CC BY
408
ОРГАНИЗАЦИОННЫЕ И ОБЩЕТЕОРЕТИЧЕСКИЕ ВОПРОСЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УДК 004:002
ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
MAIN WAYS OF ENSURING CORPORATE INFORMATION SECURITY
Мамаева Людмила Николаевна
Mamaeva Lyudmila Nikolayevna
кандидат экономических наук, доцент кафедры экономической безопасности, Саратовский социально-экономический институт (филиал) РЭУ им. Г.В. Плеханова, г. Саратов
Cand. Sc. (Economics), associate professor of the department of economic security, Saratov socio-economic institute (branch) of Plekhanov Russian University, Saratov
e-mail: L.mamaeva2014@yandex.ru
Кондратьева Оксана Александровна
Kondratieva Oksana Aleksandrovna
аспирантка кафедры экономической безопасности, Саратовский социально-экономический институт (филиал) РЭУ им. Г.В. Плеханова, г. Саратов
postgraduate student of the department of economic security, Saratov socioeconomic institute (branch) of Plekhanov Russian University, Saratov
e-mail: zolotko1988@yandex.ru
Цель статьи - анализ основных направлений информационной безопасности предприятия. В статье делается акцент на то, что успех современных предприятий в условиях конкуренции в значительной степени зависит от применения информационных технологий, а следовательно, от степени обеспечения информационной безопасности.
Авторами рассмотрены и проанализированы уровни и степени защиты информации, предложен комплекс мер по ее защите.
В качестве основных методов анализа были использованы институциональный, системный, структурно-функциональный .
Ключевые слова: информационная безопасность, коммерческая тайна, компьютерные угрозы, информационные технологии, защита информации.
The paper aims to analyze main aspects of corporate information security.
The authors focus on the fact that the success of modern businesses in a competitive environment is heavily dependent on the use of information technology and, thus, the level information security.
The authors review and analyze levels and degree of information protection and present a set of measures to ensure information security.
The main methods of the analysis are institutional, systemic, structural and functional.
Keywords: information security, trade secret, cyber threats, information technology, information protection.
Под информационной безопасностью следует понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуре.
Внедрение вычислительной техники и различных информационных систем в деятельность и жизнь современных людей имеет множество положительных моментов. Но вместе с пользой появилось и множество различного рода угроз. Одной из самых насущных проблем информационного общества является защита информации, поскольку всевозможные данные, обрабатываемые и накапливаемые вычислительной техникой, стали в последнее время определять направление деятельности и многие другие аспекты жизни современного социального организма.
С помощью незаконного владения информацией можно осуществлять самые различные противоправные деяния, например, производить незаконный оборот финансовых средств, получать доступ к секретной коммерческой информации и т. д.
Следует отметить, что конфиденциальная информация представляет огромный интерес для конкурирующих фирм. Именно она становится причиной посягательств со стороны злоумышленников.
С информационной безопасностью тесно связано и такое понятие, как коммерческая тайна. В современном экономическом словаре дается двоякое определение коммерческой тайны:
1) право предприятий, организаций не разглашать, не сообщать, сохранять в тайне сведения об их производственной, торговой, финансовой, научно-технической деятельности, обусловленное опасностью нанесения ущерба организации. В отличие от государственной
коммерческая тайна не охраняется с соблюдением лицензированных методов и сертифицированных средств, которые необходимы только на стыках передачи информации от коммерческих структур государственным;
2) информация, сведения, имеющие действительную или потенциальную коммерческую ценность; к такой информации нет свободного доступа на законном основании, а ее обладатель вправе охранять конфиденциальность сведений [4].
Многие проблемы информационной безопасности связаны с недооценкой важности такой угрозы, как конфиденциальность информации. В результате для предприятия это может обернуться банкротством. Даже единичный случай халатности персонала предприятия может принести ему многомиллионные убытки, потерю репутации фирмы и доверия клиентов.
Чтобы этого избежать, специалисты службы безопасности предприятия используют специальное оборудование, производящее анализ электромагнитных излучений, получаемых во время работы на компьютере.
Иногда сотрудники предприятия могут специально провоцировать внутреннюю утечку информации, показывая этим свое недовольство зарплатой, работой или коллегами. Они запросто могут передать всю ценную информацию предприятия его конкурентам, попытаться уничтожить ее или умышленно внести в компьютеры вирус.
Технологии обеспечения информационной безопасности можно подразделить на две группы:
1-я группа - защищающие программные и аппаратные средства для обработки и хранения информации от отказов, нарушений, способных возникнуть в результате случайной ошибки;
2-я группа - защищающие программные и аппаратные средства обработки информации
от всевозможных преднамеренных угроз, которые заранее планируются злоумышленниками.
Заметим, что существует множество причин отказа техники, обрабатывающей информацию, которые являются следствием деятельности злоумышленников или иного действия.
Отметим наиболее распространенные из них:
- старение и износ деталей аппаратного обеспечения, в результате чего происходит повреждение данных;
- компьютерные ресурсы используются некорректным образом;
- в структуре данных со временем накапливается большое количество разнообразных ошибок, что может привести к их повреждению.
Защитить информацию от различных дефектов аппаратной части просто: следует лишь своевременно осуществлять ее диагностику и ремонт.
Часто случается, что данные повреждаются из-за неправильного использования аппаратной части компьютера. Причин тому может быть достаточно много, например, недостаточная квалификация специалиста.
Нередко причиной порчи информации становится неправильно настроенное программное обеспечение. Наиболее часто играет роль именно человеческий фактор. Так, неправильная настройка систем обработки информации нередко приводит к ее порче, утере или хищению.
Выходом из ситуации может стать работа только высококвалифицированного специалиста, имеющего большой опыт работы в области информационных технологий.
Полноценное обеспечение информационной безопасности на предприятии должно быть стандартизировано и находиться под полным контролем круглогодично, в реальном времени, в круглосуточном режиме. При этом система учитывает весь жизненный цикл информации, начиная с момента появления и до полного ее уничтожения или потери значимости для предприятия [2].
Качественные системы информационной безопасности учитывают всевозможные объекты угроз, их источники, цели злоумышленников, способы овладения информацией, а также варианты и средства защиты. Они обеспечивают полную сохранность информационной среды, поддерживают функционирование рабочих комплексов, совершенствуют его в интересах рабочего персонала.
Для сохранности и предотвращения потери данных в индустрии информационной безопасности разрабатываются системы защиты. Их работа основана на сложных программных комплексах с широким набором опций, предотвращающих любые утраты данных.
Отметим, что спецификой программ является то, что для правильного их функционирования требуется разборчивая и отлаженная модель внутреннего оборота данных и документов. Анализ безопасности всех шагов при использовании информации основывается на работе с базами данных.
По мнению A.A. Одинцова, существует пять уровней защиты информации [3]:
1-й уровень - законодательный;
2-й уровень - административный;
3-й уровень - аппаратно-программный;
4-й уровень - физический;
5-й уровень - морально-этический.
Только в комплексе все эти уровни направлены на устранение угрозы безопасности и образуют систему защиты информации.
Следует заметить, что с целью защиты информации каждый пользователь обязан знать и осуществлять следующие меры:
1) контролировать доступ как к информации в компьютере, так и к прикладным программам. Необходимо иметь гарантии того, что только авторизованные пользователи смогут иметь доступ к информации и приложениям;
2) процедуры авторизации. Администратору следует разработать процедуры авторизации, определяющие, кто из пользователей может иметь доступ к тем или иным приложениям и информации, и предусмотреть соответствующие меры по внедрению в организацию таких процедур;
3) защита файлов. Следует разработать процедуры по ограничению доступа к файлам: для указания типа информации, содержащейся в файлах, и требуемого уровня безопасности использовать внешние и внутренние метки; ограничивать доступ в те помещения, в которых хранятся архивы, файлы и библиотеки данных; для ограничения доступа к файлам только авторизованных пользователей использовать организационные меры и программно-аппаратные средства;
4) защита целостности информации. Вводимую информацию следует подвергать проверкам на ошибки, она должна быть авторизованной, полной и точной. Точность информации необходимо проверять с помощью процедур сравнения полученных результатов обработки с предполагаемыми;
5) защита системных программ. При разработке программ меры защиты должны включать в себя процедуры по внесению изменений в программу, ее приемки и тестирования до ввода в эксплуатацию;
6) становление мер защиты более адекватными за счет привлечения специализированных организаций;
7) рассмотрение вопроса о коммуникационной безопасности. Данные, передаваемые по незащищенным линиям, могут быть перехвачены.
Несомненно, для борьбы с тенденцией роста злоумышленных преступлений в 1Т-сфере необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. В этом процессе должны активно принимать участие специалисты, администрация, сотрудники и пользователи. Это определяет повышенную значимость организационной стороны вопроса [1].
К защите информации предъявляются определенные требования. Такая защита должна быть:
• непрерывной. Так как злоумышленники постоянно ищут возможность для обхода защиты интересующей их информации;
• плановой. Каждая служба осуществляет планирование путем разработки детальных планов защиты информации в сфере ее компетенции и с учетом общих целей организации;
• целенаправленной. Должно защищаться не все подряд, а определенные объекты, соответствующие конкретным целям;
• конкретной. Защищаются данные, объективно подлежащие охране, при утрате которых может быть нанесен определенный ущерб организации;
• активной. Информацию необходимо защищать с достаточной степенью настойчивости;
• надежной. Независимо от формы представления охраняемых данных, языка их выражения и вида физического носителя, на котором они закреплены, методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к этим данным;
• универсальной. Независимо от характера, формы и вида информации необходимо разумными и достаточными средствами перекрывать любые виды каналов утечки, где бы они ни проявлялись;
• комплексной. Недопустимо применять лишь отдельные формы или технические средства для защиты информации. Все виды и формы защиты должны применяться в полном объеме во всем многообразии структурных элементов.
Отметим, что правовая защита информации как ресурса признана на международном и государственном уровнях и определяется межгосударственными договорами, конвенци ями, декларациями и реали зуется патентами, лицензия ми и авторским правом,
На государственном уровне правовая защита регулируется государственными и ведомственными актами.
В нашей стране регуляторами являются: Конституция, законы Российской Федерации, гражданское, административное и уголовное право. Ведомственные нормативные акты определяются приказами, руководствами, положениями и инструкциями, которые издаются самими ведомствами, организациями, а также предприятиями, действующими в рамках определенных структур [6].
Из всего выше сказанного следует сделать вывод, что защите информации от неправомерного овладения ею отводится весьма значительное место. При этом целями защиты информации являются:
• предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям;
• предотвращение противоправных действий по модификации, уничтожению, искажению, блокированию и копированию информации;
• предотвращение других форм противозаконного вмешательства в информационные системы и информационные ресурсы;
• обеспечение для документированной информации правового режима как для объекта собственности;
• защита прав граждан, обеспеченных конституцией, на сохранение личной тайны и конфиденциальность персональных данных, которые имеются в информационных системах;
• обеспечение конфиденциальности документированной информации и сохранение государственной тайны в соответствии с действующим законодательством;
• обеспечение прав субъектов во всех информационных процессах, а также при разработке, производстве и использовании информационных технологий, систем и средств их обеспечивающих.
Важнейшими на практике являются три аспекта 1Т-безопасности (рисунок):
Составляющие информационной безопасности
• целостность - защищенность системы от несанкционированных изменений и разрушения;
• доступность - возможность быстро получить необходимую информационную услугу;
• конфиденциальность - защищенность от несанкционированного прочтения.
Информационные системы должны использоваться в соответствии с существующим законодательством. Данное положение, разумеется, применимо к любому виду деятельности, однако информационные технологии специфичны в том отношении, что развиваются исключительно быстрыми темпами [5].
Почти всегда законодательство отстает от потребностей практики, и это создает
в обществе определенную напряженность. Для информационных технологий подобное отставание законов, нормативных актов, национальных и отраслевых стандартов оказывается особенно болезненным.
В заключение следует отметить, что комплексную защиту организаций сегодня осуществляет значительное количество специализированных охранно-детективных предприятий и служб безопасности. Они проводят различные виды работ по физической, экономической и информационной безопасности, поскольку в современной обстановке без решения этих вопросов любой вид деятельности не сможет быть эффективным и прибыльным.
Библиографический список (References)
1. Мамаева Л.Н. Информационная безопасность предприятия в глобальной экономике // Информационная безопасность регионов. 2014. № 1 (14).
Mamayeva L.N. (2014) Informatsioimaya bezopasnost' predpriyatiya v global'noy ekonomike [Corporate IT Security in the Global Economy] // Informatsioimaya bezopasnost' regionov. № 1 (14).
2. Манахова И.В. Потребительская политика в информационной экономике: междисциплинарный подход // Вестник Саратовского государственного социально-экономического университета. 2015. № 2 (56). С. 13-16.
Maiiakliova I.V. (2015) Potrebitel'skaya politika v infonnatsionnoy ekonomike: niezlidistsiplinarnyy podkhod [Consumer Policy in Information Economy: an interdisciplinaiy approach]// Vestnik Saratovskogo gosudarstven-nogo sotsiarno-ekononiicheskogo universiteta. № 2 (56). P. 13-16.
3. Одинцов A.A. Экономическая и информационная безопасность. М.: Экзамен, 2012.
Odintsov А.А. (2012) Ekonomicheskaya i informatsioimaya bezopasnost [Economic and Information Security]. Moscow: Ekzamen.
4. Райзберг Б.А., Лозовский Л.Ш., Стародубцева Е.Б. Современный экономический словарь. М. : ИНФРА-М, 2007.
Rayzberg В.А., Lozovskiy L.Sh., Starodubtseva Ye.B. (2007) Sovremennyy ekonomicheskiy slovar [Modern Dictionaiy of Economics]. Moscow : INFRA-M.
5. Сушкова И.А. Стратегическое управление как способ реализации политики неоиндустриализации России // Вестник Саратовского государственного социально-экономического университета. 2015. № 2 (56).
Sushkova I.A. (2015) Strategicheskoye upravleniye как sposob realizatsii politiki neoindustrializatsii Rossii [Strategic Management as a Way to Implement Neoindustrialization Policy in Russia] // Vestnik SGSEU. № 2 (56).
6. Чернышев Б.В. Определение приоритетных задач в политике (теория научного выбора и опыт истории) // Информационная безопасность регионов. 2014. № 1 (14).
Chernyshov B.V. (2014) Opredeleniye prioritetnykh zadach v politike (teoriya nauchnogo vybora i opyt istorii) [Identifying Priorities in Policy-Making (theoiy of scientific selection and historical experience)]// Infonnatsion-naya bezopasnost' regionov. № 1 (14).
