Разработать концепцию информационной безопасности компании по следующему примерному плану

Этапы разработки концепции информационной безопасности

Разработка концепции информационной безопасности телекоммуникационной компании в полном объеме является процедурой, требующей значительных трудозатрат, а также значительного финансирования.

Приведенные ниже рекомендации по разработке концепции позволяют оптимизировать затраты на ее создание. Данные рекомендации предусматривают поэтапную разработку концепции с поэтапным финансированием работ.

Этап 1. Принятие решения, формирование рабочей группы. На данном этапе руководство компании должно принять решение о необходимости разработки концепции информационной безопасности, а также о целях, преследуемых данной разработкой.

Цели разработки могут быть следующие:

1. получение целостной системы взглядов на состояние ИБ в компании;
2. сокращение потерь вследствие ненадлежащего состояния системы  ИБ;
3. создание новой (реконструкция существующей) системы ИБ;
4. документирование уже существующей системы ИБ;
5. получение конкурентного преимущества перед компаниями, не имеющими концепции.

После определения целей разработки на данном этапе формируется рабочая группа. В состав рабочей группы необходимо включить представителей следующих подразделений:

1. служба безопасности компании;
2. подразделение, ответственное за защиту информации;
3. IТ-департамент;
4. служба эксплуатации сети связи;
5. служба развития;
6. отдел экономической безопасности;
7. техническая служба;
8. финансовая служба.

Этап 2. Составление плана разработки концепции. Определение объемов финансирования по сбору исходных данных. На данном этапе формируется календарный план мероприятий по разработке концепции, а также определяются сами мероприятия по разработке и стоимость их проведения.

Перечень мероприятий по разработке включает:

1. сбор исходных данных (возможно вплоть до полного аудита системы  ИБ);
2. обработку исходных данных;
3. выбор варианта концепции ИБ
4. формирование подгруппы по разработке КИБ;
5. формирование подгруппы по разработке ПИБ;
6. формирование группы по проектированию системы ИБ.

Наиболее затратным на данном этапе является сбор исходных данных, поэтому прежде чем перейти непосредственно к работам по сбору ИД, необходимо полностью задействовать возможности подразделений Компании по самостоятельному предоставлению исходных данных, необходимых для концепции. После определения объема финансирования работ по сбору исходных данных необходимо приступать к третьему этапу.

Этап 3. Сбор исходных данных. На данном этапе силами рабочей группы или на основе привлечения субподрядных организаций осуществляется сбор исходных данных для разработки концепции. Как отмечено выше, в случае явного морального устаревания системы защиты информации, ее недостаточности или недокументированности на данном этапе необходимо провести полный аудит информационной безопасности компании. Аудит явится источником исходных данных для разработки концепции. Аудит придется проводить также и после реализации мероприятий по концепции, поэтому в целях снижения затрат предварительный аудит желательно производить по упрощенным методикам.

Этап 4. Разработка КИБ. Определение затрат на разработку ПИБ. На основании собранных исходных данных осуществляется разработка КИБ (нормативная часть). В данном документе уже будут отражены основные требования к системе ИБ и требования к ее нормативному обеспечению. Стоимость разработки ПИБ определяется следующими факторами:

1. полнотой собранных исходных данных;
2. уровнем безопасности, который должен быть обеспечен в соответствии с нормативной частью концепции;
3. требованиями к технике и нормативному обеспечению;
4. сложностью инфотелекоммуникационной структуры сети связи и информационной системы.

Этап 5. Разработка ПИБ и нормативных документов. На данном этапе разрабатывается техническая часть концепции — ПИБ. Требования к ПИБ сформулированы в нормативной части, а исходные данные могут уточняться по мере разработки ПИБ.

Параллельно с разработкой ПИБ проводится разработка документов, определенных нормативной частью концепции — положений, инструкций и т.д. Поскольку ПИБ детализирует технические характеристики системы защиты информации, на данном этапе разрабатываемые документы будут наполнены конкретным материалом и оптимизированы под бизнес-процессы компании.

Этап 6. Разработка экономической части концепции. После разработки ПИБ, содержащей детализированные требования к технике, помещениям, условиям эксплуатации, а также инструкции и иные нормативные документы, можно оценить стоимость:

1. реализации КИБ;
2. владения системой информационной безопасности;
3. прочих постоянных и переменных затрат в рамках положений концепции.

На основании предложенной в данной НИР методики (или иной методики) необходимо рассчитать окупаемость вложений, в случае необходимости произвести корректировку концепции.

Этап 7. Корректировка концепции (проводится при необходимости снижения затрат на реализацию). На данном этапе целесообразно выделить два уровня обеспечения безопасности — базовый и повышенный.

В базовый уровень необходимо включить те мероприятия и требования концепции, которые минимально необходимы для компании и выгода от реализации которых превышает затраты.

В повышенный уровень включаются те мероприятия и требования, которые необходимы только для ограниченного вида информационных ресурсов, а для других желательны. При этом необходимо обеспечить сопоставимость ценности ресурсов, защищаемых по повышенным требованиям, к затратам на защиту.

Коррекция проводится до тех пор, пока стоимость системы информационной безопасности не станет ниже приносимой выгоды. Заметим, что в приносимую выгоду необходимо включать сокращение потерь от рисков нарушения режима безопасности и рисков, ими генерируемых.

Этап 8. Утверждение концепции и ознакомление сотрудников компании. Данный этап является завершающим в разработке концепции. Концепция должна быть обсуждена коллегиальным руководящим органом компании, утверждена и введена приказом по компании.

Сотрудники компании должны быть ознакомлены с концепцией и документами, разработанными в ее рамках (в пределах компетентности сотрудников).

Систему информационной безопасности на предприятии организовывают различными способами, приглашая компании-аутсорсеры или изучая чужой успешный опыт. Примеры информационной безопасности покажут, как именно решается задача в различных отраслях бизнеса.

Основные тенденции организации информационной безопасности на предприятии

Интересно проанализировать ряд кейсов, показывающих, как система информационной безопасности внедрялась в российских банках и компаниях. 

Задача решается одним из двух способов:

• собственными силами;
• с привлечением подрядчиков.

В России существует тенденция по переманиванию ведущих специалистов по кибербезопасности из компаний, специализирующихся на борьбе с киберугрозами, в крупные российские корпорации с целью выстраивания собственной модели ИБ, избегая рисков утечки данных, ожидаемых при работе с подрядчиками. О существовании таких рисков информационной безопасности банки предупреждает ЦБ РФ, издав специальный стандарт по правилам работы с аутсорсерами, будут они актуальны и для предприятия.

С точки зрения выбора программных средств для защиты информационной безопасности государственная политика поддержки национального производителя побуждает российские корпорации с госучастием или активно работающих с госконтрактами переходить на российское ПО. Небольшой бизнес предпочитает его по причинам доступности в цене, более высокой надежности, обеспечения информационной безопасности в узких секторах ИС.

Минусом политики импортозамещения является отсутствие единой российской операционной системы. Более 20 существующих продуктов решают тактические, а не стратегические задачи, и компаниям приходится мириться с уязвимостями в Windows и Linux. О том, что они хорошо известны кибермошенникам, свидетельствует эпидемия вируса WannaCry, шифровальщика, остановившего заводы и больницы по всему миру и нанесшего ущерб, оцениваемый в десятки миллиардов долларов.

Проект «Цифровая экономика» предусматривает создание единой российской национальной ОС IoT к 2020 году, ее предполагается использовать для Интернета вещей и промышленного Интернета, она должна обеспечить информационную безопасность АСУ и «умных домов», исключить риски проникновения в сеть хакеров и использования домашних кофеварок в качестве ботов. В итоге на рынок должна выйти «отечественная свободная ОС для использования во всех видах киберфизических систем, превосходящая зарубежные ОС по ключевым параметрам быстродействия, безопасности и отказоустойчивости».

Построение модели угроз

Выбор системы ИБ зависит от уровня рисков. Модель угроз часто строится с опорой на бизнес. Так, утечки информации характерны для телекоммуникационных компаний, разработчиков ПО, медицины. Для банков опаснее попытки несанкционированных переводов средств со счетов клиентов. В даркнете начали появляться базы данных не только банков и мобильных операторов, но и учебных учреждений.

Новые вирусы создаются с участием военных структур. Так как в WannaCry увидели базовые решения, предоставленные группе хакеров американским военным ведомством. Иранский Stuxnet, также нацеленный на промышленные предприятия и остановивший тысячи производств, был создан израильской разведкой. Можно предполагать, что среднее предприятие, использующее общепользовательские операционные системы, не обеспечивающие высокой степени информационной безопасности, в любую минуту может стать жертвой нового вируса, поражающего отдельные страны или секторы экономики. По данным опроса 200 генеральных директоров крупнейших предприятий мира, проведенного компанией Ernst & Young, в ближайшие пять-десять лет киберугрозы выйдут на первое место среди угроз информационной безопасности для мировой экономики.

Это свидетельствует о том, что при разработке систем защиты не стоит целиком полагаться на уже внедренные примеры информационной безопасности предприятия, необходимо на базовом этапе тестировать все уязвимости и устранять предполагаемые слабые места. Основной проблемой становится архитектура информационных систем, созданная на многих предприятиях РФ в 1970-х годах и по мере роста сложности ПО не решающая общие задачи безопасности, а закрывающая уязвимости временными и легко взламываемыми решениями. Большинство ИС защищены слабо, заразить их вредоносной программой или взломать несложно. При выстраивании собственной системы защиты необходимо опираться на принцип «стоимость взлома должна быть выше, чем стоимость теоретической выгоды», на нем настаивают эксперты рынка, продвигая свои решения.  

В 2019 году была зафиксирована 231 хакерская кампания, направленная на– компании и граждан. Лидерами среди используемых средств атаки стали вредоносное ПО и методы социальной инженерии, в 2018 году таких кампаний было 217, и они в основном были направлены на сбор паролей и средств идентификации. Но после того, как большинство предприятий и облачных сервисов перешли на двухфакторную модель аутентификации, обеспечивающей высокую степень информационной безопасности, направление угроз сменилось.

Новые решения

Помимо кейсов внедрения общей системы ИБ интересно рассмотреть новые технические решения, способные повысить степень защиты от утечек. На рынке есть программные средства для перехвата телефонных разговоров сотрудников. 

Этот программный модуль встраивается в систему IP-телефонии офиса и работает по следующим принципам:

• перехвату подлежат разговоры по номерам телефонов, заранее внесенным в базу работодателем;
• перехват осуществляется по признаку наличия ключевых слов, при их выявлении аудиоинформация целиком преобразовывается в текстовую и передается службе безопасности.

Это решение позволяет расширить количество каналов, по которым блокируются утечки. В качестве примера информационной безопасности предприятия оно иллюстрирует повышенное внимание, которое уделяется компаниями общению сотрудников с возможными конкурентами, например, с целью передачи клиентской базы данных.

Кейсы внедрения системных решений по информационной безопасности 

Рассмотрим примеры информационной безопасности предприятия из нескольких секторов экономики, чтобы понять, как тенденции отражаются при внедрении системы ИБ.

Сбербанк и тестирование киберзащиты

Среди российских банков на рынок киберугроз первым вышел Сбербанк, создав дочернюю компанию BI.Zone. В ее задачи входит тестирование степени защиты от киберугроз для банков, операторов связи, IT-клиентов. Одной из первых компаний, прошедших через такое тестирование, стала МГТС, московский оператор телефонной связи, входящий в группу предприятий АФК-Системы.

Компания, ставшая новичком на рынке информационной безопасности, предлагает услуги по тестированию каналов связи, решений по кибербезопасности и технической инфраструктуры. Нагрузочное тестирование предполагает выявление потенциальных уязвимостей и незадекларированных возможностей в программном обеспечении иностранных и российских производителей, что пока не принято на российском рынке.

Как замечает группа по оказанию услуг в области кибербезопасности и цифровой криминалистики одной из крупнейших в мире консалтинговых компаний КПМГ, большинство крупных провайдеров и операторов связи проводят тестирования систем самостоятельно. Услуги Сбербанка могут быть привлекательны для небольших банков и компаний как часть общего пакета услуг, оказываемых им. Создание этого сервиса стало одним из инструментов исследования рынка подобных услуг вообще с целью определения степени их востребованности.

Альфа-банк

Один из крупных российских частных банков в 2012-2013 году создал принципиально новую систему ИБ. Сейчас она не отвечает требованиям времени и рекомендациям регулятора, но интересна в качестве примера внедрения системы информационной безопасности на предприятии. Открытые источники показывают, что разработка системы шла по общим принципам, без внедрения уникальных технологий. Сложностью при реализации программы оказалась разветвленная сеть филиалов и точек продаж, создающая потенциальную уязвимость при атаке на каналы связи. 

Также при аудите были выявлены общие болевые точки систем с разветвленной архитектурой:

• большинство случаев потерь информации связано со сбоем и отказом в работе программных и технических средств автоматизации;
• существенное количество внешних атак основывается на широко известных уязвимостях ПО и ОС.

Дополнительной проблемой для банка стало частое посещение сотрудниками сайтов конкурентов, которые при помощи программного обеспечения, схожего по принципу работы с CRM-системами, могут не только точно отслеживать и прогнозировать поведение посетителей, выстраивая свои стратегии, но и внедрять вредоносное ПО. 

Для решения большинства задач информационной безопасности «Альфа-Банк» использовал следующие решения:

• внедрение продвинутой системы аутентификации пользователей системы мгновенных платежей Альфа-Клик (коммунальные услуги, телефония) на основе технологии, продвигаемой компанией А3. В комплекс включены средства аутентификации, авторизации и администрирования. Авторизация применяется при подтверждении действий пользователя сотрудником более высокого ранга;
• шифрование всего трафика при общении с клиентами с использованием новейших СКЗИ;
• применение протоколов VPN при передаче данных;
• разделение секторов сети, в которых запускаются различные процессы, межсетевыми экранами;
• средства контентной фильтрации, которые помогают снизить уровень утечек данных из сети вовне и проникновение в сеть посредством электронной почты спама, фишинговых писем и сообщений, содержащих вложения с вирусами;
• инструменты проверки целостности содержимого дисков;
• системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

В качестве основных аппаратных средств защиты информационной безопасности применены маршрутизаторы производства Cisco. 

Встроенный файрвол позволил реализовать:

• контекстное управление доступом (CBAC);
• блокировку на основе языка Java;
• журнал учета действий пользователей;
• обнаружение и предотвращение атак;
• немедленное оповещение об инцидентах информационной безопасности.

Кроме того, маршрутизатор поддерживает работу виртуальных наложенных сетей, туннелей передачи данных, систему управления приоритетами, систему резервирования ресурсов и комбинируемые между собой методы управления маршрутизацией. 

В качестве программного антивирусного средства защиты локальных сетей в 2012-2013 годах был применен Kaspersky Open Space Security, но он продолжает широко использоваться в банковской сфере для защиты информационной безопасности. 

Решение позволяет:

• защитить все типы узлов сети;
• реализовать механизмы защиты от большинства видов внешних атак.

Продукт совместим с программными решениями большинства производителей и лоялен к использованию сетевых ресурсов. Применяемые средства защиты информационной безопасности позволили защитить сеть на высоком уровне.

Реализация системы ИБ на примере АЭС

Задачи, отличные от задач банка, решают специалисты по ИБ, обеспечивающие информационную безопасность АЭС. Управление станциями осуществляет концерн «Росэнергоатом». 

Цифровая трансформация «Росэнергоатома» началась в 2017 году, когда были поставлены две цели:

1. Создание цифрового шаблона опыта эксплуатаций АЭС. Единый инструмент управления системами АЭС должен позволить решать задачи управления процессами и рисками не только на российских, но и на зарубежных проектах концерна, если их собственники будут готовы приобрести информационный продукт. Решение должно быть полностью готово и интегрировано с установленной на всех 16 энергетических объектах SAP ERP к концу 2021 года.
2. Переход на модель управления в рамках интеллектуальной энергетической системы России (ИЭСР). С ее помощью будет происходить управление рисками кибербезопасности на всех энергетических объектах России – от АЭС до гидроэлектростанций. Решение будет реализовано на базе создаваемой в рамках проекта «Цифровая экономика» платформы IoT Energy.

Работа по построению единой системы кибербезопасности предприятий АЭС ведется в рамках решений по проекту «Цифровая экономика» и на основе системополагающих решений МАГАТЭ и Росэнергоатома. Основным требованием до последнего времени являлось полное исключение подключения АСУ ТП АЭС к Интернету, но реализация проекта ИЭСР внесет коррективы в эту политику. 

В 2015 году было зафиксировано более десяти существенных инцидентов кибербезопасности, в основном в США, связанных с проникновением в сеть АЭС извне. Они не привели к авариям, только к массовым отключениям электроэнергии, что стало причиной существенного ущерба. С учетом подобных фактов требуется максимально обезопасить каналы связи АСУ ТП АЭС от внешних подключений.

С точки зрения изучения примеров построения системы информационной безопасности предприятия интересно, как в разных странах разрабатывается модель информационных угроз для АЭС:

• в США используется программа, предназначенная для расчета рисков и их вероятности, установленная на самом объекте;
• Нидерланды привлекают внешних консультантов, имеющих большой опыт аналитики и прогнозирования в сфере информационной безопасности;
• некоторые страны Африки (Зимбабве) применяют метод Дельфи для определения угроз атомной инфраструктуре.

Еще одной особенностью управления рисками кибербезопасности на предприятиях АЭС является то, что современные программные средства защиты считаются недостаточно безопасными для внедрения в программную среду АСУ ТП АЭС, поэтому решением становится ее изоляция от внешнего вмешательства, построение максимально возможной прочной системы внешней защиты. Но это не снимает риски инсайдерских инцидентов. Так, распространенным способом атак стали фишинговые письма, направляемые на электронные почтовые ящики сотрудников АЭС. Эту проблему в сфере информационной безопасности предполагается решать системным обучением персонала.

Построение модели ИБ от Group-IB

Илья Сачков – российский специалист по борьбе с киберугрозами, основатель компании Group-IB. Компания входит в экспертный совет по интернет-безопасности European Cybercrime Centre, структурного подразделения Europol по борьбе с киберпреступностью. Специалист создал собственную технологию по борьбе с DDoS-атаками, и ее успешная практика позволяет обратить внимание на ключевые моменты внедрения системы ИБ.  

Решение опирается на три базовых фактора:

• предотвращение;
• разработка;
• расследование.

На уровне предотвращения решаются задачи построения актуальной модели угроз. На уровне расследования используются программы уровня кибернетической криминалистики, применяемые для расследования компьютерных преступлений в правоохранительных органах. Даже если штатные средства Windows не справились с задачей запрета на стирание информации о вмешательстве и приходится искать, кто и как похитил данные или заразил систему вредоносными программами, выявляется виновник инцидента и собираются доказательства, позволяющие привлечь нарушителя к уголовной ответственности. 

Так, приводятся интересные примеры расследования DDoS-атак:

• в первом случае она была направлена на интернет-издания. Анализ IP-адресов, с которых шла атака, позволил выявить темы, затронувшие чьи-то интересы, и найти заказчика;
• во втором атака на рекламный ресурс оказалась связана с его участием в крупном тендере, и конкуренты постарались исключить его из списка конкурсантов.

По результатам расследования удается выявить уязвимости и дополнить или откорректировать модель угроз. Но далеко не все, даже увидев риск, готовы принимать решительные меры по борьбе с киберугрозами.

Общие проблемы построения системы информационной безопасности

Если крупные банки и владельцы объектов критической информационной инфраструктуры хорошо знают, как строить свою модель ИБ, то у 40 % российских компаний нет понимания стратегии в этом вопросе, считает крупнейшая мировая аудиторская компания PricewaterhouseCoopers (PwC). 

Выявлены следующие проблемы:

• почти 50 % российских компаний не уделяют внимания обучению сотрудников основам информационной безопасности;
• 56 % компаний отказываются от внедрения системы реагирования на инциденты из-за ее экономической, на их взгляд, неэффективности;
• только 19 % компаний уверены в том, что их программно-аппаратные средства позволят идентифицировать виновника инцидента;
• 25 % компаний уверены в том, что основной риск несут мобильные устройства сотрудников, но не готовы внедрять программные решения по обезвреживанию угрозы.

Пока руководители компаний только приходят к мысли о необходимости тестирования уязвимости, даркнет пополняется предложениями по продаже данных, обеспечивающих доступ к уже взломанным системам защиты. 

Эксперты предполагают, что ситуация с угрозами в 2020 году будет развиваться по следующим направлениям:

• понимание невозможности построения идеальной системы защиты приведет к росту рынка SIEM-систем, позволяющих наиболее быстро выявлять инциденты и реагировать на них;
• усилится охота за обученными кадрами, компании станут вкладывать больше средств в создание совместных с вузами программ обучения специалистов по кибербезопасности;
• усилится роль единых государственных систем управления инцидентами – ФинЦЕРТ, ГосСОПКА, ИЭСР;
• благодаря новым криминалистическим технологиям начнется выявление хакерских группировок, контролирующих незаметно сети компаний уже несколько лет;
• повысится роль ОС, не содержащих известные уязвимости;
• в связи с ростом защищенности крупных компаний повысится число атак, направленных на их поставщиков и подрядчиков.

Учитывая эти аспекты и уже проработанные примеры внедрения системы информационной безопасности предприятия, нужно выстраивать стратегию ИБ компании на ближайшие годы.

06.02.2020

Подборка по базе: Оценка стоимости предприятия (бизнеса) теория и практика реферат, Особенности формирования и элементы планирования ассортимента пр, — ДООП Колесо безопасности 10.01.23.docx, Анализ деятельности гостиницы по организации рекламной концепции, меры безопасности при взрывных работах.pptx.ppt, Экстремизм как угроза национальной безопасности России. Основные, Интернет как угроза национальной безопасности.docx, Ос безопасности.doc, ЭБ 12561 з3 группа эл безопасности с ОТветами.doc, Ознакомьтесь с характеристикой предприятия.docx

Практическая работа № 3

«Построение концепции информационной безопасности предприятия»

1. Цель работы

Знакомство с основными принципами построения концепции ИБ предприятия, с учетом особенностей его информационной инфраструктуры.

1. Краткие теоретические сведения

До начала создания систем информационной безопасности ряд отечественных нормативных документов (ГОСТ Р ИСО/МЭК 15408 ГОСТ Р ИСО/МЭК 27000 ГОСТ Р ИСО/МЭК 17799) и международных стандартов (ISO 27001/17799) прямо требуют разработки основополагающих документов –КонцепциииПолитикиинформационнойбезопасности. Если Концепция ИБ в общих чертах определяет, ЧТО необходимо сделать для защиты информации, то Политика детализирует положения Концепции, и говорит КАК, какими средствами и способами они должны быть реализованы.

Концепция информационной безопасности используется для:

• принятия обоснованных управленческих решений по разработке мер защиты информации;
• выработки комплекса организационно-технических и технологических мероприятий по выявлению угроз информационной безопасности и предотвращению последствий их реализации;
• координации деятельности подразделений по созданию, развитию и эксплуатации информационной системы с соблюдением требований обеспечения безопасности информации;
• и, наконец, для формирования и реализации единой политики в области обеспечения информационной безопасности.

1. Задание

Используя предложенные образцы, разработать концепцию информационной безопасности компании (см. вариант), содержащую следующие основные пункты (приведен примерный план, в который в случае необходимости могут быть внесены изменения):

1. Общие положения

Назначение Концепции по обеспечению информационной безопасности.

1. Цели системы информационной безопасности
2. Задачи системы информационной безопасности.

1. Проблемная ситуация в сфере информационной безопасности

   1. Объекты информационной безопасности.
   2. Определение вероятного нарушителя.
   3. Описание особенностей (профиля) каждой из групп вероятных нарушителей.
   4. Основные виды угроз информационной безопасности Предприятия.
      • Классификации угроз.
      • Основные непреднамеренные искусственные угрозы.
      • Основные преднамеренные искусственные угрозы.
   5. Общестатистическая информация по искусственным нарушениям информационной безопасности.
   6. Оценка потенциального ущерба от реализации угрозы (см. Практическую работу № 1).

2. Механизмы обеспечения информационной безопасности Предприятия

   1. Принципы, условия и требования к организации и функционированию системы информационной безопасности.
   2. Основные направления политики в сфере информационной безопасности.
   3. Планирование мероприятий по обеспечению информационной безопасности Предприятия.
   4. Критерии и показатели информационной безопасности Предприятия.

3. Мероприятия по реализации мер информационной безопасности Предприятия

   1. Организационное обеспечение информационной безопасности.
      • Задачи организационного обеспечения информационной безопасности.
      • Подразделения, занятые в обеспечении информационной безопасности.
      • Взаимодействие подразделений, занятых в обеспечении информационной безопасности.
   2. Техническое обеспечение информационной безопасности Предприятия.
      • Общие положения.
      • Защита информационных ресурсов от несанкционированного доступа.
      • Средства комплексной защиты от потенциальных угроз.
      • Обеспечение качества в системе безопасности.
      • Принципы организации работ обслуживающего персонала.
   3. Правовое обеспечение информационной безопасности Предприятия.
      • Правовое обеспечение юридических отношений с работниками Предприятия .
      • Правовое обеспечение юридических отношений с партнерами Предприятия.
      • Правовое обеспечение применения электронной цифровой подписи.
   4. Оценивание эффективности системы информационной безопасности Предприятия.

4. Программа создания системы информационной безопасности Предприятия

4. Содержание отчета

1. Титульный лист
2. Содержание
3. Задание
4. Концепция ИБ заданного предприятия по плану, приведенному в задании

1. Варианты

Вариант – номер по списку в журнале.

введение

Цель данного документа – задать вектор движения в написании основополагающего документа в системе информационной безопасности (далее ИБ) организации. Часто приходится слышать: как написать концепцию ИБ, что должно в ней быть, кто может поделиться и т.п. Так как концепция информационной безопасности (далее концепция) — это документ, который имеет определенную степень секретности, то мало кто с вами ей поделится.

что представляет собой эта концепция?

Во-первых, это нормативный документ, на основании которого строиться ИБ организации. Во-вторых, это ваше видение данной проблематики на конкретном предприятии или организации. В-третьих, этот документ опирается на законодательство, морально-этические нормы, научно-технические принципы и организационные возможности.

Многие требования «Оранжевой и Красной книги» уже устарели, в них не уделяется должного внимания некоторым важным в настоящее время аспектам защиты систем, и объясняется это тем, что многие атаки были изобретены уже после их написания. Дело даже не столько в том, что стандарты по информационной безопасности уже во многом устарели, а в том, что невозможно построить эффективную и надежную защиту вычислительных систем, основываясь только на руководящих документах, — ведь злоумышленника не интересует, каким стандартам удовлетворяют ваши системы защиты компьютера или сети, для него важно только то, сможет он обойти эту защиту или нет. А защитить информационную систему организации от несанкционированного доступа или добиться соответствия конфигурации системы некоторому стандарту — это совсем разные вещи.

Очевидно, что к защите разных вычислительных систем предъявляются разные требования. Защитить систему электронного документооборота — это совсем не то же самое, что защитить веб- или почтовый сервер. Но большинство стандартов описанных в «Красной книге», никак не учитывают особенности конкретных систем. Кроме того, ни один документ не может охватить все ситуации, которые могут возникнуть в процессе функционирования компьютерной системы.

Практика функционирования информационных систем показывает, что достижение стопроцентного уровня безопасности – дело дорогое и не всегда целесообразное, так как:

— даже самая совершенная на сегодня система информационной защиты не может противодействовать угрозам, которые могут возникнуть завтра; — стоимость комплексной защиты может оказаться значительно выше, чем стоимость защищаемых информационных ресурсов.

Однако математическое моделирование позволит обеспечить эффективность и гарантировать функциональность систем защиты.

с чего начать?

1. Проанализировать существующую организационно-распорядительную документацию и неформальные требования, отражающие текущую или желаемую политику безопасности.

2. Определить цели и задачи системы информационной безопасности.

3. Разработать модели угроз информационной безопасности и модели нарушителя.

4. Определиться с нормативно-технической базой информационной безопасности.

5. Разработать основные положения системы управления информационной безопасностью.

6. Определить требования к комплексу мер и средств обеспечения информационной безопасности.

подготовительный этап

На данном этапе вам необходимо составить как можно более подробную карту информационной системы организации, то есть описать, где находится сетевое оборудование, какие хосты к какому порту подключены и какие функции на них выполняются, определить круг лиц, которым можно работать за конкретной машиной и их функциональные обязанности. Описать маршрут движения и права доступа к электронным документам. Проанализировать полученную информацию и разработать математические алгоритмы обеспечения информационной безопасности организации, соответствующие основополагающим целям защиты информационных ресурсов: доступность, целостность, секретность. Анализ состояния системы должен базироваться на четких математических алгоритмах, основанных на анализе матричных графов. Матричная форма представления позволяет обработать сложные динамические системы, чем и является система ИБ. В ходе анализа, можно установить, какая угроза существует, объект угрозы, от кого может исходить и с помощью какого метода ее можно устранить. При этом у нас появляется динамическая модель взаимосвязей объектов в системе с управлением доступа на основе атрибутов. Также теорию графов применяем для анализа и преобразования потоков информации. Изменение состояния системы контролируется матрицами полномочий, что в свою очередь не приводит к возникновению ограничений на применение данной модели.

примерная математическая модель

В данном разделе описана логика математической модели без приведения конкретных формул и носящая информативный характер.

Большую помощь в построении эффективной системы безопасности могут оказать методы математического моделирования. Во-первых, именно с их помощью можно наглядно доказать менеджерам, что вложение средств в ИБ действительно экономит деньги компании (недооценка необходимости обеспечения безопасности менеджерами является в большинстве случаев основным препятствием в развитии таких систем). Во-вторых, в условиях ограниченности ресурсов, отпущенных на систему ИБ, с помощью этих методов можно выбрать оптимальный комплекс средств защиты, а также смоделировать, насколько созданная система окажется эффективной в борьбе против наиболее распространенных угроз. В рамках данного документа мы рассмотрим моделирование несанкционированного доступа (НСД).

Предположим что задано множество информационных угроз (ИУ), которые могут возникнуть в информационной системе (ИС) предприятия, и множество аппаратных и программных средств защиты (СЗ), с помощью которых эти угрозы могут быть нейтрализованы. Причем для каждого сочетания ИУ–СЗ определено число r(ij) – эффективность нейтрализации i-м средством защиты j-й информационной угрозы. Для построения математической модели введем переменную y(i,j), равную 1, если j-я ИУ нейтрализуется с помощью i-го СЗ, и равную нулю в противном случае.
Дадим содержательную и формальную постановку задач выбора оптимальной системы безопасности в терминах теории графов, а также представим методы их решения.

Для этого необходимо построить такой двудольный граф, что вершины множества в Х1 отвечают аппаратным и программным средствам защиты, а вершины множеств в Х2 – соответствующим информационным угрозам. Каждый элемент (вершина) множества Х1 характеризуется ценой и эффективностью по нейтрализации информационных угроз.

Каждой вершине множества присваивается вес, равный стоимости, что соответствует СЗ, а каждой дуге – вес, z(i,j) = 1,0. Тогда задача выбора оптимальной системы будет заключаться в максимальной эффективности нейтрализации множества информационных угроз различными средствами защиты при ограничениях на объем затрат Q.
Так же необходимо минимизировать затраты на средства защиты от информационных угроз в ИС предприятия при ограничении на заданный уровень эффективности Р.

В данной модели предполагается, что наивысший уровень эффективности будет тогда, когда для нейтрализации каждой угрозы будет выбрано средство защиты с максимальной эффективностью. Наивысший уровень эффективности системы равен сумме максимальных элементов в каждом столбце матрицы. Следует учитывать, что выбор оптимального набора классических средств защиты информации в условиях ограничения на объем ресурсов не гарантирует того, что система действительно окажется эффективной при противодействии информационным рискам. При этом следует учитывать, что практическое применение механизма, а значит, и создание эффективной системы информационной безопасности становится возможным лишь в случае, если вероятность наступления рисков причинения вреда ИС организации является достаточно малой величиной.

Рассмотрим модель, позволяющую определить вероятность причинения вреда автоматизированной информационной системы компании при НСД.
Защита от НСД строится на практике как последовательность преград, после успешного преодоления, которых злоумышленник получает доступ к информационным и/или программным ресурсам ИС.

Нарушитель в состоянии проникнуть в систему лишь при условиях, когда:

— во-первых, ему станет известна (в том числе случайным образом) система защиты в части, необходимой для достижения его целей;

— во-вторых, он успеет получить доступ к информационным и/или программным ресурсам системы до того, как эта система защиты видоизменится (после чего перед нарушителем возникнет проблема повторного преодоления защитных преград).

При условии существования стационарных распределений времени между соседними изменениями параметров системы защиты и времени вскрытия системы защиты, вероятность преодоления преграды существует.

Исходя из этого предположения, можем рассчитать вероятность преодоления всей системы защиты, то есть преодоление всей последовательности преград механизмов защиты.

Возможных вариантов для функции распределения времени между соседними изменениями параметров системы защиты преграды может быть несколько: Вариант 1. Параметры системы защиты изменяются через постоянный интервал времени, то есть является детерминированной.

Вариант 2. Интервалы времени между соседними изменениями параметров определяются случайным образом, например, с помощью генератора
псевдослучайной последовательности.

Также необходимо учитывать как трудоемкость операций, так и уровень подготовленности и технической оснащенности злоумышленника, то есть, соответственно, вероятность преодоления всей системы защиты будет определяться в зависимости от времени преодоления защиты информации:

— в случае, когда параметры системы защиты меняются через постоянные промежутки времени, а время преодоления системы защиты является постоянным; — смена параметров системы осуществляется через равные промежутки времени, а время преодоления преграды неизвестно;

— время между соседними изменениями параметров определяется случайным образом, а время преодоления преграды системы защиты является постоянным; — время между соседними изменениями параметров определяется случайным образом, время преодоления преграды неизвестно.

Создание надежной системы информационной безопасности компании возможно только в случае активного соединения классических (программных и технических) и экономических методов защиты информации. Эффективное же задействование экономических механизмов, позволяющих сгладить убытки компании, связанные с причинением ущерба ИС, возможно только в случае наличия системы ИБ, гарантирующей с большой вероятностью сохранность информации. Именно в создании системы, наиболее эффективной относительно противодействия информационным рискам, в условиях ограничений на выделяемые ресурсы, а также при определении вероятности причинения ущерба АИС основными информационными угрозами (задействование механизма страхования) существенную помощь может оказать приведенный выше комплекс моделей.

После сбора информации и последующего анализа, описания ИС и построения ее математической модели приступим непосредственно к написанию концепции ИБ организации. В самом начале мы пишем краткое изложение сути всей концепции (примерно на 1-2 страницы).

примерное вступление

«Беспрецедентные темпы развития и распространения информационных технологий, обострение конкурентной борьбы требуют создания целостной системы безопасности информации, взаимоувязывающей правовые, оперативные, технологические, организационные, технические и физические меры защиты информации, основываясь на научно-технических принципах построения систем обеспечения безопасности информационных ресурсов корпоративных сетей с учетом современных тенденций развития сетевых информационных технологий, а так же с использованием исследований по защите от внутренних нарушителей.

Настоящая Концепция определяет систему взглядов на проблему обеспечения безопасности информации в единой информационной телекоммуникационной системе (ИС) организации и представляет собой систематизированное изложение целей и задач защиты, а также принципов и способов достижения требуемого уровня безопасности информации.»

Построение системы безопасности информационных ресурсов корпоративной сетей основывается на комплексном подходе, доказавшем свою эффективность и надежность. Комплексный подход ориентирован на создание защищенной среды обработки информации в корпоративной системе, сводящей воедино разнородные меры противодействия угрозам. Сюда относятся правовые, морально-этические, организационные, программные и технические способы обеспечения информационной безопасности. Однако только математическое моделирование корпоративной сети позволяет обеспечить эффективность и гарантированность функционирования систем защиты. Принцип построения системы безопасности информационных ресурсов корпоративной сети должен быть основан на научных предпосылках, научно-обоснованной математической модели, раскрывающей внутренние принципы функционирования организации. На основе математического моделирования можно будет построить обоснованную, с гарантиями по безопасности концепцию информационной безопасности организации.

Правовой базой для разработки настоящей концепции служат требования действующих в государстве законодательных и нормативных документов, перечень которых вы должны указать в приложении.

Концепция является методологической основой для формирования и проведения в организации единой политики в области обеспечения безопасности информации (политики безопасности), для принятия управленческих решений и разработка практических мер по ее воплощению.

Список основных использованных в написании концепции сокращений так же указывается в приложении. Перечень использованных специальных терминов и определений необходимо указать в приложении.

После введения идет раздел с описанием общих положений.

общие положения

В данном разделе концепции рассматривается название и правовая основа данного документа, то есть мы даем понятие, что подразумевается под словом концепция в данном документе, ее систему взглядов на проблему безопасности.

Пример:

«Настоящая «Концепция обеспечения безопасности информации в информационной системе<название организации>» (далее – Концепция) определяет систему взглядов на проблему обеспечения безопасности информации в ИС организации и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в ИС организации».

Далее указывается, какие нормативные документы легли в основу концепции. Среди таких документов могут быть перечислены конституция, гражданский и уголовный кодексы, законы, указы, постановления и др.

Так же нельзя не упомянуть о том, что в концепции должно быть учтено современное состояние, а так же ближайшие перспективы развития информационной системы. Также описывается, на какие объекты информационной системы она распространяется и для чего будет являться
методологической основой.

Ну и в завершение данного раздела упомянем, какие принципы были положены в основу построения системы информационной безопасности.

объекты защиты

В этом разделе пойдет речь об основных объектах, на которые направлена информационная безопасность в данной организации. Для большего понимания, о чем все-таки идет речь, приведем небольшой пример:

«Основными объектами информационной безопасности в организации являются:

— информационные ресурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления;

— процессы обработки информации в ИС — информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации; — информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты ИС».

Так же в данном разделе выделяем несколько подразделов:

1) Назначение, цели создания и эксплуатация АС как объекта информатизации. В данном подразделе концепции мы опишем основные цели, то есть, собственно, для чего мы хотим применить автоматизированную информационную систему. В основном ИС создаются для повышения качества того или иного процесса, контроля, оперативности, анализа и прогноза, что в свою очередь должно привести к сокращению издержек и экономической выгоде для предприятия.

2) Структура, состав и размещение основных элементов АИС, информационные связи с другими объектами. В данном подразделе опишем особенности функционирования ИС: какие взаимосвязи прослеживаются между различными объектами системы, какие технические средства используются, есть ли взаимодействие с внешними организациями и как это происходит, то есть какие каналы передачи данных используем, какое ПО для этого необходимо.

3) Категории информационных ресурсов, подлежащих защите. Описываем, какие уровни конфиденциальности имеются, какие типы документов циркулируют в документообороте ИС, какая информация подлежит защите и на основании каких нормативных документов.

4) Категории пользователей ИС, режимы использования и уровни доступа к информации. Здесь описываем группы пользователей и какие функции они выполняют в ИС, к примеру: администраторы серверов (файловых серверов, серверов приложений, серверов баз данных) и ЛВС; администраторы информационной безопасности.

5) Уязвимость основных компонентов ИС. Тут мы укажем, какие объекты в ИС наиболее уязвимы, что необходимо защищать и для каких целей могут нарушители использовать тот или иной объект автоматизированной информационной системы.

цели и задачи

В этом подразделе у нас будет примерно 4 подпункта.

1) Интересы затрагиваемых при эксплуатации ИС субъектов информационных отношений. Субъектами правоотношений при использовании ИС организации и обеспечении безопасности информации являются: организация как собственник информационных ресурсов, подразделения и отделы, должностные лица и сотрудники, юридические и физические лица, другие.
Есть смысл описать, в чем заинтересованы вышеперечисленные субъекты относительно циркулирующей информации в рамках ИС организации:
конфиденциальность, достоверность, своевременный доступ, разграничение ответственности, контроль.

2) Цели защиты. Пример: «Основной целью, на достижение которой направлены все положения настоящей концепции, является защита субъектов информационных отношений (интересы которых затрагиваются при создании и функционировании ИС) от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования ИС или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.
Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки: доступность, сохранность, целостность, аутентичность.»

3) Основные задачи системы обеспечения безопасности информации. Распишем, какие задачи должна решать ИС для достижения основной цели защиты. Вот примерный список задач: защита от вмешательства в процесс функционирования ИС; разграничение прав доступа к информации, компьютерам, средствам защиты; регистрация происходящих в ИС событий, процедуры обеспечения целостности и достоверности информации, а также методы ее восстановления; защита от несанкционированных действий; авторизация и аутентификация пользователей; мониторинг возможных угроз и информационной защищенности; действия для минимизации и локализации ущерба от неправомерных действий.

4) Основные пути достижения целей защиты (решения задач системы защиты). Здесь опишем, как мы будем достигать поставленные цели защиты и перечисленных выше задач. Для примера можно привести некоторые пункты, уместные в данном подразделе.

«Основные пути достижения целей защиты включают в себя:

— Строгий учет всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, автоматизированных рабочих мест); — Полнота, реальная выполнимость и непротиворечивость требований организационно-распорядительных документов организации по вопросам обеспечения безопасности информации;

— Персональная ответственность за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам ИС;

— Реализация технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;

— Принятие эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов ИС;

применение физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;

— Юридическая защита интересов организации при взаимодействии его подразделений с внешними организациями (связанном с обменом информацией) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц; — Проведение постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в ИС».

Думаю, что приведенный пример достаточно полно раскрывает, о чем необходимо писать в данном подразделе концепции.

основные угрозы

Достаточно объемный по своему содержанию раздел, в котором описывается модель возможного нарушителя, рассматриваются различные возможности утечки информации по техническим каналам, дается определение умышленным действиям различными лицами, какие пути могут быть для реализации неправомерных действий и какие вообще могут быть угрозы безопасности информации и ее источники. Вот об этом сейчас более подробно и поговорим. А начнем с видов угроз информационной безопасности и их источниках.

Для начала опишем наиболее значимые угрозы и методы их реализации. К наиболее опасным отнесем: нарушение конфиденциальности (разглашение, утечка); нарушение работоспособности (дезорганизация работы); нарушение целостности (искажение, подмена, уничтожение).

Далее опишем основные источники угроз:

— непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей);

— преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.);

— воздействия из других логических и физических сегментов ИС со стороны сотрудников других подразделений;

— ошибки, допущенные при проектировании ИС;

— аварии, стихийные бедствия и т.п.

Во втором пункте данного раздела опишем основные пути реализации непреднамеренных искусственных (субъективных) угроз ИС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по нейтрализации соответствующих угроз и снижению возможного ущерба.

В третьем пункте опишем основные пути реализации преднамеренных действий (с корыстными целями, по принуждению, из желания отомстить и т.п.). В четвертом пункте опишем возможности утечки информации по техническим каналам, т.е. в данном разделе мы указываем возможные угрозы при проведении мероприятий и эксплуатации технических средств, когда возможны утечки или нарушения целостности информации, нарушения
работоспособности технических средств:

— побочные электромагнитные излучения информативного сигнала от технических средств;

— наводки информативного сигнала;

— изменения тока потребления;

— радиоизлучение;

— электрические сигналы или радиоизлучения, обусловленные воздействием на ИС высокочастотных сигналов, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств (радиовещательные, радиолокационные станции, средства радиосвязи и т.п.), и модуляцией их информативным сигналом (облучение, «навязывание»);

— радиоизлучения или электрические сигналы от внедренных специальных электронных устройств перехвата информации;

— акустическое излучение информативного речевого сигнала;

— просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;

— воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации.

Кроме перехвата информации с помощью технических средств, возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Такого рода утечка информации возможна в следствии:

— непреднамеренного прослушивания без использования технических средств разговоров, ведущихся в выделенном помещении, из-за недостаточной звукоизоляции его ограждающих конструкций, систем вентиляции и кондиционирования воздуха;

— случайного прослушивания телефонных переговоров при проведении профилактических работ на АТС, кроссах, кабельных коммуникациях с помощью контрольной аппаратуры;

— просмотра информации с экранов дисплеев и других средств ее отображения.

Пятым пунктом опишем неформальную модель нарушителя, дадим определение, кто такой нарушитель, неопытный пользователь, любитель (то есть человек, пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса»), мошенник, внешний нарушитель, внутренний злоумышленник…

Далее укажем, какой ущерб могут нанести те или иные группы лиц и чем для этого воспользоваться. Например, уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа; пользователи и обслуживающий персонал из числа сотрудников организации имеют наиболее широкие возможности по осуществлению несанкционированных действий вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер, при этом действия этой группы лиц напрямую связано с нарушением действующих правил и инструкций.

основные положения технической политики в обеспечении безопасности информации

Первым подразделом у нас будет техническая политика. Реализация технической политики по обеспечению информационной безопасности должна исходить из предпосылки, что нельзя обеспечить требуемый уровень безопасности только одним мероприятием или средством, а необходим комплексный подход с системным согласованием различных элементов. Каждый разработанный элемент должен рассматриваться как часть единой системы, при оптимальном соотношении как технических средств, так и организационных мероприятий.

Далее перечислим основные направления технической политики, и как в рамках указанных направлений она будет осуществляться.

Для примера возьмем такое направление, как защита информационных ресурсов от хищения, уничтожения, искажения.

Для реализации этого направления нам необходимы:

1) реализация разрешительной системы допуска пользователей к информации;

2) разграничение доступа пользователей к информационным ресурсам;

3) реализация системы сбора и обработки, объективное документирование событий;

4) регистрация действий пользователей и контроль за несанкционированным доступом и действиями пользователей;

5) надежное хранение традиционных и машинных носителей информации;

6) криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;

7) необходимое резервирование технических средств и информационных ресурсов;

электрическая развязка цепей питания и т.п.

Также необходимо формирование режима безопасности информации, то есть согласно выявленных угроз режим защиты формируется как совокупность способов и мер защиты информации. Комплекс мер по формированию режима безопасности информации должен включать в себя:

организационно-правовой режим (нормативные документы), организационно-технические мероприятия (аттестация рабочих мест), программно-технические мероприятия, комплекс мероприятий по контролю за функционированием ИС и систем ее защиты, комплекс оперативных мероприятий по предотвращению несанкционированного доступа, а также комплекс действий по выявлению таких попыток. Так что же подразумевается под вышеперечисленным комплексом мер?

Организационно-правовой режим предусматривает создание и поддержание правовой базы безопасности информации и разработку (введение в действие) необходимых организационно-распорядительных документов (положение о сохранности информации, перечень сведений, составляющих служебную и коммерческую тайну, приказы и распоряжения по установлению режима безопасности информации, инструкции и функциональные обязанности сотрудников и другие нормативные документы).

Под техническими и программными мероприятиями понимается комплекс действий, направленных на физическую охрану объектов информации, на защиту информации ограниченного распространения от утечки по техническим каналам, выполнение режимных требований при работе с информацией ограниченного распространения и мероприятия технического контроля.

принципы построения комплексной системы защиты

Построение системы безопасности информации ИС и ее функционирование должны осуществляться в соответствии со следующими принципами:

Законность – предполагает осуществление защитных мероприятий и разработку системы безопасности информации ИС организации в соответствии с действующим законодательством.

Системность – системный подход к построению системы защиты информации и предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации.

Комплексность – комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано.

Непрерывность – непрерывный, целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИС. Своевременность – предполагает упреждающий характер мер для обеспечения безопасности информации.

Преемственность и совершенствование – предполагают постоянное совершенствование мер и средств защиты информации.

Разумная достаточность (экономическая целесообразность) – предполагает соответствие уровня затрат на обеспечение безопасности информации, ценности информационных ресурсов и величине возможного ущерба.

Персональная ответственность – предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий.

Принцип минимизации полномочий – означает предоставление пользователям минимальных прав доступа в соответствии с производственной
необходимостью.

Взаимодействие и сотрудничество – предполагает создание благоприятной атмосферы в коллективах подразделений.

Гибкость системы защиты – для обеспечения возможности варьирования уровня защищенности, средства защиты должны обладать определенной гибкостью. Открытость алгоритмов и механизмов защиты – суть данного принципа состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это, однако, не означает, что информация о конкретной системе защиты должна быть общедоступна.

Простота применения средств защиты – механизмы защиты должны быть интуитивно понятны и просты в использовании, без значительных дополнительных трудозатрат.

Научная обоснованность и техническая реализуемость – информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации.

Специализация и профессионализм – предполагает привлечение к разработке средств и реализаций мер защиты информации специализированных организаций, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами.

Обязательность контроля – предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил безопасности.

Далее в этом разделе нам предстоит раскрыть выше перечисленные принципы.

меры, методы и средства защиты

Все меры обеспечения безопасности компьютерных систем подразделяются на: правовые (законодательные), морально-этические, организационные (административные), физические, технические (аппаратурные и программные).

Организационные меры защиты. В этом подразделе мы описываем регламентирующие процессы функционирования системы, деятельность обслуживающего персонала, порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации. С практической точки зрения политику в области обеспечения безопасности информации в организации целесообразно разбить на два уровня. К верхнему уровню относятся решения руководства, затрагивающие деятельность организации в целом, а политика нижнего уровня определяет процедуры и правила достижения цели и решения задач безопасности информации и детализирует (регламентирует) эти правила.

Также нам предстоит описать регламенты: доступа в помещение, доступа сотрудников к ресурсам, ведение и модификация баз данных, процессов обслуживания и модернизации оборудования. Описать методы обеспечения и контроля целостности аппаратных ресурсов и программного обеспечения, дать рекомендации кадровой службе по подбору, подготовке и обучению персонала. Описать основное тезисы, на основе которых будет принято положение о подразделении технической защиты информации. Определить ответственность за нарушение установленного порядка эксплуатации ИС и действия по расследованию нарушений. Также опишем, какие физические, технические (аппаратно-программные) средства защиты будут использоваться и разграничение доступа на территорию и в помещения; какие средства опознания (идентификация) и подтверждения подлинности (аутентификация) пользователя, а так же средства разграничения доступа зарегистрированных пользователей к ресурсам ИС и другие средства, обеспечивающие оперативность контроля и регистрации событий, криптографические средства защиты. И напоследок опишем, как мы видим управление системой обеспечения информационной безопасности, ее главные цели и функции, а так же не забудем о контроле эффективности системы защиты.

первоочередные мероприятия

«Для реализации основных положений настоящей Концепции целесообразно провести (осуществить) следующие мероприятия: …»

Далее, как видно из названия раздела, мы описываем те первоочередные действия, которые предстоит исполнить в самое ближайшее время. Как правило, нам не обойтись без грамотного технического задания и создания подразделения технической защиты, далее опишем аппаратно-программный комплекс, который обеспечит информационную безопасность организации. К примеру, для защиты ЛВС от неправомерных действий из других ЛВС организации или внешних сетей установить сертифицированный межсетевой экран. Произвести развязку цепей электропитания объектов защиты с помощью защитных фильтров, организовать контроль состояния защиты. Также необходимы процедуры по выявлению слабых мест (уязвимостей) в системе защиты серверов и рабочих станций и принятию своевременных мер для их устранения.

Crion.

Разработка концепции иб

2.2.1
Цели и задачи информационной безопасности

Режим
информационной безопасности — это
комплекс организационных и
программно-технических мер, которые
должны обеспечивать следующие параметры:

·
доступность и целостность информации;

·
конфиденциальность информации;

·
невозможность отказа от совершенных
действий;

·
аутентичность электронных документов.

Цель
информационной безопасности — обеспечить
бесперебойную работу организации и
свести к минимуму ущерб от событий,
таящих угрозу безопасности, посредством
их предотвращения и сведения последствий
к минимуму.

К
задачам информационной безопасности
бухгалтерии ООО магазин «Стиль»
относится:

·
объективная оценка текущего состояния
информационной безопасности;

·
обеспечение защиты и надежного
функционирования прикладных информационных
сервисов;

·
обеспечение безопасного доступа в
Интернет с защитой от вирусных атак и
спама;

·
защита системы электронного
документооборота;

·
организация защищенного информационного
взаимодействия с территориально
удаленными офисами и мобильными
пользователями;

·
получение защищенного доступа к
информационной системе организации;

·
обеспечение целостности и доступности
информации;

·
предотвращение некорректного изменения
и модификации данных.

2.2.2
Общие направления информационной
безопасности

Проблема
обеспечения необходимого уровня
защиты информации
— весьма сложная задача, требующая для
своего решения не просто осуществления
некоторой совокупности научных,
научно-технических и организационных
мероприятий и применения специфических
средств и методов, а создания целостной
системы организационных мероприятий
и применения специфических средств и
методов по защите информации.

В
рамках комплексного подхода к внедрению
системы безопасности для бухгалтерии
ООО «Стиль» можно выделить следующие
общие направления: · внедрение решений
по сетевой безопасности с применением
средств компьютерной защиты информации;
· внедрение систем однократной
аутентификации (SSO); · внедрение системы
контроля целостности информационной
системы; · внедрение решений по мониторингу
и управлению информационной безопасностью;
· внедрение системы контроля доступа
к периферийным устройствам и приложениям;
· внедрение систем защиты от модификации
и изменения информации. Основными
требованиями к комплексной системе
защиты информации являются: · система
защиты информации должна обеспечивать
выполнение информационной системой
своих основных функций без существенного
ухудшения характеристик последней; ·
система защиты должна быть экономически
целесообразной; · защита информации
должна обеспечиваться на всех этапах
жизненного цикла, при всех технологических
режимах обработки информации, в том
числе при проведении ремонтных и
регламентных работ;

·
в систему защиты информации должны быть
заложены возможности ее совершенствования
и развития в соответствии с условиями
эксплуатации и конфигурации;

·
система защиты в соответствии с
установленными правилами должна
обеспечивать разграничение доступа к
конфиденциальной информации с отвлечением
нарушителя на ложную информацию, т.е.
обладать свойствами активной и пассивной
защиты;

·
система защиты должна позволять проводить
учет и расследование случаев нарушения
безопасности информации;

·
применение системы защиты не должно
быть сложной для пользователя, не
вызывать психологического противодействия
и желания обойтись без нее.

Основные
аспекты, решаемые при разработке ИБ

Уязвимость
данных в информационной системе
бухгалтерии компании обусловлена
долговременным хранением большого
объема данных на магнитных носителях,
одновременным доступом к ресурсам
нескольких пользователей. Можно выделить
следующие трудности при разработке
системы информационной безопасности:

·
на сегодняшний день нет единой теории
защищенных систем;

·
производители средств защиты в основном
предлагают отдельные компоненты для
решения частных задач, оставляя вопросы
формирования системы защиты и совместимости
этих средств на усмотрение потребителей;

·
для обеспечения надежной защиты
необходимо разрешить целый комплекс
технических и организационных проблем
и разработать соответствующую
документацию.

Для
преодоления вышеперечисленных трудностей
необходима координация действий всех
участников информационного процесса.
Обеспечение информационной безопасности
— достаточно серьезная задача, поэтому
необходимо, прежде всего, разработать
концепцию безопасности информации, где
определить интересы компании, принципы
обеспечения и пути поддержания
безопасности информации, а также
сформулировать задачи по их реализации.

В
основе комплекса мероприятий по
информационной безопасности должна
быть стратегия защиты информации. В ней
определяются цели, критерии, принципы
и процедуры, необходимые для построения
надежной системы защиты. В разрабатываемой
стратегии должны найти отражение не
только степень защиты, поиск брешей,
места установки брандмауэров или
proxy-серверов и т. п. В ней необходимо еще
четко определить процедуры и способы
их применения для того, чтобы гарантировать
надежную защиту.

Важнейшей
особенностью общей стратегии информационной
защиты является исследование системы
безопасности. Можно выделить два основных
направления:

·
анализ средств защиты;

·
определение факта вторжения.

На
основе концепции безопасности информации
разрабатываются стратегия безопасности
информации и архитектура системы защиты
информации. Следующий этап обобщенного
подхода к обеспечению безопасности
состоит в определении политики, содержание
которой — наиболее рациональные средства
и ресурсы, подходы и цели рассматриваемой
задачи.

2.3
Анализ рисков

2.3.1
Оценка и анализ рисков ИБ

Все
многообразие структур и форм деятельности
служб безопасности можно условно
подразделить на два основных вида:

входящие
в структуру предприятий и полностью
содержащиеся за их счет;

существующие
как самостоятельные коммерческие или
государственные организации и нанимаемые
предприятием для выполнения функций
по обеспечению некоторых аспектов его
безопасности.

Организационная
структура служб
первого вида
может представляться многофункциональной
службой предприятия, решающей весь
комплекс проблем его безопасности. Она
присуща, как правило, крупным, финансово
стабильным организациям: коммерческим
банкам, инвестиционным фондам,
финансово-промышленным группам,
использующим собственный персонал и
технические средства. Ко второму
виду относятся
структуры, специализирующиеся на
оказании услуг в сфере безопасности.
Они могут решать широкий круг вопросов:
от комплексной защиты предприятия до
выполнения конкретных функций (например,
выявление подслушивающих устройств,
охрана транзитных перевозок, личная
охрана сотрудников). В ряде случаев
предприятию оказывается экономически
выгоднее привлечь для выполнения
некоторых функций безопасности
специализированную организацию, чем
содержать собственную структуру. То же
можно отнести и к привлечению, например,
частных фирм в разрешении проблем,
связанных с угрозами безопасности
предприятия, в частности с угрозами,
обусловленными техническим проникновением:
выявление подслушивающих устройств,
контроль эфира, особенно в тех случаях,
когда нужны разовые мероприятия подобного
рода. Учитывая весьма высокую стоимость
аппаратуры, необходимой для выявления
угроз технического проникновения,
экономически целесообразней оказывается
наем специалистов из сторонней
организации, чем содержание на предприятии
соответствующего оборудования и штата
сотрудников. При этом еще следует
учитывать значительные затраты на
профилактику этой техники, ее обслуживание
и обновление взамен морально устаревшей,
обучение персонала.

В
данной лекции речь пойдет о службах
безопасности предприятия.

В
соответствии с типовым положением,
высшим органом управления любым
акционерным предприятием является
общее собрание акционеров. Наряду с
выработкой генеральной цели и
принципиальных направлений деятельности,
экономической и технической политики
предприятия, как это и предусмотрено
положением, прерогативой общего собрания,
по-видимому, должно быть также определение
потребности в обеспечении безопасности,
санкционирование организации, установление
объемов и источников финансирования
этой деятельности. Однако типовые
положение и устав акционерного предприятия
такие полномочия общего собрания не
предусматривают. Например, в работе
рекомендуется установить перечень
сведений, составляющих коммерческую
тайну, определить порядок и условия
передачи коммерческой информации другим
физическим и юридическим лицам, определить
основы системы защиты объектов, входящих
в АО.

Типовые
учредительные документы также
регламентируют, что в период между
общими собраниями акционеров полномочным
органом управления является совет
директоров, возглавляемый генеральным
директором АО. Именно генеральный
директор должен обладать всей полнотой
полномочий по обеспечению безопасности
АО и в пределах свой компетенции:

утверждает
порядок организации работ но обеспечению
безопасности АО и контролирует ее
состояние;

устанавливает
порядок регулирования отношений в
области защиты АО во всех сферах
деятельности и на всех уровнях его
управления;

определяет
категории должностных лиц, имеющих
доступ к конфиденциальной информации
АО;

применяет
меры дисциплинарного воздействия к
должностным лицам, не обеспечившим
надежную защиту объектов АО;

вправе
делегировать часть своих полномочий
по обеспечению безопасности другим
должностным лицам АО.

Координация
работ по обеспечению безопасности на
уровне функциональных служб должна
возлагаться на правление АО в пределах
компетенции, определяемой уставом
общества.

Синтез
системы, практическая реализация ее
функций должна находиться в компетенции
специальных подразделений службы
безопасности АО. Состав таких функций
может быть расширен за счет комплексов
задач прогнозирования, выявления и
оценки угроз безопасности, структуризации
задач защиты, их оптимизации,
технико-экономической оценки и выбора
предпочтительного варианта обеспечения
безопасности.

Проведенные
сопоставления результатов деятельности
служб безопасности показали, что наиболее
эффективно они функционируют там, где
решение проблем безопасности постоянно
находится в сфере внимания первых
руководителей, увязывается ими с
результатами производственно-хозяйственной
деятельности предприятия. Именно на
этих предприятиях руководитель службы
безопасности обладает максимально
возможным кругом полномочий, позволяющим
оказывать влияние на различные области
деятельности объекта, как того требуют
интересы его безопасности. Так, на
крупных предприятиях, где служба
безопасности состоит из нескольких
подразделений, выполняет различные
функции по охране, сыску, анализу реальных
и потенциальных угроз, ее руководитель,
как правило, является одновременно и
заместителем генерального директора,
а на объектах с повышенной системой
защищенности — и первым заместителем.
Используются и другие варианты построения
организационной структуры, при которых
в аппарате управления выделяется
должность специального директора по
безопасности. Он руководит службой
безопасности, включающей службу охраны,
специальные системы связи и информации,
противопожарные службы, специальные
группы реагирования.

Но
даже и в тех случаях, когда служба
безопасности хотя и немногочисленна
(в малых формах бизнеса), но рационально
организована, положение ее руководителя
позволяет принимать самостоятельные
решения в рамках своей компетенции и
своевременно реагировать на возникающие
угрозы безопасности предприятия, т. е.
его статус на объекте выделен и поддержан
руководством. Это выражается в разработке
таких функциональных обязанностей
руководителя службы безопасности,
которые закрепляют его особое положение.
Например, ему подчиняются другие, равные
по штатному уровню руководители, в
решении кадровых вопросов. Этот статус
может проявляться и в том, что руководитель
службы безопасности наделен определенными
запретительными правами по отношению
к другим службам предприятия на
переговорах с клиентами, правами
санкционирования выбора клиентов и
соисполнителей. Что касается собственно
организационной структуры службы
безопасности, то в процессе исследований
удалось выявить определенную закономерность
ее построения в зависимости от следующих
факторов (рис. 1). Рис. 1 — Факторы, влияющие
на особенности построения организационной
структуры службы безопасности
промышленного предприятия Особенности
построения организационной структуры
службы безопасности зависят от: характера
и масштабов производственной деятельности
предприятия (особенности выпускаемой
продукции и прогрессивность применяемых
технологий, наличие товаров-новинок,
патентов и лицензий, производственная
мощность, численность работающих, темпы
технического развития); рыночной позиции
предприятия (темпы развития отрасли, к
которой относится предприятие, вид
кривой жизненного цикла, динамика его
продаж и доля рынка, наличие стратегических
зон хозяйствования, уровень
конкурентоспособности товаров и услуг,
репутация в деловых кругах, имидж и
гудвил); достигнутого уровня финансовой
состоятельности (общая экономическая
рентабельность, рентабельность капитала
и продукции, платежеспособность, уровень
деловой активности, инвестиционная
привлекательность); наличия субъектов
специальной защиты (носители государственной
или коммерческой тайны, крупные
материальные ценности, Экологически
опасные производства, взрыво- и
пожароопасные участки и т. п.); наличия
конкурентной среды (активность конкурентов
и криминалитета). Кроме отмеченных
объективных факторов на выбор структуры
службы безопасности могут воздействовать
и факторы субъективного порядка.
Например, наличие свободных финансовых
ресурсов, которые можно направить на
обеспечение безопасности, или субъективное
мнение руководителя предприятия,
считающего, что затраты на службу
безопасности себя не окупают и поэтому
в ее организации нет необходимости.
Разумеется, представить универсальную
структуру службы безопасности того или
иного предприятия — объекта защиты —
будет весьма сложно из-за многообразия
форм проявления на нем отмеченных
факторов. Однако, по-видимому, можно
говорить о некотором наборе типовых
направлений деятельности служб
безопасности, исходя из условного
деления множества объектов защиты на
следующие группы: крупные
финансово-промышленные группы и
акционерные общества с частным и
смешанным капиталом;

государственные
производственные объединения;

акционерные
и частные коммерческие структуры
(крупные, средние, мелкие). Первое
направление — юридическая
безопасность предпринимательской
деятельности, под которой следует
понимать юридически корректное оформление
прав, порядка и условий осуществления
этой конкретной деятельности (устава,
регистрационных документов, прав
собственности на имущество, патентов,
лицензий, арендных и контрагентских
договоров, соглашений, ведение
бухгалтерской документации и др.).
Необходимость разработок и реализации
соответствующего комплекса задач
достаточно очевидна в условиях
несовершенной нормативно-правовой базы
предпринимательства и его безопасности.
Второе — физическая безопасность субъектов
предпринимательской деятельности. В
качестве объектов следует при этом
рассматривать как сам вид предпринимательской
деятельности, так и ресурсы предпринимателя:
финансовые, материальные, информационные.
Отдельного рассмотрения требует
безопасность трудовых и интеллектуальных
ресурсов: персонала, акционеров и
работников предприятия.

Третье — информационная
(информационно-коммерческая)
безопасность, защита
информационных ресурсов хозяйствующего
субъекта, а также объектов его
интеллектуальной собственности.
Коммерчески значимая информация может
быть связана со всеми теми объектами,
которые упоминались при рассмотрении
физической безопасности.

Одно
из важнейших по значимости — четвертое
направление — это вопросы безопасности
людей, персонала:
охрана труда и техника безопасности,
производственная санитария и экология,
аспекты психологии деловых отношений,
вопросы личной безопасности сотрудников
и членов их семей. Следует отметить, что
универсального способа или методики
выбора структуры службы безопасности
до настоящего времени не предложено,
хотя практическая потребность в этом
очевидна. Исходя из проведенных обобщений
в организации службы безопасности,
можно предложить следующий укрупненный
алгоритм выработки решений по ее
структуризации применительно к
особенностям деятельности того или
иного хозяйствующего субъекта:

шаг
1 — принимается
некоторое состояние объекта, фиксированное
во времени, и определяются его жизненно
важные интересы на этот момент;

шаг
2 — определяются
наиболее вероятные для данного объекта
угрозы его безопасности;

шаг
3 — оценивается
степень риска при реализации каждого
вида угроз, которые ранжируются по
степени вероятного ущерба в случае их
проявления;

шаг
4 — разрабатывается
план реализации соответствующих
мероприятий по локализации каждой из
угроз с оценкой потребности в ресурсах,
а значит, и предполагаемых затрат;

шаг
5 —
исходя из сопоставления наличных
ресурсов и предполагаемых затрат на
реализацию функций и задач комплексной
системы защиты по каждой из выявленных
угроз, формируется служба безопасности;

шаг
6 —в
зависимости от изменения характера
вновь возникающих угроз и ресурсных
возможностей предприятия, на основе
постоянного анализа всех этих составляющих
корректируются структура и задачи
службы безопасности Таким образом,
можно обобщить, что предложенная
концептуальная организация управления
системой безопасности, имеющая ярко
выраженную вертикаль подчиненности и
взаимной ответственности, исходит из
практического опыта в сфере защиты
государственной и коммерческой тайны.
Выбор такой концепции предопределен
высоким уровнем издержек — экономических
потерь, которые вынуждено понести
предприятие в случаях реализации угроз
его безопасности, а также взаимообусловленностью
проблем безопасности предприятия,
безопасности личности, общества и
государства. Универсальный алгоритм
построения системы безопасности

Руководитель
предприятия, определяя характер службы
безопасности, должен исходить из
особенностей сферы и масштабов
деятельности предприятия, объектов,
подлежащих защите, учитывать возможности
материально-технического и финансового
обеспечения мероприятий по обеспечению
безопасности.

Все
подразделения службы безопасности в
полном объеме создаются лишь крупнейшими
экономическими субъектами. Небольшие
предприятия ограничиваются группами
внутренней безопасности, состоящими
из охранников и персонала, занимающегося
настройкой и ремонтом технических
средств обеспечения безопасности. В
некоторых случаях создавать службу
безопасности на предприятии не следует.
В таком случае для обеспечения безопасности
от криминальной конкуренции можно
использовать технические средства. На
основной персонал предприятия при этом
возлагаются соответствующие дополнительные
функции. К проектированию системы
обеспечения безопасности — опирающейся
в основном на технические средства,
целесообразно привлечь специализированные
консультативные фирмы.

1. Основные принципы
   деятельности СБ:

законность,
соблюдение прав и свобод человека и
гражданина, уважение личной, семейной
тайны (сбор сведений в отношении
сотрудника, кандидата на работу
осуществляется только с его письменного
согласия; автоматизированные информационные
системы создаются и используются с
соблюдением требований законодательных
актов относительно персональных данных);

приоритет
предупредительных мероприятий;

профессионализм
(использование собственных специалистов
или обращение за помощью к специализированным
государственным или частным организациям);

взаимодействие
с государственными правоохранительными
органами и службами безопасности других
фирм;

системный
подход, который предполагает, в частности,
учет всех факторов, оказывающих влияние
на безопасность предприятия, полный
охват защитными мероприятиями всех
объектов в соответствии с их значимостью,
использование не только режимных мер
и административных методов, но и
экономических рычагов и стимулов,
циркулярного информирования, других
способов воздействия;

использование
доступных зарубежных средств и систем
безопасности;

активность,
опережающий по сравнению с имеющими
место посягательствами поиск новых
способов и возможностей обеспечения
безопасности;

сочетание
единоначалия и коллегиальности в
руководстве;

подотчетность
и подконтрольность лично руководителю
предприятия, поскольку он знает в деталях
приоритеты в управлении, имеет возможность
оперативно принимать решения и эффективно
их реализовывать; сочетание гласных и
негласных форм деятельности, так как
применение предприятиями-конкурентами,
службами промышленного шпионажа,
организованной преступностью негласных
форм деятельности обусловливает
необходимость аналогичных форм
противодействия; рациональное
использование сил и средств; плановая
основа деятельности; повышение
квалификации сотрудников СБ. Цель
создания СБ — обеспечение
для предприятия условий защищенности
от криминальной конкуренции — деятельности
социальных организаций или физических
лиц, направленной на получение
односторонних преимуществ в бизнесе и
основанной а нарушениях законодательства,
деловой этики, наносящей экономический
или иной ущерб цивилизованному бизнесу.

3.1Основные
задачи СБ на
предприятии:

1)
распознавание угроз его безопасности;
2) предотвращение возможного ущерба от
криминальной конкуренции; 3) противодействие
физическим лицам и социальным организациям,
использующим методы криминальной
конкуренции; 4) минимизация последствий
от конкретных фактов криминальной
конкуренции; 5) противодействие
физическому, техническому несанкционированному
проникновению на служебные объекты; 6)
информационное обеспечение деятельности
по вопросам безопасности; 7) взаимодействие
и координация службы безопасности с
государственными правоохранительными
органами; обеспечение физической
безопасности руководителей и сотрудников
предприятия; 9) обеспечение безопасности
коллектива от проникновения лиц с
криминальным прошлым, от разрушения
благоприятного психологического
климата; 10) исключение несанкционированного
доступа к информации, составляющей
коммерческую тайну; 11) обеспечение
сохранности материальных ценностей и
финансовых средств предприятия; 12)
предотвращение возможного ущерба имиджу
предприятия; 13) противодействие возможным
попыткам со стороны конкурентов получить
соответствующие рычаги управления
предприятием (бизнесом).

Выводы.

Служба
безопасности (СБ)
на предприятии — подразделение
предприятия, специально созданное для
обеспечения безопасности его законных
прав и интересов от криминальной
конкуренции со стороны социальных
организаций и физических лиц.

Службы
безопасности
— неотъемлемая часть хозяйственной и
иной предпринимательской деятельности
в странах с развитой рыночной экономикой.
Затраты зарубежных фирм только на охрану
коммерческой тайны достигают 25 % всех
расходов на производство. В Западной
Европе ассигнования на мероприятия,
связанные с обеспечением безопасности,
составляют от 15 до 20% стоимости охраняемых
ценностей, в Украине — не более 1 %.