Глава 1. Теоретические аспекты повышения информационной безопасности предприятия
1.1. Информационная безопасность в системе экономической безопасности: понятие, принципы, субъекты и объекты
Конфиденциальная для бизнеса информация входит в сферу повышенного интереса конкурирующих компаний. Для недобросовестных конкурентов, коррупционеров и других злоумышленников повышенный интерес представляет информация о составе менеджмента предприятий, их деятельности, финансовым отчетам и статусе. Доступ к конфиденциальной информации и ее изменение могут нанести значительные потери финансовому и социальному положению компании.
В этом случае утечка информации может быть даже частичной. В некоторых случаях даже обеспечение кражи 1/5 вашей конфиденциальной информации, может иметь серьезные последствия для финансовой безопасности и безопасности в целом. Причиной утечки информации предприятия могут быть различные случаи, вызванные неопытностью сотрудников.
Субъект информационной безопасности — это активный участник процессов в деятельности обеспечения информационной безопасности предприятия, влияющие на объект информационной безопасности независимо от характера этого воздействия: наносящего ущерб, разрушение или противодействующего этому.
Все совокупные субъекты информационной безопасности, аналогично субъектам безопасности, можно разделить на две группы: внешние и внутренние — и каждую из них еще на две: противодействующие и способствующие обеспечению информационной безопасности.
К внешним субъектам, которые оказывать содействие обеспечению информационной безопасности, относятся органы законодательной, исполнительной и судебной власти федерального уровня, исполнительной и судебной власти субъектов РФ, правоохранительные органы, органов местного самоуправления, отраслевые и функциональные министерства и ведомства, намеренно создаваемые органы и организации, координирующие и контролирующие информационные вопросы, банки и иные хозяйствующие субъекты, граждане.
К внешним субъектам, противодействующим обеспечению информационной безопасности, иметь отношение теневые (незаконные) экономические структуры, конкуренты, и элементы криминальных структур.
К внутренним субъектам, способствующим обеспечению информационной безопасности, относятся сотрудники и структурные подразделения (в том числе и специальные), непосредственно осуществляющие деятельность по защите информационной и экономической безопасности хозяйствующего субъекта на основании предоставленных им исполнительным органом предприятия полномочий принимать решения о задачах, целях, средствах и методах обеспечения информационной и экономической безопасности и осуществления их:
• служба экономической безопасности и ее сотрудники;
• сотрудники специализированных организаций, оказывающих услуги по договору;
• финансовая служба в целом и ее сотрудники;
• экономическая служба в целом и ее сотрудники;
• кадровая служба в целом и ее сотрудники;
• юридическая служба в целом и ее сотрудники;
• бухгалтерская служба в целом и ее сотрудники;
• служба автоматизации производственных процессов в целом и ее сотрудники;
• архивная служба и ее сотрудники;
• служба внутреннего аудита в целом и ее сотрудники и т.д.
К внутренним субъектам, препятствующим обеспечению информационной и экономической безопасности хозяйствующего субъекта, относятся сотрудники, не удовлетворенные социально-экономической политикой работодателя и своему положению в иерархии организации.
Сотрудник хозяйствующего субъекта является центральным, ключевым звеном всей совокупности субъектов информационной безопасности, так как он, с одной стороны, выполняет функции по обеспечению экономической безопасности организации в общем и информационной безопасности в частности, а с другой стороны, он может стать источником любой угрозы хозяйствующему субъекту, кроме техногенных угроз, природных катаклизмов, и противодействовать системе экономической безопасности.
Объектом информационной безопасности называется то, на что направлены действия субъектов негативного характера, приносящие ущерб, разрушение, и позитивного характера, предотвращающие первые.
Основными объектами, на которые направлены как негативные действия в информационной сфере, так и, сообразно, защитные мероприятия, являются:
1) все виды информационных ресурсов — информация, зафиксированная на материальном носителе, с реквизитами, позволяющими ее идентифицировать;
2) система формирования, распространения и использования информации (информационные системы и технологии, средства массовой информации, библиотеки, архивы, персонал, нормативные документы и т.д.).
На данный момент практически вся информация содержится в информационных системах, представляющих собой совокупность содержащейся в базах данных информации и обеспечивающих ее обработку с помощью информационных технологий и технических средств, так называемые сервера. Под информационными технологиями понимаются методы поиска, процессы, сбора, хранения, предоставления, обработки, распространения информации и способы осуществления таких процессов и методов.
К техническим средствам и устройствам передачи, хранения, обработки и отображения информации относятся средства вычислительной техники, средства изготовления и размножения документов, соединительные линии оборудования и так далее. Технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой производится с использованием средств вычислительной техники, именуется информационно-телекоммуникационной сетью (далее ИТС).
Информационные технологии и технические средства, обладая огромными возможностями в сфере обработки, сбора и передачи массивов информации локального и глобального масштабов, становятся объектом угроз информационной безопасности предприятия. Это в обязательном порядке устанавливает необходимость выделения их в самостоятельный объект информационной безопасности предприятия.
Примечательным представляется высказывание английских специалистов в сфере защиты информации: "Нет смысла тщательно проверять помещение перед заседанием, если кофе в помещение подается непроверенным сотрудником без соответствующего наблюдения"
В зависимости от формы представления информация может быть разделена:
Речевая информация. Возникает в ходе ведения в помещениях разговоров, работы систем связи, звукоусиления и звуковоспроизведения.
Телекоммуникационная информация. Циркулирует в технических средствах обработки и хранения информации, а также в каналах связи при ее передаче.
Документированная информация. Относят информацию, представленную на материальных носителях вместе с идентифицирующими ее реквизитами.
Информацию разделяют на информацию ограниченного доступа и открытого доступа. К информации ограниченного доступа относятся государственная тайна и конфиденциальная информация. Понятие "конфиденциальная информация" стало неотъемлемой частью российской юридической лексики. Сегодня оно используется в нескольких сотнях нормативных правовых актов РФ. Также данный термин все чаще используется в различных договорах: можно встретить целые разделы или даже отдельные соглашения о конфиденциальности. Огласку получило включение положений о запрете на распространение сведений конфиденциального характера в трудовых договорах.
Тем не менее, многие предприниматели и руководители на деле не вполне четко представляют себе, что входит в понятие "конфиденциальная информация", как ее следует держать в безопасности и как результаты подобной работы могут влиять на экономическое положение фирмы. Согласно ФЗ "Об информации, информационных технологиях и защите информации" понятие "конфиденциальная информация" - это обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Таким образом, информационная безопасность полагает обеспечение защиты данных от изменений или хищений как случайного, так и умышленного характера. Система обеспечения информационной безопасности в любой сфере – эффективный инструмент защиты интересов собственников и пользователей информации, а значит является важным элементом экономической безопасности любого предприятия.
1.2. Риски информационной безопасности предприятия
Современные предприятия и организации сталкиваются с самыми серьезными рисками для информационной безопасности.
Эти риски имеют как вешние, так и внутренние источники угроз. Информационной безопасности предприятий угрожают:
- вредоносные программы и проникающие извне злоумышленники
- собственные злонамеренные сотрудники - инсайдеры
- собственные сотрудники – незлонамеренные (халатные) нарушители
- стихийные бедствия (аварии в энергосистемах пожары, наводнения и т.д.).
Основные цели атак на информационные системы предприятий:
- получение контроля над ценными ресурсами, например, эксплуатация вычислительных ресурсов корпоративной сети, базы данных информации о личных данных сотрудников или кража финансовой информации
- ограничение деятельности предприятия по заказу недобросовестных конкурентов либо политических оппонентов, например, путем вывода из строя информационной системы, разрушения связей с партнерами и т.д.
Тщательный анализ рисков информационной безопасности позволяет открыть отрицательные факторы, негативно оказывающие влияние на основные бизнес-процессы предприятия, и оказывать действенные меры для их устранения или минимизации подобного воздействия. Упущение очень важной для бизнеса информации в конечном итоге приводит к существенным финансово-экономическим утратам. Не так важно, на какой-либо стадии развития находится информационная система организации, она должна отвечать установленному комплексу требований к обеспечению информационной безопасности предприятия. Существуют условия регуляторов, свободные от области, а имеются запросы, характерные для установленного сектора экономики. Вместе с тем имеются "лучшие практики", разрешающие предоставлять информационную безопасность на величине, соответствующей целям и запросам предоставленного сегмента бизнеса или управленческой деятельности. [4; C.368]
Угрозы для информационной безопасности могут быть исполнены в самом разном виде: аппаратных и программных закладок, вредоносных программ, ссылок на вредоносные ресурсы, устройств для перехвата сигналов связи, спам-рассылок, регламентов, позволяющих несанкционированный доступ инсайдеров и др.
Разные методы для нанесения вреда информационной безопасности становятся всё более таргетированными (нацеленными на конкретную отрасль и даже предприятие). Так, 17 июня 2010 года была выявлена специализированная вредоносная программа, атакующая автоматизированные системы оперативного диспетчерского управления производством, – компьютерный червь Stuxnet. Win32/Stuxnet — сетевой червь, поражающий компьютеры под управлением операционной системы Windows. 17 июня 2010 года его обнаружил антивирусный эксперт Сергей Уласень из белорусской компании «ВирусБлокАда». Существуют целые классы вредоносных программ, специфичных для отдельных областей экономики, например, троянцы-банкеры.
Успешная компьютерная атака на предприятие может вести к самым нехорошим последствиям - снижению репутации, финансовому ущербу и преследованию регуляторных органов.
Преобладающие виды угроз:
1. Негативная для предприятия экономическая политика государства. Регулирование экономики государством с помощью манипуляций, таких как: учетная ставка, определение валютного курса, таможенные налоги и тарифы, которые является причиной многих противоречий на предприятиях в сфере производства, коммерции и финансов.
Высокую угрозу для обеспечения безопасности информации предприятия несут административные обязательства выхода на рынок, которые приводят к насильственному ограничению товарно-денежных отношений, нарушению законов со стороны государства и ограничению деятельности предприятия. Нередко государство утрирует свою компетентность в коммерческой и финансовой сфере деятельности предприятия, а также без всякого основания вмешивается в пространство информации этих сфер и посягает на собственность предприятия в различных формах [3].
Огромную угрозу для обеспечения безопасности информации предприятия несут политические действия, которые направлены на ограничение или прекращение экономических связей. Санкции в экономике вызывают у обеих сторон недоверие к дальнейшей деятельности и разрывают коммерческие взаимоотношения. Все это ведет к дестабилизации экономических отношений, и не только на уровне государства.
2. Действия иных хозяйствующих субъектов. В данном случае риск обеспечению безопасности информации несет нездоровая конкуренция. Ненормальная или недобросовестная конкуренция имеет несколько понятий и, как правило, по нормам международного права разделяется на три вида:
- Когда деятельность одной коммерческой структуры пытаются представить потребителю под видом другой или более низкокачественной;
- Неправомерное и некорректное использование торговых обозначений, вводящих потребителя в заблуждение;
- Дискредитирование репутации и имиджа коммерческого предприятия путем распространения ложной информации.
В западных странах существуют законодательные акты по ведению недобросовестной конкуренции, товарным обозначениям, фирменным наименованиям и препятствованию обеспечению безопасности информации, нарушение которых ведет к определенной юридической ответственности. Кроме того, к ответственности приводят следующие неправомерные действия:
- Подкуп или переманивание потребителей со стороны конкурента;
- Порядок обеспечения информационной безопасности организации нарушается путем разглашения коммерческих тайн, а также выяснения информации с помощью шпионажа, подкупа;
- Преднамеренное снижение цен на рынке для подавления конкуренции;
- Копирование товаров, рекламы, услуг и других форм коммерческой деятельности и информации конкурента, с ограничением в оригинальности.
Следующей формой недобросовестной конкуренции, направленной на воспрепятствование обеспечению безопасности информации, является физическое подавление в виде посягательства на жизнь и здоровье служащего компании. В эту категорию входит:
- Организация разбойных нападений на складские, производственные помещения и офисы с целью ограбления;
- Порча, уничтожение имущества и материальных ценностей путем взрыва, разрушения или поджога;
- Захват сотрудников в заложники или физическое устранение.
3. Кризисные явления в мировой экономике. Кризисы имеют особенность перетекать из одной страны в другую, используя каналы внешних экономических связей. Они также наносят ущерб обеспечению безопасности информации. Это следует учесть, определяя методы и средства обеспечения информационной безопасности организации [3].
Постепенное интегрирование России в международную экономику способствует зависимости коммерческих предприятий страны от всевозможных процессов, происходящих в мировой экономике (рост цен и падение на энергоносители, структурная перестройка и другие факторы). По степени внедрения национальной экономики в мировую экономическую структуру усиливается ее подверженность внешним факторам. В следствие чего, улучшению деятельности путем модернизации, современное производство в стремлении к увеличению прибыли, повышению уровня обеспечения безопасности информации, стабильности обязательно должно обращать внимание на динамику статистических данных потребительского спроса, политику государства и центральных банков страны, развитие научно-технического прогресса, на отношение конкурентов, мировую политику, курсы валют, ценных бумаг и хозяйственную деятельность.
Таким образом, распространение электронных финансовых транзакций и компьютеризация экономики приводят к росту угроз информационной безопасности предприятий. Для обеспечения должного уровня информационной безопасности, вопросам защиты необходимо уделять большое внимание. Корпоративные компьютерные системы – это сложные информационные структуры, и именно поэтому для выполнения проектов по обеспечению их безопасности в большинстве случаев привлекаются сторонние специализированные компании.
1.3. Система обеспечения информационной безопасности предприятия
Система информационной безопасности предприятия и юридического лица состоит из трех основных понятий: целостность, доступность и конфиденциальность. Каждая скрытая концепция имеет большое количество функций.
Целостность – это стабильность различных баз данных и другой информации случайный или преднамеренный ущерб, чтобы сделать несанкционированные изменения. Понятие целостности можно раскрыть таким образом:
- статическое, выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
- динамическое, подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации [1].
Для контроля динамической целостности используются специальные технические инструменты, которые анализируют поток информации, такой как финансы, и выявляют случаи кражи, перенаправления, дублирования и изменения порядка сообщений. Целостность как важная характеристика требуется при принятии решений о доступной или полученной информации. Нарушение порядка приказов или порядка действий может нанести значительный ущерб описанию технологических процессов, программным кодам и другим подобным случаям.
Доступность - это функция, которая позволяет уполномоченным организациям получать доступ к интересующей их информации или обмениваться ею. Неспособность системы предоставлять информацию становится большой проблемой, которую любая организация или группа пользователей должны немедленно решить. Примером может служить ситуация, когда портал государственных услуг недоступен в случае сбоя системы, который лишает многих пользователей доступа к необходимым услугам или данным.