Информационна сигурност: как да защитите себе си и клиентите си. Информационна сигурност на предприятието Информационна защита на бизнеса с професионална дейност в Laspi LLC

10.02.2022 Къща

ПРЕПРАТКИ

1. Хованскова В.С., Румянцев К.Е., Ховансков С.А. Метод за подобряване на защитата на производителността на разпределените изчисления в компютърни мрежи // Известия SFU. Техническа наука. - 2012. - No 4 (129). - С. 102-107.

2. Khovanskov S.A., Norkin O.R. Алгоритъм за повишаване производителността на разпределените мрежови изчисления // Информатизация и комуникация. - 2011. - No 3. - С. 96-98.

3. Литвиненко В.А., Ховансков С.А. Решаване на проблеми чрез организиране на разпределени изчисления в мрежа // Известия SFU. Техническа наука. - 2008. - No 3 (80). - С. 16-21.

4. Khovanskov S.A., Norkin O.R. Алгоритмична оптимизация на конфигурацията на децентрализираната изчислителна система // Телекомуникации. - 2012. - бр. 11. - С. 2-5.

5. Khovanskov S.A. Организация на разпределени изчисления с йерархична структура на връзки // Информационно противодействие на заплахите от тероризъм. - 2007. - бр. 9. - С. 170-178.

6. Литвиненко V.A., Khovanskov S.A. Алгоритъм за оптимизиране на параметрите на компютърната мрежа за намаляване на времето за решаване на задача на базата на многоагентна система Известия SFU. Техническа наука. - 2007. - No 2 (77). - С. 186-190.

7. Khovanskov S.A., Litvinenko V.A., Norkin O.R. Организация на разпределени изчисления за решаване на задачи за проследяване.Известия ДФУ. Техническа наука. - 2010г.

- No 12 (113). - С. 48-55.

8. Калашников V.A., Трунов I.L., Khovanskov S.A. Алгоритъм за паралелно разположение на многопроцесорна компютърна система // Известия SFU. Техническа наука.

1997. - No 3 (6). - С. 181-184.

Румянцев Константин Евгениевич - Федерална държавна автономна образователна институция за висше професионално образование "Южен федерален университет"; електронна поща: [защитен с имейл]; 347900, Таганрог, ул. Чехов, 2; тел.: 88634328725; Катедра ИБТКС; глава отдел; Доктор на техническите науки; професор,

Ховансков Сергей Андреевич - e-mail: [защитен с имейл]; тел.: 88634642530; Катедра ИБТКС; Доцент доктор; доцент.

Хованскова Вера Сергеевна - електронна поща: [защитен с имейл]; тел.: 88634676616; студент.

Румянцев Константин Евгеньевич - Федерално държавно автономно образователно заведение за висше професионално образование „Южен федерален университет“; електронна поща: [защитен с имейл]; 2, улица Чехов, Таганрог, 347900, Русия; телефон: +78634328725; отделението на ИБТКС; ръководител на отдела; д-р на инж. sc.; професор.

Ховансков Сергей Андреевич - e-mail: [защитен с имейл]; тел.: 88634642530; отделът на ISTCN; канд. на инж. sc.; доцент.

Хованскова Вера Сергеевна - електронна поща: [защитен с имейл]; телефон: +78634676616; студент.

Е.Н. Ефимов, Г.М. Лапицкая

ИНФОРМАЦИОННА СИГУРНОСТ И БИЗНЕС ПРОЦЕСИ

ФИРМИ

Целта на изследването е да покаже, че информационната сигурност трябва да се създава и съществува в рамките на постигане на бизнес целите на компанията. В същото време бизнес процесите са основният източник на данни за организиране на информационната сигурност на една компания.

При разработването на стратегия за управление на информационната сигурност беше предложена цялостна диагностика на състоянието на компанията с помощта на SWOT анализ с условна количествена оценка на резултатите, получени чрез метода на йерархичния анализ.

Идентифицирането на риска е необходимо за оценка на значимостта на заплахите и изграждане на система за сигурност. Анализът показа, че рисковете на бизнес процесите на компанията са групирани в следните категории: рискове при проектиране, рискове при реинженеринг и рискове в процеса на използване на бизнес процеси.

Препоръчително е процесите на информационната сигурност на компанията да се автоматизират, като се използва класова система GRC (Governance, Risk management and Compliance), която днес се счита за един от ефективните начини за управление на информационните технологии и информационната сигурност. В същото време е препоръчително да се интегрира GRC системата със системи от класа Business Process Management, предназначени да управляват бизнес процесите на компанията.

Бизнес цели; Информационна сигурност; бизнес процеси.

Е.Н. Ефимов, Г.М. Лапицкая

ИНФОРМАЦИОННА СИГУРНОСТ И БИЗНЕС ПРОЦЕСИ НА КОМПАНИЯТА

Целта на изследването е да покаже, че информационната безопасност трябва да се създава и съществува в рамките на постижение бизнес-цело число на компаниите. При бизнес процесите са дадени от първа ръка за организацията на информационната безопасност на компаниите.

При разработването на стратегиите за управленска информационна безопасност се предлага комплексна диагностика на състоянието на компаниите чрез SWOT-анализ с условен резултат от количествена оценка, получен с помощта на метода на йерархията на анализа.

Идентификационният риск, необходим за оценка на стойността на заплахите и сградите на системата за безопасността. Анализът показа, че рисковете на бизнес процесите за фирмите са групирани в следните категории: рискове при проектиране, рискове при реинженеринг и рискове в процеса на използване на бизнес процесите.

Автоматизиране на процесите за безопасност на компаниите разумно чрез системи от клас GRC (Governance, Risk management and Compliance), които днес се считат за един от ефективните начини за управление на информационните технологии и информационната безопасност. Системите GRC представляват необходимия комплекс със системата от класа Business Process Management, предназначена за управление на бизнес процесите на фирми.

бизнес цели; информация за безопасност; бизнес процеси.

Формулиране на проблема. Информационната сигурност трябва да се създава и съществува в рамките на постигане на бизнес целите на компаниите. Ефективният бизнес е невъзможен без използването на съвременни информационни технологии (ИТ), които се използват за поддържане на почти всички бизнес процеси на една съвременна компания. Днес обаче тенденцията е очевидна: информационната сигурност се превръща от защитата на специфични мрежи, сървъри, информационни ресурси в сигурността на бизнес процесите на компаниите, поддържани от ИТ. Това предполага наличието на две взаимозависими области на осигуряване на сигурността на компанията: от една страна, ефективното функциониране на бизнеса по отношение на функционирането на бизнес процесите; от друга страна, нормалното функциониране на поддържащата ИТ инфраструктура. В момента няма единен подход към информационната сигурност в този конкретен контекст.

За да разберете основните проблеми със сигурността на една компания, е препоръчително да извършите задълбочен анализ на външната и вътрешна бизнес среда, да подчертаете онези компоненти, които наистина имат значение, да събирате и проследявате информация за всеки компонент и въз основа на оценка на реалната ситуация, разберете състоянието на компанията и причините за тази ситуация. Точната, изчерпателна, навременна диагностика на състоянието на фирмата е първият етап от разработването на стратегия за управление на безопасни дейности.

Най-разпространеният начин за оценка на стратегическата позиция на компанията е SWOT анализ1. Матрицата за SWOT анализ може да бъде представена като следния набор:

SWOT = ,

където St (силни страни) е наборът от силни страни на организацията, St = (St1, St2, ..., Stmt); W (Weaknesses) - набор от слабости на организацията, W = (W1, W2, ..., Wnw); Op (Opportunities) - набор от възможности за организация, Op = (Op1, Op2, ., Opnop); Th (Заплахи) - набор от заплахи за организацията, Th = (Th1, Th2, ..., Thnth).

В същото време е важно да се разбере, че силните St = (St1, St2, ..., Stnst) и слабите W = (W1, W2, ..., Wnw) страни са онези компоненти от дейността на компанията, които тя може да контролира, а възможностите Op = (Op1, Op2, ., Opnop) и заплахите Th = (Th1, Th2, ..., Thnth) са фактори, които са извън контрола на компанията и могат да повлияят на процеса на нейното развитие.

Резултатите от SWOT анализа ни позволяват да формулираме стратегията за сигурност на компанията на този етап от развитие. Този проблем трудно може да бъде формализиран, но на базата на тези данни могат да се разработят много организационни стратегии S = (S1, S2, ., Sn).

За условна количествена оценка на SWOT матрицата е възможно да се използва например методът за йерархичен анализ (AHP). Този метод предоставя най-ефективния начин за оценка на количествено неизмерими, но в същото време важни фактори за вземане на информирани решения. Освен това методът работи с непоследователни преценки и не изисква предпочитанията на потребителите или на вземащия решение (DM) да съответстват на аксиомите за полезност. AHP позволява изучаването на сложни проблеми да се сведе до проста процедура на последователни сравнения по двойки.

Като пример разгледахме резултатите от SWOT анализ на работещо предприятие в телекомуникационната индустрия (АД Телеком), което предоставя пълен набор от комуникационни услуги (жична и безжична телефония, достъп до Интернет, радиокомуникационни услуги, информационни услуги) в града и района (статията не е дадена). Вариант на последваща оценка на SWOT матрицата с помощта на AHP е представен в табл. един.

маса 1

SWOT матрична оценка

St W Op Th Приоритетен вектор Нормализиран вектор

St 1 1 0,33 0,33 0,58 0,10

W 1 1 0,2 0,14 0,41 0,07

Оп 3 5 1 0,2 1,32 0,24

Th 3 7 5 1 3,20 0,58

Индекс на последователност на IS = 0,14 и коефициент на последователност на OS = 15,58< 20 % показывают удовлетворительную согласованность оценок ЛПР.

Стойностите на нормализирания вектор се намират в рамките на , така че резултатите от експертните изчисления могат да се интерпретират по следния начин: „заплахите“ на организацията са значителни (P = 0,58), „възможностите“ на организацията за решаване на проблеми са задоволителни (Op = 0,24), „силните страни” на организацията за преодоляване на проблемите са посредствени (^ = 0,1), „слабите страни” на организацията са незначителни (^ = 0,07).

1 SWOT е съкращение, което включва началните букви на четири английски думи: сила („сила“), слабост („слабост“), възможности („възможности“) и заплахи („заплахи“)

Този поглед върху проблема със сигурността на компанията ни позволява да уточним нейната цел и задачи, обекти и заплахи, да разработим план за действие за намаляване на рисковете от бизнес процесите и да оценим ефективността на предприетите мерки.

Поради определени специфики на изследването на информационната сигурност от гледна точка на сигурността на бизнес процесите, компанията първо трябва да идентифицира рисковете на бизнес процесите. Целта на идентифицирането на риска е да се оцени излагането на компанията на заплахи, които могат да причинят значителни щети. За събиране на информация за рисковете се извършва анализ на бизнес процесите на компанията и анкета на експерти по темата. Резултатът от този процес е класифициран списък на всички потенциални рискове.

Идентифициране на рисковете на бизнес процесите. Бизнес процесът може да бъде представен като трансформация:

P (X, X, X, IO) ^ Y, където P е процес, който има формата на набор от действия P = (Bx, B2, ..., Br); X = (Xx, X2, .. ., X) - входни потоци на бизнес процеса и техните доставчици; Y = (Yx, Y2,..., Y) - изходни потоци на бизнес процеса и техните консуматори; R = (Rx, R2,..., R/) - набор от ресурси, използвани за извършване на бизнес процес (технически, материални, информационни); R = (R1, R2,..., Rp) е наборът от функции, внедрени в бизнес процеса; I = ( 2b 12,..., 1m) - съвкупността от участници и изпълнители на бизнес процеса; O = (Ox, O2,..., O) - граници и интерфейси на процеса.

От това определение може да се види, че бизнес процесите са основният източник на данни за организиране на информационната сигурност на една компания.

Първо, необходимо е да се дефинират обектите на защита, т.е. какво и от какви заплахи трябва да бъдат защитени. Обектите на защита, разбира се, включват информация, бизнес процеси и материални ресурси на компанията.

Очевидното начало на работата по информационната сигурност днес е класификацията на фирмените данни. Класификацията е сложен процес, който изисква много време и пари. За да бъде ефективна класификацията, тя трябва постоянно да се поддържа и актуализира. Целесъобразността на класификацията се състои във факта, че тя ви позволява да определите всички места, където се съхранява информация, и да идентифицирате информацията, която трябва да бъде защитена. Това ви позволява да сведете до минимум количеството поверителна информация. При извършване на класификацията се разкриват документи, които някога са били секретни, но сега са загубили своята актуалност. Те могат да бъдат архивирани или изтрити за постоянно.

Информационните активи (ИА) като обекти на защита изискват поддържане на целостта, наличността и, ако е необходимо, поверителността на информацията в бизнес системите. Анализът на възможните заплахи показа, че информационната инфраструктура трябва да притежава свойството да защитава информацията, използвана в бизнес процесите, т.е. осигуряват защита срещу неоторизирано (умишлено или случайно) получаване, модификация, унищожаване или използване на търговска, собствена или технологична информация. Като се има предвид наличието на компоненти на бизнес процесите, както и техните взаимовръзки, потенциално опасните ситуации включват: неоторизиран достъп от нарушители (не собственици и участници в процесите) до информация, съхранявана и обработвана в инструменти за автоматизация с цел запознаване, изкривяване или унищожаване . В същото време входните точки могат да бъдат интерфейсите и границите на процеса, както и информацията, необходима за изпълнението на функциите (операциите, процедурите) на процеса; прихващане на информация по време на нейното приемане (предаване) по комуникационни канали

(мрежови) процесни функции, както и чрез кражба на носители за съхранение; унищожаване (промяна, изкривяване) на информация поради случайни смущения, повреди на технически (софтуерни) средства по време на предаване, съхранение и обработка на информация; неразрешено влияние върху бизнес процеса на нарушители от сред собствениците и (или) участниците в процеса.

Анализът на предметната област показа, че е препоръчително да се идентифицират рисковете на бизнес процесите на компанията на всички основни етапи от техния жизнен цикъл: на етапите на проектиране, реинженеринг и в процеса на използване на бизнес процесите.

Идентифициране на рискове при проектирането и реинженеринга на бизнес процеси. Дори първоначалното описание на основните бизнес процеси на компанията носи както осезаеми резултати за подобряване на ефективността на работата, така и възможни загуби (рискове). Това са преди всичко рискове, дължащи се на грешки в проектирането на процесите: грешки на непълнота (наличие на пропуски в описанието на процеса); грешки на несъответствие (неадекватно използване на информационните ресурси в различни части на процеса, което води до изкривено възприемане на информацията или до неяснота на инструкциите); грешки на йерархична или "наследствена" несъвместимост (наличие на конфликт между главния и последващите процеси). Очевидно трябва да се допускат и други видове грешки.

Следващата поредица от рискове произтича от грешки в методологията за описание на процеса (или парадигмата ".методология - модел - нотация - инструменти"): при показване на системни функции; процеси, които осигуряват изпълнението на функциите; данни и организационни структури, които осигуряват изпълнението на функциите; материални и информационни потоци в процеса на изпълнение на функции.

Освен това трябва да се отбележат рисковете, произтичащи от несъответствието между топологията на процеса, които не позволяват да се постигне най-разбираемият поток на процеса, отразяващ или реалното състояние на нещата, или оптималното, като се вземе предвид натоварването. на изпълнители, наличието на ресурси или други обстоятелства. Анализът на грешките в топологията на процеса може да се извърши на няколко итерации. В резултат на това анализираният процес може да се промени драстично. Например функции, които преди това са били изпълнявани последователно една след друга, ще се изпълняват паралелно. Разбира се, това не трябва да изкривява логиката на процеса и получения резултат.

Идентифициране на рискове при използване на бизнес процеси. Оперативният риск може да се определи като риск от преки или косвени загуби в резултат на неправилно изпълнение на бизнес процеси, неефективни процедури за вътрешен контрол, технологични повреди, неразрешени действия на персонала или външни влияния. Оперативният риск е от решаващо значение за процеси, които са важни за дейността на организацията като цяло, голям брой транзакции за единица време и сложна система за техническа поддръжка. Обикновено идентифицираните рискови фактори са подобни на показателите за състоянието на вътрешната оперативна среда и бизнес процесите - обема на транзакциите, оборота, процента на грешните действия. Управлението на оперативния риск се осъществява чрез изграждане на прозрачни и управляеми бизнес процеси, правилна организационна структура, базирана на експертни познания.

За решаване на проблемите с елиминирането на оперативните рискове на бизнес процесите може да се използва системата за бережливо производство (lean production) - концепция за управление, създадена на базата на производствената система на Toyota. Целта на Lean е да идентифицира, анализира и елиминира отпадъците в производствените процеси. В съответствие с лийн концепцията в бизнес процесите възникват осем вида загуби: неизползване на потенциала на служителите; загуби

от свръхпроизводство; транспортни загуби; загуби от брак, ненужни отпадъци и промени; загуби от поддръжка на инвентара; загуби от придвижване и движение на персонала; загуби от престой; загуби поради прекомерна обработка. Загубите в този случай се считат за операции, за които се изразходват време и материални ресурси, без да се добавя стойност към продукта или услугата за крайния потребител.

Така например е необходимо да се защити от незаконни действия на персонала, изпълняващ бизнес процеси, неразрешено въздействие върху доставчици, обеми и условия на доставка на ресурси; наредби за изпълнение на бизнес процеси, вкл. регулиране на вътрешни и външни интерфейси; технология на бизнес процесите и др.

Описание на бизнес процесите, тяхното моделиране, последващ контрол и анализ на ефективността - постоянна и последователна дейност за елиминиране на оперативните рискове, а оттам и на загубите.

Можете да автоматизирате процесите на информационната сигурност на компанията с помощта на системи от клас GRC (Governance, Risk management and Compliance), които днес се считат за един от ефективните начини за управление на информационните технологии и информационната сигурност.

GRC е възглед за управление на нещо от три гледни точки: висше управление (Governance), управление на риска (Управление на риска) и съответствие с изискванията (Compliance). Резултатът от обработката на информация за дейността на всички отдели на компанията са визуални отчети, формулирани в бизнес термини.2

Например модулът Enterprise Management на продукта RSA Archer eGRC ви позволява да инвентаризирате и класифицирате активите на компанията, да създадете единен регистър на взаимосвързани активи, включително информационни и технологични активи, бизнес процеси, стоки и услуги, подразделения и отделни бизнес единици, производствени мощности и оборудване, контакти с отговорни служители на фирмата, партньори и доставчици. За всеки актив се определя неговият собственик и стойност за компанията. Резултатите от тази работа могат да бъдат използвани при по-нататъшното провеждане на процедурата за оценка на риска за информационната сигурност. Интеграцията със SIEM или DLP системи за управление на уязвимостите ви позволява да приоритизирате отстраняването на уязвимостите и смекчаването на инциденти за всеки актив.3

Въпреки това е практически невъзможно да се реализират всички функции на GRC в контекста на сигурността на бизнес процесите с помощта на едно ИТ решение, дори и да е добро. Система, която може да помогне при решаването на проблемите на тази концепция, трябва да бъде толкова сложна, колкото и самите задачи на GRC.4 За интегриране със системата GRC е препоръчително да се използват системи за управление на бизнес процесите (BPM), бизнес „Управление на производителността и Клас Business Intelligence, предназначен за автоматизиране и управление на бизнес процеси. Диаграмата на връзката между бизнес процесите и основните субекти на информационната сигурност на компанията в UML нотация е показана на фиг. 1.

2 Евгений Безгодов Какво е SNF и как може да бъде полезен за информационната сигурност? [Електронен ресурс] http://ru.deiteriy.com/what_is_grc_and_its_ ^аЬИ-ityJnJnformation_security/.

3 SNF - начин за оптимизиране на процесите на управление на информационната сигурност // Banking Review No. 9 (176) септември 2013 г. [електронен ресурс] http://www.bosfera.ru/bo/put-k-optimizatsii-protsessov

4 Концепцията за SNF се превърна в следващия етап от развитието на пазара на информационна сигурност [Електронен ресурс] http://www.cnews.ru/reviews/free/security2008/articles/grc.shtml.

Ориз. 1. Връзката между бизнес процесите и основните субекти на информация

фирмена сигурност

Взаимодействието на бизнес процесите на компанията и средата, която създава заплахи, предимно за бизнес процесите, в рамките на системата за информационна сигурност е показано на диаграмата по-долу (фиг. 2).

Ориз. 2. Взаимодействие на бизнес процесите и средата, която създава заплахи

Основни изводи.

Цялостната диагностика на състоянието на компанията е първият етап от разработването на стратегия за управление на информационната сигурност, която се извършва най-добре чрез SWOT анализ с предложена условна количествена оценка.

Анализът показа, че бизнес процесите са основният източник на данни за организиране на информационната сигурност на една компания.

Осигуряването на информационна сигурност на бизнес процесите трябва да започне с разработването на класификация на данните, която ви позволява да идентифицирате информация за защита, да сведете до минимум количеството поверителна информация и да определите всички места за съхранение на информация, които могат да се използват за оптимизиране на бизнес процесите в една компания.

Анализът на възможните рискове на бизнес процесите ни позволи да идентифицираме следните групи: рискове при проектирането, реинженеринга и в процеса на използване на бизнес процесите.

Препоръчително е процесите на информационната сигурност на компанията да се автоматизират, като се използва класова система GRC (Governance, Risk management and Compliance), която трябва да бъде интегрирана със системи за управление на бизнес процеси, управление на бизнес ефективността или Business Intelligence, предназначени за автоматизиране и управление на бизнес процеси.

ПРЕПРАТКИ

1. Каменнова М.С., Громов А.И., Ферапонтов М.М., Шматалюк А.Е. Бизнес моделиране. ARIS методология. - М.: Vest-MetaTechnology, 2001.

2. Саати Т. Вземане на решения. Метод за йерархичен анализ. - М.: Радио и комуникация, 1993.

3. Стелмашонок Е.В. Организация на информационно-сигурно-бизнес процеси // Приложна информатика. - 2006. - бр. 2. - С. 42-57.

4. Тимохин А. Как да открием всички загуби: практиката на прилагане на методологията на бережливост в NPO ELSIB // "BOSS" № 9, 2012.

5. Ханова А.А. Структурно-функционален модел на балансирана система с резултати при вземане на управленски решения // Вестник АСТУ Сер.: Мениджмънт, компютърни науки и информатика. - 2012. - No 1. - C. 200-208.

Ефимов Евгений Николаевич - Ростовски държавен икономически университет (RINH); електронна поща: [защитен с имейл]; 344002, Ростов на Дон, Б. Садовая, 69, стая. 306 а; тел.: 89525721917; Катедра Информационни технологии и защита на информацията; Дан.; Професор.

Лапицкая Галина Мелконовна - e-mail: [защитен с имейл]; тел.: 89286050143; Катедра Информационни технологии и защита на информацията; Доцент доктор.; Професор.

Ефимов Евгений Николаевич - Ростовски държавен икономически университет; електронна поща: [защитен с имейл]; 69, ул. Б. Садовая, стая 306 а, Ростов на Дон, 344002, Русия; телефон: +79525721917; катедра информационни технологии и информационна сигурност; dr.ec. sc.; професор.

Лапицкая Галина Мелковна - e-mail: [защитен с имейл]; телефон: +79286050143; катедра информационни технологии и информационна сигурност; cand.ec. sc.; професор.

2019

Приоритети за киберсигурност на малките и средни предприятия

Компаниите от сегмента на SMB са привлечени към облаците, към модела на услугата на потребление на услуги според модела MSSP (Managed Security Service Provider). Това им помага значително да намалят оперативните разходи в областта на информационната сигурност.

Сега някои доставчици предлагат на своите клиенти облачни услуги за информационна сигурност на абонаментен модел. Според мен средните и малките предприятия ще преминат точно към такъв модел на услуги за информационна сигурност, - отбелязва Дмитрий Лившиц, главен изпълнителен директор на Digital Design.

Моделът на обслужване на потребление на ИС става все по-търсен от малкия и средния бизнес, тъй като тези компании не могат да си позволят голям персонал от специалисти по сигурността.

Според Владимир Баланин, ръководител на отдела за информационна сигурност на I-Teco Group, сегментът на SMB се превръща в основен потребител на услугите на доставчиците на услуги, които предоставят услуги незабавно с интегрирани услуги за информационна сигурност: няма разходи за администриране, мониторинг и поддръжка на собствената им инфраструктура, а рисковете, регулаторните изисквания се поемат от самия доставчик на услуги.

В същото време руският пазар сега се характеризира с много ограничено предлагане на информационна сигурност за малки и средни предприятия. Както отбелязва Андрей Янкин, директор на Центъра за информационна сигурност в Jet Infosystems, почти всички услуги са насочени към големи клиенти. Типични и евтини, но не примитивни услуги за информационна сигурност за SMB, според него на практика не съществуват, въпреки че в редица други страни този пазар е добре развит.

В същото време, с развитието на сегмента на управляваните услуги за информационна сигурност и перспективата за развитие на пазара за застраховане на киберриск, тази категория клиенти ще разполагат с мерки, адекватни на съвременните заплахи.

Междувременно SMB компаниите внедряват основна ИТ сигурност, като рядко се издигат до нивото на бизнес процесите.

Според Дмитрий Пудов, заместник-генерален директор на Angara Technologies Group за технологии и развитие, представителите на МСП, с техните бюджети, почти нямат достъп до високотехнологични или комплексни решения. Това не се дължи единствено на цената на решенията, а по-скоро на причината за OPEX, които носят.

Основните решения, закупени от клиентите в сегмента на SMB, са антивирусите и софтуерните защитни стени, казва Яков Гродзенски, ръководител на информационната сигурност в System Software. Освен това компаниите в този сегмент активно се интересуват от въпросите на одита на информационната сигурност и пентестирането, тъй като такива организации не винаги имат отделен специалист по информационна сигурност в персонала, да не говорим за пентестери.

Вячеслав Медведев, водещ анализатор в Doctor Web, добавя, че проучванията на средния бизнес показват, че такива компании нямат средства за решения за сигурност, различни от основни.

Приоритети на киберсигурността на големия бизнес

Винаги е важно акционерите, собствениците и висшето ръководство да имат обективна картина на информационната сигурност и технологичните процеси в организацията, така че общото ниво на зрялост на информационната сигурност в компаниите нараства всяка година. В някои големи организации обаче все още липсва елементарният ред в бизнес процесите, които осигуряват работата на информационните системи, което може да доведе до хаос в информационната сигурност. Затова основният приоритет за големите компании е решаването на тези проблеми, казва Николай Забусов, директор на отдела за информационна и мрежова сигурност в Step Logic.

Освен това големият бизнес се фокусира върху спазването на изискванията на регулаторите и вътрешните стандарти, опитвайки се да създаде повече или по-малко равномерно защитена инфраструктура. Индустриалните стандарти в областта на информационната сигурност са разработени и "приложени" в много корпорации.

Големите търговски компании по същество бяха изправени пред избор: да следват пътя на дигиталната трансформация или да работят, без да променят бизнес парадигмата. Но във втория случай те рано или късно ще бъдат принудени да отстъпят позициите си на пазара на конкуренти, които са показали по-голяма гъвкавост.

Сред приоритетите за корпоративния сегмент, от една страна, мога да отбележа повишаването на ефективността на използването на класически решения за информационна сигурност, а от друга страна, въвеждането на защита срещу нови видове заплахи като част от внедряването на проекти за дигитализация. Последното е много важно, тъй като ограниченията за сигурност често са една от основните причини за бавния напредък по пътя на дигиталната трансформация, - отбелязва Олег Шабуров, ръководител на отдела за информационна сигурност в Softline.

От гледна точка на практическата сигурност векторът все повече се измества от предотвратяването на атаки към тяхното откриване и реагиране, казва Андрей Зайкин, ръководител на информационната сигурност в Croc. Това води до факта, че относително младите класове решения стават все по-популярни и търсени: EDR, IRP. Системите за автоматизирано реагиране имат различни набори от скриптове и сценарии и позволяват блокиране на опити за разпространение на заплахи.

услуги за киберсигурност

Компаниите от малки и средни предприятия, които разбират критичността на информационната сигурност за своя бизнес, следват пътя на използването на модели на услуги.

Поверителната информация представлява голям интерес за конкурентните фирми. Именно тя става причина за посегателства от натрапници.

Много проблеми са свързани с подценяване на значимостта на заплахата, в резултат на което това може да доведе до колапс и фалит на предприятието. Дори единичен случай на небрежност на работещия персонал може да донесе на компанията многомилионни загуби и загуба на доверие на клиентите.

Заплахите разкриват данни за състава, статуса и дейността на компанията. Източници на подобни заплахи са неговите конкуренти, корумпирани служители и престъпници. Особено ценно за тях е запознаването със защитена информация, както и нейното модифициране с цел нанасяне на финансови щети.

Дори 20% изтичане на информация може да доведе до такъв резултат. Понякога загубата на фирмени тайни може да се случи случайно, поради неопитност на персонала или поради липса на системи за сигурност.

За информация, която е собственост на предприятието, може да има заплахи от следните видове.

Заплахи за поверителността на информацията и програмите.Може да възникне след незаконен достъп до данни, комуникационни канали или програми. Съдържащи или изпратени данни от компютър могат да бъдат прихванати чрез канали за течове.

За това се използва специално оборудване, което анализира електромагнитното излъчване, получено по време на работа на компютър.

Риск от повреда.Незаконните действия на хакери могат да доведат до изкривяване на маршрута или загуба на предавана информация.

Заплаха за наличност.Такива ситуации пречат на законен потребител да използва услуги и ресурси. Това се случва, след като бъдат заловени, получени данни за тях или линиите са блокирани от натрапници. Такъв инцидент може да наруши надеждността и навременността на предаваната информация.

Има три важни условия, които ще позволят на руски гражданин: идеален бизнес план, добре обмислена счетоводна и кадрова политика и наличието на свободни средства.
Подготовката на документи за откриване на LLC изисква определено време. Откриването на банкова сметка отнема около 1-2 дни. Прочетете повече за документите, необходими за откриване на LLC тук.

Рискът от отказ за изпълнение на транзакции.Отказ на потребителя от предадената от него информация с цел избягване на отговорност.

вътрешни заплахи.Такива заплахи представляват голяма опасност за предприятието. Те идват от неопитни мениджъри, некомпетентен или неквалифициран персонал.

Понякога служителите на предприятието могат умишлено да провокират вътрешно изтичане на информация, като по този начин показват недоволството си от заплатата, работата или колегите си. Те могат лесно да представят цялата ценна информация на предприятието на своите конкуренти, да се опитат да я унищожат или умишлено да въведат вирус в компютрите.

Осигуряване на информационната сигурност на предприятието

Най-важните счетоводни процеси са автоматизирани от съответния клас системи, чиято сигурност се постига чрез цял набор от технически и организационни мерки.

Те включват антивирусна система, защита на защитни стени и електромагнитно излъчване. Системите защитават информация на електронни носители, данни, предавани по комуникационни канали, ограничават достъпа до различни документи, създават резервни копия и възстановяват поверителна информация след повреда.

Пълноценното осигуряване на информационна сигурност в предприятието трябва да бъде и да бъде под пълен контрол през цялата година, в реално време, денонощно. В същото време системата отчита целия жизнен цикъл на информацията, от момента на появата й до пълното й унищожаване или загуба на значимост за предприятието.

За безопасност и предотвратяване на загуба на данни в индустрията за информационна сигурност се разработват системи за защита. Тяхната работа се основава на сложни софтуерни системи с широк набор от опции, които предотвратяват загуба на данни.

Спецификата на програмите е, че за правилното им функциониране е необходим четлив и добре смазан модел на вътрешно обръщение на данни и документи. Анализът на сигурността на всички стъпки при използване на информация се основава на работа с бази данни.

Осигуряването на информационна сигурност може да се осъществи с помощта на онлайн инструменти, както и продукти и решения, предлагани на различни интернет ресурси.

Разработчиците на някои от тези услуги са успели да съставят правилно система за информационна сигурност, която защитава от външни и вътрешни заплахи, като същевременно осигурява идеален баланс между цена и функционалност. Предложените гъвкави модулни комплекси съчетават работата на хардуера и софтуера.

Видове

Логиката на функциониране на системите за информационна сигурност включва следните действия.

Прогнозиране и бързо разпознаване на заплахи за сигурността на данните, мотиви и условия, допринесли за увреждане на предприятието и довели до неуспехи в работата и развитието му.

Създаване на такива условия на работа, при които нивото на опасност и вероятността от щети на предприятието са сведени до минимум.

Обезщетение за щети и минимизиране на въздействието на идентифицираните опити за повреда.

Инструментите за информационна сигурност могат да бъдат:

технически;
софтуер;
криптографски;
организационен;
законодателен.

Организация на информационната сигурност в предприятието

Всички предприемачи винаги се стремят да осигурят достъп до информация и конфиденциалност. За разработване на подходяща защита на информацията се вземат предвид естеството на възможните заплахи, както и формите и методите на тяхното възникване.

Организацията на информационната сигурност в предприятието се осъществява по такъв начин, че хакерът може да се сблъска с много нива на защита. В резултат на това нападателят не е в състояние да проникне в защитената част.

Най-ефективният начин за защита на информацията е криптографски силен алгоритъм за криптиране по време на предаване на данни. Системата криптира самата информация, а не само достъпа до нея, което също е от значение за.

Структурата на достъпа до информация трябва да бъде многостепенна, във връзка с което само избрани служители имат достъп до нея. Правото на пълен достъп до целия обем информация трябва да имат само доверени лица.

Списъкът с информация, свързана с информация от поверителен характер, се одобрява от ръководителя на предприятието. Всяко нарушение в тази област трябва да се наказва с определени санкции.

Моделите за защита са предвидени от съответните GOST и са стандартизирани от редица всеобхватни мерки. В момента са разработени специални помощни програми, които наблюдават състоянието на мрежата денонощно и всякакви предупреждения на системите за информационна сигурност.

Имайте предвид, че евтините безжични мрежи не могат да осигурят необходимото ниво на защита.

За да се избегне случайна загуба на данни поради неопитни служители, администраторите трябва да провеждат обучителни сесии. Това позволява на предприятието да следи готовността на служителите за работа и дава увереност на мениджърите, че всички служители са в състояние да спазват мерките за информационна сигурност.

Атмосферата на пазарна икономика и високото ниво на конкуренция карат ръководителите на компаниите винаги да бъдат нащрек и бързо да реагират на всякакви трудности. През последните 20 години информационните технологии успяха да навлязат във всички области на развитие, управление и бизнес.

От реалния свят бизнесът отдавна се превърна във виртуален, само си спомнете как станаха популярни, което има свои собствени закони. В момента виртуалните заплахи за информационната сигурност на предприятието могат да му нанесат огромна реална вреда. Като подценяват проблема, лидерите рискуват своя бизнес, репутация и доверие.

Повечето фирми редовно претърпяват загуби поради пробиви на данни. Защитата на корпоративната информация трябва да бъде приоритет в развитието и функционирането на бизнеса. Осигуряването на информационна сигурност е ключът към успеха, печалбата и постигането на целите на компанията.

Осигуряване на информационната сигурност на бизнеса Андрианов В.В.

1.3. Модел за сигурност на бизнес информацията

1.3.1. Мотивация

Руската и световната практика за регулиране на информационната сигурност (ИС) от близкото минало се състоеше от задължителни изисквания на националните оторизирани органи, изготвени под формата на насоки за RD. Следователно за висшия мениджмънт и собствениците на организации имаше само един проблем за съответствието с тях (съответствие) и само един начин за решаването му - как да се изпълнят предложените изисквания с минимални разходи. Упълномощените органи имаха свой проблем – както поради невъзможността да се обхванат всички възможни видове дейности и условията за тяхното изпълнение, така и поради значителни различия в целите на дейностите, да предложат универсален набор от изисквания. За целта проблемът за информационната сигурност беше разглеждан като самодостатъчна единица, инвариантна към дейността, целите, условията и също беше значително намалена по съдържание в името на универсалността.

И двата подхода (на организации и регулатори) са неадекватни на съществуващата реалност и я представят в значително изкривена форма. По този начин основните съществени ограничения за дейностите на IS са свързани с традиционния модел на IS, който предполага задължително присъствие на нападател, който се стреми да повреди активи (информация), и съответно е фокусиран върху защитата на информацията от действията на такъв субект (група субекти). В същото време инциденти, свързани например с редовни промени в приложния софтуер, не могат да бъдат приписани на нападател. Възможните им причини са слабо развит мениджмънт и слаба технологична база. Собствената неадекватност на организацията (мениджмънт, основни бизнес процеси) спрямо преобладаващите условия като цяло е много мощен източник на проблеми, който се игнорира поради невъзможността да се свърже с нападател.

По-нататъшната еволюция на моделите на IS беше свързана с засилването на ролята на собственика (собственика) и се сведе до факта, че самият той избира (на своя собствена опасност и риск) от стандартния набор от предлагани му защитни мерки тези, които необходими му, т.е. такива, които според него могат да осигурят приемливо ниво на сигурност. Това беше значителна стъпка напред, тъй като гарантира, че информационната сигурност е свързана с конкретен обект със специфични условия за съществуването му, като частично се разрешават противоречията, свързани със самодостатъчността на проблема за информационната сигурност. Не беше възможно обаче да се предложи конструктивен механизъм за собственика, освен създаване на каталог на обекти с избрани типични защитни мерки (защитни профили). Самите профили са създадени с помощта на експертния евристичен метод. В същото време какъв риск е поел собственикът, остана неизвестно и се установи на практика.

По-нататъшната еволюция се свежда до тезата, че информационната сигурност може да създава (генерира) щети за целите на дейността и следователно рисковете на информационната сигурност (които останаха самодостатъчни) трябва да бъдат координирани (свързани) с рисковете на организацията. Оставаше само да посочим как да ги свържем и да интегрираме системата за управление на информационната сигурност (СУИС) в корпоративното управление не като изолирана и независима система от процеси, а като интегрална, силно свързана компонента на управлението. Това се провали. Този подход обаче подобри добре редица категории за оценка на IS, включително рисковете за IS.

Известни са и прагматичните модели на ИС, базирани на оценката на общата цена на притежание (по отношение на ИС) и „възвръщаемостта“ на инвестициите в ИС. В рамките на този подход група организации, близки по цели и условия на дейност на организациите, периодично оценява областите на внедряване на ИС и формира модел, състоящ се от най-добрите практики за групата. Освен това всяка една от организациите, в съответствие със своето изоставане от най-добрите практики и своите условия (настъпили инциденти), определя посоката и обема на инвестициите. Ефективността на инвестициите се оценява в следващия период чрез намаляване на щетите от инциденти, които са се озовали в областта на направените инвестиции и следователно не са причинили големи щети.

Този подход обаче, с много от своите предимства, изисква широк обмен на чувствителна информация, а конфликтът на интереси на участниците в обмена изключва създаването на каквито и да било качествени мерки за изграждане на доверие, така че не се използва широко.

Моделът на ИС, предложен в стандарта на Централната банка на Руската федерация, допълни проблема както по отношение на неговата интеграция (свързана с целите на дейността), така и по отношение на разширяване на интерпретацията на същността на „натрапника“. Нападателят е човек, който е в състояние да се изправи срещу собственика и има своя собствена цел, която реализира, постигайки контрол върху активите на организацията.

Този подход значително разширява видовете и източниците на увреждане на организацията, които попадат в обхвата на разглеждане на ИС, където тяхното решаване е най-рационално. Това обаче беше до голяма степен компромисен подход и спешно изисква по-нататъшно сближаване на проблемите със сигурността на информацията до крайния резултат от дейността (произведения продукт). Нуждаем се от модел, който наистина помага на бизнеса, пряко допринася за неговото представяне и необходимото подобрение чрез създаване и поддържане на сигурна и доверена информационна сфера, включително чрез борба с натрапник. Само такъв модел може да бъде възприет от бизнеса. Всяко друго ще бъде отхвърлено от тях.

Този текст е уводна част.От книгата Прилагане на технологии за електронно банкиране: подход, базиран на риска автор Лямин Л.В.

5.4. Адаптиране на информационната сигурност

автор Андрианов В.В.

1. Философия за сигурност на бизнес информацията