Информационная безопасность бизнеса

Нормативные значения показателей находятся в соответствующей таблице Методики.Таблица Определение уровня комплексного риска экономической безопасности АО «Атомэнергосбыт»Период исследованияСокращение группыНазвание группыКоличество коэффициентов в группеЗначение2017N1Очень низкий20,286N2Низкий10,143N3Средний20,286N4Высокий00N5Очень высокий20,286F0,4712018N1Очень низкий30,429N2Низкий20,286N3Средний00N4Высокий00N5Очень высокий20,286F0,382Таким образом, результат анализа показывает, что на конец периода исследования предприятие относится к группе «Неблагополучные», а степень оценочной уверенности составляет 68%. Такая оценка уровня экономического риска предприятия указывает, что внутренняя финансовая среда АО «Атомэнергосбыт» является несбалансированной, поэтому существует высокая вероятность экономической устойчивости. Также это говорит о низком уровне финансовой гибкости, ведь в случае необходимости покрыть кассовый разрыв предприятие не сможет быстро привлечь дополнительное банковское финансирование. Кроме этого, низкий уровень устойчивости экономической системы предприятия негативно влияет на стоимость фирмы, так как уровень риска более высокий.Факторы и условия развития информационной безопасности на предприятииПроизведем оценку системы информационной безопасности предприятия и ее рисков.Таблица Информационная система и ее активыВид деятельностиНаименование активаФорма представленияВладелец активаКритерии определения стоимостиРазмерность оценкиРангНаибольшая ценностьКачественнаяКоммерческоенаправлениеОтчеты о деятельность подразделенийЭлектроннаяКоммерческий департаментЗатраты от потери коммерческой информацииочень высокая3+Все виды деятельностиСервер БДЭлектроннаяИсполнительный департамент ИТЗатраты от потери информации в электронной почте, на мобильных устройствах, ПКочень высокая2+ОсновнаядеятельностьСервер БДБумажный и электронный документИсполнительный департамент СекретариатПервоначальная стоимостьочень высокая1+Работа с трудовыми ресурсамиДоговора, контрактыБумажный и электронный документКадровый департаментПервоначальная стоимостьвысокая5Общее руководство администрацией и оперативно-хозяйственной деятельностью предприятияПриказы, распоряженияБумажный и электронный документ, работа с программным обеспечениемГенеральный директор, СекретариатПервоначальная стоимостьвысокая6Бухгалтерской направлениеБаза данных бухгалтерииПО (техническое ПО собственная разработкаДепартамент бухучета и ценообразованияПервоначальная стоимостьОчень высокая4+В таблице далее представлено сопоставление физических угроз и уязвимости активов.Таблица Сопоставление физических угроз и уязвимостей информационной системыУгрозы информационной системеУязвимости информационной системы1). Физический доступ нарушителя к АРМ1). Отсутствие системы контроля доступа сотрудников к чужим АРМ2). Отсутствие системы видеонаблюдения в организации3). Несогласованность в системе охраны периметра2). Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника организации1). Отсутствия соглашения о неразглашении между работником и работодателем2). Нечеткая регламентация ответственности сотрудников организации2. Угрозы серверов2. Уязвимости1). Физический неавторизованный доступ нарушителя в серверную комнату1). Неорганизованный контрольно-пропускной режим в организации2). Отсутствие видеонаблюдения в серверной комнате3). Отсутствие охранной сигнализации2). Разглашение конфиденциальной информации1). Отсутствие соглашения о нераспространении конфиденциальной информации2). Нечеткая регламентация ответственности сотрудников организации3. Угрозы конфиденциальности3. Уязвимости1). Физический доступ нарушителя к носителям с конфиденциальной информации1). Неорганизованность контрольно-пропускного пункта2). Отсутствие системы видеонаблюдения в организации3). Отсутствие системы охранной сигнализации2). Разглашение конфиденциальной информации, в документах, вынос носителей за пределы контролируемой зоны1). Отсутствие соглашения о неразглашении конфиденциальной информации2). Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации3).Несанкционированное копирование, печать и размножение носителей конфиденциальной информации1).Нечеткая организация конфиденциального документооборота в организации2). Неконтролируемый доступ сотрудников к копировальной и множительной технике4. Угрозы сетевых устройств и коммутационного оборудования4. Уязвимости сетевых устройств и коммутационного оборудования1). Физический доступ к сетевому устройству1). Неорганизованный контрольно-пропускной режим в организации2). Отсутствие системы видеонаблюдения в организации3). Несогласованность в системе охраны периметра4). Нечеткая регламентация ответственности сотрудников предприятия2). Разрушение (повреждение, утрата) сетевых устройств и коммутационного оборудования1). Отсутствие ограничения доступа к сетевым устройствам и коммутационному оборудованию, внутренней сети предприятия2). Нечеткая регламентация ответственности сотрудников предприятияВ таблице далее представлены результаты оценки уязвимости активов.Таблица Результаты оценки уязвимости информационных активов Группа уязвимостейСодержание уязвимостиОтчеты о деятельность подразделений, ПОСервер БД, ПО, инфраструктура доступаБаза данных бухгалтерии, ПОКоммерчески сервер и БД, ПО1. Среда и инфраструктураОтсутствие системы контроля доступа сотрудников к чужим АРМнизкаясредняянизкаясредняяНесогласованность в системе охраны периметрасредняясредняясредняясредняяНечеткая регламентация ответственности сотрудников организациисредняясредняявысокаявысокая2. Аппаратное обеспечениеНечеткая регламентация ответственности сотрудников организациисредняясредняясредняясредняя3. Программное обеспечениеНечеткое распределение ответственности задокументы (носители конфиденциальной информации) между сотрудниками организации.средняянизкаясредняянизкаяНечеткая организация конфиденциального документооборота в организации.средняянизкаясредняянизкаяНеконтролируемый доступ сотрудников к копировальной и множительной техникесредняянизкаясредняянизкаяЕсть возможность передачи токенов доступа к ПК другому сотруднику, либо их кражавысокаявысокаявысокаявысокая4. КоммуникацииНесогласованность в системе охраны периметра.высокаясредняявысокаясредняяНечеткая регламентация ответственности сотрудников предприятия.средняявысокаясредняявысокаяОтсутствие ограничения доступа к сетевым устройствам и коммутационному оборудованию, внутренней сети предприятия посредствам многоступенчатой аутентификации, только личными ключами-токенамивысокаясредняявысокаясредняяТаким образом, наиболее важными угрозами здесь становится:- нечеткая регламентация ответственности сотрудников организации;- возможность передачи токенов доступа к ПК другому сотруднику, либо их кража;- несогласованность в системе охраны периметра;- отсутствие ограничения доступа к сетевым устройствам и коммутационному оборудованию, внутренней сети предприятия посредствам многоступенчатой аутентификации, только личными ключами-токенами.Произведем опрос и выясним наиболее уязвимое место.Таблица Опросный лист тяжести риска для предприятияГруппа рискаОценка экспертовСредняя оценкаРейтинг1-ый2-ой3-ийотсутствие ограничения доступа к сетевым устройствам и коммутационному оборудованию, внутренней сети предприятия посредствам многоступенчатой аутентификации, только личными ключами-токенамиВероятность наступления, %4050500,471,40Тяжесть последствий (баллы)3333,00несогласованность в системе охраны периметраВероятность наступления, %4030400,370,73Тяжесть последствий (баллы)2222,00возможность передачи токенов доступа к ПК другому сотруднику, либо их кражаВероятность наступления, %4060500,502,33Тяжесть последствий (баллы)4554,67Общий экономический рискВероятность наступления, %4050400,431,16Тяжесть последствий (баллы)3322,67нечеткая регламентация ответственности сотрудников организацииВероятность наступления, %3020300,270,44Тяжесть последствий (баллы)2121,67Внесем вероятности возникновения ситуации в проблемное поле формированной системы информационной безопасности.Рисунок - Проблемное поле информационной безопасности организацииТаким образом, наиболее существенным является риск «возможность передачи токенов доступа к ПК другому сотруднику, либо их кража». Необходимо выявление возможных путей улучшения сложившейся ситуации.Пути совершенствования информационной безопасности и развития предприятияВозможным вариантом решения проблемы в сложившейся ситуации может стать строгая аутентификация пользователей с применением биометрии.JaCarta PKI/BIO — USB-токен/смарт-карта для строгой двух- и трёхфакторной аутентификации пользователей при доступе к защищённым информационным ресурсам предприятия, безопасного хранения ключей, ключевых контейнеров программных СКЗИ. Работа с PKI в продуктах мировых вендоров обеспечивается штатными средствами.Биометрическая идентификация владельца карты (токена) по отпечаткам пальцев (Match-On-Card), может использоваться в дополнение к PIN-коду или вместо него.Хранение ключевых контейнеров практически для всех программных СКЗИ (КриптоПро CSP, VipNet CSP и др.). Такая система защиты сертифицирована ФСТЭК России. Все это поможет избежать краж или несанкционированной передачи другому сотруднику, утери.JaCarta BIO выполнена на базе модели JaCarta PKI с дополнительной опцией поддержки биометрии. Рекомендуется использовать в проектах, где необходимо кардинально снизить риски получения несанкционированного доступа к критически важной информации, не допустить использования карт в отсутствии их владельцев (неотчуждаемость носителя), снизить время аутентификации, упростить жизнь руководству и ТОП-менеджерам, избавив их от ввода сложных паролей и периодической их смены. Основным (рекомендуемым) форм-фактором JaCarta PKI/BIO является смарт-карта. USB-токены также могут работать с биометрией, однако понадобится предварительное тестирование используемых сканеров (например, встроенных в ноутбуки или в клавиатуры) на предмет совместимости.Для работы с биометрией рекомендуется использовать смарт-карт ридеры со встроенным сканером отпечатков пальцев ASEDriveIIIeBioCombo или ASEDriveIIIeBioComboSwipe. Для работы с биометрией также могут использовать другие современные полупроводниковые сканеры (не оптические!), встроенные в карт-ридеры, в клавиатуры с карт-ридером – необходимо предварительное тестирование. Полная стоимость адаптации такого программного обеспечения составляет порядка 1 млн.руб. Сама карта составляет по цене 5 тыс. руб. за единицу, токен 7,5 тыс. руб. При этом риск возникновения такой ситуации нивелируется практически до нуля с 50% вероятности.Таблица Затраты на внедрение ПО, подготовку и обслуживаниеЗатраты на внедрение ПО, подготовку и обслуживаниеед.изм.JaCarta PKI/BIO (смарт-карта)ASEDriveIIIe Bio Combo Swipe (USB_токен)Количество сотрудников    старший программистшт.ед. 1,00 1,00 программистшт.ед. 1,00 1,00 Зарплата в день, руб.   старший программиструб. 2 200,00 2 600,00 программиструб. 1 000,00 1 200,00 Временные затраты, в днях   старший программистдн. 133,00 150,00 программистдн. 150,00 101,00 Всего на проектирование (работа сотрудников)  442 600,00 511 200,00 Программные средства разработки   количествоед. 2,00 2,00 стоимостьруб. 50 000,00 45 000,00 Всего на программные средства разработкируб. 100 000,00 90 000,00 Прочие затраты, в % от общей зарплаты программистов% 115,00 100,00 всего прочие затратыруб. 508 990,00 511 200,00 Всего затрат на проектирование и использование ИСруб. 1 051 590,00 1 112 400,00 Сведем все затраты воедино и добавим к ним единовременные.Таблица Определение уровня расходования ресурсовПоказатель приобретенияед.изм.JaCarta PKI/BIO (смарт-карта)ASEDriveIIIe Bio Combo Swipe (USB_токен)затраты на проектирование и внедрение ПОруб.1 051 590,001 112 400,00затраты на технические средства управленияруб.15 500,0017 500,00затраты на создание линий связи локальных сетейруб.12 500,0015 000,00затраты на программные средстваруб.23 000,0020 000,00затраты на формирование информационной базыруб.13 000,0010 000,00затраты на обучение персоналаруб.9 000,0012 000,00затраты на опытную эксплуатациюруб.20 000,0015 000,00Всего1 144 590,001 201 900,00Оплата носителей (2131 чел.)руб.1065500015982500Рисунок – Общее составляющее затрат на внедрение и оптимизацию системы информационной безопасностиТаким образом, внедрение смарт-карт даст возможность снижения рисков неэффективности информационной системы предприятия до нулевой отметки.ЗаключениеКорпоративная архитектура информационной безопасности (EISA) - это практика применения комплексного и строгого метода для описания текущей и / или будущей структуры и поведения для процессов безопасности организации, систем информационной безопасности, персонала и организационных подразделений, чтобы они соответствовали основные цели организации и стратегическое направление. Хотя это часто связано строго с технологией информационной безопасности, в более широком смысле оно относится к практике обеспечения безопасности при оптимизации бизнеса, поскольку оно также касается архитектуры безопасности бизнеса, управления производительностью и архитектуры процессов безопасности.Система информационной безопасности становится обычной практикой во многих учреждениях по всему миру. Основной целью создания системы информационной безопасности предприятия является обеспечение согласованности бизнес-стратегии и безопасности ИТ. Таким образом, система информационной безопасности предприятия обеспечивает возможность отслеживания эффективности от бизнес-стратегии до базовой технологии.С развитием информационных технологий все больше систем, программного обеспечения и технологий способны прорвать контроль над устройствами управления информационной безопасностью. Учитывая это, серьезной проблемой для системных администраторов является эффективное управление информационным оборудованием и обеспечение безопасности всех информационных активов на предприятии. В этом исследовании предлагается новая компонента модели управления информационной безопасностью предприятия, основанная на биометрически-зависимой технологии контроля доступа на основе ролей и мониторинга связи. В соответствии с определенной политикой информационной безопасности и реализацией этой политики с использованием технологий мониторинга, предприятия смогут эффективно осуществлять управление информационной безопасностью.Планирование системы демонстрирует эффективность простого определения необходимых элементов управления на основе ролей. Основной вклад этой работы заключается в ее способности снизить количество инцидентов информационной безопасности, таких как внутренняя утечка информации, и достичь эффективного контроля над расходами информационных систем. Кроме того, учитывая, что разные организации имеют разные политики информационной безопасности, объективное определение полной политики информационной безопасности позволяет реализовать предложенную модель на различных предприятиях. Будущие исследования могут принять во внимание больше технологий мониторинга информации.Список использованных источниковБезопасность и качество в сфере информационно-коммуникационных технологий (ИКТ) : сборник материалов XXIX конгресса, Москва, 25-26 апреля 2016 г. / [отв. ред. Тимохина О. В.]. - Москва :Интерэкомс, 2016. - 202 с.Бизнес-безопасность-телекоммуникации : терминологический словарь / под ред. А. В. Петракова ; авт.-сост. А. В. Косариков, А. В. Петраков. - Изд. 7-е, доп. - Москва :РадиоСофт, 2017. - 568 с.Бугорский, В.Н. Экономика защиты информации : учебное пособие / В. Н. Бугорский, Е. В. Стельмашонок, О. Д. Мердина ; С.-Петерб. гос. экон. ун-т, каф. вычисл. систем и программирования. - Санкт-Петербург : Издательство СПбГЭУ, 2015. - 120 с.Васильев, Ю. С. К вопросу кибербезопасности АСУ энергетики / Ю. С. Васильев, Д. П. Зегжда ; М-во образования и науки Рос. Федерации, С.-Петерб. политехн. ун-т Петра Великого. - Санкт-Петербург : Издательство Политехнического университета, 2015. - 121 с.Введение в проблему кибербезопасности автоматизированных систем управления технологическими процессами : сборник статей / Министерство образования и науки Российской Федерации, Санкт-Петербургский политехнический университет Петра Великого ; под редакцией Д. П. Зегжды. - Санкт-Петербург : Издательство Политехнического университета, 2018. - 142 с.Государство. Бизнес. Гражданское общество. Информационная безопасность : приложение к журналу «Международная жизнь» : XI Международный форум «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», Гармиш-Партенкирхен, Германия, 24-27 апреля 2017 года : [материалы / отв. ред.: Е. Б. Пядышева]. - Москва : Журнал «Международная жизнь», 2017. - 180 с.Емельянов, В.Е. Комплексные системы обеспечения безопасности бизнес-процессов : учеб.-метод. пособие по выполнению лаб. работ для 5-го курса специальности 10.05.02 очной формы обучения / В. Е. Емельянов. - Москва : Издательский дом Академии им. Н. Е. Жуковского : МГТУГА, 2018. - 68 с.Интеллектуальные системы в информационном противоборстве в бизнесе : V научно-практическая конференция, 4-5 декабря 2014 г. : сборник научных трудов. - Москва : МЭСИ, 2017. - 227 с.Информационная безопасность бизнеса и общества = Informationsecurityofbusinessandsociety : сборник избранных статей научно-педагогического состава кафедры информационных систем, сетей и безопасности / М-во образования и науки РФ, Рос. гос. социал. ун-т ; [гл. ред. А. А. Сиротский]. - Москва : Перо, 2016. - 111 с.Информационные технологии и защита информации в бизнесе : материалы международной научно-практической конференции профессорско-преподавательского состава и аспирантов, 16-18 апреля 2013 года : [посвящается 35-летию университета]. - Белгород : Издательство Белгородского университета кооперации, экономики и права, 2013. - 173 с.Корниенко, А.А. Кибербезопасность и защита от компьютерных атак на железнодорожном транспорте : учебное пособие / А. А. Корниенко, А. П. Глухов, С. В. Диасамидзе ; Федер. агентство ж.-д. трансп., Петерб. гос. ун-т путей сообщ. имп. Александра I. - Санкт-Петербург : ПГУПС, 2015. - 50 с.Курбалийя, Й. Управление Интернетом : [перевод] / ЙованКурбалийя ; Координационный центр национального домена сети Интернет. - Москва : [б. и.], 2018. - 391 с.МИФИ», нац. исследовательский ядерный университет. Научная сессия (2014). Научная сессия НИЯУ «МИФИ» - 2014 : аннотации докладов : [в 3 т.] / Гос. корпорация по атом. энергии «Росатом», Нац. исслед. ядер. ун-т «МИФИ». - Москва : НИЯУ «МИФИ». Т. 3 : Кибербезопасность. Экономические и правовые проблемы инновационного развития атомной отрасли. Методология профессионального и общего образования. Тематические секции обособленных подразделений НИЯУ МИФИ. - 2014. - 308 с.МИФИ», национальный исследовательский ядерный университет. Научная сессия (2015). Научная сессия НИЯУ МИФИ-2015 : аннотации докладов : [в 3 т.] / М-во образования и науки Рос. Федерации, Гос. корпорация по атомной энергии «Росатом», Нац. исслед. ядер. ун-т «МИФИ». - Москва : НИЯУ «МИФИ». Т. 3 : Защищенные инфокоммуникационные технологии и системы. Кибербезопасность. Экономические и правовые проблемы инновационного развития атомной отрасли. Методология профессионального и общего образования. Тематические секции обособленных подразделений НИЯУ МИФИ. - 2015. - 343 с.Образование и информационная культура: теория и практика. Выпуск «Кибербезопасность» : материалы межрегионального форума (3 декабря 2015 г.) / [редкол.: Шубович В. Г. (отв. ред.) и др.]. - Ульяновск :УлГПУ, 2016. - 153 с.Овчинский, В.С. Виртуальный щит и меч : США, Великобритания, Китай в цифровых войнах будущего : [16+] / Владимир Овчинский. - Москва : Книжный мир, 2018. - 318, [1] с.От информационной безопасности к кибербезопасности : опыт научно-исследовательских работ и подготовки кадров в Санкт-Петербургском политехническом университете Петра Великого / [П. Д. Зегжда, Д. П. Зегжда, Е. Б. Александрова и др.] ; М-во образования и науки Рос. Федерации, С.-Петерб. политехн. ун-т Петра Великого. - Санкт-Петербург : Издательство Политехнического университета, 2017. - 320 с.Папков, Б.В. Проблемы кибербезопасности электроэнергетики / Б. В. Папков, А. Л. Куликов, В. Л. Осокин. - Москва : НТФ «Энергопрогресс» : Журнал «Энергетик», 2017. - 95 с.Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности, международный форум (8 ; 2014 ; Гармиш-Партенкирхен, Германия). Восьмой международный форум «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности». Девятая научная конференция Международного исследовательского консорциума информационной безопасности, 21 - 24 апреля 2014 г., Гармиш-Партенкирхен, Германия. - Москва : Издательство Московского университета, 2014. - 284, [2] с.Самарин, Александр. Безопасность в IT-среде малого бизнеса : [12+] / Александр Самарин. - Изд. 2-е, доп. - [Екатеринбург] : Издательские решения, 2017. - 52, [1] с.Словарь-справочник терминов в области кибербезопасности / М-во образования и науки Рос. Федерации, Центр информ. технологий и систем органов исполн. власти ; [авт.-сост. И. М. Воронков и др.]. - Москва : Сам полиграфист, 2014. - 229 с.Цуканова, О. А. Теоретико-методические положения экономики информации / О. А. Цуканова, С. Б. Смирнов ; М-во образования и науки Рос. Федерации, С.-Петерб. нац. исслед. ин-т информ. технологий, механики и оптики. - Санкт-Петербург : Студия «НП-Принт», 2016. - 148 с.Шариков, П. А. «Русские хакеры» в предвыборной кампании в США 2016 года: мифы и реальность / Павел Шариков. - Москва : Международный дискуссионный клуб «Валдай», 2017. - 19 с.Швырев, Б. А. Национальная стратегия кибербезопасности Великобритании на 2016-2021 года / Швырев Борис Анатольевич ; Федеральная служба исполнения наказаний, Научно-исследовательский институт ФСИН России. - Москва : НИИ ФСИН России, 2018. - 115 с.Швырев, Б.А. Политические и стратегические цели национальной кибербезопасности / Швырев Борис Анатольевич ; Федеральная служба исполнения наказаний, Научно-исследовательский институт ФСИН России. - Краснодар : Новация, 2018. - 130 с.Westerman, G. IT Risk :turningbusinessthreatsintocompetitiveadvantage / G. Westerman, R. Hunter. - Boston :Harvardbusinessschoolpress, 2007. - XIV,221 `ill.Астахова, Л.В. От культуры - к культурному капиталу информационной безопасности организации // Вестник ЧГАКИ. 2018. №3 (55). URL: https://cyberleninka.ru/article/n/ot-kultury-k-kulturnomu-kapitalu-informatsionnoy-bezopasnosti-organizatsii (дата обращения: 24.03.2019).Крохичева, Г. Е., Лесняк Владимир Владимирович, Аракельянц Эдуард Степанович Комплексная система обеспечения экономической безопасности организации // Kant. 2018. №2 (27). URL: https://cyberleninka.ru/article/n/kompleksnaya-sistema-obespecheniya-ekonomicheskoy-bezopasnosti-organizatsii (дата обращения: 24.03.2019).Кулишова, А. В., Кузьмин, Е. В.Влияние теневых облачных приложений на безопасность организации // АНИ: экономика и управление. 2017. №1 (18). URL: https://cyberleninka.ru/article/n/vliyanie-tenevyh-oblachnyh-prilozheniy-na-bezopasnost-organizatsii (дата обращения: 24.03.2019).Лесняк, В. В., Крохичева, Г.Е., Селезнева, Е. М. Система экономической безопасности организации на основе комплексного управления рисками // Kant. 2018. №2 (27). URL: https://cyberleninka.ru/article/n/sistema-ekonomicheskoy-bezopasnosti-organizatsii-na-osnove-kompleksnogo-upravleniya-riskami (дата обращения: 24.03.2019).Слепцова, Е.В., Павленко, Ю.А. Современные проблемы информационной безопасности Российской экономики // Международный журнал гуманитарных и естественных наук. 2018. №5-2. URL: https://cyberleninka.ru/article/n/sovremennye-problemy-informatsionnoy-bezopasnosti-rossiyskoy-ekonomiki (дата обращения: 24.03.2019).Трунова, А. В. Обеспечение информационной безопасности предприятия // Современные инновации. 2018. №4 (26). URL: https://cyberleninka.ru/article/n/obespechenie-informatsionnoy-bezopasnosti-predpriyatiya (дата обращения: 24.03.2019).Приложения