Проблемы безопасности информации предприятия и пути их решения

      Второй  вопрос касается изучения самой частной фирмы перед тем, как обратиться к ней за помощью. Имеются данные, что некоторые частные детективные образования, вместо того, чтобы действовать в соответствии со своим уставом, занимаются вымогательством, шантажом представителей других предпринимательских фирм. В принципе здесь идет обоюдная проверка заказчика и клиента перед тем, как заключить договор. Игнорирование этим подходом может привести к серьезным ошибкам.

      Как показывает зарубежная практика работы частных фирм, утечка информации зачастую происходит по инициативе их же сотрудников. В мотивационной основе совершаемых поступков лежит корысть (получить

________________________

¹⁰Ойхман Е.Г., Попов Э.В. Реинжиниринг бизнеса: реинжиниринг организации и информационные технологии. – М.: Финансы и статистика, 2000.

значительную  сумму денег) или месть (не исключая заодно и материальную выгоду), например, со стороны уволенного работника, имевшего доступ к предпринимательской информации. В этой связи, целесообразно обращать внимание на лиц, которые в процессе хозяйственной или иной деятельности проявляют необоснованный интерес к информационным хранилищам, предполагаемым сделкам и партнерам. При возникновении серьезных подозрений о недобросовестности сотрудника по отношению к фирме, предпочтительнее с ним расстаться. [14]

      Компьютеризация предпринимательских структур, накопление с ее помощью различной информации привлекает как конкурентов, так и преступников. Зачастую лица, желающие воспользоваться этой информацией, находятся среди обслуживающего персонала, а это уже проблема внутренней безопасности.

      Задача  службы безопасности своевременно выявить среди обслуживающего персонала тех сотрудников, которые вынашивают намерения использовать имеющиеся в их распоряжении сведения для продажи другим лицам или использовать в своих личных целях для получения выгоды. Помимо действия в интересах конкурента, могут совершиться и действия, преследуемые по закону: мошенничество, саботаж, повреждение ЭВМ. [22]

      Если  исходить из зарубежного опыта, то с  волной компьютерных преступлений, уже для нас не новых, но не в полном объеме пока урегулированных на законодательном уровне, нам придется столкнуться в недалеком будущем.

      Субъектами  этих преступлений, как правило, являются высокообразованные специалисты, имеющие доступ к секретным программам, шифрам, кодам. В банковских системах, например, совершается мошенничество (снимаются деньги со счетов клиентов вымышленным лицом, занимаются спекуляцией, используя банковский капитал, на валютных биржах, оплачивают собственные счета и т. д.). [16]

      Развитию  данного вида преступлений способствует также и то, что фирмы и банки не стремятся оглашать факты компьютерных краж, чтобы не отпугнуть клиентов. Преступники, зная такое положение, шантажируют владельцев банков, угрожают раскрыть секретные коды и шифры, что может повлечь миллионы расходов для их замены. Только на расследование государственными, частными службами компьютерных ошибок банков приходится тратить около 20 млрд. долларов в год. [29]

      Предприятия, располагающие ценной информацией, должны хранить ее в специальных  несгораемых шкафах или сейфах, не допускать утери ключей от них или передачи на хранение другим лицам, даже из числа особо доверенных.

      Зарубежные  фирмы, например, используют для хранения секретной информации сейфы (шкафы), открываемые с помощью специальной  магнитной карты или других сложных  сигнальных электронных устройств. Следует отметить, что и эта мера значительно затрудняет к ним доступ. Особенно при наличии комплекса защитных (физических и технических) мер здания, где расположен сейф, иное хранилище. [24]

      Осуществление специальных внутренних и внешних мер защиты ценных информационных систем должно возлагаться на специально подготовленных лиц. В этой связи, предпринимателю целесообразно обращаться за помощью к частным детективным фирмам, специализирующимся на сыске и охране собственности.  Могут создаваться  и собственные службы безопасности. Здесь предприниматель сам  решает, что ему выгоднее: мириться с утечкой информации или привлекать частные службы безопасности к ее защите. Вопрос состоит в том, какой из убытков меньший: при утечке секретов или их охране. [21]

      Зарубежные  крупные и состоятельные фирмы  вводят в свой штат дополнительную должность - сотрудника, занимающегося  противодействием хищению ценной информации. Другие же фирмы постоянно или  периодически пользуются услугами частных  служб,  специализирующихся на сыске и охране. Штатная численность этих служб насчитывает десятки тысяч сотрудников. Тенденция роста их рядов не сокращается. В действиях частных служб и полиции возникают противоречия, но их пытаются уладить с помощью закона   или на паритетной основе. Существует договоренность об обмене информацией, если на охраняемой территории совершается преступление. [16]

      В Российской Федерации принят Закон  “О частной детективной и охранной деятельности в Российской Федерации”, который содержит положения о сыскной и охранной частной деятельности. Оценивая данный закон с критических позиций,  следует указать и на такие положения, заслуживающие внимания, как оказание детективами на возмездной договорной основе помощи гражданам и организациям независимо от их форм собственности. Перечисляются виды разрешаемых и запрещаемых услуг, которые могут оказывать субъекты негосударственной детективной и охранной деятельности: сыщики и охранники.

      В частности, Закон предусматривает  возможность создания акционерными обществами собственных служб безопасности, которые, сре6ди других задач, призваны вести “изучение рынка, сбор информации для деловых переговоров выявление некредитоспособных или ненадежных деловых партнеров; установление обстоятельств недобросовестной конкуренции..., а также разглашение сведений, составляющих коммерческую тайну” (ст. 3.). [17]

      Подводя итоги, следует отметить, что защита специальными мерами ценной информации должна осуществляться как против конкурентов, так и преступных элементов, пытающихся овладеть ею.

      Меры  защиты зависят от тех способов и  приемов, которые применяют похитители. Использование для защиты секретов частных фирм самых сложных  электронных  устройств позволяет только сдерживать их утечку, но не останавливать этот вид деятельности, широко получивший в мировой практике название промышленный (коммерческий) шпионаж. [9]

      Самый благоприятный общественно-экономический  климат для развития предпринимательства  не сможет предотвратить банкротства, если в результате удачной шпионской акции будут похищены секретные для фирмы (компании) сведения. Шпионаж - это тень рыночно-конкурентной деятельности, двигатель для одних фирм и тормоз для других. [16]

      В экономической литературе, исследующей  развитие предпринимательской деятельности, обращается внимание на поддержание этики честной коммерческой деятельности. В ходе же конкурентной борьбы как неотъемлемого элемента рыночного хозяйствования использование промышленного шпионажа нельзя отнести к этическим видам деловых взаимоотношений предпринимателей. Однако рыночно-конкурентная деятельность немыслима, как показывает зарубежная практика, без экономического, производственного, научно-технического и других видов шпионажа. [4]

     В целях безопасности информации не следует  пренебрегать и мерами физической безопасности:

     1.Предотвратить  злонамеренные разрушения, неавторизованное  использование или кражу

     2. Стихийные бедствия могут нанести  большой ущерб как большим,  так и маленьким компаниям.

     3. Защищайте все носители информации ( исходные документы, ленты, картриджи, диски, распечатки)

     4. Удостоверьтесь, что существуют  адекватные планы действий при  ЧП (планы обеспечения непрерывной  работы).

     Потеря  данных, на основе которых ведется  управление бизнесом, означает для  организации чуть ли не катастрофу.  По данным Миннесотского университета, 93% компаний, лишившихся доступа к своим данным на срок более 10 дней, покинули бизнес, причем половина из них заявила о своей несостоятельности немедленно. [29]

     Хотя  компании, опасаясь за свое реноме, предпочитают замалчивать случаи крушения их информационных систем и вторжения в них, статистика подобных происшествий все же существует. Так, подкомитет по расследованиям при сенате США недавно провел соответствующий опрос среди 500 крупнейших индустриальных компаний страны. Более половины респондентов (264 фирмы) воздержались от ответа, однако 140 компаний признали, что их информационные системы подвергались нападениям в течение последнего года, и почти пятая часть из них сообщила, что понесенные при этом убытки составили свыше 1 млн. дол. [29]

     В Российской Федерации такие исследования не проводились, но, конечно, события  подобного рода иногда происходят. Например, в сеть одного крупного торгового  зала проникли вирусы, и два дня, пока не была восстановлена информационная среда, фирма осуществляла только оптовые торговые операции. В результате оборот снизился в несколько раз, клиенты, не получавшие требуемых услуг, высказывали свое недовольство, персонал работал неэффективно, а системные администраторы в авральном порядке с утра до ночи "чистили" систему и восстанавливали информацию на дисках. Учитывая статистику Миннесотского университета, можно сказать, что фирма легко отделалась. [29]

     Российские  предприниматели под давлением  фактов, а иногда и личного опыта, наконец, начали осознавать ценность информации, содержащейся в их корпоративных сетях. Следствием этого стало проявление некоторого, пока еще не слишком активного, интереса к системам безопасности. Немалую роль в продвижении технологий безопасности играют и отечественные системные интеграторы, в задачи которых входит создание комплексных информационных систем поддержки бизнеса и разработка технических и организационно-режимных мероприятий для повышения их безопасности. [24]

     Правда, на сегодняшний день российские бизнесмены все же больше озабочены надежностью функционирования своих компьютерных систем и их защиты от вирусов, нежели созданием барьеров, ограждающих от несанкционированного доступа. Возможно, это пока оправданно, поскольку лишь немногие фирмы содержат в компьютерных сетях информацию, ценность которой адекватна расходам на ее извлечение.

     Обсуждая  вопросы безопасности информации в  компьютерной системе со специалистами  известных российских фирм, занимающихся системной интеграцией - таких как IBS, "ЛВС", "АйТи", "Анкей", "Оптима" и RPI, - авторы выделили два основных принципа организации информационных систем. Во-первых, это комплексный подход к построению системы, охватывающий как применение специальных аппаратных и программных средств, так и проведение организационно-режимных мероприятий. Во-вторых, высокие требования к квалификации обслуживающего персонала. Глобальными факторами, влияющими на функционирование системы и сохранность данных, являются сбой системы, случайное уничтожение ее отдельных компонентов и несанкционированный доступ к системе. Поскольку первые два фактора не связаны с прямой атакой на содержимое информационной системы, их можно объединить термином "несчастный случай".[30]

      Специальные меры, которые осуществляются при  защите информации, можно подразделить на внешние и внутренние.

      К внешним мероприятиям относятся  следующие: изучение партнеров, клиентов, с которыми приходится вести хозяйственную, коммерческую деятельность, сбор информации об их надежности, платежеспособности и других данных. При необходимости производится изучение связей сотрудников частной фирмы. Выясняются лица, проявляющие интерес к фирме, ее деятельности, сотрудникам, не относятся ли они к конкурирующей фирме или к преступной группе. В случае установления, что эти лица допустили какие-либо противозаконные действия, необходимо информировать соответствующий правоохранительный орган. Тем самым пресекается преступная деятельность и, в том числе, интерес к частной фирме. По возможности желательно установить, в чем суть этого интереса и кому понадобилась та или иная информация. Не повторится ли он в будущем, т.е. что можно ожидать от конкурента (не исключено и преступных элементов). [24]

      В ходе осуществления внутренних мероприятий  по обеспечению безопасности решаются следующие вопросы. Подбор, проверка лиц, желающих поступить на работу в частное предприятие. Изучаются их анкетные данные, поведение по месту жительства и прежней работы, личные и деловые качества, положительные и отрицательные стороны изучаемого лица, межличностные отношения. Находился ли в конфликте с законом (судимость, административные задержания, связь с преступным миром). В ходе анализа собранных материалов выясняется, нет ли каких-либо в них противоречий. Дополнительно может проводиться тестирование лица для выяснения моральных или других качеств. Обращается внимание на возможную работу   в конкурирующей фирме и причины ухода. После этого делается вывод о пригодности кандидата к работе в данной фирме. На этом этапе изучения сотрудника интерес к нему не заканчивается. Периодически или в зависимости от поведения продолжают изучаться и анализироваться его поступки, затрагивающие интерес (секреты) фирмы. Не исключено, что конкурент может специально направить своих людей для устройства на работу в интересующее его предприятие с целью получения о нем ценных сведений. [16]