Вступ
Наш союзник Bikinika
Керівники компаній повинні усвідомити важливість інформаційної безпеки, навчитися прогнозувати тенденції в цій області і управляти ними.
Сьогоднішній бізнес не може існувати без інформаційних технологій. Відомо, що близько 70% світового сукупного національного продукту залежать тим чи іншим чином від інформації, що зберігається в інформаційних системах. Повсюдне впровадження комп'ютерів створило не тільки певні зручності, але і проблеми, найбільш серйозною з яких є проблема інформаційної безпеки.
Поряд з елементами управління для комп'ютерів і комп'ютерних мереж стандарт приділяє велику увагу питанням розробки політики безпеки, роботі з персоналом (прийом на роботу, навчання, звільнення з роботи), забезпечення безперервності виробничого процесу, юридичним вимогам.
Безсумнівно, дана тема курсової роботи дуже актуальна в сучасних умовах.
Об'єкт курсової роботи: інформаційна безпека професійної діяльності організації.
Предмет дослідження: забезпечення інформаційної безпеки.
В роботі планується створити проект управлінського рішення по організації інформаційної безпеки на базі реально існуючої організації.
Глава 1. Інформаційна безпека професійної діяльності
Забезпечення інформаційної безпеки є порівняно новою сферою професійної діяльності фахівців. Основними цілями такої діяльності є:
-забезпечення захищеності від зовнішніх і внутрішніх загроз в сфері формування, поширення і використання інформаційних ресурсів;
-запобігання порушень прав громадян та організацій на збереження конфіденційності та секретності інформації;
-забезпечення умов, що перешкоджають навмисного спотворення або приховування інформації за відсутності для цього законних підстав.
Замовниками фахівців в даній області є:
-федеральні органи державної влади і управління РФ;
-органи державної влади суб'єктів РФ;
-Державні установи, організації та підприємства;
-оборонна промисловість;
-органи місцевого самоврядування;
-учрежденія, організації та підприємства недержавної формивласності.
Поява у вільному, хоча і нелегальний продаж бази даних клієнтів компанії стільникового зв'язку МТС знову і знову змушує звертатися до проблеми комп'ютерної безпеки. Схоже, ця тема невичерпна. Її актуальність тем більше, чим вище рівень комп'ютеризації комерційних фірм і некомерційних організацій. Високі технології, граючи революційну роль у розвитку бізнесу і практично всіх інших сторін сучасного суспільства, роблять їх користувачів дуже уразливими з точки зору інформаційної, а в кінцевому рахунку економічної безпеки.
Це проблема не тільки Росії, але більшості країн світу, в першу чергу західних, хоча там і діють закони, що обмежують доступ до персональної інформації і пред'являють жорсткі вимоги до її зберігання. На ринках пропонують різні системи захисту комп'ютерних мереж. Але як захиститися від власної "п'ятої колони" - недобросовісних, нелояльних, або просто безладних співробітників, що мають доступ до закритої інформації? Скандальна витік клієнтської бази даних МТС не могла, мабуть, відбутися без змови, або злочинної недбалості службовців компанії.
Таке враження, що багато, якщо не більшість підприємців просто не усвідомлюють всю серйозність проблеми. Навіть в країнах розвиненої ринкової економіки, згідно з деякими дослідженнями, 80% компаній не мають продуманої, спланованої системи захисту сховищ, операційних баз даних. Що ж говорити про нас, звиклих покладатися на знамените "авось".
Тому не марно звернутися до теми небезпек, якими загрожують витоку конфіденційної інформації, поговорити про заходи щодо зниження таких ризиків. У цьому нам допоможе публікація в "Legal Times" (October 21, 2002) - виданні, присвяченому правових питань (Марк М. Мартін, Еван Вагнер, "Вразливість і захист інформації"). Автори перераховують найбільш типові види і способи інформаційних загроз. Які саме?
- Розсекречення і крадіжка комерційної таємниці. Тут все більш-менш зрозуміло. Класичний, який іде в древню історію, економічне шпигунство. Якщо раніше секрети зберігалися в потаємних місцях, в масивних сейфах, під надійним фізичної і (пізніше) електронним захистом, то сьогодні багато службовці мають доступ до офісних баз даних, нерідко містить вельми чутливу інформацію, наприклад, ті ж дані про клієнтів.
- Поширення компрометуючих матеріалів. Тут автори мають на увазі навмисне чи випадкове використання співробітниками в електронному листуванні таких відомостей, які кидають тінь на репутацію фірми. Наприклад, назва компанії відображено в домені кореспондента, допускає в своїх листах дифамацію, образи, коротше все, що може скомпрометувати організацію.
- Посягання на інтелектуальну власність. Важливо не забувати, що будь-який інтелектуальний продукт, вироблений в організації, належить організації і не може використовуватися співробітниками (в тому числі генераторами і авторами інтелектуальних цінностей) інакше як в інтересах організації. Тим часом, в Росії з цього приводу часто виникають конфлікти між організаціями та представниками, які претендують на створений ними інтелектуальний продукт і використовують його в особистих інтересах, на шкоду організації. Це нерідко відбувається через розпливчастою правової ситуації на підприємстві, коли в трудовому контракті немає чітко прописаних норм і правил, які окреслюють права та обов'язки службовців.
- Поширення (часто ненавмисне) внутрішньої інформації, що не секретної, але що може бути корисною для конкурентів. Наприклад, про нові вакансії в зв'язку з розширенням бізнесу, про відрядження і переговорах.
- Відвідини сайтів конкурентів. Зараз все більше компаній використовують на своїх відкритих сайтах програми (зокрема, призначені для CRM), які дозволяють розпізнавати відвідувачів і детально відстежувати їх маршрути, фіксувати час, тривалість перегляду ними сторінок сайту. Зрозуміло, що якщо ваш візит на сайт конкурента в подробицях відомий його оператору, то останньому не важко зробити висновок, що саме вас цікавить. Це не заклик відмовитися від найважливішого каналу конкурентної інформації. Сайти конкурентів були і залишаються цінним джерелом для аналізу і прогнозу. Але, відвідуючи сайти, треба пам'ятати, що ви залишаєте сліди і за вами теж спостерігають.
- Зловживання офісними комунікаціями в особистих цілях (прослуховування, перегляд музичного та іншого контенту, який не має відношення до роботи, завантаження офісного комп'ютера) не несе прямої загрози для інформаційної безпеки, але створює додаткові навантаження на корпоративну мережу, знижує ефективність, заважає роботі колег.
- І, нарешті, зовнішні загрози - несанкціоновані вторгнення і т.п. Це тема окремої серйозної розмови.
Як захиститися від внутрішніх загроз? 100% гарантії від збитків, які можуть завдати власні працівники, просто не існує. Це людський фактор, який не піддається повному і безумовному контролю. Разом з тим, згадані вище автори дають корисну пораду - розробляти і впроваджувати всередині компанії чітко сформульовану комунікаційну (або інформаційну) політику. Така політика повинна провести чітку межу між дозволеним і недозволеним у використанні офісних комунікацій. Перехід кордону веде до покарання. Повинні бути система моніторингу, хто і як використовує комп'ютерні мережі. Правила, прийняті в компанії, повинні відповідати як національному, так і міжнародно-визнаним нормам захисту державних і комерційних таємниць, персональної, приватної інформації.
Глава 2. Забезпечення інформаційної безпеки
професійної діяльності в ТОВ «Ласпі»
2.1. Коротка характеристика ТОВ «Ласпі»
ТОВ «Ласпі» було створено в 1995 році як представництво чеської компанії в Росії. Фірма займається постачанням чеського обладнання та витратних матеріалів для виробництва різних бетонних виробів (починаючи з тротуарної плитки і закінчуючи парканами, вазонами і т.п.). Устаткування відрізняється високою якістю і прийнятною вартістю. Замовниками, що звертаються в Самарський офіс, є організації з різних міст Росії та СНД (Казань, Уфа, Іжевськ, Москва, Нижній Новгород і т.д.). Природно, така широкомасштабна діяльність вимагає особливого ставлення до інформаційної безпеки всередині фірми.
На сьогоднішній день інформаційна безпека залишає бажати кращого. Різна документація (технічна, економічна) знаходиться у відкритому доступі, що дозволяє практично будь-якого співробітника фірми (починаючи з засновника і закінчуючи водієм) безперешкодно з нею ознайомитися.
Особливо важлива документація зберігається в сейфі. Ключі від сейфа є тільки у директора і у його секретаря. Але тут істотну роль грає так званий людський фактор. Нерідко ключі забуваються в кабінеті на столі і сейф може бути розкритий навіть прибиральницею.
Економічна документація (звіти, накладні, рахунки, рахунки-фактури тощо) розкладені по папках і полкам в шафі, яка не замикається.
Співробітники не підписують при влаштуванні на роботу ніяких угод про нерозголошення відомостей, які відносяться до комерційної таємниці, що не забороняє їм поширювати подібну інформацію.
Набір співробітників здійснюється за допомогою співбесіди, що складається з двох етапів: 1. спілкування з безпосереднім начальником (на якому виявляються вміння та здібності потенційного працівника) 2. спілкування з засновником (носить більш особистісний характер і висновком подібного діалогу може бути або «спрацьовуватимемо», або « не спрацювала »).
Все це вимагає більш пильної уваги з боку керівництва і грамотної програми по забезпеченню інформаційної безпеки фірми, тому що сьогодні у ТОВ «Ласпі» з'явилося досить багато конкурентів, які навряд чи упустять можливість скористатися, наприклад, клієнтською базою або базою постачальників фірми.
2.2. Проект управлінського рішення щодо забезпечення інформаційної безпеки професійної діяльності ТОВ «Ласпі».
Важливе місце в системі організаційних, адміністративних, правових та інших заходів, що дозволяють якісно вирішувати завдання інформаційного забезпечення науково-виробничої і комерційної діяльності, фізичного збереження матеріальних носіїв закритих відомостей, запобігання їх витоку, збереження комерційної таємниці займає дозвільна система доступу виконавців до класифікованих документів і відомостей .
З урахуванням Закону Української РСР "Про підприємства і підприємницької діяльності" керівник підприємства (фірми) незалежно від форм власності може встановлювати спеціальні правила доступу до відомостей, що залишає комерційну таємницю, і її носіїв, тим самим забезпечуючи їх збереження.
В системі заходів безпеки істотне значення має оптимальний розподіл виробничих, комерційних і фінансово-кредитних відомостей, що залишають таємницю підприємства, між конкретними виконавцями відповідних робіт і документів. При розподілі інформації, з одного боку, необхідно забезпечити надання конкретному співробітнику для якісного і своєчасного виконання доручених йому робіт повного обсягу даних, а з іншого боку, виключити ознайомлення виконавця з зайвими, не потрібними йому для роботи класифікованими відомостями.
З метою забезпечення правомірного та обгрунтованого доступу виконавця до відомостей, що становлять комерційну таємницю фірми, рекомендується розробляти і впроваджувати на підприємствах відповідну дозвільну систему.
Під доступом розуміється отримання письмового дозволу керівника фірми (або, з його санкції, інших керівних осіб) на видачу тому чи іншому співробітнику конкретних (або в повному обсязі) закритих відомостей з урахуванням його службових обов'язків (посадових повноважень).
Оформлення доступу до КТ може проводитися відповідно до затвердженого директором Положенням про дозвільну систему доступу, де юридично закріплюються повноваження посадових осіб підприємства за розподілом інформації і користуванні нею. Керівник організації може дозволити користування будь охороняється інформацією будь-якого працівника даного підприємства або особі, яка прибула на об'єкт з іншої організації для вирішення будь-яких питань, якщо стосовно цих відомостей не встановлено обмежень на ознайомлення з боку виробничо-комерційних партнерів по спільному виробництву і т. п. Так, в ТОВ «Ласпі» рекомендується обмежити доступ до інформації, що є комерційною таємницею (договори з постачальниками і клієнтами, підсумкові звіти про угоди), наступними співробітниками:
Але як захиститися від власної "п'ятої колони" - недобросовісних, нелояльних, або просто безладних співробітників, що мають доступ до закритої інформації?
Які саме?
Як захиститися від внутрішніх загроз?