Авторские блоги и комментарии к ним отображают исключительно точку зрения их авторов. Редакция ЛІГА.net может не разделять мнение авторов блогов.

25.08.2020 11:34

Корпоративне шахрайство: конфіденційна інформація

Игорь Шевцов Заместитель директора "SK Security"

Прогрес зробив підприємства залежними від інформаційних систем, але одночасно з цим вразливими до комп'ютерних вірусів, атак хакерів та власних співробітників.

Інформаційна безпека – захищеність інформації компанії від навмисних або ненавмисних дій, які наносять будь-який збиток її власникам чи третім особам.

Це процес забезпечення її доступності, цілісності та конфіденційності.

Забезпечення інформаційної безпеки повинно забезпечувати запобігання ризиків, а не ліквідацію їх наслідків. Будь-який витік інформації може призвести до серйозних проблем для компанії – від значних фінансових втрат до повної ліквідації.

Конфіденційна інформація (з обмеженим доступом) включає в себе комерційну, ділову, персоніфіковану та іншу секретну інформацію.

З найбільш поширених шахрайських дій, пов'язаних з підготовкою та здачею всіх видів звітності, можна виділити:

- Отримання інформації обмеженого доступу за допомогою інших співробітників компанії;

- Отримання інформації обмеженого доступу через програми та корпоративні інформаційні системи;

- Сприяння у впровадженні конкурентами на підприємстві осіб з метою послідуючого отримання за їх допомогою інформації з обмеженим доступом;

- Обслуговування працівниками інформаційних потоків, діяльність яких використовується на шкоду інтересам компанії та інші.

Для попередження та виявлення шахрайських дій необхідно використовувати основні три види контролю: попередній, поточний та послідуючий.

До найбільш ефективних організаційних заходів при попередньому контролі, який забезпечує зниження шахрайських ризиків, пов'язаних з підготовкою та здачею усіх видів звітності, відносяться:

- розробка та виконання регламенту з інформаційної безпеки;

- розробка та виконання організаційних та технічних заходів із захисту інформації;

- виконання законодавства щодо дотримання вимог, пов'язаних із конфіденційності інформації, та інші.

При поточному контролі можна виділити:

- криптографічне перетворення інформації (шифрування);

- використання програмно-апаратних комплексів по захисту інформації;

- інформування співробітників про закритість інформації;

- обмеження фізичного доступу (контроль доступу до приміщень);

- розрахунок і актуалізація ризиків атак на інформацію;

- актуалізація списку осіб, які мають доступ до конфіденційної інформації, та інші.

При послідуючому контролі виявленні шахрайських дій, пов'язаних з підготовкою та здачею усіх видів звітності, передбачає проведення контрольних заходів у вигляді тематичних перевірок. При цьому, найбільш ефективними способами та методами контроля являються:

- перевірка виконання регламенту з інформаційної безпеки;

- перевірка виконання організаційних і технічних заходів із захисту інформації;

- перевірка виконання законодавства щодо дотримання вимог, пов'язаних із конфіденційності інформації;

- аналіз журналів реєстрації операційної системи і прикладного програмного забезпечення;

- застосування систем аналізу захищеності (сканери безпеки) та інші.

Безпечного вам бізнесу!

Все материалы автора