS, care presupune prezența obligatorie a unui atacator care urmărește să deterioreze bunurile (informațiile) și, în consecință, se concentrează pe protejarea informațiilor de acțiunile unui astfel de subiect. (grup de subiecte). În același timp, incidentele legate, de exemplu, de schimbări regulate în software-ul aplicației, nu pot fi atribuite unui atacator. Motivele posibile ale acestora sunt managementul slab dezvoltat și baza tehnologică slabă. Insuficiența proprie a organizației (management, procese de bază de afaceri) la condițiile predominante în general este o sursă foarte puternică de probleme, care este ignorată din cauza imposibilității de a o lega de un atacator.
Evoluția ulterioară a modelelor IS a fost asociată cu întărirea rolului proprietarului (proprietarului) și s-a rezumat la faptul că el însuși le-a ales (pe riscul și riscul său) din setul standard de măsuri de protecție oferite acestuia pe cele care avea nevoie, adică cele care, în opinia sa, pot oferi un nivel acceptabil de securitate. Acesta a fost un pas semnificativ înainte, întrucât a asigurat că securitatea informației era legată de un obiect anume cu condiții specifice existenței acestuia, rezolvând parțial contradicțiile asociate cu autosuficiența problemei securității informației. Cu toate acestea, nu a fost posibil să se ofere un mecanism constructiv pentru proprietar, cu excepția creării unui catalog de obiecte cu măsuri de protecție tipice selectate (profile de protecție). Profilurile în sine au fost create folosind metoda euristică expertă. În același timp, ce fel de risc și-a asumat proprietarul a rămas necunoscut și a fost determinat în practică.
Evoluția ulterioară s-a redus la teza că securitatea informațiilor poate crea (genera) daune în scopurile activității și de aceea riscurile securității informației (care au rămas autosuficiente) ar trebui coordonate (legate) cu riscurile organizației. A rămas doar să indice cum să le conectăm și să integrăm sistemul de management al securității informațiilor (ISMS) în managementul corporativ nu ca un sistem izolat și independent de procese, ci ca o componentă integrală, puternic conectată a managementului. Acest lucru a eșuat. Cu toate acestea, această abordare a avansat bine un număr de categorii de evaluare SI, inclusiv riscurile IS.
Sunt cunoscute și modele pragmatice IS, bazate pe evaluarea costului total de proprietate (în raport cu IS) și a „returnării” investițiilor în IS. În cadrul acestei abordări, un grup de organizații similare în ceea ce privește obiectivele și condițiile de activitate evaluează periodic domeniile de implementare a SI și formează un model care constă din cele mai bune practici pentru grup. În plus, fiecare dintre organizații, în conformitate cu cele mai bune practici și condițiile sale (incidente care au avut loc), determină direcția și volumul investițiilor. Eficacitatea investițiilor se evaluează în perioada următoare prin reducerea pagubelor cauzate de incidente care au ajuns în zona investițiilor realizate și, prin urmare, nu au produs pagube mari.
Cu toate acestea, această abordare, cu multe dintre meritele sale, necesită un schimb larg de informații sensibile, iar conflictul de interese al participanților la schimb exclude crearea oricăror măsuri de consolidare a încrederii calității, deci nu este utilizat pe scară largă.
Modelul IS propus în standardul Băncii Centrale a Federației Ruse a avansat și mai mult problema atât în ceea ce privește integrarea acesteia (asociată cu scopurile activității), cât și în ceea ce privește extinderea interpretării esenței „intrusului” . Un atacator este o persoană care este capabilă să se confrunte cu proprietarul și are propriul său scop, pe care îl realizează, obținând controlul asupra activelor organizației.
Această abordare extinde semnificativ tipurile și sursele de daune ale organizației care intră în sfera de aplicare a IS, unde soluția lor este cea mai rațională. Cu toate acestea, a fost în multe privințe o abordare de compromis și necesită urgent o apropiere suplimentară a problemelor de securitate a informațiilor cu rezultatul final al activității (produsul produs). Avem nevoie de un model care să ajute cu adevărat afacerea, să contribuie direct la performanța acesteia și la îmbunătățirea necesară prin crearea și menținerea unei sfere informaționale sigure și de încredere, inclusiv prin lupta împotriva unui intrus. Doar un astfel de model poate fi perceput de afaceri. Orice altele vor fi respinse de ei.
Acest text este o piesă introductivă. Din cartea Aplicarea tehnologiilor bancare electronice: o abordare bazată pe risc autorul Lyamin L.V.5.4. Adaptarea securității informațiilor
autorul Andrianov V. V.1. Filosofia securității informațiilor de afaceri
Din cartea Business Information Security autorul Andrianov V. V.1.1.4. Definiția securității informațiilor Conștientizarea treptată a faptului că impactul informațional asupra unui proces de afaceri (asupra managementului acestuia) poate fi mai eficient decât impactul material sau financiar, precum și un prag scăzut de resurse pentru astfel de impacturi
Din cartea Business Information Security autorul Andrianov V. V.2. Modele de management (management) existente aplicabile pentru a asigura securitatea informațiilor de afaceri Dacă o organizație are o resursă nelimitată, atunci nu există probleme de management pentru a asigura securitatea informațiilor afacerii sale. În cazul în care un
Din cartea Business Information Security autorul Andrianov V. V.3. Evaluarea securității informațiilor de afaceri. Problema măsurării și evaluării securității informațiilor în afaceri 3.1. Modalități de evaluare a securității informațiilor Organizații a căror activitate depinde în mare măsură de sfera informațională pentru a atinge obiectivele de afaceri
Din cartea Business Information Security autorul Andrianov V. V.3.1. Metode de evaluare a securității informației Organizațiile a căror activitate este dependentă în mare măsură de sfera informațională, pentru a atinge obiectivele de afaceri, trebuie să mențină un sistem de securitate a informațiilor (IS Maintenance System) la nivelul cerut. ISIS este un set
Din cartea Business Information Security autorul Andrianov V. V.3.2. Procesul de evaluare a securității informațiilor 3.2.1. Elemente principale ale procesului de evaluare Procesul de evaluare SI include următoarele elemente ale evaluării: - contextul evaluării, care determină datele de intrare: scopurile și scopul evaluării SI, tipul de evaluare (evaluare independentă,
Din cartea Business Information Security autorul Andrianov V. V.3.2.2. Contextul evaluării securității informației a organizației Contextul evaluării SI include scopurile și scopul evaluării SI, tipul de evaluare, obiectul și domeniile evaluării SI, constrângerile de evaluare, rolurile și resursele. implementarea procesului de evaluare include organizatorul,
Din cartea Business Information Security autorul Andrianov V. V.