Пути совершенствования организационной и правовой информационной безопасности субъектов хозяйствования

На восьмом этапе RMS-сервер отправляет пользователю «Б» новый XML-файл, содержащий зашифрованный сеансовый ключ, полученный на предыдущем шаге.

На последнем этапе приложение пользователя «Б» расшифровывает сеансовый ключ на основе своего закрытого ключа и использует его для открытия документа с конфиденциальной информацией. При этом приложение ограничивает возможные действия пользователя только теми операциями, которые перечислены в XML-файле, сформированном пользователем «А».

В настоящее время технология RMS является одним из наиболее перспективных способов защиты конфиденциальной информации. В качестве недостатка этой технологии необходимо отметить тот факт, что она может быть реализована лишь в рамках платформы Microsoft Windows и только на основе тех приложений, в которых используются функции RMS SDK [6].

информационная безопасность коммерческий несанкционированный

2. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ЧСТУП «ПланидаИнфо»

2.1 ХАРАКТЕРИСТИКА ЧСТУП «ПланидаИнфо»

Частное сервисно-торговое унитарное предприятие «ПланидаИнфо» создано в соответствии с решением учредителя № 1 от 2 мая 2005г.

ЧСТУП «ПланидаИнфо» осуществляет свою деятельность на принципах полного хозяйственного расчета и самофинансирования. Устав определяет экономические и правовые основы организационной деятельности предприятия, его задачи и функции, права и обязанности.

ЧСТУП «ПланидаИнфо» является непроизводственным предприятием, обладающим правом юридического лица, имеющим обособленное имущество, самостоятельный баланс, может от своего имени приобретать имущественные и личные неимущественные права и обязанности, быть истцом и ответчиком в суде.

Предприятие имеет печать со своим наименованием, расчетный счет в банке.

Основной целью деятельности предприятия является коммерческая деятельность, направленная на получение прибыли.

Основной вид деятельности - в области связи (лицензия №02140/0184080 от 18 октября 2005г). Предприятие осуществляет прием и размещение на платной основе информации о сфере деятельности предприятия или организации, о конкретном продукте или услуге, торговой марке, представленных в городе Гомеле и Гомельской области и предоставляет эту информацию пользователям.

Предприятие может заниматься и другими видами деятельности, не запрещенными законом.

Место нахождения юридического лица: Республика Беларусь, г. Гомель, пр.Ленина,10,корп А, офис № 1102.

На рисунке 7 представлена организационная структура ЧСТУП «ПланидаИнфо»:

Рисунок 7 - Организационная структура ЧСТУП «ПланидаИнфо»

Директор и учредитель является одним лицом и поэтому имеет права учредителя и обязанности директора:

- принимает решения по любым вопросам деятельности предприятия;

- решает вопросы создания предприятия, определения предмета и целей его деятельности, реорганизации и ликвидации;

- осуществляет контроль за использованием по назначению и сохранностью принадлежащего предприятию имущества;

- вносит изменения и дополнения в устав предприятия, утверждает порядок распределения прибыли, определяет порядок покрытия убытков, формирования и расходование основных средств и фондов;

- определяет организационную структуру предприятия;

- вынесит решения о привлечении к имущественной ответственности директора и других лиц;

- создает, реорганизует и ликвидирует дочерние предприятия, филиалы и представительства, утверждает положения о них;

- определяет условия оплаты труда должностных лиц предприятия, его филиалов, представительств и дочерних предприятий;

- решения принимает единолично;

Специалисты по работе с клиентами занимаются поиском клиентов, а также оформлением договоров.

Специалисты по работе с информацией (операторы) предоставляют информацию обратившимся лицам, а так же следят за обновлением базы данных предприятий.

Для снижения издержек бухгалтерия ведется сторонней организацией.

2.2 КАТЕГОРИРОВАНИЕ ИНФОРМАЦИИ, ВРАЩАЮЩЕЙСЯ НА ЧСТУП «ПланидаИнфо»

В современных условиях присвоение категорий безопасности информации и информационным системам производится на основе оценки ущерба, который может быть нанесен нарушениями безопасности. Таким образом, наиболее удобно проводить категорирование безопасности информации и информационным системам по трехуровневой шкале, на основе оценки ущерба, как низкий, средний и высокий.

1) Потенциальный ущерб для организации оценивается как низкий, в том случае, если потеря доступности, конфиденциальности и (или) целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал.

К информации низкого уровня безопасности на ЧСТУП «ПланидаИнфо» можно отнести следующие документы:

1. Устав предприятия;

2. Положения и инструкции о правах и обязанностях должностных лиц

3. Инвентарные карточки и книги учета основных средств

4. Книга учета инструктажа по технике безопасности

5. Штатное расписание

6. Правила внутреннего распорядка

Перечисленная выше информация относится к информации низкого уровня безопасности, так как доступ такой информации имеют не только руководители предприятия, сотрудники соответствующих отделов и государственные органы, но и инвесторы, общественные организации и любые заинтересованные в данной информации лица.

2) Потенциальный ущерб для компании оценивается как средний, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал.

К умеренному уровню опасности на ЧСТУП «ПланидаИнфо» относится следующая документация:

1. Ведомости начисления и выдачи зарплаты

2. Сметы административно-хозяйственных и управленческих расходов

3. Бухгалтерские отчеты, балансы и пояснительные записки к ним

4. Личные дела сотрудников предприятия

5. Планы увеличения (сокращения) персонала

6. Система организации труда

Данная информация относится к категории умеренного уровня опасности, так как ею могут пользоваться руководство предприятия, сотрудники, которых руководство наделило соответствующими правами и обязанностями, контролирующие государственные органы.

3) Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал.

К информации с высоким уровнем ущерба на ЧСТУП «ПланидаИнфо» относятся следующие документы и материалы:

1. Документы по дебиторской задолженности

2. Планы внедрения новых технологий и видов продукции

3. Кредитные, залоговые договоры

4. Финансовые планы предприятия

5. Материалы для предъявления претензий и исков (информация, компрометирующая предприятие)

6. Маркетинговая информация (с помощью такой информации можно добиться существенного увеличения рентабельности деятельности, увеличить свою долю на рынке)

7. Планы рекламной деятельности, рекламные материалы и документы

8. Состояние банковских счетов предприятия

9. Данные об итогах ревизии, аудиторской проверки

10. БД (предприятий дающих информацию о своей деятельности) и ПО для ее использования

11. Деловая информация (сведения о контрагентах, сведения о конкурентах, сведения о потребителях; сведения о деловых переговорах, коммерческая переписка, сведения о заключенных и планируемых контрактах)

12. Рационализаторские предложения

13. Планы инвестиционной деятельности

14. Планы обеспечения конкурентных преимуществ по сравнению с продукцией других фирм

15. Ценообразование - методы расчета, структура цен, скидки

программное обеспечение;

16. Пароли, коды доступа к конфиденциальной информации, расположенной на электронных носителях

Данная информация относится к категории высокого уровня опасности, так как ею могут пользоваться руководство предприятия, сотрудники, которых руководство наделило соответствующими правами и обязанностями, контролирующие государственные органы. Несоблюдение условий безопасности по отношению к такой информации может нанести большой ущерб деятельности предприятия.

Категорирование информации носит условный характер, т.к. любая информация о предприятии в какой-то конкретной ситуации может нанести не поправимый ущерб.

2.3 ВОЗМОЖНЫЕ ДЕСТАБИЛИЗИРУЮЩИЕ ФАКТОРЫ И ЗЛОУМЫШЛЕННИКИ

Злоумышленник (ЗУ) - лицо, физическое или юридическое, стремящееся похитить информацию или нанести предприятию ущерб.

Потенциальных злоумышленников, стремящихся украсть информацию или нанести ущерб ЧСТУП «ПланидаИнфо» можно разделить:

Работники предприятия. С их стороны угроза может заключаться в умышленном разглашении или предоставлении конфиденциальной информации лицам, не имеющим доступа к такой информации.

Конкурент:

СООО БЕЛФАКТА МЕДИА (издание справочников в печатном виде (Бизнес-Беларусь, Бизнес-Партнер, КОНТАКТ!); издание электронных версий справочников на компакт-дисках; поисковая система в сети Интернет: www.b2b.by; услуги телефонной справочной информационной службы "Инфолиния-185"; услуги телефонного информационного сервиса "Инфосервис-177").

Интересующая информация:

- объемы продаж

- рекламные материалы

- списки деловых партнёров

- новые услуги

Государственные организации и организации, обслуживающие на основе договоров

- налоговые,

- финансовые,

- санитарные,

- пожарные,

- органы надзора,

- правоохранительные

- банки

- адвокатские конторы

- аудиторские фирмы

- страховые компании

- службы связи

- бухгалтерия

Дестабилизирующий фактор - это любое изменение, приводящее к нарушению нормального (планируемого) функционирования предприятия.

К таким факторам на ЧСТУП «ПланидаИнфо» можно отнести:

- противоправная деятельность конкурентов, фирм и частных лиц (в том числе работников)

- потеря информации

2.4 РАЗРАБОТКА МЕР БЕЗОПАСНОСТИ КОММЕРЧЕСКОЙ ИНФОРМАЦИИ НА ЧСТУП «ПланидаИнфо»

Для выполнения требований безопасности необходимы выбор и реализация соответствующих регуляторов безопасности, то есть выработка и применение экономически оправданных контрмер и средств защиты. Регуляторы безопасности подразделяются на административные, процедурные и программно-технические.

Административные:

- закрыть доступ в Интернет для операторов (физически, а не только программно)

Процедурные:

- использовать выделенный сегмент терминального доступа к конфиденциальной информации для операторов

- разумная работа с персоналом

Работа с сотрудниками, допущенными к конфиденциальной информации, включает три этапа:

- предварительный;

- текущий;

- заключительный.

Предварительный этап является наиболее ответственным и, соответственно, более сложным. В случае возникновения необходимости принять нового сотрудника на работу, связанную с допуском к конфиденциальной информации, целесообразнее всего соблюсти следующую технологию приема.

Прежде всего, на основании должностной инструкции и особенностей деятельности разрабатываются требования к кандидату на должность. Они включают не только формальные требования ? возраст, образование, опыт работы, но и ряд морально-психологических качеств, которыми должен обладать кандидат. Это позволяет уточнить какой работник необходим предприятию, а самому кандидату ? сопоставить собственные качества с требующимися для данной должности.

Затем производится подбор кандидатов на вакантную должность. Методы подбора кандидатом могут быть разнообразными. Предпочтение следует отдавать тем методам, которые минимизируют возможность проникновения недобросовестных людей, либо представляющих интересы конкурентов или криминальных структур. К ним относятся:

- обращение в службы занятости, агентства по найму рабочей силы и прочие аналогичные организации;

- поиск кандидатов среди студентов и выпускников высших учебных заведений;

- подбор кандидатов по рекомендациям фирм-партнеров;

- подбор кандидатов по рекомендациям надежных сотрудников фирмы.

Целесообразно произвести запрос на предыдущее место работы кандидата с целью получения характеристики его морально-деловых качеств, а также данных о погашенных судимостях.

После ознакомления с документами кандидата производится собеседование работника кадровой службы предприятия с кандидатом. Кандидат заполняет анкету, отвечает на вопросы, в том числе вопросы профессиональных и психологических тестов. Следует отметить, что психологические качества кандидата не менее важны, чем профессиональные. Психологический отбор позволяет не только выяснить морально-этические качества кандидата, его слабости, устойчивость психики, но и его возможные преступные наклонности, умение хранить секреты.

В случае успешного прохождения кандидатом проверки и признания его соответствующим должности, осуществляется заключение (подписание) двух документов:

- трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию и соблюдать меры безопасности;

- договора (обязательства) о неразглашении конфиденциальной информации (коммерческой тайны), представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы в фирме; а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).

Непосредственная деятельность вновь принятого работника, в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией, должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу. На предприятии

В процессе постоянной работы необходимо определение порядка доступа сотрудников к конфиденциальной. Работа должна быть организована таким образом, чтобы каждый сотрудник имел доступ только к той информации, которая необходима ему в процессе выполнения прямых служебных обязанностей. Эта мера не сможет сама по себе полностью защитить от возможной утечки информации, но позволит свести к минимуму возможный ущерб.

Третий этап - увольнение работника, имевшего дело с конфиденциальной информацией, также может представлять угрозу экономической безопасности. Уволившийся работник, не имея обязанностей перед предприятием либо затаив обиду, может поделиться ценными сведениями с конкурентами, криминальными структурами. Для снижения опасности таких последствий при увольнении работник предупреждается о запрещении использования сведений в своих интересах или интересах других лиц и дает подписку о неразглашении конфиденциальной информации после увольнения в течение определенного срока. В противном случае все убытки, которые будут причинены предпринимателю вследствие разглашения информации, могут быть взысканы в судебном порядке. Также необходимо проследить, чтобы увольняющийся работник сдал все источники конфиденциальной информации, которые находились у него.

Важным направлением в работе с кадрами является проведение воспитательной работы. Необходимо использовать любую возможность для пропаганды программ обеспечения режима секретности; всемерно стимулировать заинтересованность сотрудников в выполнении режима секретности; не забывать периодически вознаграждать сотрудников за успехи в защите секретной информации [7].

- наличие противопожарной и охранной сигнализаций

Используется "АСОС Алеся" - комплексная автоматизированная система передачи извещений о проникновении и пожаре. СПИ “АСОС Алеся” обеспечивает:

- автоматизированную тактику приема и сдачи объектов и квартир граждан под охрану с регистрацией на пульте даты, времени, номера ключа и фамилии хозоргана;

- контроль состояния охраняемых объектов, прием и обработку извещений “Взятие”, “Снятие”, “Тревога”, “Экстренный вызов/Пожар”, “Неисправность”, “Питание”, “Авария”, “Код служб”, “Код ПЕ”, “Тест” - с подробными данными по каждому событию (№ шлейфов и зон, типы и виды тревог, неисправностей и аварий, и др.);

- контроль состояния телефонных линий, выделенных каналов, оптоволоконных и цифровых каналов связи;

- контроль исправности и постоянная диагностика всех технических средств комплекса СПИ;

- регистрацию на пульте даты, времени и пароля групп задержания и электромонтеров при прибытии их на охраняемый объект;

- передачу по каналам GSM тревожных извещений хозоргану и нарядам ГЗ;

- построение автономных (1-2 пользователя), локальных (здание- предприятие) и территориально -распределенных комплексов (район-город) СПИ с гибкой системой выдачи информации различным заинтересованным службам[8].

- ограничение доступа посторонних лиц на предприятии, если это не возможно, то контролировать их действия

Программно-технические:

- резервное копирование

Используется Acronis True Image Home 2009 позволяет проводить резервное копирование и восстановление данных на жестом диске, включая операционную систему, прикладные программы и все пользовательские документы [9]

- использование антивирусных программ

На предприятии установлен Kaspersky Internet Security 2009, который обеспечивает:

Базовую защиту:

- Комплексная защита от всех видов вредоносных программ;

- Проверка файлов, почтовых сообщений и интернет-трафика;

- Защита интернет-пейджеров (ICQ, MSN);

- Автоматическое обновление баз.

Расширенную защиту:

- Персональный сетевой экран;

- Безопасная работа в сетях Wi-Fi и VPN;.

- Защита от сетевых атак.

Предотвращение угроз:

- Проактивная защита от новых и неизвестных угроз;

- Поиск уязвимостей в ОС и ПО;

- Блокирование ссылок на зараженные сайты.

Защита конфиденциальных данных:

- Блокирование ссылок на фишинговые сайты;

- Виртуальная клавиатура для безопасного ввода логинов и паролей;

- Предотвращение кражи данных, передаваемых через SSL-соединение (по HTTPS-протоколу);

- Блокирование несанкционированных телефонных звонков.

Защита от нежелательного контента:

- Защита от спама[10].

- использование паролей (средства ОС)

- обновить техническое оснащение (установка блоков бесперебойного питание и новых жестких дисков)

ИБП позволяет обеспечить работу всей системы даже в случае временного перепада электричества или его резком отключении. Необходимость ИБП вызвана тем, что в течение определенного периода времени ИБП позволяет выполнять необходимые рабочие процессы. Также ИБП поможет сохранить всю информацию без потерь[11].

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Зайцев, Л.Г. Стратегический менеджмент [Текст] : учеб. пособие для вузов / Л.Г. Зайцев - М.: Юностъ, 2002. - 340 с.

2. Способы не санкционированного доступа http://opex.kiev.ua/2007/12/25/ sposoby-nesankcionirovannogo-dostupa-k.html

3. Грибунин, В.Г. Цифровая стеганография [Текст] : учеб. пособие для вузов / В.Г. Грибунин - М.: Солон-Пресс, 2002. - 243 с.

4. Сердюк, В.А. Защита информационных систем от угроз «пятой колонны» [Текст] / В. Сердюк // PCWeek.- 2003.- №34.- С.23.

5. Technical Overview of Windows Rights Management Services for Windows Server 2003 http://www.microsoft.com/windowsserver2003/technologies/ rightsmgmt/default.mspx

6. Современные технологии защиты от утечки конфиденциальной информации www.antivir.ru/main.phtml?/press_about_us/protect

7. Степанов, Е.А. Управление персоналом: Персонал в системе защиты информации [Текст] : учеб. пособие для вузов / Е.А. Степанов. ? М. : ИНФРА-М, 2002. ? 288 с.

8. "АСОС Алеся" - комплексная автоматизированная система передачи извещений о проникновении и пожаре / http://www.alarm.by/index.php? do=cat&category=obsch

9. Acronis® True Image Home 2009 / http://www.acronis.ru/homecomputing/ products/trueimage

10. Kaspersky Internet Security 2009 / http://www.kaspersky.ru/ kaspersky_internet_security

11. ИБП и серверы - какой модели сервер лучше выбрать, для чего необходимы системы бесперебойного питания? / http://www.xlab.ru/ibp.html

12. Информационная безопасность / http://www.bankreferatov.ru/

Размещено на Allbest.ru