MBA Start. Основы безопасности бизнеса
Подождите немного. Документ загружается.
Основы безопасности бизнеса
Рабочая тетра Рабочая тетрадь дь
Учебник
51 / 128
· регистрация
пользователей и обращений к защищенным ресурсам.
Средства защиты информации, позволяющие контролировать действия
пользователей в информационных системах, выполняют следующие функции.
1. Контрольные. Многие программы отслеживают более 100 видов событий,
начиная от запуска программ на компьютере и заканчивая записью информации
на дискеты и выводом ее на принтер. В последнее время наибольшую
актуальность приобретают:
- контроль перемещения конфиденциальных документов по сети;
- контроль буфера обмена операционных систем компьютеров, что
исключает возможность сделать копию всего документа или его части
через буфер обмена;
- удаленный контроль экрана компьютера со стороны СБ или системного
администратора;
- контроль действий системного администратора с помощью одного
журнала регистрации — так называемого "журнала событий аудита". В
нем регистрируется информация об управляющих воздействиях
различных администраторов на информационную систему. Невозможно
ограничить привилегии администратора, однако понимание того, что
любое неправомерное действие будет зафиксировано и не останется
безнаказанным, сделает его внимательнее и предотвратит немало
ошибок.
2. Разграничительные. В этих целях, как правило, реализуется так называемое
полномочное управление доступом. Его суть состоит в следующем: для каждого
пользователя устанавливается определенный уровень допуска к
конфиденциальной информации. Каталогам или файлам назначается категория
конфиденциальности, например "конфиденциальная информация", "строго
конфиденциальная информация". При этом доступ к файлу пользователь получит
только в том случае, если его уровень допуска не ниже, чем уровень
конфиденциальности файла. Возможен и другой вариант, когда каждому
пользователю на сервере создается папка, к которой только он имеет доступ.
Основы безопасности бизнеса
Рабочая тетра Рабочая тетрадь дь
Учебник
52 / 128
3. Защитные. Защита от несанкционированного доступа неуполномоченных
лиц.
4. Запрещающие. Используется контроль потоков, запрещающий, например,
перемещение "конфиденциального" документа в "неконфиденциальный" каталог.
При этом пользователь не должен знать, какие механизмы защиты
установлены на его рабочей станции, какие события регистрируются и какие
существуют ограничения по использованию ресурсов сети.
Идентификация пользователей информационными ресурсами
- с помощью пароля (пин-кода). Характеризуется дискретным значением;
- с помощью электронных программ (электронных ключей). Характеризуется
отсутствием дискретных значений;
- с помощью биометрических параметров человека.
Защита от утери электронных информационных ресурсов. Возможность
разрушения и/или уничтожения информации для незащищенных компьютеров
является достаточно ощутимой угрозой. Для защищенных компьютеров подобные
преднамеренные действия затруднительны, ошибки же самого пользователя не
исключаются. Наиболее надежным способом уменьшения тяжести последствий
разрушения и/или уничтожения информации является хорошо организованная
технология ведения постоянных архивов на съемных накопителях. Архивные
данные должны позволять восстанавливать утраченную информацию с откатом
не более чем на одни сутки. Рациональнее делать копии и вести архивы при
интенсивной работе на компьютере каждые 1 – 2 часа. Архивы, как правило,
ведутся в двух экземплярах и хранятся в иных зданиях (аренда удаленного
сервера, аренда банковской ячейки и т.д.).
Рекомендации по защите компьютерных сетей от вредоносных программ
В основу построения системы антивирусной защиты могут быть положены
следующие принципы:
- принцип реализации единой технической политики при обосновании выбора
антивирусных продуктов для различных сегментов локальной сети;
Основы безопасности бизнеса
Рабочая тетра Рабочая тетрадь дь
Учебник
53 / 128
- принцип полноты охвата системой антивирусной защиты всей локальной сети
организации;
- принцип непрерывности контроля локальной сети предприятия, для
своевременного обнаружения компьютерной инфекции;
- принцип централизованного управления антивирусной защитой.
С учётом этих принципов в комплексной системе информационной
безопасности создаётся подразделение антивирусной защиты, которая должна
решать следующие задачи:
- приобретение, установка и своевременная замена антивирусных пакетов на
серверах и рабочих станциях пользователей;
- контроль правильности применения антивирусного программного обеспечения
пользователями;
- обнаружение вирусов в локальной сети, их оперативное лечение, удаление
зараженных объектов, локализация зараженных участков сети;
- своевременное оповещение пользователей об обнаруженных или возможных
вирусах, их признаках и характеристиках.
Эффективность создаваемой подсистемы антивирусной защиты зависит
также от выполнения следующих дополнительных условий:
- подключение персональных компьютеров пользователей в корпоративную сеть
должно производиться только по заявке с отметкой администратора
антивирусной защиты об установке лицензионного антивирусного
программного обеспечения (заявка заносится в базу данных с фиксацией
сроков действия лицензии);
- передачу персонального компьютера от одного пользователя другому
необходимо производить с переоформлением подключения к сети;
- обнаруженные вирусы целесообразно исследовать на стенде подразделения
защиты информации с целью выработки рекомендаций по их корректному
обезвреживанию;
- в удаленных структурных подразделениях следует назначить внештатных
сотрудников, ответственных за антивирусную защиту.
Антивирусной защите подлежат все компоненты информационной системы,
участвующие в транспортировке информации и/или её хранении:
Основы безопасности бизнеса
Рабочая тетра Рабочая тетрадь дь
Учебник
54 / 128
- файл-серверы;
- рабочие станции;
- рабочие станции мобильных пользователей;
- серверы резервного копирования;
- почтовые серверы.
При обнаружении вирусов пользователям не рекомендуется заниматься
"самолечением", так как это может привести к потере информации. В таких
случаях им следует по "горячей линии" обращаться к администраторам
антивирусной защиты, которые принимают меры по обезвреживанию вирусов и
предотвращению дальнейшего заражения.
Следующими по важности методами антивирусной защиты являются
архивирование и резервное копирование информации, позволяющие исключить
потерю информации в случае вирусного заражения. Архивирование заключается
в периодическом копировании системных областей машинных носителей
информации на внешние устройства. На серверах с наиболее важной
информацией архивирование необходимо проводить с минимальной
периодичностью. Резервное копирование информации проводится ежедневно в
целях защиты ее от искажения и разрушения.
Защита информации на ПК
Для защиты информации на персональных (автономных) компьютерах
(ПК) рекомендуется провести следующие действия:
- каждый компьютер закрепить за конкретным пользователем;
- для каждого компьютера завести формуляр, в котором должны быть указаны
установленные технические средства (с номерным учетом), перечень
разрешенных к использованию программных средств и установленные
средства защиты информации и управления доступом, а также разрешенные
места размещения данного компьютера;
- установить парольную защиту на включение машины, на обращение к
жесткому диску и/или на открытие файлов прикладных программ с
периодическим изменением используемых паролей;
Основы безопасности бизнеса
Рабочая тетра Рабочая тетрадь дь
Учебник
55 / 128
- установить системы идентификации пользователей компьютерами, применяя
электронные карточки, брелки, биометрические системы и иные варианты
идентификации физического лица;
- разделить на защищаемых компьютерах места размещения прикладных
компьютерных программ и конфиденциальных данных, с которыми работает
пользователь;
- шифровать отдельные данные или все накопители информации, например,
логические устройства (разделы) жесткого диска, с использованием крип-
тографии и постоянное обновление копий на съемных носителях;
- использовать режим гашения экрана и закрытия файлов при перерывах в
работе пользователя;
- использовать источники бесперебойного обеспечения питания;
- организовать ведение постоянных архивов на съемных накопителях. Архив-
ные данные должны позволять восстанавливать утраченную информацию с
откатом не более чем на одни сутки. Рациональнее делать копии и вести
архивы при интенсивной работе на компьютере каждые 1 – 2 часа. Архивы, как
правило, ведутся в двух экземплярах;
- создать принудительное использование активных антивирусных программ.
Для борьбы с вирусной опасностью следует использовать все возможные
средства – средства самого компьютера, резидентные антивирусные
программы и другие программы, которые должны постоянно обновляться.
Также следует помнить, что работа на защищенных компьютерах должна
обеспечиваться необходимыми инструкциями, исполнение которых обязательно.
Контроль за соблюдением этих инструкций должен быть централизованным. При
приеме на работу сотрудников, которые будут использовать компьютеры,
следует в соответствующем контракте оговорить особые условия работы с
информацией на компьютерах.
Необходимо постоянное обучение персонала правильной работе с
компьютерами, выделение специального компьютера для проверки программного
оборудования, а также полезно запретить играть в компьютерные игры и
испытывать программное обеспечение на компьютерах, обрабатывающих
конфиденциальную информацию.
Основы безопасности бизнеса
Рабочая тетра Рабочая тетрадь дь
Учебник
56 / 128
Защита информационных ресурсов от атак через Интернет
Обычно хакерская атака развивается по стандартному сценарию, состоящему
из нескольких этапов:
- изучение потенциальной жертвы, сбор максимальной информации о ней;
- на основании полученных данных последовательно проводятся нападения на
предполагаемые уязвимые места;
- после проникновения внутрь корпоративной сети происходит уничтожение
следов своего присутствия, для чего хакер старается изменить или удалить
журналы, в которых ведется учет действий пользователей.
Рецепта эффективной защиты от таких атак, к сожалению, не существует. Но
можно снизить вероятность успешной атаки или время, которое необходимо
затратить на восстановление нормальной работы и доступности системы.
Аудит системы IT – безопасности
Виды аудита:
- активный аудит - исследование состояния защищенности информационной
системы с точки зрения хакера (или некоего злоумышленника, обладающего
высокой квалификацией в области информационных технологий). Активный
аудит условно можно разделить на два вида: «внешний» и «внутренний».
При «внешнем» активном аудите специалисты моделируют действия
«внешнего» злоумышленника. В данном случае проводятся следующие
процедуры:
- определение доступных из внешних сетей IP-адресов компании;
- сканирование данных адресов с целью определения работающих
сервисов и служб, определение назначения отсканированных хостов;
- определение версий сервисов и служб сканируемых хостов;
- изучение маршрутов прохождения трафика к хостам компании;
- сбор информации об ИС компании из открытых источников;
- анализ полученных данных с целью выявления уязвимостей.
Основы безопасности бизнеса
Рабочая тетра Рабочая тетрадь дь
Учебник
57 / 128
«Внутренний» активный аудит по составу работ аналогичен «Внешнему»,
однако при его проведении с помощью специальных программных средств
моделируются действия «внутреннего» злоумышленника.
- экспертный аудит (проводится независимыми компаниями-экспертами);
- аудит на соответствие стандартам, ГОСТам.
Анализ особенностей российского рынка IT- безопасности
Перечислим ряд особенностей российского рынка IT- безопасности:
- на российском рынке компьютерной безопасности велика роль
государства. Государство регулирует этот рынок при помощи трех основных
механизмов: лицензирования участников рынка, сертификации продукции,
выпускаемой на этот рынок, а также контроля ввоза – вывоза средств защиты
компьютерной информации;
- закрытость рынка компьютерной безопасности. Рынок компьютерной
безопасности кардинальным образом отличается от других IT-рынков тем, что
на нем работают (как со стороны потребителей, так и со стороны участников),
в основном, бывшие и действующие сотрудники специальных служб,
военнослужащие, имеющие значительный опыт в обеспечении безопасности
информации. Появление новых компаний на рынке крупных корпоративных
клиентов происходит достаточно редко (1 -2 компании в год, бывают годы,
когда новые компании и вовсе не появляются). Появляющиеся компании чаще
всего являются отделившимися частями старых компаний, что не изменяет
персональный состав участников рынка.
Описывая специфику IT-безопасности в России, необходимо отметить очень
высокий уровень нелицензионного программного обеспечения на компьютерах
компаний. За последние несколько лет в этой сфере наблюдается
положительная динамика, однако, по данным на 2007 год
(http://www.ops.ru/articles/?pagecode=621), порядка 80% российских фирм
использовали нелицензионный софт.
Основы безопасности бизнеса
Рабочая тетра Рабочая тетрадь дь
Учебник
58 / 128
Здесь существует два вида рисков. Во-первых, наличие контрафактного
программного обеспечения в офисе – простой и удобный повод для претензий со
стороны правоохранительных органов, которые могут быть “простимулированы”
на подобную активность конкурентами. Во-вторых, при использовании
контрафактного софта гораздо больше, чем при использовании лицензионного,
вероятность того, что информационная система предприятия будет давать сбои,
произойдет утечка конфиденциальной информации и т. д. Близко к IT примыкают
такие темы, как защита от прослушивания, несанкционированного
фотографирования, создание систем видеонаблюдения. Кроме того, необходимо
соблюдение норм противопожарной безопасности, различных технических
регламентов, обусловленных спецификой конкретного производства. Однако
указанные темы являются узкоспециализированными, и поэтому не будут
рассматриваться в данном конспекте.
Задание 9
Какие основные документы, обеспечивающие правовые основы информационной
безопасности предпринимательской деятельности, используются в деятельности
компаний?
Задание 10
Какие существуют методы определения коммерческой тайны?
Задание 11
Опишите основные этапы создания системы конфиденциального
делопроизводства. Какие проблемы приходится решать при построении такой
системы?
Основы безопасности бизнеса
Рабочая тетра Рабочая тетрадь дь
Учебник
59 / 128
Раздел 4. Экономическая безопасность и противодействие корпоративным
захватам
Понятие экономической безопасности. Виды мошенничества
Экономическая безопасность компании во многом зависит от того, как компания
будет работать в условиях неопределенности и хозяйственного риска. Для
решения этой задачи необходимо, чтобы в компании была создана своя
собственная система анализа и управления экономическими рисками.
Подробно управление рисками будет рассматриваться в теме “Введение в риск-
менеджмент” модуля “Управление проектами”.
Даже если компания хорошо ориентируется на рынке в условиях экономической
нестабильности, велика вероятность, что она может подвергнуться атакам со
стороны своих недобросовестных конкурентов и партнеров по бизнесу.
Основными среди таких посягательств на рынке России и стран СНГ являются
мошенничество, а также корпоративные (или рейдерские) захваты.
Мошенничество — это преступление, в результате которого его жертва
добровольно передает часть своих материальных средств в какой-либо форме
мошеннику.
Типовые формы мошенничества. Мошенничество в предпринимательской
деятельности обычно принимает следующие формы.
· Использование фальшивых документов, особенно доверенностей, для
совершения противоправных действий. Распространены поддельные
документы существующих или вымышленных организаций, подделка
печатей и штампов.
· Создание фирм – однодневок для того, чтобы, набрав заказы, получить
деньги по предоплате и исчезнуть.
· Использование имиджа добросовестных компаний для получения
денег по предоплате. В этом случае мошенники, обладающие
достаточным первоначальным капиталом, перекупают известную фирму,
которая добросовестно выполняла свои обязательства. Важнейшим
условием перекупки является конфиденциальность сделки, то есть смена
собственника держится сторонами в строгом секрете. Убеждая клиента
Основы безопасности бизнеса
Рабочая тетра Рабочая тетрадь дь
Учебник
60 / 128
сделать предоплату, новые владельцы называют предприятия, с которыми
прежние собственники работали долго и успешно. Мошенники даже дают
телефоны партнеров, не информированных о смене собственников фирмы.
Клиенту такие партнеры подтверждают исполнительность предприятия.
После получения денег по предоплате мошенники исчезают.
· Создание фиктивного предприятия, которое нигде не
зарегистрировано. Директор использует паспорт на чужое имя, а счет в
банке открыт за небольшую взятку.
· Создание совместного предприятия. Совместное предприятие
регистрирует отечественная сторона и вкладывает в него деньги за свою
долю уставного фонда. Иностранная сторона предлагает сформировать
свою долю уставного фонда за счет полученной прибыли от намеченной к
осуществлению торговой сделки. Деньги, составляющие долю уставного
фонда отечественной стороны, вместе с кредитными средствами
перечисляются за границу иностранной стороне для реализации проекта,
где они благополучно исчезают и др.
· Выдача заведомо неверно оформленных векселей. Вексель является
долговым документом, оформленным строго определенным образом с
набором стандартных реквизитов. Для того, чтобы вексель был признан
недействительным, мошенники умышленно нарушают законодательно
установленную процедуру оформления векселя. Как разновидность –
выдача фальшивого чека.
Действия по предупреждению мошенничества
Чтобы уберечься от мошенников, предлагаем Вам выполнять некоторые
рекомендации.
· Не спешите расставаться с собственными деньгами. Стремитесь
оплачивать товар только после его поставки вам. В крайнем случае,
выставляйте аккредитив с выгодными для вас условиями его раскрытия
(после поставки товара). Вместе с тем существует вероятность подделки
документов, необходимых для раскрытия аккредитива.