Информационная безопасность бизнеса
В.Н. Будаев, директор Лаборатории по информационной безопасности,
Материалы городской конференции «Актуальные проблемы региональной безопасности бизнеса»
Кому-то могут показаться избитыми слова Уинстона Черчилля «Кто владеет информацией, тот владеет миром». На самом деле это изречение, в современном мире приобретает актуальное значение.
Новые общественно-политические и экономические отношения привели к созданию информационного общества. Возникновение частного сектора экономики привело к появлению частной информации и агрессивной угрозы нарушения её режима безопасности.
Дальнейшее развитие частного бизнеса и информационных технологий привело к зарождению недобросовестных форм и методов ведения информационной борьбы. Их широкое распространение способствовало возникновению новых угроз информационной безопасности, способных нанести непоправимый ущерб бизнесу.
Все больше, успешное развитие бизнеса, зависит от его информационной безопасности. Все в большей степени информация становится товаром, от наличия и сохранности которого зависит благополучие граждан, организаций, общества в целом.
До 90-х годов прошлого века, российские предприятия практически не ощущали факторов информационного риска. Так как они все были государственной собственностью, государство само осуществляло функцию защиты информации. Понятия «информационная безопасность» не существовало.
С появлением частной собственности, появились и владельцы своей собственной информации, которые, как и государство, заинтересованы в её защите. Изменился и сам подход к информации. Она все чаще становится товаром, который можно купить, продать, обменять и т.д. При этом стоимость информации зачастую превосходит в десятки, а то и в сотни раз стоимость вычислительной техники, в которой она хранится. Информация становиться все более обширной, является для её собственника ценным производственным ресурсом. Её конфиденциальность, целостность и доступность имеют особое значение для обеспечения конкурентоспособности, рентабельности и создания положительного имиджа предприятия. Экономическая деятельность большинства коммерческих предприятий все в большей степени становится зависимой от рисков нарушения информационной безопасности.
Защите подлежит любая информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. При этом необходимо иметь в виду, что информация является весьма специфическим продуктом, который может существовать как в документированном виде, зафиксированном на материальном носителе, так и в недокументированном виде (речевая информация).
Государство создало законодательную основу в сфере обеспечения информационной безопасности, разделило всю информацию по категориям доступа, определило её владельцев и дало правовые рычаги её защиты. Оставило под своей защитой сведения, составляющие государственную и служебную тайну, а всю остальную информацию, в том числе и конфиденциальную, отдало под защиту владельцам этой информации.
Появилось понятие «информационная безопасность».
Правовая система обеспечения информационной безопасности состоит из следующих основных законов: Конституция РФ, закон РФ «О безопасности», закон РФ «О государственной тайне», «Доктрина информационной безопасности РФ», закон РФ «Об информации, информационных технологиях и защите информации», закон РФ «О коммерческой тайне», закон РФ «Об участии в международном информационной обмене», ряд подзаконных актов и норм уголовного, гражданского и административного законодательства.
Вся информация (информационные ресурсы) делится на государственную и негосударственную, и как элемент состава имущества находится в собственности физических и юридических лиц, органов государственной власти.
Информационные ресурсы являются открытыми и доступными для всех. Исключение составляет документированная информация ограниченного доступа, которая в свою очередь подразделяется на информацию, отнесенную к государственной тайне и конфиденциальную.
Особо закон выделяет информацию о гражданах (персональные данные), которые являются конфиденциальной информацией. Закон ставит запрет на сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
Хотел бы особо подчеркнуть, что в защите нуждается не только государственная тайна и конфиденциальная информация, для которых создается специальный режим защиты. Есть информация, которая не подпадает под категорию ограниченного доступа, но разглашение которой, может влиять на экономическую, финансовую деятельность и имиджевую политику предприятий и организаций. Такую информацию так же необходимо защищать.
Всю информацию, не только информацию ограниченного доступа, которую необходимо защищать специально созданным режимом, можно условно разделить на несколько больших блоков:
- государственная тайна;
- конфиденциальная информация, в том числе коммерческая тайна;
- собственно информация, не подпадающая под категорию ограниченного доступа, но выход, которой из-под контроля собственника, может нанести ему различного вида вред, к примеру - компромат.
Какую информацию относить к сведениям, составляющим государственную тайну, определяет государство.
Какую информацию относить к конфиденциальной, в том числе коммерческой тайне, определяет её владелец.
К ней относятся: учредительные документы, Устав предприятия, документы, дающие право заниматься предпринимательской деятельностью, бухгалтерские документы и т.д.
Источниками информации могут быть:
- люди (сотрудники, клиенты, посетители, обслуживающий персонал и т.д.);
- документы самого различного характера и назначения;
- публикации: доклады, статьи, интервью, книги, проспекты и т.д.;
- технические средства: носители, хранители информации и их обработки;
- выпускаемая продукция;
- производственные отходы;
- т.д.
Информация может быть зафиксирована на материальном носителе (бумага, жесткие носители, съемные носители и т. д.), может циркулировать в информационных системах, в сетях связи, в том числе сотовых, факсовых и т.д.
«Язык мой – враг мой». Этот постулат полностью относится к особому виду информации – так называемой речевой информации. Это такая информация, которая озвучивается в процессе речевого общения между двумя или несколькими людьми. В процессе речевого общения озвучиваются любые сведения (любая информация), в том числе содержащие государственную тайну и конфиденциальную информацию, а так же информацию, которая может нанести вред её владельцам.
От кого же и от чего необходимо защищать информацию. Если коротко, то от конкурентов, от организованных преступных сообществ, в т.ч. от рейдеров, в некоторых случаях от недобросовестных представителей административно-чиновничьего аппарата и правоохранительных органов, от недобросовестных сотрудников, от личных врагов и завистников, от технических разведок (промышленный шпионаж) и т.д.
Информация может быть похищена путем подслушивания, кражи физических носителей, съема информации с технических каналов.
Неправомерное овладение информацией возможно в результате: разглашения, утечки, несанкционированного доступа к информации.
Разглашение информации - это умышленные или неосторожные действия должностных лиц или других работников, которым данная информация была доверена в установленном порядке. Разглашение выражается в форме сообщения, передачи, предоставления, пересылки, опубликования, утери и реализуется по каналам распространения и средствам массовой информации.
Утечка информации – это бесконтрольный выход информации за пределы организации или круга лиц, которым она была доверена. Утечка возможна, как правило, по техническим каналам.
Несанкционированный доступ к информации – это противоправное, преднамеренное овладение информацией лицом, не имеющим права доступа к охраняемым сведениям. Возможен различными способами, в том числе: сотрудничество, подслушивание, наблюдение, хищение, копирование, перехват, копирование, фотографирование и т.д.
Информационная безопасность – это многогранная деятельность, успех которой может принести только систематический, комплексный подход.
Эффективность мероприятий по защите информации достигается путем создания системы информационной безопасности, которая преследует две основные цели: обеспечение экономической безопасности и минимизация рисков от возможных угроз.
Все мероприятия по обеспечению информационной безопасности, принято делить на следующие основные направления.
Правовая защита. Она обеспечивается государством, путем принятия законов и подзаконных актов. Эти нормативные акты регулируют деятельность в области защиты информации, определяют ответственность в соответствии с уголовным, административным и гражданским законодательством, дают перечень мероприятий, обязательных для исполнения субъектами информационных правоотношений.
Организационная защита. Она подразумевает подготовку внутренних нормативных документов предприятия, регламентирующих организацию защиты информации. К ним относятся: политика безопасности предприятия, концепция информационной безопасности, внесение изменений в Устав предприятия, правила внутреннего трудового распорядка, инструкции о пропускном режиме, внесение специальных пунктов в коллективный и трудовой договора, должностные обязанности, подготовка положения о соблюдении конфиденциальной информации (коммерческой тайны), составления перечня сведений составляющих коммерческую тайну, инструкции о порядке допуска сотрудников к сведениям, составляющим коммерческую тайну, обязательство о неразглашении коммерческой тайны, правил пользования средствами вычислительной техники и другие. Здесь же предусматривается организация физической защиты предприятия, организация пропускного режима, системы контроля доступа, охранная, пожарная сигнализации, охранное телевидение. Особое место занимают организация информационно-аналитической работы по выявлению внутренних и внешних угроз и организация работы с кадрами.
Инженерно-техническая защита. Она предусматривает использование специальных технических средств при проведении комплекса инженерно-технических мероприятий, направленных на предупреждение, выявление, пресечение разглашения, утечки и несанкционированного доступа к информации.
Информационная безопасность, если можно так выразится, является одной из самых загадочных направлений обеспечения безопасности бизнеса. Вроде бы все всё знают, читают газеты, слушают радио, смотрят в кино детективы и боевики в которых раскрываются формы и методы получения информации. Однако литературное изложение информационной борьбы (получение и защита информации), зачастую плод фантазии писателя или режиссера и не имеет ничего общего с действительностью, хотя некоторые формы и методы правдивые. Видно консультировали специалисты.
Другие материалы по теме:
|
статья
видео