- •Введение
- •1 Теоретические основы стратегии экономической безопасности организации
- •Сущность стратегии экономической безопасности организации
- •Подходы к формированию стратегии экономической безопасности
- •Нормативно-правовое регулирование стратегии экономической безопасности
- •2 Анализ системы экономической безопасности ооо агрофирма «биокор-с» мокшанского района
- •2.1 Организационно-экономическая характеристика
- •2.2 Анализ результатов финансово-хозяйственной деятельности
- •2.3 Оценка критериев экономической безопасности организации
- •3 Разработка стратегии экономической безопасности ооо агрофирма «биокор-с»
- •3.1 Обоснование направлений стратегии экономической безопасности
- •3.2 Механизм нейтрализации угроз стратегии экономической безопасности
- •3.3 Экономическая оценка предложенных мероприятий
3 Разработка стратегии экономической безопасности ооо агрофирма «биокор-с»
3.1 Обоснование направлений стратегии экономической безопасности
Политика информационной безопасности – это важнейший документ, который регламентирует процессы достижения и предоставления информационной защищенности предприятия. Он включает в себя совокупность правил, основ и инструкций с целью защиты информационных активов организации от рисков, появившихся в следствии осуществлении угроз информационной безопасности. Политика информационной безопасности формируется в соответствии положениями российских и национальных стандартов, а также современных практик.
Политика информационной безопасности формирует четкие правила и принципы, которые могут обеспечить защиту информационных ресурсов и уменьшить уязвимость предприятия перед возникшими угрозами. Но, в первую очередь, прежде чем создать данные принципы и правила, необходимо разобраться в аспектах формирования политики информационной безопасности и ее осуществлении.
Политика безопасности в ООО Агрофирма «Биокор-С» должна выстраиваться по итогам подробного рассмотрения рисков и угроз. Изучению подлежат текущая концепция защиты информационной инфраструктуры, а также человеческие ресурсы. Кроме того, при создании политики следует принимать во внимание специфику деятельности предприятия.
Эффективна политика информационной безопасности ООО Агрофирма «Биокор-С» должна включать в себя документацию, состоящих из трех уровней:
Таблица 20 – Уровни документации в политике безопасности
Уровни |
Описание уровней |
Верхний |
это документы, содержащие перечень основных рисков и целей в сфере защиты конфиденциальной информации |
Основной (средний) |
это документы с перечнем информации, которая подлежит защите (реестр информационных активов или их категорий). Некоторые организации детализируют их, перечисляя все разрешенные действия с данными. Также в документацию среднего уровня включают положения об ответственности персонала за несоблюдение требований. |
Технический |
это документы, определяющие меры по защите информации и обязанности конкретных сотрудников. |
Второй принцип правильной подачи политики – точное определение каждого пункта. Выполнение данного условия указывает о серьезном отношении организации к вопросам предоставления защищенности.
Утрата формализованной политики безопасности предприятия приводит не только к внутренним проблемам формирования бизнес-процессов, но и отрицательно сказывается на конкурентоспособность, репутацию для акционеров предприятия.
Политика ООО Агрофирма «Биокор-С» в области информационной безопасности должна включать в себя следующие аспекты:
1) Стратегию, которая устанавливает цель и основную миссию политики;
2) Стандарты, то есть сами основы формирования безопасности;
3) Последовательность определенных действий, которые работники обязаны осуществлять в ходе взаимодействия с конфиденциальными данными компании;
4) Инструкции – последовательность операций по реагированию и своевременному восстановлению информационных систем в случае внезапных обстоятельств.
Немаловажно, чтобы все без исключения положения были сопряжены между собой и не противоречили друг другу.
К введению политики необходимо начинать только лишь в том случае, если документы полностью сформированы и согласованы. В таблице 21, приведен порядок действий при внедрении политики информационной безопасности в ООО Агрофирма «Биокор-С».
Таблица 21 – Этапы внедрении политики безопасности
|
|
|
Для оценки эффективности внедренной политики ИБ следует регулярно проводить аудит. В ходе проверок выясняется, насколько качественно выполняются задачи по обеспечению безопасности информационного периметра. |
К сожалению, определенные работники предприятия не придерживаются политики информационной безопасности организации и совершают незаконные либо необдуманные действия, которые приводят к тяжелым последствиям и утечке данных.
Для такого, чтобы раскрыть данные нарушения силами службы безопасности, понадобится довольно большой период времени. Данную проблему могут облегчить технические средства для избегания таких последствий – DLP-системы (Data Leak Prevention).
DLP-система содержит в себе комплекс методов для борьбы с утечками данных, исходящими от лиц, которые могут раскрыть значительно важную информацию для организации по неосторожности либо с целью причинить вред компании.
Устранение потери данных считается базовым принципом безопасности в организации разного масштаба.
Выше упомянули, что утрата секретной информации и иных видов корпоративной информации способна послужить причиной к существенным экономическим, финансовым и репутационным потерям. Несмотря на то, что организации в настоящее время достаточно хорошо осведомлены о данных угрозах, а защита информации стала важной проблемой, большая часть предприятий не до конца могут понять бизнес-повод для инициатив введения DLP.
Обстоятельства, согласно которым DLP-система необходима ООО Агрофирме «Биокор-С»: не все утраты данных считаются итогом внешних умышленных атак. Неожиданное выявление либо неверное обращение с конфиденциальной информацией внутренними работниками сложно раскрыть, в случае если кто-то применяет собственный законный доступ к данным в сомнительных целях. DLP-система может заблокировать передачу секретных сведений на накопители USB и другие съемные носители, кроме того предоставляет возможность использовать политики, обеспечивающие защиту сведений в каждом определенном случае.
В соответствии с Федеральным законом № 152, в случае если организация хранит и применяет персональные сведения, то в таком случае она считается оператором персональных данных и несет ответственность за их защищенность. В этом случае за нарушение данного закона предназначена ответственность в виде затрат:
физическое лицо – 700 – 2000 рублей;
должностное лицо – 4000 – 10000 рублей;
юридическое лицо – 250000 – 500000 рублей.
Чаще всего утечке информации подвергаются следующие типы данных, представленных в таблице 22.
Таблица 22 – Типы данных, подвергающихся утечке информации
Типы данных |
Описание |
Информация о клиентах и сделках |
Может иметь серьезные последствия для компании, включая ущерб репутации, потерю доверия клиентов, уменьшение прибыли и возможные правовые последствия. |
Техническая информация |
Может быть весьма разнообразной и включает в себя, например, интеллектуальную собственность (например, патенты, авторские права, торговые марки), технические чертежи, схемы, документацию по производству, исходный код программного обеспечения, расчеты и так далее. |
Персональные данные |
Это может быть любая информация, которая может быть использована для идентификации личности, такая как имя, адрес, номер социального страхования, номер паспорта, номер кредитной карты и другие личные данные. |
Информация о партнерах |
Конфиденциальная информация, связанная с партнерами или клиентами организации, становится доступной для широкой публики или конкурентов. |
Политика информационной безопасности ООО Агрофирма «Биокор-С» нужна с целью выстраивания концепции защиты информационных ресурсов от различных типов угроз и их нейтрализации. При формировании политики информационной безопасности рекомендуется концентрировать внимание на этапе ее введения в организацию и контролировать их соблюдение абсолютно всеми сторонами (участниками). В данном случае могут помочь DLP-система, которая отслеживает деятельность работников организации и разрабатывают доказательную базу для предотвращения утечки информации.