Informācijas drošība: kā aizsargāt sevi un savus klientus. Uzņēmuma informācijas drošība profesionālās darbības biznesa informācijas aizsardzībai Laspi LLC

10.02.2022 Māja

ATSAUCES

1. Khovanskova V.S., Rumjancevs K.E., Khovanskov S.A. Metode izkliedētās skaitļošanas veiktspējas aizsardzības uzlabošanai datortīklos Izvestija SFU. Tehniskā zinātne. - 2012. - Nr.4 (129). - S. 102-107.

2. Khovanskov S.A., Norkin O.R. Algoritms sadalītā tīkla skaitļošanas veiktspējas palielināšanai // Informatizācija un komunikācija. - 2011. - Nr.3. - S. 96-98.

3. Ļitviņenko V.A., Khovanskov S.A. Problēmu risināšana, organizējot sadalīto skaitļošanu tīklā Izvestija SFU. Tehniskā zinātne. - 2008. - Nr.3 (80). - S. 16-21.

4. Khovanskov S.A., Norkin O.R. Decentralizētās skaitļošanas sistēmas konfigurācijas algoritmiskā optimizācija // Telekomunikācijas. - 2012. - Nr.11. - S. 2-5.

5. Khovanskov S.A. Izkliedētās skaitļošanas organizācija ar hierarhisku savienojumu struktūru // Informācijas pretdarbība terorisma draudiem. - 2007. - Nr.9. - S. 170-178.

6. Ļitviņenko V.A., Khovanskov S.A. Algoritms datortīkla parametru optimizēšanai, lai samazinātu laiku problēmas risināšanai, pamatojoties uz vairāku aģentu sistēmu.Izvestija SFU. Tehniskā zinātne. - 2007. - Nr.2 (77). - S. 186-190.

7. Khovanskov S.A., Litvinenko V.A., Norkin O.R. Izkliedētās skaitļošanas organizēšana izsekošanas problēmu risināšanai Izvestija SFU. Tehniskā zinātne. - 2010. gads.

- Nr.12 (113). - S. 48-55.

8. Kalašņikovs V.A., Trunovs I.L., Khovanskov S.A. Paralēlās izvietošanas algoritms daudzprocesoru datorsistēmā Izvestija SFU. Tehniskā zinātne.

1997. - Nr.3 (6). - S. 181-184.

Rumjancevs Konstantīns Jevgeņevičs - federālā valsts autonomā augstākās profesionālās izglītības iestāde "Dienvidu federālā universitāte"; e-pasts: [aizsargāts ar e-pastu]; 347900, Taganrog, st. Čehovs, 2; tālr.: 88634328725; IBTKS nodaļa; galvu nodaļa; tehnisko zinātņu doktors; Profesors,

Khovanskov Sergejs Andrejevičs - e-pasts: [aizsargāts ar e-pastu]; tālr.: 88634642530; IBTKS nodaļa; PhD; docents.

Khovanskova Vera Sergeevna - e-pasts: [aizsargāts ar e-pastu]; tālr.: 88634676616; students.

Rumjancevs Konstantīns Jevgeņjevičs - federālajai valstij piederoša autonomijas augstākās profesionālās izglītības iestāde "Dienvidu federālā universitāte"; e-pasts: [aizsargāts ar e-pastu]; 2, Čehova iela, Taganrog, 347900, Krievija; tālrunis: +78634328725; IBTKS nodaļa; vada nodaļu; dr. no eng. sc.; profesors.

Khovanskov Sergejs Andrejevičs - e-pasts: [aizsargāts ar e-pastu]; tālrunis: 88634642530; ISTCN departaments; cand. no eng. sc.; asociētais profesors.

Khovanskova Vera Sergeevna - e-pasts: [aizsargāts ar e-pastu]; tālrunis: +78634676616; students.

E.N. Efimovs, G.M. Lapitskaja

INFORMĀCIJAS DROŠĪBA UN UZŅĒMĒJDARBĪBAS PROCESI

KOMPĀNIJAS

Pētījuma mērķis ir parādīt, ka informācijas drošība jāveido un jāpastāv uzņēmuma biznesa mērķu sasniegšanas ietvaros. Tajā pašā laikā biznesa procesi ir primārais datu avots uzņēmuma informācijas drošības organizēšanai.

Izstrādājot informācijas drošības pārvaldības stratēģiju, tika piedāvāta visaptveroša uzņēmuma stāvokļa diagnostika, izmantojot SVID analīzi ar nosacītu kvantitatīvu iegūto rezultātu novērtējumu, izmantojot hierarhijas analīzes metodi.

Risku identificēšana ir nepieciešama, lai novērtētu draudu nozīmīgumu un izveidotu drošības sistēmu. Analīze parādīja, ka uzņēmuma biznesa procesu riski tiek grupēti šādās kategorijās: riski projektēšanā, riski pārplānošanā un riski biznesa procesu izmantošanas procesā.

Uzņēmuma informācijas drošības procesus vēlams automatizēt, izmantojot GRC (Governance, Risk management and Compliance) klases sistēmu, kas mūsdienās tiek uzskatīta par vienu no efektīvākajiem informācijas tehnoloģiju un informācijas drošības pārvaldības veidiem. Vienlaikus vēlams GRC sistēmu integrēt ar Biznesa procesu vadības klases sistēmām, kas paredzētas uzņēmuma biznesa procesu vadīšanai.

Biznesa mērķi; Informācijas drošība; biznesa procesi.

E.N. Efimovs, G.M. Lapitskaja

UZŅĒMUMA INFORMĀCIJAS DROŠĪBA UN UZŅĒMĒJDARBĪBAS PROCESI

Pētījuma mērķis ir parādīt, ka informācijas drošība jāveido un jāpastāv sasniegumu biznesa vesels skaitlis ietvaros uzņēmumiem. Uzņēmējdarbībā procesi tiek sniegti no pirmavotiem informācijas drošības organizēšanai uzņēmumiem.

Izstrādājot vadības informācijas drošības stratēģijas, uzņēmumiem tiek piedāvāta kompleksa stāvokļa diagnostika, izmantojot SVID analīzi ar nosacītā kvantitatīvā novērtējuma rezultātu, kas iegūts ar analīzes hierarhijas metodes palīdzību.

Identifikācijas risks, kas nepieciešams, lai novērtētu sistēmas apdraudējumu un ēku vērtību drošībai. Analīze parādīja, ka riski biznesa procesiem uzņēmumiem tiek grupēti šādās kategorijās: riski projektēšanas laikā, riski pārplānošanas procesā un riski biznesa procesu izmantošanas procesā.

Automatizējiet procesus līdz uzņēmumu drošībai saprātīgi, izmantojot GRC (Governance, Risk Management and Compliance) klases sistēmas, kas mūsdienās tiek uzskatītas par vienu no efektīvākajiem informācijas tehnoloģiju un informācijas drošības vadības veidiem. Sistēmas GRC ar šo nepieciešamo kompleksu ar Biznesa procesu vadības klases sistēmu, kas paredzēta uzņēmumu biznesa procesu vadīšanai.

uzņēmējdarbības nolūkos; drošības informācija; biznesa procesi.

Problēmas formulēšana. Informācijas drošība jāveido un jāpastāv uzņēmumu biznesa mērķu sasniegšanas ietvaros. Efektīva uzņēmējdarbība nav iespējama bez moderno informācijas tehnoloģiju (IT) izmantošanas, kas tiek izmantotas gandrīz visu mūsdienu uzņēmuma biznesa procesu atbalstam. Tomēr šodien tendence ir acīmredzama: informācijas drošība no konkrētu tīklu, serveru, informācijas resursu aizsardzības pārvēršas par IT atbalstīto uzņēmumu biznesa procesu drošību. Tas nozīmē divu savstarpēji atkarīgu uzņēmuma drošības nodrošināšanas jomu klātbūtni: no vienas puses, efektīva biznesa darbība biznesa procesu funkcionēšanas ziņā; no otras puses, atbalsta IT infrastruktūras normāla darbība. Pašlaik šajā konkrētajā kontekstā informācijas drošībai nav vienotas pieejas.

Lai izprastu galvenās uzņēmuma drošības problēmas, ieteicams veikt rūpīgu ārējās un iekšējās biznesa vides analīzi, izcelt tās sastāvdaļas, kurām tiešām ir nozīme, apkopot un izsekot informāciju par katru komponentu, un, pamatojoties uz reālās darbības novērtējumu. situāciju, noskaidro uzņēmuma stāvokli un šīs situācijas cēloņus. Precīza, visaptveroša, savlaicīga uzņēmuma stāvokļa diagnostika ir pirmais posms drošas darbības vadīšanas stratēģijas izstrādē.

Visizplatītākais veids, kā novērtēt uzņēmuma stratēģisko pozīciju, ir SVID analīze1. SVID analīzes matricu var attēlot kā šādu kopu:

SVID = ,

kur St (Strengths) ir organizācijas stipro pušu kopa, St = (St1, St2, ..., Stmt); W (Weaknesses) - organizācijas vājo vietu kopa, W = (W1, W2, ..., Wnw); Op (Opportunities) - organizēšanas iespēju kopa, Op = (Op1, Op2, ., Opnop); Th (Threats) - draudu kopums organizācijai, Th = (Th1, Th2, ..., Thnth).

Tajā pašā laikā ir svarīgi saprast, ka spēcīgas St = (St1, St2, ..., Stnst) un vājās W = (W1, W2, ..., Wnw) partijas ir tās uzņēmuma darbības sastāvdaļas, kuras tas var kontrolēt, un iespējas Op = (Op1, Op2, ., Opnop) un draudi Th = (Th1, Th2, ..., Thnth) ir faktori, kas ir ārpus uzņēmuma kontroles un var ietekmēt tā attīstības procesu.

SVID analīzes rezultāti ļauj formulēt uzņēmuma drošības stratēģiju šajā attīstības stadijā. Šo problēmu diez vai var formalizēt, tomēr, pamatojoties uz šiem datiem, var izstrādāt daudzas organizācijas stratēģijas S = (S1, S2, ., Sn).

SVID matricas nosacīta kvantitatīvā novērtējuma veikšanai iespējams izmantot, piemēram, hierarhijas analīzes metodi (AHP). Šī metode nodrošina visefektīvāko veidu, kā novērtēt kvantitatīvi neizmērāmus, bet tajā pašā laikā svarīgus faktorus pārdomātu lēmumu pieņemšanai. Turklāt metode darbojas ar nekonsekventiem spriedumiem un neprasa, lai patērētāju vai lēmumu pieņēmēja (DM) preferences atbilstu lietderības aksiomām. AHP ļauj sarežģītu problēmu izpēti reducēt uz vienkāršu secīgu pāru salīdzināšanas procedūru.

Kā piemēru ņēmām SVID analīzes rezultātus telekomunikāciju nozarē strādājošam uzņēmumam (AS Telecom), kas nodrošina pilnu sakaru pakalpojumu klāstu (vadu un bezvadu telefonija, piekļuve internetam, radiosakaru pakalpojumi, informācijas pakalpojumi). pilsēta un reģions (raksts nav dots). SWOT matricas turpmākā novērtējuma variants, izmantojot AHP, ir parādīts tabulā. viens.

1. tabula

SVID matricas novērtējums

St W Op Th Prioritātes vektors Normalizēts vektors

St 1 1 0,33 0,33 0,58 0,10

W 1 1 0,2 0,14 0,41 0,07

Op 3 5 1 0,2 1,32 0,24

Th 3 7 5 1 3,20 0,58

IS konsekvences indekss = 0,14 un OS konsekvences koeficients = 15,58< 20 % показывают удовлетворительную согласованность оценок ЛПР.

Normalizētā vektora vērtības atrodas robežās, tāpēc ekspertu aprēķinu rezultātus var interpretēt šādi: organizācijas “draudi” ir būtiski (P = 0,58), organizācijas “iespējas” risināt problēmas ir apmierinošas. (Op = 0,24), organizācijas “stiprās puses” problēmu pārvarēšanai ir viduvējas (^ = 0,1), organizācijas “vājās puses” ir nenozīmīgas (^ = 0,07).

1 SVID ir saīsinājums, kas ietver četru angļu valodas vārdu sākuma burtus: spēks (“spēks”), vājums (“vājums”), iespējas (“iespējas”) un draudi (“draudi”).

Šāds skatījums uz uzņēmuma drošības problēmu ļauj precizēt tā mērķi un uzdevumus, objektus un draudus, izstrādāt darbības plānu biznesa procesu risku samazināšanai un izvērtēt veikto pasākumu efektivitāti.

Sakarā ar noteiktu informācijas drošības pētījumu specifiku no biznesa procesu drošības viedokļa uzņēmumam vispirms ir jāidentificē biznesa procesu riski. Risku identificēšanas mērķis ir novērtēt uzņēmuma pakļautību apdraudējumiem, kas var radīt būtisku kaitējumu. Lai apkopotu informāciju par riskiem, tiek veikta uzņēmuma biznesa procesu analīze un priekšmetu ekspertu aptauja. Šī procesa rezultāts ir visu iespējamo risku klasificēts saraksts.

Biznesa procesu risku identificēšana. Biznesa procesu var attēlot kā transformāciju:

P (X, X, X, IO) ^ Y, kur P ir process, kam ir darbību kopas forma P = (Bx, B2, ..., Br); X = (Xx, X2, .. ., X) - biznesa procesa ievades plūsmas un to piegādātāji; Y = (Yx, Y2,..., Y) - biznesa procesa izejas plūsmas un to patērētāji; R = (Rx, R2,..., R/) - biznesa procesa veikšanai izmantoto resursu kopums (tehniskais, materiālais, informatīvais); R = (R1, R2,..., Rp) ir biznesa procesā realizēto funkciju kopums; I = ( 2b 12,..., 1m) - biznesa procesa dalībnieku un izpildītāju kopums; O = (Ox, O2,..., O) - procesa robežas un saskarnes.

No šīs definīcijas var redzēt, ka biznesa procesi ir primārais datu avots uzņēmuma informācijas drošības organizēšanai.

Pirmkārt, ir nepieciešams definēt aizsardzības objektus, t.i. kas un no kādiem draudiem ir jāaizsargā. Aizsardzības objekti, protams, ietver informāciju, biznesa procesus un uzņēmuma materiālos resursus.

Acīmredzamais darba sākums informācijas drošības jomā šodien ir uzņēmuma datu klasifikācija. Klasifikācija ir sarežģīts process, kas prasa daudz laika un naudas. Lai klasifikācija būtu efektīva, tā ir pastāvīgi jāuztur un jāatjaunina. Klasifikācijas lietderība slēpjas tajā, ka tā ļauj noteikt visas vietas, kur informācija tiek glabāta, un identificēt aizsargājamo informāciju. Tas ļauj samazināt konfidenciālās informācijas daudzumu. Veicot klasifikāciju, atklājas dokumenti, kas kādreiz bijuši slepeni, bet tagad zaudējuši savu aktualitāti. Tos var arhivēt vai neatgriezeniski dzēst.

Informācijas aktīviem (IA) kā aizsardzības objektiem ir jāsaglabā informācijas integritāte, pieejamība un, ja nepieciešams, konfidencialitāte biznesa sistēmās. Iespējamo apdraudējumu analīze parādīja, ka informācijas infrastruktūrai ir jābūt īpašībai aizsargāt biznesa procesos izmantoto informāciju, t.i. nodrošināt aizsardzību pret neatļautu (tīšu vai nejaušu) komerciālas, patentētas vai tehnoloģiskas informācijas saņemšanu, pārveidošanu, iznīcināšanu vai izmantošanu. Ņemot vērā biznesa procesa komponentu klātbūtni, kā arī to savstarpējās attiecības, potenciāli bīstamās situācijas ir: pārkāpēju (nevis procesu īpašnieku un dalībnieku) nesankcionēta piekļuve automatizācijas rīkos glabātajai un apstrādātai informācijai ar mērķi iepazīties, sagrozīt vai iznīcināt. . Vienlaikus ieejas punkti var būt procesa saskarnes un robežas, kā arī procesa funkciju (operāciju, procedūru) īstenošanai nepieciešamā informācija; informācijas pārtveršana tās uztveršanas (pārraidīšanas) laikā pa sakaru kanāliem

(tīkla) procesa funkcijas, kā arī datu nesēju zādzības; informācijas iznīcināšana (maiņa, sagrozīšana) nejaušu traucējumu, tehnisko (programmatūras) līdzekļu kļūmju dēļ informācijas pārraides, uzglabāšanas un apstrādes laikā; pārkāpēju neatļauta ietekme uz biznesa procesu no īpašnieku un (vai) procesa dalībnieku vidus.

Priekšmeta jomas analīze parādīja, ka ir ieteicams identificēt uzņēmuma biznesa procesu riskus visos galvenajos to dzīves cikla posmos: projektēšanas, pārprojektēšanas un biznesa procesu izmantošanas procesā.

Risku identificēšana biznesa procesu plānošanā un pārveidē. Pat sākotnējais uzņēmuma galveno biznesa procesu apraksts nes gan taustāmus darba efektivitātes uzlabošanas rezultātus, gan iespējamos zaudējumus (riskus). Tie, pirmkārt, ir riski, kas saistīti ar kļūdām procesu projektēšanā: nepabeigtības kļūdas (procesa aprakstā ir nepilnības); nekonsekvences kļūdas (neadekvāta informācijas resursu izmantošana dažādās procesa daļās, kas noved pie informācijas izkropļotas uztveres vai norādījumu neskaidrības); hierarhiskas vai "iedzimtas" nesaderības kļūdas (konflikts starp galvenajiem un turpmākajiem procesiem). Acīmredzot ir jāatļauj arī cita veida kļūdas.

Nākamā risku sērija rodas no kļūdām procesu apraksta metodoloģijā (jeb paradigmā ".metodoloģija - modelis - apzīmējums - instrumenti"): attēlojot sistēmas funkcijas; procesi, kas nodrošina funkciju izpildi; datus un organizatoriskās struktūras, kas nodrošina funkciju izpildi; materiālu un informācijas plūsmas funkciju veikšanas gaitā.

Turklāt jāatzīmē procesa topoloģijas neatbilstības radītie riski, kas neļauj sasniegt saprotamāko procesa gaitu, kas atspoguļo ne reālo lietu stāvokli, ne optimālo, ņemot vērā darba slodzi. veiktspēju, resursu pieejamību vai citus apstākļus. Procesa topoloģijas kļūdu analīzi var veikt vairākās iterācijās. Rezultātā analizētais process var krasi mainīties. Piemēram, funkcijas, kas iepriekš tika izpildītas secīgi viena pēc otras, tiks izpildītas paralēli. Protams, tam nevajadzētu sagrozīt procesa loģiku un iegūto rezultātu.

Risku identificēšana, izmantojot biznesa procesus. Operacionālo risku var definēt kā tiešu vai netiešu zaudējumu risku nepareizas biznesa procesu izpildes, neefektīvu iekšējās kontroles procedūru, tehnoloģisku kļūmju, personāla neatļautas darbības vai ārējas ietekmes rezultātā. Operacionālais risks ir kritisks procesiem, kas ir nozīmīgi organizācijas darbībai kopumā, lielam darījumu skaitam laika vienībā un sarežģītai tehniskā atbalsta sistēmai. Parasti identificētie riska faktori ir līdzīgi iekšējās darbības vides un biznesa procesu stāvokļa rādītājiem – darījumu apjoms, apgrozījums, kļūdainu darbību procentuālais daudzums. Operacionālā riska vadība tiek veikta, veidojot caurskatāmus un pārvaldāmus biznesa procesus, pareizu organizatorisko struktūru, kas balstīta uz ekspertu zināšanām.

Biznesa procesu operacionālo risku novēršanas problēmu risināšanai var izmantot liesās ražošanas sistēmu (lean production) - vadības koncepciju, kas izveidota uz Toyota ražošanas sistēmas bāzes. Lean mērķis ir identificēt, analizēt un novērst atkritumus ražošanas procesos. Atbilstoši lean koncepcijai biznesa procesos rodas astoņu veidu zaudējumi: darbinieku potenciāla neizmantošana; zaudējumiem

no pārprodukcijas; transporta zudumi; zaudējumi no laulības, nevajadzīgi izšķērdēšana un pārveidojumi; krājumu uzturēšanas zaudējumi; zaudējumi personāla kustībā un kustībā; dīkstāves zaudējumi; zaudējumi pārmērīgas apstrādes dēļ. Zaudējumi šajā gadījumā tiek uzskatīti par operācijām, kurām tiek tērēts laiks un materiālie resursi, nepievienojot preces vai pakalpojuma vērtību gala patērētājam.

Tātad, piemēram, ir nepieciešams aizsargāties pret biznesa procesus veicošā personāla pretlikumīgām darbībām, nesankcionētu ietekmi uz piegādātājiem, resursu piegādes apjomiem un termiņiem; biznesa procesu īstenošanas noteikumi, t.sk. iekšējo un ārējo saskarņu regulēšana; biznesa procesu tehnoloģija utt.

Biznesa procesu apraksts, to modelēšana, pēcpārbaude un darbības analīze - pastāvīga un konsekventa darbība, lai novērstu darbības riskus un līdz ar to arī zaudējumus.

Uzņēmuma informācijas drošības procesus var automatizēt, izmantojot GRC (Governance, Risk management and Compliance) klases sistēmas, kas mūsdienās tiek uzskatītas par vienu no efektīviem informācijas tehnoloģiju un informācijas drošības pārvaldības veidiem.

GRC ir skatījums uz kaut ko pārvaldību no trim perspektīvām: augstākā vadība (pārvaldība), riska pārvaldība (riska pārvaldība) un atbilstība prasībām (atbilstība). Informcijas apstrdes par visu uzmuma nodau darbbm rezultts ir biznesa terminos formulti vizulie atskaites.2

Piemēram, RSA Archer eGRC produkta Enterprise Management modulis ļauj inventarizēt un klasificēt uzņēmuma aktīvus, izveidot vienotu savstarpēji saistītu aktīvu reģistru, iekļaujot informācijas un tehnoloģiju aktīvus, biznesa procesus, preces un pakalpojumus, nodaļas un atsevišķas biznesa vienības, ražošanas telpas un iekārtas, kontakti ar uzņēmuma atbildīgajiem darbiniekiem, partneriem un piegādātājiem. Katram aktīvam tiek noteikts tā īpašnieks un vērtība uzņēmumam. Šī darba rezultāti var tikt izmantoti turpmākajā informācijas drošības riska novērtēšanas procedūras veikšanā. Integrācija ar SIEM vai DLP ievainojamības pārvaldības sistēmām ļauj noteikt prioritāti ievainojamības novēršanai un incidentu mazināšanai, pamatojoties uz katru līdzekli.3

Taču visas GRC funkcijas biznesa procesu drošības kontekstā ar viena IT risinājuma palīdzību realizēt praktiski nav iespējams, pat ja tas ir labs. Sistēmai, kas var palīdzēt šīs koncepcijas problēmu risināšanā, jābūt tikpat sarežģītai kā pašiem GRC uzdevumiem.4 Integrācijai ar GRC sistēmu vēlams izmantot Biznesa procesu vadības (BPM), Biznesa "Veiktspējas vadības un Business Intelligence klase , kas paredzēta biznesa procesu automatizēšanai un vadīšanai. Uzņēmējdarbības procesu un uzņēmuma informācijas drošības galveno priekšmetu saistību diagramma UML notācijā parādīta 1. att.

2 Jevgeņijs Bezgodovs Kas ir SNF un kā tas var būt noderīgs informācijas drošībai? [Elektroniskais resurss] http://ru.deiteriy.com/what_is_grc_and_its_ ^аЬИ-ityJnJnformation_security/.

3 SNF - veids, kā optimizēt informācijas drošības pārvaldības procesus // Banku apskats Nr. 9 (176) 2013. gada septembris [elektroniskais resurss] http://www.bosfera.ru/bo/put-k-optimizatsii-protsessov

4 SNF koncepcija ir kļuvusi par nākamo posmu informācijas drošības tirgus attīstībā [Elektroniskais resurss] http://www.cnews.ru/reviews/free/security2008/articles/grc.shtml.

Rīsi. 1. Attiecības starp biznesa procesiem un galvenajiem informācijas subjektiem

uzņēmuma apsardze

Uzņēmuma biznesa procesu un vides, kas rada draudus, primāri biznesa procesiem, mijiedarbība informācijas drošības sistēmas ietvaros ir parādīta diagrammā zemāk (2. att.).

Rīsi. 2. Biznesa procesu un vides mijiedarbība, kas rada draudus

Galvenie secinājumi.

Kompleksā uzņēmuma stāvokļa diagnostika ir pirmais posms informācijas drošības pārvaldības stratēģijas izstrādē, ko vislabāk veikt, izmantojot SVID analīzi ar ieteikto nosacīto kvantitatīvo noteikšanu.

Analīze parādīja, ka biznesa procesi ir primārais datu avots uzņēmuma informācijas drošības organizēšanai.

Biznesa procesu informācijas drošības nodrošināšana jāsāk ar datu klasifikācijas izstrādi, kas ļauj identificēt informāciju aizsardzībai, minimizēt konfidenciālās informācijas apjomu un noteikt visas informācijas uzglabāšanas vietas, kuras var izmantot biznesa procesu optimizēšanai uzņēmumā.

Biznesa procesu iespējamo risku analīze ļāva identificēt šādas grupas: riski biznesa procesu projektēšanā, pārplānošanā un izmantošanas procesā.

Uzņēmuma informācijas drošības procesus vēlams automatizēt, izmantojot GRC (Governance, Risk management and Compliance) klases sistēmu, kas būtu jāintegrē ar biznesa procesu vadības, biznesa veiktspējas vadības vai biznesa inteliģences klases sistēmām, kas paredzētas biznesa procesu automatizēšanai un vadīšanai.

ATSAUCES

1. Kamennova M.S., Gromovs A.I., Ferapontovs M.M., Shmalyuk A.E. Biznesa modelēšana. ARIS metodoloģija. - M.: Vest-MetaTechnology, 2001.

2. Saati T. Lēmumu pieņemšana. Hierarhijas analīzes metode. - M.: Radio un sakari, 1993.

3. Štelmašonoks E.V. Informācijas drošības-biznesa procesu organizācija // Lietišķā informātika. - 2006. - Nr.2. - C. 42-57.

4. Timokhins A. Kā atrast visus zaudējumus: lean metodikas pielietošanas prakse NPO ELSIB // "BOSS" Nr.9, 2012.g.

5. Khanova A.A. Sabalansētas rādītāju kartes strukturāli funkcionālais modelis, pieņemot vadības lēmumus // Vestnik ASTU Ser.: Vadība, datorzinātne un informātika. - 2012. - Nr.1. - C. 200-208.

Jefimovs Jevgeņijs Nikolajevičs - Rostovas Valsts ekonomikas universitāte (RINH); e-pasts: [aizsargāts ar e-pastu]; 344002, Rostova pie Donas, B. Sadovaja, 69, kab. 306 a; tālr.: 89525721917; Informācijas tehnoloģiju un informācijas aizsardzības katedra; Dan.; Profesors.

Lapitskaja Gaļina Meļkonovna - e-pasts: [aizsargāts ar e-pastu]; tālr.: 89286050143; Informācijas tehnoloģiju un informācijas aizsardzības katedra; Ph.D.; Profesors.

Efimovs Jevgeņijs Nikolajevičs - Rostovas Valsts ekonomikas universitāte; e-pasts: [aizsargāts ar e-pastu]; 69, B. Sadovaya iela, 306 a kab., Rostova pie Donas, 344002, Krievija; tālrunis: +79525721917; katedra informācijas tehnoloģijas un informācijas drošība; dr.ec. sc.; profesors.

Lapickaya Gaļina Meļkovna - e-pasts: [aizsargāts ar e-pastu]; tālrunis: +79286050143; katedra informācijas tehnoloģijas un informācijas drošība; cand.ec. sc.; profesors.

2019

MVU kiberdrošības prioritātes

SMB segmenta uzņēmumi tiek piesaistīti mākoņiem, pakalpojumu patēriņa servisa modelim pēc MSSP (Managed Security Service Provider) modeļa. Tas viņiem palīdz ievērojami samazināt darbības izmaksas informācijas drošības jomā.

Tagad daži pārdevēji saviem klientiem piedāvā mākoņdatošanas informācijas drošības pakalpojumus, izmantojot abonēšanas modeli. Manuprāt, vidējie un mazie uzņēmumi dosies tieši uz šādu informācijas drošības pakalpojumu modeli, – atzīmē Digital Design izpilddirektors Dmitrijs Livšits.

IS patēriņa apkalpošanas modelis kļūst arvien pieprasītāks mazo un vidējo uzņēmumu vidū, jo šie uzņēmumi nevar atļauties lielu drošības speciālistu sastāvu.

Pēc I-Teco grupas Informācijas drošības departamenta vadītāja Vladimira Balaņina teiktā, SMB segments kļūst par galveno pakalpojumu sniedzēju pakalpojumu patērētāju, kuri sniedz pakalpojumus uzreiz ar integrētiem informācijas drošības pakalpojumiem: nav jāmaksā administrācija, uzraudzība. un savas infrastruktūras uzturēšanu, un riskus regulējošās prasības uzņemas pats pakalpojumu sniedzējs.

Tajā pašā laikā Krievijas tirgum šobrīd ir raksturīgs ļoti ierobežots informācijas drošības piedāvājums MVU. Kā atzīmē Jet Infosystems Informācijas drošības centra direktors Andrejs Jankins, gandrīz visi pakalpojumi ir paredzēti lieliem klientiem. Tipiski un lēti, bet ne primitīvi informācijas drošības pakalpojumi SMB, pēc viņa teiktā, praktiski neeksistē, lai gan virknē citu valstu šis tirgus ir labi attīstīts.

Vienlaikus, attīstoties pārvaldītās informācijas drošības pakalpojumu segmentam un perspektīvām attīstīties kiberrisku apdrošināšanas tirgum, šīs kategorijas klientu rīcībā būs mūsdienu apdraudējumiem adekvāti pasākumi.

Tikmēr MVU uzņēmumi ievieš pamata IT drošību, reti paceļoties līdz biznesa procesu līmenim.

Kā norādīja Angara Technologies Group ģenerāldirektora vietnieks tehnoloģiju un attīstības jautājumos Dmitrijs Pudovs, MVU pārstāvjiem ar savu budžetu gandrīz nav piekļuves augsto tehnoloģiju vai sarežģītiem risinājumiem. Tas nav saistīts tikai ar risinājumu izmaksām, bet gan ar to OPEX iemeslu.

Galvenie risinājumi, ko klienti iegādājas SMB segmentā, ir antivīrusi un programmatūras ugunsmūri, norāda System Software informācijas drošības vadītājs Jakovs Grodzeņskis. Turklāt šī segmenta uzņēmumi aktīvi sāk interesēties par informācijas drošības audita un pentestēšanas jautājumiem, jo šādās organizācijās ne vienmēr ir atsevišķs informācijas drošības speciālists, nemaz nerunājot par pentestētājiem.

Vjačeslavs Medvedevs, Doctor Web vadošais analītiķis, piebilst, ka vidējo uzņēmumu aptaujas liecina, ka šādiem uzņēmumiem nav līdzekļu drošības risinājumiem, izņemot pamata risinājumus.

Lielo uzņēmumu kiberdrošības prioritātes

Akcionāriem, īpašniekiem un augstākajai vadībai vienmēr ir svarīgi iegūt objektīvu priekšstatu par informācijas drošību un tehnoloģiskajiem procesiem organizācijā, tāpēc kopējais informācijas drošības brieduma līmenis uzņēmumos ar katru gadu pieaug. Tomēr atsevišķām lielajām organizācijām biznesa procesos joprojām trūkst elementāras kārtības, kas nodrošina informācijas sistēmu darbību, kas var radīt haosu informācijas drošībā. Tāpēc lielajām kompānijām galvenā prioritāte ir šo problēmu risināšana, norāda Step Logic informācijas un tīklu drošības departamenta direktors Nikolajs Zabusovs.

Turklāt lielais bizness koncentrējas uz regulatoru prasību un iekšējo standartu ievērošanu, cenšoties izveidot vairāk vai mazāk vienmērīgi aizsargātu infrastruktūru. Nozares standarti informācijas drošības jomā ir izstrādāti un "ieviesti" daudzās korporācijās.

Lielie komercuzņēmumi būtībā bija izvēles priekšā: iet pa digitālās transformācijas ceļu vai strādāt, nemainot biznesa paradigmu. Bet otrajā gadījumā viņi agrāk vai vēlāk būs spiesti atdot savas pozīcijas tirgū konkurentiem, kuri izrādījuši lielāku elastību.

Pie uzņēmumu segmenta prioritātēm, no vienas puses, var atzīmēt klasisko informācijas drošības risinājumu izmantošanas efektivitātes paaugstināšanos un, no otras puses, aizsardzības ieviešanu pret jauna veida apdraudējumiem kā daļu no informācijas drošības risinājumu ieviešanas. digitalizācijas projekti. Pēdējais ir ļoti svarīgs, jo drošības ierobežojumi bieži vien ir viens no galvenajiem iemesliem lēnajai virzībai uz digitālās transformācijas ceļu, - atzīmē Oļegs Šaburovs, Softline informācijas drošības nodaļas vadītājs.

No praktiskās drošības viedokļa vektors arvien vairāk pāriet no uzbrukumu novēršanas uz to atklāšanu un reaģēšanu uz tiem, saka Andrejs Zaikins, Croc informācijas drošības vadītājs. Tas noved pie tā, ka salīdzinoši jaunas risinājumu klases kļūst arvien populārākas un pieprasītākas: EDR, IRP. Automatizētajām reaģēšanas sistēmām ir dažādas skriptu un scenāriju kopas, un tās ļauj bloķēt mēģinājumus izplatīt draudus.

kiberdrošības pakalpojumi

MVU uzņēmumi, kas izprot informācijas drošības kritiskumu savam biznesam, izmanto pakalpojumu modeļus.

Konfidenciāla informācija ļoti interesē konkurējošus uzņēmumus. Tieši viņa kļūst par iebrucēju iejaukšanās cēloni.

Daudzas problēmas ir saistītas ar apdraudējuma nozīmīguma nenovērtēšanu, kā rezultātā tas var izraisīt uzņēmuma sabrukumu un bankrotu. Pat viens strādājošā personāla nolaidības gadījums var radīt uzņēmumam vairāku miljonu dolāru zaudējumus un klientu uzticības zaudēšanu.

Draudi atklāj datus par uzņēmuma sastāvu, statusu un darbību. Šādu draudu avoti ir tā konkurenti, korumpēti ierēdņi un noziedznieki. Īpaši vērtīga viņiem ir iepazīšanās ar aizsargāto informāciju, kā arī tās modificēšana, lai radītu finansiālu kaitējumu.

Pat 20% informācijas noplūde var novest pie šāda iznākuma. Dažkārt uzņēmuma noslēpumu nozaudēšana var notikt nejauši, darbinieku pieredzes trūkuma vai drošības sistēmu trūkuma dēļ.

Informācijai, kas ir uzņēmuma īpašums, var būt šāda veida draudi.

Informācijas un programmu konfidencialitātes apdraudējums. Var rasties pēc nelikumīgas piekļuves datiem, sakaru kanāliem vai programmām. No datora saturošus vai nosūtītus datus var pārtvert, izmantojot noplūdes kanālus.

Šim nolūkam tiek izmantots īpašs aprīkojums, kas analizē elektromagnētisko starojumu, kas saņemts, strādājot pie datora.

Bojājumu risks. Hakeru nelikumīgas darbības var izraisīt maršruta izkropļojumus vai pārsūtītās informācijas zudumu.

Pieejamības draudi.Šādas situācijas neļauj likumīgam lietotājam izmantot pakalpojumus un resursus. Tas notiek pēc tam, kad tie ir notverti, par tiem tiek saņemti dati vai iebrucēji ir bloķējuši līnijas. Šāds incidents var izkropļot pārsūtītās informācijas uzticamību un savlaicīgumu.

Ir trīs svarīgi nosacījumi, kas ļaus Krievijas pilsonim: ideāls biznesa plāns, pārdomāta grāmatvedības un personāla politika un brīvu līdzekļu pieejamība.
Dokumentu sagatavošana LLC atvēršanai prasa noteiktu laiku. Bankas konta atvēršana aizņem apmēram 1-2 dienas. Vairāk par LLC atvēršanai nepieciešamajiem dokumentiem lasiet šeit.

Darījumu atteikuma risks. Lietotāja atteikšanās no viņa pārsūtītās informācijas, lai izvairītos no atbildības.

iekšējie draudi.Šādi draudi uzņēmumam ir ļoti bīstami. Tie nāk no nepieredzējušiem vadītājiem, nekompetentiem vai nekvalificētiem darbiniekiem.

Dažkārt uzņēmuma darbinieki var apzināti izraisīt iekšēju informācijas noplūdi, tādējādi izrādot savu neapmierinātību ar algu, darbu vai kolēģiem. Viņi var viegli prezentēt visu uzņēmuma vērtīgo informāciju saviem konkurentiem, mēģināt to iznīcināt vai apzināti ievietot vīrusu datoros.

Uzņēmuma informācijas drošības nodrošināšana

Svarīgākos grāmatvedības procesus automatizē atbilstošā sistēmu klase, kuras drošība tiek panākta ar veselu virkni tehnisko un organizatorisko pasākumu.

Tie ietver pretvīrusu sistēmu, ugunsmūru aizsardzību un elektromagnētisko starojumu. Sistēmas aizsargā informāciju elektroniskajos medijos, datus, kas tiek pārraidīti pa sakaru kanāliem, ierobežo piekļuvi dažādiem dokumentiem, veido rezerves kopijas un atjauno konfidenciālu informāciju pēc bojājumiem.

Pilnvērtīgam informācijas drošības nodrošinājumam uzņēmumā jābūt un jābūt pilnībā kontrolētam visu gadu, reālā laikā visu diennakti. Tajā pašā laikā sistēma ņem vērā visu informācijas dzīves ciklu no tās parādīšanās brīža līdz tās pilnīgai iznīcināšanai vai nozīmes zaudēšanai uzņēmumam.

Lai nodrošinātu drošību un novērstu datu zudumu informācijas drošības nozarē, tiek izstrādātas aizsardzības sistēmas. Viņu darba pamatā ir sarežģītas programmatūras sistēmas ar plašām iespējām, kas novērš jebkādu datu zudumu.

Programmu specifika ir tāda, ka to pareizai darbībai ir nepieciešams salasāms un labi ieeļļots datu un dokumentu iekšējās aprites modelis. Visu soļu drošības analīze, izmantojot informāciju, balstās uz darbu ar datu bāzēm.

Informācijas drošības nodrošināšanu var veikt, izmantojot tiešsaistes rīkus, kā arī dažādos interneta resursos piedāvātos produktus un risinājumus.

Dažu šo pakalpojumu izstrādātājiem ir izdevies pareizi sastādīt informācijas drošības sistēmu, kas aizsargā pret ārējiem un iekšējiem apdraudējumiem, vienlaikus nodrošinot ideālu cenas un funkcionalitātes līdzsvaru. Piedāvātie elastīgie moduļu kompleksi apvieno aparatūras un programmatūras darbu.

Veidi

Informācijas drošības sistēmu darbības loģika ietver šādas darbības.

Paredzēt un ātri atpazīt apdraudējumus datu drošībai, motīvus un apstākļus, kas veicināja kaitējumu uzņēmumam un radīja neveiksmes tā darbā un attīstībā.

Radīt tādus darba apstākļus, kuros tiek samazināts bīstamības līmenis un kaitējuma iespējamība uzņēmumam.

Zaudējumu atlīdzināšana un identificēto bojājumu mēģinājumu ietekmes samazināšana.

Informācijas drošības rīki var būt:

tehnisks;
programmatūra;
kriptogrāfija;
organizatoriskā;
likumdošanas.

Informācijas drošības organizēšana uzņēmumā

Visi uzņēmēji vienmēr cenšas nodrošināt informācijas pieejamību un konfidencialitāti. Lai izstrādātu piemērotu informācijas aizsardzību, tiek ņemts vērā iespējamo apdraudējumu raksturs, kā arī to rašanās formas un metodes.

Informācijas drošības organizācija uzņēmumā tiek veikta tā, lai hakeris varētu saskarties ar daudziem aizsardzības līmeņiem. Rezultātā uzbrucējs nevar iekļūt aizsargātajā daļā.

Visefektīvākais informācijas aizsardzības veids ir kriptogrāfiski spēcīgs šifrēšanas algoritms datu pārraides laikā. Sistēma šifrē informāciju pati, nevis tikai piekļuvi tai, kas arī ir svarīga.

Informācijas piekļuves struktūrai jābūt daudzlīmeņu, saistībā ar kuru tai ir atļauts piekļūt tikai atlasītajiem darbiniekiem. Tiesībām uz pilnīgu piekļuvi visam informācijas apjomam vajadzētu būt tikai uzticamām personām.

Informācijas sarakstu, kas attiecas uz konfidenciāla rakstura informāciju, apstiprina uzņēmuma vadītājs. Par jebkādiem pārkāpumiem šajā jomā ir jāsoda ar noteiktām sankcijām.

Aizsardzības modeļus nodrošina attiecīgie GOST, un tie ir standartizēti ar vairākiem visaptverošiem pasākumiem. Pašlaik ir izstrādātas īpašas utilītas, kas visu diennakti uzrauga tīkla stāvokli un jebkādus informācijas drošības sistēmu brīdinājumus.

Ņemiet vērā, ka lēti bezvadu tīkli nevar nodrošināt nepieciešamo aizsardzības līmeni.

Lai izvairītos no nejaušas datu zuduma nepieredzējušu darbinieku dēļ, administratoriem ir jāvada apmācības. Tas ļauj uzņēmumam uzraudzīt darbinieku gatavību darbam un dod vadītājiem pārliecību, ka visi darbinieki spēj ievērot informācijas drošības pasākumus.

Tirgus ekonomikas atmosfēra un augstā konkurence liek uzņēmumu vadītājiem vienmēr būt modriem un ātri reaģēt uz jebkādām grūtībām. Pēdējo 20 gadu laikā informācijas tehnoloģijas ir spējušas ienākt visās attīstības, vadības un uzņēmējdarbības jomās.

No reālās pasaules bizness jau sen ir pārvērties par virtuālu, tikai atcerieties, kā tie kļuva populāri, kam ir savi likumi. Pašlaik virtuālie draudi uzņēmuma informācijas drošībai var nodarīt tam milzīgu reālu kaitējumu. Nenovērtējot problēmu, vadītāji riskē ar savu biznesu, reputāciju un uzticamību.

Lielākā daļa uzņēmumu regulāri cieš zaudējumus datu pārkāpumu dēļ. Uzņēmuma informācijas aizsardzībai jābūt uzņēmuma attīstības un darbības prioritātei. Informācijas drošības nodrošināšana ir panākumu, peļņas un uzņēmuma mērķu sasniegšanas atslēga.

Biznesa informācijas drošības nodrošināšana Andrianovs V.V.

1.3. Biznesa informācijas drošības modelis

1.3.1. Motivācija

Krievijas un pasaules prakse informācijas drošības (IS) regulēšanā nesenā pagātnē sastāvēja no valsts pilnvaroto institūciju obligātajām prasībām, kas tika izstrādātas RD vadlīniju veidā. Tāpēc augstākajai vadībai un organizāciju īpašniekiem bija tikai viena to ievērošanas problēma (atbilstība) un tikai viens veids, kā to atrisināt - kā izpildīt piedāvātās prasības ar minimālām izmaksām. Pilnvarotajām institūcijām bija sava problēma – gan visu iespējamo aktivitāšu veidu aptveršanas neiespējamības un to īstenošanas nosacījumu dēļ, gan būtisku atšķirību darbības mērķos, piedāvāt universālu prasību kopumu. Lai to izdarītu, informācijas drošības problēma tika uzskatīta par pašpietiekamu entītiju, kas ir nemainīga darbībai, mērķiem, apstākļiem, kā arī tika ievērojami samazināta saturā universāluma labad.

Abas pieejas (organizāciju un regulatoru) ir neadekvātas esošajai realitātei un pasniedz to būtiski sagrozītā formā. Tādējādi galvenie būtiskie IS darbību ierobežojumi ir saistīti ar tradicionālo IS modeli, kas paredz obligātu uzbrucēja klātbūtni, kurš cenšas sabojāt aktīvus (informāciju), un attiecīgi ir vērsts uz informācijas aizsardzību pret šāda subjekta darbībām. (priekšmetu grupa). Tajā pašā laikā incidentus, kas saistīti, piemēram, ar regulārām lietojumprogrammatūras izmaiņām, nevar attiecināt uz uzbrucēju. To iespējamie iemesli ir vāji attīstīta vadība un vāja tehnoloģiskā bāze. Pašas organizācijas (vadības, biznesa pamatprocesu) neatbilstība valdošajiem apstākļiem kopumā ir ļoti spēcīgs problēmu avots, kas tiek ignorēts, jo nav iespējams to saistīt ar uzbrucēju.

IS modeļu tālākā evolūcija bija saistīta ar īpašnieka (īpašnieka) lomas nostiprināšanos un nonāca pie tā, ka viņš pats (uz savu risku un risku) no viņam piedāvātā standarta aizsardzības pasākumu kopuma izvēlējās tos, viņam bija vajadzīgas, proti, tādas, kas, viņaprāt, spēj nodrošināt pieņemamu drošības līmeni. Tas bija būtisks solis uz priekšu, jo nodrošināja informācijas drošības piesaisti konkrētam objektam ar konkrētiem tā pastāvēšanas nosacījumiem, daļēji atrisinot ar informācijas drošības problēmas pašpietiekamību saistītās pretrunas. Taču nebija iespējams piedāvāt īpašniekam konstruktīvu mehānismu, izņemot objektu kataloga izveidi ar izvēlētiem tipiskiem aizsardzības pasākumiem (aizsardzības profiliem). Paši profili tika izveidoti, izmantojot ekspertu heiristisko metodi. Tajā pašā laikā tas, kādu risku īpašnieks uzņēmās, palika nezināms un tika noteikts praksē.

Tālākā evolūcija tika reducēta līdz tēzei, ka informācijas drošība var radīt (radīt) bojājumus darbības mērķiem, tāpēc informācijas drošības riski (kas palika pašpietiekami) ir jāsaskaņo (saista) ar organizācijas riskiem. Atlika tikai norādīt, kā tās sasaistīt un integrēt informācijas drošības pārvaldības sistēmu (ISMS) korporatīvajā vadībā nevis kā izolētu un neatkarīgu procesu sistēmu, bet gan kā neatņemamu, stipri saistītu vadības sastāvdaļu. Tas neizdevās. Tomēr šī pieeja labi uzlaboja vairākas IS novērtējuma kategorijas, tostarp IS riskus.

Ir zināmi arī pragmatiski IS modeļi, kas balstīti uz kopējo īpašuma izmaksu novērtējumu (attiecībā uz IS) un IS ieguldījumu "atdevi". Šīs pieejas ietvaros pēc mērķiem un darbības nosacījumiem līdzīgu organizāciju grupa periodiski izvērtē IS ieviešanas jomas un veido modeli, kas sastāv no grupas labās prakses. Tālāk katra no organizācijām atbilstoši savai atpalicībai no labākās prakses un saviem nosacījumiem (gadījumiem) nosaka investīciju virzienu un apjomu. Investīciju efektivitāte tiek vērtēta nākamajā periodā, samazinot zaudējumus no incidentiem, kas nonāca investīciju jomā un līdz ar to nav radījuši lielus zaudējumus.

Taču šī pieeja ar daudzām priekšrocībām prasa plašu sensitīvas informācijas apmaiņu, un apmaiņas dalībnieku interešu konflikts izslēdz jebkādu kvalitatīvu uzticības veidošanas pasākumu radīšanu, tāpēc tā netiek plaši izmantota.

Krievijas Federācijas Centrālās bankas standartā piedāvātais IS modelis vēl vairāk virzīja problēmu gan tās integrācijas ziņā (saistīta ar darbības mērķiem), gan "iebrucēja" būtības interpretācijas paplašināšanas ziņā. . Uzbrucējs ir cilvēks, kurš spēj stāties pretī īpašniekam un kuram ir savs mērķis, kuru viņš realizē, panākot kontroli pār organizācijas aktīviem.

Šī pieeja būtiski paplašina tos organizācijas kaitējuma veidus un avotus, kas ietilpst IS apsvērumu lokā, kur to risinājums ir visracionālākais. Tomēr tā lielākoties bija kompromisa pieeja un steidzami nepieciešama informācijas drošības problēmu turpmāka tuvināšana darbības gala rezultātam (ražotajam produktam). Mums ir vajadzīgs modelis, kas patiešām palīdz biznesam, tieši veicina tā darbību un nepieciešamos uzlabojumus, izveidojot un uzturot drošu un uzticamu informācijas sfēru, tostarp cīnoties pret iebrucējiem. Tikai šādu modeli var uztvert bizness. Jebkuru citu viņi noraidīs.

Šis teksts ir ievaddaļa. No grāmatas Applying Electronic Banking Technologies: A Risk-Based Approach autors Lyamin L. V.

5.4. Informācijas drošības adaptācija

autors Andrianovs V.V.

1. Biznesa informācijas drošības filozofija