CC BY
303БЕЗОПАСНОСТЬ ИНФОРМАЦИИ КАК СОСТАВЛЯЮЩАЯ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
© Воронцова М.Д.*, Мингалева Ж.А/
Пермский государственный университет, г. Пермь
Защита информации - это важнейшая составляющая экономической безопасности компании. В статье изложена проблема информационной безопасности. Отмечены угрозы и некоторые пути защиты от них. Рассмотренные методы ориентированны в первую очередь на малые предприятия.
Ключевые слова: информационный мир, информационный ресурс, информационная безопасность, конфиденциальные сведенья, коммерческая информация, утечка данных, служба информационной безопасности.
На сегодняшний день развитые страны находятся на стадии перехода от индустриального мира к постиндустриальному, который некоторые специалисты называют информационным миром, поскольку роль информации как ресурса с каждым днем возрастает все больше.
Одной из главнейших составляющих продуктивного функционирования экономики и всего государства является обеспеченность информационными возможностями, как всей страны, так и отдельных предприятий и организаций. Поэтому безопасность России зависит как от сопротивления физическим угрозам, так и во многом от защищенности и эффективного функционирования информационной среды [1].
Деятельность предпринимателей неразрывно связана с получением, накоплением, хранением, обработкой и использованием информации, которая в свою очередь является самым ценным ресурсом фирмы. Именно данные о политической, социальной и экономической ситуации на рынках хозяйствующего субъекта, информация о новых проектах, методах и технологиях управления и развития бизнеса способствуют эффективному планированию и продуктивному процессу деятельности компании.
Для сохранения конкурентоспособности современные предприятия должны обеспечить защиту информации, касающейся их деятельности, от различного рода посягательств со стороны злоумышленников, желающих ее похитить, использовать, изменить или уничтожить, поэтому важной составляющей в функционировании фирмы является деятельность по обеспечению информационной безопасности [2].
* Студент кафедры Национальной экономики и экономической безопасности.
♦ Заведующий кафедрой Национальной экономики и экономической безопасности, доктор экономических наук, профессор.
Под информационной безопасностью понимается комплекс организационно-технических мероприятий, обеспечивающих целостность данных и конфиденциальность информации в сочетании с ее доступностью для всех авторизованных пользователей; или же своего рода показатель, отражающий статус защищенности информационной системы [3].
Злоумышленниками, чаще всего, становятся конкуренты, коррупционеры, административно-управленческие органы. Целью действий которых является ознакомление со сведениями, находящимися под охраной, их изменение или уничтожение для нанесения ущерба материальному и ре-путационному положению компании. Для злоумышленников интерес представляет различная коммерческая, конфиденциальная информация, утечка которой приводит к различного рода убыткам предприятия, в отдельных случаях к ее ликвидации.
По отношению к предприятию угрозы можно разделить на внешние и внутренние:
- внешние - опасность, исходящая из сети Интернет (например, ха-керская атака); запись разговоров на расстоянии; кража информации с кабельных систем и т.д.;
- внутренние - проникновение в помещение; доступ к данным внутри корпоративной сети; запись информации на флэш-карты, СБ-диски и т.д., использование мобильных телефонов для фото и видео съемки; различные компьютерные вирусы, не контролируемая электронная почта и т.д. [5].
Так же угрозы могут быть непреднамеренными (сотрудник случайно удалил документ) и преднамеренными (сотрудник удалил тот же самый документ, но специально, не оповещая о своей «ошибке» и не предпринимая действий по восстановлению файла). Выявить преднамеренные угрозы и устранить их последствия намного сложнее, так как злоумышленник тщательно продумывает свои действия с целью их необнаружения.
Классифицируя угрозы по цели, выделяют: угрозы, направленные на присвоение информации; угрозы с целью модификации данных и угрозы по их удалению. Наиболее частыми из перечисленных являются угрозы разглашения, утечки и несанкционированного доступа [4].
Разглашением является неосторожные действия с конфиденциальными данными, вследствие чего они получили распространение у лиц, не имеющих не это права. Разглашение может принимать различные формы: передача, пересылка, опубликование, утеря и другие подобные действия с документами, содержащими научную и коммерческую информацию. Информация может быть разглашена как при личной встрече злоумышленника с агентом, так и по каналам связи, будь то телефонная или компьютерная сеть. С другой стороны сотрудник может разгласить тайну ввиду незнания основных правил защиты конфиденциальной информации. По-
лучение необщедоступной информации через разглашение является самым выгодным для злоумышленника, ведь он не затрачивает практически никаких средств и получает проверенную точную информацию.
Такая форма распространения информации как утечка - представляет собой явление, при котором несанкционированный поток информации поступает третьим лицам за пределами фирмы. Злоумышленник может получить информацию посредствам различных технических средств: прослушивающие устройства, камеры, диктофоны и подобные электронные устройств, так же могут использоваться бумажные носители, флэш-карты, диски и т.д. Этот вид угрозы требует больших затрат со стороны злоумышленника.
Несанкционированный доступ - это проникновение злоумышленника в помещение фирмы, компьютерную систему и иные содержащие коммерческую информацию места.
Для обеспечения сохранности информации, находящейся в собственности предприятия должна быть создана комплексная система безопасности. Она должна включать в себя осуществляемые в совокупности, мероприятия по защите бизнеса от угроз со стороны злоумышленников и защиту законных интересов компании, то есть защищать всю информационную среду, то есть базы данных, локальные сети, выходы в сеть Интернет, рабочие файлы, электронную почту и т.д.
Целью создаваемой системы безопасности является устранение действий, направленных на ухудшение экономического положения предприятия; обеспечение защиты не только финансовых, кадровых и материальных ресурсов компании, но и защиты информации. Учитывая то, что информация в последние годы является основным объектом угроз, в рамках системы общей безопасности должна активно действовать и развиваться система информационной безопасности, которая должна быть направлена на защиту компании от утечек, разглашений, утрат информации, от доступов к ней третьих лиц и от иных посягательств со стороны недоброжелателей.
Что касается технической защиты предприятий, используемой с целью сохранения информации, то в крупных организациях имеются дорогостоящие средства защиты, которых у малых предприятий нет в силу малого бюджета. Таким образом учитывая наибольшую защищенность крупного бизнеса угрозы малым предприятиям становятся все более частыми.
При формировании политики экономической безопасности нужно обратить внимание на ряд моментов. Во-первых, необходимо осуществлять мониторинг информационных сетей, в частности компьютеров персонала и локальных сетей, для чего существует множество программ (утилиты), проводящих осмотр сетей и указывающих на найденную угрозу. Во-вторых, разграничение доступа к информации обязательно для безопасности предприятия, в результате чего ни один из представителей персонала
не должен иметь доступ ко всей информации фирмы, он может просматривать и использовать только ту часть, которая необходима для его деятельности, для этого устанавливаются различные пароли. В-третьих, использование сертифицированных и лицензионных программных и программно-аппаратных средств уменьшает риск несанкционированного доступа извне, установление только легального программного обеспечения, антивирусных программ и комплексов программно-аппаратных технологий, направленных на обеспечение информационной безопасности, может помочь в защите информации [5]. Но при этом нужно помнить, что от внутреннего проникновения данная мера не спасёт.
Однако даже те предприятия, которые технически хорошо защищены, имеют дорогостоящие элементы защиты, программные и аппаратные обеспечения, не застрахованы от воздействия человеческого фактора.
Утечка информации, чаще всего, происходит через персонал, в частности через сотрудников не довольных заработной платой и считающих, что фирма-конкурент заплатит им больше, через уволенных с предприятия или же через работников, неосторожные действия которых с конфиденциальной информацией, могут привести к разглашению [6].
В последнее время именно этот вид информационных угроз вызывает озабоченность со стороны Госструктур и представителей бизнес сектора, так как переданная персоналом информация в наибольшей степени полна и правдива. Утечка такой информации наносит самый крупный урон предприятию в виде материального и морального (потеря репутации) ущербов. Тенденцию к разглашению тайной информации персоналом отмечают как компании, занимающиеся аудитом, так и Министерством Внутренних Дел России в представленных докладах о правонарушениях в сфере безопасности информации.
Исходя из этого, предприятия, независимо от их сферы деятельности, должны задумываться не только о технической и программной безопасности, но и выработать внутриорганизационную политику информационной безопасности. Эта политика должна включать комплекс следующих мер:
- внедрение новейших технологий информационной безопасности;
- проведение организационных собраний, в целях обучения персонала службы безопасности новым средствам защиты информации фирмы;
- составление административных инструкции по информационной безопасности и ознакомление с ними персонала;
- периодическая проверка исполнения персоналом требований, направленных на защиту от информационных угроз; и т.д.
Вероятность утечки информации будет ниже, если в компании не будет недовольных зарплатой или служебным положением сотрудников, а так же озлобленных уволенных работников.
В общем же, мероприятия по защите информации от посягательств со стороны злоумышленников состоят из нескольких шагов. Первый шаг -это регулярный мониторинг информационной безопасности компании, с целью выявления угроз, возможной степени их воздействия, нахождения слабых мест технической и организационной системы компании. Вторым шагом является разработка мер по устранению найденных проблем. Третий шаг - приведение мер и технологий в действие и ознакомление с ними персонала. Также сотрудники компании должны находиться под постоянным, но не навязчивым контролем со стороны администрации. Правильно выработанная внутриорганизационная политика информационной безопасности приведет к минимуму возможность внутреннего несанкционированного доступа к конфиденциальным сведеньям, утечки или разглашения информации компании.
Однако необходимо помнить, что меры по безопасности не должны препятствовать деятельности предприятия и сотрудников. Чрезмерно засекречивая информацию, фирма может потерять клиентов и, соответственно, прибыль, ввиду недостаточной рекламной агитации. Вся деятельность службы информационной безопасности должна быть направлена на поддержку основных функций формы, а не на препятствие им. Конечно, с одной стороны, защитить компанию со всех сторон от всех мыслимых и немыслимых угроз не возможно. Однако с другой стороны, служба информационной безопасности, предотвращающая грядущие угрозы и решающая реальные проблемы, принимающая рациональные решения на основе комплексного подхода, это единственный выход защиты компании от посягательств со стороны злоумышленников.
Список литературы:
1. Информационно-аналитический портал о безопасности Best of Security [Электронный ресурс]. - Режим доступа: www.bos.dn.ua.
2. Справочник экономиста [Электронный ресурс]. - Режим доступа: www.profiz.ru/se.
3. Райзберг Б.А., Лозовский Л.Ш., Стародубцева Е.Б.Современный экономический словарь. - 5-е изд., перераб. и доп. - М.: ИНФРА-М, 2007. - 495 с. - (Б-ка словарей «ИНФРА-М»).
4. Портал информационной безопасности [Электронный ресурс]. -Режим доступа: www.content-security.ru.
5. Герштейн Р. Информационная безопасность предприятия [Электронный ресурс]. - Режим доступа: www.connect.ru/article.asp?id=7525.
6. SearchInform. Information Security [Электронный ресурс]. - Режим доступа: www.searchinform.ru.
