CC BY
75
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ КАК АСПЕКТ СТАБИЛЬНОСТИ ЭКОНОМИЧЕСКИХ ОТНОШЕНИЙ НА РАЗЛИЧНЫХ УРОВНЯХ ХОЗЯЙСТВОВАНИЯ
К. В. АСТАХОВ
В данной статье рассматривается необходимость обеспечения информационной безопасности на различных уровнях экономических отношений: общефедеральном и на уровне микрохозяйствующих субъектов экономики. Рассматривается необходимость организации информационной безопасности для защиты информационных ресурсов компании для предотвращения попыток рейдерских атак и снижение инсайдерских угроз.
Ключевые слова: информация, безопасность, экономика, рейдерство, инсайдерство.
Во многих литературных источниках [2-5] безопасность государства определяется как устойчивое геополитическое положение страны, предусматривающее, прежде всего безопасность государственных и общественных институтов, предприятий и организаций независимо от вида собственности, а также безопасность сферы услуг и населения.
Поскольку современная экономика России представляет собой многогранную и сложную систему, подчиняющуюся определенным правилам и законам, то на нее воздействуют различные угрозы, которые способствуют системному сбою во всех сферах экономических отношений. Вследствие естественных угроз на экономику страны основной задачей государства, как регулятора экономических отношений, является создание условий, гарантирующих недопущение нанесения хозяйству страны ущерба от внутренних и внешних экономических угроз, а также предотвращение утечки конфиденциальной экономической информации.
Информация занимает существенное место в развитии науки, техники и экономики, как во всем мире, так и в России. Важность информации, как локомотива развития экономики, отчетливо видна на примере таких стран как Индия, США. В этих странах более 50 % национального дохода обеспечивает продажа информационных услуг. Владение информацией необходимого качества в нужное время и в нужном месте является залогом успеха в любом виде хозяйственной деятельности. Монопольное обладание определенной информацией оказывается зачастую решающим преимуществом в конкурентной борьбе. Так как
в современном мире информация является самым дорогим товаром и могущественным оружием и, по мнению многих ученых, именно информация является решающим фактором в конкурентной борьбе государств, современному государству для стабильного развития страны необходимо иметь свою политику в области научной, технической, экономической информации и информационного обмена [3].
Отметим, что на сегодняшний день в России создана необходимая правовая база для обеспечения информационной безопасности, начиная от защиты личных, персональных данных и сведений, необходимых для нормального экономического развития и функционирования компаний и государства в целом.
Почему же государство так пристально должно относиться к защите информационных сведений?
Основополагающий нормативный документ в сфере информации является доктрина информационной безопасности РФ, в которой выделены основные компоненты национальных интересов страны [4]:
- интересы личности состоят в реализации конституционных прав и свобод, в обеспечении личной безопасности, в повышении качества и уровня жизни, в физическом, духовном и интеллектуальном развитии человека и гражданина;
- интересы общества состоят в упрочении демократии, в создании правового, социального государства, в достижении и поддержании общественного согласия, в духовном обновлении России;
- интересы государства состоят в незыблемости конституционного строя, суверенитета и территориальной целостности России, в полити-
ческой, экономической и социальной стабильности, в безусловном обеспечении законности и поддержании правопорядка, в развитии равноправного и взаимовыгодного международного сотрудничества.
Согласно доктрине информационной безопасности [4], современное общество характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации и информационной инфраструктуры. Поэтому информационная сфера является системообразующим фактором общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности РФ.
По мере развития, усложнения и массового внедрения во все сферы народного хозяйства средств автоматизации обработки информации, повышается зависимость общества от степени безопасности используемых информационных технологий.
Так как современное общество - это информационное общество, то основной задачей государства является поддержание государственных интересов через информационное пространство. Однако данное взаимодействие должно быть защищено от преждевременного, случайного или преднамеренного разглашения и искажения информации, которая может нанести значительный вред экономике страны. Примером может служить преждевременное разглашение условий государственных контрактов с другими странами, утечка информации о технологиях создания новых видов вооружения, умышленное искажение информации на политических выборах, разглашение технологических процессов предприятий составляющих как государственную, так и коммерческую тайну и т. п.
Процесс обеспечения защиты секретных сведений можно условно разделить на несколько уровней. Первый уровень защиты секретных сведений осуществляется на государственном уровне в виде законодательных документов, основными из которых являются:
- доктрина информационной безопасности РФ;
- федеральные законы о государственной, коммерческой тайне и персональных данных;
- федеральные законы об информации, информатизации и защите информации.
Второй уровень обеспечения информационной безопасности секретных сведений осуществляется на уровне бизнеса и осуществляется силами самого бизнеса в рамках законодательства. Сфера информационной безопасности для бизне-
са имеет прямое влияние на прибыль и безопасность компании.
Если говорить о прибыли компании, то следует отметить, что не зависимо о того, чем она занимается, будь это производство или сфера услуг, компания стремится к стабильному экономическому росту, поскольку любая экономическая деятельность направлена на получение прибыли. Получение желаемой прибыли компании достигается различными факторами: качественным, квалифицированным подбором персонала; использованием технологий «ноу-хау» в различных направлениях и видах деятельности, долговременными корпоративными наработками в сфере управления персоналом, эксклюзивными контрактами с партнерами, антикризисными мерами и бизнес-планами, собственными маркетинговыми исследованиями и т. д. Данные сведения должны соответствующим образом защищаться, обрабатываться и храниться. Если же данные сведения будут преждевременно разглашены, по причине инсайдерства или халатного отношения персонала, то компания получает экономический вред в виде недополучения желаемой прибыли, а может и вообще стать банкротом.
Под безопасностью компании в данной статье рассматривается защита от недружественного поглощения или рейдерский захват. Согласно распространенным методам, рейдерский захват начинается со сбора информации о компании, ее недвижимости, владельце имущества. Как правило, это информация о бухгалтерской отчетности, о реестре акционеров, об учредителях, учредительных документах, оценочной стоимости активов и другие данные. Часть этих сведений можно получить в налоговых органах, учреждениях юстиции по регистрации прав на недвижимое имущество и других официальных источниках, часть же добывается с использованием методов промышленного шпионажа. По результатам полученной информации принимается решение о целесообразности захвата и методах его осуществления [6].
Поэтому с целью предотвращения возможности получения рейдерам конфиденциальной информации о компании с использованием методов промышленного шпионажа собственникам и руководству компании крайне необходимо проводить мероприятия по организации защиты информации, основными из которых являются [1]:
- создание условий хранения документации (протоколы заседаний совета, правления, собрания; доказательства уведомления акционеров о проведении собраний; печати, штампы, ключе-
вые дискеты системы «Клиент-банк»; договоры, свидетельства о праве собственности на недвижимость и т. п.) в местах, недоступных для захватчика;
- передача бухгалтерской функции отдельной подконтрольной фирме;
- разработка и подготовка собственного положения о защите конфиденциальной информации компании;
- подписание с менеджерами высшего звена индивидуальных договоров о неразглашении конфиденциальной информации с обязательным указанием серьезных имущественных санкций в случае их нарушения;
- организация высокого уровня 1Т-безопас-ности инфраструктуры предприятия (защита при передаче информации по каналам связи, баз данных, обеспечение долгосрочного хранения информации в электронном виде и защита электронного документа оборота, секретность коммерческой информации, аутентификация, защита интеллектуальной собственности и т. д.).
Одним из трудоемких и затратных из описанных выше мероприятий является последнее, поскольку необходимо привлечь специалистов в области 1Т-безопасности и разработать методику защиты и технического обеспечения конфиденциальной информации компании, использующей компьютерные и технические средства для хранения и обработки информации, а также персональных данных сотрудников.
На данный момент Россия стоит на пути массовой информатизации (государственная программа «Информационное общество») и перехода из бумажных носителей информации в электронный вид. Сегодня большая часть малого и среднего бизнеса (которые наиболее подвержены рей-дерским захватам) в России используют средства информатизации, что облегчает и ускоряет бизнес процессы. Но, несмотря на очевидную экономическую эффективность от применения средств информатизации, существует ряд опасностей от применения данных технологий (несанкционированный доступ к корпоративной базе данных, копирование информации и т. д.), что увеличивает экономический риск компании.
Следует отметить, что довольно серьезным звеном для защиты предпринимательства можно рассмотреть Федеральный закон о персональных данных, который обязывает частные и государственные компании, обрабатывающие информацию, не относящуюся к государственной тайне, организовать защиту персональных сведений физических и юридических лиц. Согласно исследовани-
ям компании InfoWatch в 56 % утечки информации виновны сами сотрудники, у которых есть легальный доступ к корпоративной базе данных, или конфиденциальным сведениям, хранимых на персональных компьютерах [7].
Отметим, что перед руководством компании рано или поздно встанет вопрос о том, кто и как пользуется корпоративной информационной системой, и насколько защищена циркулирующая в ней информация.
Первым средством для решения данной задачи выступают системы контроля доступа и предотвращения утечки информации. Для ограничения доступа к информации и протоколирования фактов доступа можно использовать стандартные сервисы безопасности. К их числу относятся аутентификация, управление доступом, шифрование и аудит.
Однако традиционные схемы аутентификации и управления доступом не обеспечивают должного уровня защиты. В дополнение к ним целесообразно использовать специализированные сервисы управления правами доступа к электронным документам, использующиеся, например, в MS Windows Server 2003. RMS (Rights Management Services) - технология, используемая RMS-совместимыми приложениями для защиты электронных документов от несанкционированного употребления. RMS позволяет при распространении информации определять ограничения по ее использованию.
Для предотвращения несанкционированного копирования конфиденциальной информации на внешние носители используется специализированное программное обеспечение, предназначенное для контроля внешних коммуникационных портов компьютера (USB, PCMCIA и т. п.). Эти программные продукты поставляются такими компаниями как Check Point, SecureWave, Safend, Control Guard и др., а также отечественными разработчиками: Код Безопасности, SmartLine и SecurIT, Физтех-софт. Пользователям присваиваются права доступа к контролируемым устройствам, по аналогии с правами доступа к файлам.
Большие возможности по предотвращению утечки информации предоставляет программное обеспечение, обладающее возможностью динамически регулировать доступ к каналам передачи данных, в зависимости от уровня конфиденциальности информации и уровня допуска сотрудника. Для реализации этого принципа используется механизм мандатного управления доступом. Владелец информационного ресурса не может ослабить требования на доступ к этому ресурсу, в его вла-
сти только усиливать их в пределах своего уровня. В таких системах конфиденциальные сведения не могут копироваться на носитель или передаваться по коммуникационному порту, имеющему более низкий уровень конфиденциальности, нежели копируемая информация. Ослаблять требования может только администратор, наделенный особыми полномочиями. Однако необходимо подчеркнуть, что системы мандатного управления доступом, как правило, дороги, сложны в реализации и оказывают существенное ограничивающее влияние на бизнес-процессы [8].
Средства контроля доступа и предотвращения утечки информации направлены, главным образом, на защиту от несанкционированного доступа и несанкционированного копирования информации и малоэффективны для защиты от «инсайдеров», имеющих к этой информации легальный доступ. В связи с этим в настоящее время особенно активно развивается рынок специализированных систем обнаружения вторжений (IDS), предназначенных для обнаружения несанкционированного входа в корпоративную сеть и системы предотвращения утечки информации вовне (DLP). Основные функциональные задачи, решаемые с помощью данных технических средств, являются:
1) осуществление централизованного сбора, обработки и анализа событий в информационной системе;
2) обнаружение в режиме реального времени атак, вторжений, нарушение политик безопасности;
3) мониторинг действий пользователей;
4) сохранение и формирование информации для проведения расследований инцидентов информационной безопасности;
5) создание отчетов для доказательной базы по инцидентам информационной безопасности.
Использование выше описанных методов хотя бы на уровне стандартных средств в информационной системе позволит компании вовремя заметить инциденты нарушения корпоративных политик информационной безопасности, выявить причастных к этому лиц, снизит вероятность инсайдерской угрозы, что существенным образом
понизит возможность сбора информации недружественными структурами.
В качестве итога необходимо сказать то, что бремя обеспечения безопасности экономики страны лежит не только на плечах государства, которое должно четко регулировать данную деятельность в виде законодательных документов, но и сам бизнес должен понимать крайнюю необходимость организовывать собственную безопасность.
Литература
1. Астахов П. А. Противодействие рейдерским захватам. М., 2007.
2. Гордиенко Д. В. Основы экономической безопасности государства. Курс лекций: учеб.-метод. пособие. М., 2009.
3. Грибунин В. Г., Чудовский В. В. Комплексная система защиты информации на предприятии: учеб.-метод. пособие. М., 2009.
4. Доктрина информационной безопасности РФ. иЯЬ: http://www.cci.ru/infolaws/doctoc.asp?id=29;
5. Цукалова О. А., Смирнов С. Б. Экономика защиты информации: учеб. пособие. СПб., 2007.
6. ШЬ: http://www.kvadroom.ru/journal/stat_244.html;
7. иКЬ: http://www.searchinform.ru/main/full-text-search-information-security-article.html?art=6
8. иЯЬ: http://www.infosecurity.ru/cgi-bin/mart/arts. pl?a=070309.
* * *
INFORMATION SECURITY AS ASPECT OF STABILITY OF ECONOMIC RELATIONS AT DIVERSE LEVELS OF MANAGEMENT
K. V. Astakhov
This paper considers the necessity of ensuring the information security at the diverse levels of economic relations: at the common federal level; and at the level of micro-scale managing subjects of economy. This paper also examines the necessity of organization of the information security to defend information resources of a company in order to prevent raider attack attempts and to decrease insider threats.
Key words: information, security, economy, raiding, insider activites.
№ б (Gil), 1G1G
