ev-Qidalanma-Bir sistem kimi biznesin informasiya təhlükəsizliyi. Müəssisədə informasiya təhlükəsizliyi

Bir sistem kimi biznesin informasiya təhlükəsizliyi. Müəssisədə informasiya təhlükəsizliyi

BİBLİOQRAFİK SİYAHI

1. Xovanskova V.S., Rumyantsev K.E., Xovanskov S.A. Kompüter şəbəkələrində paylanmış hesablamaların məhsuldarlığının qorunmasının təkmilləşdirilməsi üsulu.İzvestiya SFU. Texniki elm. - 2012. - No 4 (129). - S. 102-107.

2. Xovanskov S.A., Norkin O.R. Paylanmış şəbəkə hesablamalarının məhsuldarlığının artırılması alqoritmi // İnformasiyalaşdırma və rabitə. - 2011. - No 3. - S. 96-98.

3. Litvinenko V.A., Xovanskov S.A. Şəbəkədə paylanmış hesablamaların təşkili ilə problemlərin həlli.İzvestiya SFU. Texniki elm. - 2008. - No 3 (80). - S. 16-21.

4. Xovanskov S.A., Norkin O.R. Mərkəzləşdirilməmiş hesablama sisteminin konfiqurasiyasının alqoritmik optimallaşdırılması // Telekommunikasiya. - 2012. - No 11. - S. 2-5.

5. Xovanskov S.A. Əlaqələrin iyerarxik strukturu ilə paylanmış hesablamaların təşkili // Terrorizm təhlükələrinə qarşı informasiya. - 2007. - No 9. - S. 170-178.

6. Litvinenko V.A., Xovanskov S.A. Çox agentli sistem əsasında problemin həlli üçün vaxtın azaldılması üçün kompüter şəbəkəsi parametrlərinin optimallaşdırılması alqoritmi.İzvestiya SFU. Texniki elm. - 2007. - No 2 (77). - S. 186-190.

7. Xovanskov S.A., Litvinenko V.A., Norkin O.R. İzləmə məsələlərinin həlli üçün paylanmış hesablamaların təşkili.İzvestiya SFU. Texniki elm. - 2010.

- № 12 (113). - S. 48-55.

8. Kalaşnikov V.A., Trunov İ.L., Xovanskov S.A. Çoxprosessorlu kompüter sistemində paralel yerləşdirmə alqoritmi.İzvestiya SFU. Texniki elm.

1997. - No 3 (6). - S. 181-184.

Rumyantsev Konstantin Evgenievich - Federal Dövlət Muxtar Ali Təhsil Müəssisəsi peşə təhsili"Cənub federal universitet»; e-poçt: [email protected]; 347900, Taqanroq, küç. Çexov, 2; tel.: 88634328725; IBTCS şöbəsi; baş şöbə; Texnika elmləri doktoru; professor,

Xovanskov Sergey Andreeviç - e-poçt: [email protected]; tel.: 88634642530; İBTKS şöbəsi; PhD; dosent.

Xovanskova Vera Sergeevna - e-poçt: [email protected]; tel.: 88634676616; tələbə.

Rumyantsev Konstantin Evgeneviç - "Cənub Federal Universiteti" Ali Peşə Təhsili Federal Dövlət Muxtariyyəti Təhsil Təşkilatı; e-poçt: [email protected]; 2, Çexov küçəsi, Taqanroq, 347900, Rusiya; telefon: +78634328725; İBTKS şöbəsi; şöbə müdiri; dr. eng. sc.; professor.

Xovanskov Sergey Andreeviç - e-poçt: [email protected]; telefon: 88634642530; ISTCN şöbəsi; cand. eng. sc.; Dosent.

Xovanskova Vera Sergeevna - e-poçt: [email protected]; telefon: +78634676616; tələbə.

E.N. Efimov, G.M. Lapitskaya

İNFORMASİYA TƏHLÜKƏSİZLİYİ VƏ BİZNES PROSESLERİ

ŞİRKƏTLƏR

Tədqiqatın məqsədi şirkətin biznes məqsədlərinə çatmaq çərçivəsində informasiya təhlükəsizliyinin yaradılması və mövcud olması lazım olduğunu göstərməkdir. Eyni zamanda, biznes prosesləri şirkətin informasiya təhlükəsizliyinin təşkili üçün əsas məlumat mənbəyidir.

İnformasiya təhlükəsizliyinin idarə edilməsi strategiyasını hazırlayarkən, iyerarxiya təhlili metodundan istifadə edərək əldə edilmiş nəticələrin şərti kəmiyyət qiymətləndirilməsi ilə SWOT təhlilindən istifadə edərək şirkətin vəziyyətinin hərtərəfli diaqnostikası təklif edilmişdir.

Riskin müəyyən edilməsi təhdidlərin əhəmiyyətini qiymətləndirmək və təhlükəsizlik sistemi qurmaq üçün lazımdır. Təhlil göstərdi ki, şirkətin biznes proseslərinin riskləri aşağıdakı kateqoriyalara qruplaşdırılıb: dizayn riskləri, reinjinirinqin riskləri və biznes proseslərindən istifadə prosesində risklər.

Bu gün informasiya texnologiyalarının və informasiya təhlükəsizliyinin idarə olunmasının effektiv üsullarından biri hesab edilən GRC (İdarəetmə, Risklərin idarə edilməsi və Uyğunluq) sinif sistemindən istifadə etməklə şirkətin informasiya təhlükəsizliyi proseslərinin avtomatlaşdırılması məqsədəuyğundur. Eyni zamanda, GRC sisteminin şirkətin biznes proseslərinin idarə edilməsi üçün nəzərdə tutulmuş Biznes Proseslərinin İdarə Edilməsi sinif sistemləri ilə inteqrasiyası məqsədəuyğundur.

Biznes məqsədləri; İnformasiya təhlükəsizliyi; biznes prosesləri.

E.N. Efimov, G.M. Lapitskaya

ŞİRKƏTİN İNFORMASİYA TƏHLÜKƏSİZLİYİ VƏ BİZNES PROSESLERİ

Tədqiqatın məqsədi şirkətlərin biznes-tam nailiyyətləri çərçivəsində informasiya təhlükəsizliyinin yaradılması və mövcud olması lazım olduğunu göstərməkdir. Biznes-proseslərdə şirkətlərə informasiya təhlükəsizliyinin təşkili ilkin olaraq verilir.

İnformasiya təhlükəsizliyinin idarə edilməsi strategiyalarının hazırlanması zamanı təhlil iyerarxiyası üsulu ilə əldə edilən şərti kəmiyyət qiymətləndirməsi nəticəsində SWOT-analiz vasitəsilə şirkətlərə vəziyyətin kompleks diaqnostikası təklif olunur.

Təhlükəsizliyin və sistemin binalarının dəyərinin qiymətləndirilməsi üçün tələb olunan identifikasiya riski. Təhlil göstərdi ki, şirkətlər üçün biznes-proseslərin riskləri aşağıdakı kateqoriyalarda qruplaşdırılıb: layihələşdirmə zamanı risklər, reinjinirininq zamanı risklər və biznes-proseslərin istifadəsi prosesində risklər.

Bu gün informasiya texnologiyalarının və informasiya təhlükəsizliyinin idarə edilməsinin səmərəli yollarından biri hesab olunan GRC (İdarəetmə, Risklərin idarə edilməsi və Uyğunluq) sinif sistemləri vasitəsilə şirkətlər üçün təhlükəsizliyə uyğun prosesləri avtomatlaşdırın. Sistemlər GRC bununla şirkətlərə biznes prosesini idarə etmək üçün nəzərdə tutulmuş Biznes Proseslərinin İdarəetmə sinfi sistemi ilə zəruri kompleksdir.

iş məqsədləri; təhlükəsizlik məlumatları; biznes prosesləri.

Problemin formalaşdırılması. İnformasiya təhlükəsizliyi şirkətlərin biznes məqsədlərinə çatmaq çərçivəsində yaradılmalı və mövcud olmalıdır. Demək olar ki, bütün biznes proseslərini dəstəkləmək üçün istifadə olunan müasir informasiya texnologiyalarından (İT) istifadə etmədən səmərəli biznes mümkün deyil müasir şirkət. Lakin bu gün tendensiya göz qabağındadır: informasiya təhlükəsizliyi konkret şəbəkələrin, serverlərin, informasiya resurslarının qorunmasından İT tərəfindən dəstəklənən şirkətlərin biznes proseslərinin təhlükəsizliyinə çevrilir. Bu, şirkətin təhlükəsizliyinin təmin edilməsinin bir-birindən asılı olan iki sahəsinin mövcudluğunu nəzərdə tutur: bir tərəfdən, biznes proseslərinin işləməsi baxımından biznesin səmərəli fəaliyyəti; digər tərəfdən, dəstəkləyən İT infrastrukturunun normal işləməsi. Hazırda bu konkret kontekstdə informasiya təhlükəsizliyinə vahid yanaşma mövcud deyil.

Bir şirkətin əsas təhlükəsizlik problemlərini başa düşmək üçün xarici və daxili biznes mühitinin hərtərəfli təhlilini aparmaq, həqiqətən vacib olan komponentləri vurğulamaq, hər bir komponent üçün məlumat toplamaq və izləmək və real iş şəraitinin qiymətləndirilməsinə əsaslanmaq məsləhətdir. vəziyyət, şirkətin vəziyyətini və bu vəziyyətin səbəblərini öyrənin. Şirkətin vəziyyətinin dəqiq, hərtərəfli, vaxtında diaqnostikası təhlükəsiz fəaliyyətlərin idarə edilməsi strategiyasının hazırlanmasında ilk mərhələdir.

Şirkətin strateji mövqeyini qiymətləndirməyin ən ümumi üsulu SWOT təhlilidir1. SWOT təhlili matrisi aşağıdakı dəst kimi təqdim edilə bilər:

SWOT = ,

harada St (Güclü tərəflər) - təyin olunur güclü tərəflər təşkilat, St = (St1, St2, ..., Stmt); W (zəif tərəflər) - təyin edin zəifliklər təşkilatlar, W = (W1, W2, ..., Wnw); Op (Opportunities) - təşkilat imkanları toplusu, Op = (Op1, Op2, ., Opnop); Th (Threats) - təşkilat üçün təhlükələr toplusu, Th = (Th1, Th2, ..., Thnth).

Eyni zamanda, güclü St = (St1, St2, ..., Stnst) və zəif W = (W1, W2, ..., Wnw) tərəflərin şirkətin fəaliyyətinin həmin komponentləri olduğunu başa düşmək vacibdir. nəzarət edə bilər və imkanlar Op = (Op1, Op2, ., Opnop) və təhlükələr Th = (Th1, Th2, ..., Thnth) şirkətin nəzarətindən kənarda olan və onun inkişaf prosesinə təsir göstərə bilən amillərdir.

SWOT təhlilinin nəticələri inkişafın bu mərhələsində şirkətin təhlükəsizlik strategiyasını formalaşdırmağa imkan verir. Bu problem çətin ki, rəsmiləşdirilə bilər, lakin bu məlumatlar əsasında bir çox təşkilat strategiyaları S = (S1, S2, ., Sn) hazırlana bilər.

SWOT matrisinin şərti kəmiyyət qiymətləndirilməsi üçün, məsələn, iyerarxiya təhlili metodundan (AHP) istifadə etmək mümkündür. Bu üsuləsaslandırılmış qərarların qəbulu üçün kəmiyyətcə ölçülə bilməyən, lakin eyni zamanda mühüm amillərin qiymətləndirilməsinin ən effektiv üsulunun həyata keçirilməsini təmin edir. Bundan əlavə, metod uyğun olmayan mühakimələrlə işləyir və istehlakçıların və ya qərar qəbul edənin (DM) üstünlüklərinin faydalılıq aksiomlarına uyğun olmasını tələb etmir. AHP mürəkkəb problemlərin öyrənilməsini ardıcıl cütlük müqayisələrin sadə proseduruna endirməyə imkan verir.

Nümunə olaraq, telekommunikasiya sənayesində fəaliyyət göstərən bir müəssisənin ("Telekom" ASC) SWOT təhlilinin nəticələrini nəzərdən keçirdik. məlumat xidmətləri) şəhər və rayon ərazisində (məqalədə göstərilməyib). AHP-dən istifadə etməklə SWOT matrisinin sonrakı qiymətləndirilməsinin variantı Cədvəldə təqdim olunur. 1.

Cədvəl 1

SWOT Matrisinin Qiymətləndirilməsi

St W Op Th Prioritet vektor Normallaşdırılmış vektor

St 1 1 0,33 0,33 0,58 0,10

W 1 1 0,2 0,14 0,41 0,07

Op 3 5 1 0,2 1,32 0,24

Th 3 7 5 1 3.20 0.58

IS Uyğunluq İndeksi = 0,14 və ƏS Davamlılıq Nisbəti = 15,58< 20 % показывают удовлетворительную согласованность оценок ЛПР.

Normallaşdırılmış vektorun dəyərləri daxilindədir, buna görə ekspert hesablamalarının nəticələri aşağıdakı kimi şərh edilə bilər: təşkilatın "təhlükələri" əhəmiyyətlidir (P = 0,58), təşkilatın problemləri həll etmək üçün "imkanları" qənaətbəxşdir. (Op = 0,24), problemlərin aradan qaldırılması üçün təşkilatın “güclü tərəfləri” orta səviyyədədir (^ = 0,1), təşkilatın “zəif tərəfləri” əhəmiyyətsizdir (^ = 0,07).

1 SWOT dördün ilk hərflərinin qısaldılmasıdır İngilis dili sözləri: güc ("güc"), zəiflik ("zəiflik"), imkanlar ("imkanlar") və təhdidlər ("təhdidlər")

Şirkətin təhlükəsizlik probleminə bu cür baxış onun məqsəd və vəzifələrini, obyektlərini və təhdidlərini dəqiqləşdirməyə, biznes proseslərinin risklərini azaltmaq üçün fəaliyyət planı hazırlamağa və görülən tədbirlərin effektivliyini qiymətləndirməyə imkan verir.

Biznes proseslərinin təhlükəsizliyi nöqteyi-nəzərindən informasiya təhlükəsizliyi tədqiqatının müəyyən xüsusiyyətlərinə görə şirkət ilk növbədə biznes proseslərinin risklərini müəyyən etməlidir. Riskin müəyyən edilməsinin məqsədi şirkətin əhəmiyyətli zərər verə biləcək təhlükələrə məruz qalmasını qiymətləndirməkdir. Risklər haqqında məlumat toplamaq üçün şirkətin biznes proseslərinin təhlili və mövzu üzrə ekspertlər arasında sorğu aparılır. nəticə bu proses bütün potensial risklərin təsnif edilmiş siyahısıdır.

Biznes prosesi risklərinin müəyyən edilməsi. Bir iş prosesi transformasiya kimi təqdim edilə bilər:

P (X, X, X, I O) ^ Y, burada P hərəkətlər toplusu formasına malik bir prosesdir P = (Bx, B2, ..., Br); X = (Xx, X2, .. ., X) - biznes prosesinin giriş axınları və onların təchizatçıları; Y = (Yx, Y2,..., Y) - biznes prosesinin və onların istehlakçılarının çıxış axınları; R = (Rx, R2,..., R/) - biznes prosesini yerinə yetirmək üçün istifadə olunan resurslar toplusu (texniki, maddi, informasiya); R = (R1, R2,..., Rp) biznes prosesində həyata keçirilən funksiyaların məcmusudur; I = ( 2b 12,..., 1m) - biznes prosesinin iştirakçılarının və icraçılarının çoxluğu; O = (Ox, O2,..., O) - prosesin sərhədləri və interfeysləri.

Bu tərifdən görmək olar ki, biznes prosesləri şirkətin informasiya təhlükəsizliyinin təşkili üçün əsas məlumat mənbəyidir.

Birincisi, mühafizə obyektlərini müəyyən etmək lazımdır, yəni. nədən və hansı təhlükələrdən qorunmalıdır. Mühafizə obyektlərinə, əlbəttə ki, informasiya, biznes prosesləri və maddi resurslarşirkətlər.

Bu gün informasiya təhlükəsizliyi üzrə işin aşkar başlanğıcı şirkət məlumatlarının təsnifatıdır. Təsnifat çox vaxt və pul tələb edən mürəkkəb prosesdir. Təsnifatın effektiv olması üçün onu daim saxlamaq və yeniləmək lazımdır. Təsnifatın məqsədəuyğunluğu ondan ibarətdir ki, o, məlumatın saxlandığı bütün yerləri müəyyən etməyə və qorunmalı olan məlumatları müəyyən etməyə imkan verir. Bu, məxfi məlumatların miqdarını minimuma endirməyə imkan verir. Təsnifat aparılarkən vaxtilə məxfi olan, lakin indi aktuallığını itirmiş sənədlər üzə çıxır. Onlar arxivləşdirilə və ya həmişəlik silinə bilər.

İnformasiya aktivləri (İA) qorunma obyektləri kimi biznes sistemlərində məlumatın bütövlüyünün, mövcudluğunun və lazım gəldikdə məxfiliyinin qorunmasını tələb edir. Mümkün təhlükələrin təhlili bunu göstərdi informasiya infrastrukturu biznes proseslərində istifadə olunan məlumatların təhlükəsizlik xassəsinə malik olmalıdır, yəni. kommersiya, mülkiyyət və ya texnoloji məlumatların icazəsiz (qəsdən və ya təsadüfən) alınması, dəyişdirilməsi, məhv edilməsi və ya istifadəsindən mühafizəni təmin etmək. Biznes prosesi komponentlərinin mövcudluğunu, eləcə də potensial olaraq onların əlaqələrini nəzərə alaraq təhlükəli vəziyyətlər daxildir: tanışlıq, təhrif və ya məhv etmək məqsədilə avtomatlaşdırma vasitələrində saxlanılan və emal edilən məlumatlara qanun pozucularının (sahibləri və proseslərin iştirakçıları deyil) icazəsiz daxil olması. Eyni zamanda, giriş nöqtələri prosesin interfeysləri və sərhədləri, həmçinin prosesin funksiyalarının (əməliyyatlarının, prosedurlarının) həyata keçirilməsi üçün zəruri olan məlumatlar ola bilər; informasiyanın rabitə kanalları üzərindən qəbulu (ötürülməsi) zamanı ələ keçirilməsi

(şəbəkə) proses funksiyaları, həmçinin yaddaş daşıyıcılarının oğurlanması yolu ilə; təsadüfi müdaxilələr, informasiyanın ötürülməsi, saxlanması və emalı zamanı texniki (proqram təminatı) vasitələrinin nasazlığı nəticəsində informasiyanın məhv edilməsi (dəyişməsi, təhrif edilməsi); mülkiyyətçilər və (və ya) proses iştirakçıları arasından qanun pozucularının iş prosesinə icazəsiz təsir göstərməsi.

Mövzu sahəsinin təhlili göstərdi ki, şirkətin biznes proseslərinin risklərini onların həyat dövrünün bütün əsas mərhələlərində müəyyən etmək məqsədəuyğundur: dizayn, reinjinirininq mərhələlərində və biznes proseslərindən istifadə prosesində.

Biznes proseslərinin dizaynı və reinjinirinqi zamanı risklərin müəyyən edilməsi. Hətta şirkətin əsas biznes proseslərinin ilkin təsviri həm işin səmərəliliyinin yüksəldilməsi üçün nəzərəçarpacaq nəticələr, həm də mümkün itkilər (risklər) gətirir. Bunlar, ilk növbədə, proseslərin layihələndirilməsində səhvlərlə bağlı risklərdir: natamamlıq xətaları (prosesin təsvirində boşluqların olması); uyğunsuzluq səhvləri (prosesin müxtəlif hissələrində informasiya ehtiyatlarından qeyri-adekvat istifadə, məlumatın təhrif qavranılmasına və ya göstərişlərin qeyri-müəyyənliyinə gətirib çıxarır); iyerarxik və ya "irsi" uyğunsuzluq səhvləri (əsas və sonrakı proseslər arasında ziddiyyətin olması). Aydındır ki, digər növ səhvlərə də yol verilməlidir.

Risklərin növbəti seriyası prosesin təsviri metodologiyasındakı səhvlərdən (və ya ".metodologiya - model - qeyd - alətlər" paradiqmasında) yaranır: sistem funksiyalarını göstərərkən; funksiyaların icrasını təmin edən proseslər; funksiyaların icrasını təmin edən məlumatlar və təşkilati strukturlar; material və informasiya axınları funksiyaların icrası zamanı.

Bundan əlavə, prosesin topologiyası arasındakı uyğunsuzluqdan yaranan riskləri qeyd etmək lazımdır ki, bu da prosesin ən başa düşülən axınına nail olmağa imkan vermir, ya işin real vəziyyətini, ya da iş yükünü nəzərə alaraq optimalını əks etdirir. ifaçıların sayı, resursların mövcudluğu və ya digər hallar. Proses topologiyası xətalarının təhlili bir neçə iterasiyada həyata keçirilə bilər. Nəticədə təhlil edilən proses kəskin şəkildə dəyişə bilər. Məsələn, əvvəllər ardıcıl olaraq bir-birinin ardınca yerinə yetirilən funksiyalar paralel olaraq yerinə yetiriləcək. Təbii ki, bu, prosesin məntiqini və alınan nəticəni təhrif etməməlidir.

Biznes proseslərindən istifadə zamanı risklərin müəyyən edilməsi. Əməliyyat riski biznes proseslərinin düzgün yerinə yetirilməməsi, səmərəsiz daxili nəzarət prosedurları, texnoloji nasazlıqlar, personalın icazəsiz hərəkətləri və ya kənar təsirlər nəticəsində birbaşa və ya dolayı itkilər riski kimi müəyyən edilə bilər. Əməliyyat riski bütövlükdə təşkilatın fəaliyyəti üçün əhəmiyyətli olan proseslər, vaxt vahidinə çoxlu sayda əməliyyatlar, mürəkkəb sistem texniki dəstək. Adətən müəyyən edilmiş risk faktorları daxili əməliyyat mühitinin və biznes proseslərinin vəziyyətinin göstəricilərinə - əməliyyatların həcminə, dövriyyəyə, səhv hərəkətlərin faizinə bənzəyir. Əməliyyat risklərinin idarə edilməsi şəffaf və idarə oluna bilən biznes prosesləri qurmaqla həyata keçirilir təşkilati strukturu ekspert biliklərinə əsaslanır.

Biznes proseslərinin əməliyyat risklərinin aradan qaldırılması problemlərini həll etmək üçün arıq istehsal sistemindən (yalın istehsal) istifadə edilə bilər - Toyota istehsal sistemi əsasında yaradılmış idarəetmə konsepsiyası. Arıqlığın məqsədi tullantıları müəyyən etmək, təhlil etmək və aradan qaldırmaqdır istehsal prosesləri. Arıq konsepsiyaya uyğun olaraq, biznes proseslərində səkkiz növ itki baş verir: işçilərin potensialından istifadə edilməməsi; itkilər

həddindən artıq istehsaldan; nəqliyyat itkiləri; evlilikdən itkilər, lazımsız israf və dəyişikliklər; inventar saxlama itkiləri; şəxsi heyətin hərəkəti və hərəkəti üzrə itkilər; dayanma itkiləri; həddindən artıq emal nəticəsində itkilər. Bu halda itkilər son istehlakçı üçün məhsul və ya xidmətə əlavə dəyər yaratmadan vaxt və maddi resursların sərf edildiyi əməliyyatlar hesab edilir.

Beləliklə, məsələn, biznes proseslərini həyata keçirən işçilərin qanunsuz hərəkətlərindən, təchizatçılara icazəsiz təsirlərdən, resursların tədarükü həcmi və şərtlərindən qorunmaq lazımdır; biznes proseslərinin həyata keçirilməsi üçün qaydalar, o cümlədən. daxili və xarici interfeyslərin tənzimlənməsi; iş prosesinin texnologiyası və s.

Biznes proseslərinin təsviri, onların modelləşdirilməsi, sonrakı nəzarət və fəaliyyətin təhlili - əməliyyat risklərinin, buna görə də itkilərin aradan qaldırılması üçün daimi və ardıcıl fəaliyyət.

Siz bu gün informasiya texnologiyaları və informasiya təhlükəsizliyini idarə etməyin effektiv üsullarından biri kimi qəbul edilən GRC (İdarəetmə, Risklərin idarə edilməsi və Uyğunluq) sinif sistemlərindən istifadə edərək şirkətin informasiya təhlükəsizliyi proseslərini avtomatlaşdıra bilərsiniz.

GRC üç perspektivdən bir şeyin idarə edilməsinə baxışdır: yuxarı idarəetmə (İdarəetmə), risklərin idarə edilməsi (Risklərin idarə edilməsi) və tələblərə uyğunluq (Uyğunluq). Müəssisənin bütün bölmələrinin fəaliyyəti haqqında məlumatların işlənməsinin nəticəsi işgüzar şərtlərlə tərtib edilmiş vizual hesabatlardır.2

Məsələn, RSA Archer eGRC məhsulunun Müəssisə İdarəetmə modulu sizə şirkətin aktivlərini inventarlaşdırmağa və təsnif etməyə, informasiya və texnologiya aktivləri, biznes prosesləri, mal və xidmətlər, bölmələr və ayrı-ayrı biznes bölmələri daxil olmaqla, bir-biri ilə əlaqəli aktivlərin vahid reyestrini yaratmağa imkan verir. sənaye binaları və avadanlıq, şirkətin məsul işçiləri, tərəfdaşlar və təchizatçılarla əlaqə. Hər bir aktiv üçün onun sahibi və şirkət üçün dəyəri müəyyən edilir. Bu işin nəticələri informasiya təhlükəsizliyi riskinin qiymətləndirilməsi prosedurunun sonrakı aparılmasında istifadə oluna bilər. SIEM və ya DLP zəifliyin idarəetmə sistemləri ilə inteqrasiya hər bir aktiv əsasında zəifliyin aradan qaldırılması və insidentlərin azaldılmasına üstünlük verməyə imkan verir.3

Bununla belə, yaxşı olsa belə, bir İT həllinin köməyi ilə biznes proseslərinin təhlükəsizliyi kontekstində GRC-nin bütün funksiyalarını həyata keçirmək praktiki olaraq mümkün deyil. Bu konsepsiyanın problemlərinin həllində kömək edə biləcək sistem GRC vəzifələrinin özü qədər mürəkkəb olmalıdır.4 GRC sistemi ilə inteqrasiya etmək üçün Biznes Proseslərinin İdarə Edilməsi (BPM), Biznes “Performans İdarəetmə və Biznes proseslərinin avtomatlaşdırılması və idarə edilməsi üçün nəzərdə tutulmuş Biznes İntellekt sinfi. UML notasiyasında biznes prosesləri ilə şirkətin informasiya təhlükəsizliyinin əsas subyektləri arasında əlaqənin diaqramı Şəkil 1-də göstərilmişdir.

2 Yevgeni Bezqodov SNF nədir və informasiya təhlükəsizliyi üçün necə faydalı ola bilər? [ Elektron resurs] http://ru.deiteriy.com/what_is_grc_and_its_ ^аЬИ-ityJnJnformation_security/.

3 SNF - informasiya təhlükəsizliyinin idarə edilməsi proseslərinin optimallaşdırılması yolu // Bank icmalı № 9 (176) sentyabr 2013 [elektron resurs] http://www.bosfera.ru/bo/put-k-optimizatsii-protsessov

4 SNF konsepsiyası informasiya təhlükəsizliyi bazarının inkişafının növbəti mərhələsi oldu [Elektron resurs] http://www.cnews.ru/reviews/free/security2008/articles/grc.shtml.

düyü. 1. Biznes prosesləri ilə informasiyanın əsas subyektləri arasında əlaqə

şirkət təhlükəsizliyi

İnformasiya təhlükəsizliyi sistemi çərçivəsində şirkətin biznes proseslərinin və ilk növbədə biznes prosesləri üçün təhlükə yaradan mühitin qarşılıqlı əlaqəsi aşağıdakı diaqramda göstərilmişdir (şək. 2).

düyü. 2. Biznes proseslərinin və təhdidlər yaradan mühitin qarşılıqlı əlaqəsi

Əsas nəticələr.

Şirkətin vəziyyətinin hərtərəfli diaqnostikası, təklif olunan şərti kəmiyyət göstəricisi ilə SWOT təhlilindən istifadə etməklə ən yaxşı şəkildə həyata keçirilən informasiya təhlükəsizliyinin idarə edilməsi strategiyasının hazırlanmasının ilk mərhələsidir.

Təhlil göstərdi ki, biznes prosesləri şirkətin informasiya təhlükəsizliyinin təşkili üçün əsas məlumat mənbəyidir.

Biznes proseslərinin informasiya təhlükəsizliyinin təmin edilməsi mühafizə üçün məlumatı müəyyən etməyə, məxfi məlumatların miqdarını minimuma endirməyə, məlumatların saxlandığı bütün yerləri müəyyən etməyə imkan verən məlumatların təsnifatının hazırlanması ilə başlamalıdır. şirkət.

Biznes proseslərinin mümkün risklərinin təhlili bizə aşağıdakı qrupları müəyyən etməyə imkan verdi: dizayn, reinjinirininq və biznes proseslərindən istifadə prosesində risklər.

Biznes proseslərinin avtomatlaşdırılması və idarə edilməsi üçün nəzərdə tutulmuş Biznes Proseslərinin İdarə Edilməsi, Biznes Performansının İdarə Edilməsi və ya Biznes Kəşfiyyatı sinif sistemləri ilə inteqrasiya edilməli olan GRC (İdarəetmə, Risklərin idarə edilməsi və Uyğunluq) sinif sistemindən istifadə etməklə şirkətin informasiya təhlükəsizliyi proseslərinin avtomatlaşdırılması məqsədəuyğundur.

İSTİFADƏLƏR

1. Kamennova M.S., Qromov A.İ., Ferapontov M.M., Şmatalyuk A.E. Biznes Modelləşdirmə. ARIS metodologiyası. - M.: Vest-MetaTexnologiya, 2001.

2. Saatı T. Qərar vermə. İerarxiya təhlili metodu. - M.: Radio və rabitə, 1993.

3. Stelmashonok E.V. İnformasiya təhlükəsizliyi-biznes proseslərinin təşkili // Tətbiqi informatika. - 2006. - No 2. - C. 42-57.

4. Timokhin A. Bütün itkiləri necə tapmaq olar: NPO ELSIB-də yalın metodologiyanın tətbiqi təcrübəsi // "BOSS" No 9, 2012.

5. Xanova A.A. Struktur-funksional model balanslaşdırılmış sistem edərkən göstəricilər idarəetmə qərarları// Bülleten ASTU Ser.: İdarəetmə, kompüter texnologiyası və informatika. - 2012. - No 1. - C. 200-208.

Efimov Evgeniy Nikolaevich - Rostov Dövlət İqtisadiyyat Universiteti (RINH); e-poçt: [email protected]; 344002, Rostov-na-Donu, B. Sadovaya, 69, otaq. 306 a; tel.: 89525721917; İnformasiya Texnologiyaları və İnformasiyanın Mühafizəsi Departamenti; Dan.; professor.

Lapitskaya Galina Melkonovna - e-poçt: [email protected]; tel.: 89286050143; İnformasiya Texnologiyaları və İnformasiyanın Mühafizəsi Departamenti; Ph.D.; professor.

Efimov Evgeniy Nikolayeviç - Rostov Dövlət İqtisad Universiteti; e-poçt: [email protected]; 344002, Rusiya, Rostov-na-Donu, B. Sadovaya küçəsi, 69, otaq 306 a; telefon: +79525721917; informasiya texnologiyaları və informasiya təhlükəsizliyi şöbəsi; dr.ec. sc.; professor.

Lapickaya Galina Melkovna - e-poçt: [email protected]; telefon: +79286050143; informasiya texnologiyaları və informasiya təhlükəsizliyi şöbəsi; cand.ec. sc.; professor.

İş yerində sizi hansı informasiya təhlükəsizliyi risklərinin gözlədiyi barədə danışmazdan əvvəl özümü təqdim etmək istəyirəm: mənim adım Kamilə İosipovadır. Mən ICL Services İT şirkətində baş informasiya təhlükəsizliyi meneceriyəm, 5 ildir ki, bu təşkilatda işləyirəm. Mən həmçinin CISA Certified Information Systems Auditor (ISACA sertifikatlaşdırması Certified Information Systems Auditor deməkdir).

2018-ci ildə şirkətlərdə məlumatların pozulmasının həcmi 5% artıb. İnsan faktoru informasiya təhlükəsizliyi insidentlərinin əsas səbəblərindən biridir. Diqqətsizlik, diqqətsizlik, motiv, niyyət - şirkətlərinizin işçilərinin bilərəkdən və ya bilməyərəkdən işi dibinə gətirə biləcək səbəblərdir. Özünüzü və müştərilərinizi necə qorumalı, işçilər arasında məlumatlarla işləmək mədəniyyətini inkişaf etdirmək üçün nə etməli və bu halda hansı üsulları tətbiq etməli, daha ətraflı danışacağam.

İnformasiya təhlükəsizliyi sahəsində işlərin qurulması planı

Qlobal nəzər salsanız, görə bilərsiniz ki, informasiya təhlükəsizliyi sahəsində müəyyən nümunə müşahidə oluna bilər: informasiya təhlükəsizliyinə diqqət böyük ölçüdə şirkətin fəaliyyətindən asılıdır. Məsələn, in dövlət orqanları və ya bankçılıq daha sərt tələblər var, buna görə də işçilərin təliminə daha çox diqqət yetirilir, bu da məlumatlarla işləmək mədəniyyətinin daha çox inkişaf etməsi deməkdir. Lakin bu gün hər kəs bu problemə diqqət yetirməlidir.

Beləliklə, sizə informasiya təhlükəsizliyi sahəsində işinizi yerinə yetirməyə kömək edəcək bir neçə praktik addımı təqdim edirik:

1 addım. Dizayn və həyata keçirmək ümumi siyasətşirkətin əsas prinsiplərini, informasiya təhlükəsizliyinin idarə edilməsi sahəsində məqsəd və vəzifələri özündə əks etdirən informasiya təhlükəsizliyi.

2 addım. Təsnifat siyasətini və məxfilik səviyyələrini daxil edin.

Eyni zamanda, işçinin 24/7 çıxışı olacaq bir sənəd yazmaq deyil, həm də müxtəlif təlim tədbirləri keçirmək və edilən dəyişikliklərdən danışmaq lazımdır. Qaydaya sadiq qalın: qabaqcadan xəbərdar edilir. Qoy şirkət aparsın Tam iş vaxtı bu istiqamətdə.

3 addım. Proaktiv bir yanaşma inkişaf etdirin.

Bu tibbdə profilaktika kimidir. Razılaşın, qabaqcıl bir xəstəliyi müalicə etməkdənsə, profilaktik müayinədən keçmək daha ucuz və asandır. Məsələn, şirkətimizdə proaktiv yanaşma belə işləyir: kommersiya layihələrində məlumatla işləmək üçün biz layihələrdə İS proseslərinin müəyyən bir yetkinlik səviyyəsini təmin etmək üçün lazımi minimum İS tələblərini özündə əks etdirən İS idarəetmə standartını hazırlamışıq. kommersiya layihəsidir. O, təhlükəsizlik idarəetmə prosesinin müəyyən bir yetkinlik səviyyəsini saxlamaq üçün nə edilməli olduğunu təsvir edir. Biz bu standartı layihələrdə tətbiq etmişik və indi hər il daxili auditlər keçiririk: layihələrin bu tələblərə necə uyğun olduğunu yoxlayırıq, İS risklərini müəyyənləşdiririk və ən yaxşı təcrübələr digər layihə menecerlərinə də kömək edə bilər.

Auditlərə əlavə olaraq Bilik mübadiləsi yaxşı işləyir. Layihələrdən birində "ildırım vurdu"sa, qalanların bu barədə bilməsi və lazımi tədbirlər görməyə vaxt tapması yaxşıdır.

4 addım. Qaydaları izah edən bütün sənədləri hazırlayın: strukturlaşdırılmış, aydın və qısa.

Təcrübə göstərir ki, heç kim çox səhifəli uzun mətnləri oxumur. Sənəd yazılmalıdır sadə dil. Həmçinin, o, biznes məqsədlərinə uyğun olmalı və yüksək rəhbərlik tərəfindən təsdiqlənməlidir - bu, işçilər üçün bu qaydalara nə üçün əməl edilməli olduğu daha güclü arqument olacaqdır.

5 addım. Təlimlər, söhbətlər aparmaq, iş oyunları və s.

Çox vaxt insanlar müəyyən qaydaların onların xüsusi işi ilə necə əlaqəli olduğunu başa düşmürlər, buna görə də nümunələr vermək, izah etmək, necə tətbiq edə biləcəklərini göstərmək lazımdır. Burada biznesin itirilməsinə qədər nəticələrini və cinayət məsuliyyətinə qədər işçini hansı konkret nəticələrin gözlədiyini göstərmək vacibdir.

Yuxarıda göstərilənlərin hamısını şirkətdə həyata keçirmək üçün həm maddi, həm də insan resursları lazımdır. Buna görə də, indi bir çox şirkətlərdə İnformasiya Təhlükəsizliyi Direktoru (CISO) vəzifəsi görünməyə başladı. Bu mövqe sayəsində biznes liderlərinə istənilən qərarların təşviq edilməsinin vacibliyini çatdırmaq, vəsait ayırmaq və s. CISO bütün səviyyələrdə şirkətdə informasiya təhlükəsizliyini təşviq etməyə qadirdir.

Onun üzərinə götürdüyü vəzifələr genişdir: yüksək rəhbərliklə ünsiyyət, müəyyən qərarların əsaslandırılması, bütün sahələrdə təhlükəsizliyin həyata keçirilməsi üçün proses sahibləri ilə ünsiyyət. Kibertəhlükələr nöqteyi-nəzərindən o, idarə edərkən, kibertəhlükələrə cavab strategiyalarını müəyyənləşdirərkən və hücumlara cavab vermək üçün işləri koordinasiya edərkən əlaqə nöqtəsidir.

İşçilərin təlimi: çətin, uzun, lakin zəruridir

Ancaq insanlara müəyyən qaydaları öyrətməzdən əvvəl bir şeyi başa düşməlisiniz: dayana bilməzsiniz insan amili, bunun arxasında başqa bir şey ola bilər - resurslar, bilik və ya texnologiya çatışmazlığı. Ən çox budur təsirli üsul– əsl səbəbləri təhlil edin, kök səbəbə çatın.

İnsanlarla işləyərkən hər kəs üçün açar seçmək lazımdır. Bütün insanlar fərqlidir və buna görə də tətbiq ediləcək üsullar fərqlidir. Bir işçi ilə müsahibələrin birində mütəxəssis mənə dedi: Mən yalnız tələbi yerinə yetirmədiyimə görə alacağımı bilsəm nəsə edəcəm. Əksinə, bəziləri yalnız müsbət motivasiyadan təsirlənir, məsələn yaxşı işarə işin keyfiyyəti, mükafat uğurla başa çatması təlimlər.

Belə bir fikir var ki, informasiya təhlükəsizliyi mütəxəssisləri çox vaxt innovasiyaların qarşısını alır, xüsusən də yeni texnologiyaların və biznes modellərinin istifadəsini məhdudlaşdırdıqda. Bu, həqiqətən də belə ola bilər, lakin aşağıdakıları xatırlamaq vacibdir: “Təhlükəsizlik avtomobilinizin əyləci kimidir. Onların funksiyası sizi yavaşlatmaqdır. Ancaq onların məqsədi sürətli getməyə imkan verməkdir. Dr. Gary Hinson” (“Təhlükəsizlik avtomobilinizin əyləci kimidir. Onların funksiyası sizi yavaşlatmaqdır. Lakin onların məqsədi sizə sürətli getməyinizi təmin etməkdir”). Başa düşmək vacibdir ki, bu qaydalar olmadan davam etmək mümkün deyil, çünki özünüzü kiber təhlükələrdən qorumasanız və informasiya təhlükəsizliyi risklərini idarə etməsəniz, nə vaxtsa siz sadəcə olaraq biznesinizi inkişaf etdirə bilməyəcəksiniz. Balans əldə etmək üçün şirkətimiz ISO 27001 standartının əsasını təşkil edən riskə əsaslanan yanaşmadan istifadə edir.Bu yanaşma bizə tətbiq olunan tələbləri və özümüzü qorumaq üçün zəruri olan təhlükəsizlik tədbirlərini seçməyə imkan verir. bizə aid olan təhdidlərdən. Bu yanaşmanın köməyi ilə biz maliyyə baxımından da seçim edə bilərik: müəyyən tədbirlərin tətbiqi nə dərəcədə məqsədəuyğundur. Məsələn, hər iclas otağına biometrik skaner qoya bilərik, bəs bu bizə nə qədər lazımdır, hansı dəyər gətirir, hansı riskləri azaldır? Cavab həmişə aydın olmur.

Biz ICL Services-də başa düşürük ki, işlədiyimiz məlumatların məxfiliyi bizim üçün vacibdir, bunun üçün biz noutbukları şifrələyirik, çünki noutbuk itirilsə belə, məlumat müdaxilə edənlərin əlinə keçməyəcək. Bu kritikdir və biz buna pul xərcləməyə hazırıq.

Hesab edirəm ki, bu, təhlükəsizlik və biznes dəyəri arasında tarazlığı əldə etməyin yeganə yoludur: seçin, yeniliklərdən xəbərdar olun və həmişə riskləri qiymətləndirin (riskin həyata keçirilməsinin dəyəri bu və ya digər təhlükəsizlik həllinin alınması xərcləri ilə nə dərəcədə müqayisə oluna bilər) ).

İnteqrasiya edilmiş yanaşma informasiya təhlükəsizliyi üçün ideal reseptdir

Fikrimcə, təhlükəsizliklə işləməyə kompleks yanaşma ən effektivdir, çünki informasiya təhlükəsizliyi insanların məlumatlılığı, davranışı və təhlükəsizlik tələbləri nəzərə alınmaqla biznes proseslərinin düzgün təşkili məsələsidir. Hadisələr daha çox işçilərə görə baş verir: insanlar səhv edirlər, yorulurlar, səhv düyməni basa bilirlər, ona görə də burada uğurun yarısı texniki məhdudiyyətlərdir, təsadüfi təsadüfi hadisələrdən, digər yarısı isə hər bir işçinin təhlükəsizlik mədəniyyətidir.

Ona görə də profilaktik söhbətlərin, təlimlərin keçirilməsi vacibdir. IN müasir dünya kiber təhdidlər insanlar üçün nəzərdə tutulub: əgər siz fişinq e-poçtu alırsınızsa, siz linkə daxil olana və üzərinə klikləməyincə bu, zərərsizdir. Şirkətimizdə kollektivin şüuruna, insanlarla işləməyə, maarifləndirməyə önəm verilir. Yaxşı, üçüncü məqam təşkilatçılıqdır, insanlar qaydaları bilməli, qaydalar yazılmalıdır, müəyyən siyasət olmalıdır ki, hər kəs ona əməl etməlidir.

Unutmayın: kibertəhlükələr dünyada çox yayılmışdır və eyni zamanda, hücumların nəticələri çox ciddidir - biznesin tam itirilməsinə, iflasa qədər. Təbii ki, məsələ gündəmdədir. Dövrümüzdə təhlükəsizlik sadəcə bir hissəsi olmaq məcburiyyətindədir korporativ mədəniyyət, və top menecment bu məsələdə ilk maraqlı tərəfdir, çünki biznesi idarə edir və risklər reallaşdıqda ilk növbədə onlar məsuliyyət daşıyacaqlar.

İşçilərinizə kibertəhlükəsizlik insidentlərindən qaçmağa kömək edəcək bəzi məsləhətlər:

  1. Siz yoxlanılmamış keçidləri izləyə bilməzsiniz;
  2. Məxfi məlumatları yaymayın;
  3. Şifrəni bir kağız parçasına yaza və stiker yapışdıra bilməzsiniz;
  4. Əmin olmadığınız USB mediadan istifadə etməyin (təcavüzkar yoluxmuş fiziki cihazı qurbanın mütləq tapacağı yerdə qoya bilər);
  5. Saytlarda qeydiyyatdan keçərkən, telefon nömrəsini və poçt ünvanını göstərərək, bu məlumatın nə üçün lazım olduğunu diqqətlə araşdırın, bəlkə də bu şəkildə pullu bülletenə abunə olursunuz.

Ümid edirəm ki, zaman keçdikcə təhlükəsizlik hər bir şirkətdə korporativ mədəniyyətin əsas elementinə çevriləcək.

Siz fakültədə informasiya təhlükəsizliyi sahəsində işləmək bacarıqlarını mükəmməl şəkildə mənimsəyə bilərsiniz.

IN müasir şərait informasiya iqtisadiyyatın əsas komponentləri olan əmtəə və əmlakın bütün xassələrinə malikdir ki, bu da informasiyanı çox fərqli xarakterli (kommersiya, sosial, cinayət və s.) maraqların obyektinə çevirir.

Hal-hazırda kompüter məlumatlarının qorunmasına həsr olunmuş çoxlu sayda əsərlər mövcuddur, lakin əsərlərin əksəriyyətini başa düşmək üçün riyaziyyat, radioölçmələr və proqramlaşdırma sahəsində dərin və çox xüsusi biliklər tələb olunur. Eyni zamanda, gələcək iqtisadçılar və menecerlər gələcək fəaliyyət sahələrində informasiya təhlükəsizliyinə yanaşma haqqında aydın və vahid təsəvvürə malik olmalıdırlar.

Altında informasiya təhlükəsizliyi (İnformasiya Təhlükəsizliyi) resursların təhlükəsizliyinə aiddir məlumat Sistemi(IS) məlumatın məxfiliyinə, bütövlüyünə və əlçatanlığına təhlükə yaradan amillərdən.

Təhlükəsizlik siyasəti

Qorunan İS-nin inteqrasiya xarakteristikası təhlükəsizlik siyasətidir - sistemi təmsil edən mühafizə xüsusiyyətlərinin keyfiyyət və ya kəmiyyət xarakteristikası.

Hər bir təşkilatın rəhbərliyi təhlükəsizlik rejiminin saxlanmasının zəruriliyini dərk etməli və bunun üçün əhəmiyyətli resurslar ayırmalıdır. əsas vəzifəüçün həll edilməli olan idarəetmə səviyyəsi- Təhlükəsizlik siyasətini formalaşdırmaq.

İnformasiya təhlükəsizliyinin təmin edilməsi xərcləri qorunan məlumatların sızması nəticəsində yarana biləcək zərərdən artıq olmamalıdır. Bununla belə, ondan dəyən ümumi zərərin, o cümlədən təkcə hadisə nəticəsində aşkar ödənişlərin deyil, həm də nüfuza dəyən zərərin, itirilmiş mənfəətin və s.-nin necə hesablanması qeyri-müəyyən görünür.

İstifadəçinin rahatlığı da daxil olmaqla digər məhdudiyyətlər var. Əgər xidmət işçilərin təhlükəsiz, lakin əlverişsiz mexanizmdən istifadə etmələrinin tələb oluna biləcəyi korporativ xidmətlərdən biri deyilsə, o zaman yadda saxlamalısınız ki, istifadəçilər işlərində çətinlik yaradan vəziyyətləri - əlavə parolları xatırlamaq və istifadə etməkdən xoşlanmırlar. onlar və s. Bu isə o deməkdir ki, təhlükəsizlik səviyyəsinin müəyyən nöqtədən yüksəlməsi xidmətin dövriyyəsini azalda bilər.

Hər bir təşkilatın CIO-nun hazırladığı təhlükəsizlik siyasəti məhz bu balansı qorumaq üçün nəzərdə tutulub.

Təhlükəsizlik siyasəti - informasiyanın və onunla əlaqəli resursların qorunmasına yönəlmiş sənədləşdirilmiş idarəetmə qərarlarının məcmusudur. Təhlükəsizlik siyasəti təşkilatın öz informasiya aktivlərinin qorunmasına yanaşmasını əks etdirməlidir. Praktik baxımdan təhlükəsizlik siyasətini üç səviyyəyə bölmək olar.

TO üst səviyyə bütövlükdə təşkilata təsir edən qərarlar daxildir (istifadə məsələləri kompüter texnologiyası və informasiya sistemləri).

Orta səviyyə müəyyən mühüm məsələlərə aiddir (məsələn, internetə çıxış və ya iş yerində ev kompüterlərindən istifadə).

Təhlükəsizlik siyasəti aşağı səviyyə konkret xidmətlərə istinad edir və onlara nail olmaq üçün məqsədləri və qaydaları təsvir edir, ona görə də onu icra məsələlərindən ayırmaq bəzən çətin olur. Eyni zamanda, informasiya xidmətlərinin təhlükəsizliyi ilə bağlı qərarlar texniki səviyyədə deyil, idarəetmə səviyyəsində qəbul edilməlidir. Təhlükəsizlik siyasətini düzgün həyata keçirmək üçün siz təhdid növlərini və qorunma üsullarını bilməlisiniz.

  • CIO (Baş İnformasiya Direktoru) - korporasiyanın işçisi, ən yüksək rütbəli icraçı, yeni texnologiyaların əldə edilməsi və tətbiqinə cavabdeh olan, menecment informasiya resursları. Rus dilində bu anlayış ən dəqiq şəkildə "İT direktoru", "İnformasiya texnologiyaları departamentinin direktoru", "müavin CEO On IT". Material Vikipediyadan - pulsuz ensiklopediyadan.

Məxfi məlumatlar rəqabət aparan firmalar üçün böyük maraq doğurur. Təcavüzkarların təcavüzünə səbəb olan odur.

Bir çox problemlər təhlükənin əhəmiyyətinin düzgün qiymətləndirilməməsi ilə əlaqədardır, nəticədə bu, müəssisənin iflasına və iflasına səbəb ola bilər. İşçi heyətin bircə səhlənkarlığı belə şirkətə milyonlarla dollar zərər və müştəri etibarını itirə bilər.

Təhdidlər şirkətin tərkibi, statusu və fəaliyyəti haqqında məlumatları ifşa edir. Belə təhdidlərin mənbələri onun rəqibləri, korrupsionerlər və cinayətkarlardır. Onlar üçün xüsusi dəyər mühafizə olunan informasiya ilə tanışlıq, habelə maddi ziyan vurmaq məqsədilə dəyişdirilməsidir.

Hətta 20% informasiya sızması belə nəticəyə gətirib çıxara bilər. Bəzən şirkət sirlərinin itirilməsi təsadüfən, personalın təcrübəsizliyi və ya təhlükəsizlik sistemlərinin olmaması səbəbindən baş verə bilər.

Müəssisənin mülkiyyətində olan məlumat üçün aşağıdakı növ təhlükələr ola bilər.

Məlumatların və proqramların məxfiliyinə təhdidlər. Məlumatlara, rabitə kanallarına və ya proqramlara qeyri-qanuni girişdən sonra baş verə bilər. Kompüterdən olan və ya göndərilən məlumat sızma kanalları vasitəsilə tutula bilər.

Bunun üçün kompüterdə işləyərkən alınan elektromaqnit şüalanmanı təhlil edən xüsusi avadanlıq istifadə olunur.

Zərər riski. Hakerlərin qeyri-qanuni hərəkətləri marşrutun təhrif edilməsinə və ya ötürülən məlumatın itirilməsinə səbəb ola bilər.

Əlçatanlıq təhlükəsi. Bu cür hallar qanuni istifadəçinin xidmətlərdən və resurslardan istifadə etməsinə mane olur. Bu, onlar tutulduqdan, onlar haqqında məlumat alındıqdan və ya xətlər müdaxilə edənlər tərəfindən bloklandıqdan sonra baş verir. Belə bir hadisə ötürülən məlumatın etibarlılığını və vaxtında olmasını təhrif edə bilər.

Üç var mühüm şərtlər Rusiya vətəndaşına imkan verəcək: ideal biznes planı, düşünülmüş mühasibat uçotu və kadr siyasəti və nağd pulun mövcudluğu.

MMC açmaq üçün sənədlərin hazırlanması müəyyən vaxt tələb edir. Bank hesabı açmaq üçün təxminən 1-2 gün vaxt lazımdır. MMC açmaq üçün tələb olunan sənədlər haqqında ətraflı oxuyun.

Əməliyyatların icrasından imtina riski.İstifadəçinin məsuliyyətdən yayınmaq üçün ötürdüyü məlumatlardan imtina etməsi.

daxili təhdidlər. Bu cür təhdidlər müəssisə üçün böyük təhlükə yaradır. Onlar təcrübəsiz menecerlərdən, səriştəsiz və ya ixtisassız kadrlardan gəlirlər.

Bəzən bir müəssisənin işçiləri bilərəkdən daxili məlumat sızmasına səbəb ola bilər, bununla da öz maaşından, işindən və ya həmkarlarından narazılıqlarını göstərirlər. Onlar müəssisənin bütün qiymətli məlumatlarını asanlıqla rəqiblərinə təqdim edə, onu məhv etməyə cəhd edə və ya bilərəkdən kompüterlərə virus yeridə bilərlər.

Müəssisənin informasiya təhlükəsizliyinin təmin edilməsi

Kritik Proseslər mühasibat uçotu və təhlükəsizliyinə bütün texniki və təşkilati tədbirlərlə nail olunan müvafiq sinif sistemləri ilə avtomatlaşdırılır.

Bunlara antivirus sistemi, firewall mühafizəsi və daxildir elektromaqnit şüalanması. Sistemlər məlumatı qoruyur elektron media, rabitə kanalları vasitəsilə ötürülən məlumatlar, müxtəlif sənədlərə girişi məhdudlaşdırmaq, ehtiyat nüsxələri yaratmaq və zədələndikdən sonra məxfi məlumatı bərpa etmək.

Müəssisədə informasiya təhlükəsizliyinin tam təmin edilməsi bütün il boyu, gecə-gündüz real vaxt rejimində tam nəzarətdə olmalıdır və olmalıdır. Sistem hər şeyi nəzərə alır həyat dövrü məlumatın tam məhv edilməsinə və ya müəssisə üçün əhəmiyyətinin itirilməsinə qədər göründüyü andan.

İnformasiya təhlükəsizliyi sənayesində təhlükəsizlik və məlumat itkisinin qarşısını almaq üçün mühafizə sistemləri hazırlanır. Onların işi hər hansı məlumat itkisinin qarşısını alan geniş seçimlərə malik mürəkkəb proqram sistemlərinə əsaslanır.

Proqramların spesifikliyi ondan ibarətdir ki, onların düzgün işləməsi üçün məlumatların və sənədlərin daxili dövriyyəsinin oxunaqlı və yaxşı yağlanmış modeli tələb olunur. Məlumatdan istifadə zamanı bütün mərhələlərin təhlükəsizlik təhlili verilənlər bazası ilə işləməyə əsaslanır.

İnformasiya təhlükəsizliyinin təmin edilməsi onlayn alətlərdən, eləcə də müxtəlif internet resurslarında təklif olunan məhsul və həllərdən istifadə etməklə həyata keçirilə bilər.

Bu xidmətlərin bəzilərinin tərtibatçıları qiymət və funksionallığın ideal balansını təmin etməklə yanaşı, xarici və daxili təhdidlərdən qoruyan informasiya təhlükəsizliyi sistemini düzgün tərtib etməyi bacarıblar. Təklif olunan çevikliklər modul komplekslər aparat işini birləşdirir və proqram vasitələri.

Növlər

İnformasiya təhlükəsizliyi sistemlərinin fəaliyyət məntiqi aşağıdakı hərəkətləri əhatə edir.

Məlumatların təhlükəsizliyinə təhdidlərin, müəssisəyə ziyan vuran və onun işində və inkişafında uğursuzluqlara səbəb olan motiv və şərtləri proqnozlaşdırmaq və tez tanımaq.

Təhlükə səviyyəsinin və müəssisəyə ziyan vurma ehtimalının minimuma endirilməsi üçün belə iş şəraitinin yaradılması.

Zərərin ödənilməsi və müəyyən edilmiş zərər cəhdlərinin təsirinin minimuma endirilməsi.

İnformasiya təhlükəsizliyi vasitələri ola bilər:

  • texniki;
  • proqram təminatı;
  • kriptoqrafik;
  • təşkilati;
  • qanunvericilik.

Müəssisədə informasiya təhlükəsizliyinin təşkili

Bütün sahibkarlar həmişə məlumatın mövcudluğunu və məxfiliyi təmin etməyə çalışırlar. Uyğun məlumat mühafizəsini inkişaf etdirmək üçün mümkün təhlükələrin xarakteri, habelə onların baş vermə formaları və üsulları nəzərə alınır.

Müəssisədə informasiya təhlükəsizliyinin təşkili elə həyata keçirilir ki, haker çoxsaylı müdafiə səviyyələri ilə üzləşə bilsin. Nəticədə, təcavüzkar qorunan hissəyə nüfuz edə bilmir.

Məlumatın mühafizəsinin ən effektiv yolu məlumat ötürülməsi zamanı kriptoqrafik cəhətdən güclü şifrələmə alqoritmidir. Sistem məlumatın özünü şifrələyir, həm də ona daxil olmaq üçün də aktualdır.

İnformasiyaya çıxışın strukturu çoxsəviyyəli olmalıdır, bununla əlaqədar olaraq, yalnız seçilmiş işçilərə ona daxil olmağa icazə verilir. Bütün məlumat həcminə tam çıxış hüququ yalnız etibarlı şəxslərə malik olmalıdır.

Məxfi xarakterli məlumatlara aid məlumatların siyahısı müəssisənin rəhbəri tərəfindən təsdiq edilir. Bu sahədə hər hansı pozuntular müəyyən sanksiyalarla cəzalandırılmalıdır.

Mühafizə modelləri müvafiq GOST-lar tərəfindən təmin edilir və bir sıra kompleks tədbirlərlə standartlaşdırılır. Hazırda şəbəkənin vəziyyətini və informasiya təhlükəsizliyi sistemlərinin istənilən xəbərdarlıqlarını gecə-gündüz izləyən xüsusi kommunal proqramlar hazırlanmışdır.

Unutmayın ki, ucuz simsiz şəbəkələr lazımi səviyyədə qorunma təmin edə bilməz.

Təcrübəsiz işçilər səbəbindən məlumatların təsadüfən itirilməsinin qarşısını almaq üçün administratorlar təlimlər keçirməlidirlər. Bu, müəssisəyə işçilərin işə hazırlığına nəzarət etməyə imkan verir və menecerlərə bütün işçilərin informasiya təhlükəsizliyi tədbirlərinə əməl edə bildiyinə əminlik verir.

Bazar iqtisadiyyatı mühiti və yüksək rəqabət mühiti şirkət rəhbərlərini daima ayıq-sayıq olmağa və istənilən çətinliklərə tez cavab verməyə məcbur edir. Son 20 il ərzində informasiya texnologiyaları inkişaf, idarəetmə və biznesin bütün sahələrinə daxil ola bildilər.

Real dünyadan biznes çoxdan virtuala çevrilib, onların necə populyarlaşdığını xatırlayın, bunun da öz qanunları var. Hazırda müəssisənin informasiya təhlükəsizliyinə virtual təhlükələr ona böyük real zərər vura bilər. Problemi düzgün qiymətləndirməməklə liderlər öz bizneslərini, reputasiyalarını və etibarlarını riskə atırlar.

Əksər müəssisələr məlumatların pozulması səbəbindən müntəzəm olaraq itkilərə məruz qalırlar. Müəssisə məlumatlarının qorunması biznesin inkişafı və fəaliyyətində prioritet olmalıdır. İnformasiya təhlükəsizliyinin təmin edilməsi uğurun, mənfəətin və şirkətin məqsədlərinə çatmağın açarıdır.

Müəssisənin informasiya təhlükəsizliyi
Biznesin məlumat mühafizəsi

*Vikipediyadan

İnformasiya təhlükəsizliyi təhlükəsizlik vəziyyətidir informasiya mühiti. İnformasiyanın mühafizəsi qorunan informasiyanın sızmasının, qorunan informasiyaya icazəsiz və qəsdən təsirlərin qarşısının alınması üzrə fəaliyyətdir, yəni bu vəziyyətə nail olmağa yönəlmiş prosesdir.

Müəssisənin informasiya təhlükəsizliyi: daxili təhlükə


Bir sıra ciddi mütəxəssislər təşkilatın informasiya təhlükəsizliyi potensial risklərin ümumi sayının 80%-ə qədərini verən daxili təhlükəni ən vacib adlandırır. Həqiqətən də, haker hücumlarından orta hesabla zərəri nəzərə alsaq, o zaman çox sayda haker cəhdi və onların çox aşağı effektivliyi səbəbindən sıfıra yaxın olacaq. Bir insan səhvi və ya uğurlu insayder səhvi şirkətə milyonlarla itkilərə (birbaşa və dolayı), məhkəmə çəkişmələrinə və müştərilərin gözündə bədnamlığa səbəb ola bilər. Əslində, şirkətin mövcudluğu təhlükə altında ola bilər və bu, təəssüf ki, reallıqdır. Necə təmin etmək olar ? Özünüzü məlumat sızmasından necə qorumalısınız? Daxili təhlükəni vaxtında necə tanımaq və qarşısını almaq olar? Bu gün onunla mübarizə aparmaq üçün hansı üsullar daha effektivdir?


İçindəki düşmən


Məxfi şirkət məlumatlarına çıxışı olan demək olar ki, hər bir işçi daxili təcavüzkar və ya insayder ola bilər. İnsayderin hərəkətlərinin motivasiyası həmişə aydın olmur, bu da onu müəyyən etməkdə əhəmiyyətli çətinliklərə səbəb olur. İşəgötürənə qarşı kin saxlayan yaxınlarda işdən çıxarılan işçi; məlumat sataraq əlavə pul qazanmaq istəyən vicdansız işçi; müasir Herostrat; bir rəqibin və ya cinayətkar qrupun xüsusi implantasiya edilmiş agenti - bunlar insayderin bir neçə arxetipidir.


Daxili bədxahlığın gətirə biləcəyi bütün bəlaların kökü bu təhlükənin əhəmiyyətini lazımınca qiymətləndirməməkdir. Perimetrix tərəfindən aparılan araşdırmaya görə, şirkətin məxfi məlumatlarının 20%-dən çoxunun sızması əksər hallarda onun iflasına və iflasına gətirib çıxarır. Xüsusilə tez-tez rast gəlinən, lakin yenə də insayderlərin ən həssas qurbanı maliyyə institutlarıdır və istənilən ölçüdə - yüzlərlə və bir neçə min işçi heyəti ilə. Əksər hallarda şirkətlərin insayder hərəkətlərindən dəyən zərərin real rəqəmlərini gizlətməyə və ya əhəmiyyətli dərəcədə aşağı qiymətləndirməyə cəhd etmələrinə baxmayaraq, hətta rəsmi olaraq elan edilmiş itkilər də həqiqətən təsir edicidir. Şirkət üçün maliyyə itkilərindən qat-qat ağrılısı şirkətin reputasiyasının zədələnməsi və müştərilərin etibarının kəskin şəkildə azalmasıdır. Çox vaxt dolayı itkilər faktiki birbaşa zərərdən dəfələrlə artıq ola bilər. Beləliklə, Lixtenşteyn bankı LGT-nin işi hamıya məlumdur, o zaman ki, 2008-ci ildə bir bank işçisi əmanətçilərin məlumat bazasını Almaniya, ABŞ, Böyük Britaniya və digər ölkələrin xüsusi xidmətlərinə təhvil verib. Məlum olduğu kimi, böyük məbləğ Bankın xarici müştəriləri öz ölkələrində qüvvədə olan vergi qanunlarından yayınaraq əməliyyatlar aparmaq üçün LGT-nin xüsusi statusundan istifadə ediblər. Maliyyə araşdırmaları və bununla bağlı məhkəmə prosesləri dünyanı bürüdü və LGT bütün əhəmiyyətli müştərilərini itirdi, kritik itkilərə məruz qaldı və bütün Lixtenşteyni ağır iqtisadi və diplomatik böhrana sürüklədi. Çox təzə nümunələr axtarmağa da ehtiyac yoxdur - 2011-ci ilin əvvəlində Bank of America kimi maliyyə nəhəngi müştərinin şəxsi məlumatlarının sızması faktını etiraf etdi. Fırıldaqçılıq nəticəsində bankdan adlar, ünvanlar, nömrələr olan məlumatlar sızıb sosial sığorta və telefon nömrələri, bank hesabı və sürücülük vəsiqəsi nömrələri, ünvanlar E-poçt, PIN kodları və ianəçilərin digər şəxsi məlumatları. Yalnız “10 milyon dollardan çox” məbləğ rəsmi şəkildə açıqlansaydı, bankın itkilərinin real miqyasını dəqiq müəyyən etmək çətin ki. Məlumatların sızmasına səbəb mütəşəkkil cinayətkar qruplaşmaya məlumat ötürən insayderin hərəkətləridir. Bununla belə, təkcə banklar və fondlar insayder hücumları təhlükəsi altında deyil, WikiLeaks resursunda məxfi məlumatların dərci ilə bağlı bir sıra yüksək səviyyəli qalmaqalları xatırlatmaq kifayətdir - ekspertlərin fikrincə, kifayət qədər məlumat əldə edilib. insayderlər vasitəsilə.


həyat nəsri


Şirkət məxfi məlumatlarına qəsdən zərər vurmaq, onların sızması və ya itməsi insayderlərin vurduğu zərərdən daha tez-tez və prozaik bir şeydir. İşçi heyətin diqqətsizliyi və lazımi texniki məlumat təhlükəsizliyinin olmaması korporativ sirlərin birbaşa sızmasına səbəb ola bilər. Bu cür səhlənkarlıq nəinki büdcəyə və şirkətin reputasiyasına ciddi zərər vurur, həm də geniş ictimai dissonansa səbəb ola bilər. Sərbəst, məxfi məlumatlar dar bir dairənin deyil, bütün informasiya məkanının mülkiyyətinə çevrilir - sızma internetdə, televiziyada, mətbuatda müzakirə olunur. Ən böyük rus operatorunun SMS-mesajlarının dərci ilə bağlı səs-küylü qalmaqalı xatırlayaq mobil rabitə"Meqafon". Texniki personalın diqqətsizliyi ucbatından SMS-lər internet axtarış sistemləri tərəfindən indeksləşdirilib, həm şəxsi, həm də biznes xarakterli məlumatları özündə əks etdirən abunəçi yazışmaları şəbəkəyə daxil olub. Çox yaxın bir hadisə: şəxsi müştəri məlumatlarının dərci pensiya fondu Rusiya. Fondun regional nümayəndəliklərindən birinin nümayəndələrinin səhvi indeksləşdirməyə səbəb olub Şəxsi məlumat 600 nəfər - adlar, qeydiyyat nömrələri, PFR müştərilərinin əmanətlərinin ətraflı məbləğləri istənilən İnternet istifadəçisi tərəfindən oxuna bilər.


Səhlənkarlıq nəticəsində məxfi məlumatların sızmasının çox yayılmış səbəbi şirkət daxilində sənədlərin gündəlik dövriyyəsi ilə bağlıdır. Beləliklə, məsələn, işçi ofisdən kənarda məlumatlarla işləmək üçün həssas məlumatları ehtiva edən faylı noutbuka, USB belleğe və ya PDA-ya köçürə bilər. Həmçinin, məlumat bir fayl hostinq xidmətinə və ya işçinin şəxsi poçtuna daxil ola bilər. Belə vəziyyətlərdə məlumatlar qəsdən sızmadan istifadə edə bilən təcavüzkarlar üçün tamamilə müdafiəsizdir.

Qızıl zireh yoxsa bədən zirehləri?


İnformasiya təhlükəsizliyi sənayesində məlumat sızmasından qorunmaq üçün ənənəvi olaraq ingilis dilindən DLP abbreviaturası ilə işarələnən məlumatın sızmasından qorunması üçün müxtəlif sistemlər yaradılır. Məlumat sızmasının qarşısının alınması ("məlumat sızmasının qarşısının alınması"). Bir qayda olaraq, bunlar gizli məlumatların zərərli və ya təsadüfən sızmasının qarşısını almaq üçün geniş funksionallığa malik ən mürəkkəb proqram sistemləridir. Belə sistemlərin bir xüsusiyyəti ondan ibarətdir ki, onların düzgün işləməsi məlumat və sənədlərin daxili dövriyyəsinin yaxşı qurulmuş strukturunu tələb edir, çünki məlumatla bütün hərəkətlərin təhlükəsizliyinin təhlili verilənlər bazası ilə işləməyə əsaslanır. Bu, peşəkar DLP həllərinin quraşdırılmasının yüksək qiymətini izah edir: hətta birbaşa tətbiq etməzdən əvvəl, müştəri şirkət verilənlər bazası idarəetmə sistemini (adətən Oracle və ya SQL) satın almalı, məlumat axını strukturunun bahalı təhlili və auditini sifariş etməli və yeni təhlükəsizlik sistemi hazırlamalıdır. siyasət. Ümumi bir vəziyyət, bir şirkətdə məlumatın 80% -dən çoxunun strukturlaşdırılmamış olmasıdır ki, bu da miqyas haqqında vizual bir fikir verir. hazırlıq fəaliyyətləri. Təbii ki, DLP sisteminin özü də çox pul tələb edir. Təəccüblü deyil, yalnız böyük şirkətlər milyonlar xərcləməyə hazırdır təşkilatın informasiya təhlükəsizliyi.


Bəs təmin etməli olan kiçik və orta biznes haqqında nə demək olar biznes məlumat təhlükəsizliyi, lakin peşəkar DLP sistemini tətbiq etmək üçün vəsait və imkanlar yoxdur? Şirkət rəhbəri və ya mühafizə işçisi üçün ən vacib məsələ hansı məlumatların qorunmasını və işçilərin informasiya fəaliyyətinin hansı tərəflərinin nəzarətə götürülməsini müəyyən etməkdir. IN rus biznesiİndiyə qədər üstünlük təşkil edən fikir ondan ibarətdir ki, məlumatı təsnifləşdirmədən və qorunma tədbirlərinin effektivliyini hesablamadan tamamilə hər şeyin qorunması lazımdır. Bu yanaşma ilə, xərclərin miqdarını öyrəndiyiniz olduqca aydındır müəssisənin informasiya təhlükəsizliyi, orta və kiçik biznesin rəhbəri əlini yelləyərək “bəlkə”yə ümid edir.

Verilənlər bazalarına və məlumatın müəyyən edilmiş həyat dövrünə təsir etməyən, lakin müdaxilə edənlərin hərəkətlərindən və işçilərin səhlənkarlığından etibarlı müdafiəni təmin edən alternativ qorunma üsulları mövcuddur. Bunlar həm aparat, həm də proqram təminatı ilə (məsələn, antiviruslarla) digər təhlükəsizlik vasitələri ilə problemsiz işləyən çevik modul komplekslərdir. Yaxşı dizayn edilmiş təhlükəsizlik sistemi həm xarici, həm də daxili təhdidlərə qarşı çox etibarlı qorunma təmin edərək, ideal qiymət və funksionallıq balansını təmin edir. Rusiya informasiya təhlükəsizliyi sistemlərinin inkişaf etdiricisi olan şirkətin ekspertlərinin fikrincə SafenSoft, xarici təhdidlərdən qorunma elementlərinin (məsələn, müdaxilənin qarşısının alınması üçün HIPS, üstəgəl virus skaneri) istifadəçi və proqramların ayrı-ayrı informasiya sektorlarına girişinə nəzarət və nəzarət alətləri ilə optimal birləşməsi. Bu yanaşma ilə təşkilatın bütün şəbəkə strukturu mümkün haker hücumlarından və ya viruslara yoluxmaqdan tamamilə qorunur və məlumatla işləyərkən personalın hərəkətlərinə nəzarət və monitorinq vasitələri məlumat sızmasının qarşısını effektiv şəkildə ala bilir. Bütün lazımi arsenal ilə qoruyucu avadanlıq, modul sistemlərin dəyəri mürəkkəb DLP həllərindən on dəfə azdır və şirkətin informasiya strukturunun ilkin təhlili və uyğunlaşdırılması üçün heç bir xərc tələb etmir.


Beləliklə, yekunlaşdıraq. Təhdidlər müəssisənin informasiya təhlükəsizliyi olduqca realdır, onları qiymətləndirməmək olmaz. Xarici təhlükələrə qarşı mübarizə ilə yanaşı Xüsusi diqqət daxili təhdidlərə verilməlidir. Yadda saxlamaq lazımdır ki, korporativ sirlərin sızması təkcə pis niyyətlə deyil, bir qayda olaraq, işçinin elementar səhlənkarlığı və diqqətsizliyi nəticəsində baş verir. Qoruma vasitələrini seçərkən, bütün ağlasığmaz və ağlasığmaz təhdidləri əhatə etməyə çalışmamalısınız, bunun üçün kifayət qədər pul və güc olmayacaqdır. Kənardan müdaxilə risklərindən qorunan və şirkət daxilində məlumat axınına nəzarət etməyə və nəzarət etməyə imkan verən etibarlı modul təhlükəsizlik sistemi qurun.

Oxşar yazılar: