Авторські блоги та коментарі до них відображають виключно точку зору їхніх авторів. Редакція ЛІГА.net може не поділяти думку авторів блогів.

25.08.2020 11:34

Корпоративне шахрайство: конфіденційна інформація

Ігор Шевцов Заступник директора "SK Security"

Прогрес зробив підприємства залежними від інформаційних систем, але одночасно з цим вразливими до комп'ютерних вірусів, атак хакерів та власних співробітників.

Інформаційна безпека – захищеність інформації компанії від навмисних або ненавмисних дій, які наносять будь-який збиток її власникам чи третім особам.

Це процес забезпечення її доступності, цілісності та конфіденційності.

Читайте такожМенше йогуртів, більше алкоголю. Як змінилася купівельна поведінка українців Як штучний інтелект може зробити нас незалежними від імпорту газу Непримиримі партнери. Як під час війни співпрацюють виробники та продуктовий ритейл

Забезпечення інформаційної безпеки повинно забезпечувати запобігання ризиків, а не ліквідацію їх наслідків. Будь-який витік інформації може призвести до серйозних проблем для компанії – від значних фінансових втрат до повної ліквідації.

Конфіденційна інформація (з обмеженим доступом) включає в себе комерційну, ділову, персоніфіковану та іншу секретну інформацію.

З найбільш поширених шахрайських дій, пов'язаних з підготовкою та здачею всіх видів звітності, можна виділити:

- Отримання інформації обмеженого доступу за допомогою інших співробітників компанії;

- Отримання інформації обмеженого доступу через програми та корпоративні інформаційні системи;

- Сприяння у впровадженні конкурентами на підприємстві осіб з метою послідуючого отримання за їх допомогою інформації з обмеженим доступом;

- Обслуговування працівниками інформаційних потоків, діяльність яких використовується на шкоду інтересам компанії та інші.

Для попередження та виявлення шахрайських дій необхідно використовувати основні три види контролю: попередній, поточний та послідуючий.

До найбільш ефективних організаційних заходів при попередньому контролі, який забезпечує зниження шахрайських ризиків, пов'язаних з підготовкою та здачею усіх видів звітності, відносяться:

- розробка та виконання регламенту з інформаційної безпеки;

- розробка та виконання організаційних та технічних заходів із захисту інформації;

- виконання законодавства щодо дотримання вимог, пов'язаних із конфіденційності інформації, та інші.

При поточному контролі можна виділити:

- криптографічне перетворення інформації (шифрування);

- використання програмно-апаратних комплексів по захисту інформації;

- інформування співробітників про закритість інформації;

- обмеження фізичного доступу (контроль доступу до приміщень);

- розрахунок і актуалізація ризиків атак на інформацію;

- актуалізація списку осіб, які мають доступ до конфіденційної інформації, та інші.

При послідуючому контролі виявленні шахрайських дій, пов'язаних з підготовкою та здачею усіх видів звітності, передбачає проведення контрольних заходів у вигляді тематичних перевірок. При цьому, найбільш ефективними способами та методами контроля являються:

- перевірка виконання регламенту з інформаційної безпеки;

- перевірка виконання організаційних і технічних заходів із захисту інформації;

- перевірка виконання законодавства щодо дотримання вимог, пов'язаних із конфіденційності інформації;

- аналіз журналів реєстрації операційної системи і прикладного програмного забезпечення;

- застосування систем аналізу захищеності (сканери безпеки) та інші.

Безпечного вам бізнесу!

Усі матеріали автора