Безопасность бизнеса

Безопасность бизнеса. Концепция безопасности бизнеса включает три основных составляющих:

  •  экономическая
  •  информационная
  •  кадровая.

Экономическая безопасность - заключаться в оценке, анализе и управлении всеми финансовыми рисками, и как правило включает в себя работу по следующим направлениям (приоритеты направления работы меняются исходя из политической, экономической ситуации в целом и особенности бизнеса) выделяют следящие:

  • проведение комплексных проверок бизнеса;
  • проведение служебных расследований;
  • выявление и документирование правонарушений, сбор и фиксация доказательств, подготовка документов для обращения в правоохранительные органы, суд;
  • расследование фактов дебиторской задолженности;
  • наблюдение за сотрудниками с целью предотвращения выявления мошенничества, хищений, растрат;
  • выявление пиратской продукции, контрафакта;
  • наблюдение за исполнением сотрудниками и должностными лицами предприятия своих обязанностей, выполнения ими корпоративных требований и соблюдения режима коммерческой тайны;
  • проверка контрагентов, персонала, партнеров;
  • оценка рисков при заключении договоров и сделок;
  • проведение контрольных закупок, мероприятия «тайный покупатель»;
  • внедрение нашего сотрудника в трудовой коллектив для выявления и документирования правонарушений и негативных тенденций на предприятии;
  • расследование страховых мошенничеств, проверка достоверности сведений об обстоятельствах страховых случаев;
  • аудит безопасности предприятия;
  • проверка безопасности (охранное, экономическое направления, внутренняя и внешняя безопасность).

Информационная безопасность бизнеса (заключаться в категорировании информации и созданию комплекса технических и тактико – организационных мероприятий по защите критической информации), организация работы включает в себя следующие этапы:

1. Встреча с руководителем объекта проверки. Общие состояние информационной безопасности на объекте, отношение руководства к ИБ проблемы, инциденты.

2. Проверка и ознакомление с существующими документами ИБ.

3. Наличие критической информации (КИ).
- наличие информации, требующей зашиты конфиденциальности, целостности, доступности;
- проведено ли категорирование КИ
- проводиться ли маркирование КИ
- распределение такой информации на объекте, между пользователями;
- проведена ли инвентаризация критической информации;
- закреплен ли ответственный за каждый информационный актив.

4. Вопросы ИБ в кадровой работе.
- проводиться ли проверка сотрудников до их трудоустройства и по каким критериям;
- существует ли процедура допуска к КИ;
- процедура подписания сотрудником соглашения о неразглашении конфиденциальной информации и коммерческой тайны, ознакомление его с перечнем такой информации;
- процедура получения пользователями корпоративной сети получают начальных реквизитов доступа;
- предусмотрены ли дисциплинарные меры за нарушение ИБ;
- предусмотрена ли процедура увольнения ключевых сотрудников. Владеющих критической информацией компании;
- как происходит изъятие информационных активов и идентификаторов доступа у сотрудников при увольнении.

5. Вопросы обучения персонала мерам ИБ.
6. Физическая безопасность
- создан ли периметр физической безопасности
- проведено ли категорирование помещений по виду обрабатываемой информации, сформулированы ли требования к таким помещениям, как они выполняються, как производиться вскрытие и сдача помещений и т. д.
- как проводиться допуск сотрудников на объект, обращения с системой доступа и ее идентификаторами;
- безопасность серверной и допуск туда.

7. Безопасность оборудования
- размещение оборудования, ответственного за обработку КИ
- электропитание;
- противопожарная безопасность
- безопасность коммуникаций
- порядок ввода оборудования в эксплуатацию и внесение изменений в существующую конфигурацию оборудования и систем.

8. Работа с контрагентами и аутсорсингом.
- обязанности контрагентов по обеспечению ИБ;
- наличие в аутсорсинге систем и оборудования, ответственного за обработку КИ;

9. Антивирусная защита.
10. Резервирование КИ
11. Обращение с материальными носителями КИ.
- требования к бумажным, электронным и др. носителям КИ
- порядок их создания, учета, перемещения, транспортирования, хранения, уничтожения и т.д.
- ведение конфиденциального деловодства.

12. Ведение электронных журналов аудита информационной безопасности.
• Время всех событий;
• Результаты идентификации и аутентификации пользователей в системе;
• Имя терминала, с которого зашел пользователь;
• Доступ к файла, вид доступа, вывод информации на съемные носители или на печать;
• Факты выдачи и изъятия доступу пользователей к ресурсам корпоративной сети.

13. Управление доступом пользователей к информационным ресурсам
- существует ли матрица доступа для каждого должностного лица объекта аудита;
- кто выдает и изымает права доступа, Как это санкционируется, разработана ли документальная процедура
- отвечает ли доступ пользователей к ресурсам требованию: каждый пользователь имеет доступ только к той информации, которая необходима для выполнения его служебных обязанностей и соответствует его уровню доступа.
- как проводиться ограничение доступа пользователей в нестандартных ситуациях (выявление нелояльности пользователя к компании(совершение им грубого нарушения), возможное намерение принести пользователем вред целостности и доступности КИ, возможное копирование в своих целях конфиденциальную информацию и т.д.)

14. Порядок обращения с идентификаторами доступа.
- пароли
- материальные идентификаторы доступа

15. Внешний периметр корпоративной сети
- доступ извне к корпоративным ресурсам (VPN, e-mail, FTP, HTTP, RDP), необходимость такого доступа, его защищенность;
- необходимость наличия у сотрудника права доступа за внешний периметр (Internet, разрешенные порты и протоколы)
- наличие и конфигурация оборудования по защите внешнего периметра

16. Корпоративная электронная почта
17. Настройки безопасности операционной системы.
18. Безопасность web-сайтов.
19. Пользователи мобильных компьютеров и удаленная работа
- необходимость, меры безопасности

20. Требования по существующим системам обработки информации на объекте аудита, например таким как:
- клиент-банк;
- 1с
- CRM
- другие приложения, необходимые для обеспечения бизнес-процессов объекта аудита.

21. Порядок резервирования КИ
22. Лицензирование программного обеспечения.
23. Инциденты ИБ.

Кадровая безопасность заключается в подборе и ведению сотрудников бизнеса, и включат в себя:

- проверка потенциальных кандидатов на получение работы в компании, достоверности заявленных ними в резюме сведений, психологические тестирования, участие в собеседованиях;

- проверка всех возможных рисков в работе рядовых и ключевых сотрудников.

- организация мероприятий по порядку увольнения рядовых и ключевых сотрудников и защите интеллектуальной собственности.

Оставить комментарий