Разработка концепции иб

2.2.1 Цели и задачи информационной безопасности

Режим информационной безопасности - это комплекс организационных и программно-технических мер, которые должны обеспечивать следующие параметры:

· доступность и целостность информации;

· конфиденциальность информации;

· невозможность отказа от совершенных действий;

· аутентичность электронных документов.

Цель информационной безопасности - обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.

К задачам информационной безопасности бухгалтерии ООО магазин «Стиль» относится:

· объективная оценка текущего состояния информационной безопасности;

· обеспечение защиты и надежного функционирования прикладных информационных сервисов;

· обеспечение безопасного доступа в Интернет с защитой от вирусных атак и спама;

· защита системы электронного документооборота;

· организация защищенного информационного взаимодействия с территориально удаленными офисами и мобильными пользователями;

· получение защищенного доступа к информационной системе организации;

· обеспечение целостности и доступности информации;

· предотвращение некорректного изменения и модификации данных.

2.2.2 Общие направления информационной безопасности

Проблема обеспечения необходимого уровня защиты информации - весьма сложная задача, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специфических средств и методов, а создания целостной системы организационных мероприятий и применения специфических средств и методов по защите информации.

В рамках комплексного подхода к внедрению системы безопасности для бухгалтерии ООО «Стиль» можно выделить следующие общие направления: · внедрение решений по сетевой безопасности с применением средств компьютерной защиты информации; · внедрение систем однократной аутентификации (SSO); · внедрение системы контроля целостности информационной системы; · внедрение решений по мониторингу и управлению информационной безопасностью; · внедрение системы контроля доступа к периферийным устройствам и приложениям; · внедрение систем защиты от модификации и изменения информации. Основными требованиями к комплексной системе защиты информации являются: · система защиты информации должна обеспечивать выполнение информационной системой своих основных функций без существенного ухудшения характеристик последней; · система защиты должна быть экономически целесообразной; · защита информации должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;

· в систему защиты информации должны быть заложены возможности ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации;

· система защиты в соответствии с установленными правилами должна обеспечивать разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т.е. обладать свойствами активной и пассивной защиты;

· система защиты должна позволять проводить учет и расследование случаев нарушения безопасности информации;

· применение системы защиты не должно быть сложной для пользователя, не вызывать психологического противодействия и желания обойтись без нее.

Основные аспекты, решаемые при разработке ИБ

Уязвимость данных в информационной системе бухгалтерии компании обусловлена долговременным хранением большого объема данных на магнитных носителях, одновременным доступом к ресурсам нескольких пользователей. Можно выделить следующие трудности при разработке системы информационной безопасности:

· на сегодняшний день нет единой теории защищенных систем;

· производители средств защиты в основном предлагают отдельные компоненты для решения частных задач, оставляя вопросы формирования системы защиты и совместимости этих средств на усмотрение потребителей;

· для обеспечения надежной защиты необходимо разрешить целый комплекс технических и организационных проблем и разработать соответствующую документацию.

Для преодоления вышеперечисленных трудностей необходима координация действий всех участников информационного процесса. Обеспечение информационной безопасности - достаточно серьезная задача, поэтому необходимо, прежде всего, разработать концепцию безопасности информации, где определить интересы компании, принципы обеспечения и пути поддержания безопасности информации, а также сформулировать задачи по их реализации.

В основе комплекса мероприятий по информационной безопасности должна быть стратегия защиты информации. В ней определяются цели, критерии, принципы и процедуры, необходимые для построения надежной системы защиты. В разрабатываемой стратегии должны найти отражение не только степень защиты, поиск брешей, места установки брандмауэров или proxy-серверов и т. п. В ней необходимо еще четко определить процедуры и способы их применения для того, чтобы гарантировать надежную защиту.

Важнейшей особенностью общей стратегии информационной защиты является исследование системы безопасности. Можно выделить два основных направления:

· анализ средств защиты;

· определение факта вторжения.

На основе концепции безопасности информации разрабатываются стратегия безопасности информации и архитектура системы защиты информации. Следующий этап обобщенного подхода к обеспечению безопасности состоит в определении политики, содержание которой - наиболее рациональные средства и ресурсы, подходы и цели рассматриваемой задачи.

2.3 Анализ рисков

2.3.1 Оценка и анализ рисков ИБ

Все многообразие структур и форм деятельности служб безопасности можно условно подразделить на два основных вида:

входящие в структуру предприятий и полностью содержащиеся за их счет;

существующие как самостоятельные коммерческие или государственные организации и нанимаемые предприятием для выполнения функций по обеспечению некоторых аспектов его безопасности.

Организационная структура служб первого вида может представляться многофункциональной службой предприятия, решающей весь комплекс проблем его безопасности. Она присуща, как правило, крупным, финансово стабильным организациям: коммерческим банкам, инвестиционным фондам, финансово-промышленным группам, использующим собственный персонал и технические средства. Ко второму виду относятся структуры, специализирующиеся на оказании услуг в сфере безопасности. Они могут решать широкий круг вопросов: от комплексной защиты предприятия до выполнения конкретных функций (например, выявление подслушивающих устройств, охрана транзитных перевозок, личная охрана сотрудников). В ряде случаев предприятию оказывается экономически выгоднее привлечь для выполнения некоторых функций безопасности специализированную организацию, чем содержать собственную структуру. То же можно отнести и к привлечению, например, частных фирм в разрешении проблем, связанных с угрозами безопасности предприятия, в частности с угрозами, обусловленными техническим проникновением: выявление подслушивающих устройств, контроль эфира, особенно в тех случаях, когда нужны разовые мероприятия подобного рода. Учитывая весьма высокую стоимость аппаратуры, необходимой для выявления угроз технического проникновения, экономически целесообразней оказывается наем специалистов из сторонней организации, чем содержание на предприятии соответствующего оборудования и штата сотрудников. При этом еще следует учитывать значительные затраты на профилактику этой техники, ее обслуживание и обновление взамен морально устаревшей, обучение персонала.

В данной лекции речь пойдет о службах безопасности предприятия.

В соответствии с типовым положением, высшим органом управления любым акционерным предприятием является общее собрание акционеров. Наряду с выработкой генеральной цели и принципиальных направлений деятельности, экономической и технической политики предприятия, как это и предусмотрено положением, прерогативой общего собрания, по-видимому, должно быть также определение потребности в обеспечении безопасности, санкционирование организации, установление объемов и источников финансирования этой деятельности. Однако типовые положение и устав акционерного предприятия такие полномочия общего собрания не предусматривают. Например, в работе рекомендуется установить перечень сведений, составляющих коммерческую тайну, определить порядок и условия передачи коммерческой информации другим физическим и юридическим лицам, определить основы системы защиты объектов, входящих в АО.

Типовые учредительные документы также регламентируют, что в период между общими собраниями акционеров полномочным органом управления является совет директоров, возглавляемый генеральным директором АО. Именно генеральный директор должен обладать всей полнотой полномочий по обеспечению безопасности АО и в пределах свой компетенции:

утверждает порядок организации работ но обеспечению безопасности АО и контролирует ее состояние;

устанавливает порядок регулирования отношений в области защиты АО во всех сферах деятельности и на всех уровнях его управления;

определяет категории должностных лиц, имеющих доступ к конфиденциальной информации АО;

применяет меры дисциплинарного воздействия к должностным лицам, не обеспечившим надежную защиту объектов АО;

вправе делегировать часть своих полномочий по обеспечению безопасности другим должностным лицам АО.

Координация работ по обеспечению безопасности на уровне функциональных служб должна возлагаться на правление АО в пределах компетенции, определяемой уставом общества.

Синтез системы, практическая реализация ее функций должна находиться в компетенции специальных подразделений службы безопасности АО. Состав таких функций может быть расширен за счет комплексов задач прогнозирования, выявления и оценки угроз безопасности, структуризации задач защиты, их оптимизации, технико-экономической оценки и выбора предпочтительного варианта обеспечения безопасности.

Проведенные сопоставления результатов деятельности служб безопасности показали, что наиболее эффективно они функционируют там, где решение проблем безопасности постоянно находится в сфере внимания первых руководителей, увязывается ими с результатами производственно-хозяйственной деятельности предприятия. Именно на этих предприятиях руководитель службы безопасности обладает максимально возможным кругом полномочий, позволяющим оказывать влияние на различные области деятельности объекта, как того требуют интересы его безопасности. Так, на крупных предприятиях, где служба безопасности состоит из нескольких подразделений, выполняет различные функции по охране, сыску, анализу реальных и потенциальных угроз, ее руководитель, как правило, является одновременно и заместителем генерального директора, а на объектах с повышенной системой защищенности -- и первым заместителем. Используются и другие варианты построения организационной структуры, при которых в аппарате управления выделяется должность специального директора по безопасности. Он руководит службой безопасности, включающей службу охраны, специальные системы связи и информации, противопожарные службы, специальные группы реагирования.

Но даже и в тех случаях, когда служба безопасности хотя и немногочисленна (в малых формах бизнеса), но рационально организована, положение ее руководителя позволяет принимать самостоятельные решения в рамках своей компетенции и своевременно реагировать на возникающие угрозы безопасности предприятия, т. е. его статус на объекте выделен и поддержан руководством. Это выражается в разработке таких функциональных обязанностей руководителя службы безопасности, которые закрепляют его особое положение. Например, ему подчиняются другие, равные по штатному уровню руководители, в решении кадровых вопросов. Этот статус может проявляться и в том, что руководитель службы безопасности наделен определенными запретительными правами по отношению к другим службам предприятия на переговорах с клиентами, правами санкционирования выбора клиентов и соисполнителей. Что касается собственно организационной структуры службы безопасности, то в процессе исследований удалось выявить определенную закономерность ее построения в зависимости от следующих факторов (рис. 1). Рис. 1 - Факторы, влияющие на особенности построения организационной структуры службы безопасности промышленного предприятия Особенности построения организационной структуры службы безопасности зависят от: характера и масштабов производственной деятельности предприятия (особенности выпускаемой продукции и прогрессивность применяемых технологий, наличие товаров-новинок, патентов и лицензий, производственная мощность, численность работающих, темпы технического развития); рыночной позиции предприятия (темпы развития отрасли, к которой относится предприятие, вид кривой жизненного цикла, динамика его продаж и доля рынка, наличие стратегических зон хозяйствования, уровень конкурентоспособности товаров и услуг, репутация в деловых кругах, имидж и гудвил); достигнутого уровня финансовой состоятельности (общая экономическая рентабельность, рентабельность капитала и продукции, платежеспособность, уровень деловой активности, инвестиционная привлекательность); наличия субъектов специальной защиты (носители государственной или коммерческой тайны, крупные материальные ценности, Экологически опасные производства, взрыво- и пожароопасные участки и т. п.); наличия конкурентной среды (активность конкурентов и криминалитета). Кроме отмеченных объективных факторов на выбор структуры службы безопасности могут воздействовать и факторы субъективного порядка. Например, наличие свободных финансовых ресурсов, которые можно направить на обеспечение безопасности, или субъективное мнение руководителя предприятия, считающего, что затраты на службу безопасности себя не окупают и поэтому в ее организации нет необходимости. Разумеется, представить универсальную структуру службы безопасности того или иного предприятия -- объекта защиты -- будет весьма сложно из-за многообразия форм проявления на нем отмеченных факторов. Однако, по-видимому, можно говорить о некотором наборе типовых направлений деятельности служб безопасности, исходя из условного деления множества объектов защиты на следующие группы: крупные финансово-промышленные группы и акционерные общества с частным и смешанным капиталом;

государственные производственные объединения;

акционерные и частные коммерческие структуры (крупные, средние, мелкие). Первое направление -- юридическая безопасность предпринимательской деятельности, под которой следует понимать юридически корректное оформление прав, порядка и условий осуществления этой конкретной деятельности (устава, регистрационных документов, прав собственности на имущество, патентов, лицензий, арендных и контрагентских договоров, соглашений, ведение бухгалтерской документации и др.). Необходимость разработок и реализации соответствующего комплекса задач достаточно очевидна в условиях несовершенной нормативно-правовой базы предпринимательства и его безопасности. Второе -- физическая безопасность субъектов предпринимательской деятельности. В качестве объектов следует при этом рассматривать как сам вид предпринимательской деятельности, так и ресурсы предпринимателя: финансовые, материальные, информационные. Отдельного рассмотрения требует безопасность трудовых и интеллектуальных ресурсов: персонала, акционеров и работников предприятия.

Третье -- информационная (информационно-коммерческая) безопасность, защита информационных ресурсов хозяйствующего субъекта, а также объектов его интеллектуальной собственности. Коммерчески значимая информация может быть связана со всеми теми объектами, которые упоминались при рассмотрении физической безопасности.

Одно из важнейших по значимости -- четвертое направление -- это вопросы безопасности людей, персонала: охрана труда и техника безопасности, производственная санитария и экология, аспекты психологии деловых отношений, вопросы личной безопасности сотрудников и членов их семей. Следует отметить, что универсального способа или методики выбора структуры службы безопасности до настоящего времени не предложено, хотя практическая потребность в этом очевидна. Исходя из проведенных обобщений в организации службы безопасности, можно предложить следующий укрупненный алгоритм выработки решений по ее структуризации применительно к особенностям деятельности того или иного хозяйствующего субъекта:

шаг 1 -- принимается некоторое состояние объекта, фиксированное во времени, и определяются его жизненно важные интересы на этот момент;

шаг 2 -- определяются наиболее вероятные для данного объекта угрозы его безопасности;

шаг 3 -- оценивается степень риска при реализации каждого вида угроз, которые ранжируются по степени вероятного ущерба в случае их проявления;

шаг 4 -- разрабатывается план реализации соответствующих мероприятий по локализации каждой из угроз с оценкой потребности в ресурсах, а значит, и предполагаемых затрат;

шаг 5 -- исходя из сопоставления наличных ресурсов и предполагаемых затрат на реализацию функций и задач комплексной системы защиты по каждой из выявленных угроз, формируется служба безопасности;

шаг 6 --в зависимости от изменения характера вновь возникающих угроз и ресурсных возможностей предприятия, на основе постоянного анализа всех этих составляющих корректируются структура и задачи службы безопасности Таким образом, можно обобщить, что предложенная концептуальная организация управления системой безопасности, имеющая ярко выраженную вертикаль подчиненности и взаимной ответственности, исходит из практического опыта в сфере защиты государственной и коммерческой тайны. Выбор такой концепции предопределен высоким уровнем издержек -- экономических потерь, которые вынуждено понести предприятие в случаях реализации угроз его безопасности, а также взаимообусловленностью проблем безопасности предприятия, безопасности личности, общества и государства. Универсальный алгоритм построения системы безопасности

Руководитель предприятия, определяя характер службы безопасности, должен исходить из особенностей сферы и масштабов деятельности предприятия, объектов, подлежащих защите, учитывать возможности материально-технического и финансового обеспечения мероприятий по обеспечению безопасности.

Все подразделения службы безопасности в полном объеме создаются лишь крупнейшими экономическими субъектами. Небольшие предприятия ограничиваются группами внутренней безопасности, состоящими из охранников и персонала, занимающегося настройкой и ремонтом технических средств обеспечения безопасности. В некоторых случаях создавать службу безопасности на предприятии не следует. В таком случае для обеспечения безопасности от криминальной конкуренции можно использовать технические средства. На основной персонал предприятия при этом возлагаются соответствующие дополнительные функции. К проектированию системы обеспечения безопасности - опирающейся в основном на технические средства, целесообразно привлечь специализированные консультативные фирмы.

3. Основные принципы деятельности СБ:

законность, соблюдение прав и свобод человека и гражданина, уважение личной, семейной тайны (сбор сведений в отношении сотрудника, кандидата на работу осуществляется только с его письменного согласия; автоматизированные информационные системы создаются и используются с соблюдением требований законодательных актов относительно персональных данных);

приоритет предупредительных мероприятий;

профессионализм (использование собственных специалистов или обращение за помощью к специализированным государственным или частным организациям);

взаимодействие с государственными правоохранительными органами и службами безопасности других фирм;

системный подход, который предполагает, в частности, учет всех факторов, оказывающих влияние на безопасность предприятия, полный охват защитными мероприятиями всех объектов в соответствии с их значимостью, использование не только режимных мер и административных методов, но и экономических рычагов и стимулов, циркулярного информирования, других способов воздействия;

использование доступных зарубежных средств и систем безопасности;

активность, опережающий по сравнению с имеющими место посягательствами поиск новых способов и возможностей обеспечения безопасности;

сочетание единоначалия и коллегиальности в руководстве;

подотчетность и подконтрольность лично руководителю предприятия, поскольку он знает в деталях приоритеты в управлении, имеет возможность оперативно принимать решения и эффективно их реализовывать; сочетание гласных и негласных форм деятельности, так как применение предприятиями-конкурентами, службами промышленного шпионажа, организованной преступностью негласных форм деятельности обусловливает необходимость аналогичных форм противодействия; рациональное использование сил и средств; плановая основа деятельности; повышение квалификации сотрудников СБ. Цель создания СБ -- обеспечение для предприятия условий защищенности от криминальной конкуренции -- деятельности социальных организаций или физических лиц, направленной на получение односторонних преимуществ в бизнесе и основанной а нарушениях законодательства, деловой этики, наносящей экономический или иной ущерб цивилизованному бизнесу.

3.1Основные задачи СБ на предприятии:

1) распознавание угроз его безопасности; 2) предотвращение возможного ущерба от криминальной конкуренции; 3) противодействие физическим лицам и социальным организациям, использующим методы криминальной конкуренции; 4) минимизация последствий от конкретных фактов криминальной конкуренции; 5) противодействие физическому, техническому несанкционированному проникновению на служебные объекты; 6) информационное обеспечение деятельности по вопросам безопасности; 7) взаимодействие и координация службы безопасности с государственными правоохранительными органами; 8) обеспечение физической безопасности руководителей и сотрудников предприятия; 9) обеспечение безопасности коллектива от проникновения лиц с криминальным прошлым, от разрушения благоприятного психологического климата; 10) исключение несанкционированного доступа к информации, составляющей коммерческую тайну; 11) обеспечение сохранности материальных ценностей и финансовых средств предприятия; 12) предотвращение возможного ущерба имиджу предприятия; 13) противодействие возможным попыткам со стороны конкурентов получить соответствующие рычаги управления предприятием (бизнесом).

Выводы.

Служба безопасности (СБ) на предприятии -- подразделение предприятия, специально созданное для обеспечения безопасности его законных прав и интересов от криминальной конкуренции со стороны социальных организаций и физических лиц.

Службы безопасности -- неотъемлемая часть хозяйственной и иной предпринимательской деятельности в странах с развитой рыночной экономикой. Затраты зарубежных фирм только на охрану коммерческой тайны достигают 25 % всех расходов на производство. В Западной Европе ассигнования на мероприятия, связанные с обеспечением безопасности, составляют от 15 до 20% стоимости охраняемых ценностей, в Украине - не более 1 %.