ev-Maliyyə-Biznesin informasiya təhlükəsizliyinin təmin edilməsi. İnformasiya təhlükəsizliyi: özünüzü və müştərilərinizi necə qorumalısınız

Biznesin informasiya təhlükəsizliyinin təmin edilməsi. İnformasiya təhlükəsizliyi: özünüzü və müştərilərinizi necə qorumalısınız

Bilik bazasında yaxşı işinizi göndərin sadədir. Aşağıdakı formadan istifadə edin

Tədris və işlərində bilik bazasından istifadə edən tələbələr, aspirantlar, gənc alimlər Sizə çox minnətdar olacaqlar.

Biznesdə informasiya təhlükəsizliyi

Giriş

Qorunmalı məlumat

İnformasiya kimdən qorunmalıdır?

Məlumatların qorunması

Nəticə

Ədəbiyyat

Giriş

Bu günə qədər təhlükəsizlik problemi biznesdə ən aktual problemlərdən biridir. Lakin çox vaxt təhlükəsizlik dedikdə yalnız şəxsi heyətin və maddi sərvətlərin fiziki mühafizəsi başa düşülür. Amma bu yolla ancaq cinayətə qarşı durmaq olar. Bu arada, bazar münasibətlərinə girən hər hansı bir təşkilat kəskin problemlə üzləşir rəqabət istənilən sivil bazarda mövcuddur. Və bu mübarizə müəssisə üçün bir çox təhlükələrlə doludur. Əgər şirkət öz işində hər hansı bir uğur qazanıbsa, şübhəsiz ki, o, rəqabət aparan şirkətlərin böyük marağına səbəb olur. Şirkətin işi ilə bağlı istənilən məlumat onların diqqətini daha çox cəlb edəcək. Buna görə də, informasiya təhlükəsizliyi mühüm tərkib hissəsinə çevrilir müasir sistem biznes təhlükəsizliyi.

“İnformasiyaya sahib olan, dünyaya sahib olandır”. Bu həqiqət xüsusilə 21-ci əsrin astanasında, postindustrial dövrün informasiya əsri ilə əvəz olunduğu bir vaxtda aktuallaşır. Yeni əsrdə sual informasiya təhlükəsizliyi biznes daha da vacib olur.

Bu işin məqsədi biznesdə informasiya təhlükəsizliyinin mahiyyətini nəzərdən keçirməkdir.

Bu məqsədə uyğun olaraq qarşıya aşağıdakı vəzifələr qoyulmuşdur:

Qorunacaq məlumatların növlərini və mənbələrini müəyyən etmək;

Başqasının məlumatının maraqlı olduğu obyektləri müəyyən etmək;

İnformasiyanın qorunması üsullarını aşkar etmək.

Qorunmalı məlumat

İnformasiya təhlükəsizliyi problemini başa düşmək üçün üç suala cavab verəcəyik:

Hansı məlumatları qorumaq lazımdır?

Onu kimdən və nədən qorumalıyıq?

Məlumatı necə qorumalıyıq?

Bəs biz hansı məlumatı qorumalıyıq? İnformasiya təhlükəsizliyi sistemimizin effektivliyi əsasən bu sualın cavabını nə qədər düzgün müəyyən etməyimizdən asılıdır. İlk növbədə məlumatı qorumaq lazımdır: Gorokhov P.K. İnformasiya təhlükəsizliyi. - M.: Radio və rabitə, 2005.

Bunlar haqqında rəqabət üstünlüklərişirkətinə məxsusdur

İşinin texnologiyaları haqqında

Şirkətin pul və material hərəkəti haqqında

HAQQINDA strateji planlarşirkətlər

Yeni məhsullar haqqında.

Şirkətin fəaliyyətinin xarakterindən asılı olaraq obyektlərin siyahısı məlumatın qorunması genişləndirilə bilər. Beləliklə, əksər şirkətlər üçün məlumatları rəqiblərdən də gizli saxlamağın mənası var: Gorokhov P.K. İnformasiya təhlükəsizliyi. - M.: Radio və rabitə, .2005

Müştəriləriniz haqqında

Şirkətin kadrları haqqında.

Anlamaq lazımdır ki, müəssisə sahib olduğu bütün məlumatlardan uzaq olmalıdır, ancaq üçüncü şəxslər tərəfindən istifadə edilməsi şirkətin fəaliyyətinə zərər verə bilən məlumatlardan uzaq olmalıdır. Əksinə, elə məlumatlar da var ki, şirkətin sadəcə açıqlaması lazımdır. Deməli, qiymətlərimiz haqqında məlumatı rəqiblərdən qorumağın mənası yoxdur. Lakin məhsul, xammal və materialları aldığımız qiymətlər və şərtlərlə bağlı məlumatlar rəqiblərdən gizli saxlanmalıdır. Şirkətin həddindən artıq yaxınlığı potensial tərəfdaşlar, müştərilər və investorlar tərəfindən ona mənfi münasibət yarada bilər. Bu, xüsusən də yerləşdirməyi planlaşdıran firmalar üçün doğrudur qiymətli kağızlar. Bunun baş verməməsi üçün şirkət ilkin olaraq hansı məlumatları, hansı həcmdə və hansı müntəzəmliklə açıqlamalı olduğunu müəyyən etməlidir. Bu halda, siz məlumatların açıqlanmasının Qərb standartlarına diqqət yetirə bilərsiniz. Eyni standartlar Qiymətli Kağızlar Bazarı üzrə Federal Komissiya tərəfindən qiymətli kağızlar təklif edən şirkətlər üçün müəyyən edilmişdir. Açıqlanmalı olan məlumatlara aşağıdakılar daxildir: Müasir biznes: Etika, mədəniyyət, təhlükəsizlik. - M.: GPNTB, 2007.

İllik Maliyyə hesabatları(mühasibat balansı, mənfəət və zərər haqqında hesabat, pul vəsaitlərinin hərəkəti haqqında hesabat)

Səhmdar məlumatları

Əhəmiyyətli kapital əməliyyatları haqqında məlumatlar.

Açıqlana bilməyən məlumatlara gəldikdə isə, təşkilat onları məxfilik dərəcəsinə görə təsnif etməli və hər bir kateqoriya üzrə informasiya təhlükəsizliyi standartlarını hazırlamalıdır.

İnformasiya kimdən qorunmalıdır?

Müəssisə öz fəaliyyətində onun mühitini təşkil edən müxtəlif təşkilatlarla qarşılaşır. Bunlar: Rastorguev S.P. İnformasiya müharibəsi. - M .: Radio və rabitə, 2007. rəqib şirkətlər, müştərilər, tərəfdaşlar, vergi orqanları tənzimləyici orqanlar.

Yuxarıda qeyd edildiyi kimi, rəqiblər müxtəlif növ məlumatlara xüsusi maraq göstərirlər. Və şirkət üçün ən böyük təhlükə ilə dolu olan onların hərəkətləridir. Axı, bir şirkətin tutduğu bazar payı həmişə rəqiblər üçün dadlı bir parçadır və müxtəlif növ məlumatların, məsələn, buraxılmağa hazırlanan məhsulun xüsusiyyətləri haqqında sızma nəticəsində dəymiş ziyan düzəlməz ola bilər.

Tərəfdaşlara gəlincə, onların sizin şirkətiniz haqqında məlumatlara olan marağı, ilk növbədə, öz təhlükəsizlik mülahizələri ilə bağlı ola bilər. Buna görə də, onların şirkət haqqında səmərəli əməkdaşlıq üçün zəruri olan çərçivədən kənara çıxmayan məlumat alması üçün ən əlverişli şərait yaratmaq lazımdır. Burada onun vaxtında və tam şəkildə təqdim edilməsi və digər məlumatlara çıxışın məhdudlaşdırılması üçün onun hansı məlumat növü olduğunu dəqiq müəyyən etmək lazımdır.

Müştərilərin almaq istədiyi məlumatlar çox konkretdir. Bunlar: İnformasiya Cəmiyyəti: İnformasiya Müharibələri. İnformasiya idarəçiliyi. İnformasiya Təhlükəsizliyi / Ed. M. A. Vus. - M.: Sankt-Peterburq nəşriyyatı. un-ta, 2006. ümumi məlumatşirkət və məhsulları haqqında, şirkətin etibarlılığı haqqında məlumat, qiymətlər haqqında məlumat.

Müştərilər üçün bu cür məlumatların mümkün qədər əlçatan olmasını təmin etmək vacibdir. İnformasiyanın qorunmasından danışarkən başa düşmək lazımdır ki, “daxmadan zibil çıxarmaq” arzuolunmazdır. Ancaq eyni şey tərəfdaşlarla münasibətlərə də aiddir. Buna görə də, hansı şirkət daxili məlumatların açıqlana bilməyəcəyini dəqiq müəyyən etmək xüsusilə vacibdir.

Şirkətin vergi və tənzimləyici orqanlarla əlaqələri spesifikdir. Bu qurumların onlara məlumat verilməsi üçün öz spesifik tələbləri var. Onlarla münasibətlərdə onların tələblərinə tam əməl etmək, məlumatı vaxtında və tələb olunan həcmdə, lakin bu həcmi aşmamaq vacibdir. Bu zaman verilən məlumatın həm olmaması, həm də artıqlığı ən arzuolunmaz nəticələrə gətirib çıxara bilər.

Növbəti vacib məsələ, məlumatın nədən qorunmalı olduğunu başa düşməkdir. Təşkilatın sirrini təşkil edən məlumatlarla həyata keçirilə bilən arzuolunmaz hərəkətlər bunlardır: İnformasiya cəmiyyəti: İnformasiya müharibələri. İnformasiya idarəçiliyi. İnformasiya Təhlükəsizliyi / Ed. M. A. Vus. - M.: Sankt-Peterburq nəşriyyatı. un-ta, 2006. mühüm məlumatların məhv edilməsi, təhrif açıq məlumat, məxfi məlumatlara sahib olmaq, məxfi elektron məlumatın surətini çıxarmaq, şirkət tərəfindən tələb olunan məlumatlara girişi bağlamaq və ya məhdudlaşdırmaq, məhdudlaşdırılmış məlumatlara icazəsiz daxil olmaq.

İnformasiyanın mühafizəsi tədbirlərini nəzərdən keçirməzdən əvvəl şirkət haqqında lazımi məlumatları əldə etmək üçün hansı vasitə və üsullardan istifadə oluna biləcəyi üzərində dayanaq. İki var böyük qruplarİqtisadi kəşfiyyat və ya sənaye casusluğunun vasitələri və üsulları: İnformasiya təhlükəsizliyi: Proc. humanitar elmlər universitetləri üçün. və sosial-iqtisadi. ixtisaslar. - M.: Təcrübəçi. əlaqələr: Chronicler, 2007.

Xüsusi avadanlıqdan istifadə edərək məlumat toplamaq üsulları

İnformasiyanın fraqmentar toplanması üsulları.

Xüsusi avadanlıqların istifadəsi ilə əlaqəli sənaye casusluğuna aşağıdakılar daxildir: İnformasiya təhlükəsizliyi: Proc. humanitar elmlər universitetləri üçün. və sosial-iqtisadi. ixtisaslar. - M.: Təcrübəçi. əlaqələr: Chronicler, 2007.

Telefon danışıqlarına qulaq asmaq

Otaq dinləmələri

televiziya nəzarəti

Kompüter şəbəkəsinə müdaxilə

Monitorlardan məlumatların oxunması.

Bütün bu üsullar çox vaxt aparan və bahalıdır və yalnız böyük rəqiblər və hüquq-mühafizə orqanları tərəfindən istifadə edilə bilər. Bu cür hərəkətlərin həyata keçirilməsi yalnız bir mütəxəssis tərəfindən mümkündür, bu da belə hərəkətləri xüsusilə təhlükəli edir.

İnformasiyanın fraqmentli toplanması üsullarına aşağıdakılar daxildir: İnformasiya təhlükəsizliyi: Proc. humanitar elmlər universitetləri üçün. və sosial-iqtisadi. ixtisaslar. - M.: Təcrübəçi. əlaqələr: Chronicler, 2007.

Telefon kəşfiyyatı. Firma haqqında bir çox məlumatı telefonla, hansısa ağlabatan bəhanələrlə, məsələn, işgüzar əlaqələr qurmaq və ya statistik sorğu keçirməklə zəng etməklə əldə etmək olar. Əgər şirkət işçiləri hansı məlumatların açıqlanmaması barədə kifayət qədər məlumatlı deyillərsə, o zaman siz bilmədən vacib məlumatları sızdırmaq riski daşıyırsınız.

Saxta danışıqlar. Bu çox yayılmış metoddan istifadə edərək, rəqibləriniz özlərini, məsələn, sizin kimi təqdim edə bilərlər potensial müştərilər və ya tərəfdaşlar və ilkin danışıqlar zamanı onları ilkin yoxlamaya məruz qoymadığınız və onlara qarşı çox açıq olduğunuz halda, onları maraqlandıran çoxlu məlumat almaq. Müxtəlif sərgilər bu cür məlumatların əldə edilməsi üçün xüsusilə münbit zəmindir.

İşçilərin işə qəbulu. Rəqib şirkətdən mütəxəssisləri işə dəvət etmək bəzən onun fəaliyyəti haqqında çox şey öyrənməyə imkan verir. Bir şəxs, ədəb səbəbi ilə, onun haqqında sirr olan məlumat verməsə belə əvvəlki yer iş, onun biliklərinə, vərdişlərinə, davranışlarına görə rəqib bir şirkətin işi haqqında çoxlu nəticələr çıxarmaq olar. Bəzi şirkətlər də yüksək maaşla işçilərini “yalançı brakonyerlik” ilə məşğul olurlar. Çoxsaylı müsahibələrdə və müsahibələrdə, o, heç vaxt yeni bir iş tapmasa da, şirkəti haqqında çox şey öyrənə bilər.

Rəqibin heyətinə öz işçilərini təqdim etmək. Sənaye casusluğunun bu üsulu ən təhlükəlidir, çünki öz şəxsi başqasının komandasına daxil etməklə siz şirkət haqqında bu işçinin səlahiyyətlərinə aid olan hər hansı məlumatı öyrənə bilərsiniz. Şirkət daxili məlumatlara çıxışı məhdudlaşdırmaq üçün tədbirlər görmürsə, adi bir işçi şirkət haqqında demək olar ki, hər şeyi bilə bilər.

Beləliklə, biz biznesin informasiya təhlükəsizliyinin ən vacib məsələsinə gəldik - informasiyanı necə qorumaq olar?

Məlumatların qorunması

Ümumiyyətlə, biznesin informasiya təhlükəsizliyinin təmin edilməsi iki əsas vəzifənin həlli ilə bağlıdır: Stepanov E. A., Korneev I. K. İnformasiya təhlükəsizliyi və informasiyanın mühafizəsi. - M.: İNFRA-M, 2008.

İnformasiyanın bütövlüyünü və təhlükəsizliyini təmin etmək.

İnformasiyanın icazəsiz girişdən qorunması.

İnformasiyanın bütövlüyünü və təhlükəsizliyini təmin etmək üçün tədbirləri nəzərdən keçirin. Bir qayda olaraq, məlumat saxlanılır:

Kağız media

Elektron media.

Sənədlər adətən kağız üzərində saxlanılır. Sənədlərin nüsxələrinin sayı məhduddur, bəzən bir nüsxədə mövcud ola bilər. Sonra onların itkisi bərpanı qeyri-mümkün edəcək. Bunun baş verməməsi üçün bütün sənədlərin ciddi uçotunu aparmaq, onları müvafiq şəraitdə saxlamaq və onlara girişə nəzarəti təmin etmək lazımdır. Mümkünsə, məlumatların surətləri xüsusi təchiz olunmuş yerlərdə saxlanılmalı və saxlanılmalıdır. Eyni zamanda, orijinalların və nüsxələrin ayrı otaqlarda saxlanması vacibdir. Üstəlik, mümkünsə, nüsxələrlə işləmək və orijinalları gizli anbarlarda saxlamaq məsləhətdir. Bu, yanğın və ya oğurluq kimi gözlənilməz hallarda xüsusilə vacib ola bilər.

Hazırda elektron mediadan istifadənin genişləndirilməsi istiqamətində aydın tendensiya müşahidə olunur. Bir çox şirkətlərdə bütün sənədləşmə işləri burada aparılır elektron formatda. Şirkətlərin informasiya strukturunun tərkib hissəsi müxtəlif elektron məlumat bazalarıdır. Aktiv elektron media audio və video məlumatlar da saxlanılır. IN son illər hətta ödənişlər elektron şəkildə həyata keçirilir. Və eyni zamanda, məhv və zədələnmə baxımından ən həssas olan elektron informasiyadır. Məsələ burasındadır ki, elektron daşıyıcı çox da davamlı deyil və avadanlıqla düzgün işləmək informasiyanın təsadüfən məhv olmasına səbəb ola bilər. Digər böyük təhlükə son zamanlar geniş yayılmış kompüter viruslarıdır. Elektron məlumatı zədələnmədən və məhv olmaqdan qorumaq üçün istifadə olunan tədbirlər kimi onlar adətən istifadə edirlər: Stepanov E. A., Korneev I. K. İnformasiya təhlükəsizliyi və məlumatın mühafizəsi. - M.: İNFRA-M, 2008.

Yedek məlumat. Gündəlik həyata keçirilir və məlumatları bir gündən çox olmayan bir dərinliyə bərpa etmək imkanı verir. Gündəlik nüsxələr adətən kompüter şəbəkəsindən ayrı saxlanılır.

Lokal şəbəkədə lazımsız serverlərin mövcudluğu. Əsas server uğursuz olarsa, işləməyi dayandırmamağa imkan verir.

Fasiləsiz enerji təchizatının istifadəsi. Şirkətin kompüter şəbəkəsini elektrik şəbəkəsindəki problemlərlə bağlı məlumat itkisindən qorumağa imkan verir.

Məlumat arxivlərinin yaradılması. Bütün ən vacib məlumatlar arxivləşdirilir, çıxarıla bilən daşıyıcıda qeyd olunur və xüsusi təchiz olunmuş otaqda saxlanılır. Üstəlik, etibarlılığı artırmaq üçün bir neçə nüsxə hazırlanmalı və bir-birindən asılı olmayaraq saxlanılmalıdır. Media seçərkən, Xüsusi diqqət onun etibarlılığına və davamlılığına diqqət yetirin.

Antivirus qorunması. Kompüter şəbəkəsini virus hücumundan effektiv şəkildə qorumaq üçün kənardan gələn bütün fayllar nəzarət edilməlidir. Bunu etmək üçün, yerli şəbəkə iş stansiyalarında disk sürücülərini söndürmək və bütün xarici faylları müvafiq antivirus yoxlamasından sonra yalnız şəbəkə administratoru vasitəsilə yazmaq tövsiyə olunur. Təşkilatınızda disketlərdən istifadəni qadağan etməyiniz tövsiyə olunur. Ən böyük virus təhlükəsi internetdən istifadə ilə doludur. Antivirus mühafizə sistemini elə qurmaq lazımdır ki, internet vasitəsilə gələn bütün fayllar istifadə olunmazdan əvvəl yoxlanılsın. Yedəkləmədən əvvəl gündəlik profilaktik yoxlama aparmalısınız.

Giriş məhdudiyyəti. Əsas məlumatların təsadüfən zədələnməsinin və ya silinməsinin qarşısını almaq üçün və ya proqram təminatışirkətin lokal şəbəkəsinin hər bir istifadəçisinin yalnız ona lazım olan məlumatlarla çıxışını məhdudlaşdırmaq lazımdır. Məlumat istifadəçinin özündən qorunmalı olduqda, yalnız oxumaq üçün girişdən istifadə edilməlidir.

İndi məlumatları icazəsiz girişdən qorumaq üçün tədbirləri nəzərdən keçirin.

İnformasiya sızması ilə mübarizənin ən mühüm vasitəsi kadrlarla işdir. ən çox mərhələ kadr seçimidir. Bir şirkətdə işə müraciət edərkən təkcə biznesə deyil, həm də diqqət yetirilməlidir peşəkar keyfiyyətlər namizədlər və ilk növbədə, onların insani keyfiyyətləri - ədəb, dürüstlük, sədaqət. İşə qəbul edildikdən sonra mümkün məlumat sızmasının qarşısını almaq üçün vaxtaşırı işçilərin fəaliyyətinə gizli monitorinq aparmaq lazımdır. Həmçinin əlavə gəlir axtarışı və ya həddindən artıq ambisiya insanı müəssisənin sirlərini satmağa sövq edən belə halların qarşısını almaq üçün rəhbərliyin tabeçiliyində olan işçilərin problemlərindən daim xəbərdar olması zəruridir.

Bununla belə, müəssisə məlumatlara çıxışın məhdudlaşdırılması üçün aydın sistem hazırlamasa, bütün bu tədbirlər heç bir nəticə verməyəcək. Müəssisədə mövcud olan iyerarxiyadan asılı olaraq, hər bir işçinin ciddi şəkildə müəyyən edilmiş miqdarda məlumat əldə etmək imkanı olmalıdır. Bundan əlavə, rəsmi məlumat və kommersiya sirri ilə bağlı daxili müddəanın olması və hər bir sənədin məxfilik dərəcəsini dəqiq müəyyən etmək lazımdır.

İnformasiyanı arzuolunmaz girişdən qorumağın ən təsirli yolu informasiyanın parçalanmasıdır. Bu prinsip ondan ibarətdir ki, hər hansı bir işçi yalnız öz iş sahəsinə aid məlumatlara malik olmalıdır. Belə ki, istənilən məlumat işçilər arasında bölünür və heç bir məxfi məlumat bir şəxs üçün tam şəkildə əldə edilə bilməz. Nəticədə o, nə şüurlu, nə də şüursuz olaraq bütün sirri heç kimə çatdıra bilməz.

istifadə sənaye casusluq qarşı qorumaq üçün texniki vasitələr xüsusi vasitələrdən istifadə edilməlidir. Hal-hazırda, hər bir "böcək" üçün bir "anti-bug" var. Mütəmadi olaraq müvafiq yoxlamalar aparmaq, zəifliklərə daim nəzarət etmək vacibdir. Əgər binaya yaxşı işləyən giriş nəzarət sisteminiz varsa, sizə qarşı texniki casusluq vasitələrindən istifadə etmək imkanını əhəmiyyətli dərəcədə azalda bilərsiniz. Şirkət daxilində işçilərin və qonaqların bütün hərəkətlərinin uçotu və daxili və xarici televiziya nəzarəti sizi tam olaraq qorumayacaq, lakin bəzi hallarda sizə qarşı hərəkətlərin müəyyən edilməsinə və qarşısının alınmasına kömək edəcək. Və təbii ki, icazəsiz girişdən müdafiənin əsas obyekti elektron informasiyadır. Onun mühafizəsinin əsas üsulları bunlardır: Stepanov E. A., Korneev I. K. İnformasiya təhlükəsizliyi və informasiyanın mühafizəsi. - M.: İNFRA-M, 2008.

Giriş nəzarəti. Yuxarıda qeyd edildiyi kimi, hər bir işçi yerli şəbəkədə yalnız öz tapşırıqlarını yerinə yetirmək üçün lazım olan məlumatlarla işləməlidir. rəsmi vəzifələr. Bu, xüsusilə iri inteqrasiya olunmuş avtomatlaşdırılmış sistemlərdən istifadə edən təşkilatlara aiddir. Girişin ayrılmasına laqeyd yanaşma və ya onun düzgün tətbiq edilməməsi adi işçilərin şirkətin fəaliyyəti haqqında demək olar ki, bütün məlumatlara sahib olmasına səbəb ola bilər. Həmçinin şəbəkədə istifadəçilərin işini qeyd etmək və vaxtaşırı nəzarət etmək lazımdır.

Daxili kompüter şəbəkəsinin lokallaşdırılması. İnformasiya sızmasının qarşısını almaq üçün şəbəkədə disk sürücüsü və paralel portları olmayan kompüterlər quraşdırılmalıdır. Bu, şirkətin kompüterlərindən məlumatların yüklənməsini qeyri-mümkün edəcək.

Ən vacib kompüterlərin yerli şəbəkədən xaric edilməsi. İcazəsiz giriş ehtimalını azaltmaq üçün yalnız bir şəbəkəyə qoşulmuş kompüterləri yerli şəbəkəyə birləşdirmək tövsiyə olunur. texnoloji proses. Düzdür, bir qayda olaraq, belə kompüterlər çoxluq təşkil edir. Bununla belə, şirkət rəhbərlərinin öz müstəqil kompüterlərinə malik olmaları arzu edilir ki, onlara giriş yalnız özlərinindir.

İnternetlə işin lokallaşdırılması. Ümumdünya kompüter şəbəkəsi təkcə virus hücumları baxımından deyil, həm də hakerlik nöqteyi-nəzərindən bir çox təhlükələrlə doludur. kompüter şəbəkələri müəssisələr. Bunun baş verməməsi üçün müəssisənin daxili şəbəkəsini və interneti ayırmaq lazımdır. Aktiv kiçik firmalar ayrıca ayırmaq olar yerli kompüter World Wide Web-də işləmək. Bununla belə, üzərində böyük müəssisə işçilərin əksəriyyətinin internetdən istifadə etdiyi yerlərdə bu həmişə mümkün olmur. Bu halda, iş stansiyaları İnternetə girməzdən əvvəl kompüterin yerli şəbəkədən ayrıldığı rejimə qoyulmalıdır.

Məlumatın şifrələnməsi. Bu üsul əsasən modem vasitəsilə məlumat ötürərkən istifadə olunur telefon xətləri, belə məlumatların üçüncü şəxslər tərəfindən tutulması ehtimalı olduğundan. Hal-hazırda sertifikatlaşdırılmış kriptoqrafik proqramlar mövcuddur və siz hər hansı daimi elektron məlumat ötürmə kanallarından istifadə edirsinizsə, onlardan istifadə edilməlidir.

Elektron rəqəmsal imza. Modem üzərindən ötürülən məlumatların etibarlılığını təmin edir. Ötürülmüş məlumatın qəsdən təhrif edilməsinə qarşı qorunma kimi xidmət edir. Hazırda sertifikatlaşdırılmış proqramlar var rəqəmsal imza müxtəlif dərəcədə qorunma ilə. Elektron ödənişlərdən istifadə zamanı və artan məxfilik mesajlarının ötürülməsi zamanı bu cür vasitələrdən istifadə xüsusi əhəmiyyət kəsb edir.

Nəticə

Təsvir edilən bütün tədbirlər bir-birindən ayrı tətbiq edilməməlidir. İnformasiyanın effektiv mühafizəsini təmin etmək üçün müəssisənin informasiya təhlükəsizliyi sistemini hazırlamaq lazımdır. Yalnız kombinasiyada görülən bu tədbirlər biznesinizi arzuolunmaz itkilərdən etibarlı şəkildə qoruya bilər. Hər bir təşkilatın özünəməxsus xüsusiyyətləri var və buna görə də informasiya təhlükəsizliyi sisteminin öz strukturu olmalıdır. Onun seçiminin düzgünlüyü bu problemlə məşğul olan işçilərin və şirkət rəhbərlərinin peşəkarlığından asılıdır. Belə bir sistemin ən vacib komponenti "zəif nöqtələrin" müntəzəm təhlili və mümkün problemlərin qarşısını almaq üçün lazımi tədbirlərin görülməsi olmalıdır.

Sonda qeyd etmək istəyirəm ki, informasiya təhlükəsizliyi sistemini yaradarkən, bir tərəfdən, xəsislik etməmək vacibdir, çünki itkilər ölçüyəgəlməz dərəcədə çox ola bilər, digər tərəfdən isə onu aşmaq olmaz. lazımsız yalançı qoruyucu tədbirlərə pul atmamaq və keçidi çətinləşdirməmək informasiya axınları. Təhlükəsizlik heç vaxt çox deyil, lakin biz bunu heç vaxt unutmamalıyıq əsas məqsəd təhlükəsizlik sistemləri - təşkilatın etibarlı və fasiləsiz fəaliyyətinin təmin edilməsi.

Ədəbiyyat

1. Gorokhov P. K. İnformasiya təhlükəsizliyi. - M.: Radio və rabitə, 2002.

2. İnformasiya təhlükəsizliyi: Proc. humanitar elmlər universitetləri üçün. və sosial-iqtisadi. ixtisaslar. - M.: Təcrübəçi. əlaqələr: Chronicler, 2007.

3. İnformasiya cəmiyyəti: İnformasiya müharibələri. İnformasiya idarəçiliyi. İnformasiya Təhlükəsizliyi / Ed. M. A. Vus. - M.: Sankt-Peterburq nəşriyyatı. un-ta, 2006.

4. Rastorquev S. P. İnformasiya müharibəsi. - M.: Radio və rabitə, 2005.

5. Müasir biznes: Etika, mədəniyyət, təhlükəsizlik. - M.: GPNTB, 2004.

6. Stepanov E. A., Korneev I. K. İnformasiya təhlükəsizliyi və məlumatın mühafizəsi. - M.: İNFRA-M, 2008.

Oxşar Sənədlər

    Linux ƏS-nin strukturu və xüsusiyyətləri, onun inkişaf tarixi. İnformasiya təhlükəsizliyi: konsepsiya və normativ sənədlər, informasiya sızmasının istiqamətləri və onun mühafizəsi. İnformasiya təhlükəsizliyi sisteminin yaradılmasının hesablanması və onun effektivliyinin öyrənilməsi.

    kurs işi, 24/01/2014 əlavə edildi

    İnformasiya sızmasının əsas kanalları. Məxfi məlumatların əsas mənbələri. İnformasiyanın mühafizəsinin əsas obyektləri. İnformasiya təhlükəsizliyi sisteminin inkişafı və təkmilləşdirilməsi üzrə əsas iş. Rusiya Dəmir Yollarının informasiya təhlükəsizliyinin qorunması modeli.

    kurs işi, 09/05/2013 əlavə edildi

    İnformasiya təhlükəsizliyinin təmin edilməsi müasir Rusiya. İnformasiyanın sahiblərinə və ya istifadəçilərinə zərər vuran təsadüfi və ya qəsdən müdaxilədən qorunması üsullarının təhlili. oxuyur hüquqi dəstək informasiya təhlükəsizliyi.

    test, 26/02/2016 əlavə edildi

    İnformasiya təhlükəsizliyinin xüsusiyyətləri və xüsusiyyətləri, məlumatın və onu dəstəkləyən infrastrukturun hər hansı təsadüfi və ya zərərli təsirlərdən qorunması kimi başa düşülür. İnternetdə informasiya təhlükəsizliyi. Antivirus xüsusiyyətləri.

    test, 24/02/2011 əlavə edildi

    İnformasiya təhlükəsizliyi anlayışı, anlayışı və təsnifatı, təhlükələrin növləri. İnformasiyanın təsadüfi təhlükələrdən, icazəsiz müdaxilə təhlükələrindən qorunması vasitələri və üsullarının təsviri. İnformasiyanın qorunmasının kriptoqrafik üsulları və firewall.

    kurs işi, 30/10/2009 əlavə edildi

    İnformasiya təhlükəsizliyinə xarici təhdidlər, onların təzahür formaları. Sənaye casusluğundan qorunma üsulları və vasitələri, onun məqsədləri: rəqib haqqında məlumat əldə etmək, məlumatı məhv etmək. Məxfi məlumatlara icazəsiz daxil olma yolları.

    test, 09/18/2016 əlavə edildi

    İnformasiya təhlükəsizliyinin təmin edilməsi konsepsiyası və əsas prinsipləri. Təhlükəsizlik anlayışı avtomatlaşdırılmış sistemlər. Rusiya Federasiyasının informasiya təhlükəsizliyi və məlumatların mühafizəsi, lisenziyalaşdırma və sertifikatlaşdırma prosesləri sahəsində qanunvericiliyinin əsasları.

    mühazirələr kursu, 04/17/2012 əlavə edildi

    İnformasiya təhlükəsizliyinə zərər verə biləcək hərəkətlərin kateqoriyaları, onun təmin edilməsi üsulları. Firmanın əhatə dairəsi və təhlili maliyyə göstəriciləri. Şirkətin informasiya təhlükəsizliyi sistemi və onun modernləşdirilməsi üçün tədbirlər kompleksinin hazırlanması.

    dissertasiya, 09/15/2012 əlavə edildi

    İnformasiya təhlükəsizliyinin məqsədləri. Rusiya üçün əsas informasiya təhdidlərinin mənbələri. üçün informasiya təhlükəsizliyinin əhəmiyyəti müxtəlif mütəxəssislərşirkət və maraqlı tərəflər baxımından. İnformasiyanın qəsdən informasiya təhdidlərindən qorunması üsulları.

    təqdimat, 27/12/2010 əlavə edildi

    İnformasiya təhlükəsizliyi anlayışı, mənası və istiqamətləri. İnformasiya təhlükəsizliyinin təşkilinə sistemli yanaşma, məlumatın icazəsiz girişdən qorunması. İnformasiyanın mühafizəsi vasitələri. İnformasiya təhlükəsizliyinin üsulları və sistemləri.

Heç bir şey biznesə bu qədər ucuz verilmir və korporativ məlumatların qorunması sistemindəki səhvlər qədər baha başa gəlmir. Başqalarının təhlükəsizlik səhvlərindən öyrənmək daha yaxşıdır.

Kiberhücumlar və DLP-sistemlər

2010-cu ildə işçi HSBC- banka , dünyanın ən etibarlı əlli bankından biri işdən çıxarıldıqdan sonra özü ilə 15 min müştərinin (əsasən İsveçrə və Fransadan) təfərrüatlarını götürdü. Bu, səmərəsiz təhlükəsizlik sistemini əvəz etmək üçün banka 94 milyon dollara başa gəlib.

Hücum edən kibercinayətkarlar tərəfindən hörmətli vətəndaşlara daha çox ziyan dəyib Twitter-hesab Associated Press. Oğrular qısaca “civildədilər”: “Ağ Evdə iki partlayış oldu, Barak Obama yaralandı”. indeks Dow Jones 150 bənd aşağı düşüb, mavi çiplər isə ümumi kapitallaşmalarını 200 milyard dollar azaldıb.Lakin təkzibin ortaya çıxmasından sonra çaxnaşma dayanıb və indeks əvvəlki dəyərinə qayıdıb. Lakin qiymətləri aşağı sürünərək səhmləri boşaltmağa tələsənlər kifayət qədər yandı. Hackə görə məsuliyyəti müəyyən "Suriya Elektron Ordusu" öz üzərinə götürüb. Lakin bunun sırf iqtisadi təxribat olmadığını dəqiq söyləmək mümkün deyil. Vaxt çox dəqiq idi: Boston Marafonu partlayışından dərhal sonra.

Aktiv Dünya İqtisadi Forumu korrupsiya, demoqrafik böhran, tükənmə kimi dünya iqtisadiyyatı üçün qlobal risklər arasında təbii sərvətlər, kiberhücumlar da tarixdə ilk dəfə olaraq adlandırıldı. Həm şirkətləri, həm də dövlət qurumlarını gözləyən təhlükələr həm xarici, həm də daxili ola bilər. Əslində kiberhücumlar xarici təhlükədir. Daxili təhdidlər mütləq pis niyyətin nəticəsi deyil. Kifayət qədər sadiq, lakin İT sahəsində səriştəsiz işçilər təsadüfən investisiya qoya bilər e-poçt zərərli proqram, səhvən silin istədiyiniz qovluq, troyanlarla dolu bir sayta girin. Nəticədə, şirkət üçün vacib olan məlumatlar ya izsiz yoxa çıxa, ya da bəşəriyyəti qlobalizmdən və kapitalizmin, totalitarizmin və s.-in digər bəlalarından xilas etmək ideyalarına aludə olan rəqiblərin və ya bəzi “ədalət uğrunda mübarizlərin” əlinə keçə bilər. Statistikalar göstərir ki, şirkətlər ən çox öz işçilərindən zərər çəkirlər.

Kompüter təhlükəsizliyi problemi Amerika şirkəti kimi ortaya çıxdı Eckert Mauchly Kompüter Korporasiyası 1951-ci ildə ilk kütləvi istehsal edilmiş kompüteri buraxdı UNIVAC I. Uzun müddət bu problem daha çox nəzəri xarakter daşıyırdı. İnternetin ixtirası və Ümumdünya Şəbəkəsinin partlaması ilə hər şey dəyişdi.

Kibercinayətkarlıqla mübarizə üçün tamamilə yeni bir sənaye tələb olundu. Hər il rus və xarici şirkətlər getdikcə daha çox yeni antiviruslar, kriptoqrafik proqramlar, fişinq və ddos ​​hücumlarının qarşısını alan məhsullar və s. buraxırlar. Proqramlar daim təkmilləşdirilir, onların yeni növləri meydana çıxır. Xüsusilə, nisbətən yaxınlarda informasiya təhlükəsizliyi vasitələri bazara daxil olmuşdur DLP-sistemlər ( Məlumat sızmasının qarşısının alınması) korporativ şəbəkələrdən məlumat sızmasının qarşısını alan.

Tam və tam funksional DLP sistemi aşağıdakı xüsusiyyətlərə malikdir:

  • potensial məlumat sızmasının bütün kanallarına ümumi və daimi nəzarət;
  • məxfi məlumatların olması üçün korporativ şəbəkədən kənara çıxan bütün trafikin təhlili;
  • təkcə korporativ məxfi məlumatlara deyil, həm də təhqiramiz ifadələrə, ədəbsiz videolara, habelə bu və ya digər səbəbdən korporativ imicinə mənfi təsir göstərən poçt siyahılarına aid olan məxfi məlumatların ötürülməsini bloklamaq;
  • arzuolunmaz və zərərli məlumatların qəbulunu bloklamaq;
  • meydana gələn hadisələri araşdırmaq üçün ələ keçirilən icazəsiz trafikin arxivləşdirilməsi.

Qeyd etmək lazımdır ki, DLP sistemləri antiviruslar, kriptoqrafik proqramlar, yüksək dərəcədə istifadəçi identifikasiyasına malik elektron kilidlər və s. kimi əvvəlki məhsul kateqoriyalarının aktuallığını ləğv etmir. Bununla belə, bütün bu alətlər son 2-3 ildə daha həssas olub. Bunun səbəbi iki qlobal İT tendensiyasıdır: genişlənmə mobil cihazlar və bulud hesablamaları.

Yeni zəifliklər

Hazırda rusiyalıların əlində 50 milyona yaxın mobil cihaz var - smartfonlar, planşetlər, netbuklar, noutbuklar və s.Bu il bu rəqəm daha 12 milyon artacaq, 2015-ci ilə qədər isə 70 milyonu keçəcək.Proqnozlara görə. analitik şirkət Beynəlxalq Məlumat Korporasiyası, mobil cihazları internetə çıxış tezliyi baxımından aşacaq fərdi kompüterlər artıq yaxın aylarda.

Və bütün bu qurğular həm korporativ şəbəkənin özü, həm də orada saxlanılan məxfi məlumat üçün potensial zəifliklər yaradır. Hakerlər indi OS ilə işləyən smartfonlar üçün böyük bir moda zərərverici proqramdır Android. İşçilər işdə, evdə, tətildə və nəqliyyatda smartfonlardan istifadə etdikləri üçün korporativ şəbəkənin bir hissəsi olan serverlərin yoluxma ehtimalı kəskin şəkildə artır.

Başqa bir təhlükə var. Britaniya əks-kəşfiyyatının Mİ-5-in ya saxta, ya da həddən artıq işləyən əməkdaşlarının məxfi məlumatlar olan noutbuklarını ən uyğun olmayan yerlərdə - metroda, taksidə, kafedə itirdiyi ən azı üç hal var. Bir smartfonu itirmək noutbukdan daha asandır.

Ofisin “total səfərbərliyi” ilə mübarizə aparmaq əbəsdir. Və bu sərfəli deyil: nəhayət, smartfonlar və planşetlər sayəsində işçilər evdə və ya tətildə işləyə bilərlər. görə "Kaspersky Laboratoriyası" indi bütün şirkətlərin işçilərinin yalnız dörddə biri üçün iş yerində mobil cihazlardan istifadə etmək qəti qadağandır. Smartfon sahiblərinin 34%-nin, planşetlərin 38%-nin, noutbukların 45%-nin korporativ resurslara tam çıxışı var. Qalanları üçün müxtəlif səviyyəli giriş məhdudiyyətləri tətbiq edilib.

Dövrdə informasiya təhlükəsizliyini necə təmin etmək olar mobil internet və bulud hesablama? Tapşırıq asan deyil. Axı, iş stansiyaları və korporativ şəbəkə serverləri eyni OS altında işləyir ( Windows və ya Unix), onların təhlükəsizliyi sistemə daxil edilmiş vasitələrlə dəstəklənir. Mobil qurğular isə nəinki öz əməliyyat sistemlərindən istifadə edir, həm də effektiv qorunma vasitələrinə malik deyillər, çünki onlar korporativ istifadə üçün deyil, fərdi cihazlar kimi düşünülmüşdür. Mobil cihazın yerini və əlaqə mənbəyini, eləcə də kimin əlində olduğunu təşkilati üsullarla idarə etmək mümkün olmaması vəziyyəti daha da ağırlaşdırır.

Adətən bu problemlər həll olunur proqram vasitələri sistemin qoruyucu konturunun gücləndirilməsi, korporativ təhlükəsizlik sisteminin bütün çeşidli mobil cihazlara uyğunlaşdırılması və onlara lazımi qoruyucu proqramların quraşdırılması ilə. Bununla belə, başqa bir yol da mümkündür - işçilərə korporativ təhlükəsiz planşet və smartfonlar vermək.

Kompüter təhlükəsizliyi alətlərinin yerli istehsalçısı "Təhlükəsizlik kodu" planşet buraxdı "Continent T-10", Android 4 ilə işləyir və həm planşetin özünün, həm də təhlükəsiz şlüz vasitəsilə qoşulduğu korporativ sistem proqramlarının təhlükəsiz uzaqdan idarə edilməsi üçün bütün zəruri alətlərlə təchiz olunub. Bu mobil cihaz korporativ təhlükəsizlik sisteminə tam inteqrasiya olunub və heç bir əlavə uyğunlaşma tədbiri tələb etmir.

Bulud hesablamaları da ciddi problemlər yaradır. Rusiya bazarı bulud xidmətləri artıq 150 milyon dollarlıq illik dövriyyəni keçib və hər il 50% artır. Eyni zamanda, bazarın böyük hissəsi özəl buludların, yəni korporasiya daxilində yaradılanların üzərinə düşür. Şəxsi buludlar informasiya təhlükəsizliyi baxımından sərt konfiqurasiya edilmiş korporativ şəbəkələrdən əhəmiyyətli dərəcədə fərqlənir. Və tələb öz vəsaitləri müdafiə.

Hökmdar tərəfindən

Rusiyanın informasiya təhlükəsizliyi bazarı sürətlə inkişaf edir və artıq 600 milyon dolları ötüb.Bazarın 15%-nə ən böyük beş oyunçu nəzarət edir: Asteros, Croc, Informzashchita, Leta"Jet Infosystems". Dünya bazarına gəlincə, illik 30% artımla onun həcmi 1 milyard dollara yaxınlaşıb.Beynəlxalq liderlər arasında belə nəhənglər var. Symantec, McAffee, TrendMicro, Check Point, Cisco Systems.

Həm Rusiya, həm də Qərb istehsalçıları qərar verirlər ümumi vəzifələr oxşar məhsullar istehsal edir. Məlumatın mövcud təhlükələrin tam spektrindən qorunmasına zəmanət vermək üçün korporativ şəbəkələrin fəaliyyətinin təkcə texniki deyil, həm də insan amili ilə bağlı psixoloji aspektlərini nəzərə alan inteqrasiya olunmuş yanaşma tələb olunur. Ən yaxşı nəticələr bütün informasiya mühafizəsi məhsullarından istifadə edildikdə əldə edilir: antiviruslar, firewalllar, antispam, kriptoqrafik alətlər, məlumat itkisinin qarşısının alınması sistemləri və s. Sistemin qoruyucu dövrəsinin bir dəfə pozulması gözlənilməz zərərə səbəb ola bilər.

Ancaq hər bir yerli istehsalçı bütün məhsul xəttini təklif etmir. Müxtəlif ideologiyalara malik müxtəlif məhsulların istifadəsi mürəkkəb nəzarət sxemlərinin yaradılmasını tələb edəndə “sistemlərin zooparkı” adlanan vəziyyət yaranır. İstisna hallarda bu, sistemin uğursuzluğuna səbəb ola bilər.

Buna görə də, təhlükəsizlik sistemini seçərkən, yalnız funksionallıq və miqyaslılığın tamlığı ilə deyil, həm də onun bütün komponentlərinin konsepsiyasının vəhdətindən asılı olan idarə oluna bilənliyi rəhbər tutmaq lazımdır. Rus satıcılarından bu tələb, məsələn, ən geniş məhsul xəttinə malik olan Təhlükəsizlik Məcəlləsi ilə təmin edilir. Onun "kesinsiz" texnologiyadan istifadə etməklə quraşdırılan məhsulları bütün təhlükəsizlik sistemlərinin vahid nəzarət nöqtəsindən hadisələri tez izləməyə imkan verir.

Burada, təbii ki, birmənalı olmayan münasibət ola bilər... Bəlkə də, bunu aydınlaşdırmaq lazımdır - müəssisənin sirlərinə bələd olan işçinin məlumatı tərəfə sızdırması ehtimalı minimal olmalıdır. Bu da informasiya təhlükəsizliyi konsepsiyasının bir hissəsidir.
Digər maraqlı fakt odur ki, informasiya landsknecht bir peşəkar kimi öz ustasını dəyişə bilər. Etika və maddi tərəf həmişə uyğun gəlmir. Üstəlik, bu bir şeydir - ölkənin təhlükəsizliyinə gəldikdə, başqa bir şey - bir insanın mücərrəd mühafizəsi zamanı. qurum, bu, tankın altına atılmayacağı bir fakt deyil. Mən də belə halları müşahidə etmişəm... Layiqli və hörmətli adamlar bəzən ... (yaxşı, gölməçədə-filanda - necə yumşaq desək?) başa çatırdılar. Amma! Onların arxasında bir ailə var! Və sonra ən sürüşkən anlayışın - "borc"un prioritetliyi məsələsi həll olunur - kimin daha çox borcu var - ailəyə, yoxsa müəssisəyə? Müəssisəyə görə ailə əziyyət çəkməlidir? Bu isə, axır ki, bir çox ailələrin dağılmasının, uşaqların gözündə həsrətin yaranmasının səbəbidir – “...və yadımdadır, qovluqla beləyik!...” Dramatikləşdirmirəm – yadımdadır. bir az əvvəl olan vaxtları və gələcək proqnozları aylar və illər ilə müqayisə edin. Düşünürəm ki, paralellər aparmağa dəyər - cinayətin səviyyəsinin artması, sövdələşmə, informasiya təxribatçılarının yetişdirilməsi və s.
Beləliklə, əslində Denis bu konfransda çox vacib bir mövzu qaldırdı və bu, daha dərin təhlükəsizlik məsələləri ilə bağlı müzakirəyə çevrildi.
Bu həftə mənim "Təhlükəsizlik Nəzəriyyəsi" kitabım sınaq nəşrində dərc edilməlidir, bəzi fəsillərin elanları bizim "Kadrların rentgenoqrafiyası"mızda - http://www.absg.ru/test - harada mən informasiya müharibələri, təhlükəsizlik anlayışlarının qarşıdurması, təhlükəsizlik sistemlərində şəxsiyyətlərin əhəmiyyəti və s. məsələləri nəzərdən keçirin. Təəssüf ki, nəşriyyatın şərtlərinə uyğun olaraq, mən bu kitabı müəyyən müddətə sərəncam vermirəm, ona görə də icazə istəyəcəyəm. hörmətli həmkarlar tərəfindən nəzərdən keçirilməsi və mühakimə olunması üçün ən azı bir fəsli tam şəkildə yerləşdirin.
Aleksandru T:
“Baxmayaraq ki, konsepsiya peşəkar etika mənim üçün "boş səs" deyil:
İskəndər! Əslində özünü müəyyən kasta hesab edə bilən insanların olduğunu bilmək çox xoşdur. Dözülməz insanların kastası. Bu keyfiyyət ədalət və əxlaq anlayışları ilə ən yaxşı şəkildə birləşdirilməlidir.
Əgər Hörmətli həmkarlar işə baxılmayacaq - zəhmət olmasa 2 linkə baxın -
http://train.absg.ru/?p=19 - bütün vətəndaşlar üçün riayət etməyi və ən azı onun əsas prinsiplərinə riayət etməyi, onların hərəkətlərini mənəviyyat baxımından təhlil etməyi təklif etdiyimiz əxlaq kodeksi. Və
http://www.absg.ru/5mln multimedia versiyaları bölməsində - İnsan hüquqları bəyannaməsini və konstitusiyanı şərh etməkdən azad oldum. Təəssüf ki, jurnalın mətnindən başqa heç bir şəkildə mətn versiyasını tapa bilmirəm.
Bağışlayın, bu, bir qədər mövzudan kənar ola bilər - sadəcə olaraq, nədənsə peşəkar etika ilə bağlı ifadə ruhumda bir şeyə toxundu ... Əgər ətrafa baxsanız - ... amma nə deyə bilərəm - indi qızıla dəyər və dərinliklərdə qızıl qum kimi yer üzünə səpələnən taxıllar kimi!..

İş yerində sizi hansı informasiya təhlükəsizliyi risklərinin gözlədiyi barədə danışmazdan əvvəl özümü təqdim etmək istəyirəm: mənim adım Kamilə İosipovadır. Mən ICL Services İT şirkətində baş informasiya təhlükəsizliyi meneceriyəm, 5 ildir ki, bu təşkilatda işləyirəm. Mən həm də sertifikatlı auditoram informasiya sistemləri CISA (ISACA sertifikatı, Certified Information Systems Auditor deməkdir).

2018-ci ildə şirkətlərdə məlumatların pozulmasının həcmi 5% artıb. İnsan faktoru informasiya təhlükəsizliyi insidentlərinin əsas səbəblərindən biridir. Diqqətsizlik, diqqətsizlik, motiv, niyyət - şirkətlərinizin işçilərinin bilərəkdən və ya bilməyərəkdən işi dibinə gətirə biləcək səbəblərdir. Özünüzü və müştərilərinizi necə qorumalı, işçilər arasında məlumatlarla işləmək mədəniyyətini inkişaf etdirmək üçün nə etməli və bu halda hansı üsulları tətbiq etməli, daha ətraflı danışacağam.

İnformasiya təhlükəsizliyi sahəsində işlərin qurulması planı

Qlobal nəzər salsanız, görə bilərsiniz ki, informasiya təhlükəsizliyi sahəsində müəyyən nümunə müşahidə oluna bilər: informasiya təhlükəsizliyinə diqqət böyük ölçüdə şirkətin fəaliyyətindən asılıdır. Məsələn, in dövlət orqanları və ya bankçılıq daha sərt tələblər var, buna görə də işçilərin təliminə daha çox diqqət yetirilir, bu da məlumatlarla işləmək mədəniyyətinin daha çox inkişaf etməsi deməkdir. Lakin bu gün hər kəs bu problemə diqqət yetirməlidir.

Beləliklə, sizə informasiya təhlükəsizliyi sahəsində işinizi yerinə yetirməyə kömək edəcək bir neçə praktik addımı təqdim edirik:

1 addım. Dizayn və həyata keçirmək ümumi siyasətşirkətin əsas prinsiplərini, informasiya təhlükəsizliyinin idarə edilməsi sahəsində məqsəd və vəzifələri özündə əks etdirən informasiya təhlükəsizliyi.

2 addım. Təsnifat siyasətini və məxfilik səviyyələrini daxil edin.

Eyni zamanda, işçinin 24/7 çıxışı olacaq bir sənəd yazmaq deyil, həm də müxtəlif təlim tədbirləri keçirmək və edilən dəyişikliklərdən danışmaq lazımdır. Qaydaya sadiq qalın: qabaqcadan xəbərdar edilir. Qoy şirkət aparsın Tam iş vaxtı bu istiqamətdə.

3 addım. Proaktiv bir yanaşma inkişaf etdirin.

Bu tibbdə profilaktika kimidir. Razılaşın, qabaqcıl bir xəstəliyi müalicə etməkdənsə, profilaktik müayinədən keçmək daha ucuz və asandır. Məsələn, şirkətimizdə proaktiv yanaşma belə işləyir: kommersiya layihələrində məlumatla işləmək üçün biz layihələrdə İS proseslərinin müəyyən bir yetkinlik səviyyəsini təmin etmək üçün lazımi minimum İS tələblərini özündə əks etdirən İS idarəetmə standartını hazırlamışıq. kommersiya layihəsidir. O, təhlükəsizlik idarəetmə prosesinin müəyyən bir yetkinlik səviyyəsini saxlamaq üçün nə edilməli olduğunu təsvir edir. Biz bu standartı layihələrdə tətbiq etmişik və indi hər il daxili auditlər keçiririk: layihələrin bu tələblərə necə uyğun olduğunu yoxlayırıq, İS risklərini müəyyənləşdiririk və ən yaxşı təcrübələr digər layihə menecerlərinə də kömək edə bilər.

Auditlərə əlavə olaraq Bilik mübadiləsi yaxşı işləyir. Layihələrdən birində "ildırım vurdu"sa, qalanların bu barədə bilməsi və lazımi tədbirlər görməyə vaxt tapması yaxşıdır.

4 addım. Qaydaları izah edən bütün sənədləri hazırlayın: strukturlaşdırılmış, aydın və qısa.

Təcrübə göstərir ki, heç kim çox səhifəli uzun mətnləri oxumur. Sənəd yazılmalıdır sadə dil. Həmçinin, o, biznes məqsədlərinə uyğun olmalı və yüksək rəhbərlik tərəfindən təsdiqlənməlidir - bu, işçilər üçün bu qaydalara nə üçün əməl edilməli olduğu daha güclü arqument olacaqdır.

5 addım. Təlimlər, söhbətlər aparmaq, iş oyunları və s.

Çox vaxt insanlar müəyyən qaydaların onların xüsusi işi ilə necə əlaqəli olduğunu başa düşmürlər, buna görə də nümunələr vermək, izah etmək, necə tətbiq edə biləcəklərini göstərmək lazımdır. Burada biznesin itirilməsinə qədər nəticələrini və cinayət məsuliyyətinə qədər işçini hansı konkret nəticələrin gözlədiyini göstərmək vacibdir.

Yuxarıda göstərilənlərin hamısını şirkətdə həyata keçirmək üçün həm maddi, həm də insan resursları lazımdır. Buna görə də, indi bir çox şirkətlərdə İnformasiya Təhlükəsizliyi Direktoru (CISO) vəzifəsi görünməyə başladı. Bu mövqe sayəsində biznes liderlərinə istənilən qərarların təşviq edilməsinin vacibliyini çatdırmaq, vəsait ayırmaq və s. CISO bütün səviyyələrdə şirkətdə informasiya təhlükəsizliyini təşviq etməyə qadirdir.

Onun üzərinə götürdüyü vəzifələr genişdir: yüksək rəhbərliklə ünsiyyət, müəyyən qərarların əsaslandırılması, bütün sahələrdə təhlükəsizliyin həyata keçirilməsi üçün proses sahibləri ilə ünsiyyət. Kibertəhlükələr nöqteyi-nəzərindən o, idarə edərkən, kibertəhlükələrə cavab strategiyalarını müəyyənləşdirərkən və hücumlara cavab vermək üçün işləri koordinasiya edərkən əlaqə nöqtəsidir.

İşçilərin təlimi: çətin, uzun, lakin zəruridir

Ancaq insanlara müəyyən qaydaları öyrətməzdən əvvəl bir şeyi başa düşmək lazımdır: insan amili üzərində dayana bilməzsən, bunun arxasında başqa bir şey ola bilər - resurslar, bilik və ya texnologiya çatışmazlığı. Ən çox budur təsirli üsul– əsl səbəbləri təhlil edin, kök səbəbə çatın.

İnsanlarla işləyərkən hər kəs üçün açar seçmək lazımdır. Bütün insanlar fərqlidir və buna görə də tətbiq ediləcək üsullar fərqlidir. Bir işçi ilə müsahibələrin birində mütəxəssis mənə dedi: Mən yalnız tələbi yerinə yetirmədiyimə görə alacağımı bilsəm nəsə edəcəm. Əksinə, bəziləri yalnız müsbət motivasiyadan təsirlənir, məsələn yaxşı işarə işin keyfiyyəti, mükafat uğurla başa çatması təlimlər.

Belə bir fikir var ki, informasiya təhlükəsizliyi mütəxəssisləri çox vaxt innovasiyaların qarşısını alır, xüsusən də yeni texnologiyaların və biznes modellərinin istifadəsini məhdudlaşdırdıqda. Bu, həqiqətən də belə ola bilər, lakin aşağıdakıları xatırlamaq vacibdir: “Təhlükəsizlik avtomobilinizin əyləci kimidir. Onların funksiyası sizi yavaşlatmaqdır. Ancaq onların məqsədi sürətli getməyə imkan verməkdir. Dr. Gary Hinson” (“Təhlükəsizlik avtomobilinizin əyləci kimidir. Onların funksiyası sizi yavaşlatmaqdır. Lakin onların məqsədi sizə sürətli getməyinizi təmin etməkdir”). Başa düşmək vacibdir ki, bu qaydalar olmadan davam etmək mümkün deyil, çünki özünüzü kiber təhlükələrdən qorumasanız və informasiya təhlükəsizliyi risklərini idarə etməsəniz, nə vaxtsa siz sadəcə olaraq biznesinizi inkişaf etdirə bilməyəcəksiniz. Balans əldə etmək üçün şirkətimiz ISO 27001 standartının əsasını təşkil edən riskə əsaslanan yanaşmadan istifadə edir.Bu yanaşma bizə tətbiq olunan tələbləri və özümüzü qorumaq üçün zəruri olan təhlükəsizlik tədbirlərini seçməyə imkan verir. bizə aid olan təhdidlərdən. Bu yanaşmanın köməyi ilə biz maliyyə baxımından da seçim edə bilərik: müəyyən tədbirlərin tətbiqi nə dərəcədə məqsədəuyğundur. Məsələn, hər iclas otağına biometrik skaner qoya bilərik, bəs bu bizə nə qədər lazımdır, hansı dəyər gətirir, hansı riskləri azaldır? Cavab həmişə aydın olmur.

Biz ICL Services-də başa düşürük ki, işlədiyimiz məlumatların məxfiliyi bizim üçün vacibdir, bunun üçün biz noutbukları şifrələyirik, çünki noutbuk itirilsə belə, məlumat müdaxilə edənlərin əlinə keçməyəcək. Bu kritikdir və biz buna pul xərcləməyə hazırıq.

Hesab edirəm ki, bu, təhlükəsizlik və biznes dəyəri arasında tarazlığı əldə etməyin yeganə yoludur: seçin, yeniliklərdən xəbərdar olun və həmişə riskləri qiymətləndirin (riskin həyata keçirilməsinin dəyəri bu və ya digər təhlükəsizlik həllinin alınması xərcləri ilə nə dərəcədə müqayisə oluna bilər) ).

İnteqrasiya edilmiş yanaşma informasiya təhlükəsizliyi üçün ideal reseptdir

Fikrimcə, təhlükəsizliklə işləməyə kompleks yanaşma ən effektivdir, çünki informasiya təhlükəsizliyi insanların məlumatlılığı, davranışı və təhlükəsizlik tələbləri nəzərə alınmaqla biznes proseslərinin düzgün təşkili məsələsidir. Hadisələr daha çox işçilərə görə baş verir: insanlar səhv edirlər, yorulurlar, səhv düyməni basa bilirlər, ona görə də burada uğurun yarısı texniki məhdudiyyətlərdir, təsadüfi təsadüfi hadisələrdən, digər yarısı isə hər bir işçinin təhlükəsizlik mədəniyyətidir.

Ona görə də profilaktik söhbətlərin, təlimlərin keçirilməsi vacibdir. IN müasir dünya kiber təhdidlər insanlar üçün nəzərdə tutulub: əgər siz fişinq e-poçtu alırsınızsa, siz linkə daxil olana və üzərinə klikləməyincə bu, zərərsizdir. Şirkətimizdə kollektivin şüuruna, insanlarla işləməyə, maarifləndirməyə önəm verilir. Yaxşı, üçüncü məqam təşkilatçılıqdır, insanlar qaydaları bilməli, qaydalar yazılmalıdır, müəyyən siyasət olmalıdır ki, hər kəs ona əməl etməlidir.

Unutmayın: kibertəhlükələr dünyada çox yayılmışdır və eyni zamanda, hücumların nəticələri çox ciddidir - biznesin tam itirilməsinə, iflasa qədər. Təbii ki, məsələ gündəmdədir. Dövrümüzdə təhlükəsizlik sadəcə bir hissəsi olmaq məcburiyyətindədir korporativ mədəniyyət, və top menecment bu məsələdə ilk maraqlı tərəfdir, çünki biznesi idarə edir və risklər reallaşdıqda ilk növbədə onlar məsuliyyət daşıyacaqlar.

İşçilərinizə kibertəhlükəsizlik insidentlərindən qaçmağa kömək edəcək bəzi məsləhətlər:

  1. Siz yoxlanılmamış keçidləri izləyə bilməzsiniz;
  2. Məxfi məlumatları yaymayın;
  3. Şifrəni bir kağız parçasına yaza və stiker yapışdıra bilməzsiniz;
  4. Əmin olmadığınız USB mediadan istifadə etməyin (təcavüzkar yoluxmuş fiziki cihazı qurbanın mütləq tapacağı yerdə qoya bilər);
  5. Saytlarda qeydiyyatdan keçərkən, telefon nömrəsini və poçt ünvanını göstərərək, bu məlumatın nə üçün lazım olduğunu diqqətlə araşdırın, bəlkə də bu şəkildə pullu bülletenə abunə olursunuz.

Ümid edirəm ki, zaman keçdikcə təhlükəsizlik hər bir şirkətdə korporativ mədəniyyətin əsas elementinə çevriləcək.

Siz fakültədə informasiya təhlükəsizliyi sahəsində işləmək bacarıqlarını mükəmməl şəkildə mənimsəyə bilərsiniz.

Məxfi məlumatlar rəqabət aparan firmalar üçün böyük maraq doğurur. Təcavüzkarların təcavüzünə səbəb olan odur.

Bir çox problemlər təhlükənin əhəmiyyətinin düzgün qiymətləndirilməməsi ilə əlaqələndirilir, nəticədə bu, müəssisənin iflasına və iflasına səbəb ola bilər. İşçi heyətin bircə səhlənkarlığı belə şirkətə milyonlarla dollar zərər və müştəri etibarını itirə bilər.

Təhdidlər şirkətin tərkibi, statusu və fəaliyyəti haqqında məlumatları ifşa edir. Belə təhdidlərin mənbələri onun rəqibləri, korrupsionerlər və cinayətkarlardır. Onlar üçün xüsusi dəyər mühafizə olunan informasiya ilə tanışlıq, habelə maddi ziyan vurmaq məqsədilə dəyişdirilməsidir.

Hətta 20% informasiya sızması belə nəticəyə gətirib çıxara bilər. Bəzən şirkət sirlərinin itirilməsi təsadüfən, personalın təcrübəsizliyi və ya təhlükəsizlik sistemlərinin olmaması səbəbindən baş verə bilər.

Müəssisənin mülkiyyətində olan məlumat üçün aşağıdakı növ təhlükələr ola bilər.

Məlumatların və proqramların məxfiliyinə təhdidlər. Məlumatlara, rabitə kanallarına və ya proqramlara qeyri-qanuni girişdən sonra baş verə bilər. Kompüterdən olan və ya göndərilən məlumat sızma kanalları vasitəsilə tutula bilər.

Bunun üçün istifadə olunur xüsusi avadanlıq, kompüterdə işləyərkən alınan elektromaqnit şüalanmanı təhlil edən.

Zərər riski. Hakerlərin qeyri-qanuni hərəkətləri marşrutun təhrif edilməsinə və ya ötürülən məlumatın itirilməsinə səbəb ola bilər.

Əlçatanlıq təhlükəsi. Bu cür hallar qanuni istifadəçinin xidmətlərdən və resurslardan istifadə etməsinə mane olur. Bu, onlar tutulduqdan, onlar haqqında məlumat alındıqdan və ya xətlər müdaxilə edənlər tərəfindən bloklandıqdan sonra baş verir. Belə bir hadisə ötürülən məlumatın etibarlılığını və vaxtında olmasını təhrif edə bilər.

Üç var mühüm şərtlər Rusiya vətəndaşına imkan verəcək: ideal biznes planı, düşünülmüş mühasibat uçotu və kadr siyasəti və nağd pulun mövcudluğu.

MMC açmaq üçün sənədlərin hazırlanması müəyyən vaxt tələb edir. Bank hesabı açmaq üçün təxminən 1-2 gün vaxt lazımdır. MMC açmaq üçün tələb olunan sənədlər haqqında ətraflı oxuyun.

Əməliyyatların icrasından imtina riski.İstifadəçinin məsuliyyətdən yayınmaq üçün ötürdüyü məlumatlardan imtina etməsi.

daxili təhdidlər. Bu cür təhdidlər müəssisə üçün böyük təhlükə yaradır. Onlar təcrübəsiz menecerlərdən, səriştəsiz və ya ixtisassız kadrlardan gəlirlər.

Bəzən bir müəssisənin işçiləri bilərəkdən daxili məlumat sızmasına səbəb ola bilər, bununla da öz maaşından, işindən və ya həmkarlarından narazılıqlarını göstərirlər. Onlar müəssisənin bütün qiymətli məlumatlarını asanlıqla rəqiblərinə təqdim edə, onu məhv etməyə cəhd edə və ya bilərəkdən kompüterlərə virus yeridə bilərlər.

Müəssisənin informasiya təhlükəsizliyinin təmin edilməsi

Kritik Proseslər mühasibat uçotu və təhlükəsizliyinə bütün texniki və təşkilati tədbirlərlə nail olunan müvafiq sinif sistemləri ilə avtomatlaşdırılır.

Bunlara antivirus sistemi, firewall mühafizəsi və daxildir elektromaqnit şüalanması. Sistemlər elektron daşıyıcılarda olan məlumatları, rabitə kanalları ilə ötürülən məlumatları qoruyur, müxtəlif sənədlərə girişi məhdudlaşdırır, ehtiyat nüsxələri yaradır və zədələndikdən sonra məxfi məlumatları bərpa edir.

Müəssisədə informasiya təhlükəsizliyinin tam təmin edilməsi bütün il boyu, gecə-gündüz real vaxt rejimində tam nəzarətdə olmalıdır və olmalıdır. Eyni zamanda, sistem məlumatın göründüyü andan onun tamamilə məhv edilməsinə və ya müəssisə üçün əhəmiyyətinin itirilməsinə qədər bütün həyat dövrünü nəzərə alır.

İnformasiya təhlükəsizliyi sənayesində təhlükəsizlik və məlumat itkisinin qarşısını almaq üçün mühafizə sistemləri hazırlanır. Onların işi kompleksə əsaslanır proqram kompleksləri hər hansı məlumat itkisinin qarşısını almaq üçün geniş seçimlərlə.

Proqramların spesifikliyi ondan ibarətdir ki, onların düzgün işləməsi üçün məlumatların və sənədlərin daxili dövriyyəsinin oxunaqlı və yaxşı yağlanmış modeli tələb olunur. Məlumatdan istifadə zamanı bütün mərhələlərin təhlükəsizlik təhlili verilənlər bazası ilə işləməyə əsaslanır.

İnformasiya təhlükəsizliyinin təmin edilməsi onlayn alətlərdən, eləcə də müxtəlif internet resurslarında təklif olunan məhsul və həllərdən istifadə etməklə həyata keçirilə bilər.

Bu xidmətlərin bəzilərinin tərtibatçıları qiymət və funksionallığın ideal balansını təmin etməklə yanaşı, xarici və daxili təhdidlərdən qoruyan informasiya təhlükəsizliyi sistemini düzgün tərtib etməyi bacarıblar. Təklif olunan çevikliklər modul komplekslər aparat və proqram təminatının işini birləşdirir.

Növlər

İnformasiya təhlükəsizliyi sistemlərinin fəaliyyət məntiqi aşağıdakı hərəkətləri əhatə edir.

Məlumatların təhlükəsizliyinə təhdidlərin, müəssisəyə ziyan vuran və onun işində və inkişafında uğursuzluqlara səbəb olan motivləri və şərtləri proqnozlaşdırmaq və tez tanımaq.

Təhlükə səviyyəsinin və müəssisəyə ziyan vurma ehtimalının minimuma endirilməsi üçün belə iş şəraitinin yaradılması.

Zərərin ödənilməsi və müəyyən edilmiş zərər cəhdlərinin təsirinin minimuma endirilməsi.

İnformasiya təhlükəsizliyi vasitələri ola bilər:

  • texniki;
  • proqram təminatı;
  • kriptoqrafik;
  • təşkilati;
  • qanunvericilik.

Müəssisədə informasiya təhlükəsizliyinin təşkili

Bütün sahibkarlar həmişə məlumatın mövcudluğunu və məxfiliyi təmin etməyə çalışırlar. Uyğun məlumat mühafizəsini inkişaf etdirmək üçün mümkün təhlükələrin xarakteri, habelə onların baş vermə formaları və üsulları nəzərə alınır.

Müəssisədə informasiya təhlükəsizliyinin təşkili elə həyata keçirilir ki, haker çoxsaylı müdafiə səviyyələri ilə üzləşə bilsin. Nəticədə, təcavüzkar qorunan hissəyə nüfuz edə bilmir.

Ən çox təsirli yoldur informasiyanın mühafizəsi məlumat ötürülməsi zamanı kriptoqrafik cəhətdən güclü şifrələmə alqoritmini əhatə edir. Sistem məlumatın özünü şifrələyir, həm də ona daxil olmaq üçün də aktualdır.

İnformasiyaya çıxışın strukturu çoxsəviyyəli olmalıdır, bununla əlaqədar olaraq, yalnız seçilmiş işçilərə ona daxil olmağa icazə verilir. İnformasiyanın bütün həcminə tam çıxış hüququ yalnız etibarlı şəxslərə malik olmalıdır.

Məxfi xarakterli məlumatlara aid məlumatların siyahısı müəssisənin rəhbəri tərəfindən təsdiq edilir. Bu sahədə hər hansı pozuntular müəyyən sanksiyalarla cəzalandırılmalıdır.

Mühafizə modelləri müvafiq GOST-lar tərəfindən təmin edilir və bir sıra kompleks tədbirlərlə standartlaşdırılır. Hazırda şəbəkənin vəziyyətini və informasiya təhlükəsizliyi sistemlərinin istənilən xəbərdarlıqlarını gecə-gündüz izləyən xüsusi kommunal proqramlar hazırlanmışdır.

Nəzərə alın ki, ucuzdur simsiz şəbəkə lazımi mühafizə səviyyəsini təmin edə bilməz.

Təcrübəsiz işçilər səbəbindən məlumatların təsadüfən itirilməsinin qarşısını almaq üçün administratorlar təlimlər keçirməlidirlər. Bu, müəssisəyə işçilərin işə hazırlığına nəzarət etməyə imkan verir və menecerlərə bütün işçilərin informasiya təhlükəsizliyi tədbirlərinə əməl edə bildiyinə əminlik verir.

Bazar iqtisadiyyatı mühiti və yüksək rəqabət mühiti şirkət rəhbərlərini daima ayıq-sayıq olmağa və istənilən çətinliklərə tez cavab verməyə məcbur edir. Son 20 ildə informasiya texnologiyaları inkişafın, idarəetmənin və biznesin bütün sahələrinə daxil ola bilib.

Real dünyadan biznes çoxdan virtuala çevrilib, onların necə populyarlaşdığını xatırlayın, bunun da öz qanunları var. Hazırda müəssisənin informasiya təhlükəsizliyinə virtual təhlükələr ona böyük real zərər vura bilər. Problemi düzgün qiymətləndirməməklə liderlər öz bizneslərini, reputasiyalarını və etibarlarını riskə atırlar.

Əksər müəssisələr məlumatların pozulması səbəbindən müntəzəm olaraq itkilərə məruz qalırlar. Müəssisə məlumatlarının qorunması biznesin inkişafı və fəaliyyətində prioritet olmalıdır. İnformasiya təhlükəsizliyinin təmin edilməsi uğurun, mənfəətin və şirkətin məqsədlərinə çatmağın açarıdır.

Oxşar yazılar: