सूचना सुरक्षा: अपनी और अपने ग्राहकों की सुरक्षा कैसे करें। उद्यम की सूचना सुरक्षा, Laspi LLC में व्यावसायिक गतिविधि के व्यवसाय की सूचना सुरक्षा

10.02.2022 मकान

प्रतिक्रिया दें संदर्भ

1. खोवांस्कोवा वी.एस., रुम्यंतसेव के.ई., खोवांसकोव एस.ए. कंप्यूटर नेटवर्क में वितरित कंप्यूटिंग के प्रदर्शन की सुरक्षा में सुधार के लिए एक विधि Izvestiya SFU। तकनीकी विज्ञान। - 2012. - नंबर 4 (129)। - एस 102-107।

2. खोवांसकोव एस.ए., नॉर्किन ओ.आर. वितरित नेटवर्क कंप्यूटिंग के प्रदर्शन को बढ़ाने के लिए एल्गोरिदम // सूचना और संचार। - 2011. - नंबर 3. - एस। 96-98।

3. लिट्विनेंको वी.ए., खोवांसकोव एस.ए. नेटवर्क में वितरित कंप्यूटिंग को व्यवस्थित करके समस्याओं का समाधान करना Izvestiya SFU। तकनीकी विज्ञान। - 2008. - नंबर 3 (80)। - एस। 16-21।

4. खोवांसकोव एस.ए., नॉर्किन ओ.आर. विकेन्द्रीकृत कंप्यूटिंग सिस्टम कॉन्फ़िगरेशन का एल्गोरिथम अनुकूलन // दूरसंचार। - 2012. - नंबर 11. - एस। 2-5।

5. खोवांसकोव एस.ए. कनेक्शन की एक पदानुक्रमित संरचना के साथ वितरित कंप्यूटिंग का संगठन // आतंकवाद के खतरों के लिए सूचना प्रतिक्रिया। - 2007. - नंबर 9. - एस 170-178।

6. लिट्विनेंको वी.ए., खोवांसकोव एस.ए. मल्टी-एजेंट सिस्टम के आधार पर किसी समस्या को हल करने के लिए समय को कम करने के लिए कंप्यूटर नेटवर्क के पैरामीटर को अनुकूलित करने के लिए एल्गोरिदम Izvestiya SFU। तकनीकी विज्ञान। - 2007. - नंबर 2 (77)। - एस। 186-190।

7. खोवांसकोव एस.ए., लिट्विनेंको वी.ए., नॉर्किन ओ.आर. ट्रेसिंग समस्याओं को हल करने के लिए वितरित कंप्यूटिंग का संगठन Izvestiya SFU। तकनीकी विज्ञान। - 2010.

- नंबर 12 (113)। - एस 48-55।

8. कलाश्निकोव वी.ए., ट्रुनोव आई.एल., खोवांसकोव एस.ए. एक मल्टीप्रोसेसर कंप्यूटर सिस्टम पर समानांतर प्लेसमेंट एल्गोरिथम Izvestiya SFU। तकनीकी विज्ञान।

1997. - नंबर 3 (6)। - एस। 181-184।

रुम्यंतसेव कोन्स्टेंटिन एवगेनिविच - उच्च व्यावसायिक शिक्षा का संघीय राज्य स्वायत्त शैक्षिक संस्थान "दक्षिणी संघीय विश्वविद्यालय"; ईमेल: [ईमेल संरक्षित]; 347900, तगानरोग, सेंट। चेखव, 2; दूरभाष: 88634328725; आईबीटीकेएस विभाग; सिर विभाग; तकनीकी विज्ञान के डॉक्टर; प्रोफेसर,

खोवांसकोव सर्गेई एंड्रीविच - ई-मेल: [ईमेल संरक्षित]; दूरभाष: 88634642530; आईबीटीसीएस विभाग; पीएचडी; मासूम

खोवांसकोवा वेरा सर्गेवना - ई-मेल: [ईमेल संरक्षित]; दूरभाष: 88634676616; छात्र।

रुम्यंतसेव कॉन्स्टेंटाइन एवगेनेविच - संघीय राज्य के स्वामित्व वाली स्वायत्तता उच्च व्यावसायिक शिक्षा की शैक्षिक स्थापना "दक्षिणी संघीय विश्वविद्यालय"; ईमेल: [ईमेल संरक्षित]; 2, चेखव स्ट्रीट, तगानरोग, 347900, रूस; फोन: +786343328725; आईबीटीकेएस विभाग; विभाग के प्रमुख; डॉ। अभियांत्रिकी का। अनुसूचित जाति।; प्रोफेसर।

खोवांसकोव सर्गेई एंड्रीविच - ई-मेल: [ईमेल संरक्षित]; फोन: 88634642530; आईएसटीसीएन विभाग; कैंडी अभियांत्रिकी का। अनुसूचित जाति।; सह - आचार्य।

खोवांसकोवा वेरा सर्गेवना - ई-मेल: [ईमेल संरक्षित]; फोन: +78634676616; छात्र।

ई.एन. एफिमोव, जी.एम. लापित्सकाया

सूचना सुरक्षा और व्यावसायिक प्रक्रियाएं

कंपनियों

अध्ययन का उद्देश्य यह दिखाना है कि कंपनी के व्यावसायिक लक्ष्यों को प्राप्त करने के ढांचे के भीतर सूचना सुरक्षा बनाई जानी चाहिए और मौजूद होनी चाहिए। उसी समय, व्यावसायिक प्रक्रियाएं किसी कंपनी की सूचना सुरक्षा को व्यवस्थित करने के लिए डेटा का प्राथमिक स्रोत होती हैं।

सूचना सुरक्षा प्रबंधन रणनीति विकसित करते समय, पदानुक्रम विश्लेषण पद्धति का उपयोग करके प्राप्त परिणामों के सशर्त मात्रात्मक मूल्यांकन के साथ SWOT विश्लेषण का उपयोग करके कंपनी की स्थिति का एक व्यापक निदान प्रस्तावित किया गया था।

खतरों के महत्व का आकलन करने और सुरक्षा प्रणाली बनाने के लिए जोखिम की पहचान आवश्यक है। विश्लेषण से पता चला कि कंपनी की व्यावसायिक प्रक्रियाओं के जोखिमों को निम्नलिखित श्रेणियों में बांटा गया है: डिजाइन में जोखिम, पुनर्रचना में जोखिम और व्यावसायिक प्रक्रियाओं का उपयोग करने की प्रक्रिया में जोखिम।

जीआरसी (शासन, जोखिम प्रबंधन और अनुपालन) वर्ग प्रणाली का उपयोग करके कंपनी की सूचना सुरक्षा प्रक्रियाओं को स्वचालित करने की सलाह दी जाती है, जिसे आज सूचना प्रौद्योगिकी और सूचना सुरक्षा के प्रबंधन के प्रभावी तरीकों में से एक माना जाता है। साथ ही, कंपनी की व्यावसायिक प्रक्रियाओं को प्रबंधित करने के लिए डिज़ाइन किए गए व्यवसाय प्रक्रिया प्रबंधन वर्ग की प्रणालियों के साथ GRC प्रणाली को एकीकृत करने की सलाह दी जाती है।

व्यापार लक्ष्य; सूचना सुरक्षा; व्यापार प्रक्रिया।

ई.एन. एफिमोव, जी.एम. लापित्सकाया

कंपनी की सूचना सुरक्षा और व्यावसायिक प्रक्रियाएं

अध्ययन का उद्देश्य यह दिखाना है कि सूचना सुरक्षा का निर्माण किया जाना चाहिए और कंपनियों के लिए उपलब्धि व्यवसाय-पूर्णांक के ढांचे के भीतर मौजूद होना चाहिए। व्यवसाय-प्रक्रियाओं में कंपनियों को सूचना सुरक्षा के संगठन के लिए पहली बार दिया जाता है।

प्रबंधन की रणनीतियों के विकास में, सूचना सुरक्षा को एसडब्ल्यूओटी-विश्लेषण के माध्यम से स्थिति के जटिल निदान की पेशकश की जाती है, जिसमें सशर्त मात्रात्मक आकलन परिणाम होता है, विश्लेषण पदानुक्रम की विधि के माध्यम से प्राप्त किया जाता है।

सुरक्षा के लिए सिस्टम के खतरों और इमारतों के मूल्य के आकलन के लिए आवश्यक पहचान जोखिम। विश्लेषण से पता चला है कि कंपनियों के लिए जोखिम व्यवसाय-प्रक्रियाओं को निम्नलिखित श्रेणियों में बांटा गया है: डिजाइन करते समय जोखिम, पुनर्रचना के तहत जोखिम और व्यावसायिक प्रक्रियाओं के उपयोग की प्रक्रिया में जोखिम।

जीआरसी (शासन, जोखिम प्रबंधन और अनुपालन) की प्रणालियों के माध्यम से उचित कंपनियों के लिए सुरक्षा प्रक्रियाओं को स्वचालित करें, जिन्हें आज प्रबंधन सूचना प्रौद्योगिकी और सूचना सुरक्षा के कुशल तरीकों में से एक माना जाता है। सिस्टम जीआरसी एतद्द्वारा कंपनियों के लिए व्यवसाय-प्रक्रिया को नियंत्रित करने के उद्देश्य से क्लास बिजनेस प्रोसेस मैनेजमेंट की प्रणाली के साथ आवश्यक जटिल है।

व्यापार उद्देश्यों; सुरक्षा संबंधी जानकारी; व्यापार प्रक्रिया।

समस्या का निरूपण। कंपनियों के व्यावसायिक लक्ष्यों को प्राप्त करने के ढांचे के भीतर सूचना सुरक्षा बनाई जानी चाहिए और मौजूद होनी चाहिए। आधुनिक सूचना प्रौद्योगिकी (आईटी) के उपयोग के बिना प्रभावी व्यवसाय असंभव है, जो एक आधुनिक कंपनी की लगभग सभी व्यावसायिक प्रक्रियाओं का समर्थन करने के लिए उपयोग किया जाता है। हालाँकि, आज प्रवृत्ति स्पष्ट है: सूचना सुरक्षा विशिष्ट नेटवर्क, सर्वर, सूचना संसाधनों की सुरक्षा से आईटी द्वारा समर्थित कंपनियों की व्यावसायिक प्रक्रियाओं की सुरक्षा में बदल रही है। इसका तात्पर्य कंपनी की सुरक्षा सुनिश्चित करने के दो अन्योन्याश्रित क्षेत्रों की उपस्थिति से है: एक ओर, व्यावसायिक प्रक्रियाओं के कामकाज के संदर्भ में व्यवसाय का प्रभावी संचालन; दूसरी ओर, सहायक आईटी अवसंरचना का सामान्य कामकाज। वर्तमान में, इस विशेष संदर्भ में सूचना सुरक्षा के लिए कोई एकल दृष्टिकोण नहीं है।

किसी कंपनी की मुख्य सुरक्षा समस्याओं को समझने के लिए, बाहरी और आंतरिक कारोबारी माहौल का गहन विश्लेषण करने की सलाह दी जाती है, उन घटकों को हाइलाइट करें जो वास्तव में मायने रखते हैं, प्रत्येक घटक के लिए जानकारी एकत्र करते हैं और ट्रैक करते हैं, और वास्तविक के आकलन के आधार पर स्थिति, कंपनी की स्थिति और इस स्थिति के कारणों का पता लगाएं। कंपनी की स्थिति का सटीक, व्यापक, समय पर निदान सुरक्षित गतिविधियों के प्रबंधन के लिए रणनीति के विकास में पहला चरण है।

किसी कंपनी की रणनीतिक स्थिति का मूल्यांकन करने का सबसे आम तरीका एक SWOT विश्लेषण है। SWOT विश्लेषण मैट्रिक्स को निम्नलिखित सेट के रूप में दर्शाया जा सकता है:

स्वोट = ,

जहां St (ताकत) संगठनात्मक शक्तियों का समूह है, St = (St1, St2, ..., Stmt); डब्ल्यू (कमजोरियां) - संगठन की कमजोरियों का सेट, डब्ल्यू = (डब्ल्यू1, डब्ल्यू2, ..., डब्ल्यूएनडब्ल्यू); Op (अवसर) - संगठन की संभावनाओं का सेट, Op = (Op1, Op2, ., Opnop); गु (खतरे) - संगठन के लिए खतरों का समूह, थ = (Th1, Th2, ..., Thnth)।

साथ ही, यह समझना महत्वपूर्ण है कि मजबूत St = (St1, St2, ..., Stnst) और कमजोर W = (W1, W2, ..., Wnw) पार्टियां कंपनी की गतिविधियों के वे घटक हैं जिन्हें यह नियंत्रण कर सकते हैं, और अवसर Op = (Op1, Op2, ., Opnop) और खतरे Th = (Th1, Th2, ..., Thnth) ऐसे कारक हैं जो कंपनी के नियंत्रण से बाहर हैं और इसके विकास की प्रक्रिया को प्रभावित कर सकते हैं।

SWOT विश्लेषण के परिणाम हमें विकास के इस चरण में कंपनी की सुरक्षा रणनीति तैयार करने की अनुमति देते हैं। इस समस्या को शायद ही औपचारिक रूप दिया जा सकता है, हालाँकि, इन आंकड़ों के आधार पर, कई संगठन रणनीतियाँ S = (S1, S2, ., Sn) विकसित की जा सकती हैं।

SWOT मैट्रिक्स के सशर्त मात्रात्मक मूल्यांकन के लिए, उदाहरण के लिए, पदानुक्रम विश्लेषण विधि (AHP) का उपयोग करना संभव है। यह विधि मात्रात्मक रूप से मापने योग्य मूल्यांकन करने का सबसे प्रभावी तरीका प्रदान करती है, लेकिन साथ ही महत्वपूर्ण निर्णय लेने के लिए महत्वपूर्ण कारक भी प्रदान करती है। इसके अलावा, विधि असंगत निर्णयों के साथ काम करती है और इसकी आवश्यकता नहीं होती है कि उपभोक्ताओं या निर्णय निर्माता (डीएम) की प्राथमिकताएं उपयोगिता के सिद्धांतों के अनुरूप हों। एएचपी जटिल समस्याओं के अध्ययन को अनुक्रमिक जोड़ीदार तुलनाओं की एक सरल प्रक्रिया में कम करने की अनुमति देता है।

एक उदाहरण के रूप में, हमने दूरसंचार उद्योग (जेएससी टेलीकॉम) में एक ऑपरेटिंग उद्यम के एसडब्ल्यूओटी विश्लेषण के परिणामों पर विचार किया, जो संचार सेवाओं (वायर्ड और वायरलेस टेलीफोनी, इंटरनेट एक्सेस, रेडियो संचार सेवाओं, सूचना सेवाओं) की एक पूरी श्रृंखला प्रदान करता है। शहर और क्षेत्र (लेख नहीं दिया गया है)। एएचपी का उपयोग करते हुए एसडब्ल्यूओटी मैट्रिक्स के बाद के मूल्यांकन का एक प्रकार तालिका में प्रस्तुत किया गया है। एक।

तालिका नंबर एक

SWOT मैट्रिक्स आकलन

सेंट डब्ल्यू ओप वें प्राथमिकता वेक्टर सामान्यीकृत वेक्टर

सेंट 1 1 0.33 0.33 0.58 0.10

डब्ल्यू 1 1 0.2 0.14 0.41 0.07

ऑप 3 5 1 0.2 1.32 0.24

गु 3 7 5 1 3.20 0.58

IS संगति सूचकांक = 0.14 और OS संगति अनुपात = 15.58< 20 % показывают удовлетворительную согласованность оценок ЛПР.

सामान्यीकृत वेक्टर के मूल्य भीतर हैं, इसलिए विशेषज्ञ गणना के परिणामों की व्याख्या इस प्रकार की जा सकती है: संगठन के "खतरे" महत्वपूर्ण हैं (पी = 0.58), समस्याओं को हल करने के लिए संगठन के "अवसर" संतोषजनक हैं (Op = 0.24), समस्याओं पर काबू पाने के लिए संगठन की "ताकत" औसत दर्जे की हैं (^ = 0.1), संगठन की "कमजोरियाँ" महत्वहीन हैं (^ = 0.07)।

1 SWOT एक संक्षिप्त नाम है जिसमें चार अंग्रेजी शब्दों के प्रारंभिक अक्षर शामिल हैं: ताकत ("ताकत"), कमजोरी ("कमजोरी"), अवसर ("अवसर"), और खतरे ("खतरे")

कंपनी की सुरक्षा समस्या के बारे में यह दृष्टिकोण हमें इसके लक्ष्य और उद्देश्यों, वस्तुओं और खतरों को निर्दिष्ट करने, व्यावसायिक प्रक्रियाओं के जोखिमों को कम करने के लिए एक कार्य योजना विकसित करने और किए गए उपायों की प्रभावशीलता का मूल्यांकन करने की अनुमति देता है।

व्यावसायिक प्रक्रियाओं की सुरक्षा के दृष्टिकोण से सूचना सुरक्षा अनुसंधान की कुछ विशिष्टताओं के कारण, कंपनी को पहले व्यावसायिक प्रक्रियाओं के जोखिमों की पहचान करनी चाहिए। जोखिम की पहचान का उद्देश्य उन खतरों के प्रति कंपनी के जोखिम का आकलन करना है जो महत्वपूर्ण क्षति का कारण बन सकते हैं। जोखिमों के बारे में जानकारी एकत्र करने के लिए, कंपनी की व्यावसायिक प्रक्रियाओं का विश्लेषण और विषय विशेषज्ञों का एक सर्वेक्षण किया जाता है। इस प्रक्रिया का परिणाम सभी संभावित जोखिमों की एक वर्गीकृत सूची है।

व्यापार प्रक्रिया जोखिमों की पहचान। एक व्यावसायिक प्रक्रिया को परिवर्तन के रूप में दर्शाया जा सकता है:

पी (एक्स, एक्स, एक्स, आईओ) ^ वाई, जहां पी एक प्रक्रिया है जिसमें क्रियाओं के एक सेट का रूप है पी = (बीएक्स, बी 2, ..., बीआर); एक्स = (एक्सएक्स, एक्स 2, .. ।, एक्स) - व्यापार प्रक्रिया और उनके आपूर्तिकर्ताओं की इनपुट धाराएं; Y = (Yx, Y2,..., Y) - व्यवसाय प्रक्रिया और उनके उपभोक्ताओं का आउटपुट प्रवाह; R = (Rx, R2,..., R/) - एक व्यावसायिक प्रक्रिया (तकनीकी, सामग्री, सूचनात्मक) करने के लिए उपयोग किए जाने वाले संसाधनों का एक समूह; R = (R1, R2,..., Rp) व्यवसाय प्रक्रिया में क्रियान्वित कार्यों का समूह है; I = (2b 12,..., 1m) - व्यवसाय प्रक्रिया के प्रतिभागियों और निष्पादकों का समूह; O = (Ox, O2,..., O) - प्रक्रिया की सीमाएं और इंटरफेस।

इस परिभाषा से, यह देखा जा सकता है कि किसी कंपनी की सूचना सुरक्षा को व्यवस्थित करने के लिए व्यावसायिक प्रक्रियाएं डेटा का प्राथमिक स्रोत हैं।

सबसे पहले, सुरक्षा की वस्तुओं को परिभाषित करना आवश्यक है, अर्थात। क्या और किन खतरों से बचाव किया जाना चाहिए। सुरक्षा की वस्तुओं में, निश्चित रूप से, कंपनी की सूचना, व्यावसायिक प्रक्रियाएं और भौतिक संसाधन शामिल हैं।

सूचना सुरक्षा पर काम की स्पष्ट शुरुआत आज कंपनी डेटा का वर्गीकरण है। वर्गीकरण एक जटिल प्रक्रिया है जिसके लिए बहुत समय और धन की आवश्यकता होती है। वर्गीकरण प्रभावी होने के लिए, इसे लगातार बनाए रखा जाना चाहिए और अद्यतन किया जाना चाहिए। वर्गीकरण की समीचीनता इस तथ्य में निहित है कि यह आपको उन सभी स्थानों को निर्धारित करने की अनुमति देता है जहां जानकारी संग्रहीत है और उस जानकारी की पहचान करने के लिए जिसे संरक्षित किया जाना चाहिए। यह आपको गोपनीय जानकारी की मात्रा को कम करने की अनुमति देता है। वर्गीकरण करते समय, ऐसे दस्तावेज़ प्रकट होते हैं जो कभी गुप्त थे, लेकिन अब अपनी प्रासंगिकता खो चुके हैं। उन्हें संग्रहीत या स्थायी रूप से हटाया जा सकता है।

सुरक्षा की वस्तुओं के रूप में सूचना संपत्ति (आईए) को व्यापार प्रणालियों में अखंडता, उपलब्धता और, यदि आवश्यक हो, सूचना की गोपनीयता बनाए रखने की आवश्यकता होती है। संभावित खतरों के विश्लेषण से पता चला है कि सूचना के बुनियादी ढांचे में व्यावसायिक प्रक्रियाओं में उपयोग की जाने वाली जानकारी की सुरक्षा का गुण होना चाहिए, अर्थात। अनधिकृत (जानबूझकर या आकस्मिक) रसीद, संशोधन, विनाश या वाणिज्यिक, स्वामित्व या तकनीकी जानकारी के उपयोग से सुरक्षा प्रदान करें। व्यवसाय प्रक्रिया घटकों की उपस्थिति, साथ ही उनके अंतर्संबंधों को ध्यान में रखते हुए, संभावित खतरनाक स्थितियों में शामिल हैं: उल्लंघनकर्ताओं द्वारा अनधिकृत पहुंच (प्रक्रियाओं के मालिकों और प्रतिभागियों के लिए नहीं) परिचित, विरूपण या विनाश के उद्देश्य से स्वचालन उपकरण में संग्रहीत और संसाधित जानकारी तक। . उसी समय, प्रवेश बिंदु प्रक्रिया के इंटरफेस और सीमाएं हो सकते हैं, साथ ही प्रक्रिया के कार्यों (संचालन, प्रक्रियाओं) के कार्यान्वयन के लिए आवश्यक जानकारी भी हो सकती है; संचार चैनलों पर इसके स्वागत (प्रसारण) के दौरान सूचना का अवरोधन

(नेटवर्क) प्रक्रिया कार्य, साथ ही भंडारण मीडिया की चोरी के माध्यम से; यादृच्छिक हस्तक्षेप के कारण सूचना का विनाश (परिवर्तन, विकृति), सूचना के प्रसारण, भंडारण और प्रसंस्करण के दौरान तकनीकी (सॉफ्टवेयर) साधनों की विफलता; प्रक्रिया में मालिकों और (या) प्रतिभागियों के बीच से उल्लंघनकर्ताओं की व्यावसायिक प्रक्रिया पर अनधिकृत प्रभाव।

विषय क्षेत्र के विश्लेषण से पता चला है कि कंपनी की व्यावसायिक प्रक्रियाओं के जोखिमों को उनके जीवन चक्र के सभी मुख्य चरणों में पहचानने की सलाह दी जाती है: डिजाइन के चरणों में, पुनर्रचना और व्यावसायिक प्रक्रियाओं का उपयोग करने की प्रक्रिया में।

व्यावसायिक प्रक्रियाओं के डिजाइन और पुनर्रचना में जोखिमों की पहचान। यहां तक कि कंपनी की मुख्य व्यावसायिक प्रक्रियाओं का प्रारंभिक विवरण कार्य कुशलता में सुधार और संभावित नुकसान (जोखिम) दोनों के ठोस परिणाम लाता है। ये, सबसे पहले, प्रक्रियाओं के डिजाइन में त्रुटियों के कारण जोखिम हैं: अपूर्णता की त्रुटियां (प्रक्रिया के विवरण में अंतराल की उपस्थिति); असंगति की त्रुटियां (प्रक्रिया के विभिन्न भागों में सूचना संसाधनों का अपर्याप्त उपयोग, जो सूचना की विकृत धारणा या निर्देशों की अस्पष्टता की ओर ले जाती है); पदानुक्रमित या "वंशानुगत" असंगति की त्रुटियां (मुख्य और बाद की प्रक्रियाओं के बीच संघर्ष की उपस्थिति)। जाहिर है, अन्य प्रकार की त्रुटियों को भी अनुमति दी जानी चाहिए।

जोखिम की अगली श्रृंखला प्रक्रिया विवरण पद्धति (या प्रतिमान ". पद्धति - मॉडल - अंकन - उपकरण") में त्रुटियों से उत्पन्न होती है: सिस्टम फ़ंक्शन प्रदर्शित करते समय; प्रक्रियाएं जो कार्यों के प्रदर्शन को सुनिश्चित करती हैं; डेटा और संगठनात्मक संरचनाएं जो कार्यों के प्रदर्शन को सुनिश्चित करती हैं; कार्य करने के दौरान सामग्री और सूचना प्रवाहित होती है।

इसके अलावा, यह प्रक्रिया की टोपोलॉजी के बीच विसंगति से उत्पन्न होने वाले जोखिमों पर ध्यान दिया जाना चाहिए, जो प्रक्रिया के सबसे अधिक समझने योग्य प्रवाह को प्राप्त करने की अनुमति नहीं देता है, या तो वास्तविक स्थिति को दर्शाता है, या इष्टतम एक, कार्यभार को ध्यान में रखते हुए कलाकारों की, संसाधनों की उपलब्धता, या अन्य परिस्थितियाँ। प्रक्रिया टोपोलॉजी त्रुटियों का विश्लेषण कई पुनरावृत्तियों में किया जा सकता है। नतीजतन, विश्लेषण की गई प्रक्रिया नाटकीय रूप से बदल सकती है। उदाहरण के लिए, जो कार्य पहले क्रमिक रूप से एक के बाद एक निष्पादित किए गए थे, उन्हें समानांतर में निष्पादित किया जाएगा। बेशक, यह प्रक्रिया के तर्क और प्राप्त परिणाम को विकृत नहीं करना चाहिए।

व्यावसायिक प्रक्रियाओं का उपयोग करते समय जोखिमों की पहचान। परिचालन जोखिम को व्यावसायिक प्रक्रियाओं के गलत निष्पादन, अप्रभावी आंतरिक नियंत्रण प्रक्रियाओं, तकनीकी विफलताओं, कर्मियों के अनधिकृत कार्यों या बाहरी प्रभावों के परिणामस्वरूप प्रत्यक्ष या अप्रत्यक्ष नुकसान के जोखिम के रूप में परिभाषित किया जा सकता है। परिचालन जोखिम उन प्रक्रियाओं के लिए महत्वपूर्ण है जो समग्र रूप से संगठन की गतिविधियों के लिए महत्वपूर्ण हैं, समय की प्रति यूनिट बड़ी संख्या में लेनदेन, और तकनीकी सहायता की एक जटिल प्रणाली। आमतौर पर पहचाने जाने वाले जोखिम कारक आंतरिक परिचालन वातावरण और व्यावसायिक प्रक्रियाओं की स्थिति के संकेतकों के समान होते हैं - लेनदेन की मात्रा, कारोबार, गलत कार्यों का प्रतिशत। पारदर्शी और प्रबंधनीय व्यावसायिक प्रक्रियाओं, विशेषज्ञ ज्ञान के आधार पर सही संगठनात्मक संरचना का निर्माण करके परिचालन जोखिम प्रबंधन किया जाता है।

व्यावसायिक प्रक्रियाओं के परिचालन जोखिमों को समाप्त करने की समस्याओं को हल करने के लिए, दुबला उत्पादन प्रणाली (दुबला उत्पादन) का उपयोग किया जा सकता है - टोयोटा उत्पादन प्रणाली के आधार पर बनाई गई एक प्रबंधन अवधारणा। लीन का लक्ष्य विनिर्माण प्रक्रियाओं में कचरे की पहचान, विश्लेषण और उन्मूलन करना है। लीन अवधारणा के अनुसार, व्यावसायिक प्रक्रियाओं में आठ प्रकार के नुकसान होते हैं: कर्मचारियों की क्षमता का उपयोग करने में विफलता; हानि

अतिउत्पादन से; परिवहन नुकसान; विवाह से हानि, अनावश्यक अपव्यय और परिवर्तन; इन्वेंट्री रखरखाव के नुकसान; कर्मियों के आंदोलनों और आंदोलनों पर नुकसान; डाउनटाइम नुकसान; अधिक प्रसंस्करण के कारण नुकसान। इस मामले में नुकसान को संचालन के रूप में माना जाता है, जिस पर अंतिम उपभोक्ता के लिए उत्पाद या सेवा के मूल्य को जोड़े बिना समय और भौतिक संसाधन खर्च किए जाते हैं।

इसलिए, उदाहरण के लिए, व्यावसायिक प्रक्रियाओं को करने वाले कर्मियों के अवैध कार्यों, आपूर्तिकर्ताओं पर अनधिकृत प्रभाव, मात्रा और संसाधनों की आपूर्ति की शर्तों से रक्षा करना आवश्यक है; व्यावसायिक प्रक्रियाओं के कार्यान्वयन के लिए नियम, सहित। आंतरिक और बाहरी इंटरफेस का विनियमन; व्यापार प्रक्रिया प्रौद्योगिकी, आदि।

व्यावसायिक प्रक्रियाओं का विवरण, उनका मॉडलिंग, अनुवर्ती नियंत्रण और प्रदर्शन विश्लेषण - परिचालन जोखिमों को खत्म करने के लिए एक निरंतर और सुसंगत गतिविधि, और इसलिए नुकसान।

आप जीआरसी (शासन, जोखिम प्रबंधन और अनुपालन) वर्ग प्रणालियों का उपयोग करके कंपनी की सूचना सुरक्षा प्रक्रियाओं को स्वचालित कर सकते हैं, जिन्हें आज सूचना प्रौद्योगिकी और सूचना सुरक्षा के प्रबंधन के प्रभावी तरीकों में से एक माना जाता है।

जीआरसी तीन दृष्टिकोणों से कुछ प्रबंधन करने का एक दृष्टिकोण है: शीर्ष प्रबंधन (शासन), जोखिम प्रबंधन (जोखिम प्रबंधन) और आवश्यकताओं का अनुपालन (अनुपालन)। कंपनी के सभी विभागों की गतिविधियों के बारे में जानकारी संसाधित करने का परिणाम व्यावसायिक दृष्टि से तैयार की गई दृश्य रिपोर्ट है।2

उदाहरण के लिए, आरएसए आर्चर ईजीआरसी उत्पाद का एंटरप्राइज मैनेजमेंट मॉड्यूल आपको कंपनी की संपत्तियों को सूचीबद्ध और वर्गीकृत करने की अनुमति देता है, सूचना और प्रौद्योगिकी परिसंपत्तियों, व्यावसायिक प्रक्रियाओं, वस्तुओं और सेवाओं, डिवीजनों और व्यक्तिगत व्यावसायिक इकाइयों सहित परस्पर जुड़ी संपत्तियों का एक एकल रजिस्टर बनाता है। उत्पादन सुविधाएं और उपकरण, कंपनी के जिम्मेदार कर्मचारियों, भागीदारों और आपूर्तिकर्ताओं के साथ संपर्क। प्रत्येक संपत्ति के लिए, उसके मालिक और कंपनी के लिए मूल्य निर्धारित किया जाता है। इस कार्य के परिणामों का उपयोग सूचना सुरक्षा जोखिम मूल्यांकन प्रक्रिया के आगे के संचालन में किया जा सकता है। एसआईईएम या डीएलपी भेद्यता प्रबंधन प्रणालियों के साथ एकीकरण आपको प्रति-परिसंपत्ति के आधार पर भेद्यता उपचार और घटना शमन को प्राथमिकता देने की अनुमति देता है।3

हालांकि, एक आईटी समाधान की मदद से व्यापार प्रक्रिया सुरक्षा के संदर्भ में जीआरसी के सभी कार्यों को लागू करना व्यावहारिक रूप से असंभव है, भले ही यह अच्छा हो। एक प्रणाली जो इस अवधारणा की समस्याओं को हल करने में मदद कर सकती है वह उतना ही जटिल होना चाहिए जितना कि जीआरसी स्वयं कार्य करता है। 4 जीआरसी प्रणाली के साथ एकीकृत करने के लिए, व्यवसाय प्रक्रिया प्रबंधन (बीपीएम), व्यवसाय "प्रदर्शन प्रबंधन और" की प्रणालियों का उपयोग करने की सलाह दी जाती है। बिजनेस इंटेलिजेंस क्लास, जिसे व्यावसायिक प्रक्रियाओं को स्वचालित और प्रबंधित करने के लिए डिज़ाइन किया गया है। यूएमएल नोटेशन में व्यावसायिक प्रक्रियाओं और कंपनी की सूचना सुरक्षा के मुख्य विषयों के बीच संबंधों का आरेख चित्र 1 में दिखाया गया है।

2 Evgeny Bezgodov SNF क्या है और यह सूचना सुरक्षा के लिए कैसे उपयोगी हो सकता है? [इलेक्ट्रॉनिक संसाधन] http://ru.deiteriy.com/what_is_grc_and_its_ ^аЬИ-ityJnJnformation_security/।

3 एसएनएफ - सूचना सुरक्षा प्रबंधन प्रक्रियाओं को अनुकूलित करने का एक तरीका // बैंकिंग समीक्षा संख्या 9 (176) सितंबर 2013 [इलेक्ट्रॉनिक संसाधन] http://www.bosfera.ru/bo/put-k-optimizatsii-protsessov

4 एसएनएफ अवधारणा सूचना सुरक्षा बाजार के विकास में अगला चरण बन गया है [इलेक्ट्रॉनिक संसाधन] http://www.cnews.ru/reviews/free/security2008/articles/grc.shtml।

चावल। 1. व्यावसायिक प्रक्रियाओं और सूचना के मुख्य विषयों के बीच संबंध

कंपनी सुरक्षा

सूचना सुरक्षा प्रणाली के ढांचे के भीतर, कंपनी की व्यावसायिक प्रक्रियाओं और मुख्य रूप से व्यावसायिक प्रक्रियाओं के लिए खतरे पैदा करने वाले वातावरण की बातचीत को नीचे दिए गए चित्र (चित्र 2) में दिखाया गया है।

चावल। 2. व्यावसायिक प्रक्रियाओं और पर्यावरण की परस्पर क्रिया जो खतरे पैदा करती है

मुख्य निष्कर्ष।

कंपनी की स्थिति का व्यापक निदान एक सूचना सुरक्षा प्रबंधन रणनीति के विकास में पहला चरण है, जो एक सुझाए गए सशर्त परिमाणीकरण के साथ SWOT विश्लेषण का उपयोग करके सबसे अच्छा प्रदर्शन किया जाता है।

विश्लेषण से पता चला है कि किसी कंपनी की सूचना सुरक्षा को व्यवस्थित करने के लिए व्यावसायिक प्रक्रियाएं डेटा का प्राथमिक स्रोत हैं।

व्यावसायिक प्रक्रियाओं की सूचना सुरक्षा सुनिश्चित करना एक डेटा वर्गीकरण के विकास के साथ शुरू होना चाहिए जो आपको सुरक्षा के लिए जानकारी की पहचान करने, गोपनीय जानकारी की मात्रा को कम करने और सभी सूचना भंडारण स्थानों को निर्धारित करने की अनुमति देता है जिनका उपयोग किसी कंपनी में व्यावसायिक प्रक्रियाओं को अनुकूलित करने के लिए किया जा सकता है।

व्यावसायिक प्रक्रियाओं के संभावित जोखिमों के विश्लेषण ने हमें निम्नलिखित समूहों की पहचान करने की अनुमति दी: डिजाइन में जोखिम, पुनर्रचना और व्यावसायिक प्रक्रियाओं का उपयोग करने की प्रक्रिया में।

जीआरसी (शासन, जोखिम प्रबंधन और अनुपालन) वर्ग प्रणाली का उपयोग करके कंपनी की सूचना सुरक्षा प्रक्रियाओं को स्वचालित करने की सलाह दी जाती है, जिसे व्यावसायिक प्रक्रियाओं को स्वचालित और प्रबंधित करने के लिए डिज़ाइन किए गए व्यवसाय प्रक्रिया प्रबंधन, व्यवसाय प्रदर्शन प्रबंधन या व्यवसाय इंटेलिजेंस क्लास सिस्टम के साथ एकीकृत किया जाना चाहिए।

प्रतिक्रिया दें संदर्भ

1. कामेनोवा एम.एस., ग्रोमोव ए.आई., फेरापोंटोव एम.एम., श्मातालुक ए.ई. बिजनेस मॉडलिंग। एआरआईएस पद्धति। - एम.: वेस्ट-मेटाटेक्नोलॉजी, 2001।

2. सती टी. निर्णय लेना। पदानुक्रम विश्लेषण विधि। - एम .: रेडियो और संचार, 1993।

3. स्टेलमाशोनोक ई.वी. सूचना सुरक्षा-व्यावसायिक प्रक्रियाओं का संगठन // अनुप्रयुक्त सूचना विज्ञान। - 2006। - नंबर 2। - सी। 42-57।

4. टिमोखिन ए। सभी नुकसान कैसे खोजें: एनपीओ ईएलएसआईबी // "बीओएसएस" नंबर 9, 2012 में लीन कार्यप्रणाली को लागू करने का अभ्यास।

5. खानोवा ए.ए. प्रबंधकीय निर्णय लेते समय संतुलित स्कोरकार्ड का संरचनात्मक-कार्यात्मक मॉडल // वेस्टनिक एएसटीयू सेर: प्रबंधन, कंप्यूटर विज्ञान और सूचना विज्ञान। - 2012. - नंबर 1. - सी। 200-208।

एफिमोव एवगेनी निकोलाइविच - रोस्तोव स्टेट यूनिवर्सिटी ऑफ इकोनॉमिक्स (RINH); ईमेल: [ईमेल संरक्षित]; 344002, रोस्तोव-ऑन-डॉन, बी सदोवया, 69, कमरा। 306 ए; दूरभाष: 89525721917; सूचना प्रौद्योगिकी और सूचना संरक्षण विभाग; दान.; प्रोफेसर।

लैपिट्सकाया गैलिना मेलकोनोव्ना - ई-मेल: [ईमेल संरक्षित]; दूरभाष: 89286050143; सूचना प्रौद्योगिकी और सूचना संरक्षण विभाग; पीएच.डी.; प्रोफेसर।

एफिमोव एवगेनी निकोलायेविच - रोस्तोव राज्य आर्थिक विश्वविद्यालय; ईमेल: [ईमेल संरक्षित]; 69, बी. सदोवया स्ट्रीट, कमरा 306 ए, रोस्तोव-ऑन-डॉन, 344002, रूस; फोन: +79525721917; विभाग सूचना प्रौद्योगिकी और सूचना सुरक्षा; डॉ.ईसी. अनुसूचित जाति।; प्रोफेसर।

लापिकाया गैलिना मेलकोवना - ई-मेल: [ईमेल संरक्षित]; फोन: +79286050143; विभाग सूचना प्रौद्योगिकी और सूचना सुरक्षा; कैंड.ईसी अनुसूचित जाति।; प्रोफेसर।

2019

एसएमबी साइबर सुरक्षा प्राथमिकताएं

एसएमबी खंड की कंपनियां एमएसएसपी (प्रबंधित सुरक्षा सेवा प्रदाता) मॉडल के अनुसार सेवा खपत के सेवा मॉडल के लिए बादलों की ओर आकर्षित होती हैं। इससे उन्हें सूचना सुरक्षा के क्षेत्र में परिचालन लागत को काफी कम करने में मदद मिलती है।

अब कुछ विक्रेता अपने ग्राहकों को सदस्यता मॉडल पर क्लाउड-आधारित सूचना सुरक्षा सेवाएं प्रदान करते हैं। मेरी राय में, मध्यम और छोटे व्यवसाय ऐसे सूचना सुरक्षा सेवा मॉडल पर जाएंगे, - डिजिटल डिजाइन के सीईओ दिमित्री लिवशिट्स नोट करते हैं।

छोटे और मध्यम आकार के व्यवसायों द्वारा आईएस खपत का सेवा मॉडल अधिक से अधिक मांग में होता जा रहा है, क्योंकि ये कंपनियां सुरक्षा विशेषज्ञों के बड़े कर्मचारियों को वहन नहीं कर सकती हैं।

I-Teco Group के सूचना सुरक्षा विभाग के प्रमुख व्लादिमीर बालनिन के अनुसार, SMB खंड सेवा प्रदाताओं की सेवाओं का मुख्य उपभोक्ता बन रहा है जो एकीकृत सूचना सुरक्षा सेवाओं के साथ तुरंत सेवाएं प्रदान करते हैं: प्रशासन, निगरानी के लिए कोई लागत नहीं है और अपने स्वयं के बुनियादी ढांचे का रखरखाव, और जोखिम नियामक आवश्यकताओं को सेवा प्रदाता द्वारा ही वहन किया जाता है।

उसी समय, रूसी बाजार में अब एसएमबी के लिए सूचना सुरक्षा की बहुत सीमित आपूर्ति की विशेषता है। जैसा कि जेट इंफोसिस्टम्स में सूचना सुरक्षा केंद्र के निदेशक एंड्री यांकिन ने नोट किया है, लगभग सभी सेवाएं बड़े ग्राहकों के लिए लक्षित हैं। एसएमबी के लिए विशिष्ट और सस्ती, लेकिन आदिम सूचना सुरक्षा सेवाएं व्यावहारिक रूप से मौजूद नहीं हैं, हालांकि कई अन्य देशों में यह बाजार अच्छी तरह से विकसित है।

उसी समय, प्रबंधित सूचना सुरक्षा सेवाओं के खंड के विकास और साइबर जोखिम बीमा बाजार के विकास की संभावना के साथ, ग्राहकों की इस श्रेणी के पास आधुनिक खतरों के लिए पर्याप्त उपाय होंगे।

इस बीच, एसएमबी कंपनियां बुनियादी आईटी सुरक्षा को लागू कर रही हैं, शायद ही कभी व्यावसायिक प्रक्रियाओं के स्तर तक बढ़ रही हैं।

अंगारा टेक्नोलॉजीज ग्रुप फॉर टेक्नोलॉजी एंड डेवलपमेंट के उप महा निदेशक दिमित्री पुडोव के अनुसार, एसएमई के प्रतिनिधियों, उनके बजट के साथ, उच्च तकनीक या जटिल समाधानों तक लगभग कोई पहुंच नहीं है। यह केवल समाधानों की लागत के कारण नहीं है, बल्कि उनके द्वारा किए जाने वाले OPEX का कारण है।

सिस्टम सॉफ्टवेयर में सूचना सुरक्षा के प्रमुख याकोव ग्रोडजेंस्की कहते हैं, एसएमबी सेगमेंट में ग्राहकों द्वारा खरीदे गए मुख्य समाधान एंटीवायरस और सॉफ्टवेयर फायरवॉल हैं। इसके अलावा, इस सेगमेंट की कंपनियां सूचना सुरक्षा ऑडिट और पेंटेस्टिंग के मुद्दों में सक्रिय रूप से दिलचस्पी ले रही हैं, क्योंकि ऐसे संगठन हमेशा कर्मचारियों पर एक अलग सूचना सुरक्षा विशेषज्ञ नहीं रखते हैं, न कि पेंटेस्टर का उल्लेख करने के लिए।

डॉक्टर वेब के एक प्रमुख विश्लेषक व्याचेस्लाव मेदवेदेव कहते हैं कि मध्यम आकार के व्यवसायों के सर्वेक्षणों से पता चला है कि ऐसी कंपनियों के पास बुनियादी सुरक्षा समाधानों के अलावा अन्य सुरक्षा समाधानों के लिए धन नहीं है।

बड़े व्यवसाय की साइबर सुरक्षा प्राथमिकताएं

शेयरधारकों, मालिकों और शीर्ष प्रबंधन के लिए संगठन के भीतर सूचना सुरक्षा और तकनीकी प्रक्रियाओं की एक वस्तुनिष्ठ तस्वीर होना हमेशा महत्वपूर्ण होता है, इसलिए कंपनियों में सूचना सुरक्षा परिपक्वता का समग्र स्तर हर साल बढ़ रहा है। हालांकि, कुछ बड़े संगठनों में अभी भी व्यावसायिक प्रक्रियाओं में प्राथमिक क्रम का अभाव है जो सूचना प्रणाली के संचालन को सुनिश्चित करता है, जिससे सूचना सुरक्षा में अराजकता हो सकती है। इसलिए, बड़ी कंपनियों के लिए मुख्य प्राथमिकता इन समस्याओं को हल करना है, स्टेप लॉजिक में सूचना और नेटवर्क सुरक्षा विभाग के निदेशक निकोलाई ज़ाबुसोव कहते हैं।

इसके अलावा, बड़े व्यवसाय नियामकों और आंतरिक मानकों की आवश्यकताओं के अनुपालन पर ध्यान केंद्रित कर रहे हैं, कम या ज्यादा समान रूप से संरक्षित बुनियादी ढांचे को बनाने की कोशिश कर रहे हैं। सूचना सुरक्षा के क्षेत्र में उद्योग मानकों को कई निगमों में विकसित और "कार्यान्वित" किया गया है।

बड़ी व्यावसायिक कंपनियों को अनिवार्य रूप से एक विकल्प का सामना करना पड़ा: डिजिटल परिवर्तन के मार्ग का अनुसरण करें, या व्यावसायिक प्रतिमान को बदले बिना काम करें। लेकिन दूसरे मामले में, वे जल्द या बाद में बाजार में अपनी स्थिति उन प्रतिस्पर्धियों को छोड़ने के लिए मजबूर होंगे जिन्होंने अधिक लचीलापन दिखाया है।

उद्यम खंड के लिए प्राथमिकताओं में, एक तरफ, मैं क्लासिक सूचना सुरक्षा समाधानों का उपयोग करने की दक्षता में वृद्धि को नोट कर सकता हूं, और दूसरी ओर, कार्यान्वयन के हिस्से के रूप में नए प्रकार के खतरों के खिलाफ सुरक्षा की शुरूआत। डिजिटलीकरण परियोजनाओं। उत्तरार्द्ध बहुत महत्वपूर्ण है, क्योंकि सुरक्षा प्रतिबंध अक्सर डिजिटल परिवर्तन के रास्ते में धीमी प्रगति के मुख्य कारणों में से एक होते हैं, - सॉफ्टलाइन में सूचना सुरक्षा विभाग के प्रमुख ओलेग शबुरोव नोट करते हैं।

व्यावहारिक सुरक्षा के दृष्टिकोण से, वेक्टर तेजी से हमलों को रोकने से उनका पता लगाने और उनका जवाब देने के लिए स्थानांतरित हो रहा है, क्रोक में सूचना सुरक्षा के प्रमुख एंड्री ज़ैकिन कहते हैं। यह इस तथ्य की ओर जाता है कि समाधान के अपेक्षाकृत युवा वर्ग अधिक से अधिक लोकप्रिय और मांग में होते जा रहे हैं: ईडीआर, आईआरपी। स्वचालित प्रतिक्रिया प्रणालियों में स्क्रिप्ट और परिदृश्यों के विभिन्न सेट होते हैं और खतरों को फैलाने के प्रयासों को अवरुद्ध करने की अनुमति देते हैं।

साइबर सुरक्षा सेवाएं

SMB कंपनियाँ जो अपने व्यवसाय के लिए सूचना सुरक्षा की महत्ता को समझती हैं, सेवा मॉडल का उपयोग करने के मार्ग का अनुसरण करती हैं।

प्रतिस्पर्धी फर्मों के लिए गोपनीय जानकारी बहुत रुचि की है। यह वह है जो घुसपैठियों द्वारा अतिक्रमण का कारण बनती है।

कई समस्याएं खतरे के महत्व को कम करके आंकने से जुड़ी हैं, जिसके परिणामस्वरूप यह उद्यम के पतन और दिवालियापन का कारण बन सकता है। काम करने वाले कर्मचारियों की लापरवाही का एक भी मामला कंपनी को करोड़ों डॉलर का नुकसान और ग्राहकों के विश्वास की हानि ला सकता है।

धमकियां कंपनी की संरचना, स्थिति और गतिविधियों पर डेटा को उजागर करती हैं। इस तरह के खतरों के स्रोत इसके प्रतियोगी, भ्रष्ट अधिकारी और अपराधी हैं। उनके लिए विशेष महत्व संरक्षित जानकारी से परिचित होना है, साथ ही वित्तीय क्षति का कारण बनने के लिए इसका संशोधन भी है।

सूचना के 20 प्रतिशत लीक होने से भी ऐसा परिणाम हो सकता है। कभी-कभी कंपनी के रहस्यों का नुकसान दुर्घटना से, कर्मचारियों की अनुभवहीनता के कारण, या सुरक्षा प्रणालियों की कमी के कारण हो सकता है।

जानकारी के लिए जो उद्यम की संपत्ति है, निम्न प्रकार के खतरे हो सकते हैं।

सूचना और कार्यक्रमों की गोपनीयता के लिए खतरा।डेटा, संचार चैनलों या कार्यक्रमों तक अवैध पहुंच के बाद हो सकता है। कंप्यूटर से प्राप्त या भेजे गए डेटा को लीक चैनलों के माध्यम से इंटरसेप्ट किया जा सकता है।

इसके लिए विशेष उपकरण का उपयोग किया जाता है जो कंप्यूटर पर काम करते समय प्राप्त विद्युत चुम्बकीय विकिरण का विश्लेषण करता है।

नुकसान का खतरा।हैकर्स की अवैध कार्रवाइयों से रूटिंग विकृति हो सकती है या प्रेषित जानकारी का नुकसान हो सकता है।

उपलब्धता का खतरा।ऐसी स्थितियां वैध उपयोगकर्ता को सेवाओं और संसाधनों का उपयोग करने से रोकती हैं। ऐसा तब होता है जब उन्हें पकड़ लिया जाता है, उन पर डेटा प्राप्त होता है, या घुसपैठियों द्वारा लाइनों को अवरुद्ध कर दिया जाता है। ऐसी घटना प्रेषित सूचना की विश्वसनीयता और समयबद्धता को विकृत कर सकती है।

तीन महत्वपूर्ण शर्तें हैं जो एक रूसी नागरिक को अनुमति देंगी: एक आदर्श व्यवसाय योजना, एक सुविचारित लेखांकन और कार्मिक नीति, और मुफ्त धन की उपलब्धता।
एलएलसी खोलने के लिए दस्तावेजों की तैयारी के लिए एक निश्चित समय की आवश्यकता होती है। बैंक खाता खोलने में लगभग 1-2 दिन लगते हैं। एलएलसी खोलने के लिए आवश्यक दस्तावेजों के बारे में यहाँ और पढ़ें।

लेनदेन को अंजाम देने से इनकार करने का जोखिम।दायित्व से बचने के लिए उसके द्वारा प्रेषित जानकारी से उपयोगकर्ता का इनकार।

आंतरिक खतरे।इस तरह के खतरे उद्यम के लिए बहुत बड़े खतरे हैं। वे अनुभवहीन प्रबंधकों, अक्षम या अयोग्य कर्मियों से आते हैं।

कभी-कभी किसी उद्यम के कर्मचारी जानबूझकर सूचनाओं के आंतरिक रिसाव को भड़का सकते हैं, इस प्रकार अपने वेतन, काम या सहकर्मियों के प्रति असंतोष दिखा सकते हैं। वे आसानी से उद्यम की सभी मूल्यवान जानकारी अपने प्रतिस्पर्धियों को प्रस्तुत कर सकते हैं, इसे नष्ट करने का प्रयास कर सकते हैं, या जानबूझकर कंप्यूटर में वायरस पेश कर सकते हैं।

उद्यम की सूचना सुरक्षा सुनिश्चित करना

सबसे महत्वपूर्ण लेखांकन प्रक्रियाओं को सिस्टम के संबंधित वर्ग द्वारा स्वचालित किया जाता है, जिसकी सुरक्षा तकनीकी और संगठनात्मक उपायों की एक पूरी श्रृंखला द्वारा प्राप्त की जाती है।

इनमें एंटी-वायरस सिस्टम, फायरवॉल की सुरक्षा और इलेक्ट्रोमैग्नेटिक रेडिएशन शामिल हैं। सिस्टम इलेक्ट्रॉनिक मीडिया पर सूचना की रक्षा करते हैं, संचार चैनलों पर प्रसारित डेटा, विविध दस्तावेजों तक पहुंच को प्रतिबंधित करते हैं, बैकअप प्रतियां बनाते हैं और क्षति के बाद गोपनीय जानकारी को पुनर्स्थापित करते हैं।

उद्यम में सूचना सुरक्षा का एक पूर्ण प्रावधान चौबीसों घंटे वास्तविक समय में पूरे वर्ष पूर्ण नियंत्रण में होना चाहिए। उसी समय, सिस्टम सूचना के पूरे जीवन चक्र को ध्यान में रखता है, जिस क्षण से यह उद्यम के लिए इसके पूर्ण विनाश या महत्व के नुकसान के लिए प्रकट होता है।

सुरक्षा के लिए और सूचना सुरक्षा उद्योग में डेटा हानि को रोकने के लिए, सुरक्षा प्रणालियों का विकास किया जा रहा है। उनका काम जटिल सॉफ्टवेयर सिस्टम पर आधारित है जिसमें विकल्पों की एक विस्तृत श्रृंखला है जो किसी भी डेटा हानि को रोकती है।

कार्यक्रमों की विशिष्टता यह है कि उनके उचित कामकाज के लिए, डेटा और दस्तावेजों के आंतरिक संचलन के एक सुपाठ्य और अच्छी तरह से तेल वाले मॉडल की आवश्यकता होती है। सूचना का उपयोग करते समय सभी चरणों का सुरक्षा विश्लेषण डेटाबेस के साथ काम करने पर आधारित है।

ऑनलाइन उपकरणों के साथ-साथ विभिन्न इंटरनेट संसाधनों पर पेश किए गए उत्पादों और समाधानों का उपयोग करके सूचना सुरक्षा सुनिश्चित की जा सकती है।

इनमें से कुछ सेवाओं के डेवलपर्स ने एक सूचना सुरक्षा प्रणाली को सही ढंग से तैयार करने में कामयाबी हासिल की है जो बाहरी और आंतरिक खतरों से बचाती है, जबकि कीमत और कार्यक्षमता का एक आदर्श संतुलन प्रदान करती है। प्रस्तावित लचीले मॉड्यूलर कॉम्प्लेक्स हार्डवेयर और सॉफ्टवेयर के काम को मिलाते हैं।

प्रकार

सूचना सुरक्षा प्रणालियों के कामकाज के तर्क में निम्नलिखित क्रियाएं शामिल हैं।

डेटा सुरक्षा, उद्देश्यों और स्थितियों के लिए खतरों की भविष्यवाणी करना और जल्दी से पहचानना जो उद्यम को नुकसान पहुंचाते हैं और इसके काम और विकास में विफलताओं का कारण बनते हैं।

ऐसी कामकाजी परिस्थितियों का निर्माण करना जिसके तहत खतरे का स्तर और उद्यम को नुकसान की संभावना कम से कम हो।

नुकसान के लिए मुआवजा और पहचाने गए नुकसान के प्रयासों के प्रभाव को कम करना।

सूचना सुरक्षा उपकरण हो सकते हैं:

तकनीकी;
सॉफ्टवेयर;
क्रिप्टोग्राफिक;
संगठनात्मक;
विधायी।

उद्यम में सूचना सुरक्षा का संगठन

सभी उद्यमी हमेशा सूचना और गोपनीयता की उपलब्धता सुनिश्चित करने का प्रयास करते हैं। उपयुक्त सूचना सुरक्षा विकसित करने के लिए, संभावित खतरों की प्रकृति, साथ ही उनके होने के रूपों और विधियों को ध्यान में रखा जाता है।

उद्यम में सूचना सुरक्षा का संगठन इस तरह से किया जाता है कि एक हैकर को कई स्तरों की सुरक्षा का सामना करना पड़ सकता है। नतीजतन, हमलावर संरक्षित हिस्से में घुसने में असमर्थ है।

सूचना की सुरक्षा का सबसे प्रभावी तरीका डेटा ट्रांसमिशन के दौरान क्रिप्टोग्राफिक रूप से मजबूत एन्क्रिप्शन एल्गोरिथम है। सिस्टम जानकारी को स्वयं एन्क्रिप्ट करता है, न कि केवल उस तक पहुंच, जो इसके लिए भी प्रासंगिक है।

सूचना तक पहुंच की संरचना बहु-स्तरीय होनी चाहिए, जिसके संबंध में केवल चयनित कर्मचारियों को ही इसे एक्सेस करने की अनुमति है। सूचना की संपूर्ण मात्रा तक पूर्ण पहुंच का अधिकार केवल भरोसेमंद व्यक्तियों को ही होना चाहिए।

गोपनीय प्रकृति की जानकारी से संबंधित जानकारी की सूची को उद्यम के प्रमुख द्वारा अनुमोदित किया जाता है। इस क्षेत्र में किसी भी उल्लंघन को कुछ प्रतिबंधों से दंडित किया जाना चाहिए।

सुरक्षा मॉडल प्रासंगिक GOST द्वारा प्रदान किए जाते हैं और कई व्यापक उपायों द्वारा मानकीकृत होते हैं। वर्तमान में, विशेष उपयोगिताओं को विकसित किया गया है जो चौबीसों घंटे नेटवर्क की स्थिति और सूचना सुरक्षा प्रणालियों की किसी भी चेतावनी की निगरानी करते हैं।

ध्यान रखें कि सस्ते वायरलेस नेटवर्क आवश्यक स्तर की सुरक्षा प्रदान नहीं कर सकते हैं।

अनुभवहीन कर्मचारियों के कारण डेटा के आकस्मिक नुकसान से बचने के लिए, प्रशासकों को प्रशिक्षण सत्र आयोजित करने चाहिए। यह उद्यम को काम के लिए कर्मचारियों की तत्परता की निगरानी करने की अनुमति देता है और प्रबंधकों को विश्वास दिलाता है कि सभी कर्मचारी सूचना सुरक्षा उपायों का पालन करने में सक्षम हैं।

बाजार अर्थव्यवस्था का माहौल और उच्च स्तर की प्रतिस्पर्धा कंपनी के नेताओं को हमेशा सतर्क रहती है और किसी भी कठिनाई का तुरंत जवाब देती है। पिछले 20 वर्षों में, सूचना प्रौद्योगिकी विकास, प्रबंधन और व्यवसाय के सभी क्षेत्रों में प्रवेश करने में सक्षम रही है।

वास्तविक दुनिया से, व्यवसाय लंबे समय से एक आभासी में बदल गया है, बस याद रखें कि वे कैसे लोकप्रिय हुए, जिनके अपने कानून हैं। वर्तमान में, किसी उद्यम की सूचना सुरक्षा के लिए आभासी खतरे उस पर भारी वास्तविक नुकसान पहुंचा सकते हैं। समस्या को कम करके आंकने से, नेता अपने व्यवसाय, प्रतिष्ठा और विश्वसनीयता को जोखिम में डालते हैं।

डेटा उल्लंघनों के कारण अधिकांश व्यवसायों को नियमित रूप से नुकसान उठाना पड़ता है। किसी व्यवसाय के विकास और संचालन में उद्यम की जानकारी की सुरक्षा प्राथमिकता होनी चाहिए। सूचना सुरक्षा सुनिश्चित करना कंपनी के लक्ष्यों की सफलता, लाभ और उपलब्धि की कुंजी है।

व्यापार की सूचना सुरक्षा सुनिश्चित करना एंड्रियानोव वी.वी.

1.3. व्यापार सूचना सुरक्षा मॉडल

1.3.1. प्रेरणा

हाल के दिनों में सूचना सुरक्षा (आईएस) के नियमन के रूसी और विश्व अभ्यास में आरडी दिशानिर्देशों के रूप में तैयार राष्ट्रीय अधिकृत निकायों की अनिवार्य आवश्यकताएं शामिल थीं। इसलिए, शीर्ष प्रबंधन और संगठनों के मालिकों के लिए, उनके अनुपालन (अनुपालन) की केवल एक समस्या थी और इसे हल करने का केवल एक ही तरीका था - न्यूनतम लागत पर प्रस्तावित आवश्यकताओं को कैसे पूरा किया जाए। अधिकृत निकायों की अपनी समस्या थी - सभी संभावित प्रकार की गतिविधियों को कवर करने की असंभवता और उनके कार्यान्वयन की शर्तों के साथ-साथ गतिविधियों के लक्ष्यों में महत्वपूर्ण अंतर, आवश्यकताओं के एक सार्वभौमिक सेट की पेशकश करने के कारण। ऐसा करने के लिए, सूचना सुरक्षा की समस्या को एक आत्मनिर्भर इकाई के रूप में माना जाता था, गतिविधियों, लक्ष्यों, शर्तों के लिए अपरिवर्तनीय, और सार्वभौमिकता के लिए सामग्री में भी काफी कमी आई थी।

दोनों दृष्टिकोण (संगठनों और नियामकों के) मौजूदा वास्तविकता के लिए अपर्याप्त हैं और इसे काफी विकृत रूप में प्रस्तुत करते हैं। इस प्रकार, आईएस गतिविधियों पर मुख्य वास्तविक प्रतिबंध पारंपरिक आईएस मॉडल से जुड़े हैं, जो एक हमलावर की अनिवार्य उपस्थिति मानता है जो संपत्ति (सूचना) को नुकसान पहुंचाना चाहता है, और तदनुसार, ऐसे विषय के कार्यों से जानकारी की रक्षा करने पर केंद्रित है। (विषयों का समूह)। उसी समय, संबंधित घटनाएं, उदाहरण के लिए, एप्लिकेशन सॉफ़्टवेयर में नियमित परिवर्तन के लिए, किसी हमलावर को जिम्मेदार नहीं ठहराया जा सकता है। उनके संभावित कारण खराब विकसित प्रबंधन और कमजोर तकनीकी आधार हैं। सामान्य रूप से मौजूदा परिस्थितियों में संगठन (प्रबंधन, मुख्य व्यवसाय प्रक्रियाओं) की अपनी अपर्याप्तता समस्याओं का एक बहुत शक्तिशाली स्रोत है, जिसे किसी हमलावर से जोड़ने की असंभवता के कारण अनदेखा किया जाता है।

आईएस मॉडल का आगे का विकास मालिक (मालिक) की भूमिका को मजबूत करने के साथ जुड़ा हुआ था और इस तथ्य पर नीचे आया कि उसने खुद को (अपने जोखिम और जोखिम पर) सुरक्षात्मक उपायों के मानक सेट से चुना था जो उन्हें दिए गए थे उन्हें जरूरत थी, यानी वे जो, उनकी राय में, स्वीकार्य स्तर की सुरक्षा प्रदान कर सकते हैं। यह एक महत्वपूर्ण कदम था, क्योंकि यह सुनिश्चित करता था कि सूचना सुरक्षा अपने अस्तित्व के लिए विशिष्ट शर्तों के साथ एक विशिष्ट वस्तु से जुड़ी हुई थी, सूचना सुरक्षा समस्या की आत्मनिर्भरता से जुड़े अंतर्विरोधों को आंशिक रूप से हल कर रही थी। हालांकि, चयनित विशिष्ट सुरक्षात्मक उपायों (सुरक्षा प्रोफाइल) के साथ वस्तुओं की एक सूची बनाने के अलावा, मालिक के लिए एक रचनात्मक तंत्र की पेशकश करना संभव नहीं था। प्रोफाइल स्वयं विशेषज्ञ अनुमानी पद्धति का उपयोग करके बनाए गए थे। उसी समय, मालिक ने किस तरह का जोखिम उठाया यह अज्ञात रहा और व्यवहार में निर्धारित किया गया था।

आगे विकास थीसिस में कम हो गया था कि सूचना सुरक्षा गतिविधि के उद्देश्यों के लिए क्षति (उत्पन्न) कर सकती है और इसलिए सूचना सुरक्षा (जो आत्मनिर्भर बनी हुई है) के जोखिमों को संगठन के जोखिमों के साथ समन्वित (जुड़ा हुआ) किया जाना चाहिए। यह केवल यह इंगित करने के लिए रह गया है कि उन्हें कैसे जोड़ा जाए और सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) को कॉर्पोरेट प्रबंधन में एकीकृत और प्रक्रियाओं की स्वतंत्र प्रणाली के रूप में नहीं, बल्कि प्रबंधन के एक अभिन्न, दृढ़ता से जुड़े घटक के रूप में एकीकृत किया जाए। यह विफल रहा। हालांकि, इस दृष्टिकोण ने आईएस जोखिम सहित कई आईएस मूल्यांकन श्रेणियों को अच्छी तरह से आगे बढ़ाया।

व्यावहारिक आईएस मॉडल भी स्वामित्व की कुल लागत (आईएस के संबंध में) और आईएस में निवेश की "वापसी" के आकलन के आधार पर जाने जाते हैं। इस दृष्टिकोण के ढांचे के भीतर, लक्ष्यों और गतिविधि की शर्तों के समान संगठनों का एक समूह समय-समय पर आईएस कार्यान्वयन के क्षेत्रों का मूल्यांकन करता है और समूह के लिए सर्वोत्तम प्रथाओं से युक्त एक मॉडल बनाता है। इसके अलावा, प्रत्येक संगठन, सर्वोत्तम प्रथाओं और इसकी स्थितियों (जो घटनाएं हुई हैं) से पिछड़ने के अनुसार, निवेश की दिशा और मात्रा निर्धारित करता है। निवेश की प्रभावशीलता का आकलन अगली अवधि में किए गए निवेश के क्षेत्र में समाप्त होने वाली घटनाओं से होने वाले नुकसान को कम करके किया जाता है और इसलिए बड़े नुकसान का कारण नहीं बनता है।

हालांकि, इस दृष्टिकोण, इसकी कई खूबियों के साथ, संवेदनशील सूचनाओं के व्यापक आदान-प्रदान की आवश्यकता होती है, और एक्सचेंज में प्रतिभागियों के हितों के टकराव में किसी भी गुणवत्ता वाले विश्वास निर्माण उपायों के निर्माण को शामिल नहीं किया जाता है, इसलिए इसका व्यापक रूप से उपयोग नहीं किया जाता है।

रूसी संघ के सेंट्रल बैंक के मानक में प्रस्तावित आईएस मॉडल ने इसके एकीकरण (गतिविधि के लक्ष्यों से जुड़े) और "घुसपैठिए" के सार की व्याख्या के विस्तार के संदर्भ में समस्या को और आगे बढ़ाया। . एक हमलावर वह व्यक्ति होता है जो मालिक का सामना करने में सक्षम होता है और उसका अपना लक्ष्य होता है, जिसे वह महसूस करता है, संगठन की संपत्ति पर नियंत्रण प्राप्त करता है।

यह दृष्टिकोण उस संगठन को नुकसान के प्रकार और स्रोतों का महत्वपूर्ण रूप से विस्तार करता है जो आईएस विचार के दायरे में आते हैं, जहां उनका समाधान सबसे तर्कसंगत है। हालांकि, यह कई मामलों में एक समझौता दृष्टिकोण था और गतिविधि (उत्पादित उत्पाद) के अंतिम परिणाम के लिए सूचना सुरक्षा समस्याओं के तत्काल सन्निकटन की आवश्यकता है। हमें एक ऐसे मॉडल की आवश्यकता है जो वास्तव में व्यवसाय की मदद करता है, एक घुसपैठिए के खिलाफ लड़ाई सहित एक सुरक्षित और विश्वसनीय सूचना क्षेत्र के निर्माण और रखरखाव के माध्यम से इसके प्रदर्शन और आवश्यक सुधार में सीधे योगदान देता है। केवल ऐसे मॉडल को व्यवसाय द्वारा माना जा सकता है। कोई अन्य उनके द्वारा अस्वीकार कर दिया जाएगा।

यह पाठ एक परिचयात्मक अंश है।एप्लाइडिंग इलेक्ट्रॉनिक बैंकिंग टेक्नोलॉजीज पुस्तक से: एक जोखिम-आधारित दृष्टिकोण लेखक ल्यामिन एल. वी.

5.4. सूचना सुरक्षा अनुकूलन

लेखक एंड्रियानोव वी.वी.

1. व्यापार सूचना सुरक्षा दर्शन