Безопасность бизнеса. Концепция безопасности бизнеса включает три основных составляющих:
- экономическая
- информационная
- кадровая.
Экономическая безопасность — заключаться в оценке, анализе и управлении всеми финансовыми рисками, и как правило включает в себя работу по следующим направлениям (приоритеты направления работы меняются исходя из политической, экономической ситуации в целом и особенности бизнеса) выделяют следящие:
- проведение комплексных проверок бизнеса;
- проведение служебных расследований;
- выявление и документирование правонарушений, сбор и фиксация доказательств, подготовка документов для обращения в правоохранительные органы, суд;
- расследование фактов дебиторской задолженности;
- наблюдение за сотрудниками с целью предотвращения выявления мошенничества, хищений, растрат;
- выявление пиратской продукции, контрафакта;
- наблюдение за исполнением сотрудниками и должностными лицами предприятия своих обязанностей, выполнения ими корпоративных требований и соблюдения режима коммерческой тайны;
- проверка контрагентов, персонала, партнеров;
- оценка рисков при заключении договоров и сделок;
- проведение контрольных закупок, мероприятия «тайный покупатель»;
- внедрение нашего сотрудника в трудовой коллектив для выявления и документирования правонарушений и негативных тенденций на предприятии;
- расследование страховых мошенничеств, проверка достоверности сведений об обстоятельствах страховых случаев;
- аудит безопасности предприятия;
- проверка безопасности (охранное, экономическое направления, внутренняя и внешняя безопасность).
Информационная безопасность бизнеса (заключаться в категорировании информации и созданию комплекса технических и тактико – организационных мероприятий по защите критической информации), организация работы включает в себя следующие этапы:
1. Встреча с руководителем объекта проверки. Общие состояние информационной безопасности на объекте, отношение руководства к ИБ проблемы, инциденты.
2. Проверка и ознакомление с существующими документами ИБ.
3. Наличие критической информации (КИ).
— наличие информации, требующей зашиты конфиденциальности, целостности, доступности;
— проведено ли категорирование КИ
— проводиться ли маркирование КИ
— распределение такой информации на объекте, между пользователями;
— проведена ли инвентаризация критической информации;
— закреплен ли ответственный за каждый информационный актив.
4. Вопросы ИБ в кадровой работе.
— проводиться ли проверка сотрудников до их трудоустройства и по каким критериям;
— существует ли процедура допуска к КИ;
— процедура подписания сотрудником соглашения о неразглашении конфиденциальной информации и коммерческой тайны, ознакомление его с перечнем такой информации;
— процедура получения пользователями корпоративной сети получают начальных реквизитов доступа;
— предусмотрены ли дисциплинарные меры за нарушение ИБ;
— предусмотрена ли процедура увольнения ключевых сотрудников. Владеющих критической информацией компании;
— как происходит изъятие информационных активов и идентификаторов доступа у сотрудников при увольнении.
5. Вопросы обучения персонала мерам ИБ.
6. Физическая безопасность
— создан ли периметр физической безопасности
— проведено ли категорирование помещений по виду обрабатываемой информации, сформулированы ли требования к таким помещениям, как они выполняються, как производиться вскрытие и сдача помещений и т. д.
— как проводиться допуск сотрудников на объект, обращения с системой доступа и ее идентификаторами;
— безопасность серверной и допуск туда.
7. Безопасность оборудования
— размещение оборудования, ответственного за обработку КИ
— электропитание;
— противопожарная безопасность
— безопасность коммуникаций
— порядок ввода оборудования в эксплуатацию и внесение изменений в существующую конфигурацию оборудования и систем.
8. Работа с контрагентами и аутсорсингом.
— обязанности контрагентов по обеспечению ИБ;
— наличие в аутсорсинге систем и оборудования, ответственного за обработку КИ;
9. Антивирусная защита.
10. Резервирование КИ
11. Обращение с материальными носителями КИ.
— требования к бумажным, электронным и др. носителям КИ
— порядок их создания, учета, перемещения, транспортирования, хранения, уничтожения и т.д.
— ведение конфиденциального деловодства.
12. Ведение электронных журналов аудита информационной безопасности.
• Время всех событий;
• Результаты идентификации и аутентификации пользователей в системе;
• Имя терминала, с которого зашел пользователь;
• Доступ к файла, вид доступа, вывод информации на съемные носители или на печать;
• Факты выдачи и изъятия доступу пользователей к ресурсам корпоративной сети.
13. Управление доступом пользователей к информационным ресурсам
— существует ли матрица доступа для каждого должностного лица объекта аудита;
— кто выдает и изымает права доступа, Как это санкционируется, разработана ли документальная процедура
— отвечает ли доступ пользователей к ресурсам требованию: каждый пользователь имеет доступ только к той информации, которая необходима для выполнения его служебных обязанностей и соответствует его уровню доступа.
— как проводиться ограничение доступа пользователей в нестандартных ситуациях (выявление нелояльности пользователя к компании(совершение им грубого нарушения), возможное намерение принести пользователем вред целостности и доступности КИ, возможное копирование в своих целях конфиденциальную информацию и т.д.)
14. Порядок обращения с идентификаторами доступа.
— пароли
— материальные идентификаторы доступа
15. Внешний периметр корпоративной сети
— доступ извне к корпоративным ресурсам (VPN, e-mail, FTP, HTTP, RDP), необходимость такого доступа, его защищенность;
— необходимость наличия у сотрудника права доступа за внешний периметр (Internet, разрешенные порты и протоколы)
— наличие и конфигурация оборудования по защите внешнего периметра
16. Корпоративная электронная почта
17. Настройки безопасности операционной системы.
18. Безопасность web-сайтов.
19. Пользователи мобильных компьютеров и удаленная работа
— необходимость, меры безопасности
20. Требования по существующим системам обработки информации на объекте аудита, например таким как:
— клиент-банк;
— 1с
— CRM
— другие приложения, необходимые для обеспечения бизнес-процессов объекта аудита.
21. Порядок резервирования КИ
22. Лицензирование программного обеспечения.
23. Инциденты ИБ.
Кадровая безопасность заключается в подборе и ведению сотрудников бизнеса, и включат в себя:
— проверка потенциальных кандидатов на получение работы в компании, достоверности заявленных ними в резюме сведений, психологические тестирования, участие в собеседованиях;
— проверка всех возможных рисков в работе рядовых и ключевых сотрудников.
— организация мероприятий по порядку увольнения рядовых и ключевых сотрудников и защите интеллектуальной собственности.