Научная статья на тему 'Особенности обеспечения информационной безопасности предприятий малого и среднего бизнеса'

Особенности обеспечения информационной безопасности предприятий малого и среднего бизнеса Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1138
140
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Пузанова Г. А., Пузанов А. А.

Рассмотрено текущее состояние информационной безопасности на предприятиях малого и среднего бизнеса и предложены меры для улучшения ситуации, в том числе основанные на опыте Национального института стандартов и технологий США. Подчеркнута важность человеческого фактора в обеспечении информационной безопасности.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Особенности обеспечения информационной безопасности предприятий малого и среднего бизнеса»

Актуальные проблемы авиации и космонавтики. Социально-экономические и гуманитарные науки

Приоритетной целью кадровой политики предприятия является формирование высококвалифицированного и мотивированного коллектива, способного повысить конкурентоспособность и укрепить лидирующие позиции фирмы на рынке космической техники.

Для поддержания конкурентоспособности используются следующие принципы формирования кадрового потенциала:

1. Привлечение лучших, осуществляя целевой набор в вузы страны из числа наиболее одаренных выпускников школ города по востребованным для предприятия специальностям, предоставляя возможность прохождения всех видов практик и дипломирования непосредственно на фирме.

2. Поощрение высоких результатов, совершенствуя систему мотивации персонала.

3. Развитие навыков и проведение обучения сотрудников за счет налаженной и выстроенной системы подготовки, переподготовки и повышения квалификации сотрудников.

4. Объективная оценка работы, проведение ежегодной оценки работы всего персонала предприятия.

5. Планирование карьеры своих сотрудников, постоянное формирование кадрового резерва на руководящие должности.

6. Забота о здоровье и благополучии персонала, соблюдая принцип социально-ответственного бизнеса.

Профессиональное обучение и повышение квалификации - целенаправленно организованный, планомерно и систематически осуществляемый процесс

формирования у работников предприятия профессиональных компетенций для обеспечения способности и результативности выполнения новых производственных задач в области создания современной космической техники, или в связи с ростом требований к профессии и повышением в должности.

Планирование и организация профессионального обучения и повышения квалификации работников ОАО «ИСС» осуществляется отделом по обучению и развитию персонала в соответствии с требованиями федеральных, отраслевых, и локальных нормативных актов. Ежегодно в системе профессионального обучения и повышения квалификации проходят подготовку более 20 % работников [2].

Таким образом, методы, принципы формирования кадрового потенциала организации должны быть направлены на достижение поставленных инновационных задач для конкретной организации, о чем свидетельствует опыт ведущих инновационных организаций аэрокосмической отрасли.

Библиографические ссылки

1. ГКНПЦ имени М. В. Хруничева : офиц. сайт [Электронный ресурс]. URL: http://www.khrunichev.ru/main.php?id=22.

2. ОАО «Информационные спутниковые системы имени академика М. Ф. Решетнева» : офиц. сайт [Электронный ресурс]. URL: http://www.npopm.ru/? cid=personnel&ses=53e7c4314bfcd721ba705.

© Подвербных У.С., 2013

УДК 004.056.5

Г. А. Пузанова Научный руководитель - А. А. Пузанов Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск

ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЙ

МАЛОГО И СРЕДНЕГО БИЗНЕСА

Рассмотрено текущее состояние информационной безопасности на предприятиях малого и среднего бизнеса и предложены меры для улучшения ситуации, в том числе основанные на опыте Национального института стандартов и технологий США. Подчеркнута важность человеческого фактора в обеспечении информационной безопасности.

В соответствии с федеральным законодательством субъектами малого и среднего бизнеса (далее - МСБ) являются хозяйствующие субъекты (юридические лица и индивидуальные предприниматели), отнесенные в соответствии с установленными условиями к малым предприятиям, в том числе к микропредприятиям, и средним предприятиям [1].

Предприятия МСБ играют значительную роль в экономике страны [2], и именно в этой сфере проблеме обеспечении информационной безопасности не уделяется должного внимания.

По данным исследований, 41 % небольших предприятий России считают угрозы информационной безопасности одним из своих главных бизнес-рисков. Наиболее распространенным мерами, применяемыми

для обеспечения информационной безопасности, являются антивирусная защита (70 %), регулярная установка обновлений программного обеспечения (62 %), а также политика и механизмы послеаварийного восстановления системы (46 %) [3].

На основании проведенного анализа можно сделать следующие выводы о существующих недостатках систем обеспечения информационной безопасности предприятий МСБ:

1. Недостаток финансовых ресурсов.

2. Отсутствие квалифицированных специалистов.

3. Невозможность систематической оценки и корректировки состояния информационной безопасности организаций.

Секция «Инновационные технологии управления персоналом»

Ситуация в области безопасности МСБ усугубляется отсутствием нормативов, учитывающих особенности этого сектора бизнеса в области информационной безопасности. Поэтому целесообразно изучить зарубежный опыт в этой сфере. Национальным институтом стандартов и технологий США (№8Т) издан рекомендательный документ об основах информационной безопасности предприятий малого и среднего бизнеса №8ТГЯ 7621. В нем указываются следующие «абсолютно необходимые» действия по обеспечению безопасности предприятий малого и среднего бизнеса.

1. Защита информации, систем или сетей от вирусов, шпионских программ и другого вредоносного кода.

2. Обеспечение безопасности при подключении к сети Интернет.

3. Установка и настройка программы средств защиты ЭВМ.

4. Своевременное обновление операционных систем и приложений.

5. Регулярное резервное копирование важных для бизнеса данных и информации.

6. Разграничение физического доступа к компьютерам и сетевым коммуникациям.

7. Защита беспроводных сетей и точек доступа.

8. Обучение сотрудников основным принципам обеспечения безопасности.

9. Создание отдельных учетных записей пользователей для каждого сотрудника на рабочих компьютерах и для бизнес-приложений.

10. Разграничение доступа сотрудников к данным и информации и ограничение полномочий для установки программного обеспечения [4].

Также хочется обратить внимание на то, что в данном документе особое внимание уделяется угрозам, связанным с человеческим фактором. Если в рамках программной и аппаратной защиты большинством российских предприятий МСБ применяются хотя бы минимальные меры, то эту часть угроз, как правило, игнорируют.

Так, при найме сотрудников необходимо выяснить, как минимум, не имели ли они судимостей, также, по возможности, желательно связаться с бывшими работодателями соискателя.

Необходимо уделить внимание и защите от социальной инженерии. Социальная инженерия является способом лично или дистанционно получить неавторизованный доступ к информации, системам, услугам или важным аспектам деятельности предприятия, манипулируя людьми [4].

Социальный инженер исследует организацию, чтобы узнать имена, должности, обязанности и пуб-

лично доступную личную идентификационную информацию. Затем социальный инженер обычно использует полученные данные на предприятии и с помощью правдоподобных, но выдуманных сведений, пытается убедить персонал, что некто (злоумышленник) связан с организацией и нуждается в информации или доступу в системы, которые работник организации может предоставить, при этом у работника создают ощущение, что он обязан сделать это.

Для защиты от социальной инженерии сотрудники должны быть специально проинструктированы. Работник обязан сначала идентифицировать абонента, спросив такую идентификационную информацию, которую будет знать только человек, который связан с организацией. Если такую информацию не могут предоставить, то работник должен вежливо, но твердо отказать в ее предоставлении, так как велика вероятность того, что информация была запрошена социальным инженером.

Сотрудник должен затем уведомить менеджмент о попытке получить информацию или доступа к системе.

Внедрение лучших практик, применяемых в других странах, поможет МСБ-предприятиям уменьшить издержки, связанные с информационной безопасностью. Также это будет полезно в качестве инструмента связей с общественностью, чтобы представлять бизнес в глазах клиентов, как тот, в котором безопасность данных клиентов имеет первостепенное значение.

Библиографические ссылки

1. О развитии малого и среднего предпринимательства в Российской Федерации : федер. закон от 24.07.2007 № 209-ФЗ (ред. от 01.07.2011) // СЗ РФ. 2007. № 31. Ст. 4006.

2. Статистика малого и среднего бизнеса -краткие итоги сплошного обследования Росстата в 2011 г. России [Электронный ресурс] // Ресурсный центр малого предпринимательства. URL: http://www.rcsme.ru/common/totals.asp.

3. Информационная безопасность малого и среднего бизнеса в России [Электронный ресурс] // ЗАО «Лаборатория Касперского». URL: http://www. kaspersky.ru /downloads/pdf/research_smb.pdf.

4. Kissel R. Small Business Information Security: The Fundamentals. - US Department of Commerce, National Institute of Standards and Technology, 2009.

© Пузанова Г. А., 2013

i Надоели баннеры? Вы всегда можете отключить рекламу.