Фрагмент для ознакомления
2
Место и роль службы безопасности предприятия в системе защиты информации.
Служба защиты информации создается для охвата всего технического комплекса информационной деятельности. Они должны быть:
• Диверсифицированные по использованию средств;
• Многоуровневой, с иерархическим порядком доступа;
• Открытыми для изменений;
• Нестандартными;
• разнообразными;
• Легко обслуживаемыми;
• Должны быть ремонтопригодным;
• Должны быть простым в обслуживании;
• Должны быть надежной.
Служба защиты информации является неотъемлемой частью системы защиты и является органом управления защитой информации и координатором деятельности по обеспечению информационной безопасности. Информация, которая чаще всего считается конфиденциальной – это информация о производстве, управлении, планировании, финансовой деятельности, переговорах, партнерах, контрактах, ценах и т.д.
Выявить проблемные вопросы в решении задач по защите безопасности предприятия
Угроза безопасности предприятия – это фактическое поведение, событие, явление или процесс, которые потенциально могут нанести ущерб его функционированию. Для того чтобы предпринять какие-либо действия по устранению негативных событий, необходимо понять природу того, что представляет собой риск для предприятия.
Существует два типа угроз для предприятий.
К внешним угрозам относятся:
• Действия недобросовестных конкурентов, которые наносят ущерб деловой репутации предприятия, крадут изобретения и коммерческие тайны;
• Действия отдельных лиц или рейдерских компаний по захвату контроля или собственности;
• Гринмейл (от англ. green-money, blackmail) – финансовое вымогательство (или экономический терроризм) в отношении предприятия;
• Предприятия и его управленческой команды, отдельных лиц из-за личной неприязни к персоналу;
• Действия сотрудников компаний.
К внутренним угрозам безопасности предприятия относятся нарушения правил работы сотрудниками, не правомерные действия сотрудников, наносящие серьезный ущерб предприятию и подрывающие его деловую репутацию, а также неправильный подбор сотрудников. Существуют также классификации угроз бизнесу, включая умышленные (кража, взлом, нападение, вторжение, демпинг, недобросовестная конкуренция, шантаж, промышленный шпионаж, преднамеренная подделка документации), непреднамеренные (технические, природные), экономические (не выплата кредитов, хищение средств, мошенничество), информационные (разглашение конфиденциальной информации, ее уничтожение или неофициальное искажение, повреждение технических средств получения, использования, хранения или передачи данных), непреднамеренная небрежность в использовании или хранении данных, случайная некомпетентность (например, халатность, неопытные пользователи, ошибки в разработке программного обеспечения), юридические (не знание или сознательное нарушение закона, несоблюдение правовых основ организации и управления бизнесом), объективные (например, экономический кризис, инфляция, конкуренция), фальсификация платежных документов, фальсификация финансовой отчетности.
Если угроза безопасности компании обнаружена, менеджерам необходимо установить ее уровень в финансовом (или материальном) выражении. Им также необходимо оценить потенциальные потери, если угроза будет реализована. По сути, потери можно понимать, как произведение стоимости возможного ущерба (в денежном выражении) и его вероятности.
Своя позиция по совершенствованию службы безопасности предприятия
Политика безопасности компании представляет собой единую точку отсчета для принятия решений и действий, способствующих выполнению задач.
Мы считаем, что для начала нужно, провести аудит информационных процессов компании для выявления критической информации, которую необходимо защитить. Аудит информационных процессов должен выявить список конфиденциальных данных компании и области, в которых они используются, список уполномоченных лиц и последствия утечки (искажения) конфиденциальной информации. После этого станет ясно, что, от кого и как должно быть защищено. Это связано с тем, что в подавляющем большинстве случаев нарушителями являются сотрудники компании, вольно или невольно. Действительно, эту закономерность невозможно изменить, и ее следует принять как данность.
Затем мы переходим к созданию стратегии безопасности. После анализа ситуации составляется политика безопасности как основной документ для защиты компании от угроз, который утверждается руководителем компании. Системы безопасности – это уникальные продукты. Например, системы безопасности транспортных компаний, коммерческих предприятий и производственных компаний значительно отличаются друг от друга.
Мы считаем, что нужно придерживаться, принципов ниже, для улучшения безопасности компании:
1. Быть всеохватным. Менеджеры компании должны учитывать все потенциальные угрозы и планировать эффективную систему безопасности.
2. Своевременность. Все меры безопасности должны иметь своей главной целью предотвращение возможных угроз и разработку эффективных контр мер против нарушения корпоративных ценностей.
3. Непрерывность. Управление безопасностью должно быть непрерывным. Наиболее продуктивным является постоянный цикл «план – реализация –проверка – улучшение – план».
4. Легитимность. Экономическая безопасность предприятия не может выходить за рамки правового поля и должна основываться на законных способах выявления и предотвращения нарушений.
5. Планирование. Усилия по укреплению безопасности должны основываться на специальном плане, разработанном для каждого отдела организации и для некоторых сотрудников.
Показать больше
