Безопасность бизнеса. Концепция безопасности бизнеса включает три основных составляющих:
- экономическая
- информационная
- кадровая.
Экономическая безопасность – заключаться в оценке, анализе и управлении всеми финансовыми рисками, и как правило включает в себя работу по следующим направлениям (приоритеты направления работы меняются исходя из политической, экономической ситуации в целом и особенности бизнеса) выделяют следящие:
- проведение комплексных проверок бизнеса;
- проведение служебных расследований;
- выявление и документирование правонарушений, сбор и фиксация доказательств, подготовка документов для обращения в правоохранительные органы, суд;
- расследование фактов дебиторской задолженности;
- наблюдение за сотрудниками с целью предотвращения выявления мошенничества, хищений, растрат;
- выявление пиратской продукции, контрафакта;
- наблюдение за исполнением сотрудниками и должностными лицами предприятия своих обязанностей, выполнения ими корпоративных требований и соблюдения режима коммерческой тайны;
- проверка контрагентов, персонала, партнеров;
- оценка рисков при заключении договоров и сделок;
- проведение контрольных закупок, мероприятия «тайный покупатель»;
- внедрение нашего сотрудника в трудовой коллектив для выявления и документирования правонарушений и негативных тенденций на предприятии;
- расследование страховых мошенничеств, проверка достоверности сведений об обстоятельствах страховых случаев;
- аудит безопасности предприятия;
- проверка безопасности (охранное, экономическое направления, внутренняя и внешняя безопасность).
Информационная безопасность бизнеса (заключаться в категорировании информации и созданию комплекса технических и тактико – организационных мероприятий по защите критической информации), организация работы включает в себя следующие этапы:
1. Встреча с руководителем объекта проверки. Общие состояние информационной безопасности на объекте, отношение руководства к ИБ проблемы, инциденты.
2. Проверка и ознакомление с существующими документами ИБ.
3. Наличие критической информации (КИ).
– наличие информации, требующей зашиты конфиденциальности, целостности, доступности;
– проведено ли категорирование КИ
– проводиться ли маркирование КИ
– распределение такой информации на объекте, между пользователями;
– проведена ли инвентаризация критической информации;
– закреплен ли ответственный за каждый информационный актив.
4. Вопросы ИБ в кадровой работе.
– проводиться ли проверка сотрудников до их трудоустройства и по каким критериям;
– существует ли процедура допуска к КИ;
– процедура подписания сотрудником соглашения о неразглашении конфиденциальной информации и коммерческой тайны, ознакомление его с перечнем такой информации;
– процедура получения пользователями корпоративной сети получают начальных реквизитов доступа;
– предусмотрены ли дисциплинарные меры за нарушение ИБ;
– предусмотрена ли процедура увольнения ключевых сотрудников. Владеющих критической информацией компании;
– как происходит изъятие информационных активов и идентификаторов доступа у сотрудников при увольнении.
5. Вопросы обучения персонала мерам ИБ.
6. Физическая безопасность
– создан ли периметр физической безопасности
– проведено ли категорирование помещений по виду обрабатываемой информации, сформулированы ли требования к таким помещениям, как они выполняються, как производиться вскрытие и сдача помещений и т. д.
– как проводиться допуск сотрудников на объект, обращения с системой доступа и ее идентификаторами;
– безопасность серверной и допуск туда.
7. Безопасность оборудования
– размещение оборудования, ответственного за обработку КИ
– электропитание;
– противопожарная безопасность
– безопасность коммуникаций
– порядок ввода оборудования в эксплуатацию и внесение изменений в существующую конфигурацию оборудования и систем.
8. Работа с контрагентами и аутсорсингом.
– обязанности контрагентов по обеспечению ИБ;
– наличие в аутсорсинге систем и оборудования, ответственного за обработку КИ;
9. Антивирусная защита.
10. Резервирование КИ
11. Обращение с материальными носителями КИ.
– требования к бумажным, электронным и др. носителям КИ
– порядок их создания, учета, перемещения, транспортирования, хранения, уничтожения и т.д.
– ведение конфиденциального деловодства.
12. Ведение электронных журналов аудита информационной безопасности.
• Время всех событий;
• Результаты идентификации и аутентификации пользователей в системе;
• Имя терминала, с которого зашел пользователь;
• Доступ к файла, вид доступа, вывод информации на съемные носители или на печать;
• Факты выдачи и изъятия доступу пользователей к ресурсам корпоративной сети.
13. Управление доступом пользователей к информационным ресурсам
– существует ли матрица доступа для каждого должностного лица объекта аудита;
– кто выдает и изымает права доступа, Как это санкционируется, разработана ли документальная процедура
– отвечает ли доступ пользователей к ресурсам требованию: каждый пользователь имеет доступ только к той информации, которая необходима для выполнения его служебных обязанностей и соответствует его уровню доступа.
– как проводиться ограничение доступа пользователей в нестандартных ситуациях (выявление нелояльности пользователя к компании(совершение им грубого нарушения), возможное намерение принести пользователем вред целостности и доступности КИ, возможное копирование в своих целях конфиденциальную информацию и т.д.)
14. Порядок обращения с идентификаторами доступа.
– пароли
– материальные идентификаторы доступа
15. Внешний периметр корпоративной сети
– доступ извне к корпоративным ресурсам (VPN, e-mail, FTP, HTTP, RDP), необходимость такого доступа, его защищенность;
– необходимость наличия у сотрудника права доступа за внешний периметр (Internet, разрешенные порты и протоколы)
– наличие и конфигурация оборудования по защите внешнего периметра
16. Корпоративная электронная почта
17. Настройки безопасности операционной системы.
18. Безопасность web-сайтов.
19. Пользователи мобильных компьютеров и удаленная работа
– необходимость, меры безопасности
20. Требования по существующим системам обработки информации на объекте аудита, например таким как:
– клиент-банк;
– 1с
– CRM
– другие приложения, необходимые для обеспечения бизнес-процессов объекта аудита.
21. Порядок резервирования КИ
22. Лицензирование программного обеспечения.
23. Инциденты ИБ.
Кадровая безопасность заключается в подборе и ведению сотрудников бизнеса, и включат в себя:
– проверка потенциальных кандидатов на получение работы в компании, достоверности заявленных ними в резюме сведений, психологические тестирования, участие в собеседованиях;
– проверка всех возможных рисков в работе рядовых и ключевых сотрудников.
– организация мероприятий по порядку увольнения рядовых и ключевых сотрудников и защите интеллектуальной собственности.