Система корпоративной безопасности Информационная безопасность и конфиденциальность Ценность информации
Система корпоративной безопасность предприятия — это состояние его защищенности от негативного влияния внешних и внутренних угроз, дестабилизирующих факторов, при котором обеспечивается устойчивая реализация основных коммерческих интересов и целей уставной деятельности. Количественный и качественный анализ перечисленных угроз позволяет сделать вывод о том, что надежная защита экономики любой компании возможна только при комплексном и системном подходе к ее организации Системой корпоративной безопасности предприятия (СКБ) является комплекс организационно-управленческих, режимных, технических, профилактических и пропагандистских мер, направленных на качественную реализацию защиты интересов предприятия от внешних и внутренних угроз.
Задачи СКБ : защита законных прав и интересов предприятия и его сотрудников; изучение партнеров, клиентов, конкурентов, кандидатов на работу в компании; недопущение проникновения на предприятие структур экономической разведки конкурентов, организованной преступности и отдельных лиц с противоправными намерениями; противодействие техническому проникновению в преступных целях; обеспечение сохранности материальных ценностей и сведений, составляющих коммерческую тайну предприятия; добывание необходимой информации для выработки наиболее оптимальных управленческих решений по вопросам стратегии и тактики экономической деятельности компании; физическая и техническая охрана зданий, сооружений, территории и транспортных средств; возмещение материального и морального ущерба, нанесенного в результате неправомерных действий организаций и отдельных лиц; контроль за эффективностью функционирования системы безопасности, совершенствование ее элементов.
К основным элементам СКБ предприятия относятся: 1. защита коммерческой тайны и конфиденциальной информации; 2. компьютерная безопасность; 3. внутренняя безопасность; 4. безопасность зданий и сооружений; 5. физическая безопасность; 6. техническая безопасность; 7. безопасность связи; 8. безопасность хозяйственно-договорной деятельности; 9. безопасность перевозок грузов и лиц; 10. безопасность рекламных, культурных, массовых мероприятий, деловых встреч и переговоров; 11. противопожарная безопасность; 12. экологическая безопасность; 13. радиационно-химическая безопасность; 14. конкурентная разведка; 15. информационно-аналитическая работа; 16. пропагандистское обеспечение, социально-психологическая, предупредительно-профилактическая работа среди персонала и его обучение по вопросам экономической безопасности; 17. экспертная проверка механизма системы безопасности.
Алгоритм построения 1. Изучение специфики бизнеса предприятия, занимаемого им сегмента на рынке, штатного расписания, знакомство с персоналом компании. 2. Анализ внешних и внутренних угроз экономике предприятия. Получение информации о возможно имевших место ранее кризисных ситуациях, их причинах и результатах разрешения. 3. Проведение аудита имеющихся (ранее введенных) мер по обеспечению безопасности и анализ их соответствия выявленным угрозам. 4. Моделирование новой системы корпоративной безопасности предприятия: - план устранения выявленных в процессе аудита замечаний; - предложения по совершенствованию СКБ, расчет всех видов необходимых дополнительных ресурсов; - планируемые ежемесячные затраты (бюджет) на обеспечение функционирования СКБ. 5. Утверждение руководителем предприятия модели новой СКБ и бюджета на ее поддержание. 6. Непосредственное построение СКБ предприятия. 7. Экспертная оценка действенности построенной СКБ, доводка ее до совершенства.
Основные составляющие информационной безопасности. Информационная безопасность означает защиту информации и информационных систем от несанкционированного доступа, использования и раскрытия информации, нарушения, изменения, прочтения, проверки, записи или уничтожения. Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации.
Свойства информационной безопасности Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц. Целостность: неизменность информации в процессе ее передачи или хранения. Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.
Конфиденциальная информация – это информация, на доступ к которой имеет право ограниченный круг лиц. Если же доступ к конфиденциальной информации получает лицо, не имеющее такого права, то такой доступ называется несанкционированным и рассматривается как нарушение защиты конфиденциальной информации. Лицо, получившее или пытающееся получить несанкционированный доступ к конфиденциальной информации, называется злоумышленником.
Конфиденциальную информацию можно разделить на: Предметная информация представляет собой сведения о какой-то области реального мира, которые, собственно, и нужны злоумышленнику, например, чертежи подводной лодки. Служебная информация не относится к конкретной предметной области, а связана с параметрами работы определенной системы обработки данных. К служебной информации относятся в первую очередь пароли пользователей для работы в системе. Получив служебную информацию (пароль), злоумышленник с ее помощью может затем получить доступ к предметной конфиденциальной информации
ЦЕННОСТЬ ИНФОРМАЦИИ Для организации защиты информации, необходимы средства и усилия, в связи с этим необходимо соотносить ценность защищаемой информации и потери на организацию её защиты. Для решения этой задачи, вводятся дополнительные понятия — модели ценности информации. Выделяют следующие модели определения ценности информации: аддитивная модель, анализ риска, порядковая шкала, решётка подмножеств.
Аддитивная модель Модель, определения ценности базируется на экспертных оценках компонент информации, и при объективности денежных оценок её компонент, подсчитывается искомая величина — их сумма в денежном эквиваленте. Основная проблема заключается в том, что количественная оценка компонент информации часто оценивается необъективно, даже при её оценке высококвалифицированными специалистами — причина заключается в неоднородности компонент информации в целом. Для решения этой проблемы принято использовать иерархическую относительную шкалу, которая представляет собой линейный порядок, с помощью которого сравниваются отдельные компоненты защищаемой информации по ценности одна относительно другой. Случай единой шкалы равносилен тому, что все компоненты, имеющие равную порядковую оценку, равноценны одна относительно другой.
Анализ риска Оценка возможных потерь основывается на уже известных стоимостей компонент информации, исходя из прогнозирования возможных угроз компонентам информации. Возможность каждой угрозы оценивается с помощью вероятностных оценок соответствующих событий: подсчитывается сумма математических ожиданий потерь для каждой из компонент по распределению возможных угроз.
Порядковая шкала Существуют случаи, когда не имеется необходимости или возможности установки соответствия ценности информации в денежных единицах (например, информация личного характера, военная или политическая информация, оценка которой в денежном эквиваленте может быть неразумной), но при этом может иметь смысл сравнительная оценка отдельных информационных компонент одной компоненты относительно другой. В качестве примера можно рассмотреть ситуацию в государственных структурах, где информация разбивается по грифам секретности. В свою очередь, грифы секретности представляют собой порядковые шкалы ценностей, например: несекретно, для служебного пользования, секретно, совершенно секретно, особой важности (НС, ДСП, С, СС, ОВ); по американской системе: unclassified, confidential, secret, top secret (U, Conf, S, TS). Чем выше класс грифа, тем большую ценность имеет защищаемая информация, в связи с чем по отношению к ней применяются более высокие требования по её защите от несанкционированного доступа.
Модель решётки ценностей — это обобщение порядковой шкалы.
СПАСИБО ЗА ВНИМАНИЕ
Скачать презентацию Система корпоративной безопасности Информационная безопасность и конфиденциальность Ценность
Кравцова.pptx