Реферати українською » Право, юриспруденция » Як підвищити інформаційну безпеку складу


Реферат Як підвищити інформаційну безпеку складу

Сьогодні чимало компанії, у зв'язку економічними труднощами, скорочують свої витрати, зокрема і інформаційну безпеку. Протеобостряющаяся конкурентна боротьба і низька лояльність співробітників ведуть до підвищення ризиків інформаційну безпеку.

>Небезопасная конфігурація бездротового мережі

Більшість російських компаній залишився формує процеси управління інформаційної безпекою на цьому етапі має типові проблеми, які з неефективності існуючих процесів. Які найактуальніші? Використання яких технологій потребує підвищеної уваги до питань інформаційну безпеку? Які заходів для захисту даних необхідно прийняти насамперед?

Сучасний склад неспроможна уникнути такий зручною технології, як бездротовий мережу. Складські рішення з її застосуванням дозволяють поліпшити продуктивність працівників складу, максимально автоматизувати облік і применшити кількість помилок ручного введення. Проте помилки, скоєні за розгортання та настроюванні мережі, може дозволити безперешкодно проникати у неї зовнішнім зловмисникам. Найбільш серйозної помилкою є використання уразливого протоколу безпеки.

Для захисту бездротового мережі використовуються спеціальні протоколи, які повинні гарантувати доступом до мережі лише, кому він справді необхідний, і навіть забезпечувати передачу даних лише у зашифрованому вигляді. Серед перших протоколів безпеки бездротового мережі був протоколWEP, який широко використовується сьогодні як в усьому світі, і у Росії. Ще 2001 року у протоколі знайшли серйозні недоліки, дозволяють зловмисникам легко отримати пароль для доступу до неї. Причиною використання цього небезпечного протоколу і те, що він підтримується практично всі бездротовими пристроями і легко налаштовується.

Приклад. Для отримання доступу до неї, захищеної протоколомWEP, зловмиснику варто лише набрати кілька команд.Незащищенная бездротовий мережу дозволить зловмисникам непомітно здійснювати насичення корпоративну мережу компанії, розмістивши вприпаркованном поруч із складом автомобілі. Опинившись в корпоративної мережі, зловмисники зможуть атакувати сервери критичних інформаційних систем. Отримавши доступом до корпоративним системам, хакери мають зробити що завгодно: вкрасти фінансову інформацію, дані клієнтів, внести в даних про товарних залишках, термінах придатності товару, впровадити комп'ютерний вірус. Так, американська мережу оптових супермаркетівBJWarehouse Club піддалася ряду атак хакерів,проникавших у її мережу, використовуючи уразливості в бездротового мережі. Результатом зламування стало здійснення шахрайських покупок з допомогою даних кредитних карт покупцівBJWarehouse Club у сумі понад млн.

>Настройки за умовчанням

Найпоширенішою серйозної вразливістю є використання паролів, встановлених за умовчанням. Ця часто-густо що надибуємо явище, обумовлене тим, щоустановщики програмного і апаратного забезпечення у значною мірою переймаються тим, щоб змусити працювати систему оскільки належить, і часто-густо у своїй ігнорують інформаційну безпеку. Вони просто забувають змінити паролі для системних дисконтних записів, які мають найбільш повними привілеями у системі, залишаючи їх такі як вони було запропоновано виробником.

Важливо матимуть можливість проводити розслідування. Захиститися від атак зловмисників на 100% будь-коли вийде, тож необхідно завжди пам'ятати про можливість виникнення інциденту інформаційну безпеку, який буде розслідувати. ІнодіIТ-специалисти повністю відключають реєстрацію дій користувачів, оскільки він створює додаткове навантаження на систему і вимагає уваги. У цій разі компанія навіть мотивів у тому, що її мережа була зламана, і конкуренти отримують даних про її діяльність оперативніше, ніж керівництво самої ж компанії.

Як управляти інформаційної безпекою

Існування недоліків у системи забезпечення інформаційну безпеку пов'язано першу чергу, з відсутністю процесів управління у ній. Як створити ефективну систему управління?

По-перше, необхідно заручитися підтримкою керівництва компанії, які мають усвідомити можливі наслідки ігнорування питань інформаційну безпеку складу і виділити необхідні ресурси. Наслідками може бути фінансових втрат, шкоди іміджу компанії, проблеми з регулюючими органами. Уявіть собі, що влаштована атака «Відмова у обслуговуванні» на бездротову мережу компанії, систему управління складом, унаслідок чого склад зможе функціонувати колишньому рівні? Який збитки, скажімо, від шахрайських операцій, які з допомогою складських систем? Чи є в керівництва компанії бажання нести громадянську, кримінальну, адміністративну, дисциплінарну відповідальність порушення Федерального закону «Про персональних даних»?

По-друге, необхідно провести класифікацію інформації та зрозуміти, які дані є критичними у яких системах вони обробляються. До кожного виду інформації визначається її критичність – принаймні за рівнем конфіденційності. Зазвичай компанії використовують такі категорії, як «Загальнодоступна інформація», «Персональні дані», «Комерційна таємниця». Керівник складу як власник бізнес-процесів має взяти активну участь у процесі класифікації інформації, з якою працюють його підлеглі. Розуміння того, яка інформація, і які системи потребують більшсерь-езной захисту, дозволять компанії сконцентруватися на важливому.

По-третє, необхідно виявити що у компанії проблеми інформаційну безпеку, навіщо необхідно проведення комплексного аудиту. У чому його укладають? Як відомо, у забезпеченні інформаційну безпеку задіяні процеси, технологій і люди. Тому під час аудиту перевіряються все три складові.

Під час проведення аудиту процесів аналізуються існуючі документи з інформаційну безпеку і те, як реальнофунк-ционируют процеси управління інформаційної безпекою у створенні. Як критеріїв аудиту часто використовуються становищамеждународ-ного стандарту ISO 27001:2005. У результаті технічного аудиту виявляються уразливості бездротового мережі, використовуваного компанією програмного і апаратного забезпечення, дозволяють зловмисникам отримувати не санкціонованого доступу до даних. Дуже ефективний тестування до можливості несанкціонованого проникнення, під час якого здійснюється імітація дій реальних зловмисників.

У результаті комплексного аудиту також перевіряється, наскільки співробітники стійкі до атакам зловмисників, використовує методи соціальної інженерії. Аудитори пов'язуються з співробітниками компанії електронною поштою, телефону, через соціальні мережі (сайти «>Однаклассники.ру», «>Вконтакте.ру» та інших.) і намагається обманним способом отримати важливу інформацію (наприклад, паролі для доступу до інформаційних систем). Результатом аудиту є складання переліку існуючих проблеми з зазначенням рівня ризику, що з кожної їх. Об'єктивно оцінити рівні ризиків можна саме завдяки проведеної класифікації інформації та розумінню, як і системі яка інформація обробляється.

Як дбати про безпеку під час кризи

Інформаційна безпеку є витратною статтею бюджету, і тепер на витратах прийнято заощаджувати. У той самий час бізнес гребує втрачати гроші проблеми з інформаційної безпекою. Які є можливості вирішення них під час кризи?

Процеси управління інформаційної безпекою. Не завжди проблема інформаційну безпеку вирішується купівлею чергового дорогого засоби захисту інформації. Так, основну масу завдань можна вирішити з допомогою впровадження необхідних процесів управління інформаційної безпекою. Найбільше увагу слід приділити процесам інформаційну безпеку, що з управлінням логічним доступом до інформаційних систем (процедури надання доступу до інформаційних систем, блокування дисконтних записів від звільнених працівників), виявленням і усуненнямуязвимостей в програмне забезпечення, управлінням інцидентами інформаційну безпеку навчанням співробітників. Приміром, своєчасна блокування дисконтних записів звільнених зі складу співробітників та наявність у користувачів лише мінімально можливих привілеїв в системах зменшать ризик здійснення шахрайських операцій.

Налаштування існуючих систем. Сучасне програмне і апаратне забезпечення включає вбудовані механізми забезпечення інформаційну безпеку, настроювання що у відповідність до рекомендаціями виробників дозволить значно підвищити рівень захищеності. Рівень захищеності інформації, який забезпечувався б умонтованими механізмами інформаційну безпеку систем, повинен періодично перевірятися під час аудиту інформаційну безпеку. Використання програмного забезпечення з відкритою вихідним кодом. Зараз доступні безкоштовні засоби захисту інформації, такі як антивіруси, міжмережеві екрани, системи виявлення вторгнень і сканериуязвимостей. Найвідоміші програмні продукти мають багаторічну пам'ятати історію та широко використовуються в світі. Єдиним їх недоліком є гарантованої технічної підтримки, що, втім, компенсується велику кількість професійних поштових розсилок і форумів у мережі інтернет.

>Аутсорсинг інформаційну безпеку. Компанії довіряють свої гроші банкам, а забезпечення фізичної безпеки – охоронним агентствам. Чому поширити даний підхід і інформаційну безпеку? Передача частини функцій інформаційну безпеку на аутсорсинг дозволить компанії скоротити свої видатки кваліфікований персонал. На погляд, передавати на аутсорсинг можна розробку та впровадження процесів управління інформаційної безпекою і періодичний контроль їхньої ефективності, здійснюваний у вигляді комплексного аудиту інформаційну безпеку. І тут ключові процеси управління інформаційної безпекою залишаються цілком у компанії та підтримуютьсяIТ-специалистами, керівникамибизнес-подразделений, співробітниками відділу кадрів служби фізичної безпеки.

>Беспроводная мережу

>Cеть, не яка використовує кабель для зв'язку компонентів. Канали бездротового мережі прокладено через ефір. Зверніть увагу,cамими поширеними паролями за умовчанням є «>Admin» і «>Administrator», які легко вгадуються зловмисниками, які отримали доступом до корпоративної мережі

ДОКУМЕНТ

Зверніть увагу

Усунення які виявляються під час аудиту недоліків дозволить удосконалювати системууправле-ния інформаційної безпекою й виконувати ризики на прийнятному бізнесу рівні

Проблеми інформаційну безпеку у російських компаніях:

небезпечна конфігурація використовуваного програмного і апаратного забезпечення;

використання паролів, встановлених за умовчанням;

надлишкові привілеї у користувачів інформаційних систем;

зокрема можливість використання для шахрайських операцій дисконтних записів від звільнених працівників;

невиконання вимог щодо захисту персональних даних;

відсутність заходів, дозволяють проводити розслідування інцидентів інформаційну безпеку;

низька інформованість користувачів про загрози інформаційну безпеку.

Читати далі:logistic-forum.lv/info/informacionnaja-bezopasnost#ixzz1TyzPFwHZ

Список літератури

Для підготовки даної праці були використані матеріали із російського сайтуlogistic-forum.lv/


Схожі реферати:

Навігація