Sarana keamanan informasi dalam bisnis. Prioritas pelanggan bisnis di bidang keamanan informasi

Kementerian Pendidikan dan Ilmu Pengetahuan Federasi Rusia

lembaga pendidikan anggaran negara federal

pendidikan profesional yang lebih tinggi

“PERM PENELITIAN NASIONAL

UNIVERSITAS POLITEKNIK"

Uji

dengan disiplin

KEAMANAN INFORMASI PERUSAHAAN

Topik "Keamanan informasi dalam bisnis pada contoh Alfa-Bank"

Diselesaikan oleh seorang siswa

Grup FK-11B:

Smyshlyaeva Maria Sergeevna

Diperiksa oleh guru:

Shaburov Andrey Sergeevich

Perm - 2013

pengantar

Kesimpulan

Bibliografi

pengantar

Sumber daya informasi dari sebagian besar perusahaan adalah salah satu sumber daya yang paling berharga. Untuk alasan ini, informasi komersial, rahasia, dan data pribadi harus dilindungi secara andal dari penyalahgunaan, tetapi pada saat yang sama mudah diakses oleh entitas yang terlibat dalam pemrosesan informasi ini atau menggunakannya dalam proses melakukan tugas yang diberikan. Penggunaan alat khusus untuk ini berkontribusi pada keberlanjutan bisnis perusahaan dan kelangsungan hidupnya.

Seperti yang diperlihatkan oleh praktik, masalah mengatur perlindungan bisnis dalam kondisi modern telah menjadi yang paling relevan. Toko online sedang "dibuka" dan kartu kredit pelanggan sedang dikosongkan, kasino dan undian sedang diperas, jaringan perusahaan sedang dimanipulasi, komputer sedang "dizombifikasi" menjadi botnet, dan penipuan identitas menjadi bencana nasional.

Oleh karena itu, para pemimpin perusahaan harus menyadari pentingnya keamanan informasi, belajar bagaimana memprediksi dan mengelola tren di bidang ini.

Tujuan dari pekerjaan ini adalah untuk mengidentifikasi kelebihan dan kekurangan sistem keamanan informasi bisnis menggunakan contoh Alfa-Bank.

Karakteristik kegiatan Alfa-Bank OJSC

Alfa Bank didirikan pada tahun 1990. Alfa-Bank adalah bank universal yang menjalankan semua jenis operasi perbankan utama di pasar jasa keuangan, termasuk melayani swasta dan klien perusahaan, perbankan investasi, pembiayaan perdagangan dan manajemen aset.

Kantor pusat Alfa-Bank berlokasi di Moskow; secara total, 444 cabang dan cabang bank telah dibuka di wilayah Rusia dan luar negeri, termasuk bank anak perusahaan di Belanda dan bank keuangan perusahaan afiliasi di AS, Inggris, dan Siprus. Alfa-Bank mempekerjakan sekitar 17.000 karyawan.

Alfa-Bank adalah bank swasta Rusia terbesar dalam hal total aset, total modal, dan simpanan. Bank memiliki basis klien yang besar baik klien korporat maupun individu. Alfa-Bank berkembang sebagai bank universal di bidang utama: korporasi dan bisnis investasi(termasuk kecil dan bisnis menengah(UKM), perdagangan dan keuangan terstruktur, leasing dan anjak piutang), bisnis ritel (termasuk perbankan cabang, kredit mobil dan hipotek). Perhatian khusus diberikan pada pengembangan produk perbankan untuk bisnis korporasi di segmen massa dan UKM, serta pengembangan saluran swalayan jarak jauh dan akuisisi Internet. Prioritas strategis Alfa-Bank adalah mempertahankan statusnya sebagai bank swasta terkemuka di Rusia, memperkuat stabilitas, meningkatkan profitabilitas, dan menetapkan standar industri untuk teknologi, efisiensi, layanan pelanggan, dan kerja tim.

Alfa-Bank adalah salah satu bank Rusia paling aktif di pasar modal global. Lembaga pemeringkat internasional terkemuka memberikan Alfa-Bank salah satu peringkat tertinggi di antara bank-bank swasta Rusia. Ini telah menduduki peringkat #1 dalam Indeks Pengalaman Pelanggan empat kali berturut-turut. sektor ritel layanan perbankan setelah krisis keuangan", dilakukan oleh Senteo bersama dengan PricewaterhouseCoopers. Juga pada tahun 2012, Alfa-Bank diakui internet terbaik bank menurut majalah GlobalFinance, dianugerahi untuk analitik terbaik oleh Asosiasi Nasional Partisipan Pasar Saham (NAUFOR), menjadi bank swasta Rusia terbaik dalam indeks kepercayaan yang dihitung oleh penelitian yang diadakan Romir.

Hari ini Bank memiliki jaringan skala federal, termasuk 83 poin penjualan. Alfa Bank memiliki salah satu jaringan terbesar di antara bank umum, terdiri dari 55 kantor dan mencakup 23 kota. Sebagai hasil dari perluasan jaringan, Bank memiliki peluang tambahan untuk meningkatkan basis klien, memperluas jangkauan dan kualitas produk perbankan, melaksanakan program antar wilayah, layanan yang kompleks klien tulang punggung dari antara perusahaan terbesar.

Analisis dasar teoretis masalah keamanan informasi bisnis

Relevansidan pentingnya masalah memastikan keamanan informasi adalah karena faktor berikut:

· Tingkat dan tingkat perkembangan alat keamanan informasi modern jauh di belakang tingkat dan tingkat perkembangan teknologi informasi.

· Tingkat pertumbuhan yang tinggi dari taman komputer pribadi yang digunakan di berbagai bidang aktifitas manusia. Menurut penelitian oleh Gartner Dataquest, saat ini ada lebih dari satu miliar komputer pribadi di dunia.

bank bisnis keamanan informasi

· Perluasan lingkaran pengguna yang tajam dengan akses langsung ke sumber daya komputasi dan susunan data;

Saat ini, pentingnya informasi yang disimpan di bank telah meningkat secara signifikan, terkonsentrasi penting dan sering informasi rahasia tentang keuangan dan aktivitas ekonomi banyak orang, perusahaan, organisasi, dan bahkan seluruh negara bagian. Bank menyimpan dan memproses informasi berharga yang mempengaruhi kepentingan banyak orang. Bank menyimpan informasi penting tentang pelanggan mereka, yang memperluas lingkaran penyusup potensial yang tertarik untuk mencuri atau merusak informasi tersebut.

Lebih dari 90% dari semua kejahatan terkait dengan penggunaan sistem pemrosesan informasi otomatis bank. Oleh karena itu, ketika membuat dan memodernisasi ASOIB, bank perlu memperhatikan keamanannya.

Perhatian utama harus diberikan pada keamanan komputer bank, i. keamanan sistem pemrosesan informasi otomatis bank, sebagai masalah yang paling relevan, kompleks dan mendesak di bidang keamanan informasi perbankan.

Pesatnya perkembangan teknologi informasi telah membuka peluang bisnis baru, namun juga memunculkan ancaman baru. Karena persaingan, produk perangkat lunak modern dijual dengan kesalahan dan kekurangan. Pengembang, termasuk berbagai fungsi dalam produk mereka, tidak punya waktu untuk melakukan debugging berkualitas tinggi dari yang dibuat sistem perangkat lunak. Kesalahan dan kekurangan yang tertinggal dalam sistem ini menyebabkan pelanggaran keamanan informasi yang tidak disengaja dan disengaja. Misalnya, penyebab hilangnya informasi yang paling tidak disengaja adalah kegagalan dalam pengoperasian perangkat lunak dan perangkat keras, dan sebagian besar serangan pada sistem komputer didasarkan pada kesalahan dan kekurangan yang ditemukan dalam perangkat lunak. Jadi, misalnya, selama enam bulan pertama setelah rilis server sistem operasi Microsoft Windows menemukan 14 kerentanan, 6 di antaranya kritis. Meskipun seiring waktu, Microsoft mengembangkan paket layanan yang mengatasi kelemahan yang teridentifikasi, pengguna sudah menderita pelanggaran keamanan informasi yang terjadi karena kesalahan yang tersisa. Sampai banyak masalah lain diselesaikan, tingkat keamanan informasi yang tidak memadai akan menjadi penghambat serius bagi perkembangan teknologi informasi.

Di bawah informasi keamanankeamanan informasi dan infrastruktur pendukung dari dampak yang tidak disengaja atau disengaja yang bersifat alami atau buatan yang dapat menyebabkan kerusakan yang tidak dapat diterima pada subjek hubungan informasi, termasuk pemilik dan pengguna informasi dan infrastruktur pendukung, dipahami.

Dalam dunia bisnis modern, terjadi proses migrasi aset material menuju aset informasi. Ketika suatu organisasi berkembang, sistem informasinya menjadi lebih kompleks, tugas utamanya adalah memastikan efisiensi bisnis maksimum dalam lingkungan pasar yang kompetitif yang terus berubah.

Mempertimbangkan informasi sebagai komoditas, kita dapat mengatakan bahwa memastikan keamanan informasi secara umum dapat menyebabkan penghematan biaya yang signifikan, sedangkan kerusakan yang ditimbulkannya mengarah pada biaya material. Misalnya, pengungkapan teknologi pembuatan produk asli akan menyebabkan munculnya produk serupa, tetapi dari pabrikan lain, dan sebagai akibat dari pelanggaran keamanan informasi, pemilik teknologi, dan mungkin pembuatnya, akan kehilangan bagian dari pasar, dll. Di sisi lain, informasi adalah subjek kontrol, dan perubahannya dapat menyebabkan konsekuensi bencana pada objek kontrol.

Menurut GOST R 50922-2006, memastikan keamanan informasi adalah kegiatan yang bertujuan untuk mencegah kebocoran informasi, dampak yang tidak sah dan tidak disengaja pada informasi yang dilindungi. Keamanan informasi relevan untuk perusahaan dan lembaga pemerintah. Untuk tujuan perlindungan sumber daya informasi yang komprehensif, pekerjaan sedang dilakukan untuk membangun dan mengembangkan sistem keamanan informasi.

Ada banyak alasan yang secara serius dapat mempengaruhi operasi lokal dan jaringan global, menyebabkan hilangnya informasi berharga. Diantaranya adalah sebagai berikut:

Akses tidak sah dari luar, menyalin atau mengubah informasi tindakan yang tidak disengaja atau disengaja yang mengarah ke:

distorsi atau perusakan data;

pengenalan orang yang tidak berwenang dengan informasi yang merupakan rahasia perbankan, keuangan, atau negara.

Pengoperasian perangkat lunak yang salah, yang menyebabkan hilangnya atau rusaknya data karena:

kesalahan dalam aplikasi atau perangkat lunak jaringan;

infeksi virus komputer.

Kegagalan peralatan teknis yang disebabkan oleh:

mati listrik;

kegagalan sistem disk dan sistem pengarsipan data;

gangguan server, workstation, kartu jaringan, modem.

Kesalahan personel layanan.

Tentu saja, tidak ada solusi satu ukuran untuk semua, tetapi banyak organisasi telah mengembangkan dan menerapkan langkah-langkah teknis dan administratif untuk meminimalkan risiko kehilangan data atau akses tidak sah.

Sampai saat ini, ada gudang besar metode untuk memastikan keamanan informasi, yang juga digunakan di Alfa-Bank:

· sarana identifikasi dan otentikasi pengguna (yang disebut kompleks 3A);

· sarana untuk mengenkripsi informasi yang disimpan di komputer dan dikirimkan melalui jaringan;

· firewall;

· jaringan pribadi virtual;

· alat penyaringan konten;

· alat untuk memeriksa integritas isi disk;

· sarana perlindungan anti-virus;

· sistem deteksi kerentanan jaringan dan penganalisa serangan jaringan.

"3A Kompleks" termasuk otentikasi (atau identifikasi), otorisasi dan administrasi. Identifikasidan otorisasi adalah elemen kunci dari keamanan informasi. Saat Anda mencoba mengakses program apa pun, fungsi identifikasi memberikan jawaban atas pertanyaan: "Siapa Anda?" dan "Di mana Anda?", apakah Anda adalah pengguna resmi program tersebut. Fungsi otorisasi bertanggung jawab atas sumber daya apa yang dapat diakses oleh pengguna tertentu. Fungsi administrasi adalah untuk menyediakan fitur identifikasi tertentu kepada pengguna dalam jaringan tertentu dan menentukan ruang lingkup tindakan yang diizinkan untuknya. Di Alfa-Bank, saat membuka program, kata sandi dan login setiap karyawan diminta, dan saat melakukan operasi apa pun, dalam beberapa kasus, otorisasi kepala atau wakilnya di departemen diperlukan.

Firewalladalah sistem atau kombinasi sistem yang membentuk penghalang pelindung antara dua atau lebih jaringan yang mencegah paket data yang tidak sah masuk atau meninggalkan jaringan. Prinsip operasi dasar firewall. memeriksa setiap paket data untuk mencocokkan alamat IP yang masuk dan keluar dengan basis alamat yang diizinkan. Dengan demikian, firewall secara signifikan memperluas kemungkinan segmentasi jaringan informasi dan mengendalikan sirkulasi data.

Berbicara tentang kriptografi dan firewall, kita harus menyebutkan jaringan pribadi virtual yang aman (Virtual Private Network - VPN). Penggunaannya memungkinkan pemecahan masalah kerahasiaan dan integritas data selama transmisi mereka melalui saluran komunikasi terbuka.

Cara efektif untuk melindungi dari hilangnya informasi rahasia. Pemfilteran konten masuk dan keluar Surel. Memvalidasi pesan email dan lampirannya berdasarkan aturan yang ditetapkan oleh organisasi juga membantu melindungi perusahaan dari kewajiban dalam tuntutan hukum dan melindungi karyawan mereka dari spam. Alat pemfilteran konten memungkinkan Anda memindai file dari semua format umum, termasuk terkompresi dan grafik. Pada saat yang sama, bandwidth jaringan praktis tidak berubah.

Modern antivirusteknologi memungkinkan mendeteksi hampir semua program virus yang sudah dikenal dengan membandingkan kode file yang mencurigakan dengan sampel yang disimpan dalam database anti-virus. Selain itu, teknologi pemodelan perilaku telah dikembangkan untuk mendeteksi program virus yang baru dibuat. Objek yang terdeteksi dapat didesinfeksi, diisolasi (dikarantina), atau dihapus. Perlindungan virus dapat diinstal pada stasiun kerja, server file dan email, firewall yang berjalan di hampir semua sistem operasi umum (Windows, Unix - dan Linux_systems, Novell) pada berbagai jenis prosesor. Filter spam secara signifikan mengurangi biaya tenaga kerja tidak produktif yang terkait dengan penguraian spam, mengurangi lalu lintas dan beban server, meningkatkan latar belakang psikologis dalam tim, dan mengurangi risiko keterlibatan karyawan perusahaan dalam transaksi penipuan. Selain itu, filter spam mengurangi risiko terinfeksi virus baru, karena pesan yang berisi virus (bahkan yang belum termasuk dalam basis data anti-virus) sering kali menunjukkan tanda-tanda spam dan disaring. Benar, efek positif dari penyaringan spam dapat dicoret jika filter, bersama dengan sampah, menghapus atau menandai sebagai spam dan pesan yang berguna, bisnis atau pribadi.

Ada beberapa jenis dan metode yang paling umum ancaman informasi:

Deklasifikasi dan pencurian rahasia dagang. Sementara sebelumnya rahasia disimpan di tempat rahasia, di brankas besar, di bawah perlindungan fisik dan (kemudian) elektronik yang andal, saat ini banyak karyawan memiliki akses ke database kantor, sering kali berisi informasi yang sangat sensitif, misalnya, data pelanggan yang sama.

Distribusi bahan kompromi. Artinya, penggunaan yang disengaja atau tidak disengaja oleh karyawan dalam korespondensi elektronik dari informasi tersebut yang membayangi reputasi bank.

Pelanggaran atas kekayaan intelektual. Penting untuk tidak lupa bahwa setiap produk intelektual yang dihasilkan di bank, seperti dalam organisasi mana pun, adalah miliknya dan tidak dapat digunakan oleh karyawan (termasuk penghasil dan pencipta nilai-nilai intelektual) kecuali untuk kepentingan organisasi. Sementara itu, di Rusia, konflik sering muncul dalam masalah ini antara organisasi dan karyawan yang mengklaim produk intelektual yang mereka buat dan menggunakannya untuk kepentingan pribadi, sehingga merugikan organisasi. Hal ini sering disebabkan oleh situasi hukum yang tidak jelas dalam perusahaan, ketika kontrak kerja tidak ada norma dan aturan yang jelas tentang hak dan kewajiban karyawan.

Distribusi (sering tidak disengaja) informasi orang dalam yang tidak rahasia, tetapi mungkin berguna bagi pesaing (bank lain).

Kunjungan ke situs web bank pesaing. Sekarang semakin banyak perusahaan menggunakan program di situs terbuka mereka (khususnya, dirancang untuk CRM), yang memungkinkan Anda mengenali pengunjung dan melacak rute mereka secara detail, mencatat waktu dan durasi melihat halaman di situs. Situs web pesaing telah dan tetap menjadi sumber yang berharga untuk analisis dan peramalan.

Penyalahgunaan komunikasi kantor untuk tujuan pribadi (mendengarkan, melihat musik, dan konten lain yang tidak terkait dengan pekerjaan, mengunduh komputer kantor) tidak menimbulkan ancaman langsung terhadap keamanan informasi, tetapi menimbulkan beban tambahan pada jaringan perusahaan, mengurangi efisiensi, mengganggu pekerjaan rekan kerja.

Dan, akhirnya, ancaman eksternal - intrusi yang tidak sah, dll.

Aturan yang diadopsi oleh bank harus mematuhi standar nasional dan internasional yang diakui untuk perlindungan rahasia negara dan komersial, informasi pribadi dan pribadi.

Perlindungan organisasi informasi di Alfa-Bank

Alfa Bank OJSC telah menerapkan kebijakan keamanan berdasarkan metode kontrol akses selektif. Manajemen seperti itu di Alfa Bank OJSC ditandai dengan serangkaian hubungan akses yang diizinkan yang ditentukan oleh administrator. Matriks akses diisi langsung oleh administrator sistem perusahaan. Penerapan kebijakan keamanan informasi selektif sesuai dengan persyaratan manajemen dan persyaratan untuk keamanan informasi dan kontrol akses, akuntabilitas, dan juga memiliki biaya yang dapat diterima organisasinya. Pelaksanaan kebijakan keamanan informasi sepenuhnya dipercayakan kepada administrator sistem Alfa Bank OJSC.

Seiring dengan kebijakan keamanan yang ada, Alfa Bank OJSC menggunakan perangkat keras dan perangkat lunak keamanan khusus.

Perangkat keras keamanannya adalah Cisco 1605. Router dilengkapi dengan dua antarmuka Ethernet (satu dengan antarmuka TP dan AUI, yang lain hanya dengan TP) untuk jaringan lokal dan satu slot ekspansi untuk memasang salah satu modul untuk router seri Cisco 1600. Selain itu, perangkat lunak Cisco IOSFirewallFeatureSet menjadikan Cisco 1605-R sebagai router/sistem keamanan fleksibel yang ideal untuk kantor kecil. Tergantung pada modul yang diinstal, router dapat mendukung koneksi baik melalui ISDN dan melalui dial-up line atau leased line dari 1200 bps hingga 2 Mbps, FrameRelay, SMDS, x.25.

Untuk melindungi informasi, pemilik LAN harus mengamankan "perimeter" jaringan, misalnya dengan membuat kontrol di persimpangan jaringan internal dengan jaringan eksternal. Cisco IOS memberikan fleksibilitas dan keamanan yang tinggi dengan kedua fitur standar seperti Extended Access Lists (ACLs), Lockdown Systems (Dynamic ACLs), dan Routing Authorization. Selain itu, Cisco IOS FirewallFeatureSet yang tersedia untuk router seri 1600 dan 2500 menyediakan fitur keamanan yang komprehensif termasuk:

kontrol akses kontekstual (CBAC)

kunci jawa

buku harian kapal

deteksi dan pencegahan serangan

pemberitahuan segera

Selain itu, router mendukung jaringan overlay virtual, terowongan, sistem manajemen prioritas, sistem reservasi sumber daya, dan berbagai metode kontrol perutean.

Solusi KasperskyOpenSpaceSecurity digunakan sebagai alat perlindungan perangkat lunak. KasperskyOpenSpaceSecurity sepenuhnya memenuhi persyaratan modern untuk sistem perlindungan jaringan perusahaan:

solusi untuk perlindungan semua jenis node jaringan;

perlindungan terhadap semua jenis ancaman komputer;

dukungan teknis yang efektif;

teknologi "proaktif" yang dikombinasikan dengan perlindungan berbasis tanda tangan tradisional;

teknologi inovatif dan mesin anti-virus baru yang meningkatkan kinerja;

sistem proteksi siap pakai;

manajemen terpusat;

perlindungan penuh terhadap pengguna di luar jaringan;

kompatibilitas dengan solusi pihak ketiga;

penggunaan sumber daya jaringan yang efisien.

Sistem yang dikembangkan harus memberikan kontrol penuh, akuntansi otomatis, dan analisis perlindungan informasi pribadi, memungkinkan Anda untuk mengurangi waktu layanan pelanggan, menerima informasi tentang kode keamanan informasi dan data pribadi.

Untuk membentuk persyaratan untuk sistem yang sedang dikembangkan, perlu untuk membentuk persyaratan untuk organisasi database, kompatibilitas informasi untuk sistem yang dikembangkan.

Desain database harus didasarkan pada pandangan pengguna akhir dari organisasi tertentu - persyaratan konseptual untuk sistem.

Dalam hal ini, SI berisi data tentang karyawan perusahaan. Salah satu teknologi yang secara signifikan menggambarkan pengoperasian suatu sistem informasi adalah pengembangan skema alur kerja untuk dokumen.

Fungsi dari sistem yang dikembangkan dapat dicapai melalui penggunaan ilmu Komputer dan perangkat lunak. Mengingat bahwa pencarian informasi, informasi dan dokumen akuntansi dalam kegiatan spesialis bank adalah sekitar 30% dari waktu kerja, pengenalan sistem otomatis akuntansi akan secara signifikan melepaskan spesialis yang memenuhi syarat, dapat menyebabkan penghematan dalam dana penggajian, penurunan staf, namun, itu juga dapat menyebabkan pengenalan karyawan departemen ke dalam staf unit staf operator, yang tanggung jawabnya akan mencakup memasukkan informasi tentang proses bisnis yang sedang berlangsung: dokumen akuntansi data pribadi dan kode akses.

Perlu dicatat bahwa pengenalan sistem yang dikembangkan akan mengurangi, dan idealnya, sepenuhnya menghilangkan kesalahan dalam akuntansi untuk informasi pribadi dan kode keamanan. Dengan demikian, pengenalan stasiun kerja manajer akan mengarah pada efek ekonomi, mengurangi staf hingga 1/3, menghemat dana upah, meningkatkan produktivitas tenaga kerja.

Alfa-Bank, seperti bank lain, telah mengembangkan Kebijakan Keamanan Informasi yang mendefinisikan sistem pandangan tentang masalah memastikan keamanan informasi dan merupakan pernyataan sistematis tentang tujuan dan sasaran perlindungan, sebagai satu atau lebih aturan, prosedur, praktik dan pedoman di bidang keamanan informasi.

Kebijakan tersebut mempertimbangkan keadaan seni dan prospek langsung untuk pengembangan teknologi informasi di Bank, tujuan, sasaran dan kerangka hukum untuk operasinya, mode operasinya, dan juga berisi analisis ancaman keamanan terhadap objek dan subjek hubungan informasi Bank.

Ketentuan utama dan persyaratan dokumen ini berlaku untuk semua divisi struktural Bank, termasuk kantor tambahan. Isu-Isu Utama Kebijakan ini juga berlaku untuk organisasi dan institusi lain yang berinteraksi dengan Bank sebagai pemasok dan konsumen sumber daya informasi Bank dalam satu kapasitas atau lainnya.

Dasar legislatif dari Kebijakan ini adalah Konstitusi Federasi Rusia, KUH Perdata dan Pidana, undang-undang, dekrit, resolusi, dll. peraturan undang-undang Federasi Rusia saat ini, dokumen Komisi Teknis Negara di bawah Presiden Federasi Rusia, Badan Federal untuk Komunikasi dan Informasi Pemerintah di bawah Presiden Federasi Rusia.

Kebijakan tersebut merupakan landasan metodologis untuk:

· pembentukan dan pelaksanaan kebijakan terpadu di bidang keamanan informasi di Bank;

· membuat keputusan manajerial dan mengembangkan langkah-langkah praktis untuk menerapkan kebijakan keamanan informasi dan mengembangkan serangkaian tindakan terkoordinasi yang bertujuan untuk mengidentifikasi, mencerminkan, dan menghilangkan konsekuensi implementasi berbagai macam ancaman keamanan informasi;

· mengkoordinasikan kegiatan subbagian struktural Bank dalam melaksanakan pekerjaan penciptaan, pengembangan, dan pengoperasian teknologi informasi sesuai dengan persyaratan untuk memastikan keamanan informasi;

· pengembangan proposal untuk meningkatkan keamanan informasi hukum, peraturan, teknis dan organisasi di Bank.

Pendekatan sistem membangun sistem keamanan informasi di Bank melibatkan mempertimbangkan semua elemen, kondisi, dan faktor yang saling terkait, berinteraksi dan bervariasi waktu, yang signifikan untuk memahami dan memecahkan masalah dalam memastikan keamanan informasi Bank.

Memastikan Keamanan Informasi- proses yang dilakukan oleh Manajemen Bank, unit keamanan informasi dan karyawan di semua tingkatan. Ini bukan hanya dan bukan hanya prosedur atau kebijakan yang diterapkan dalam jangka waktu tertentu atau serangkaian upaya pemulihan, tetapi suatu proses yang harus terus berjalan di semua tingkatan di dalam Bank dan setiap pegawai Bank harus mengambil bagian. dalam proses ini. Kegiatan pengamanan informasi merupakan bagian yang tidak terpisahkan dari kegiatan Bank sehari-hari. Dan efektivitasnya tergantung pada partisipasi manajemen Bank dalam memastikan keamanan informasi.

Selain itu, sebagian besar fisik dan sarana teknis Untuk kinerja yang efektif dari fungsinya, dukungan organisasi (administratif) yang konstan diperlukan (perubahan tepat waktu dan memastikan penyimpanan yang benar dan penggunaan nama, kata sandi, kunci enkripsi, pendefinisian ulang kekuatan, dll.). Interupsi dalam pengoperasian alat perlindungan dapat digunakan oleh penyerang untuk menganalisis metode dan sarana perlindungan yang digunakan, untuk memperkenalkan perangkat lunak dan perangkat keras khusus "penanda" dan cara lain untuk mengatasi perlindungan.

Tanggung jawab pribadimengasumsikan penugasan tanggung jawab untuk memastikan keamanan informasi dan sistem pemrosesannya kepada setiap karyawan dalam batas-batas wewenangnya. Sesuai dengan prinsip ini, pembagian hak dan kewajiban karyawan dibangun sedemikian rupa sehingga apabila terjadi pelanggaran, lingkaran pelaku dapat diketahui dengan jelas atau diminimalkan.

Alfa-Bank terus-menerus memantau aktivitas setiap pengguna, setiap alat keamanan dan sehubungan dengan objek perlindungan apa pun harus dilakukan berdasarkan penggunaan kontrol operasional dan alat pendaftaran dan harus mencakup tindakan pengguna yang tidak sah dan berwenang.

Bank telah mengembangkan dokumen organisasi dan administrasi berikut:

· Peraturan tentang rahasia dagang. Peraturan ini mengatur tentang organisasi, tata cara bekerja dengan informasi yang merupakan rahasia dagang Bank, tugas dan tanggung jawab pegawai yang menerima informasi tersebut, tata cara pemindahan bahan yang mengandung informasi yang merupakan rahasia dagang Bank kepada negara (komersial) lembaga dan organisasi;

· Daftar informasi yang merupakan rahasia resmi dan rahasia dagang. Daftar tersebut mendefinisikan informasi yang diklasifikasikan sebagai rahasia, tingkat dan waktu pembatasan akses ke informasi yang dilindungi;

· Perintah dan arahan untuk menetapkan rezim keamanan informasi:

· penerimaan karyawan untuk bekerja dengan informasi terbatas;

· penunjukan administrator dan orang yang bertanggung jawab untuk bekerja dengan informasi terbatas dalam sistem informasi perusahaan;

· instruksi dan tanggung jawab fungsional karyawan:

· tentang organisasi rezim akses keamanan;

· tentang organisasi pekerjaan kantor;

· penatausahaan sumber daya informasi sistem informasi perusahaan;

· dokumen peraturan lainnya.

Kesimpulan

Saat ini, masalah pengorganisasian keamanan informasi menjadi perhatian organisasi di tingkat mana pun - dari perusahaan besar hingga pengusaha tanpa pendidikan. badan hukum. Persaingan dalam relasi pasar modern jauh dari sempurna dan seringkali tidak dilakukan dengan cara yang paling legal. Spionase industri berkembang. Tetapi kasus penyebarluasan informasi yang tidak disengaja yang berkaitan dengan rahasia dagang organisasi tidak jarang terjadi. Sebagai aturan, kelalaian karyawan, kurangnya pemahaman mereka tentang situasi, dengan kata lain, "faktor manusia" berperan di sini.

Alfa-Bank memastikan perlindungan informasi berikut:

rahasia dagang

rahasia perbankan

dokumen bank (laporan Departemen Keamanan, perkiraan tahunan bank, informasi tentang pendapatan karyawan bank, dll.)

Informasi di bank dilindungi oleh ancaman seperti:

· Alami

· Ancaman buatan (ancaman yang tidak disengaja (tidak disengaja, tidak disengaja) yang disebabkan oleh kesalahan dalam desain sistem informasi dan elemen-elemennya, kesalahan dalam tindakan personel, dll.; ancaman yang disengaja (disengaja) yang terkait dengan egois, ideologis, atau aspirasi orang lain ( penyusup).

Sumber ancaman dalam kaitannya dengan sistem informasi itu sendiri dapat berupa eksternal dan internal.

Bibliografi

1. Keputusan Presiden Federasi Rusia "Tentang langkah-langkah untuk memastikan keamanan informasi Federasi Rusia ketika menggunakan informasi dan jaringan telekomunikasi pertukaran informasi internasional" tanggal 17 Maret 2008 No. 351;

Galatenko, V.A. Dasar-dasar keamanan informasi. Universitas Teknologi Informasi Internet. INTUIT. ru, 2008;

Galatenko, V.A. Standar keamanan informasi. Universitas Teknologi Informasi Internet. INTUIT. ru, 2005;

pengantar

Para pemimpin bisnis harus menyadari pentingnya keamanan informasi, belajar bagaimana memprediksi dan mengelola tren di bidang ini.

Bisnis saat ini tidak dapat eksis tanpa teknologi informasi. Diketahui bahwa sekitar 70% dari total produk nasional dunia bergantung pada satu atau lain cara pada informasi yang tersimpan di sistem Informasi. Pengenalan komputer secara luas telah menciptakan tidak hanya kenyamanan yang terkenal, tetapi juga masalah, yang paling serius adalah masalah keamanan informasi.

Seiring dengan kontrol untuk komputer dan jaringan komputer, standar memberikan perhatian besar pada pengembangan kebijakan keamanan, bekerja dengan personel (mempekerjakan, melatih, memberhentikan), memastikan kontinuitas proses produksi, persyaratan resmi.

Niscaya topik ini pekerjaan saja sangat relevan dalam kondisi modern.

Objek kursus ini bekerja: keamanan informasi aktivitas profesional organisasi.

Subyek studi: memastikan keamanan informasi.

Dalam pekerjaan kursus, direncanakan untuk membuat proyek keputusan manajemen pada organisasi keamanan informasi atas dasar organisasi kehidupan nyata.

Bab 1. Keamanan informasi aktivitas profesional

Memastikan keamanan informasi adalah bidang aktivitas profesional yang relatif baru bagi para spesialis. Tujuan utama dari kegiatan tersebut adalah:

Memastikan perlindungan dari ancaman eksternal dan internal di bidang pembentukan, distribusi, dan penggunaan sumber daya informasi;

Pencegahan pelanggaran hak warga negara dan organisasi untuk menjaga kerahasiaan dan kerahasiaan informasi;

Memastikan kondisi yang mencegah distorsi atau penyembunyian informasi yang disengaja tanpa adanya dasar hukum untuk ini.

Pelanggan spesialis di bidang ini adalah:

Otoritas federal kekuasaan negara dan manajemen Federasi Rusia;

Otoritas negara dari entitas konstituen Federasi Rusia;

lembaga negara, organisasi dan perusahaan;

industri pertahanan;

Badan pemerintahan sendiri lokal;

Lembaga, organisasi, dan perusahaan non-negara
Properti.

Penampilan dalam penjualan database pelanggan perusahaan secara gratis, meskipun ilegal komunikasi seluler MTS lagi dan lagi memaksa kita untuk beralih ke masalah keamanan komputer. Sepertinya topik ini tidak ada habisnya. Relevansinya semakin besar, semakin tinggi tingkat komputerisasi perusahaan komersial dan organisasi nirlaba. Teknologi tinggi, memainkan peran revolusioner dalam pengembangan bisnis dan hampir semua aspek lain dari masyarakat modern, membuat penggunanya sangat rentan dalam hal informasi, dan pada akhirnya keamanan ekonomi.

Ini adalah masalah tidak hanya di Rusia, tetapi di sebagian besar negara di dunia, terutama negara Barat, meskipun ada undang-undang yang membatasi akses ke informasi pribadi dan memberlakukan persyaratan ketat untuk penyimpanannya. Pasar menawarkan berbagai sistem perlindungan jaringan komputer. Tetapi bagaimana melindungi diri Anda dari "kolom kelima" Anda sendiri - karyawan yang tidak bermoral, tidak setia, atau ceroboh yang memiliki akses ke informasi rahasia? Kebocoran skandal database klien MTS tampaknya tidak dapat terjadi tanpa konspirasi atau kelalaian kriminal dari karyawan perusahaan.

Tampaknya banyak, jika bukan sebagian besar, pengusaha tidak menyadari beratnya masalah. Bahkan di negara maju ekonomi pasar, menurut beberapa penelitian, 80% perusahaan tidak memiliki sistem perlindungan penyimpanan yang direncanakan dengan baik, database operasional. Apa yang bisa kita katakan tentang kita, terbiasa mengandalkan "mungkin" yang terkenal.

Oleh karena itu, tidak ada gunanya beralih ke topik bahaya yang ditimbulkan oleh kebocoran informasi rahasia, untuk membicarakan langkah-langkah untuk mengurangi risiko tersebut. Sebuah publikasi di Legal Times (21 Oktober 2002), sebuah publikasi hukum (Mark M. Martin, Evan Wagner, “Kerentanan dan Keamanan Informasi”), akan membantu kita dalam hal ini. Penulis membuat daftar jenis dan metode ancaman informasi yang paling umum. Apa tepatnya?

Deklasifikasi dan pencurian rahasia dagang. Semuanya lebih atau kurang jelas di sini. Klasik, pergi ke sejarah kuno, spionase ekonomi. Sementara sebelumnya rahasia disimpan di tempat rahasia, di brankas besar, di bawah perlindungan fisik dan (kemudian) elektronik yang andal, saat ini banyak karyawan memiliki akses ke database kantor, sering kali berisi informasi yang sangat sensitif, misalnya, data pelanggan yang sama.

Distribusi bahan kompromi. Di sini, yang penulis maksudkan adalah penggunaan yang disengaja atau tidak disengaja oleh karyawan dalam korespondensi elektronik atas informasi semacam itu yang membayangi reputasi perusahaan. Misalnya, nama perusahaan tercermin dalam domain koresponden, yang memungkinkan pencemaran nama baik, penghinaan dalam surat-suratnya, singkatnya, segala sesuatu yang dapat membahayakan organisasi.

Pelanggaran atas kekayaan intelektual. Penting untuk diingat bahwa setiap produk intelektual yang dihasilkan dalam suatu organisasi adalah milik organisasi dan tidak dapat digunakan oleh karyawan (termasuk pembangkit dan pencipta nilai-nilai intelektual) kecuali untuk kepentingan organisasi. Sementara itu, di Rusia, konflik sering muncul dalam masalah ini antara organisasi dan karyawan yang mengklaim produk intelektual yang mereka buat dan menggunakannya untuk kepentingan pribadi, sehingga merugikan organisasi. Hal ini sering disebabkan oleh situasi hukum yang tidak jelas di perusahaan, ketika kontrak kerja tidak memuat norma dan aturan yang jelas yang menguraikan hak dan kewajiban pekerja.

Distribusi (sering tidak disengaja) informasi orang dalam yang tidak rahasia tetapi mungkin berguna bagi pesaing. Misalnya tentang lowongan baru karena ekspansi bisnis, tentang perjalanan bisnis dan negosiasi.

Kunjungan ke situs web pesaing. Sekarang semakin banyak perusahaan menggunakan program di situs terbuka mereka (khususnya, dirancang untuk CRM), yang memungkinkan Anda mengenali pengunjung dan melacak rute mereka secara detail, mencatat waktu dan durasi melihat halaman di situs. Jelas bahwa jika kunjungan Anda ke situs web pesaing diketahui secara rinci oleh operatornya, maka tidak sulit bagi operatornya untuk menyimpulkan apa yang sebenarnya menarik minat Anda. Ini bukan panggilan untuk meninggalkan saluran informasi persaingan yang paling penting. Situs web pesaing telah dan tetap menjadi sumber yang berharga untuk analisis dan peramalan. Tetapi ketika mengunjungi situs, Anda harus ingat bahwa Anda meninggalkan jejak dan Anda juga diawasi.

Penyalahgunaan komunikasi kantor untuk tujuan pribadi (mendengarkan, melihat musik, dan konten lain yang tidak terkait dengan pekerjaan, mengunduh komputer kantor) tidak menimbulkan ancaman langsung terhadap keamanan informasi, tetapi menciptakan tekanan tambahan pada jaringan perusahaan, mengurangi efisiensi, dan mengganggu dengan pekerjaan rekan kerja.

Dan, akhirnya, ancaman eksternal - intrusi yang tidak sah, dll. Ini adalah topik untuk diskusi serius yang terpisah.

Bagaimana melindungi diri Anda dari ancaman internal? Tidak ada jaminan 100% terhadap kerusakan yang dapat disebabkan oleh karyawan Anda sendiri. Ini adalah faktor manusia yang tidak dapat dikendalikan sepenuhnya dan tanpa syarat. Namun, penulis yang disebutkan di atas saran yang bermanfaat- mengembangkan dan menerapkan kebijakan komunikasi (atau informasi) yang jelas di dalam perusahaan. Kebijakan tersebut harus menarik garis yang jelas antara apa yang diizinkan dan apa yang tidak diizinkan dalam penggunaan komunikasi kantor. Melintasi perbatasan menyebabkan hukuman. Harus ada sistem untuk memonitor siapa yang menggunakan jaringan komputer dan bagaimana caranya. Aturan yang diadopsi oleh perusahaan harus mematuhi standar nasional dan internasional yang diakui untuk perlindungan rahasia negara dan komersial, informasi pribadi dan pribadi.

Bab 2. Memastikan keamanan informasi

aktivitas profesional di LLC "Laspi"

2.1. Deskripsi singkat tentang Laspi LLC

Laspi LLC didirikan pada tahun 1995 sebagai kantor perwakilan perusahaan Ceko di Rusia. Perusahaan ini bergerak dalam penyediaan peralatan dan bahan habis pakai Ceko untuk produksi berbagai produk beton (dimulai dengan paving slab dan diakhiri dengan pagar, pot bunga, dll.). Peralatan yang berkualitas tinggi dan biaya yang wajar. Pelanggan yang melamar ke kantor Samara adalah organisasi dari berbagai kota di Rusia dan CIS (Kazan, Ufa, Izhevsk, Moskow, Nizhny Novgorod, dll.). Tentu saja, kegiatan berskala besar seperti itu membutuhkan sikap khusus terhadap keamanan informasi di dalam perusahaan.

Saat ini keamanan informasi meninggalkan banyak hal yang diinginkan. Berbagai dokumentasi (teknis, ekonomi) dapat ditemukan di akses terbuka, yang memungkinkan hampir semua karyawan perusahaan (dari pendiri hingga pengemudi) untuk mengenalnya dengan bebas.

Terutama dokumen penting disimpan di brankas. Hanya direktur dan sekretarisnya yang memiliki kunci brankas. Tetapi di sini yang disebut faktor manusia memainkan peran penting. Seringkali kunci di kantor dilupakan di atas meja dan brankas dapat dibuka bahkan oleh petugas kebersihan.

Dokumentasi ekonomi (laporan, faktur, tagihan, faktur, dll) disusun dalam folder dan rak dalam lemari yang tidak terkunci.

Karyawan tidak menandatangani perjanjian kerahasiaan apa pun mengenai rahasia dagang saat melamar pekerjaan, yang tidak melarang mereka mendistribusikan informasi tersebut.

Rekrutmen karyawan dilakukan melalui wawancara, yang terdiri dari dua tahap: 1. komunikasi dengan atasan langsung (di mana keterampilan dan kemampuan karyawan potensial terungkap) 2. komunikasi dengan pendiri (bersifat lebih pribadi) dan kesimpulan dari dialog semacam itu bisa berupa "bekerja sama" atau "kita tidak akan bekerja").

Dalam kondisi modern, informasi memiliki semua properti barang dan properti, yang merupakan komponen utama ekonomi, yang menjadikan informasi sebagai objek kepentingan yang sifatnya sangat berbeda (komersial, sosial, kriminal, dll.).

Saat ini, ada banyak sekali karya yang dikhususkan untuk perlindungan informasi komputer, tetapi sebagian besar karya tersebut membutuhkan pengetahuan yang mendalam dan sangat khusus di bidang matematika, pengukuran radio, dan pemrograman untuk memahaminya. Pada saat yang sama, para ekonom dan manajer masa depan harus memiliki gambaran yang jelas dan holistik tentang pendekatan keamanan informasi di bidang kegiatan mereka di masa depan.

Di bawah informasi keamanan (Keamanan Informasi) mengacu pada perlindungan sumber daya sistem informasi (SI) dari faktor-faktor yang menimbulkan ancaman terhadap kerahasiaan, integritas, dan ketersediaan informasi.

Kebijakan keamanan

Karakteristik terintegrasi dari IS yang dilindungi adalah kebijakan keamanan - karakteristik kualitatif atau kuantitatif dari properti keamanan dalam hal yang mewakili sistem.

Pimpinan setiap organisasi harus menyadari kebutuhan untuk mempertahankan rezim keamanan dan mengalokasikan sumber daya yang signifikan untuk ini. Tugas utama yang perlu diselesaikan di tingkat manajerial adalah merumuskan kebijakan keamanan.

Biaya untuk memastikan keamanan informasi tidak boleh melebihi potensi kerusakan dari kebocoran data yang dilindungi. Namun, tampaknya tidak jelas bagaimana total kerusakan dapat dihitung, termasuk di dalamnya tidak hanya pembayaran yang jelas sebagai akibat dari insiden tersebut, tetapi juga kerusakan reputasi, kehilangan keuntungan, dll.

Ada batasan lain, termasuk kenyamanan pengguna. Jika layanan tersebut bukan salah satu layanan perusahaan, di mana karyawan dapat diminta untuk menggunakan mekanisme yang aman tetapi tidak nyaman, maka Anda harus ingat bahwa pengguna tidak menyukai situasi yang menyebabkan kesulitan dalam pekerjaan mereka - mengingat kata sandi tambahan dan menggunakan mereka, dll. Dan ini berarti bahwa peningkatan tingkat keamanan dari titik tertentu dapat mengurangi omset layanan.

Keseimbangan inilah yang dirancang untuk dipertahankan oleh kebijakan keamanan yang dikembangkan oleh CIO setiap organisasi.

Kebijakan keamanan - satu set keputusan manajemen terdokumentasi yang ditujukan untuk melindungi informasi dan sumber daya yang terkait. Kebijakan keamanan harus mencerminkan pendekatan organisasi untuk melindungi aset informasinya. Dari sudut pandang praktis, kebijakan keamanan dapat dibagi menjadi tiga tingkatan.

Ke level tertinggi termasuk keputusan yang mempengaruhi organisasi secara keseluruhan (masalah penggunaan) teknologi komputer dan sistem informasi).

tingkat menengah menyangkut masalah penting tertentu (misalnya, akses ke Internet atau penggunaan komputer di rumah di tempat kerja).

Kebijakan keamanan tingkat yang lebih rendah mengacu pada layanan tertentu dan menjelaskan tujuan dan aturan untuk mencapainya, sehingga terkadang sulit untuk memisahkannya dari masalah implementasi. Pada saat yang sama, keputusan yang terkait dengan keamanan layanan informasi harus dibuat di tingkat manajerial, bukan di tingkat teknis. Untuk menerapkan kebijakan keamanan dengan benar, Anda perlu mengetahui jenis ancaman dan metode perlindungan.

CIO (Kepala Petugas Informasi) - karyawan perusahaan, eksekutif dengan pangkat tertinggi, bertanggung jawab atas perolehan dan penerapan teknologi baru, pengelolaan sumber daya informasi. paling akurat konsep ini dalam bahasa Rusia sesuai dengan "Direktur TI", "Direktur Departemen Teknologi Informasi", "Deputi CEO tentang IT". Bahan dari Wikipedia - ensiklopedia gratis.

Tidak ada yang semurah atau semahal bisnis dengan kelemahan keamanan. informasi perusahaan. Lebih baik belajar dari kesalahan keamanan orang lain.

Serangan dunia maya dan DLP-sistem

Pada tahun 2010 seorang karyawan HSBC- stoples , salah satu dari lima puluh bank paling andal di dunia, setelah pemecatan, membawa serta rincian 15 ribu klien (terutama dari Swiss dan Prancis). Yang ini membebani bank $94 juta untuk mengganti sistem keamanan yang tidak efektif.

Lebih banyak kerusakan yang dilakukan pada warga terhormat oleh penjahat dunia maya yang meretas Indonesia-Akun Associated Press. Pencuri sebentar "berkicau": "Dua ledakan di Gedung Putih, Barack Obama terluka." Indeks Dow Jones turun 150 poin, dan blue chips mengurangi total kapitalisasi mereka sebesar $200 miliar.Namun, setelah sanggahan muncul, kepanikan berhenti, dan indeks kembali ke nilai sebelumnya. Tetapi mereka yang tergesa-gesa membuang saham dengan harga yang merangkak turun cukup terbakar habis. "Tentara Elektronik Suriah" tertentu mengaku bertanggung jawab atas peretasan tersebut. Namun, tidak mungkin untuk mengatakan dengan pasti bahwa ini bukan sabotase ekonomi murni. Waktunya terlalu tepat: segera setelah pengeboman Boston Marathon.

pada Forum Ekonomi Dunia di antara risiko global bagi ekonomi dunia, seperti korupsi, krisis demografi, kelelahan sumber daya alam, serangan siber juga dinamai untuk pertama kalinya dalam sejarah. Ancaman yang menunggu baik perusahaan maupun instansi pemerintah dapat bersifat eksternal dan internal. Faktanya, serangan cyber adalah ancaman eksternal. Ancaman internal belum tentu merupakan hasil dari niat jahat. Cukup setia, tetapi tidak kompeten di bidang TI, karyawan dapat secara tidak sengaja meluncurkan program jahat yang dilampirkan ke email, salah menghapus folder yang diinginkan, berkeliaran di situs yang penuh dengan Trojan. Akibatnya, informasi penting bagi perusahaan dapat hilang tanpa jejak, atau jatuh ke tangan pesaing atau "pejuang keadilan" yang terobsesi dengan gagasan menyelamatkan umat manusia dari globalisme dan wabah kapitalisme, totalitarianisme, dll. Statistik menunjukkan bahwa perusahaan paling menderita dari staf mereka sendiri.

Masalah keamanan komputer muncul segera setelah perusahaan Amerika Eckert Mauchly Computer Corporation pada tahun 1951 merilis komputer produksi massal pertama UNIVAC I. Untuk waktu yang lama, masalah ini lebih bersifat teoritis. Semuanya berubah dengan penemuan Internet dan ledakan World Wide Web.

Butuh industri baru untuk melawan kejahatan dunia maya. Setiap tahun Rusia dan perusahaan asing mereka merilis semakin banyak antivirus, program kriptografi, produk yang mencegah serangan phishing dan ddos, dll. Program terus ditingkatkan, varietas baru muncul. Secara khusus, relatif baru-baru ini, alat keamanan informasi telah memasuki pasar DLP-sistem ( Pencegahan Kebocoran Data) yang mencegah kebocoran informasi dari jaringan perusahaan.

Sistem DLP yang lengkap dan berfungsi penuh memiliki beberapa fitur berikut:

kontrol total dan konstan dari semua saluran kebocoran informasi potensial;
analisis semua lalu lintas yang melampaui jaringan perusahaan untuk keberadaan informasi rahasia;
memblokir transfer informasi rahasia, yang tidak hanya mengacu pada data rahasia perusahaan, tetapi juga pernyataan ofensif, video cabul, serta milis yang, karena satu dan lain alasan, secara negatif memengaruhi citra perusahaan;
memblokir penerimaan informasi yang tidak diinginkan dan berbahaya;
pengarsipan lalu lintas tidak sah yang dicegat untuk menyelidiki insiden yang muncul.

Perlu dicatat bahwa sistem DLP tidak membatalkan relevansi kategori produk sebelumnya, seperti antivirus, program kriptografi, kunci elektronik dengan identifikasi pengguna tingkat tinggi, dan sebagainya. Namun, semua alat ini menjadi lebih rentan selama 2-3 tahun terakhir. Alasan untuk ini adalah dua tren TI global: ekspansi perangkat seluler dan komputasi awan.

Kerentanan baru

Saat ini, Rusia memiliki sekitar 50 juta perangkat seluler di tangan mereka - smartphone, tablet, netbook, laptop, dll. Tahun ini angkanya akan meningkat 12 juta lagi, dan pada 2015 akan melebihi 70 juta. Menurut perkiraan perusahaan analitis Perusahaan Data Internasional, perangkat seluler akan melampaui komputer pribadi dalam hal frekuensi mengakses Internet dalam beberapa bulan mendatang.

Dan semua perangkat ini menciptakan kerentanan potensial baik untuk jaringan perusahaan itu sendiri maupun untuk informasi rahasia yang tersimpan di dalamnya. Peretas sekarang menjadi malware mode besar untuk ponsel cerdas yang menjalankan OS Android. Dan karena karyawan menggunakan ponsel cerdas di tempat kerja, di rumah, saat liburan, dan dalam transportasi, kemungkinan infeksi server yang merupakan bagian dari jaringan perusahaan meningkat secara dramatis.

Ada jenis ancaman lain. Setidaknya ada tiga kasus ketika salah satu karyawan yang bekerja terlalu keras dari kontra intelijen Inggris MI-5 kehilangan laptop mereka dengan informasi rahasia di tempat yang paling tidak pantas - di kereta bawah tanah, taksi, kafe. Sebuah smartphone, Anda lihat, jauh lebih mudah hilang daripada laptop.

Tidak ada gunanya melawan "mobilisasi total" kantor. Dan itu tidak menguntungkan: lagi pula, berkat smartphone dan tablet, karyawan dapat bekerja di rumah atau berlibur. Berdasarkan "Laboratorium Kaspersky" sekarang dilarang keras menggunakan perangkat seluler di tempat kerja hanya untuk seperempat karyawan semua perusahaan. 34% pemilik smartphone, 38% tablet, 45% laptop memiliki akses penuh ke sumber daya perusahaan. Selebihnya, pembatasan berbagai tingkat akses telah diperkenalkan.

Bagaimana memastikan keamanan informasi di era internet seluler dan komputasi awan? Tugasnya tidak mudah. Bagaimanapun, workstation dan server jaringan perusahaan berjalan di bawah OS yang sama ( jendela atau Unix), keamanan mereka didukung oleh sarana yang dibangun ke dalam sistem. Dan perangkat seluler tidak hanya menggunakan sistem operasi mereka sendiri, mereka juga tidak memiliki sarana yang efektif perlindungan, karena mereka dipahami sebagai perangkat untuk penggunaan individu, bukan perusahaan. Situasinya diperparah oleh fakta bahwa untuk mengontrol lokasi perangkat seluler dan sumber koneksi, serta di tangan siapa itu, metode organisasi mustahil.

Sebagai aturan, masalah ini diselesaikan oleh perangkat lunak dengan memperkuat kontur pelindung sistem, mengadaptasi sistem keamanan perusahaan ke berbagai perangkat seluler dan menginstal aplikasi pelindung yang diperlukan pada mereka. Namun, cara lain juga dimungkinkan - untuk mengeluarkan tablet dan ponsel cerdas perusahaan yang aman kepada karyawan.

Produsen domestik alat keamanan komputer "Kode keamanan" merilis tablet "Benua T-10", menjalankan Android 4 OS dan dilengkapi dengan semua alat yang diperlukan untuk operasi jarak jauh yang aman dari tablet itu sendiri dan aplikasi sistem perusahaan yang terhubung melalui gateway aman. Perangkat seluler ini terintegrasi penuh ke dalam sistem perusahaan keamanan dan tidak memerlukan tindakan adaptasi tambahan.

Komputasi awan juga menciptakan masalah serius. Pasar layanan cloud Rusia telah melampaui omset tahunan sebesar $150 juta dan tumbuh setiap tahun sebesar 50%. Pada saat yang sama, sebagian besar pasar jatuh pada awan pribadi, yaitu awan yang dibuat di dalam perusahaan. Awan pribadi berbeda secara signifikan dari jaringan perusahaan yang dikonfigurasi secara keras dalam hal keamanan informasi. Dan permintaan dana sendiri perlindungan.

Oleh penguasa

Pasar keamanan informasi Rusia berkembang pesat dan telah melampaui $600 juta. 15% dari pasar dikendalikan oleh lima pemain terbesar: Asteros, Croc, Informzashchita, Leta dan "Jet Infosystem". Adapun pasar dunia, dengan peningkatan tahunan 30%, volumenya mendekati $ 1 miliar.Di antara para pemimpin internasional adalah raksasa seperti Symantec, McAffee, TrendMicro, Titik Pemeriksaan, Sistem Cisco.

Baik pabrikan Rusia dan Barat, yang memecahkan masalah umum, menghasilkan produk serupa. Untuk menjamin perlindungan informasi dari berbagai ancaman yang ada, perlu Pendekatan yang kompleks, yang memperhitungkan semua aspek fungsi jaringan perusahaan, tidak hanya teknis, tetapi juga psikologis, terkait dengan faktor manusia. Hasil terbaik dicapai saat menggunakan seluruh lini produk perlindungan informasi: antivirus, firewall, antispam, alat kriptografi, sistem pencegahan kehilangan data, dll. Satu pelanggaran dalam lingkaran pelindung sistem dapat menyebabkan kerusakan yang tidak terduga.

Tetapi masing-masing produsen domestik individu tidak menawarkan semua lini produk. Sebuah situasi muncul, yang disebut "zoo of systems", ketika penggunaan berbagai produk dengan ideologi yang berbeda membutuhkan penciptaan skema kontrol yang kompleks. Dalam kasus luar biasa, ini dapat menyebabkan kegagalan sistem.

Oleh karena itu, ketika memilih sistem keamanan, seseorang harus dipandu tidak hanya oleh kelengkapan fungsionalitas dan skalabilitas, tetapi juga oleh pengelolaan, yang bergantung pada kesatuan konsep semua komponennya. Dari vendor Rusia, persyaratan ini dipenuhi, misalnya, oleh Kode Keamanan, yang memiliki lini produk terluas. Produknya, dipasang menggunakan teknologi "mulus", memungkinkan Anda melacak peristiwa dengan cepat dari satu titik kendali semua sistem keamanan.

pengantar

Para pemimpin bisnis harus menyadari pentingnya keamanan informasi, belajar bagaimana memprediksi dan mengelola tren di bidang ini.

Bisnis saat ini tidak dapat eksis tanpa teknologi informasi. Diketahui bahwa sekitar 70% dari total produk nasional dunia bergantung pada satu atau lain cara pada informasi yang disimpan dalam sistem informasi. Pengenalan komputer secara luas telah menciptakan tidak hanya kenyamanan yang terkenal, tetapi juga masalah, yang paling serius adalah masalah keamanan informasi.

Seiring dengan kontrol untuk komputer dan jaringan komputer, standar memberikan perhatian besar pada pengembangan kebijakan keamanan, bekerja dengan personel (mempekerjakan, pelatihan, pemecatan dari pekerjaan), memastikan kelangsungan proses produksi, dan persyaratan hukum.

Tidak diragukan lagi, topik ini tentu saja bekerja sangat relevan dalam kondisi modern.

Objek kursus bekerja: keamanan informasi dari kegiatan profesional organisasi.

Subyek studi: memastikan keamanan informasi.

Dalam pekerjaan kursus, direncanakan untuk membuat keputusan manajemen proyek tentang organisasi keamanan informasi berdasarkan organisasi kehidupan nyata.

Bab 1. Keamanan informasi aktivitas profesional

Memastikan keamanan informasi adalah bidang aktivitas profesional yang relatif baru bagi para spesialis. Tujuan utama dari kegiatan tersebut adalah:

Memastikan perlindungan dari ancaman eksternal dan internal di bidang pembentukan, distribusi, dan penggunaan sumber daya informasi;

Pencegahan pelanggaran hak warga negara dan organisasi untuk menjaga kerahasiaan dan kerahasiaan informasi;

Memastikan kondisi yang mencegah distorsi atau penyembunyian informasi yang disengaja tanpa adanya dasar hukum untuk ini.

Pelanggan spesialis di bidang ini adalah:

Badan federal kekuasaan negara dan administrasi Federasi Rusia;

Otoritas negara dari entitas konstituen Federasi Rusia;

lembaga negara, organisasi dan perusahaan;

industri pertahanan;

Badan pemerintahan sendiri lokal;

Lembaga, organisasi, dan perusahaan non-negara
Properti.

Munculnya basis data pelanggan perusahaan komunikasi seluler MTS yang gratis, meskipun ilegal, berulang kali memaksa kita untuk beralih ke masalah keamanan komputer. Sepertinya topik ini tidak ada habisnya. Relevansinya semakin besar, semakin tinggi tingkat komputerisasi perusahaan komersial dan organisasi nirlaba. Teknologi tinggi, memainkan peran revolusioner dalam pengembangan bisnis dan hampir semua aspek lain dari masyarakat modern, membuat penggunanya sangat rentan dalam hal informasi dan, pada akhirnya, keamanan ekonomi.

Ini adalah masalah tidak hanya di Rusia, tetapi di sebagian besar negara di dunia, terutama negara Barat, meskipun ada undang-undang yang membatasi akses ke informasi pribadi dan memberlakukan persyaratan ketat untuk penyimpanannya. Pasar menawarkan berbagai sistem untuk melindungi jaringan komputer. Tetapi bagaimana melindungi diri Anda dari "kolom kelima" Anda sendiri - karyawan yang tidak bermoral, tidak setia, atau ceroboh yang memiliki akses ke informasi rahasia? Kebocoran skandal database klien MTS tampaknya tidak dapat terjadi tanpa konspirasi atau kelalaian kriminal dari karyawan perusahaan.

Tampaknya banyak, jika bukan sebagian besar, pengusaha tidak menyadari beratnya masalah. Bahkan di negara-negara dengan ekonomi pasar maju, menurut beberapa penelitian, 80% perusahaan tidak memiliki sistem perlindungan penyimpanan yang direncanakan dengan baik, basis data operasional. Apa yang bisa kita katakan tentang kita, terbiasa mengandalkan "mungkin" yang terkenal.

Deklasifikasi dan pencurian rahasia dagang. Semuanya lebih atau kurang jelas di sini. Klasik, sejarah kuno, spionase ekonomi. Sementara sebelumnya rahasia disimpan di tempat rahasia, di brankas besar, di bawah perlindungan fisik dan (kemudian) elektronik yang andal, saat ini banyak karyawan memiliki akses ke database kantor, sering kali berisi informasi yang sangat sensitif, misalnya, data pelanggan yang sama.

Penyalahgunaan komunikasi kantor untuk tujuan pribadi (mendengarkan, melihat musik, dan konten lain yang tidak terkait dengan pekerjaan, mengunduh komputer kantor) tidak menimbulkan ancaman langsung terhadap keamanan informasi, tetapi menciptakan tekanan tambahan pada jaringan perusahaan, mengurangi efisiensi, dan mengganggu dengan pekerjaan rekan kerja.

Dan, akhirnya, ancaman eksternal - intrusi yang tidak sah, dll. Ini adalah topik untuk diskusi serius yang terpisah.

Bagaimana melindungi diri Anda dari ancaman internal? Tidak ada jaminan 100% terhadap kerusakan yang dapat disebabkan oleh karyawan Anda sendiri. Ini adalah faktor manusia yang tidak dapat dikendalikan sepenuhnya dan tanpa syarat. Pada saat yang sama, penulis yang disebutkan di atas memberikan saran yang berguna - untuk mengembangkan dan menerapkan kebijakan komunikasi (atau informasi) yang dirumuskan dengan jelas di dalam perusahaan. Kebijakan tersebut harus menarik garis yang jelas antara apa yang diizinkan dan apa yang tidak diizinkan dalam penggunaan komunikasi kantor. Melintasi perbatasan menyebabkan hukuman. Harus ada sistem untuk memonitor siapa yang menggunakan jaringan komputer dan bagaimana caranya. Aturan yang diadopsi oleh perusahaan harus mematuhi standar nasional dan internasional yang diakui untuk perlindungan rahasia negara dan komersial, informasi pribadi dan pribadi.

Bab 2. Memastikan keamanan informasi

aktivitas profesional di LLC "Laspi"

2.1. Deskripsi singkat tentang Laspi LLC

Saat ini keamanan informasi meninggalkan banyak hal yang diinginkan. Berbagai dokumentasi (teknis, ekonomi) berada dalam domain publik, yang memungkinkan hampir semua karyawan perusahaan (dari pendiri hingga pengemudi) untuk membiasakan diri dengannya tanpa hambatan.

Dokumentasi ekonomi (laporan, faktur, tagihan, faktur, dll) disusun dalam folder dan rak dalam lemari yang tidak terkunci.

Karyawan tidak menandatangani perjanjian kerahasiaan apa pun mengenai rahasia dagang saat melamar pekerjaan, yang tidak melarang mereka mendistribusikan informasi tersebut.

Semua ini membutuhkan perhatian lebih dari manajemen dan program yang kompeten untuk memastikan keamanan informasi perusahaan, karena saat ini Laspi LLC memiliki banyak pesaing yang tidak mungkin melewatkan kesempatan untuk mengambil keuntungan, misalnya, basis klien atau basis pemasok perusahaan.

2.2. Draf keputusan manajemen untuk memastikan keamanan informasi kegiatan profesional Laspi LLC.

Tempat penting dalam sistem organisasi, administrasi, hukum, dan tindakan lain yang memungkinkan untuk menyelesaikan masalah secara kualitatif dukungan informasi penelitian dan produksi dan aktivitas komersial, keamanan fisik pembawa materi informasi rahasia, pencegahan kebocorannya, pelestarian rahasia komersial, ditempati oleh sistem permisif akses pelaku ke dokumen dan informasi rahasia.

Mempertimbangkan Hukum RSFSR "Tentang perusahaan dan kegiatan wirausaha"Kepala perusahaan (perusahaan), terlepas dari bentuk kepemilikannya, dapat menetapkan aturan khusus untuk akses ke informasi yang meninggalkan rahasia dagang dan pembawanya, sehingga memastikan keamanannya.

Dalam sistem langkah-langkah keamanan, distribusi optimal informasi produksi, komersial dan keuangan dan kredit yang meninggalkan rahasia perusahaan antara pelaku tertentu dari pekerjaan dan dokumen yang relevan adalah penting. Saat mendistribusikan informasi, di satu sisi, perlu untuk memastikan bahwa karyawan tertentu diberikan sejumlah besar data untuk kinerja pekerjaan yang diberikan kepadanya dengan kualitas tinggi dan tepat waktu, dan di sisi lain, untuk mengecualikan pengenalan pelaku dengan informasi rahasia yang tidak perlu yang tidak dia perlukan untuk bekerja.

Untuk memastikan akses yang sah dan wajar dari kontraktor ke informasi yang merupakan rahasia dagang perusahaan, disarankan untuk mengembangkan dan menerapkan sistem izin yang sesuai di perusahaan.

Akses dipahami sebagai memperoleh izin tertulis dari kepala perusahaan (atau, dengan sanksinya, eksekutif lain) untuk penerbitan informasi rahasia tertentu (atau seluruhnya) kepada satu atau karyawan lain, dengan mempertimbangkan tugas resmi(otoritas resmi).

Pendaftaran akses ke CT dapat dilakukan sesuai dengan: direktur yang disetujui Peraturan tentang sistem izin akses, di mana kekuasaan ditetapkan secara hukum pejabat perusahaan untuk distribusi informasi dan penggunaannya. Kepala organisasi dapat mengizinkan penggunaan informasi yang dilindungi untuk setiap karyawan perusahaan ini atau orang yang tiba di fasilitas dari organisasi lain untuk menyelesaikan masalah apa pun, jika informasi ini tidak tunduk pada pembatasan pengenalan oleh mitra produksi dan komersial dalam produksi bersama, dll. P. Dengan demikian, Laspi LLC merekomendasikan untuk membatasi akses ke informasi yang merupakan rahasia komersial (kontrak dengan pemasok dan pelanggan, laporan akhir transaksi) kepada karyawan berikut:

1. Pendiri perusahaan.

2. direktur perusahaan.

3. sekretaris direktur.

Hanya pendiri dan direktur perusahaan yang dapat memberikan izin untuk mengakses informasi kepada karyawan lain.

Akses ke informasi tentang transaksi saat ini dengan klien harus memiliki semua karyawan dan manajer di atas yang melakukan transaksi ini.

Informasi awal tentang harga pembelian peralatan juga harus dibatasi. Hanya pendiri, direktur perusahaan yang memiliki akses ke sana, yang hanya memberikan harga yang sudah ditentukan kepada karyawan lainnya (dengan berbagai "markup"), serta sekretaris yang mengelola seluruh aliran dokumen dalam organisasi.

Pengoperasian sistem perizinan yang efektif hanya dimungkinkan jika aturan-aturan tertentu dipatuhi:

1. Sistem permisif, sebagai aturan wajib, mencakup pendekatan yang berbeda untuk mengizinkan akses, dengan mempertimbangkan pentingnya informasi rahasia sehubungan dengan masalah akses yang sedang diputuskan.

2. Penting untuk mendokumentasikan izin yang dikeluarkan untuk hak menggunakan informasi tertentu yang dilindungi. Ini berarti bahwa manajer yang memberikan izin untuk menggunakan hak harus selalu memperbaikinya secara tertulis pada dokumen yang sesuai atau dalam formulir akuntansi yang berlaku di perusahaan. Tidak ada instruksi lisan dan permintaan akses oleh siapa pun (kecuali kepala perusahaan) telah kekuatan hukum. Persyaratan ini juga berlaku untuk manajer di semua tingkatan yang bekerja dengan informasi rahasia dan operatornya. Dengan demikian, hanya izin tertulis dari kepala (dalam batas-batas kewenangan) adalah izin untuk penerbitan informasi yang dilindungi kepada satu atau orang lain.

3. Prinsip pengendalian harus benar-benar diperhatikan. Setiap izin harus memiliki tanggal penerbitan dan penerbitannya.

Tersebar luas tampilan tradisional izin sebagai keputusan prinsipal atas dokumen rahasia itu sendiri. Izin tersebut harus berisi daftar nama karyawan yang diminta untuk membiasakan diri dengan dokumen atau melaksanakannya, batas waktu pelaksanaan, instruksi lain, tanda tangan kepala dan tanggal. Manajer dapat, jika perlu, memberikan pembatasan akses karyawan tertentu ke informasi tertentu.

Resolusi, sebagai jenis izin, digunakan terutama untuk komunikasi cepat kepada pihak yang berkepentingan tentang informasi rahasia yang terkandung dalam dokumen dan produk yang diterima dari luar dan dibuat di perusahaan.

Kepala perusahaan dapat memberikan izin untuk akses dalam dokumen administratif: perintah, instruksi, instruksi untuk perusahaan. Mereka harus berisi nama, posisi orang, dokumen klasifikasi khusus dan produk yang mereka dapat diterima (dibiasakan).

Jenis izin lain - menurut daftar keluarga orang yang memiliki hak untuk berkenalan dan melakukan tindakan apa pun dengan dokumen dan produk rahasia. Menurut daftar keluarga, mereka disetujui oleh direktur perusahaan atau, sesuai dengan sistem izin saat ini, oleh manajer yang, sebagai suatu peraturan, menempati posisi tidak lebih rendah dari kepala departemen terkait.

Menurut daftar keluarga orang, mereka dapat digunakan ketika mengatur akses ke dokumen dan produk rahasia yang sangat penting bagi perusahaan, ketika mendaftarkan akses ke kamar aman, ke berbagai jenis acara tertutup (konferensi, rapat, pameran, rapat dewan ilmiah dan teknis, dll.). Dalam daftar keluarga, pemimpin tertentu dapat diidentifikasi, siapa yang diizinkan oleh kepala untuk semua dokumen tertutup dan produk tanpa izin tertulis yang sesuai. Mereka menunjukkan nama lengkap. kontraktor, departemen, posisi yang dipegang, kategori dokumen dan produk yang diterimanya. Dalam praktiknya, versi daftar pekerjaan juga berlaku, yang menunjukkan: posisi kontraktor, volume dokumen (kategori dokumen) dan jenis produk yang perlu digunakan oleh karyawan perusahaan yang menduduki posisi yang sesuai dengan daftar. Perlu dicatat bahwa untuk perusahaan dengan volume kecil dokumen dan produk rahasia, mungkin cukup menggunakan jenis izin seperti resolusi kepala pada dokumen itu sendiri, dengan daftar keluarga, daftar pekerjaan.

Dalam istilah organisasi, daftar keluarga harus disiapkan oleh kepala unit struktural yang berkepentingan. Daftar pegawai yang termasuk dalam daftar tersebut disahkan oleh kepala Dewan Keamanan dan disetujui oleh kepala perusahaan, yang dapat mendelegasikan hak persetujuan kepada orang lain dari antara direktorat.

Sistem perizinan harus memenuhi persyaratan sebagai berikut:

berlaku untuk semua jenis dokumen dan produk rahasia yang tersedia di perusahaan, terlepas dari lokasi dan pembuatannya;

menentukan prosedur akses untuk semua kategori karyawan yang telah menerima hak untuk bekerja dengan CT, serta spesialis yang sementara tiba di perusahaan dan terkait dengan pesanan tertutup bersama;

menetapkan prosedur yang sederhana dan andal untuk mengeluarkan izin untuk akses ke dokumen dan produk yang dilindungi, memungkinkan Anda untuk segera menanggapi perubahan di bidang informasi di perusahaan;

· menggambarkan dengan jelas hak-hak manajer dari berbagai tingkat resmi dalam desain akses ke kategori-kategori yang relevan dari para pelaku;

mengecualikan kemungkinan penerbitan dokumen dan produk yang tidak terkendali dan tidak sah kepada siapa pun;

· tidak mengizinkan orang yang bekerja dengan informasi dan objek rahasia untuk membuat perubahan bahkan pada data, serta mengganti dokumen akuntansi.

Saat mengembangkan sistem izin, perhatian khusus harus diberikan untuk menyoroti informasi utama, terutama yang berharga bagi perusahaan, yang akan memastikan akses yang sangat terbatas ke sana. Di hadapan kerja sama dengan perusahaan (organisasi) lain, perusahaan asing atau perwakilan individu mereka, perlu untuk menyediakan prosedur untuk akses kategori-kategori ini ke rahasia komersial perusahaan. Dianjurkan untuk menentukan prosedur interaksi dengan perwakilan organisasi layanan negara: pengawasan teknis, stasiun sanitasi dan epidemiologis, dll.

Perlu untuk menunjukkan dalam Peraturan tentang sistem perizinan perusahaan bahwa transfer dokumen dan produk rahasia dari kontraktor ke kontraktor hanya dimungkinkan di dalam unit struktural dan dengan izin dari pimpinannya. Transfer, pengembalian dokumen produk tersebut dilakukan sesuai dengan prosedur yang ditetapkan oleh perusahaan dan hanya selama jam kerja pada hari yang ditentukan.

Semua dokumentasi dan produk rahasia yang diterima oleh perusahaan dan dikembangkan di atasnya diterima dan diperhitungkan oleh manajemen menengah dan sekretaris. Setelah pendaftaran, dokumentasi diserahkan untuk dipertimbangkan kepada kepala perusahaan dengan tanda terima.

Perlu untuk menunjukkan dalam Peraturan tentang sistem izin perusahaan bahwa rapat tertutup tentang masalah resmi diadakan hanya dengan izin dari kepala perusahaan atau wakilnya. Persyaratan khusus mungkin berlaku untuk pertemuan dewan ilmiah, pertemuan untuk meninjau hasil R&D dan kegiatan keuangan dan komersial, dll. Untuk acara-acara seperti itu, direkomendasikan untuk membuat daftar permisif tanpa gagal dan memasukkan di dalamnya hanya karyawan perusahaan yang secara langsung terkait dengan acara yang direncanakan dan partisipasi yang disebabkan oleh kebutuhan resmi.

Seperti disebutkan di atas, karyawan perusahaan lain dapat berpartisipasi dalam rapat tertutup hanya dengan izin pribadi dari manajemen perusahaan. Mempersiapkan daftar, sebagai suatu peraturan, yang bertanggung jawab untuk mengatur pertemuan dalam kontak dengan kepala unit struktural yang tertarik. Daftar tersebut adalah dasar untuk mengatur kontrol atas masuk ke pertemuan ini. Sebelum rapat dimulai, mereka yang hadir diperingatkan bahwa informasi yang dibicarakan bersifat rahasia dan tidak boleh disebarluaskan di luar ruang lingkup peredaran yang ditetapkan oleh perusahaan, dan mengeluarkan instruksi tentang cara menyimpan catatan.

Penting untuk ditekankan bahwa penetapan prosedur tertentu untuk menangani informasi dan produk rahasia di perusahaan secara signifikan meningkatkan keandalan perlindungan rahasia dagang, mengurangi kemungkinan pengungkapan, hilangnya pembawa informasi ini.

Untuk memastikan keamanan dokumen, disarankan untuk membeli furnitur yang sesuai yang memungkinkan Anda mengunci dokumen dengan aman. Juga perlu setiap hari, sebelum pergi, untuk menyegel lemari.

Kunci brankas dan lemari harus diserahkan ke dinas keamanan tanpa tanda tangan. Disarankan juga untuk membeli tabung khusus untuk menyimpan kunci dan menyegelnya dengan cara yang sama.

Perhatian khusus harus diberikan pada keamanan informasi komputer. Beberapa database telah dibuat di Laspi LLC hari ini: klien perusahaan (menunjukkan tidak hanya alamat kantor dan nomor telepon mereka, tetapi juga alamat rumah mereka, serta informasi pribadi); database yang berisi harga dan karakteristik peralatan yang dipasok; database karyawan organisasi. Berbagai kontrak, perjanjian, dll juga disimpan di komputer.

Bagaimanapun, membawa informasi ini ke tangan pesaing sangat tidak diinginkan. Untuk mencegah skenario ini, disarankan untuk membuat kata sandi untuk akses ke setiap database (dan perangkat lunak memungkinkan ini). Saat mem-boot komputer, disarankan juga untuk mengatur perlindungan dua tingkat (saat memuat BIOS dan saat memuat Windows'2000, yang tidak memungkinkan akses tanpa kata sandi ke konten hard drive, tidak seperti versi sebelumnya dari sistem operasi ini) . Secara alami, kata sandi juga harus tersedia hanya untuk karyawan perusahaan yang secara langsung bekerja dengan basis data ini (sekretaris, manajer, pemrogram).

Jika ada masalah yang terkait dengan komputer dan kebutuhan untuk menghubungi perusahaan luar, proses perbaikan peralatan harus dikontrol sepenuhnya. Karena pada saat itulah semua kata sandi dihapus, ketika programmer "dari luar" memiliki akses bebas dan tanpa hambatan ke konten hard disk, adalah mungkin baginya untuk mengambil informasi dan menggunakannya lebih lanjut untuk berbagai tujuan.

Anda perlu memperbarui perangkat lunak anti-virus Anda untuk mencegah virus masuk dan menyebar di komputer Anda.

Perhatian khusus harus diberikan pada perekrutan karyawan baru. Saat ini, banyak organisasi mempraktikkan pendekatan yang lebih ketat terhadap proses ini, yang dikaitkan dengan keinginan untuk menyimpan informasi di dalam perusahaan dan tidak membiarkannya melampauinya karena "faktor manusia".

Di mana sebagian besar perekrutan terjadi dalam dua tahap (seperti yang dirangkum di atas), empat tahap disarankan di sini.

1. Percakapan dengan kepala departemen personalia. Kepala departemen personalia berkenalan dengan kandidat, resumenya, mengajukan pertanyaan tentang kegiatan profesional, membuat catatan awal. Langkah ini profesional. Kemudian kepala departemen personalia menganalisis informasi yang diterima dari kandidat dan mentransfernya ke kepala.

2. Berhasil berkenalan dengan resume kandidat dan catatan tentang mereka oleh kepala departemen personalia, memilih yang paling cocok dan mengundang mereka untuk wawancara. Wawancara bersifat pribadi dan melibatkan pertanyaan non-standar (misalnya, apa yang orang suka makan, apa hobinya, dll.) Dengan demikian, manajer menerima informasi untuk memutuskan seberapa cocok orang ini untuknya, memprediksi kemungkinan masalah yang mungkin ditemuinya saat berkomunikasi dengan kandidat ini.

3. Pengujian. Di sini tingkat kecerdasan karyawan sudah ditentukan, itu dikompilasi gambaran psikologis berdasarkan berbagai tes. Tetapi pertama-tama Anda perlu menentukan bagaimana manajer dan kolega ingin melihat karyawan baru.

4. Layanan keamanan. Dua tahap diusulkan di sini: a) verifikasi calon dalam berbagai kasus (apakah dia dibawa ke pengadilan, apakah dia menjalani hukuman di tempat-tempat perampasan kebebasan, apakah dia terdaftar di apotik kecanduan narkoba, apakah informasi yang dia berikan tentang pekerjaan sebelumnya benar); b) memeriksa peralatan khusus, yang paling sering disebut "detektor kebohongan". Pada tahap kedua, ditentukan seberapa loyal karyawan terhadap perusahaan, reaksi apa yang dia miliki terhadap pertanyaan provokatif (misalnya, apa yang akan dia lakukan jika mengetahui bahwa salah satu rekannya membawa pulang dokumen), dll.

Dan hanya setelah kandidat melewati keempat tahap ini, Anda dapat memutuskan apakah akan mempekerjakannya atau tidak.

Setelah keputusan positif dibuat, masa percobaan ditetapkan untuk karyawan (menurut undang-undang Federasi Rusia, dapat bervariasi dari 1 hingga 3 bulan, tetapi disarankan setidaknya 2 bulan, dan lebih disukai 3). Selama masa percobaan manajemen dan layanan keamanan harus mengawasi karyawan baru, mengamati aktivitasnya.

Selain itu, segera setelah bekerja, perlu, bersama dengan kesimpulan kontrak kerja menandatangani perjanjian untuk tidak mengungkapkan rahasia dagang. Klausul yang direkomendasikan dari perjanjian ini:

Ini bukan daftar lengkap tentang apa yang mungkin termasuk dalam perjanjian.

Kesimpulan

Saat ini, masalah pengorganisasian keamanan informasi menjadi perhatian organisasi di tingkat mana pun - dari perusahaan besar hingga pengusaha tanpa membentuk badan hukum. Persaingan dalam relasi pasar modern jauh dari sempurna dan seringkali tidak dilakukan dengan cara yang paling legal. Spionase industri berkembang. Namun ada juga kasus penyebarluasan informasi yang tidak disengaja terkait rahasia dagang organisasi. Sebagai aturan, kelalaian karyawan, kurangnya pemahaman mereka tentang situasi, dengan kata lain, "faktor manusia" berperan di sini.

Pekerjaan kursus menyajikan rancangan keputusan manajemen tentang organisasi keamanan informasi di Laspi LLC. Proyek ini mempengaruhi tiga area utama organisasi keamanan: 1. area dokumentasi (akses ke materi yang disajikan di atas kertas, dengan batasan akses ini); 2. keamanan komputer; 3. keamanan dalam hal perekrutan karyawan baru.

Perlu diingat bahwa meskipun proyek ini dikembangkan untuk organisasi tertentu, ketentuannya juga dapat digunakan untuk mengatur keamanan di perusahaan menengah lainnya.