Բիզնեսի անվտանգության համակարգի զարգացման նպատակը
Ցանկացած բիզնես միշտ շրջապատված է պոտենցիալ սպառնալիքներով՝ մրցակիցների, անվստահելի գործընկերների, վատ մենեջերների, անպատասխանատու աշխատակիցների տեսքով։ Այս ամենի համար տեղին է մտածել բիզնեսի կազմակերպական, տնտեսական, տեխնիկական, իրավական և սոցիալական ապահովության մասին։
Բիզնեսի անվտանգությունը դա պաշտպանությունն է նրանցից, ովքեր կարող են ինչ-որ կերպ վնասել ձեր բիզնեսը, բարձրացնեն դրա հանդեպ նեգատիվությունը, նյութական վնաս պատճառեն և այլն: Նման անվտանգությունն ապահովելու համար մշակվում և ներդրվում են պաշտպանական միջոցառումների հատուկ համալիր համակարգեր։
Այս ամենի համար հիմնական նպատակներն են համարվում՝ թույլ չտալ ոտնահարել ընկերության շահերը, երաշխավորել աշխատակիցների կյանքի և առողջության անվտանգությունը, պաշտպանել ռեսուրսները վնասից, գողությունից և այլն: Դա անելու համար անհրաժեշտ է ժամանակին հայտնաբերել հնարավոր սպառնալիքները, վերահսկել գործընկերների գործողությունները, անցկացնել հատուկ դասընթացներ գաղտնի տվյալների հետ աշխատող անձնակազմի համար:
Ցավալի է, երբ սեփականատերը սկսում է այս բոլոր հարցերով զբաղվել միայն որոշակի վնաս ստանալուց հետո։ Խնդիրների կանխարգելումը շատ ավելի հեշտ և արդյունավետ է, քան դրանց հետևանքները հետագայում լուծելը:
Շատ կարևոր է բիզնեսի ստեղծման պահից ի վեր ունենալ անվտանգության համակարգ խուսափելու համար հետագա անախորժություններից:
Բիզնեսի անվտանգության քաղաքականություն
Բիզնեսի համար անվտանգության համակարգ կազմակերպելիս նպատակները կարող են լինել հետևյալը՝
- բարելավել աշխատավայրում կարգապահությունը
- բարձրացնել աշխատանքի արտադրողականությունը
- կանխել ընկերության շահերի և իրավունքների խախտումները
- ընկերության շահերից ելնելով համագործակցել պետական մարմինների հետ
Դուք պետք է սկսեք տեղեկատվական գործընթացների ուսումնասիրությունից, որպեսզի հասկանաք, թե ինչպիսի տվյալներ են կարևոր պաշտպանել: Դուք պետք է նշեք, թե ինչ խնդիրներ կարող է առաջացնել արժեքավոր տեղեկատվության արտահոսքը ձեր կողմից:
Կարևորագույն քայլերից է համարվում «Ընկերության անվտանգության քաղաքականության» պատրաստումը, որը հաստատվում է ղեկավարության կողմից և հանդիսանում է ընկերությանը հնարավոր սպառնալիքներից պաշտպանող հիմնական փաստաթուղթը։ Ահա այն բաժինները, որոնք կարող են ներառվել՝
Նպատակներ դնելը որպես բիզնեսի պաշտպանության մաս
- անվտանգության քաղաքականության մշակում
- նպատակների ցուցակ կազմում
- Ռազմավարության և դրա իրականացման ուղիների ընտրություն (սահմանված նպատակներին հասնելու համար):
Բիզնեսի անվտանգության համակարգի ձևավորում՝
- Անվտանգության խորհրդի գործառույթների և հիմնական սկզբունքների սահմանում,
- հայտնաբերված անվտանգության օբյեկտների պաշտպանության աստիճանի որոշում,
- սուբյեկտների ցանկի ձևավորում, որոնք կպաշտպանեն սպառնալիքներից,
- պաշտպանության ապահովման և պահպանմանն ուղղված միջոցառումների նախապատրաստում:
Ստեղծված համակարգի գնահատման մեթոդների պատրաստում՝
- չափանիշների և ցուցիչների ընտրություն, որոնց հիման վրա պետք է որակավորվի պաշտպանության մակարդակը,
- գնահատման մեթոդների ընտրություն,
- բիզնեսի հնարավոր ռիսկերի վերլուծության համակարգված մոտեցումների մշակում:
Այս ամենը պետք է պատշաճ կերպով փաստաթղթավորվի գործող տեխնիկական և կազմակերպչական ու իրավական նորմերի առումով։ Բիզնեսի անվտանգության ռազմավարությունները պետք է ընտրվեն միևնույն ժամանակ լինելով ռացիոնալ, ողջամիտ և համարժեք:
Օրինակ՝ քաղաքականության մեջ կարող է նշվել, որ այցելուներին չի թույլատրվում մուտք գործել ձեռնարկության տարածք բջջային հեռախոսներով, նրանց պետք է թողնել անվտանգության կետում։ Իրականում կան ընկերություններ, որտեղ գործում է նման կանոն, սակայն անհնար է հետևել դրա կատարմանը։ Եվ դա լավագույն կերպով չի արտացոլվի ընկերության իմիջում։
Բայց աշխատավայրում աշխատողների կողմից բջջային հեռախոսների օգտագործման արգելքը միանգամայն համարժեք է (պայմանով, որ կան բավականաչափ ստացիոնար սարքեր՝ գերատեսչությունների միջև նորմալ հաղորդակցությունն ապահովելու համար): Խելամիտ բավարարության սկզբունքի էությունը կայանում է նրանում, որ երաշխավորվի, որ բիզնես տեղեկատվական համակարգերի անվտանգության ծախսերը ոչ ավելին լինեն, քան տվյալների հնարավոր արտահոսքի կորուստները:
Բիզնեսի անվտանգության համակարգի կառուցման հիմնական սկզբունքներն ու կանոնները
Բիզնեսի անվտանգության կառավարումը պետք է կառուցվի հաշվի առնելով ստորև թվարկված մի շարք կանոններ`
Գործել ըստ օրենքի. Այսինքն՝ կիրառվող բոլոր մեթոդներն ու ռազմավարությունները չպետք է հակասեն գործող օրենսդրությանը։
Ապահովել ամբողջական ներքին և արտաքին կապը ընկերության բաժինների միջև: Բացի այդ, ներգրավեք երրորդ կողմի կառույցներ, որոնք կարող են նպաստել բիզնեսի անվտանգության բարելավմանը:
Զբաղվել հնարավոր սպառնալիքների բացահայտմամբ և կանխարգելմամբ՝ վերլուծելով ընկերության գործունեությունը և հավաքագրված տվյալների հիման վրա ընտրել պաշտպանություն ապահովելու միջոցներ:
Կիրառեք և՛ գաղտնիությունը, և՛ հրապարակայնությունը. Առաջինը գաղտնի տեղեկատվության համար է, իսկ երկրորդը՝ ընկերության գործունեության մասին այլ տեղեկությունների համար, որոնք կարող են կիսվել գործընկերների և լրատվամիջոցների հետ:
Եվ ևս մեկ բան. ցանկացած բիզնեսի համար անվտանգության ապահովման հարցում մարդկային գործոնը մեծ նշանակություն ունի։ Ուստի անհրաժեշտ է մեծ և լուրջ աշխատանք տանել այս ոլորտում աշխատողների հետ, բացատրել գաղտնաբառերի օգտագործման կարևորությունը, գաղտնի տեղեկատվության գաղտնիությունը և այլն:
Տեղեկատվության արտահոսքի հիմնական պատճառները
«Գողերը» չափազանց շատ մուտքի իրավունք ունեն: Երբ մեծ թվով մարդկանց հասանելի են հույժ կարևոր տվյալներ, արտահոսքի վտանգը մեծանում է:
Պլանավորված հարձակումներ. Հարձակվողները պարտադիր չէ, որ նպատակ ունենան ներխուժել որոշակի ընկերության տվյալների բազա: Նրանք կարող են պարզապես պատահականորեն փնտրել թույլ կողմեր որոշակի ենթակառուցվածքի պաշտպանության հարցում: Բայց կան նաև նպատակային «ռեյդերներ»՝ օգտագործելով խորամանկ մեթոդներ, ինչպիսիք են նամակները, ընկերության աշխատակիցների տվյալների միջոցով կարող են մուտք գործել ընկերության համար կարևոր փաստաթղթերի մեջ:
Մուտք գործել ընկերության աշխատակիցների հաշիվները. Աշխատակիցը, ով դարձել է, օրինակ ֆիշինգի զոհ, առանց դրա մասին իմանալու, կարող է թույլ տալ հարձակվողներին մուտք գործել դեպի իր աշխատանքային հաշիվներ: Բավական է, որ հաքերները նրան նամակ ուղարկեն, իբր կորպորատիվ փոստից ուղարկված: Սեղմելով դրա վրա՝ ստացողը հայտնվում է լիազորման էջում, որտեղ պահանջվում է օգտանուն և գաղտնաբառ, որոնք գրելուն պես հասանելի կդառնան հարձակվողների համար:
Թույլ գաղտնաբառեր, որոնք կօգնեն «գողերին» հեշտ մուտք գործել աշխատանքային տարածք. Պարզ ծածկագրերն ավելի հեշտ է օգտագործել, ուստի աշխատակիցները մեծամասնությունը հաճախ օգտագործում են հեշտ ծածկագրեր:
Բիզնեսի տեղեկատվական անվտանգության ապահովում
Բիզնեսի անվտանգության խնդիրները ամենից հաճախ կապված են տեղեկատվության պաշտպանության անբավարար հուսալի համակարգի հետ: Սա վիճակագրությամբ հաստատված փաստ է։ Արտահոսքերը թույլատրվում են, գաղտնի տվյալները կորչում են, ընկնում մրցակիցների, ներխուժողների ձեռքը։ ՏՏ մասնագետների խնդիրն է ձեռնարկել բավարար պաշտպանիչ միջոցներ՝ նվազեցնելու ռիսկերը, որոնք կարող են վնասել բիզնեսին:
Առաջին հերթին կարևոր է պաշտպանել ֆինանսական տեղեկատվությունը, ապա կանխել տվյալների արտահոսքը։ Փոքր ու միջին բիզնեսներնն այն կողմով ավելի շատ են հարձակումների ենթարկվում:
Ստորև ներկայացված են բիզնեսի տեղեկատվական անվտանգության ապահովման հիմնական մեթոդները՝
Ներխուժման կանխարգելում
Հենց հարձակում է հայտնաբերվում, մուտքն անմիջապես արգելափակվում է համակարգի կողմից, և վտանգի մասին հաղորդագրություն է ուղարկվում պատասխանատու աշխատակցին։
Ներխուժումից պաշտպանություն ապահովելու երկու եղանակ կա՝
IPS-ով . Այս համակարգը արգելափակում է ցանկացած կասկածելի գործունեություն՝ մաքրելով այն ամենն, ինչ ավելորդ է։ Համակարգը լավն է նրանով, որ հայտնաբերում և կանխում է սպառնալիքները:
IDS- ի օգնությամբ ։ Համակարգը նկատում է կասկածելի գործունեություն և ծանուցում պատասխանատու աշխատակցին։ Այս մեթոդի առավելություններից մեկն այն է, որ ներխուժումները շատ արդյունավետ հետևվում են: Բացասականն այն է, որ եթե այս մասնագետը բավականաչափ արագ չաշխատի, համակարգը կարող է լրջորեն վնասվել։
Արտահոսքի կանխարգելում
Խոսքը վերաբերում է կորպորատիվ տվյալների գաղտնիության պահպանմանն ուղղված միջոցառումներին: Արժեքավոր տեղեկատվությունը օտարների ձեռքն ընկնելու երկու եղանակ կա՝
- նպատակային գողություն (լրտեսող ծրագրեր, ինսայդերների, ռեյդերների կողմից);
- սեփական աշխատակիցների անուշադրությունը (էլ. փոստով գաղտնաբառ ուղարկելը, վիրուսային հղումներ բացելը, մուտքի հսկողության բացակայությունը և այլն):
Ֆայլերի պաշտպանություն արժեքավոր տեղեկություններով
Խոսքը ընկերության պատկանող համակարգիչների և սերվերների վրա պահվող տեղեկատվության մասին է։ Ֆայլերը պաշտպանելու մի քանի եղանակ կա՝
Տվյալների գաղտնագրում (օգտագործելով EFS, Qnap, CryptoPro և այլն)
Անձնակազմի կողմից օգտագործվող գաջեթների կոդավորումը՝ բջջային հեռախոսներ, դյուրակիր համակարգիչներ, ցանկացած մեդիա (օգտագործելով հատուկ ծրագրեր, ինչպիսիք են Kasperskiy, SecretDisk, Endpoint Encryption կամ գաղտնագրման մոդուլներ, որոնք արտադրվում են Sony, Asus և այլն):
Որոշակի ֆայլերի մուտքի ամբողջական կամ մասնակի մերժում (Active Directory Rights Management Services-ն իրեն ապացուցել է որպես գործիք այստեղ):
Բիզնեսի ֆիզիկական, իրավական, կադրային անվտանգության ապահովում
Ձեր բիզնեսի տեղեկատվական և տնտեսական անվտանգությունն ապահովելուց հետո դուք պետք է ուշադրություն դարձնեք պաշտպանության այլ տեսակների վրա: Սա պակաս կարևոր չէ, քանի որ ապահովում է բոլոր համակարգերի կայուն աշխատանքը։
Ֆիզիկական պաշտպանության միջոցներ
Յուրաքանչյուր ընկերություն, անշուշտ, հոգ է տանում իր տարածք մուտքը կանխելու փորձերը, երաշխավորում է անձնակազմի անվտանգությունը և ձեռնարկում անհրաժեշտ հրդեհաշիջման միջոցները: Այս բոլորը առաջնահերթ կարևոր խնդիրներ են։ Ահա թե ինչ կարող եք անել դրանք իրականացնելու համար`
Շենքերի ներսում և շրջակայքում տեղադրեք տեսախցիկներ, որոնց միջոցով ղեկավարը և անվտանգության ծառայությունը պետք է կարողանան տեսնել այն ամենը, ինչ տեղի է ունենում։ Տեսողական կառավարումն ավելի հուսալի կլինի, եթե ավելացնեք համարանիշի ճանաչիչ, պատկերի ավտոմատ վերլուծության համակարգ և նմանատիպ այլ լուծումներ:
Իրականացնել մուտքի վերահսկման սխեման անցանկալի անձանց հնարավոր մուտքը հաստատություն նվազեցնելու համար:
Շենքում տեղադրեք ազդանշան, որն ակտիվանում է վտանգի նախազգուշացման համար։ Սովորաբար ձայնային ազդանշանը բավարար է, բայց կարող եք ավելացնել նաև խոսքի ազդանշան:
Տեղադրեք անցակետեր մուտքի մոտ և վերահսկեք բոլոր նրանց, ովքեր գալիս են առանց աշխատակիցների հետ կապվելու: Սակայն խոշոր ընկերությունների համար սա հարմար՝ տարբերակ չէ այցելուների մեծ քանակի պատճառով։
Բիզնեսի իրավական անվտանգության ապահովում
Սա ընկերության իմիջի ու շահույթի պաշտպանությունն է։ Ընդհանուր առմամբ, բիզնեսի իրավական անվտանգությունը հասկացվում է որպես իրավական խնդիրների լուծման, խորհրդատվական և իրավական օգնության արագ տրամադրման միջոցառումների համալիր: Այս աշխատանքը կարող են կատարել հրավիրված մասնագետները կամ ընկերության անձնակազմից որևէ մեկը։
Ահա թե ինչը կօգնի պահպանել բիզնեսի իրավական անվտանգությունը`
- բոլոր փաստաթղթերի իրավասու պատրաստում և դրա փորձաքննություն,
- փաստաբանի – ընկերության ներկայացուցչի ելույթը դատարաններում,
- գործարքների ամբողջական կառավարում բոլոր ի հայտ եկած իրավական խնդիրների իրավասու լուծումով,
- առաջիկա գործարքների, ներդրումային կամ առևտրային գործունեության հետ կապված ցանկացած նախագծերի փորձագիտական գնահատում,
- որոշակի պետական մարմինների հետ խնդիրների արագ լուծում. աուդիտի նախապատրաստում:
Կազմակերպչական և անձնակազմի անվտանգության աշխատանքներն իրականացնում է ընկերության ղեկավարը: Դա նրա խնդիրն է՝ աշխատել անձնակազմի հետ։
Ձեռնարկության կազմակերպչական և կադրային անվտանգության միջոցառումներ
Սա իրենից ենթադրում է անձի անցյալի գործունեության վերլուծություն՝ դրա հետ կապված հնարավոր սպառնալիքները բացահայտելը (գուցե կապ է ունեցել հանցագործության, մրցակիցների համար աշխատանքի կամ աշխատողի բարոյական որակները վստահություն չեն ներշնչում և այլն)։
Թիմում հոգեբանական իրավիճակի մշտադիտարկում՝ խնդիրների դեպքում խնդիրները հնարավորինս շուտ հայտնաբերելու նպատակով:
Անձնակազմի վերապատրաստում գաղտնի տեղեկատվության հետ աշխատելու համար՝ անվտանգության գործող կանոններին համապատասխան։
Աշխատանքային վեճերի հարուցում անվտանգության կանոնները չկատարելու կամ աշխատանքային պայմանագրով նախատեսված պարտավորությունների կատարումից շեղումների դեպքում։
Անվտանգության ծառայության ստեղծման քայլ առ քայլ հրահանգներ
Իհարկե, փոքր ընկերությունները չեն կարող իրենց թույլ տալ ունենալ իրենց անվտանգության բաժինը։ Եվ հաճախ մենեջերները թերագնահատում են նման կառույցի նշանակությունը՝ չհասկանալով, որ ցանկացած բիզնես լուրջ պաշտպանության կարիք ունի։
Ընդհանուր առմամբ, անվտանգության ծառայության ձևավորման գործընթացը կարելի է ներկայացնել որպես հինգ հաջորդական քայլեր`
1.նպատակադրում
Որոշեք, թե ինչո՞ւ է ձեզ անհրաժեշտ անվտանգության և հսկողության ծառայություն: Ինչպիսի՞ սպառնալիքներից եք վախենում։ Կամ սպառնալիքները՝ կապված անձնակազմի ոչ կոմպետենտության հետ, թե՞ վախենում եք գողությունից։
2.Առաջադրանքների ցանկ
Հնարավոր ռիսկերը բացահայտելուց հետո կանխատեսեք հետևանքները:
Առաջնահերթությունների ընտրությունը կատարե՛ք նրանց հետ, ովքեր անմիջականորեն կապահովեն կազմակերպության անվտանգությունը։
Ոսկերչական ընկերության համար, օրինակ, հիմնական սպառնալիքներն են աշխատակիցների կողմից յուրացումները։ Այսպիսով, այստեղ անվտանգություն է անհրաժեշտ։
ՏՏ ոլորտում կարևոր է ապահովել մտավոր սեփականության և տվյալների արտահոսքից պաշտպանությունը և լրտեսության կանխումը։
3.Անվտանգության ծառայության կրթություն
Խոշոր ընկերություններում նման բաժինն աշխատում է բազմաթիվ ոլորտներում, ապահովում է բիզնեսի իրավական, կադրային անվտանգությունը և այլն։ Փոքր կազմակերպություններում ամեն ինչ այլ է: Փոքր բաժինը չի կարողանա հաղթահարել մի շարք առաջադրանքներ, և ակնհայտ սպառնալիքները կարող են աննկատ մնալ:
4.Պրոֆեսիոնալ կադրերի ընտրություն
Անպայման կարդացեք անվտանգության պետի պաշտոնի համար դիմողի գրանցումը: Նրա պարտականությունների շրջանակը կներառի բիզնեսի անվտանգության ապահովման խնդիրների իրականացումը։
Անվտանգության խորհրդի ղեկավարության իդեալական թեկնածուն այն մարդն է, ով նախկինում աշխատել է FSO-ում կամ մասնավոր անվտանգության համակարգում։ Նրանք կկարողանան գրագետ մոտենալ գողության դեմ միջոցներ ձեռնարկելու հարցին, ապահովել ընկերության առևտրային գաղտնիքների պաշտպանությունը։ Նման առաջադրանքները լավագույնս կկատարեն գերատեսչությունների կամ խմբերի նախկին ղեկավարները (այսինքն՝ միջին մենեջերները): Օրինակ, նախկին քրեական հետախուզության աշխատակցի և տնտեսական հանցագործությունների դեմ պայքարի վարչության միջև նախընտրելի կլիներ երկրորդը:
Բիզնեսի անվտանգության կազմակերպումը բավականին բարդ խնդիր է։ Սպառնալիքներից պաշտպանություն պահանջվում է փաստաթղթերի, անձնակազմի, բիզնես գործընթացների, ֆինանսների և շատ այլ ոլորտներում: Իսկ խոսքը ընկերության և նրա աշխատակիցների ինչպես իրավական, այնպես էլ ֆիզիկական պաշտպանության մասին է։
Բիզնեսի անվտանգության համակարգը պետք է ապահովի հնարավոր սպառնալիքների կանխարգելումը, առկա վտանգների բացահայտումը և դրանց հետևանքների վերացումը։