१.३.१. प्रेरणा

रशियन आणि जागतिक सरावअलीकडील भूतकाळातील माहिती सुरक्षा नियमन (IS) यांचा समावेश होता अनिवार्य आवश्यकताफॉर्ममध्ये काढलेल्या राष्ट्रीय अधिकृत संस्था मार्गदर्शन दस्तऐवजआर.डी. म्हणून, शीर्ष व्यवस्थापन आणि संस्थांच्या मालकांसाठी, त्यांच्याशी अनुपालन (अनुपालन) आणि त्याचे निराकरण करण्याचा एकच मार्ग होता - किमान खर्चासह प्रस्तावित आवश्यकता कशा पूर्ण करायच्या. अधिकृत संस्थांची स्वतःची समस्या होती - सर्व संभाव्य प्रकारच्या क्रियाकलाप आणि त्यांच्या अंमलबजावणीच्या अटी तसेच क्रियाकलापांच्या उद्दिष्टांमधील महत्त्वपूर्ण फरक, आवश्यकतांचा सार्वत्रिक संच ऑफर करण्याच्या अशक्यतेमुळे. हे करण्यासाठी, माहिती सुरक्षिततेची समस्या एक स्वयंपूर्ण अस्तित्व मानली गेली, क्रियाकलाप, उद्दिष्टे, अटींशी भिन्न नाही आणि सार्वत्रिकतेच्या फायद्यासाठी सामग्रीमध्ये देखील लक्षणीय घट केली गेली.

दोन्ही दृष्टिकोन (संस्था आणि नियामकांचे) विद्यमान वास्तविकतेसाठी अपुरे आहेत आणि ते लक्षणीय विकृत स्वरूपात सादर करतात. अशा प्रकारे, IS क्रियाकलापांवरील मुख्य मूलभूत निर्बंध पारंपारिक IS मॉडेलशी संबंधित आहेत, जे मालमत्ता (माहिती) चे नुकसान करू पाहणाऱ्या आक्रमणकर्त्याची अनिवार्य उपस्थिती गृहीत धरते आणि त्यानुसार, अशा विषयाच्या कृतींपासून माहितीचे संरक्षण करण्यावर लक्ष केंद्रित करते. (विषयांचा समूह). त्याच वेळी, संबंधित घटना, उदाहरणार्थ, ते कर्मचारी बदलअॅप्लिकेशन सॉफ्टवेअरला आक्रमणकर्त्याचे श्रेय दिले जाऊ शकत नाही. त्यांना संभाव्य कारणे- खराब विकसित व्यवस्थापन आणि कमकुवत तांत्रिक आधार. सर्वसाधारणपणे प्रचलित परिस्थितींमध्ये संस्थेची स्वतःची अपुरीता (व्यवस्थापन, मुख्य व्यवसाय प्रक्रिया) ही समस्यांचा एक अतिशय शक्तिशाली स्त्रोत आहे, ज्याला आक्रमणकर्त्याशी जोडण्याच्या अशक्यतेमुळे दुर्लक्ष केले जाते.

IS मॉडेल्सची पुढील उत्क्रांती मालकाच्या (मालकाच्या) भूमिकेच्या बळकटीकरणाशी संबंधित होती आणि या वस्तुस्थितीपर्यंत खाली आली की त्याने स्वतःला (स्वतःच्या जोखमीवर आणि जोखमीवर) त्याला ऑफर केलेल्या गोष्टींमधून निवडले. मानक संचसंरक्षणात्मक उपाय म्हणजे ज्याची त्याला गरज आहे, म्हणजे जे त्याच्या मते, सुरक्षिततेची स्वीकार्य पातळी प्रदान करू शकतात. हे एक महत्त्वपूर्ण पाऊल होते, कारण माहिती सुरक्षा ही त्याच्या अस्तित्वासाठी विशिष्ट अटींसह विशिष्ट वस्तूशी जोडलेली आहे, माहिती सुरक्षा समस्येच्या स्वयंपूर्णतेशी संबंधित विरोधाभासांचे अंशतः निराकरण केले आहे. तथापि, निवडलेल्या विशिष्ट संरक्षणात्मक उपायांसह (संरक्षण प्रोफाइल) वस्तूंचा कॅटलॉग तयार करण्याशिवाय मालकासाठी रचनात्मक यंत्रणा ऑफर करणे शक्य नव्हते. प्रोफाइल स्वतः तज्ञ ह्युरिस्टिक पद्धती वापरून तयार केले गेले. त्याच वेळी, मालकाने कोणत्या प्रकारची जोखीम घेतली हे अज्ञात राहिले आणि सरावाने निश्चित केले गेले.

पुढील उत्क्रांती या थीसिसमध्ये कमी करण्यात आली की माहिती सुरक्षा क्रियाकलापांच्या उद्देशांसाठी नुकसान (उत्पन्न) करू शकते आणि म्हणून माहिती सुरक्षिततेचे धोके (जे स्वयंपूर्ण राहिले) संस्थेच्या जोखमींशी समन्वयित (लिंक केलेले) असावेत. ते फक्त त्यांना कसे जोडायचे हे सूचित करणे आणि माहिती सुरक्षा व्यवस्थापन प्रणाली (ISMS) कॉर्पोरेट व्यवस्थापनामध्ये समाकलित करणे बाकी आहे स्वतंत्र प्रणालीप्रक्रिया, परंतु व्यवस्थापनाचा अविभाज्य, मजबूतपणे जोडलेला घटक म्हणून. हे अयशस्वी झाले. तथापि, या दृष्टिकोनाने IS जोखमींसह अनेक IS मूल्यांकन श्रेणी चांगल्या प्रकारे प्रगत केल्या.

मालकीची एकूण किंमत (IS च्या संबंधात) आणि IS मधील गुंतवणुकीचा "परतावा" यावर आधारित व्यावहारिक IS मॉडेल देखील ओळखले जातात. या दृष्टिकोनाच्या चौकटीत, क्रियाकलापांच्या उद्दिष्टांच्या आणि परिस्थितीच्या बाबतीत समान संघटनांचा एक गट वेळोवेळी IS अंमलबजावणीच्या क्षेत्रांचे मूल्यमापन करतो आणि गटासाठी सर्वोत्तम पद्धतींचा समावेश असलेले मॉडेल तयार करतो. पुढे, प्रत्येक संस्था, सर्वोत्कृष्ट कार्यपद्धती आणि तिची परिस्थिती (घडलेल्या घटना) मागे राहून, गुंतवणुकीची दिशा आणि परिमाण ठरवते. गुंतवणुकीच्या परिणामकारकतेचे मूल्यांकन पुढील काळात केलेल्या गुंतवणुकीच्या क्षेत्रात झालेल्या आणि त्यामुळे मोठ्या प्रमाणात नुकसान न झालेल्या घटनांमुळे होणारे नुकसान कमी करून केले जाते.

तथापि, या दृष्टिकोनासाठी, त्याच्या अनेक गुणांसह, संवेदनशील माहितीची विस्तृत देवाणघेवाण आवश्यक आहे आणि एक्सचेंजमधील सहभागींच्या हितसंबंधांचा संघर्ष कोणत्याही दर्जेदार आत्मविश्वास वाढवण्याच्या उपाययोजनांच्या निर्मितीला वगळतो, म्हणून त्याचा मोठ्या प्रमाणावर वापर केला जात नाही.

रशियन फेडरेशनच्या सेंट्रल बँकेच्या मानकांमध्ये प्रस्तावित केलेल्या IS मॉडेलने त्याच्या एकात्मतेच्या दृष्टीने (क्रियाकलापाच्या उद्दिष्टांशी संबंधित) आणि "घुसखोर" च्या साराच्या स्पष्टीकरणाच्या विस्ताराच्या दृष्टीने समस्या आणखी प्रगत केली. . आक्रमणकर्ता ही अशी व्यक्ती आहे जी मालकाचा सामना करण्यास सक्षम आहे आणि त्याचे स्वतःचे ध्येय आहे, जे त्याला कळते, संस्थेच्या मालमत्तेवर नियंत्रण मिळवते.

हा दृष्टीकोन IS विचाराच्या कक्षेत येणाऱ्या संस्थेच्या नुकसानाचे प्रकार आणि स्त्रोत लक्षणीयरीत्या विस्तृत करतो, जिथे त्यांचे निराकरण सर्वात तर्कसंगत आहे. तथापि, हा मुख्यत्वे तडजोडीचा दृष्टीकोन होता आणि क्रियाकलाप (उत्पादित उत्पादन) च्या अंतिम परिणामापर्यंत माहिती सुरक्षा समस्यांचे पुढील अंदाजे तातडीने आवश्यक आहे. आम्हाला अशा मॉडेलची गरज आहे जी व्यवसायाला खरोखर मदत करेल, त्याच्या कार्यप्रदर्शनात थेट योगदान देईल आणि सुरक्षित आणि विश्वासार्ह माहिती क्षेत्राच्या निर्मिती आणि देखभालद्वारे आवश्यक सुधारणा करेल, ज्यामध्ये घुसखोर विरुद्धच्या लढाईचा समावेश आहे. केवळ असे मॉडेल व्यवसायाद्वारे समजले जाऊ शकते. त्यांच्याकडून इतर कोणतेही नाकारले जातील.

५.४. माहिती सुरक्षा अनुकूलन

1. व्यवसाय माहिती सुरक्षा तत्वज्ञान

१.१.४. माहिती सुरक्षेची व्याख्या व्यवसाय प्रक्रियेवरील माहितीचा प्रभाव (त्याच्या व्यवस्थापनावर) भौतिक किंवा आर्थिक प्रभावापेक्षा अधिक प्रभावी असू शकतो या वस्तुस्थितीची हळूहळू जाणीव होणे, तसेच अशा प्रभावांसाठी कमी संसाधन मर्यादा.

2. व्यवसाय माहिती सुरक्षितता सुनिश्चित करण्यासाठी विद्यमान व्यवस्थापन (व्यवस्थापन) मॉडेल्स जर एखाद्या संस्थेकडे अमर्यादित संसाधने असतील, तर त्याच्या व्यवसायाची माहिती सुरक्षितता सुनिश्चित करण्यासाठी कोणत्याही व्यवस्थापन समस्या नाहीत. जर ए

3. व्यवसाय माहिती सुरक्षिततेचे मूल्यांकन. व्यवसाय माहिती सुरक्षिततेचे मोजमाप आणि मूल्यांकन करण्याची समस्या 3.1. माहिती सुरक्षेचे मूल्यांकन करण्याचे मार्ग ज्या संस्थांचा व्यवसाय व्यवसाय उद्दिष्टे साध्य करण्यासाठी माहिती क्षेत्रावर मोठ्या प्रमाणावर अवलंबून असतो

३.१. माहिती सुरक्षेचे मूल्यांकन करण्याच्या पद्धती ज्या संस्थांचा व्यवसाय मोठ्या प्रमाणात माहिती क्षेत्रावर अवलंबून आहे, व्यवसायाची उद्दिष्टे साध्य करण्यासाठी, आवश्यक स्तरावर माहिती सुरक्षा प्रणाली (IS मेंटेनन्स सिस्टम) राखली पाहिजे. ISIS हा एक संच आहे

३.२. माहिती सुरक्षा मूल्यांकन प्रक्रिया 3.2.1. मूल्यमापन प्रक्रियेचे मुख्य घटक IS मूल्यमापन प्रक्रियेत मूल्यमापनाचे खालील घटक समाविष्ट आहेत: - मूल्यमापनाचा संदर्भ, जो इनपुट डेटा निर्धारित करतो: IS मूल्यमापनाची उद्दिष्टे आणि उद्देश, मूल्यांकनाचा प्रकार ( स्वतंत्र मूल्यांकन,

३.२.२. संस्थेच्या माहिती सुरक्षा मूल्यांकनाचा संदर्भ IS मूल्यांकनाच्या संदर्भामध्ये IS मूल्यांकनाची उद्दिष्टे आणि उद्देश, मूल्यांकनाचा प्रकार, IS मूल्यांकनाचे ऑब्जेक्ट आणि क्षेत्रे, मूल्यांकन मर्यादा, भूमिका आणि संसाधने यांचा समावेश आहे. मूल्यांकन प्रक्रियेच्या अंमलबजावणीमध्ये आयोजक समाविष्ट आहे,

शिक्षण आणि विज्ञान मंत्रालय रशियाचे संघराज्य

फेडरल राज्य अर्थसंकल्पीय शैक्षणिक संस्था

उच्च व्यावसायिक शिक्षण

"परम नॅशनल रिसर्च

पॉलिटेक्निकल युनिव्हर्सिटी"

चाचणी

शिस्तीने

एंटरप्राइजची माहिती सुरक्षा

विषय "अल्फा-बँकेच्या उदाहरणावर व्यवसायातील माहिती सुरक्षा"

एका विद्यार्थ्याने पूर्ण केले

FK-11B गट:

Smyshlyaeva मारिया Sergeevna

शिक्षकांनी तपासले:

शाबुरोव आंद्रे सर्गेविच

पर्म - 2013

परिचय

निष्कर्ष

संदर्भग्रंथ

परिचय

बहुतेक कंपन्यांची माहिती संसाधने सर्वात मौल्यवान संसाधनांपैकी आहेत. या कारणास्तव, व्यावसायिक, गोपनीय माहिती आणि वैयक्तिक डेटा विश्वसनीयरित्या गैरवापरापासून संरक्षित करणे आवश्यक आहे, परंतु त्याच वेळी या माहितीच्या प्रक्रियेत गुंतलेल्या किंवा नियुक्त केलेल्या कार्ये पार पाडण्याच्या प्रक्रियेत वापरल्या जाणार्‍या घटकांसाठी सहज प्रवेशयोग्य आहे. यासाठी वापरा विशेष साधनकंपनीच्या व्यवसायाच्या टिकाऊपणामध्ये आणि त्याच्या व्यवहार्यतेमध्ये योगदान देते.

सराव दर्शविल्याप्रमाणे, आधुनिक परिस्थितीत व्यवसाय संरक्षण आयोजित करण्याचा मुद्दा सर्वात संबंधित बनला आहे. ऑनलाइन स्टोअर्स "उघडली" जातात आणि ग्राहकांची क्रेडिट कार्डे रिकामी केली जातात, कॅसिनो आणि स्वीपस्टेक्स ब्लॅकमेल केले जातात, कॉर्पोरेट नेटवर्क खाली येतात बाह्य नियंत्रण, संगणक "झॉम्बिफाइड" आहेत आणि बॉटनेटमध्ये समाविष्ट आहेत आणि चोरीचा वैयक्तिक डेटा वापरून फसवणूक करणे राष्ट्रीय स्तरावर आपत्ती बनत आहे.

म्हणून, कंपनीच्या नेत्यांना माहिती सुरक्षिततेच्या महत्त्वाची जाणीव असणे आवश्यक आहे, या क्षेत्रातील ट्रेंडचा अंदाज आणि व्यवस्थापन कसे करावे हे जाणून घ्या.

अल्फा-बँकचे उदाहरण वापरून व्यवसाय माहिती सुरक्षा प्रणालीचे फायदे आणि तोटे ओळखणे हा या कार्याचा उद्देश आहे.

अल्फा-बँक ओजेएससीच्या क्रियाकलापांची वैशिष्ट्ये

अल्फा-बँकची स्थापना 1990 मध्ये झाली. अल्फा-बँक ही एक सार्वत्रिक बँक आहे जी वित्तीय सेवा बाजारावरील सर्व प्रमुख प्रकारची बँकिंग ऑपरेशन्स करते, ज्यात खाजगी सेवा देणे आणि कॉर्पोरेट ग्राहक, गुंतवणूक बँकिंग व्यवसाय, व्यापार वित्त आणि मालमत्ता व्यवस्थापन.

अल्फा-बँकेचे मुख्य कार्यालय मॉस्को येथे आहे; एकूण, नेदरलँड्समधील सहायक बँक आणि आर्थिक बँकांसह रशिया आणि परदेशात बँकेच्या 444 शाखा आणि शाखा उघडल्या आहेत. संलग्न कंपन्यायूएस, यूके आणि सायप्रस मध्ये. अल्फा-बँकेत सुमारे 17,000 कर्मचारी कार्यरत आहेत.

अल्फा-बँक आकाराच्या दृष्टीने सर्वात मोठी रशियन खाजगी बँक आहे एकूण मालमत्ता, एकूण भांडवल आणि ठेवींचा आकार. बँकेकडे दोन्ही कॉर्पोरेट क्लायंटचा मोठा ग्राहक आधार आहे आणि व्यक्ती. अल्फा-बँक म्हणून विकसित होते युनिव्हर्सल बँकमुख्य क्षेत्रांमध्ये: कॉर्पोरेट आणि गुंतवणूक व्यवसाय (लहान आणि मध्यम व्यवसाय(SMEs), व्यापार आणि संरचित वित्त, भाडेपट्टी आणि फॅक्टरिंग), किरकोळ व्यवसाय(बँकेच्या शाखा, कार कर्ज आणि तारण प्रणालीसह). विशेष लक्षबँकिंग उत्पादनांच्या विकासाकडे वळते कॉर्पोरेट व्यवसायवस्तुमान आणि एसएमई विभागांमध्ये तसेच रिमोट सेल्फ-सर्व्हिस चॅनेलचा विकास आणि इंटरनेट मिळवणे. रशियामधील अग्रगण्य खाजगी बँक म्हणून तिचा दर्जा राखणे, स्थिरता मजबूत करणे, नफा वाढवणे आणि तंत्रज्ञान, कार्यक्षमता, ग्राहक सेवा आणि टीमवर्कसाठी उद्योग मानके सेट करणे हे अल्फा-बँकेचे धोरणात्मक प्राधान्य आहे.

अल्फा-बँक ही जागतिक भांडवली बाजारातील सर्वात सक्रिय रशियन बँकांपैकी एक आहे. अग्रगण्य आंतरराष्ट्रीय रेटिंग एजन्सी अल्फा-बँकेला सर्वात जास्त मानांकन देतात उच्च रेटिंगरशियन खाजगी बँकांमध्ये. हे सलग चार वेळा ग्राहक अनुभव निर्देशांकात #1 क्रमांकावर आले आहे. रिटेल क्षेत्र बँकिंग सेवाप्राइसवॉटरहाऊस कूपर्ससह सेंटीओने आयोजित केलेल्या आर्थिक संकटानंतर. 2012 मध्ये, अल्फा-बँकेला मान्यता मिळाली. सर्वोत्तम इंटरनेटग्लोबल फायनान्स मासिकानुसार बँक, नॅशनल असोसिएशन ऑफ स्टॉक मार्केट पार्टिसिपंट्स (NAUFOR) द्वारे सर्वोत्कृष्ट विश्लेषणासाठी पुरस्कृत करण्यात आली, रोमीर धारण केलेल्या संशोधनाद्वारे गणना केलेल्या ट्रस्ट इंडेक्समध्ये सर्वोत्तम रशियन खाजगी बँक बनली.

आज बँकेकडे फेडरल स्केलचे नेटवर्क आहे, ज्यामध्ये 83 पॉइंट ऑफ सेलचा समावेश आहे. अल्फा बँकेचे व्यावसायिक बँकांमधील सर्वात मोठे नेटवर्क आहे, ज्यामध्ये 55 कार्यालये आहेत आणि 23 शहरे समाविष्ट आहेत. नेटवर्कच्या विस्तारामुळे, बँकेकडे ग्राहकांचा आधार वाढवण्याच्या, बँकिंग उत्पादनांची श्रेणी आणि गुणवत्ता वाढवण्याच्या, आंतरप्रादेशिक कार्यक्रमांची अंमलबजावणी करण्याच्या अतिरिक्त संधी आहेत. जटिल सेवासर्वात मोठ्या उद्योगांमधील पाठीचा कणा ग्राहक.

व्यवसाय माहिती सुरक्षिततेच्या समस्येच्या सैद्धांतिक आधाराचे विश्लेषण

प्रासंगिकताआणि माहिती सुरक्षा सुनिश्चित करण्याच्या समस्येचे महत्त्व खालील घटकांमुळे आहे:

· आधुनिक स्तरआणि माहिती सुरक्षा साधनांच्या विकासाची गती माहिती तंत्रज्ञानाच्या विकासाच्या पातळी आणि गतीपेक्षा खूप मागे आहे.

· मानवी क्रियाकलापांच्या विविध क्षेत्रात वापरल्या जाणार्‍या वैयक्तिक संगणकांच्या पार्कचा उच्च वाढ दर. गार्टनर डेटाक्वेस्टच्या संशोधनानुसार, सध्या जगात एक अब्जाहून अधिक वैयक्तिक संगणक आहेत.

माहिती सुरक्षा व्यवसाय बँक

· संगणकीय संसाधने आणि डेटा अॅरेमध्ये थेट प्रवेश असलेल्या वापरकर्त्यांच्या वर्तुळाचा तीव्र विस्तार;

सध्या, बँकांमध्ये साठवलेल्या माहितीचे महत्त्व लक्षणीय वाढले आहे, वित्तीय आणि अनेकदा गुप्त माहिती केंद्रीत केली आहे. आर्थिक क्रियाकलापअनेक लोक, कंपन्या, संस्था आणि अगदी संपूर्ण राज्ये. बँक मोठ्या संख्येने लोकांच्या हितसंबंधांवर परिणाम करणारी मौल्यवान माहिती संग्रहित करते आणि त्यावर प्रक्रिया करते. बँक आपल्या ग्राहकांबद्दल महत्त्वाची माहिती संग्रहित करते, जी अशा माहितीची चोरी किंवा नुकसान करण्यात स्वारस्य असलेल्या संभाव्य घुसखोरांच्या वर्तुळाचा विस्तार करते.

सर्व गुन्ह्यांपैकी 90% पेक्षा जास्त गुन्हे बँकेच्या स्वयंचलित माहिती प्रक्रिया प्रणालीच्या वापराशी संबंधित आहेत. म्हणून, ASOIB ची निर्मिती आणि आधुनिकीकरण करताना, बँकांनी तिची सुरक्षा सुनिश्चित करण्याकडे लक्ष देणे आवश्यक आहे.

बँकांच्या संगणक सुरक्षेकडे मुख्य लक्ष दिले पाहिजे, i. बँकिंग माहिती सुरक्षिततेच्या क्षेत्रातील सर्वात संबंधित, जटिल आणि तातडीची समस्या म्हणून बँकेच्या स्वयंचलित माहिती प्रक्रिया प्रणालीची सुरक्षा.

माहिती तंत्रज्ञानाच्या जलद विकासामुळे नवीन व्यवसायाच्या संधी खुल्या झाल्या आहेत, परंतु नवीन धोक्यांचा उदय देखील झाला आहे. आधुनिक सॉफ्टवेअर उत्पादनेस्पर्धेमुळे, ते त्रुटी आणि कमतरतांसह विक्रीवर जातात. विकसकांना, त्यांच्या उत्पादनांमधील विविध कार्यांसह, तयार केलेल्या सॉफ्टवेअर सिस्टमचे उच्च-गुणवत्तेचे डीबगिंग करण्यासाठी वेळ नाही. या प्रणालींमध्ये राहिलेल्या त्रुटी आणि त्रुटींमुळे माहिती सुरक्षिततेचे अपघाती आणि जाणूनबुजून उल्लंघन होते. उदाहरणार्थ, माहितीच्या बहुतेक अपघाती नुकसानाची कारणे सॉफ्टवेअर आणि हार्डवेअरच्या ऑपरेशनमध्ये अपयश आहेत आणि संगणक प्रणालीवरील बहुतेक हल्ले सॉफ्टवेअरमध्ये आढळलेल्या त्रुटी आणि त्रुटींवर आधारित असतात. म्हणून, उदाहरणार्थ, मायक्रोसॉफ्ट विंडोज सर्व्हर ऑपरेटिंग सिस्टमच्या रिलीझनंतर पहिल्या सहा महिन्यांत, 14 भेद्यता आढळल्या, त्यापैकी 6 गंभीर आहेत. जरी कालांतराने मायक्रोसॉफ्टने ओळखल्या गेलेल्या त्रुटींचे निराकरण करणारे सर्व्हिस पॅक विकसित केले असले तरी, उर्वरित त्रुटींमुळे वापरकर्ते आधीच माहिती सुरक्षा उल्लंघनामुळे त्रस्त आहेत. या इतर अनेक समस्यांचे निराकरण होईपर्यंत, माहिती सुरक्षिततेची अपुरी पातळी माहिती तंत्रज्ञानाच्या विकासावर गंभीर ब्रेक असेल.

अंतर्गत माहिती सुरक्षानैसर्गिक किंवा कृत्रिम स्वरूपाच्या अपघाती किंवा हेतुपुरस्सर प्रभावापासून माहितीची सुरक्षितता आणि आधारभूत संरचना, ज्यामुळे माहितीचे मालक आणि वापरकर्त्यांसह माहिती संबंधांच्या विषयांना अस्वीकार्य नुकसान होऊ शकते आणि पायाभूत सुविधांचे समर्थन समजले जाते.

आधुनिक व्यावसायिक जगात, माहितीच्या दिशेने भौतिक मालमत्तेचे स्थलांतर करण्याची प्रक्रिया आहे. जसजशी एखादी संस्था विकसित होते तसतशी तिची माहिती प्रणाली अधिक जटिल बनते, ज्याचे मुख्य कार्य म्हणजे सतत बदलत्या स्पर्धात्मक बाजार वातावरणात जास्तीत जास्त व्यवसाय कार्यक्षमता सुनिश्चित करणे.

माहितीचा एक कमोडिटी म्हणून विचार केल्यास, आम्ही असे म्हणू शकतो की सर्वसाधारणपणे माहितीची सुरक्षा सुनिश्चित केल्याने खर्चात लक्षणीय बचत होऊ शकते, तर त्यामुळे होणारे नुकसान भौतिक खर्चास कारणीभूत ठरते. उदाहरणार्थ, मूळ उत्पादनाच्या मॅन्युफॅक्चरिंग टेक्नॉलॉजीच्या प्रकटीकरणामुळे एक समान उत्पादन दिसून येईल, परंतु दुसर्या निर्मात्याकडून, आणि माहिती सुरक्षा उल्लंघनाच्या परिणामी, तंत्रज्ञानाचा मालक आणि कदाचित लेखक गमावतील. बाजाराचा भाग इ. दुसरीकडे, माहिती हा नियंत्रणाचा विषय आहे आणि त्याच्या बदलामुळे नियंत्रण ऑब्जेक्टमध्ये आपत्तीजनक परिणाम होऊ शकतात.

GOST R 50922-2006 नुसार, माहितीची सुरक्षा सुनिश्चित करणे ही माहितीची गळती, संरक्षित माहितीवरील अनधिकृत आणि अनावधानाने होणारे प्रभाव रोखण्याच्या उद्देशाने एक क्रियाकलाप आहे. माहिती सुरक्षा एंटरप्राइझ आणि सरकारी एजन्सी या दोन्हीसाठी संबंधित आहे. माहिती संसाधनांच्या व्यापक संरक्षणाच्या उद्देशाने, माहिती सुरक्षा प्रणाली तयार आणि विकसित करण्यासाठी कार्य केले जात आहे.

अशी अनेक कारणे आहेत जी लोकलच्या ऑपरेशनवर गंभीरपणे परिणाम करू शकतात आणि जागतिक नेटवर्क, मौल्यवान माहितीचे नुकसान होऊ शकते. त्यापैकी खालील आहेत:

बाहेरून अनधिकृत प्रवेश, माहितीची कॉपी करणे किंवा बदलणे अपघाती किंवा हेतुपुरस्सर कृती ज्यामुळे:

डेटाचे विरूपण किंवा नाश;

बँकिंग, आर्थिक किंवा राज्य गुप्त माहिती असलेल्या अनधिकृत व्यक्तींचा परिचय.

सॉफ्टवेअरचे चुकीचे ऑपरेशन, ज्यामुळे डेटाचे नुकसान किंवा भ्रष्टाचार होऊ शकतो:

अनुप्रयोग किंवा नेटवर्क सॉफ्टवेअरमधील त्रुटी;

संगणक व्हायरस संसर्ग.

तांत्रिक उपकरणे बिघाडामुळे:

वीज आउटेज;

डिस्क सिस्टम आणि डेटा संग्रहण प्रणालीचे अपयश;

सर्व्हर, वर्कस्टेशन्स, नेटवर्क कार्ड्स, मोडेम्सचा व्यत्यय.

सेवा कर्मचार्‍यांच्या चुका.

अर्थात, कोणताही एक-आकार-फिट-सर्व उपाय नाही, परंतु डेटा गमावण्याचा किंवा अनधिकृत प्रवेशाचा धोका कमी करण्यासाठी अनेक संस्थांनी तांत्रिक आणि प्रशासकीय उपाय विकसित आणि लागू केले आहेत.

आजपर्यंत, माहिती सुरक्षा सुनिश्चित करण्यासाठी पद्धतींचा एक मोठा शस्त्रागार आहे, जो अल्फा-बँकेमध्ये देखील वापरला जातो:

· वापरकर्त्यांची ओळख आणि प्रमाणीकरण करण्याचे साधन (तथाकथित कॉम्प्लेक्स 3A);

· संगणकावर संग्रहित आणि नेटवर्कवर प्रसारित केलेली माहिती एन्क्रिप्ट करण्याचे साधन;

· फायरवॉल;

· आभासी खाजगी नेटवर्क;

· सामग्री फिल्टरिंग साधने;

· डिस्कच्या सामग्रीची अखंडता तपासण्यासाठी साधने;

· अँटी-व्हायरस संरक्षण साधन;

· नेटवर्क भेद्यता शोध प्रणाली आणि नेटवर्क हल्ला विश्लेषक.

"कॉम्प्लेक्स 3A" मध्ये प्रमाणीकरण (किंवा ओळख), अधिकृतता आणि प्रशासन समाविष्ट आहे. ओळखआणि अधिकृतता हे माहिती सुरक्षिततेचे प्रमुख घटक आहेत. जेव्हा आपण कोणत्याही प्रोग्राममध्ये प्रवेश करण्याचा प्रयत्न करता, तेव्हा ओळख कार्य प्रश्नाचे उत्तर देते: "तुम्ही कोण आहात?" आणि "तुम्ही कुठे आहात?", तुम्ही प्रोग्रामचे अधिकृत वापरकर्ता आहात का. विशिष्ट वापरकर्त्याला कोणत्या संसाधनांमध्ये प्रवेश आहे यासाठी अधिकृतता कार्य जबाबदार आहे. प्रशासनाचे कार्य म्हणजे दिलेल्या नेटवर्कमध्ये वापरकर्त्याला विशिष्ट ओळख वैशिष्ट्ये प्रदान करणे आणि त्याच्यासाठी परवानगी असलेल्या क्रियांची व्याप्ती निश्चित करणे. अल्फा-बँकेमध्ये, प्रोग्राम्स उघडताना, प्रत्येक कर्मचार्‍याचा पासवर्ड आणि लॉगिन विनंती केली जाते आणि कोणतीही ऑपरेशन्स करताना, काही प्रकरणांमध्ये, विभागातील प्रमुख किंवा त्याच्या डेप्युटीची अधिकृतता आवश्यक असते.

फायरवॉलही एक प्रणाली किंवा प्रणालींचे संयोजन आहे जी दोन किंवा अधिक नेटवर्क्समध्ये संरक्षणात्मक अडथळा निर्माण करते जी अनधिकृत डेटा पॅकेट्सना नेटवर्कमध्ये प्रवेश करण्यापासून किंवा सोडण्यापासून प्रतिबंधित करते. फायरवॉलचे मूलभूत ऑपरेटिंग सिद्धांत. अनुमत अॅड्रेस बेसशी इनकमिंग आणि आउटगोइंग IP_address जुळण्यासाठी प्रत्येक डेटा पॅकेट तपासत आहे. अशा प्रकारे, फायरवॉल माहिती नेटवर्कचे विभाजन आणि डेटाचे परिसंचरण नियंत्रित करण्याच्या शक्यतांचा लक्षणीय विस्तार करतात.

क्रिप्टोग्राफी आणि फायरवॉलबद्दल बोलताना, आम्ही सुरक्षित आभासी खाजगी नेटवर्कचा उल्लेख केला पाहिजे (व्हर्च्युअल प्रायव्हेट नेटवर्क - VPN). त्यांचा वापर खुल्या संप्रेषण चॅनेलवर प्रसारित करताना डेटा गोपनीयता आणि अखंडतेच्या समस्यांचे निराकरण करण्यास अनुमती देतो.

गोपनीय माहितीच्या हानीपासून संरक्षण करण्याचे एक प्रभावी माध्यम. सामग्री फिल्टरिंग इनबाउंड आणि आउटबाउंड ईमेल. संस्थेने सेट केलेल्या नियमांच्या आधारे ईमेल संदेश आणि त्यांचे संलग्नक सत्यापित करणे देखील कंपन्यांना कायदेशीर दायित्वापासून संरक्षण करण्यास आणि त्यांच्या कर्मचार्‍यांना स्पॅमपासून संरक्षण करण्यास मदत करते. कंटेंट फिल्टरिंग टूल्स तुम्हाला कॉम्प्रेस्ड आणि ग्राफिकसह सर्व सामान्य फॉरमॅटच्या फाइल्स स्कॅन करण्याची परवानगी देतात. त्याच वेळी, नेटवर्क बँडविड्थ व्यावहारिकदृष्ट्या अपरिवर्तित राहते.

आधुनिक अँटीव्हायरलअँटी-व्हायरस डेटाबेसमध्ये संग्रहित नमुन्यांसह संशयास्पद फाइलच्या कोडची तुलना करून तंत्रज्ञान जवळजवळ सर्व आधीच ज्ञात व्हायरस प्रोग्राम शोधण्याची परवानगी देतात. याव्यतिरिक्त, नवीन तयार केलेल्या व्हायरस प्रोग्राम शोधण्यासाठी वर्तन मॉडेलिंग तंत्रज्ञान विकसित केले गेले आहे. सापडलेल्या वस्तू निर्जंतुक केल्या जाऊ शकतात, वेगळ्या केल्या जाऊ शकतात किंवा हटवल्या जाऊ शकतात. वर्कस्टेशन्स, फाइल आणि वर व्हायरस संरक्षण स्थापित केले जाऊ शकते मेल सर्व्हर, फायरवॉल अक्षरशः कोणत्याही सामान्य अंतर्गत कार्यरत आहेत ऑपरेटिंग सिस्टम(विंडोज, युनिक्स - आणि लिनक्स_सिस्टम्स, नोवेल) विविध प्रकारच्या प्रोसेसरवर. स्पॅम फिल्टर्स स्पॅम पार्सिंगशी संबंधित अनुत्पादक श्रम खर्च लक्षणीयरीत्या कमी करतात, ट्रॅफिक आणि सर्व्हर लोड कमी करतात, टीममधील मनोवैज्ञानिक पार्श्वभूमी सुधारतात आणि कंपनीच्या कर्मचार्‍यांचा फसव्या व्यवहारांमध्ये गुंतण्याचा धोका कमी होतो. याव्यतिरिक्त, स्पॅम फिल्टर नवीन व्हायरसने संक्रमित होण्याचा धोका कमी करतात, कारण व्हायरस असलेले संदेश (अगदी अँटी-व्हायरस डेटाबेसमध्ये समाविष्ट नसलेले) अनेकदा स्पॅमची चिन्हे दर्शवतात आणि ते फिल्टर केले जातात. हे खरे आहे की, फिल्टरने जंकसह, स्पॅम आणि उपयुक्त संदेश, व्यवसाय किंवा वैयक्तिक म्हणून काढून टाकल्यास किंवा चिन्हांकित केल्यास स्पॅम फिल्टरिंगचा सकारात्मक परिणाम ओलांडला जाऊ शकतो.

अनेक सर्वात सामान्य प्रकार आणि पद्धती आहेत माहिती धोक्यात:

व्यापार रहस्यांचे वर्गीकरण आणि चोरी. पूर्वी गुपिते गुप्त ठिकाणी, मोठ्या तिजोरीत, विश्वसनीय भौतिक आणि (नंतर) इलेक्ट्रॉनिक संरक्षणाखाली ठेवली जात असताना, आज बर्‍याच कर्मचार्‍यांना ऑफिस डेटाबेसमध्ये प्रवेश असतो, ज्यामध्ये बर्‍याचदा अत्यंत संवेदनशील माहिती असते, उदाहरणार्थ, समान ग्राहक डेटा.

तडजोड सामग्रीचे वितरण. म्हणजेच, अशा माहितीचा इलेक्ट्रॉनिक पत्रव्यवहारात कर्मचार्‍यांनी जाणीवपूर्वक किंवा चुकून केलेला वापर, ज्यामुळे बँकेच्या प्रतिष्ठेवर छाया पडते.

बौद्धिक मालमत्तेचे उल्लंघन. हे विसरू नये की बँकांमध्ये उत्पादित होणारे कोणतेही बौद्धिक उत्पादन, कोणत्याही संस्थेप्रमाणेच, त्याचे आहे आणि संस्थेच्या हितांशिवाय कर्मचारी (जनरेटर आणि बौद्धिक मूल्यांच्या लेखकांसह) वापरु शकत नाहीत. दरम्यान, रशियामध्ये, अनेकदा या मुद्द्यावर संघटना आणि कर्मचारी यांच्यात संघर्ष उद्भवतात जे त्यांनी तयार केलेल्या बौद्धिक उत्पादनावर दावा करतात आणि वैयक्तिक हितसंबंधांसाठी त्याचा वापर करतात आणि संस्थेचे नुकसान करतात. हे बहुतेकदा एंटरप्राइझमधील अस्पष्ट कायदेशीर परिस्थितीमुळे होते, जेव्हा कामगार करारामध्ये स्पष्टपणे परिभाषित मानदंड आणि नियम नसतात जे कर्मचार्‍यांचे हक्क आणि दायित्वे दर्शवितात.

आतील माहितीचे वितरण (अनेकदा अनावधानाने) जी गुप्त नसते, परंतु प्रतिस्पर्ध्यांसाठी (इतर बँका) उपयोगी असू शकते.

प्रतिस्पर्धी बँकांच्या वेबसाइटला भेटी. आता अधिकाधिक कंपन्या त्यांच्या खुल्या साइटवर (विशेषतः, CRM साठी डिझाइन केलेले) प्रोग्राम वापरत आहेत, जे तुम्हाला अभ्यागतांना ओळखण्यास आणि त्यांचे मार्ग तपशीलवार ट्रॅक करण्यास, साइटवरील पृष्ठे पाहण्याचा वेळ आणि कालावधी रेकॉर्ड करण्यास अनुमती देतात. स्पर्धक वेबसाइट्स विश्लेषण आणि अंदाजासाठी एक मौल्यवान स्रोत आहेत आणि राहतील.

वैयक्तिक उद्देशांसाठी कार्यालयीन संप्रेषणाचा गैरवापर (ऐकणे, संगीत पाहणे आणि कामाशी संबंधित नसलेली इतर सामग्री पाहणे, कार्यालयीन संगणक डाउनलोड करणे) माहिती सुरक्षिततेला थेट धोका देत नाही, परंतु कॉर्पोरेट नेटवर्कवर अतिरिक्त ताण निर्माण करते, कार्यक्षमता कमी करते आणि हस्तक्षेप करते. सहकाऱ्यांच्या कामासह.

आणि, शेवटी, बाह्य धमक्या - अनधिकृत घुसखोरी इ.

बँकेने स्वीकारलेले नियम राज्य आणि व्यावसायिक गुपिते, वैयक्तिक आणि खाजगी माहितीच्या संरक्षणासाठी राष्ट्रीय आणि आंतरराष्ट्रीय स्तरावर मान्यताप्राप्त मानकांचे पालन करणे आवश्यक आहे.

अल्फा-बँकमधील माहितीचे संस्थात्मक संरक्षण

अल्फा बँक OJSC ने निवडक प्रवेश नियंत्रण पद्धतीवर आधारित सुरक्षा धोरण लागू केले आहे. अल्फा बँक ओजेएससी मधील असे व्यवस्थापन प्रशासकाद्वारे निर्दिष्ट अनुमत प्रवेश संबंधांच्या संचाद्वारे वैशिष्ट्यीकृत आहे. प्रवेश मॅट्रिक्स थेट कंपनीच्या सिस्टम प्रशासकाद्वारे भरला जातो. निवडक माहिती सुरक्षा धोरणाचा अनुप्रयोग व्यवस्थापनाच्या आवश्यकता आणि माहिती सुरक्षा आणि प्रवेश नियंत्रण, जबाबदारी यासाठीच्या आवश्यकतांचे पालन करतो आणि त्याच्या संस्थेची स्वीकार्य किंमत देखील आहे. माहिती सुरक्षा धोरणाची अंमलबजावणी पूर्णपणे अल्फा बँक ओजेएससीच्या सिस्टम प्रशासकाकडे सोपविण्यात आली आहे.

विद्यमान सुरक्षा धोरणासह, अल्फा बँक ओजेएससी विशेष सुरक्षा हार्डवेअर आणि सॉफ्टवेअर वापरते.

सुरक्षा हार्डवेअर सिस्को 1605 आहे. राउटर दोन इथरनेट इंटरफेससह सुसज्ज आहे (एक TP आणि AUI इंटरफेससह, दुसरा फक्त TP सह) स्थानिक नेटवर्कआणि Cisco 1600 मालिका राउटरसाठी मॉड्यूल्सपैकी एक स्थापित करण्यासाठी एक विस्तार स्लॉट. या व्यतिरिक्त सॉफ्टवेअर Cisco IOSFirewallFeatureSet लहान कार्यालयासाठी Cisco 1605-R ला आदर्श लवचिक राउटर/सुरक्षा उपाय बनवते. स्थापित केलेल्या मॉड्यूलवर अवलंबून, राउटर ISDN द्वारे आणि डायल-अप लाईनद्वारे किंवा 1200 bps ते 2 Mbps, FrameRelay, SMDS, x.25 या लीज्ड लाइनद्वारे कनेक्शनचे समर्थन करू शकते.

माहितीचे संरक्षण करण्यासाठी, LAN च्या मालकाने नेटवर्कचा "परिमिती" सुरक्षित करणे आवश्यक आहे, उदाहरणार्थ, बाह्य नेटवर्कसह अंतर्गत नेटवर्कच्या जंक्शनवर नियंत्रण स्थापित करून. Cisco IOS उच्च लवचिकता आणि सुरक्षा प्रदान करते मानक अर्थजसे की: विस्तारित प्रवेश सूची (ACLs), ब्लॉकिंग सिस्टम (डायनॅमिक ACL), आणि राउटिंग अधिकृतता. याव्यतिरिक्त, 1600 आणि 2500 मालिका राउटरसाठी उपलब्ध Cisco IOS FirewallFeatureSet यासह सर्वसमावेशक सुरक्षा वैशिष्ट्ये प्रदान करते:

संदर्भित प्रवेश नियंत्रण (CBAC)

java लॉक

लॉगबुक

हल्ला शोधणे आणि प्रतिबंध

तात्काळ सूचना

याव्यतिरिक्त, राउटर आभासी आच्छादन नेटवर्क, बोगदे, एक प्राधान्य व्यवस्थापन प्रणाली, एक संसाधन आरक्षण प्रणाली आणि विविध मार्ग नियंत्रण पद्धतींना समर्थन देतो.

KasperskyOpenSpaceSecurity उपाय हे सॉफ्टवेअर संरक्षण साधन म्हणून वापरले जाते. KasperskyOpenSpaceSecurity पूर्णपणे कॉर्पोरेट नेटवर्क संरक्षण प्रणालीसाठी आधुनिक आवश्यकता पूर्ण करते:

सर्व प्रकारच्या नेटवर्क नोड्सच्या संरक्षणासाठी उपाय;

सर्व प्रकारच्या संगणक धोक्यांपासून संरक्षण;

प्रभावी तांत्रिक समर्थन;

पारंपारिक स्वाक्षरी-आधारित संरक्षणासह एकत्रित "प्रोएक्टिव्ह" तंत्रज्ञान;

नाविन्यपूर्ण तंत्रज्ञान आणि नवीन अँटी-व्हायरस इंजिन जे कार्यप्रदर्शन सुधारते;

वापरण्यास तयार संरक्षण प्रणाली;

केंद्रीकृत व्यवस्थापन;

नेटवर्कबाहेरील वापरकर्त्यांचे संपूर्ण संरक्षण;

तृतीय-पक्ष समाधानांसह सुसंगतता;

नेटवर्क संसाधनांचा कार्यक्षम वापर.

विकसित प्रणालीने संपूर्ण नियंत्रण, स्वयंचलित लेखा आणि वैयक्तिक माहितीच्या संरक्षणाचे विश्लेषण प्रदान केले पाहिजे, ग्राहक सेवेचा वेळ कमी केला पाहिजे, माहिती सुरक्षा कोड आणि वैयक्तिक डेटाबद्दल माहिती प्राप्त केली पाहिजे.

विकसित होत असलेल्या प्रणालीसाठी आवश्यकता तयार करण्यासाठी, डेटाबेसच्या संघटनेसाठी आवश्यकता तयार करणे आवश्यक आहे, विकसित होत असलेल्या सिस्टमसाठी माहिती सुसंगतता.

डेटाबेस डिझाइन एखाद्या विशिष्ट संस्थेच्या अंतिम वापरकर्त्यांच्या दृश्यांवर आधारित असावे - सिस्टमसाठी संकल्पनात्मक आवश्यकता.

एटी हे प्रकरण, IS मध्ये कंपनीच्या कर्मचाऱ्यांचा डेटा आहे. माहिती प्रणालीच्या ऑपरेशनचे लक्षणीय वर्णन करणारे तंत्रज्ञान म्हणजे दस्तऐवजांसाठी वर्कफ्लो योजना विकसित करणे.

विकसित प्रणालीची कार्ये संगणक तंत्रज्ञान आणि सॉफ्टवेअरच्या वापराद्वारे साध्य करता येतात. बँक तज्ञांच्या क्रियाकलापांमध्ये माहिती, माहिती आणि लेखा दस्तऐवज शोधणे हे कामाच्या वेळेच्या सुमारे 30% आहे हे लक्षात घेऊन, स्वयंचलित लेखा प्रणालीचा परिचय पात्र तज्ञांना लक्षणीयरीत्या मोकळा करेल, पेरोल फंडात बचत होऊ शकते, कमी होऊ शकते. कर्मचारी, परंतु ऑपरेटरच्या स्टाफ युनिटच्या विभागातील कर्मचार्‍यांचा परिचय देखील होऊ शकतो, ज्यांच्या कर्तव्यांमध्ये चालू व्यवसाय प्रक्रियांबद्दल माहिती प्रविष्ट करणे समाविष्ट असेल: वैयक्तिक डेटा अकाउंटिंग दस्तऐवज आणि प्रवेश कोड.

हे लक्षात घ्यावे की विकसित प्रणालीचा परिचय कमी करेल आणि आदर्शपणे, वैयक्तिक माहिती आणि सुरक्षा कोडच्या लेखामधील त्रुटी पूर्णपणे दूर करेल. अशा प्रकारे, व्यवस्थापकाच्या वर्कस्टेशनचा परिचय महत्त्वपूर्ण ठरेल आर्थिक प्रभाव, कर्मचारी 1/3 ने कमी करणे, वेतन निधीची बचत करणे, कामगार उत्पादकता वाढवणे.

अल्फा-बँकेने, इतर कोणत्याही बँकेप्रमाणे, एक माहिती सुरक्षा धोरण विकसित केले आहे जे माहिती सुरक्षा सुनिश्चित करण्याच्या समस्येवर विचारांची एक प्रणाली परिभाषित करते आणि एक किंवा अधिक नियम, कार्यपद्धती, पद्धती म्हणून संरक्षणाची उद्दिष्टे आणि उद्दिष्टे यांचे पद्धतशीर विधान आहे. आणि माहिती सुरक्षा क्षेत्रातील मार्गदर्शक तत्त्वे.

धोरण विचारात घेते अत्याधूनिकआणि बँकेतील माहिती तंत्रज्ञानाच्या विकासासाठी तत्काळ शक्यता, उद्दिष्टे, उद्दिष्टे आणि कायदेशीर चौकटत्यांचे ऑपरेशन, ऑपरेशनच्या पद्धती आणि बँकेच्या माहिती संबंधांच्या वस्तू आणि विषयांना सुरक्षा धोक्यांचे विश्लेषण देखील समाविष्ट आहे.

मूलभूत तरतुदी आणि आवश्यकता हा दस्तऐवजअतिरिक्त कार्यालयांसह बँकेच्या सर्व संरचनात्मक विभागांना लागू. मुख्य मुद्दे हे धोरण बँकेच्या माहिती संसाधनांचे पुरवठादार आणि ग्राहक म्हणून बँकेशी संवाद साधणाऱ्या इतर संस्था आणि संस्थांनाही लागू होते.

या धोरणाचा कायदेशीर आधार म्हणजे रशियन फेडरेशनची राज्यघटना, दिवाणी आणि फौजदारी संहिता, कायदे, आदेश, ठराव इ. नियमरशियन फेडरेशनचे वर्तमान कायदे, रशियन फेडरेशनच्या अध्यक्षांच्या अधिपत्याखालील राज्य तांत्रिक आयोगाचे दस्तऐवज, रशियन फेडरेशनच्या अध्यक्षांच्या अधिपत्याखालील सरकारी कम्युनिकेशन्स आणि माहितीसाठी फेडरल एजन्सी.

धोरणाचा पद्धतशीर आधार आहे:

· बँकेतील माहिती सुरक्षिततेच्या क्षेत्रात एकसंध धोरणाची निर्मिती आणि अंमलबजावणी;

· स्वीकृती व्यवस्थापन निर्णयआणि माहिती सुरक्षा धोरणाची अंमलबजावणी करण्यासाठी व्यावहारिक उपायांचा विकास आणि अंमलबजावणीचे परिणाम ओळखणे, प्रतिबिंबित करणे आणि दूर करणे या उद्देशाने समन्वित उपायांच्या संचाचा विकास विविध प्रकारचेमाहिती सुरक्षा धोके;

· माहिती सुरक्षा सुनिश्चित करण्याच्या आवश्यकतांचे पालन करून माहिती तंत्रज्ञानाच्या निर्मिती, विकास आणि ऑपरेशनवर काम करताना बँकेच्या संरचनात्मक उपविभागांच्या क्रियाकलापांचे समन्वय साधणे;

· कायदेशीर, नियामक, तांत्रिक आणि सुधारण्यासाठी प्रस्तावांचा विकास संस्थात्मक समर्थनबँकेतील माहितीची सुरक्षा.

बँकेमध्ये माहिती सुरक्षा प्रणाली तयार करण्याच्या पद्धतशीर दृष्टिकोनामध्ये सर्व परस्परसंबंधित, परस्परसंबंधित आणि वेळेनुसार बदलणारे घटक, परिस्थिती आणि घटक विचारात घेणे समाविष्ट आहे जे बँकेच्या माहितीची सुरक्षा सुनिश्चित करण्यासाठी समस्या समजून घेण्यासाठी आणि सोडवण्यासाठी महत्त्वपूर्ण आहेत.

माहिती सुरक्षा सुनिश्चित करणे- बँकेचे व्यवस्थापन, माहिती सुरक्षा युनिट्स आणि सर्व स्तरावरील कर्मचार्‍यांनी चालवलेली प्रक्रिया. ही केवळ आणि तेवढीच प्रक्रिया किंवा धोरण नाही जी ठराविक कालावधीत किंवा उपायांच्या संचामध्ये अंमलात आणली जाते, परंतु अशी प्रक्रिया आहे जी बँकेच्या सर्व स्तरांवर सतत चालू राहिली पाहिजे आणि बँकेच्या प्रत्येक कर्मचाऱ्याने त्यात भाग घेतला पाहिजे. या प्रक्रियेत. माहिती सुरक्षा उपक्रम हा बँकेच्या दैनंदिन क्रियाकलापांचा अविभाज्य भाग आहे. आणि त्याची परिणामकारकता माहिती सुरक्षा सुनिश्चित करण्यासाठी बँकेच्या व्यवस्थापनाच्या सहभागावर अवलंबून असते.

याव्यतिरिक्त, संरक्षणाच्या बहुतेक भौतिक आणि तांत्रिक माध्यमांना त्यांची कार्ये प्रभावीपणे पार पाडण्यासाठी सतत संस्थात्मक (प्रशासकीय) समर्थन आवश्यक असते (वेळेवर बदलणे आणि नावे, संकेतशब्द, एन्क्रिप्शन की, अधिकारांची पुनर्व्याख्या, इ. योग्य संचयन आणि वापर सुनिश्चित करणे). संरक्षण साधनांच्या ऑपरेशनमधील व्यत्यय आक्रमणकर्त्यांद्वारे वापरल्या जाणार्‍या संरक्षणाच्या पद्धती आणि साधनांचे विश्लेषण करण्यासाठी, विशेष सॉफ्टवेअर आणि हार्डवेअर "बुकमार्क" आणि संरक्षणावर मात करण्याचे इतर माध्यम सादर करण्यासाठी वापरले जाऊ शकतात.

वैयक्तिक जबाबदारीप्रत्येक कर्मचाऱ्याला त्याच्या अधिकाराच्या मर्यादेत माहितीची सुरक्षितता आणि त्याच्या प्रक्रियेसाठी सिस्टम सुनिश्चित करण्यासाठी जबाबदारीची नियुक्ती गृहीत धरते. या तत्त्वानुसार, कर्मचार्‍यांचे अधिकार आणि दायित्वांचे वितरण अशा प्रकारे तयार केले गेले आहे की कोणतेही उल्लंघन झाल्यास, गुन्हेगारांचे वर्तुळ स्पष्टपणे ओळखले जाईल किंवा कमी केले जाईल.

अल्फा-बँक कोणत्याही वापरकर्त्याच्या क्रियाकलापांवर सतत लक्ष ठेवते, प्रत्येक संरक्षण साधन आणि संरक्षणाच्या कोणत्याही वस्तूच्या संबंधात ऑपरेशनल नियंत्रण आणि नोंदणी साधनांच्या वापराच्या आधारावर केले पाहिजे आणि वापरकर्त्यांच्या अनधिकृत आणि अधिकृत दोन्ही क्रियांचा समावेश केला पाहिजे.

बँकेने खालील संस्थात्मक आणि प्रशासकीय दस्तऐवज विकसित केले आहेत:

· व्यापार गुपितांवरील नियम. हे नियमन संस्थेवर नियंत्रण ठेवते, बँकेचे व्यावसायिक गुपित असलेल्या माहितीसह कार्य करण्याची प्रक्रिया, या माहितीमध्ये प्रवेश घेतलेल्या कर्मचार्‍यांची कर्तव्ये आणि जबाबदाऱ्या, बँकेचे व्यावसायिक गुपित राज्यामध्ये (व्यावसायिक) असलेली माहिती असलेली सामग्री हस्तांतरित करण्याची प्रक्रिया संस्था आणि संस्था;

· अधिकृत आणि व्यावसायिक गुपिते असलेल्या माहितीची यादी. सूची गोपनीय म्हणून वर्गीकृत माहिती, संरक्षित माहितीच्या प्रवेशावरील निर्बंधांची पातळी आणि वेळ परिभाषित करते;

· माहिती सुरक्षा व्यवस्था स्थापित करण्यासाठी आदेश आणि निर्देश:

· प्रतिबंधित माहितीसह काम करण्यासाठी कर्मचार्यांना प्रवेश;

· प्रशासक आणि कॉर्पोरेट माहिती प्रणालीमध्ये प्रतिबंधित माहितीसह काम करण्यासाठी जबाबदार व्यक्तींची नियुक्ती;

· सूचना आणि कार्यात्मक जबाबदाऱ्याकर्मचारी:

· सुरक्षा प्रवेश प्रणालीच्या संघटनेवर;

· कार्यालयीन कामाच्या संघटनेवर;

· कॉर्पोरेट माहिती प्रणालीच्या माहिती संसाधनांचे प्रशासन;

· इतर नियामक दस्तऐवज.

निष्कर्ष

आज, माहिती सुरक्षेचे आयोजन करण्याचा प्रश्न कोणत्याही स्तरावरील संघटनांसाठी चिंतेचा आहे - मोठ्या कॉर्पोरेशनपासून ते उद्योजकांपर्यंत कायदेशीर अस्तित्व न बनवता. आधुनिक मध्ये स्पर्धा बाजार संबंधपरिपूर्ण नाही आणि अनेकदा कायदेशीर मार्गांपेक्षा कमी पद्धतीने आयोजित केले जाते. औद्योगिक हेरगिरी फोफावते. परंतु संस्थेच्या व्यापार गुपिताशी संबंधित माहितीचा अनवधानाने प्रसार होण्याची प्रकरणे असामान्य नाहीत. नियमानुसार, कर्मचार्‍यांचे निष्काळजीपणा, परिस्थिती समजून घेण्याची त्यांची कमतरता, दुसऱ्या शब्दांत, "मानवी घटक" येथे भूमिका बजावते.

अल्फा-बँक खालील माहितीचे संरक्षण सुनिश्चित करते:

व्यापार रहस्य

बँकिंग गुप्तता

बँक दस्तऐवज (सुरक्षा विभागाचे अहवाल, बँकेचा वार्षिक अंदाज, बँक कर्मचाऱ्यांच्या उत्पन्नाची माहिती इ.)

बँकेतील माहिती अशा धमक्यांद्वारे संरक्षित आहे:

· नैसर्गिक

· कृत्रिम धमक्या (माहिती प्रणाली आणि त्यातील घटकांच्या डिझाइनमधील त्रुटींमुळे अनावधानाने (अनवधानाने, अपघाती) धमक्या, कर्मचार्‍यांच्या कृतींमधील त्रुटी इ.; स्वार्थी, वैचारिक किंवा लोकांच्या इतर आकांक्षांशी संबंधित हेतुपुरस्सर (जाणूनबुजून) धमक्या ( घुसखोर).

माहिती प्रणालीच्या संबंधात धोक्याचे स्त्रोत बाह्य आणि अंतर्गत दोन्ही असू शकतात.

संदर्भग्रंथ

1. 17 मार्च, 2008 क्रमांक 351 च्या रशियन फेडरेशनच्या अध्यक्षांचे डिक्री "आंतरराष्ट्रीय माहिती एक्सचेंजची माहिती आणि दूरसंचार नेटवर्क वापरताना रशियन फेडरेशनची माहिती सुरक्षितता सुनिश्चित करण्याच्या उपायांवर";

गॅलाटेन्को, व्ही.ए. माहिती सुरक्षिततेची मूलभूत तत्त्वे. माहिती तंत्रज्ञान इंटरनेट विद्यापीठ. INTUIT. ru, 2008;

गॅलेटेंको, व्ही.ए. माहिती सुरक्षा मानके. माहिती तंत्रज्ञान इंटरनेट विद्यापीठ. INTUIT. ru, 2005;

2019

SMB सायबरसुरक्षा प्राधान्यक्रम

MSSP (व्यवस्थापित सुरक्षा सेवा प्रदाता) मॉडेलनुसार सेवा वापराच्या सेवा मॉडेलकडे SMB विभागातील कंपन्या ढगांकडे खेचल्या जातात. हे त्यांना माहिती सुरक्षिततेच्या क्षेत्रातील ऑपरेशनल खर्च लक्षणीयरीत्या कमी करण्यास मदत करते.

IS उपभोगाच्या सेवा मॉडेलला लहान आणि मध्यम आकाराच्या व्यवसायांकडून अधिकाधिक मागणी होत आहे, कारण या कंपन्या सुरक्षा तज्ञांचा मोठा कर्मचारी घेऊ शकत नाहीत.

I-Teco ग्रुपच्या माहिती सुरक्षा विभागाचे प्रमुख व्लादिमीर बालानिन यांच्या मते, SMB विभाग सेवा प्रदात्यांच्या सेवांचा मुख्य ग्राहक बनत आहे जे एकात्मिक माहिती सुरक्षा सेवांसह त्वरित सेवा प्रदान करतात: प्रशासन, देखरेख यासाठी कोणतेही शुल्क नाहीत आणि त्यांच्या स्वतःच्या पायाभूत सुविधांची देखभाल, आणि जोखीम नियामक आवश्यकता सेवा प्रदात्याने स्वतःच उचलल्या आहेत.

साठी त्याच वेळी रशियन बाजारआता SMB साठी माहिती सुरक्षेच्या अत्यंत मर्यादित पुरवठ्याद्वारे वैशिष्ट्यीकृत आहे. जेट इन्फोसिस्टम्सच्या माहिती सुरक्षा केंद्राचे संचालक आंद्रे यँकिन हे जवळजवळ सर्वच नोंदवतात देखभाल सेवामोठ्या ग्राहकांना उद्देशून. विशिष्ट आणि स्वस्त, परंतु एसएमबीसाठी प्राथमिक माहिती सुरक्षा सेवा नाहीत, त्यांच्या मते, व्यावहारिकदृष्ट्या अस्तित्वात नाहीत, जरी इतर अनेक देशांमध्ये ही बाजारपेठ चांगली विकसित झाली आहे.

त्याच वेळी, व्यवस्थापित माहिती सुरक्षा सेवांच्या विभागाच्या विकासासह आणि सायबर जोखीम विमा बाजार विकसित करण्याच्या संभाव्यतेसह, या श्रेणीतील ग्राहकांना आधुनिक धोक्यांसाठी पुरेसे उपाय उपलब्ध असतील.

यादरम्यान, SMB कंपन्या मूलभूत IT सुरक्षा लागू करत आहेत, क्वचितच व्यवसाय प्रक्रियेच्या पातळीपर्यंत वाढतात.

अंगारा टेक्नॉलॉजीज ग्रुप फॉर टेक्नॉलॉजी अँड डेव्हलपमेंटचे डेप्युटी जनरल डायरेक्टर दिमित्री पुडोव यांच्या मते, एसएमईचे प्रतिनिधी, त्यांच्या बजेटसह, उच्च-तंत्रज्ञान किंवा जटिल समाधानांमध्ये जवळजवळ प्रवेश नाही. हे केवळ सोल्यूशन्सच्या किंमतीमुळे नाही, तर ते OPEX ने वाहून नेण्याचे कारण आहे.

SMB विभागातील ग्राहकांनी खरेदी केलेले मुख्य उपाय म्हणजे अँटीव्हायरस आणि सॉफ्टवेअर फायरवॉल, सिस्टम सॉफ्टवेअरचे माहिती सुरक्षा प्रमुख याकोव्ह ग्रोडझेन्स्की म्हणतात. याव्यतिरिक्त, या विभागातील कंपन्या माहिती सुरक्षा ऑडिट आणि पेंटेस्टिंगच्या समस्यांमध्ये सक्रियपणे रस घेत आहेत, कारण अशा संस्था नेहमी कर्मचार्‍यांवर स्वतंत्र माहिती सुरक्षा तज्ञ ठेवत नाहीत, पेंटेस्टर्सचा उल्लेख करू नका.

डॉक्टर वेबचे प्रमुख विश्लेषक व्याचेस्लाव मेदवेदेव जोडतात की, मध्यम आकाराच्या व्यवसायांच्या सर्वेक्षणातून असे दिसून आले आहे की अशा कंपन्यांकडे मूलभूत समस्यांव्यतिरिक्त सुरक्षा उपायांसाठी निधी नाही.

मोठ्या व्यवसायाची सायबरसुरक्षा प्राधान्ये

भागधारक, मालक आणि शीर्ष व्यवस्थापन यांच्यासाठी माहिती सुरक्षिततेचे वस्तुनिष्ठ चित्र असणे नेहमीच महत्त्वाचे असते तांत्रिक प्रक्रियासंस्थेच्या आत, त्यामुळे कंपन्यांमधील माहिती सुरक्षा परिपक्वतेची एकूण पातळी दरवर्षी वाढत आहे. तथापि, काही मोठ्या संस्थांकडे अजूनही व्यवसाय प्रक्रियांमध्ये प्राथमिक ऑर्डरची कमतरता आहे जी माहिती प्रणालीचे कार्य सुनिश्चित करते, ज्यामुळे माहिती सुरक्षिततेमध्ये गोंधळ होऊ शकतो. म्हणून, साठी मुख्य प्राधान्य मोठ्या कंपन्या- या समस्यांचे निराकरण करताना, माहिती आणि नेटवर्क सुरक्षा "स्टेप लॉजिक" विभागाचे संचालक निकोले झाबुसोव्ह म्हणतात.

याव्यतिरिक्त, मोठे व्यवसाय नियामक आणि अंतर्गत मानकांच्या आवश्यकतांचे पालन करण्यावर लक्ष केंद्रित करत आहेत, कमी-अधिक समान संरक्षित पायाभूत सुविधा निर्माण करण्याचा प्रयत्न करीत आहेत. माहिती सुरक्षिततेच्या क्षेत्रातील उद्योग मानके विकसित केली गेली आहेत आणि अनेक कॉर्पोरेशनमध्ये "अंमलबजावणी" केली गेली आहेत.

मोठ्या व्यावसायिक कंपन्यांना अनिवार्यपणे एका निवडीचा सामना करावा लागला: डिजिटल परिवर्तनाच्या मार्गाचे अनुसरण करा किंवा व्यवसाय प्रतिमान न बदलता कार्य करा. परंतु दुस-या बाबतीत, त्यांना लवकरच किंवा नंतर बाजारपेठेतील त्यांचे स्थान त्या प्रतिस्पर्ध्यांना देण्यास भाग पाडले जाईल ज्यांनी जास्त लवचिकता दर्शविली आहे.

व्यावहारिक सुरक्षिततेच्या दृष्टिकोनातून, वेक्टर हल्ले रोखण्यापासून ते शोधून त्यांना प्रतिसाद देण्याकडे अधिकाधिक सरकत आहे, असे क्रोक येथील माहिती सुरक्षा प्रमुख आंद्रे झैकिन म्हणतात. हे या वस्तुस्थितीकडे नेत आहे की समाधानाचे तुलनेने तरुण वर्ग अधिकाधिक लोकप्रिय आणि मागणीत आहेत: EDR, IRP. स्वयंचलित प्रणालीप्रतिसादांमध्ये स्क्रिप्टचे वेगवेगळे संच, स्क्रिप्ट असतात आणि तुम्हाला धमक्या पसरवण्याच्या प्रयत्नांना ब्लॉक करण्याची परवानगी देतात.

सायबर सुरक्षा सेवा

SMB कंपन्या ज्यांना त्यांच्या व्यवसायासाठी माहिती सुरक्षिततेची गंभीरता समजते ते सेवा मॉडेल वापरण्याचा मार्ग अवलंबतात.