1.3.1. Мотивация

руски и световна практикарегулирането на информационната сигурност (ИС) от близкото минало се състои от задължителни изискваниянационални упълномощени органи, съставен по формуляра ръководни документи RD. Следователно за висшето ръководство и собствениците на организации имаше само един проблем за съответствие с тях (съответствие) и само един начин за решаването му - как да се изпълнят предложените изисквания с минимални разходи. Упълномощените органи имаха собствен проблем – както поради невъзможността да обхванат всички възможни видове дейности и условията за тяхното изпълнение, така и поради значителни различия в целите на дейностите, да предложат универсален набор от изисквания. За да направите това, проблемът за информационната сигурност се разглежда като самодостатъчна единица, инвариантна към дейности, цели, условия и също така е значително намалена по съдържание в името на универсалността.

И двата подхода (на организациите и на регулаторите) са неадекватни на съществуващата реалност и я представят в значително изкривен вид. По този начин основните съществени ограничения върху дейностите на IS са свързани с традиционния модел на IS, който предполага задължителното присъствие на нападател, който се стреми да повреди активи (информация), и съответно е фокусиран върху защитата на информацията от действията на такъв субект (група предмети). В същото време инциденти, свързани например с кадрови промениприложният софтуер не може да бъде приписан на нападател. тях възможни причини- Слабо развит мениджмънт и слаба технологична база. Собствената неадекватност на организацията (мениджмънт, основни бизнес процеси) към преобладаващите условия като цяло е много мощен източник на проблеми, който се игнорира поради невъзможността да се свърже с нападател.

По-нататъшното развитие на моделите на IS беше свързано с укрепването на ролята на собственика (собственика) и се сведе до факта, че той сам избира (на свой риск и риск) от това, което му се предлага. стандартен комплектзащитни мерки са тези, от които той се нуждае, т.е. тези, които според него могат да осигурят приемливо ниво на безопасност. Това беше значителна стъпка напред, тъй като гарантира, че информационната сигурност е свързана с конкретен обект със специфични условия за неговото съществуване, частично разрешавайки противоречията, свързани със самодостатъчността на проблема за информационната сигурност. Не беше възможно обаче да се предложи конструктивен механизъм за собственика, освен създаването на каталог на обекти с избрани типични защитни мерки (защитни профили). Самите профили са създадени по експертния евристичен метод. В същото време остава неизвестен какъв риск е поел собственикът и се установява на практика.

По-нататъшната еволюция се свежда до тезата, че информационната сигурност може да създаде (генерира) щети за целите на дейността и следователно рисковете за информационната сигурност (която остана самодостатъчна) трябва да бъдат координирани (свързани) с рисковете на организацията. Остава само да се посочи как да се свържат и да се интегрира системата за управление на информационната сигурност (ISMS) в корпоративното управление не като изолирана и независима системапроцеси, а като интегрален, силно свързан компонент на управлението. Това се провали. Този подход обаче напредна добре в редица категории за оценка на ИВ, включително рисковете от ИВ.

Известни са и прагматични модели на ИС, основани на оценката на общата цена на притежание (по отношение на ИС) и „възвращаемостта” на инвестициите в ИС. В рамките на този подход група организации, сходни по отношение на целите и условията на дейност на организации, периодично оценява областите на внедряване на ИС и формира модел, състоящ се от най-добрите практики за групата. Освен това всяка от организациите, в съответствие с изоставането си от добрите практики и условията (възникнали инциденти), определя посоката и обема на инвестициите. Ефективността на инвестициите се оценява през следващия период чрез намаляване на щетите от инциденти, които са се оказали в областта на направените инвестиции и следователно не са причинили големи щети.

Въпреки това, този подход, с много от своите предимства, изисква широк обмен на чувствителна информация, а конфликтът на интереси на участниците в обмена изключва създаването на качествени мерки за изграждане на доверие, така че не се използва широко.

Моделът на ИС, предложен в стандарта на Централната банка на Руската федерация, доразви проблема както по отношение на неговата интеграция (свързана с целите на дейността), така и по отношение на разширяване на интерпретацията на същността на „нарушителя“. Нападателят е човек, който е в състояние да се изправи срещу собственика и има своя цел, която реализира, постигайки контрол върху активите на организацията.

Този подход значително разширява видовете и източниците на щети за организацията, които попадат в обхвата на разглеждане на ИВ, където тяхното разрешаване е най-рационално. Въпреки това, това беше до голяма степен компромисен подход и спешно изисква по-нататъшно сближаване на проблемите на информационната сигурност с крайния резултат от дейността (произведен продукт). Имаме нужда от модел, който наистина помага на бизнеса, пряко допринася за неговото представяне и необходимото подобрение чрез създаване и поддържане на сигурна и надеждна информационна сфера, включително чрез борба с нарушител. Само такъв модел може да се възприеме от бизнеса. Всеки друг ще бъде отхвърлен от тях.

5.4. Адаптиране на информационната сигурност

1. Философия за сигурност на бизнес информацията

1.1.4. Определение за информационна сигурност Постепенно осъзнаване на факта, че информационното въздействие върху бизнес процес (върху неговото управление) може да бъде по-ефективно от материално или финансово въздействие, както и нисък ресурсен праг за такива въздействия

2. Съществуващи модели на управление (управление), приложими за гарантиране на сигурността на бизнес информацията Ако една организация разполага с неограничен ресурс, тогава няма проблеми с управлението, за да се гарантира информационната сигурност на нейния бизнес. Ако

3. Оценка на сигурността на бизнес информацията. Проблемът с измерването и оценката на сигурността на бизнес информацията 3.1. Начини за оценка на информационната сигурност Организации, чийто бизнес зависи до голяма степен от информационната сфера за постигане на бизнес цели

3.1. Методи за оценка на информационната сигурност Организациите, чийто бизнес зависи до голяма степен от информационната сфера, за да постигнат бизнес целите си, трябва да поддържат система за информационна сигурност (IS Maintenance System) на необходимото ниво. ISIS е комплект

3.2. Процес на оценка на информационната сигурност 3.2.1. Основни елементи на процеса на оценка Процесът на оценка на ИС включва следните елементи на оценката: - контекстът на оценката, който определя входните данни: целите и предназначението на оценката на ИС, вида на оценката ( независима оценка,

3.2.2. Контекстът на оценката на информационната сигурност на организацията Контекстът на оценката на IS включва целите и предназначението на оценката на IS, вида на оценката, обекта и областите на оценката на IS, ограниченията на оценката, ролите и ресурсите. изпълнението на процеса на оценяване включва организатора,

Министерство на образованието и науката Руска федерация

федерална държавна бюджетна образователна институция

висше професионално образование

„ПЕРМ НАЦИОНАЛНО ИЗСЛЕДВАНЕ

ПОЛИТЕХНИЧЕСКИ УНИВЕРСИТЕТ"

Тест

по дисциплина

ИНФОРМАЦИОННА СИГУРНОСТ НА ПРЕДПРИЯТИЕТО

Тема "Информационна сигурност в бизнеса на примера на Alfa-Bank"

Попълнено от ученик

Група FK-11B:

Смышляева Мария Сергеевна

Проверен от учителя:

Шабуров Андрей Сергеевич

Перм - 2013 г

Въведение

Заключение

Библиография

Въведение

Информационните ресурси на повечето компании са сред най-ценните ресурси. Поради тази причина търговската, поверителна информация и личните данни трябва да бъдат надеждно защитени от злоупотреба, но в същото време лесно достъпни за субектите, участващи в обработката на тази информация или използващи я в процеса на изпълнение на възложените задачи. Използвайте за това специални средствадопринася за устойчивостта на бизнеса на компанията и нейната жизнеспособност.

Както показва практиката, въпросът за организирането на защитата на бизнеса в съвременните условия стана най-актуален. Онлайн магазините се „отварят“ и кредитните карти на клиентите се изпразват, казината и лотарията се изнудват, корпоративните мрежи попадат под външен контрол, компютрите са „зомбирани“ и включени в ботнет мрежи, а измамите с откраднати лични данни се превръщат в катастрофа в национален мащаб.

Затова ръководителите на компаниите трябва да са наясно с важността на информационната сигурност, да се научат как да предвиждат и управляват тенденциите в тази област.

Целта на тази работа е да се идентифицират предимствата и недостатъците на системата за сигурност на бизнес информацията, използвайки примера на Alfa-Bank.

Характеристики на дейността на Alfa-Bank OJSC

Alfa-Bank е основана през 1990 г. Alfa-Bank е универсална банка, която извършва всички основни видове банкови операции на пазара на финансови услуги, включително обслужване на частни и корпоративни клиенти, инвестиция банков бизнес, търговско финансиране и управление на активи.

Централният офис на Alfa-Bank се намира в Москва; общо 444 клона и клонове на банката са открити в регионите на Русия и в чужбина, включително дъщерна банка в Холандия и финансови дъщерни дружествав САЩ, Великобритания и Кипър. В Alfa-Bank работят около 17 000 служители.

Alfa-Bank е най-голямата руска частна банка по размер общата сума на активите, общ капитал и размер на депозитите. Банката разполага с голяма клиентска база както от корпоративни клиенти, така и от лица. Alfa-Bank се развива като универсална банкав основните области: корпоративен и инвестиционен бизнес (включително малък и среден бизнес(МСП), търговия и структурирано финансиране, лизинг и факторинг), търговията на дребно(включително системата от банкови клонове, заеми за автомобили и ипотеки). Специално вниманиесе насочва към разработването на банкови продукти корпоративен бизнесв масовия и малкия и среден сегмент, както и развитието на дистанционни канали за самообслужване и интернет придобиване. Стратегическите приоритети на Alfa-Bank са да запази статута си на водеща частна банка в Русия, да укрепи стабилността, да увеличи рентабилността и да наложи индустриални стандарти за технологии, ефективност, обслужване на клиенти и работа в екип.

Alfa-Bank е една от най-активните руски банки на световните капиталови пазари. Водещи международни рейтингови агенции определят Alfa-Bank като един от най-много високи оценкисред руските частни банки. Той е класиран на #1 в индекса за клиентско изживяване четири пъти подред. Сектор търговия на дребно банкови услугислед финансовата криза", проведена от Senteo съвместно с PricewaterhouseCoopers. Също през 2012 г. Alfa-Bank беше призната най-добрият интернетбанка според списание GlobalFinance, беше наградена за най-добри анализи от Националната асоциация на участниците на фондовия пазар (NAUFOR), стана най-добрата руска частна банка според индекса на доверие, изчислен от изследователския холдинг Romir.

Днес банката разполага с мрежа от федерален мащаб, включваща 83 пункта за продажба. Alfa Bank има една от най-големите мрежи сред търговските банки, състояща се от 55 офиса и покриваща 23 града. В резултат на разширяването на мрежата Банката има допълнителни възможности за увеличаване на клиентската си база, разширяване на обхвата и качеството на банковите продукти, прилагане на междурегионални програми, комплексно обслужванеопорни клиенти от най-големите предприятия.

Анализ на теоретичните основи на въпроса за сигурността на бизнес информацията

Уместности важността на проблема за осигуряване на информационна сигурност се дължи на следните фактори:

· Модерни ниваи темповете на развитие на средствата за информационна сигурност изостават значително от нивата и темповете на развитие на информационните технологии.

· Високи темпове на растеж на парка от персонални компютри, използвани в различни сфери на човешката дейност. Според изследване на Gartner Dataquest в момента в света има над милиард персонални компютри.

бизнес банка за информационна сигурност

· Рязко разширяване на кръга от потребители с директен достъп до изчислителни ресурси и масиви от данни;

В момента значението на информацията, съхранявана в банките, се е увеличило значително, концентрирана е важна и често секретна информация за финансовите и стопанска дейностмного хора, компании, организации и дори цели държави. Банката съхранява и обработва ценна информация, засягаща интересите на голям брой хора. Банката съхранява важна информация за своите клиенти, което разширява кръга от потенциални нарушители, които имат интерес да откраднат или повредят такава информация.

Над 90% от всички престъпления са свързани с използването на автоматизирани системи за обработка на информация на банката. Следователно, когато създават и модернизират ASOIB, банките трябва да обърнат голямо внимание на гарантирането на неговата сигурност.

Основно внимание трябва да се обърне на компютърната сигурност на банките, т.е. сигурността на автоматизираните системи за обработка на информация на банката, като най-актуален, сложен и неотложен проблем в областта на сигурността на банковата информация.

Бързото развитие на информационните технологии отвори нови бизнес възможности, но също така доведе до появата на нови заплахи. Модерен софтуерни продуктипоради конкуренцията те се продават с грешки и недостатъци. Разработчиците, включващи различни функции в своите продукти, нямат време да извършват висококачествено отстраняване на грешки на създадените софтуерни системи. Грешките и недостатъците, оставени в тези системи, водят до случайни и умишлени нарушения на информационната сигурност. Например, причините за повечето случайни загуби на информация са повреди в работата на софтуера и хардуера, а повечето атаки срещу компютърни системи се основават на грешки и недостатъци, открити в софтуера. Така например през първите шест месеца след пускането на сървърната операционна система Microsoft Windows бяха открити 14 уязвимости, 6 от които са критични. Въпреки че с течение на времето Microsoft разработва сервизни пакети, които адресират идентифицираните недостатъци, потребителите вече страдат от пробиви в информационната сигурност поради оставащите грешки. Докато тези много други проблеми не бъдат решени, недостатъчното ниво на информационна сигурност ще бъде сериозна спирачка за развитието на информационните технологии.

Под информационна сигурностразбира се сигурността на информацията и поддържащата инфраструктура от случайни или умишлени въздействия от естествен или изкуствен характер, които могат да причинят неприемлива вреда на субектите на информационните отношения, включително собствениците и потребителите на информация и поддържаща инфраструктура.

В съвременния бизнес свят протича процес на миграция на материални активи към информационни. С развитието на една организация нейната информационна система става все по-сложна, чиято основна задача е да осигури максимална бизнес ефективност в условията на постоянно променящ се конкурентен пазар.

Разглеждайки информацията като стока, можем да кажем, че осигуряването на информационна сигурност като цяло може да доведе до значителни икономии на разходи, докато нанесените й щети водят до материални разходи. Например, разкриването на технологията на производство на оригиналния продукт ще доведе до появата на подобен продукт, но от различен производител, и в резултат на нарушения на информационната сигурност собственикът на технологията, а може би и авторът, ще губят част от пазара и т.н. От друга страна, информацията е обект на управление и нейната промяна може да доведе до катастрофални последици в обекта на управление.

Съгласно GOST R 50922-2006, осигуряването на информационна сигурност е дейност, насочена към предотвратяване на изтичане на информация, неоторизирано и непреднамерено въздействие върху защитена информация. Информационната сигурност е от значение както за предприятията, така и за държавните агенции. С цел цялостна защита на информационните ресурси се работи за изграждане и развитие на системи за информационна сигурност.

Има много причини, които могат сериозно да повлияят на работата на местните и глобални мрежи, водят до загуба на ценна информация. Сред тях са следните:

Неоторизиран достъп отвън, копиране или промяна на информация, случайни или умишлени действия, водещи до:

изкривяване или унищожаване на данни;

запознаване на неупълномощени лица с информация, представляваща банкова, финансова или държавна тайна.

Неправилна работа на софтуера, водеща до загуба или повреда на данни поради:

грешки в приложен или мрежов софтуер;

заразяване с компютърен вирус.

Неизправности в техническото оборудване, причинени от:

прекъсване на тока;

отказ на дискови системи и системи за архивиране на данни;

прекъсване на сървъри, работни станции, мрежови карти, модеми.

Грешки на обслужващия персонал.

Разбира се, няма универсално решение, но много организации са разработили и въвели технически и административни мерки за минимизиране на риска от загуба на данни или неоторизиран достъп.

Към днешна дата има голям арсенал от методи за осигуряване на информационна сигурност, който се използва и в Alfa-Bank:

· средства за идентификация и автентикация на потребителите (т.нар. комплекс 3А);

· Средства за криптиране на информация, съхранявана на компютри и предавана по мрежи;

· защитни стени;

· виртуални частни мрежи;

· инструменти за филтриране на съдържание;

· инструменти за проверка на целостта на съдържанието на дискове;

· средства за антивирусна защита;

· системи за откриване на мрежови уязвимости и анализатори на мрежови атаки.

"Комплекс 3А" включва автентификация (или идентификация), авторизация и администриране. Идентификацияи оторизацията са ключови елементи на информационната сигурност. Когато се опитате да получите достъп до която и да е програма, функцията за идентификация дава отговор на въпроса: "Кой си ти?" и "Къде си?", дали сте оторизиран потребител на програмата. Функцията за оторизация отговаря за ресурсите, до които даден потребител има достъп. Административната функция е да предостави на потребителя определени характеристики за идентификация в рамките на дадена мрежа и да определи обхвата на разрешените за него действия. В Alfa-Bank при отваряне на програми се изисква парола и вход на всеки служител, а при извършване на каквито и да е операции в някои случаи се изисква разрешение от ръководителя или неговия заместник в отдела.

Защитна стенае система или комбинация от системи, която образува защитна бариера между две или повече мрежи, която предотвратява влизането или напускането на неоторизирани пакети данни от мрежата. Основен принцип на действие на защитните стени. проверка на всеки пакет данни за съвпадение на входящия и изходящия IP_адрес с разрешената адресна база. По този начин защитните стени значително разширяват възможностите за сегментиране на информационни мрежи и контролиране на циркулацията на данни.

Говорейки за криптография и защитни стени, трябва да споменем сигурните виртуални частни мрежи (Virtual Private Network - VPN). Използването им позволява да се решат проблемите с поверителността и целостта на данните по време на предаването им по отворени комуникационни канали.

Ефективно средство за защита срещу загуба на поверителна информация. Филтриране на входящо и изходящо съдържание електронна поща. Валидирането на имейл съобщенията и техните прикачени файлове въз основа на правилата, определени от организацията, също помага за защита на компаниите от правна отговорност и за защита на техните служители от спам. Инструментите за филтриране на съдържание ви позволяват да сканирате файлове от всички често срещани формати, включително компресирани и графични. В същото време честотната лента на мрежата остава практически непроменена.

Модерен антивирусентехнологиите позволяват откриване на почти всички вече известни вирусни програми чрез сравняване на кода на подозрителен файл с проби, съхранявани в антивирусната база данни. Освен това са разработени технологии за моделиране на поведението за откриване на новосъздадени вирусни програми. Откритите обекти могат да бъдат дезинфекцирани, изолирани (карантинирани) или изтрити. Защитата от вируси може да се инсталира на работни станции, файлове и пощенски сървъри, защитни стени, работещи под почти всички общи операционна система(Windows, Unix - и Linux_systems, Novell) на различни видове процесори. Спам филтрите значително намаляват непродуктивните разходи за труд, свързани с парсирането на спам, намаляват трафика и натоварването на сървъра, подобряват психологическия фон в екипа и намаляват риска служителите на компанията да бъдат въвлечени в измамни транзакции. В допълнение спам филтрите намаляват риска от заразяване с нови вируси, тъй като съобщенията, съдържащи вируси (дори тези, които все още не са включени в антивирусните бази данни), често показват признаци на спам и се филтрират. Вярно е, че положителният ефект от филтрирането на спам може да бъде зачеркнат, ако филтърът, заедно с нежеланата поща, премахва или маркира като спам и полезни съобщения, служебни или лични.

Има няколко най-типични вида и метода информационни заплахи:

Разсекретяване и кражба на търговски тайни. Докато по-рано тайните се съхраняваха на тайни места, в масивни сейфове, под надеждна физическа и (по-късно) електронна защита, днес много служители имат достъп до офис бази данни, често съдържащи много чувствителна информация, например едни и същи клиентски данни.

Разпространение на компрометиращи материали. Тоест, умишленото или случайно използване от служители в електронна кореспонденция на такава информация, която хвърля сянка върху репутацията на банката.

Нарушение на интелектуалната собственост. Важно е да не забравяме, че всеки интелектуален продукт, произведен в банката, както във всяка организация, принадлежи на нея и не може да се използва от служители (включително генератори и автори на интелектуални ценности), освен в интерес на организацията. Междувременно в Русия по този въпрос често възникват конфликти между организации и служители, които претендират за създадения от тях интелектуален продукт и го използват за лични интереси в ущърб на организацията. Това често се случва поради неясната правна ситуация в предприятието, когато трудовият договор не съдържа ясно дефинирани норми и правила, които очертават правата и задълженията на служителите.

Разпространение (често неволно) на вътрешна информация, която не е секретна, но може да бъде полезна за конкуренти (други банки).

Посещения на уебсайтове на конкурентни банки. Сега все повече компании използват програми на своите отворени сайтове (по-специално, предназначени за CRM), които ви позволяват да разпознавате посетителите и да проследявате подробно техните маршрути, да записвате времето и продължителността на разглеждане на страниците на сайта от тях. Конкурентните уебсайтове са били и остават ценен източник за анализ и прогнозиране.

Злоупотребата с офис комуникации за лични цели (слушане, гледане на музика и друго съдържание, което не е свързано с работа, изтегляне на офис компютър) не представлява пряка заплаха за информационната сигурност, но създава допълнителен стрес върху корпоративната мрежа, намалява ефективността и пречи с работата на колегите.

И накрая, външните заплахи - неразрешени прониквания и т.н.

Приетите от банката правила трябва да отговарят както на националните, така и на международно признатите стандарти за защита на държавната и търговската тайна, личната и лична информация.

Организационна защита на информацията в Alfa-Bank

Alfa Bank OJSC е внедрила политика за сигурност, базирана на селективен метод за контрол на достъпа. Такова управление в Alfa Bank OJSC се характеризира с набор от разрешени отношения за достъп, определени от администратора. Матрицата за достъп се попълва директно от системния администратор на фирмата. Прилагането на селективна политика за информационна сигурност е съобразена с изискванията на ръководството и изискванията за информационна сигурност и контрол на достъпа, отчетност, а също така има приемлива цена на нейната организация. Прилагането на политиката за информационна сигурност е изцяло поверено на системния администратор на Alfa Bank OJSC.

Наред със съществуващата политика за сигурност, Alfa Bank OJSC използва специализиран хардуер и софтуер за сигурност.

Хардуерът за сигурност е Cisco 1605. Рутерът е оборудван с два Ethernet интерфейса (единият с TP и AUI интерфейси, другият само с TP) за локална мрежаи един разширителен слот за инсталиране на един от модулите за рутери от серия Cisco 1600. В допълнение към това софтуер Cisco IOSFirewallFeatureSet прави Cisco 1605-R идеалното гъвкаво решение за рутер/сигурност за малкия офис. В зависимост от инсталирания модул, рутерът може да поддържа връзка както през ISDN, така и чрез комутируема линия или наета линия от 1200 bps до 2 Mbps, FrameRelay, SMDS, x.25.

За да защити информацията, собственикът на LAN трябва да осигури "периметъра" на мрежата, например чрез установяване на контрол на кръстовището на вътрешната мрежа с външната мрежа. Cisco IOS осигурява висока гъвкавост и сигурност като стандартни средствакато: разширени списъци за достъп (ACL), блокиращи системи (динамични ACL) и разрешения за маршрутизиране. В допълнение, Cisco IOS FirewallFeatureSet, наличен за маршрутизаторите от сериите 1600 и 2500, предоставя цялостни функции за сигурност, включително:

контекстуален контрол на достъпа (CBAC)

заключване на java

бордови дневник

откриване и предотвратяване на атаки

незабавно известяване

В допълнение, рутерът поддържа виртуални мрежи с наслагване, тунели, система за управление на приоритети, система за резервиране на ресурси и различни методи за контрол на маршрутизирането.

Решението KasperskyOpenSpaceSecurity се използва като средство за защита на софтуера. KasperskyOpenSpaceSecurity напълно отговаря на съвременните изисквания за системи за корпоративна мрежова защита:

решение за защита на всички видове мрежови възли;

защита срещу всички видове компютърни заплахи;

ефективна техническа поддръжка;

„проактивни“ технологии, комбинирани с традиционна защита, базирана на подписи;

иновативни технологии и нов антивирусен двигател, който подобрява производителността;

готова за употреба система за защита;

централизирано управление;

пълна защита на потребителите извън мрежата;

съвместимост с решения на трети страни;

ефективно използване на мрежовите ресурси.

Разработената система трябва да осигури пълен контрол, автоматизирано отчитане и анализ на защитата на личната информация, да намали времето за обслужване на клиентите, да получава информация за кодовете за сигурност на информацията и личните данни.

За да се формира изискване за разработваната система, е необходимо да се формират изисквания за организация на базата данни, информационна съвместимост за разработваната система.

Дизайнът на базата данни трябва да се основава на вижданията на крайните потребители на конкретна организация - концептуалните изисквания към системата.

AT този случай, ИС съдържа данни за служителите на дружеството. Една от технологиите, която значително илюстрира работата на една информационна система, е разработването на схема за работен поток за документи.

Функциите на разработената система могат да бъдат постигнати чрез използване на компютърни технологии и софтуер. Като се има предвид, че търсенето на информация, информация и счетоводни документи в дейностите на банковите специалисти е около 30% от работното време, въвеждането на автоматизирана счетоводна система значително ще освободи квалифицирани специалисти, може да доведе до спестявания във фонда за заплати, намаляване на персонала обаче може да доведе и до въвеждането в персонала на отдела на звено за персонал на оператора, чиито задължения ще включват въвеждане на информация за текущи бизнес процеси: лични данни, счетоводни документи и кодове за достъп.

Трябва да се отбележи, че въвеждането на разработената система ще намали и в идеалния случай напълно ще премахне грешките при отчитане на лична информация и кодове за сигурност. Така въвеждането на работна станция на мениджъра ще доведе до значителни икономически ефект, намаляване на персонала с 1/3, спестяване на фонд работна заплата, повишаване на производителността на труда.

Alfa-Bank, както всяка друга банка, е разработила Политика за информационна сигурност, която определя система от възгледи по проблема с осигуряването на информационна сигурност и е систематично изложение на целите и целите на защитата, като едно или повече правила, процедури, практики и насоки в областта на информационната сигурност.

Политиката взема предвид състояние на техникатаи непосредствени перспективи за развитие на информационните технологии в банката, цели, задачи и правна рамкатяхната работа, режими на работа, както и съдържа анализ на заплахите за сигурността на обектите и субектите на информационните отношения на Банката.

Основни положения и изисквания този документважат за всички структурни подразделения на Банката, включително допълнителни офиси. Ключови въпроси Политиката се отнася и за други организации и институции, взаимодействащи с Банката като доставчици и потребители на информационните ресурси на Банката в едно или друго качество.

Законодателната основа на тази политика е Конституцията на Руската федерация, Гражданският и Наказателният кодекс, закони, укази, резолюции и др. регламентидействащото законодателство на Руската федерация, документи на Държавната техническа комисия към президента на Руската федерация, Федералната агенция за правителствена комуникация и информация към президента на Руската федерация.

Политиката е методологична основа за:

· формиране и прилагане на единна политика в областта на информационната сигурност в Банката;

· приемане управленски решенияи разработване на практически мерки за прилагане на политиката за информационна сигурност и разработване на набор от координирани мерки, насочени към идентифициране, отразяване и премахване на последиците от прилагането различни видовезаплахи за информационната сигурност;

· координиране на дейностите на структурните подразделения на банката при извършване на работа по създаването, развитието и експлоатацията на информационни технологии в съответствие с изискванията за осигуряване на информационна сигурност;

· разработване на предложения за подобряване на законовите, нормативните, техническите и организационна подкрепасигурност на информацията в Банката.

Системният подход за изграждане на система за информационна сигурност в Банката включва отчитане на всички взаимосвързани, взаимодействащи и променящи се във времето елементи, условия и фактори, които са значими за разбирането и решаването на проблема за осигуряване сигурността на информацията на Банката.

Осигуряване на информационна сигурност- процес, осъществяван от ръководството на банката, звената за информационна сигурност и служители на всички нива. Това не е само и не толкова процедура или политика, която се прилага в определен период от време или набор от корективни мерки, а процес, който трябва постоянно да протича на всички нива в Банката и всеки служител на Банката трябва да вземе участие в този процес. Дейностите по информационна сигурност са неразделна част от ежедневната дейност на Банката. А нейната ефективност зависи от участието на ръководството на банката в осигуряването на информационната сигурност.

В допълнение, повечето от физическите и технически средства за защита за ефективно изпълнение на техните функции изискват постоянна организационна (административна) поддръжка (навременна промяна и осигуряване на правилното съхранение и използване на имена, пароли, ключове за криптиране, предефиниране на правомощия и др.). ). Прекъсванията в работата на средствата за защита могат да бъдат използвани от нападателите за анализ на използваните методи и средства за защита, за въвеждане на специални софтуерни и хардуерни „отметки“ и други средства за преодоляване на защитата.

Лична отговорностпоема възлагането на отговорност за осигуряване сигурността на информацията и системата за нейната обработка на всеки служител в рамките на правомощията си. В съответствие с този принцип разпределението на правата и задълженията на служителите е изградено по такъв начин, че при всяко нарушение кръгът на извършителите да е ясно известен или сведен до минимум.

Alfa-Bank непрекъснато наблюдава дейностите на всеки потребител, всеки инструмент за сигурност и по отношение на всеки обект на защита трябва да се извършва въз основа на използването на инструменти за оперативен контрол и регистрация и трябва да обхваща както неоторизирани, така и разрешени действия на потребителите.

Банката е разработила следните организационни и разпоредителни документи:

· Правилник за търговската тайна. Този регламент урежда организацията, процедурата за работа с информация, представляваща търговска тайна на Банката, задълженията и отговорностите на служителите, допуснати до тази информация, процедурата за предаване на материали, съдържащи информация, представляваща търговска тайна на Банката, на държавата (търговска) институции и организации;

· Списък на информацията, представляваща служебна и търговска тайна. Списъкът определя информацията, класифицирана като поверителна, нивото и времето на ограниченията за достъп до защитена информация;

· Заповеди и разпореждания за установяване на режима за сигурност на информацията:

· допускане на служители до работа с ограничена информация;

· назначаване на администратори и лица, отговорни за работа с информация с ограничен достъп в корпоративната информационна система;

· Инструкции и функционални отговорностислужители:

· по организацията на охранително пропускателния режим;

· по организацията на деловодството;

· администриране на информационни ресурси на корпоративната информационна система;

· други нормативни документи.

Заключение

Днес въпросът за организирането на информационната сигурност е от значение за организации от всяко ниво - от големи корпорации до предприемачи без образуване на юридическо лице. Конкуренция в модерното пазарни отношениядалеч не е перфектен и често се провежда по не толкова законни начини. Индустриалният шпионаж процъфтява. Но случаите на непреднамерено разпространение на информация, свързана с търговската тайна на организацията, не са необичайни. Като правило тук играе роля небрежността на служителите, тяхното неразбиране на ситуацията, с други думи, "човешкият фактор".

Alfa-Bank гарантира защитата на следната информация:

търговска тайна

банкова тайна

банкови документи (доклади на отдел „Сигурност“, годишна оценка на банката, информация за доходите на банковите служители и др.)

Информацията в банката е защитена от такива заплахи като:

· Естествено

· Изкуствени заплахи (непреднамерени (неумишлени, случайни) заплахи, причинени от грешки в дизайна на информационната система и нейните елементи, грешки в действията на персонала и др.; умишлени (умишлени) заплахи, свързани с егоистични, идеологически или други стремежи на хората ( натрапници).

Източниците на заплахи по отношение на самата информационна система могат да бъдат както външни, така и вътрешни.

Библиография

1. Указ на президента на Руската федерация „За мерките за осигуряване на информационната сигурност на Руската федерация при използване на информационни и телекомуникационни мрежи за международен обмен на информация“ от 17 март 2008 г. № 351;

Галатенко, В.А. Основи на информационната сигурност. Интернет университет по информационни технологии. ИНТУИТ. ru, 2008;

Галатенко, В.А. Стандарти за информационна сигурност. Интернет университет по информационни технологии. ИНТУИТ. ru, 2005;

2019

Приоритети в киберсигурността на малкия и среден бизнес

Компаниите от сегмента SMB са привлечени от облаците, към сервизния модел на потребление на услуги според модела MSSP (Managed Security Service Provider). Това им помага значително да намалят оперативните разходи в областта на информационната сигурност.

Сервизният модел на потребление на IS става все по-търсен от малкия и среден бизнес, тъй като тези компании не могат да си позволят голям персонал от специалисти по сигурността.

Според Владимир Баланин, ръководител на отдела за информационна сигурност на I-Teco Group, SMB сегментът се превръща в основен потребител на услугите на доставчици на услуги, които предоставят услуги незабавно с интегрирани услуги за информационна сигурност: няма разходи за администрация, мониторинг и поддръжка на собствена инфраструктура, а рисковете, регулаторните изисквания се поемат от самия доставчик на услуги.

В същото време за руски пазарсега се характеризира с много ограничено предлагане на информационна сигурност за малките и средни предприятия. Както отбелязва Андрей Янкин, директор на Центъра за информационна сигурност в Jet Infosystems, почти всички услуги по поддръжкатанасочен към големи клиенти. Типични и евтини, но не примитивни услуги за информационна сигурност за SMB, според него практически не съществуват, въпреки че в редица други страни този пазар е добре развит.

В същото време, с развитието на сегмента на услугите за управлявана информационна сигурност и перспективата за развитие на пазара за застраховане на киберрискове, тази категория клиенти ще имат на разположение мерки, адекватни на съвременните заплахи.

Междувременно малките и средни предприятия внедряват базова ИТ сигурност, като рядко се издигат до нивото на бизнес процесите.

Според Дмитрий Пудов, заместник-генерален директор на Angara Technologies Group за технологии и развитие, представителите на МСП с техните бюджети почти нямат достъп до високотехнологични или сложни решения. Това не се дължи само на цената на решенията, а по-скоро на причината за OPEX, които носят.

Основните решения, закупени от клиентите в SMB сегмента, са антивируси и софтуерни защитни стени, казва Яков Гроденски, ръководител на информационната сигурност в System Software. В допълнение, компаниите в този сегмент активно се интересуват от одит на информационната сигурност и pentesting, тъй като такива организации не винаги имат отделен специалист по информационна сигурност в персонала, да не говорим за pentesters.

Вячеслав Медведев, водещ анализатор в Doctor Web, добавя, че проучвания сред средния бизнес показват, че такива компании нямат средства за други решения за сигурност, освен базовите.

Приоритетите на киберсигурността на големия бизнес

Винаги е важно акционерите, собствениците и висшето ръководство да имат обективна картина на информационната сигурност и технологични процесивътре в организацията, така че общото ниво на зрялост на информационната сигурност в компаниите нараства всяка година. В някои големи организации обаче все още липсва елементарен ред в бизнес процесите, осигуряващи работата на информационните системи, което може да доведе до хаос в информационната сигурност. Затова основен приоритет за големи компании- при решаването на тези проблеми, казва Николай Забусов, директор на отдела за информационна и мрежова сигурност "Step Logic".

Освен това големият бизнес се фокусира върху спазването на изискванията на регулаторите и вътрешните стандарти, опитвайки се да създаде повече или по-малко равномерно защитена инфраструктура. Индустриалните стандарти в областта на информационната сигурност са разработени и "внедрени" в много корпорации.

Големите търговски компании по същество са изправени пред избор: да следват пътя на дигиталната трансформация или да работят, без да променят бизнес парадигмата. Но във втория случай те рано или късно ще бъдат принудени да отстъпят позициите си на пазара на конкуренти, които са показали по-голяма гъвкавост.

От гледна точка на практическата сигурност, векторът все повече се измества от предотвратяване на атаки към откриване и реагиране на тях, казва Андрей Заикин, ръководител на информационната сигурност в Croc. Това води до факта, че сравнително младите класове решения стават все по-популярни и търсени: EDR, IRP. Автоматизирани системиотговорите имат различни набори от скриптове, скриптове и ви позволяват да блокирате опити за разпространение на заплахи.

услуги за киберсигурност

Малките и средни предприятия, които разбират критичността на информационната сигурност за техния бизнес, следват пътя на използване на модели на услуги.