Оригинальные тексты для сайтов и веб-проектов. Копирайт, рерайт, переводы.
Профессиональное наполнение вебсайтов уникальным контентом и новостями.
Оптимизированные тематичные тексты и фото по низкой стоимости. Надёжно.

 
  Безопасность информации при использовании средств связи и различных коммуникаций  
 

На главную страницу | К оглавлению раздела

Опасность для бизнесменов или коммерсантов, заинтересованных в соблюдении коммерческой тайны

К сожалению, приходится констатировать тот факт, что многие бизнесмены, руководители коммерческих структур, банков должным образом не уделяют этому постоянного внимания и начинают беспокоиться тогда, когда уже обнаружена утечка информации. Проблема состоит не только в том, что преступные элементы или группировки обогащаются за счет объектов преступной деятельности, а в том, что это приводит, в конечном счете, к подрыву экономики государства - razgovorodele.ru. По представлениям многих бизнесменов беспокоиться о возможной утечке информации следует только в том случае, когда в его действиях есть криминал и, как, говорится, под него «копают».

На самом деле это не так. Что может создавать опасность для бизнесменов или коммерсантов, заинтересованных, разумеется, в соблюдении коммерческой тайны? Как правило, это:

- разведывательная деятельность конкурентов;
- несанкционированные действия сотрудников собственной фирмы;
- неправильная политика фирмы в области безопасности.

Информация, представляющая интерес при сборе и анализе сведений:

а) сведения коммерческого содержания:

- уставные документы фирмы;
- сводные отчеты по финансовой деятельности фирмы (ежемесячные, квартальные, годовые, за несколько лет);
- кредитные договоры с банками;
- договоры купли и продажи;
- сведения о перспективных рынках сбыта, источниках средств или сырья, товарах, о выгодных партнерах;
- любая информация, предоставленная партнерами, если за ее разглашение предусмотрены штрафные санкции;
- данные о конкурентах, их слабые и сильные стороны;
- условия финансовой деятельности;
- технологические секреты;
- меры, предпринимаемые конкурентами в отношении своих противников;
- данные о потенциальных партнерах, проверка их на недобросовестность;
- информация о месте хранения грузов, времени и маршрутах их перевозки;
- выявление уязвимых звеньев среди сотрудников;
- выявление лиц, перспективных для вербовки путем подкупа, шантажа или иного метода;
- связи и возможности руководства;
- выявление круга постоянных посетителей

б) сведения личного характера:

- источники доходов;
- истинное отношение к тем или иным общественным явлениям, «сильным мира сего»;
- уклад личной жизни руководителя и членов его семьи;
- расписание и адреса встреч - деловых и личных;
- данные о размерах финансового благополучия;
- информация о человеческих слабостях;
- пагубные пристрастия;
- вредные привычки;
- сексуальная ориентация;
- данные о друзьях, подругах, местах проведения досуга, способах и маршрутах передвижения;
- информация о местах хранения ценностей;
- место жительства;
- супружеская неверность;
- проблемы отцов и детей.

Необходимо отметить, что безопасность как система мер требует обеспечения необходимого уровня защищенности по ряду направлений:

- защита от организованной преступности;
- защита от нарушений закона;
- защита от недобросовестной конкуренции;
- защита от правоохранительных и контролирующих органов.

Обычно выделяют 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности:

0-й уровень:

- информационной безопасностью в компании никто не занимается, руководство компании не осознает важности проблем информационной безопасности;
- финансирование отсутствует;
- информационной безопасностью реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).

1-й уровень:

- информационная безопасность рассматривается руководством как чисто «техническая» проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании;
- финансирование ведется в рамках общего ИТ-бюджета;
- информационная безопасность реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (построения виртуальных частных сетей), т.е. традиционные средства защиты.

2-й уровень:

- информационная безопасность рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности информационной безопасности для производственных процессов, есть утвевжденная руководством программа развития СОИБ компании;
- финансирование ведется в рамках отдельного бюджета;
- информационная безопасность реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).

3-й уровень:

- информационная безопасность является частью корпоративной культуры, назначен CISA (старший администратор по вопросам обеспечения информационной безопасности);
- финансирование ведется в рамках отдельного бюджета;
- информационная безопасность реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT (группа реагирования на инциденты нарушения информационной безопасности), SLA (соглашение об уровне сервиса).

Процентное соотношение компаний применительно к описанным четырем уровням выглядит следующим образом: 0 уровень - 30%, 1 уровень - 55%, 2 уровень - 10 %, 3 уровень - 5 %. Прогноз на ближайшие два-три года выглядит следующим образом: 0 уровень - 20%, 1 уровень - 35%, 2 уровень - 30 %, 3 уровень - 15 %. Статистика показывает, что большинство компаний (55%) в настоящий момент внедрили минимально необходимый набор традиционных технических средств защиты (1 уровень). Внедрение дополнительных средств защиты (переход на уровни 2 и 3) требует существенных финансовых вложений и соответственного обоснования - razgovorodele.ru. Отсутствие единой программы развития СОИБ, одобренной и подписанной руководством, обостряет проблему обоснования вложений в безопасность. В качестве такого обоснования могут выступать результаты анализа риска и статистика, накопленная по инцидентам.

Механизмы реализации анализа риска и накопления статистики должны быть прописаны в политике информационной безопасности компании. Процесс анализа риска состоит из 6 последовательных этапов:

- идентификация и классификация объектов защиты (ресурсов компании, подлежащих защите);
- категорирование ресурсов;
- построение модели злоумышленника;
- идентификация, классификация и анализ угроз и уязвимостей;
- оценка риска;
- выбор организационных мер и технических средств защиты.

На этапе идентификации и классификации объектов за» щиты необходимо провести инвентаризацию ресурсов компании по следующим направлениям:

- информационные ресурсы (конфиденциальная и критичная информация компании);
- программные ресурсы (ОС, СУБД, критичные приложения, например ERP);
- физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);
- сервисные ресурсы (электронная почта, www и т.д.).


Качественное и надёжное обслуживание (ведение, администрирование) вебсайтов,
интернет-магазинов, витрин, блогов, форумов и других web проектов недорого.
Полное администрирование сайтов, включая наполнение контентом и продвижение.


 
     
 

razgovorodele.ru - © 2010-2017 - Разговор о деле ру
Безопасность информации при использовании средств связи и различных коммуникаций
При использовании наших материалов на других ресурсах сети обратная ссылка строго обязательна