ОДК УМПО. Совершенствование системы финансовой безопасности на предприятии (на материалах пао одк умпо)
 Скачать 2.09 Mb.
|
Мероприятия по устранению рисков и угроз деятельности предприятияОсновополагающим элементом достижения компанией своих стратегических и оперативных задач является эффективная корпоративная система управления рисками. Основные риски были рассмотрены в пункте 2.4. Далее стоит рассмотреть мероприятия по предотвращению рисков. Одним из основных рисков на ПАО «ОДК-УМПО» является риск заимствования технологий иностранными разработчиками схем авиационных двигателей. Основные факторы риска: – демонстрация технологии без ее предварительной регистрации в качестве патента; – разглашение сотрудниками инженерами, которые непосредственно связаны с работой над этой технологией; – кража конфиденциальной информации. Для успешной минимизации возможного наступления, а также воздействия данного риска предлагается провести несколько мероприятий, а именно: 1) разработать и внедрить стратегии по защите ПАО «ОДК-УМПО» от кибератак. Ответственным лицом за реализацию данного мероприятия является главный аналитик по информационной безопасности. Срок внедрения данного мероприятия составляет 3 месяца, с учетом подготовительных работ. Стоимость данного мероприятия составляет 255 650 рублей. На территории ПАО «ОДК-УМПО» необходимо внедрить следующие способы защиты: – использовать оригинальное программное обеспечение CrowdStrike; – подключить антивирусное программное обеспечение Kaspersky Total Security Plus; – обучение сотрудников отдела ОКЦБ цифровой грамотности в аналитическом центре «НАФИ». Благодаря тому, что на предприятии существует локальная сеть, это минимизирует утечку информации, однако есть внешние носители, такие как флеш-карта, жесткий диск, HDD и SSD диски. Для того, чтобы следить за подключением внешних источников памяти, необходимо использовать VPN систему «BIG-IP Edge Client». Сотрудники отдела по информационной безопасности смогут с помощью удаленного доступа, безопасно использовать и следить за ресурсами через шифрованные тоннели.  Рисунок 3.3. – Схема процесса использования системы «BIG-IP Edge Client». Также необходимым шагом является установка в качестве антивирусного программного обеспечения на предприятии ПАО «ОДК-УМПО» Kaspersky Total Security Plus для бизнеса, так как он имеет наибольший широкий спектр защит.  Рисунок 3.4 – Интерфейс Kaspersky Total Security Plus Также существенным шагом является проведение семинаров и тренингов по цифровой грамотности среди работников предприятия. Это будет осуществляться с помощью сторонних специалистов аналитического центра «НАФИ». Курс занимает 12 месяцев на платформе «Цифровой гражданин». Данное мероприятие будет проводится на разных временных плоскостях, чтобы не останавливать работу. Данная платформа включает в себя научную базу теста, которая разработана специалистами аналитического центра НАФИ, экспертами группы DigiComp при Европейской комиссии, экспертами АНО «Цифровая экономика. По результатам тестирования руководство получает комплексное исследование, которое включает в себя оценку актуального уровня цифровой грамотности кадров.  Рисунок 3.5 – Структура платформы «Цифровой гражданин» Рекомендуется обратиться ПАО «ОДК-УМПО» к компании CrowdStrike для того, чтобы воспользоваться услугами по защите от кибератак.  Рисунок 3.6 – Интерфейс программного обеспечения CrowdStrike Стоимость программного обеспечения составляет 50 000 рублей в год. Данный модуль Falcon Prevent в системе CrowdStrike, представляет собой антивирусную технологию нового поколения Crowdstrike Falcon на основе платформы NGAV. Это позволяет обнаруживать подозрительную активность, предотвращать и устранять нарушения в системе безопасности, пока они не произошли. Falcon Insight – EDR обеспечивает постоянную и всеобъемлющую видимость конечных устройств, которая охватывает выявление, реагирование и расследования. Falcon Device Control – продукт, предоставляющий полную видимость использования USB приборов. Falcon Overwatch – механизм обнаружения человеческих угроз, который работает как часть команды, неустанно ищет и останавливает сложные скрытые угрозы. Falcon Discover – решения по IТ-гигиене, которое позволяет в режиме реального времени определять несанкционированные системы и программы в окружении, а также быстро исправлять проблемы для улучшения общего состояния безопасности. Falcon Spotlight – продукт для оценки уязвимостей, который помогает организациям определять приоритеты, находить и исправлять уязвимости раньше, чем они приводят к нарушениям. Falcon X – решение для автоматического расследования инцидентов, ускорения сортировки уведомлений и реагирования. Falcon Search Engine – решение, в котором сочетание быстрого и всестороннего поиска вредоносных программ с CrowdStrike Falcon Intelligence дает аналитикам SOC значительное преимущество для опережения злоумышленников. Срок внедрения и период адаптации сотрудников к данному программному обеспечению составляет 2 недели. Следующим мероприятием является: 2) организация системы защиты конфиденциальной информации в ПАО «ОДК-УМПО», это свою очередь даст обеспечения сохранности технологий в сфере авиационных двигателей. Ответственные лица за данное мероприятие будут сотрудник из юридического отдела, из отдела по информационной и экономической безопасности, а также главный инженер. Срок реализации мероприятия составляет 6 месяцев. Стоимость данного мероприятия 500 000 рублей. Система защиты конфиденциальной информации в компании организуется на 3 уровнях: – правовой, за которую отвечает юрист; – организационный; – технический, за который отвечает сотрудник информационной безопасности (рис. 3.7).  Рисунок 3.7 – Процесс сохранности конфиденциальной информации на ПАО «ОДК-УМПО» Первые два уровня реализуются посредством управленческих процессов: приведение IT-инфраструктуры компании в соответствие с требованиями законодательства, разработка регламентов, порядка разграничения прав доступа, правил работы с носителями и иные мероприятия. Данным вопросом будет заниматься главный юрист предприятия. Третий уровень, технический, это внедрение и использование конкретных средств и решений. Организационные меры по обеспечению защиты конфиденциальной информации - непродуктивны без средств, обеспечивающих их реализацию. Но и внедрение таких средств без четко проработанных правовых и организационных моментов может не принести должного эффекта. Этот вопрос возложен на аналитика из отдела информационной безопасности. Далее стоит рассмотреть средства защиты информации в таблице 3.3. Таблица 3.3 – Средства защиты информации ПАО «ОДК-УМПО»
Таким образом, данные мероприятия смогут положительно повлиять на ликвидацию и устранение рисков и угроз деятельности предприятия, так как предложенные меры являются оперативным способом решения первостепенных угроз. |