Проблемы безопасности информации предприятия и пути их решения

     Информационная  безопасность дает гарантию того, что  достигаются следующие цели:

• конфиденциальность критической информации;
• целостность информации и связанных с ней процессов (создания, ввода, обработки и вывода);
• доступность информации, когда она нужна;
• учет всех процессов, связанных с информацией.

     Некоторые технологии по защите системы и обеспечению  учета всех событий могут быть встроены в сам компьютер. Другие могут быть встроены в программы. Некоторые же выполняются людьми и являются реализацией указаний руководства, содержащихся в соответствующих руководящих документах. Принятие решения о выборе уровня сложности технологий для защиты системы требует установления критичности информации и последующего определения адекватного уровня безопасности. [8]

   Под критическими данными будем понимать данные, которые требуют защиты из-за вероятности нанесения (риска) ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение, или разрушение данных. Этот термин включает в себя данные, чье неправильное использование или раскрытие может отрицательно отразиться на способности организации решать свои задачи, персональные данные и другие данные, защита которых требуется указами Президента РФ, законами РФ и другими подзаконными документами. [2]

     Анализ  зарубежных и отечественных отчетов  о выявленных компьютерных преступлениях  позволяет описать основные технологии их совершения. Лишь немногие из них включают разрушение компьютеров или данных. Только в 3 процентах мошенничеств и 8 процентах злоупотреблений происходило специальное разрушение оборудования, уничтожение программ или данных. В большей части случаев мошенничеств и злоупотреблений использовалась информация - ею манипулировали, ее создавали, ее использовали. [23]

     Пять  основных технологий, использовавшихся при совершении компьютерных преступлений:

• Мошенничества;
• Ввод неавторизованной информации;
• Манипуляции разрешенной для ввода информацией;
• Манипуляции или неправильное использование файлов с информацией;
• Создание неавторизованных файлов с информацией;
• Обход внутренних мер защиты;
• Злоупотребления;
• Кража компьютерного времени, программ, информации и оборудования;
• Ввод неавторизованной информации;
• Создание неавторизованных файлов с информацией.

     Разработка  компьютерных программ для неслужебного использования и манипулирование или неправильное использование возможностей по проведению работ на компьютерах также относятся к ним.

     С другой стороны стоит рассмотреть  основные методы, использовавшиеся для  их совершения. Они включают:

       Наверное, самый распространенный  метод при совершении компьютерных  преступлений, так как он не  требует технических знаний и  относительно безопасен. Информация меняется в процессе ее ввода в компьютер или во время вывода. Например, при вводе документы могут быть заменены фальшивыми, вместо рабочих дискет подсунуты чужие, и данные могут быть сфальсифицированы.

     Следующие признаки могут свидетельствовать  о наличии уязвимых мест в информационной безопасности: не разработано положений о защите информации или они не соблюдаются; не назначен ответственный за информационную безопасность; пароли пишутся на компьютерных терминалах, помещаются в общедоступные места, ими делятся с другими, или они появляются на компьютерном экране при их вводе; удаленные терминалы и микрокомпьютеры оставляются без присмотра в рабочие и нерабочие часы; данные отображаются на компьютерных экранах, оставленных без присмотра; не существует ограничений на доступ к информации, или на характер ее использования; все пользователи имеют доступ ко всей информации и могут использовать все функции системы и т.д.

  Отсутствует документация или она не позволяет делать следующее: понимать получаемые отчеты и формулы, по которым получаются результаты, модифицировать программы, готовить данные для ввода, исправлять ошибки, производить оценку мер защиты, и понимать сами данные - их источники, формат хранения, взаимосвязи между ними.

   Мало внимания уделяется информационной безопасности. Хотя политика безопасности и существует, большинство людей считает, что на самом деле она не нужна. [7]

      Безопасность  информации влияет и обеспечивает общую (экономическую) безопасность организации, которая обеспечивается действенностью нормативных, организационных и материальных гарантий выявления, предупреждения и пресечения посягательств на порядок управления и законные права организации, его имущество, интеллектуальную собственность. [1]

      К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:

1. персонал (руководящие работники, производственный персонал, владеющий информацией, составляющей коммерческую тайну, и другой «уязвимый» персонал);
2. финансовые средства (валюта, драгоценности, финансовые документы и др.);
3. материальные ценности (здания, сооружения, хранилища, оборудование, производимая продукция, транспорт и т.д.);
4. информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну;
5. средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения,   линии телеграфной, телефонной, факсимильной, пейджинговой радио-  и космической связи, технические средства передачи и др.).

      Обеспечение безопасности экономической  структуры   представляет собой комплекс организационно-правовых,   социально-экономических, технико-технологических, административных, воспитательных, финансовых и специальных мер, направленных   на выявление, предупреждение и пресечение угроз и посягательств на стабильность функционирования и развития организация. [4]

      Разработка  и реализация концепции безопасности – это набор специальных мер  и средств, позволяющих разработать  концепцию в виде описательной модели-документа  и на этой основе перейти к составлению проекта, содержащего набор практических мер по обеспечению внешней и внутренней безопасности организации, с учетом организационного, технического, правового, финансового, информационного и специального обеспечения. [28]

      Зарубежный  и отечественный опыт обеспечения безопасности организации показывает, что для борьбы со всей совокупностью преступных и противоправных  действий необходима стройная и целенаправленная организация процесса противодействия, причем в организации этого процесса должны участвовать профессиональные специалисты, администрация предприятия, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.

      Накопленный опыт показывает, что:

1. обеспечение безопасности не может быть одноразовым актом. Это непрерывный процесс.
2. безопасность может быть обеспечена лишь при комплексном использовании всего арсенала средств защиты и противодействия во всех структурных элементах производственной системы и на всех этапах технологического цикла.
3. никакая система не может обеспечить требуемый уровень безопасности без надлежащей подготовки персонала организации и соблюдения им всех установленных правил, направленных на обеспечение безопасности.

      С учетом накопленного опыта систему  безопасности организации можно  определить как организованную совокупность специальных структур, средств, методов и мероприятий, обеспечивающих безопасность экономической деятельности от внутренних и внешних угроз. [6]

     Универсальных рецептов, позволяющих полностью  обезопасить предприятие  от  негативных действий собственных сотрудников, пока еще нет, как нет и средств обеспечения стопроцентной безопасности, однако есть возможность максимально снизить эту опасность, держать ее под контролем и избежать нежелательных последствий. Это – осознанная, организованная, последовательная и целенаправленная  кадровая политика. Она составляет столь же необходимое условие нормального функционирования предприятия, как и продуманные бизнес-планы. Эта политика базируется на трех основных принципах:

1. Разумный отбор персонала с помощью современных методов;
2. Продуманная и грамотно построенная система вознаграждения и служебного роста;
3. Организационная культура, поддерживающая в  организации микроклимат, благоприятный для совместной работы персонала.

     Организационные мероприятия по работе с  сотрудниками включают:

      - Беседы  при приеме на работу. При этом заключается соглашение  о выполнение требований по  защите коммерческих секретов.

      - Ознакомление с правилами и  процедурами работы с конфиденциальной  информацией. В подтверждение требований сохранения коммерческой тайны поступающий на работу сотрудник дает подписку (обязательство) о сохранении коммерческой тайны.

      - Обучение сотрудников правилам  и процедурам работы с конфиденциальной  информацией в соответствии с  их должностными обязанностями.

      - Систематический контроль за  соблюдением требований защиты  коммерческой тайны.

      - Беседы с увольняющимися, главная  цель которых – предотвратить  утечку информации или ее неправомерное  использование. Возможно получение   подписки о неразглашении известных сотруднику конфиденциальных сведений после его увольнения.

     Необходимо  отметить, что  внутренние угрозы безопасности  организации являются категориями  постоянными, не зависящими от роли, места, значения объекта в экономической  деятельности и направленности источников внешних угроз безопасности. [4]

      Система связи и потоков информации в  будущем может и должна быть во многом усовершенствована. Использование системного подхода в планировании позволит создавать более конкретные и точные перспективные планы, которые послужат информационной основой для более детального планирования на низших уровнях руководства. Кроме того, изменение организационных отношений в результате внедрения системного подхода позволит создать более четкую и упорядоченную сеть связи. В современных организациях часто происходит потеря информации в каналах связи. Для обеспечения уверенности в том, что информация поступила по назначению, необходимо создавать сети связи со значительной избыточностью. Более глубокое понимание внутриорганизационных взаимоотношений позволит улучшить характеристики информационно-решающей системы. Эффективное управление даст возможность предпринимательской организации уменьшить сбор, накопление и обработку несущественных, ошибочных или ненужных данных. Возможность уменьшения объема статических данных при одновременном увеличении полезной информации будет одним из наиболее важных вкладов системного подхода в организацию. [30] 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

ΙΙ. Проблемы безопасности информации предприятия и пути их решения 
 
 

2.1. Общие вопросы защиты предпринимательской   информации 
 

      Предпринимательская (коммерческая) деятельность тесно  взаимосвязана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Возникает вопрос: вся ли эта информация подлежит защите или только отдельные ее группы? Если же для защиты выделяется только определенная группа информации, то по каким критериям (свойствам)?

      Отвечая на поставленные вопросы, следует подчеркнуть, защите подлежит не вся информация, а только та, которая представляет ценность для предпринимателя. При определении ценности предпринимательской информации необходимо руководствоваться такими критериями (свойствами), как полезность, своевременность и достоверность поступивших сведений. [4]

      По  подсчетам американских специалистов, утрата 20 процентов информации ведет к разорению фирмы в течение месяца в 60 случаях из 100. Поэтому не случайно законодательному регулированию этой проблемы уделяется все больше внимания. В УК России есть такие статьи, как 275 (государственная измена), 276 (шпионаж), 283 (разглашение сведений, составляющих государственную тайну) и 284 (утрата документов, содержащих сведения, относимые к государственной тайне). Однако, в данном случае надо сосредоточить внимание на чисто экономическом аспекте информационной безопасности, исходя из того, что такая информация — результат интеллектуального труда, т.е. прежде всего категория экономическая — это товар. [30]