3 Разработка стратегии экономической безопасности ооо агрофирма «биокор-с»

3.1 Обоснование направлений стратегии экономической безопасности

Политика информационной безопасности – это важнейший документ, который регламентирует процессы достижения и предоставления информационной защищенности предприятия. Он включает в себя совокупность правил, основ и инструкций с целью защиты информационных активов организации от рисков, появившихся в следствии осуществлении угроз информационной безопасности. Политика информационной безопасности формируется в соответствии положениями российских и национальных стандартов, а также современных практик.

Политика информационной безопасности формирует четкие правила и принципы, которые могут обеспечить защиту информационных ресурсов и уменьшить уязвимость предприятия перед возникшими угрозами. Но, в первую очередь, прежде чем создать данные принципы и правила, необходимо разобраться в аспектах формирования политики информационной безопасности и ее осуществлении.

Политика безопасности в ООО Агрофирма «Биокор-С» должна выстраиваться по итогам подробного рассмотрения рисков и угроз. Изучению подлежат текущая концепция защиты информационной инфраструктуры, а также человеческие ресурсы. Кроме того, при создании политики следует принимать во внимание специфику деятельности предприятия.

Эффективна политика информационной безопасности ООО Агрофирма «Биокор-С» должна включать в себя документацию, состоящих из трех уровней:

Таблица 20 – Уровни документации в политике безопасности

Уровни	Описание уровней
Верхний	это документы, содержащие перечень основных рисков и целей в сфере защиты конфиденциальной информации
Основной (средний)	это документы с перечнем информации, которая подлежит защите (реестр информационных активов или их категорий). Некоторые организации детализируют их, перечисляя все разрешенные действия с данными. Также в документацию среднего уровня включают положения об ответственности персонала за несоблюдение требований.
Технический	это документы, определяющие меры по защите информации и обязанности конкретных сотрудников.

Второй принцип правильной подачи политики – точное определение каждого пункта. Выполнение данного условия указывает о серьезном отношении организации к вопросам предоставления защищенности.

Утрата формализованной политики безопасности предприятия приводит не только к внутренним проблемам формирования бизнес-процессов, но и отрицательно сказывается на конкурентоспособность, репутацию для акционеров предприятия.

Политика ООО Агрофирма «Биокор-С» в области информационной безопасности должна включать в себя следующие аспекты:

1) Стратегию, которая устанавливает цель и основную миссию политики;

2) Стандарты, то есть сами основы формирования безопасности;

3) Последовательность определенных действий, которые работники обязаны осуществлять в ходе взаимодействия с конфиденциальными данными компании;

4) Инструкции – последовательность операций по реагированию и своевременному восстановлению информационных систем в случае внезапных обстоятельств.

Немаловажно, чтобы все без исключения положения были сопряжены между собой и не противоречили друг другу.

К введению политики необходимо начинать только лишь в том случае, если документы полностью сформированы и согласованы. В таблице 21, приведен порядок действий при внедрении политики информационной безопасности в ООО Агрофирма «Биокор-С».

Таблица 21 – Этапы внедрении политики безопасности

Оценить информационную инфраструктуру компании на предмет уязвимости и принять меры, перечисленные в политике безопасности.

Создать методические материалы и инструкции, регламентирующие работу с информацией. Например, прописать перечень разрешенных для использования интернет-ресурсов, правила доступа к защищаемым объектам и информационным активам и т. д.

Внедрить утвержденные инструменты защиты данных, которые еще не используются компанией.

Ознакомить персонал с утвержденными положениями. Например, можно провести инструктаж или семинар. В конце таких мероприятий сотрудники обычно ставят подписи в подтверждение, что ознакомлены с документами.  Для оценки эффективности внедренной политики ИБ следует регулярно проводить аудит. В ходе проверок выясняется, насколько качественно выполняются задачи по обеспечению безопасности информационного периметра.

К сожалению, определенные работники предприятия не придерживаются политики информационной безопасности организации и совершают незаконные либо необдуманные действия, которые приводят к тяжелым последствиям и утечке данных.

Для такого, чтобы раскрыть данные нарушения силами службы безопасности, понадобится довольно большой период времени. Данную проблему могут облегчить технические средства для избегания таких последствий – DLP-системы (Data Leak Prevention).

DLP-система содержит в себе комплекс методов для борьбы с утечками данных, исходящими от лиц, которые могут раскрыть значительно важную информацию для организации по неосторожности либо с целью причинить вред компании.

Устранение потери данных считается базовым принципом безопасности в организации разного масштаба.

Выше упомянули, что утрата секретной информации и иных видов корпоративной информации способна послужить причиной к существенным экономическим, финансовым и репутационным потерям. Несмотря на то, что организации в настоящее время достаточно хорошо осведомлены о данных угрозах, а защита информации стала важной проблемой, большая часть предприятий не до конца могут понять бизнес-повод для инициатив введения DLP.

Обстоятельства, согласно которым DLP-система необходима ООО Агрофирме «Биокор-С»: не все утраты данных считаются итогом внешних умышленных атак. Неожиданное выявление либо неверное обращение с конфиденциальной информацией внутренними работниками сложно раскрыть, в случае если кто-то применяет собственный законный доступ к данным в сомнительных целях. DLP-система может заблокировать передачу секретных сведений на накопители USB и другие съемные носители, кроме того предоставляет возможность использовать политики, обеспечивающие защиту сведений в каждом определенном случае.

В соответствии с Федеральным законом № 152, в случае если организация хранит и применяет персональные сведения, то в таком случае она считается оператором персональных данных и несет ответственность за их защищенность. В этом случае за нарушение данного закона предназначена ответственность в виде затрат:

• физическое лицо – 700 – 2000 рублей;

• должностное лицо – 4000 – 10000 рублей;

• юридическое лицо – 250000 – 500000 рублей.

Чаще всего утечке информации подвергаются следующие типы данных, представленных в таблице 22.

Таблица 22 – Типы данных, подвергающихся утечке информации

Типы данных	Описание
Информация о клиентах и сделках	Может иметь серьезные последствия для компании, включая ущерб репутации, потерю доверия клиентов, уменьшение прибыли и возможные правовые последствия.
Техническая информация	Может быть весьма разнообразной и включает в себя, например, интеллектуальную собственность (например, патенты, авторские права, торговые марки), технические чертежи, схемы, документацию по производству, исходный код программного обеспечения, расчеты и так далее.
Персональные данные	Это может быть любая информация, которая может быть использована для идентификации личности, такая как имя, адрес, номер социального страхования, номер паспорта, номер кредитной карты и другие личные данные.
Информация о партнерах	Конфиденциальная информация, связанная с партнерами или клиентами организации, становится доступной для широкой публики или конкурентов.

Политика информационной безопасности ООО Агрофирма «Биокор-С» нужна с целью выстраивания концепции защиты информационных ресурсов от различных типов угроз и их нейтрализации. При формировании политики информационной безопасности рекомендуется концентрировать внимание на этапе ее введения в организацию и контролировать их соблюдение абсолютно всеми сторонами (участниками). В данном случае могут помочь DLP-система, которая отслеживает деятельность работников организации и разрабатывают доказательную базу для предотвращения утечки информации.