Мероприятия по совершенствованию информационной безопасности на предприятии по продаже цифровой техники ИП «Салон Цифровой Техники НЕОН

комплекс ресурсов, которым  обладает любой бизнес.

В первую очередь-предпринимательский ресурс. Это потенциал руководителя (собственника) бизнеса и высшего  управленческого звена: их образование, опыт, квалификация, наконец, интуиция. Именно эти люди принимают решение  о том, куда будет двигаться бизнес, каким будет поведение фирмы в рынке, каковы конечные цели.

Материальные ресурсы. Это средства производства, и финансовые средства, основные и оборотные, являющиеся кровью бизнеса.

Безопасность этого сегмента бизнеса напрямую зависит от того, в какой мере руководитель контролирует инфраструктуру оборота, то есть всю цепочку поступления и функционирования материальных ресурсов. Такой многоуровневый и плотный контроль за материальным ресурсом возможен в одном случае-если все эти ресурсы находятся в личной или хотя бы коллективной собственности. В этом случае собственник имеет реальные рычаги воздействия на функционирование ресурса на разных уровнях.

Следующий ресурс-интеллектуальный. Это программы, патенты, технологии, лицензии, информационные системы. По большому счету это то, что обеспечивает прогресс в воспроизводстве и защиту коммерческой тайны. Однако здесь есть существенная проблема-успешная защита коммерческой тайны, интеллектуальной собственности возможна лишь в рамках установившегося, регулируемого, четко очерченного правового

поля. Что, согласитесь, у нас пока хромает. Законы прописаны весьма приблизительно, следовательно, и система их исполнения не работает.

Потому предприниматель  не может реально контролировать интеллектуальный ресурс. Исходя из такого положения вещей, делаем вывод -интеллектуальная безопасность бизнеса-дело будущего. Может быть-ближайшего.

Еще один ресурс-кадровый. Не вызывает сомнений, что плохо  обученный, неквалифицированный сотрудник  представляет собой прямую угрозу безопасности бизнеса. Однако и постоянная смена персонала также накладна и подрывает благополучие фирмы. В этой ситуации грамотный руководитель (или собственник) имеет полную возможность контроля над ресурсом-внедряя корпоративную идеологию, вводя разумную систему поощрений, обеспечивая социальные нужды.

Информация давно перестала быть просто необходимым для производства вспомогательным ресурсом или побочным проявлением всякого рода деятельности. Она приобрела ощутимый стоимостный вес, который четко определяется реальной прибылью, получаемой при ее использовании, или размерами ущерба, с разной степенью вероятности наносимого владельцу информации. Однако создание индустрии переработки информации порождает целый ряд сложных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса информации, циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях.

Данная проблема вошла  в обиход под названием проблемы

защиты информации.

Говоря о защите информации, вводят следующую классификацию  тайн по шести категориям: государственная тайна, коммерческая тайна, банковская тайна, профессиональная тайна, служебная тайна, персональные данные. Последние пять составляют конфиденциальную информацию.

В отличие от государственной тайны, где режим ее защиты устанавливает государство, в отношении конфиденциальной информации режим защиты устанавливается собственником информационных ресурсов.

Для одних первой задачей является предотвращение утечки информации (маркетинговых планов, перспективных  разработок и т.д.) конкурентам. Другие могут пренебречь конфиденциальностью своей информации и сосредоточить внимание на ее целостности. Например, для банка важно в первую очередь обеспечить неизменность обрабатываемых платежных поручений, чтобы злоумышленник не смог несанкционированно дописать в платежку еще один нолик или изменить реквизиты получателя. Для третьих на первое место поднимается задача обеспечения доступности и безотказной работы информационных систем. Для провайдера Internet-услуг, компании, имеющей Web-сервер, или оператора связи первейшей задачей является именно обеспечение безотказной работы всех (или наиболее важных) узлов своей информационной системы.

Расставить такого рода приоритеты можно только по результатам анализа  деятельности предприятия.

Обычно, когда речь заходит  о безопасности предприятия, его  руководство часто недооценивает  важность информационной безопасности. Основной упор делается на физическую безопасность(пропускной режим, охрану, систему видеонаблюдения и т.д.). Однако, за последние годы ситуация существенно изменилась. Для того, чтобы проникнуть в тайны предприятия, достаточно проникнуть в информационную систему или вывести из строя какой-либо узел корпоративной сети. Все это приведет к огромному ущербу. Причем не только к прямому ущербу, который может выражаться в цифрах со многими нулями, но и к косвенному. Например, неисправность того или иного узла приводит к затратам на восстановление его работоспособности, которые заключаются в обновлении или замене программного обеспечения, зарплате обслуживающего персонала. А атака на публичный Web-сервер предприятия и замена его содержимого на любое другое может привести к снижению доверия к фирме и, как следствие, потере части клиентуры и снижению доходов.

Основная опасность исходит именно от внешних злоумышленников, которые проникают в компьютерные системы банков, военных организаций и т.д. Такая опасность существует и нельзя ее недооценивать, но она слишком преувеличена. Обратимся к статистике. Более половины всех компьютерных преступлений связаны с внутренними нарушениями, т.е. осуществляются сотрудниками своей компании, работающими или уволенными. Свой сотрудник может реально оценить стоимость той или иной информации, и зачастую он обладает привилегиями, которые излишни для него.

Самая распространенная-неудовлетворенность  своим положением или зарплатой. Другой пример-сотрудник при  увольнении затаил обиду и хочет  отомстить своим обидчикам, т.е. предприятию  или

его руководству. Если в своей работе он имел достаточно широкие права, используя их, он может очень существенно навредить и после своего ухода.

Однако больших бед  можно ожидать не от уволенных  или

обиженных обычных сотрудников (например, операционистов), а от

тех, кто облечен очень  большими полномочиями и имеет доступ к

широкому спектру различной информации-это сотрудники отделов

автоматизации, информатизации и телекоммуникации, которые знают  пароли ко всем системам, используемым в организации. Их квалификация, знания и опыт, используемые во вред, могут привести к очень большим проблемам. Кроме того, таких специалистов трудно обнаружить, поскольку они обладают достаточными знаниями о системе безопасности организации, чтобы обойти используемые защитные механизмы.

Поэтому при построении системы защиты необходимо защищаться не только и не столько от внешних злоумышленников, сколько от злоумышленников внутренних.

К сожалению, приходится констатировать тот факт, что многие бизнесмены, руководители коммерческих структур, банков должным образом не уделяют этому постоянного внимания и начинают беспокоиться тогда, когда уже обнаружена утечка информации.

Проблема состоит не только в том, что преступные элементы или  группировки обогащаются за счет объектов преступной деятельности, а в том, что это приводит, в конечном счете, к подрыву экономики государства. По представлениям многих бизнесменов беспокоиться о возможной утечке информации следует только в том случае, когда в его действиях есть криминал и, как, говорится, под него «копают». На самом деле это не так.

Что может создавать опасность  для бизнесменов или коммерсантов, заинтересованных, разумеется, в соблюдении коммерческой тайны? Как правило, это:

-разведывательная деятельность  конкурентов;

-несанкционированные действия  сотрудников собственной фирмы;

-неправильная политика фирмы в области безопасности.

Информация, представляющая интерес при сборе и анлизе сведений:

а) сведения коммерческого  содержания:

-уставные документы фирмы;

-сводные отчеты по  финансовой деятельности фирмы  (ежемесячные, квартальные, годовые, за несколько лет);

-кредитные договоры с  банками;

-договоры купли и продажи;

-сведения о перспективных  рынках сбыта, источниках средств  или сырья, товарах, о выгодных  партнерах;

-любая информация, предоставленная  партнерами, если за ее разглашение предусмотрены штрафные санкции;

-данные о конкурентах,  их слабые и сильные стороны;

-условия финансовой  деятельности;

-технологические секреты;

-меры, предпринимаемые конкурентами  в отношении своих противников;

-данные о потенциальных партнерах, проверка их на недобросовестность;

-информация о месте  хранения грузов, времени и маршрутах  их перевозки;

-выявление уязвимых звеньев  среди сотрудников;

-выявление лиц, перспективных  для вербовки путем подкупа,  шантажа или иного метода;

-связи и возможности  руководства;

-выявление круга постоянных посетителей,

б) сведения личного характера:

-источники доходов;

-истинное отношение к  тем или иным общественным  явлениям, «сильным мира сего»;

-уклад личной жизни  руководителя и членов его семьи;

-расписание и адреса  встреч - деловых и личных;

-данные о размерах  финансового благополучия;

-информация о человеческих  слабостях;

-пагубные пристрастия;

-вредные привычки;

-сексуальная ориентация;

-данные о друзьях, подругах, местах проведения досуга, способах и маршрутах передвижения;

-информация о местах  хранения ценностей;

-место жительства.

 

 

 

 

 

 

 

 

 

 

 

2. АНАЛИЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ ПО ПРОДАЖЕ ЦИФРОВОЙ ТЕХНИКИ «НЕОН» г. Урай

     2.1. Анализ информационной безопасности на предприятиях по продаже цифровой техники в г. Урай

Производя анализ вместе со специалистами СЦТ «НЕОН», предприятий города по продаже цифровой техники (НЕОН, Юником, Связной, Евросеть, Каскад, Норд, Неолайн, Лайн, Зион, Эльдорадо), было выделено 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности:

0-й уровень:

-информационной безопасностью  в компании никто не занимается, руководство компании не осознает  важности проблем информационной  безопасности;

-финансирование отсутствует;

-информационной безопасностью  реализуется штатными средствами  операционных систем, СУБД и приложений  (парольная защита, разграничение  доступа к ресурсам и сервисам).

1-й уровень:

-информационная безопасность  рассматривается руководством как чисто «техническая» проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании;

-финансирование ведется  в рамках общего ИТ-бюджета;

-информационная безопасность реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства органи зации VPN (построения виртуальных частных сетей), т.е. традиционные средства защиты.

2-й уровень:

-информационная безопасность рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности информационной безопасности для производственных процессов, есть утвевжденная руководством программа развития СОИБ компании;

-финансирование ведется  в рамках отдельного бюджета;

-информационная безопасность  реализуется средствами первого  уровня плюс средства усиленной  аутентификации, средства анализа  почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).

3-й уровень:

-информационная безопасность  является частью корпоративной  культуры, назначен CISA (старший администратор  по вопросам обеспечения информационной  безопасности);

-финансирование ведется  в рамках отдельного бюджета;

-информационная безопасность реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT (группа реагирования на инциденты нарушения информационной безопасности), SLA (соглашение об уровне сервиса).

По аналитической информации (данные приводятся за 2009 год)процентное соотношение компаний по продаже цифровой техники в г. Урай применительно к описанным четырем уровням выглядит следующим образом:

Таблица 2.1

Соотношение компаний по 4 уровням безопасности на 2009 год