Методы обеспечения информационной безопасности компании Текст научной статьи по специальности «Право»

ВОПРОСЫ БЕЗОПАСНОСТИ

МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

КОМПАНИИ

Л.А. ЧАЛДАЕВА, доцент Финансовой академии при Правительстве Российской Федерации

А.А. КИЛЯЧКОВ,

начальник отдела учета и оформления операций департамента ценных бумаг ОАО «Тюменская нефтяная компания»

Обеспечение экономической безопасности хозяйствующих субъектов в области информационной безопасности осуществляется в русле общегосударственной системы безопасности. Методы обеспечения информационной безопасности можно подразделить на общие (правовые, организационно-технические и экономические) и частные, которые применяются в различных сферах общественной жизни, учитывая ее специфику. Построение системы информационной безопасности и методов, ее обеспечивающих, представлены на рис. 1.

К правовым методам обеспечения информационной безопасности можно отнести нормативные правовые акты, регламентирующие отношения в информационной сфере, а также поднормативные акты и методические документы, применяемые для регулирования процессов в сфере информации и информационных технологий.

Правовыми методами осуществляется воздействие на процессы обеспечения безопасности в следующих направлениях:

• формирования устойчивой законодательной базы, регулирующей отношения в области обеспечения информационной безопасно-

сти, устанавливающей не только сферы и объекты защиты, но и ответственность за правонарушения в этой области; соблюдения законодательного разграничения полномочий между федеральными органами государственной власти и органами государственной власти субъектов

Рис. 1. Методы обеспечения информационной безопасности

Российской Федерации, определения целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

• совершенствования правил аккредитации иностранных информационных агентств, средств массовой информации и журналистов, а также организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации;

• развития национальных сетей связи и отечественного производства космических спутников связи;

• создания региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационной безопасности являются:

• организационное построение системы обеспечения информационной безопасности;

• разработка технических средств защиты информации и повышение их эффективности с целью предотвращения перехвата, несанкционированного доступа, опасностей и помех при ее хранении, обработке и передаче;

• сертификация, стандартизация способов и средств защиты информации, а также лицензирование деятельности в этой области;

• контроль над действиями персонала, повышение квалификации и подготовка кадров в защищенных информационных системах;

• формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в важнейших сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности включают в себя:

• разработку программы экономического обеспечения информационной безопасности;

• совершенствование системы финансирования работ, связанных с реализацией экономических, правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков.

В различных сферах общественной жизни общества и государства наряду с общими методами защиты интересов России и ее информационного пространства, исходящими из того, что информационная безопасность является одной

из составных частей в целом национальной безопасности страны, следует учитывать специфику этих сфер и применять частные методы. К областям применения частных методов защиты информации относятся экономика, внутренняя и внешняя политика, обороноспособность государства, наука и техника, духовно-нравственная жизнь общества, информационные и телекоммуникационные системы, правоохранительная и судебная деятельность, деятельность в чрезвычайных ситуациях.

В каждой из них существуют организационно-технические, экономические и правовые особенности в обеспечении информационной безопасности. Кроме того, угрозы могут быть классифицированы не только как внешние и внутренние, но по объектам и направлениям угроз, свойственные только данной, конкретной сфере общественной жизни.

В сфере экономики обеспечение информационной безопасности играет ключевую роль для жизнеобеспечения государства и хозяйствующих субъектов.

Причины возникновения информационной опасности состоят в следующем:

1. Переход к рыночным отношениям в экономике вызвал появление на внутреннем российском рынке товаров и услуг множества отечественных и зарубежных коммерческих структур - производителей и потребителей информации, средств информатизации и защиты информации.

2. Бесконтрольная деятельность отечественных и зарубежных коммерческих структур по созданию и защите систем сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации провоцировала несанкционированный доступ к конфиденциальной экономической информации и создавала условия для контроля над процессами ее передачи и обработки со стороны иностранных спецслужб.

3. Критическое состояние предприятий национальных отраслей промышленности, разрабатывающих и производящих средства информатизации, телекоммуникации, связи и защиты информации, приводит к широкому использованию соответствующих импортных средств, что создает угрозу технологической зависимости России от иностранных государств.

4. Компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций создают серьезную угрозу бизнесу и экономическому развитию государства и хозяйствующих субъектов.

5. Несовершенство нормативной правовой базы, определяющей ответственность хозяйствующих субъектов за недостоверность или сокрытие сведений об их коммерческой деятельности, о потребительских свойствах производимых ими товаров и услуг, о результатах их хозяйственной деятельности, об инвестициях, препятствует нормальному функционированию хозяйствующих субъектов.

6. Разглашение информации, содержащей коммерческую тайну о деятельности хозяйствующих субъектов. В системах сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации наиболее опасны противоправное копирование информации и ее искажение вследствие преднамеренных или случайных нарушений технологии работы с информацией и несанкционированного доступа к ней.

Объекты угроз в сфере экономики:

• система координации внутрихозяйственной деятельности;

• система товарно-денежного обращения;

• товарное производство и товародвижение;

• система государственной статистики;

• кредитно-финансовая система;

• система формирования, учета и обмена информацией на различных уровнях управления государством и хозяйствующими субъектами;

• система бухгалтерского учета предприятий, учреждений и организаций независимо от форм собственности;

• система сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от форм собственности.

Обеспечение информационной безопасности в сфере экономики может быть осуществлено с помощью мер, которые носят правовой, организационный и экономический характер (рис. 2).

В сфере внутренней политики важнейшими объектами информационной безопасности государства являются:

1. Конституционные права и свободы человека и гражданина.

Рис. 2. Меры по обеспечению информационной безопасности в экономической сфере

2. Конституционный строй, национальное согласие, стабильность государственной власти, суверенитет и территориальная целостность Российской Федерации.

3. Открытые информационные ресурсы федеральных органов исполнительной власти и средств массовой информации.

Угрозы информационной безопасности в сфере внутренней политики государства исходят от:

• использования средств массовой информации в целях пропаганды враждебными политическими силами;

• распространения дезинформации о политике государства, событиях, происходящих в стране и за рубежом;

• деятельности общественных объединений, направленной на насильственное изменение основ конституционного строя и нарушение территориальной целостности Российской Федерации;

• разжигания социальной, расовой, национальной и религиозной вражды.

Эффективными мерами в области информационной безопасности, противодействующими дестабилизации в сфере внутренней политики,

являются, во-первых, создание системы, препятствующей монополизации отечественными и зарубежными структурами, информационной инфраструктуры, во-вторых, - активизация контр-

Организация информационной безопасности в сфере внешней политики России

Объекты информационной безопасности в сфере внешней политики государства

1. Федеральные информационные ресурсы, ресурсы российских представительств и организаций за рубежом, реализующих внешнюю политику государства

2. Информационные ресурсы федеральных представительств, реализующих внешнюю политику государства на территориях субъектов Российской Федерации

3. Информационные ресурсы российских предприятий, учреждений и организаций, подведомственных федеральным органам исполнительной власти, реализующим внешнюю политику государства

Угрозы в сфере внешней политики государства

Внутренние угрозы

Внешние угрозы

нарушение порядка сбора, обработки, хранения и передачи информации в федеральных органах исполнительной власти, на предприятиях, в учреждениях и организациях; информационно-пропагандистская деятельность политических сил, общественных объединений, средств массовой информации и отдельных лиц, искажающая стратегию и тактику внешнеполитической деятельности государства; недостаточная информированность населения о внешнеполитической деятельности России

информационное воздействие иностранных политических, экономических, военных и информационных структур на стратегию внешней политики России; распространение дезинформации о внешней политике России; нарушение прав российских граждан и юридических лиц в информационной сфере за рубежом;

несанкционированный доступ к информации и воздействие на информационную инфраструктуру и ресурсы органов исполнительной власти и российских представительств за рубежом

Меры по обеспечению информационной безопасности в сфере внешней политики

улучшение информационного обеспечения внешнеполитического курса Российской Федерации;

повышение безопасности информационной инфраструктуры организаций за рубежом, реализующих внешнюю политику государства; создание представительствам и организациям за рубежом условий для работы по нейтрализации распространяемой дезинформации о внешней политике России;

совершенствование информационного обеспечения работы по противодействию нарушениям прав и свобод российских граждан и юридических лиц за рубежом

Рис. 3. Организация информационной безопасности в сфере внешней политики России

пропагандистской деятельности, направленной на предотвращение негативных последствий распространения дезинформации о внутренней политике России (рис. 3).

В области науки и техники наиболее важными информационными объектами, требующими охраны, являются:

1. Результаты фундаментальных, поисковых и прикладных научных исследований;

2. Открытия, незапатентованные технологии, промышленные образцы, действующие модели и экспериментальное оборудование;

3. Научно-технические кадры и система их подготовки;

4. Системы управления исследовательскими комплексами.

В реальной практике организации информационной безопасности в сфере науки и техники существует классификация угроз, которая предусматривает деление их на внешние и внутренние угрозы.

К числу внешних угроз относятся:

• стремление иностранных государств получить противоправный доступ к российским научно-техническим ресурсам;

• ужесточение условий выхода российской научно-технической продукции на мировой рынок;

• разрушение единого научно-технического пространства государств-участников Содружества Независимых Государств (СНГ);

• активизация деятельности иностранных государственных и коммерческих предприятий, учреждений и организаций в области промышленного шпионажа с привлечением к ней разведывательных и специальных служб.

К внутренним угрозам относятся:

• скудное финансирование научно-технической деятельности, падение престижа научно-технической деятельности, утечка за рубеж идей и передовых разработок;

• низкие темпы развития отраслей электротехнической, электронной и химической промышленности, предприятий цветной металлургии, препятствующие производству конкурентоспособной наукоемкой продукции на основе передовых информационных технологий;

• высокий уровень зависимости от зарубежных стран в области высоких технологий;

• серьезные проблемы в области патентной защиты результатов научно-технической деятельности российских ученых.

Реальный путь противодействия угрозам в области науки и техники - это, во-первых, совершенствование законодательной базы, во-вто-рых, укрепление материально-технической базы и, в-третьих, повышение финансирования и стимулирования деятельности в научно-техничес-ком прогрессе.

В сфере духовной жизни общества обеспечение информационной безопасности имеет целью защиту культурного, духовно-нравственного наследия, исторических традиций и норм общественной жизни, патриотизма и гуманизма, здоровья граждан, образование подрастающего поколения с целью воспитания гармонично развитой личности.

Объекты информационной безопасности в сфере духовной жизни:

• достоинство личности;

• нравственность и здоровье нации;

• свобода массовой информации;

• частная жизнь, личная и семейная тайна;

• русский язык как фактор духовного единения народов России и межгосударственного общения государств-участников СНГ;

• национальные языки, нравственные ценности и культурное наследие народов и народностей Российской Федерации;

• объекты интеллектуальной собственности.

Наибольшую опасность в сфере духовной жизни обществу представляют следующие угрозы:

• деформация отечественного информационного пространства за счет неконтролируемого расширения сектора зарубежных средств массовой информации;

• низкое финансирование объектов российского культурного наследия;

• нарушение общественной стабильности, нанесение вреда здоровью и жизни граждан деятельностью религиозных объединений, проповедующих религиозный фундаментализм;

• неспособность общества обеспечить формирование у подрастающего поколения

нравственных ценностей, патриотизма и гражданской ответственности за судьбу страны.

Меры по обеспечению информационной безопасности в сфере духовной жизни общества:

1. Развитие основ гражданского общества;

2. Формирование правовых и организационных механизмов обеспечения конституционных прав и свобод граждан, повышения их правовой культуры;

3. Создание социально-экономических условий для осуществления творческой деятельности и функционирования учреждений культуры;

4. Применение цивилизованных форм и способов общественного контроля над формированием духовных ценностей, отвечающих национальным интересам страны, воспитания патриотизма и гражданской зрелости населения;

5. Государственная поддержка мероприятий по сохранению и возрождению культурного наследия народов и народностей России;

6. Разработка организационно-правовых механизмов доступа средств массовой информации и граждан к открытой информации о деятельности федеральных органов государственной власти и общественных объединений;

7. Повышение достоверности сведений о социально значимых событиях общественной жизни, распространяемых через средства массовой информации;

8. Пресечение противоправных информационно-психологических воздействий на массовое сознание общества;

9. Обеспечение сохранности культурных и исторических ценностей, составляющих национальное достояние;

10. Введение запрета на программы, пропагандирующие насилие и жестокость, антиобщественное поведение;

11. Противодействие негативному влиянию религиозных иностранных организаций и миссионеров.

В общегосударственных информационных и телекоммуникационных системах основными объектами защиты являются:

• информационные ресурсы, содержащие сведения, составляющие конфиденциальную информацию и государственную тайну;

• рациональное использование информационных ресурсов;

• средства информатизации, прикладные системы инфраструктуры линий связи и передачи данных, программные продукты, автоматизированные системы управления;

• служебные помещения, технические средства и системы, обрабатывающие информацию;

• помещения, предназначенные для ведения закрытых переговоров.

Угрозы общегосударственным информационным и телекоммуникационным системам исходят от:

• специальных служб иностранных государств, преступных сообществ, организаций, групп и отдельных лиц, противозаконная деятельность которых направлена на получение несанкционированного доступа к информации и осуществление контроля над функционированием информационных и телекоммуникационных систем;

• использования при создании и развитии информационных и телекоммуникационных систем импортных программно-аппаратных средств;

• нарушения регламента сбора, обработки и передачи информации, преднамеренные действия и ошибки персонала, отказ технических средств и сбои программного обеспечения;

• использование ^сертифицированных средств защиты информации и систем информатизации и связи;

• привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности.

Основными направлениями обеспечения информационной безопасности являются:

• предотвращение перехвата информации из помещений и с объектов, а также информации, передаваемой по каналам связи с помощью технических средств;

• исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации;

• предотвращение утечки информации по техническим каналам, возникающей при эксплуатации технических средств ее обработки, хранения и передачи;

• предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации;

• обеспечение информационной безопасности при подключении общегосударствен-

ных информационных и телекоммуникационных систем к внешним и международным информационным сетям;

• обеспечение безопасности конфиденциальной информации при взаимодействии информационных и телекоммуникационных систем различных классов защищенности;

• выявление внедренных на объекты и в технические средства электронных устройств перехвата информации.

Организационно-технические методы обеспечения информационной безопасности в общегосударственных информационных и телекоммуникационных системах:

• лицензирование организаций, осуществляющих защиту информации;

• аттестация объектов информатизации при выполнении работ, связанных с использованием сведений, составляющих государственную тайну;

• сертификация средств защиты информации и контроля эффективности их использования;

• введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств;

• создание и применение информационных и автоматизированных систем управления в защищенном исполнении.

В сфере обороны (рис. 4) к объектам обеспечения информационной безопасности государства относятся:

• информационная инфраструктура центральных органов военного управления Вооруженных Сил России;

• информационные ресурсы предприятий оборонного комплекса и научно-исследовательских учреждений, выполняющих государственные оборонные заказы;

• программно-технические средства автоматизированных и автоматических систем управления войсками и оружием, вооружения и военной техники, оснащенных средствами информатизации;

• информационные ресурсы, системы связи и информационная инфраструктура других войск, воинских формирований и органов.

В правоохранительной и судебной сфере объектами охраны являются:

1. Информационные ресурсы федеральных органов исполнительной власти, базы данных, содержащие конфиденциальные сведения.

Рис. 4. Внешние и внутреш ие угрозы, представляющие наибольшую опасность для объектов обеспечения информационной безопасности Российской Федерации и специфические направления совершенствования системы в сфере обороны

2. Информационно-вычислительные центры, научно-исследовательские учреждения, учебные заведения и их информационное, техническое, программное и нормативное обеспечение.

3. Информационная инфраструктура.

Угрозы, представляющие наибольшую опасность для информационных объектов.

Внешние угрозы:

• разведывательная деятельность специальных служб иностранных государств, преступных международных сообществ, организаций, групп и лиц, связанная со сбором сведений, раскрывающих задачи, планы деятельности, техническое оснащение, методы работы и места дислокации подразделений и органов внутренних дел России;

• деятельность иностранных государственных и частных коммерческих структур, стремящихся получить несанкционирован-

ный доступ к информационным ресурсам правоохранительных и судебных органов.

Внутренние угрозы:

• несовершенство законодательной базы, сопровождающей информационный обмен в правоохранительной и судебной сфере;

• отсутствие единой методологии сбора, обработки и хранения информации оперативно-розыскного, справочного, криминалистического и статистического характера;

• нарушение регламента сбора, обработки, хранения и передачи информации, содержащейся в банках данных и использующейся для расследования преступлений;

• преднамеренные действия, ошибки персонала, непосредственно занятого формированием автоматизированных банков данных, а также сбои программного обеспечения в информационных и телекоммуникационных системах.

К частным, специфическим методам обеспечения информационной безопасности в правоохранительной и судебной сфере, во-первых, относится использование многоуровневой системы интегрированных банков данных оперативно-розыскного, справочного, криминалистического и статистического характера, во-вторых, систематическое повышение уровня профессиональной подготовки пользователей информационных систем.

В условиях чрезвычайных ситуаций наиболее уязвимыми информационными объектами является система сбора, обработки информации о чрезвычайных событиях и принятия решений по ликвидации их последствий. Особое значение имеет обеспечение безопасности информационной инфраструктуры страны при авариях, катастрофах и стихийных бедствиях. Сокрытие, задержка поступления, искажение и разрушение оперативной информации, несанкционированный доступ к ней могут привести как к человеческим жертвам, так и к значительным материальным потерям.

В качестве частного метода обеспечения информационной безопасности в данной ситуации можно применить мониторинг объектов повышенной опасности, информирование и обучение населения действиям в экстремальных условиях, прогнозирование поведения населения под воздействием ложной или недостоверной информации о масштабах катастроф и выработка мер по оказанию помощи большим массам людей в условиях этих ситуаций.

В области охраны окружающей среды и природопользования объектами информационной безопасности являются система сбора и обработки информации о состоянии земли, загрязнении воздушного и водного пространства, влиянии

человеческой деятельности на растительный и животный мир, рациональности использования природных ресурсов, запасах полезных ископаемых. Угрозы в данной области могут быть как внешние, которые исходят от сопредельных государств и враждебно настроенных групп и лиц, так и внутренние, которые исходят от объектов промышленного, энергетического и военно-обо-ронного назначения, браконьеров.

Наряду с широко используемыми общими методами и средствами защиты информации, применяемыми в сфере охраны окружающей среды и природопользования, используются также специфические, частные методы. К ним можно отнести мониторинг состояния объектов окружающей среды и природопользования, проведение экологического аудита, оценку экологической стоимости территории, меры по защите информационных систем, обеспечивающих управление экологически опасными и экономически важными производствами. К ним относятся радиационная безопасность, санитарно-эпи-демиологическая стабильность, психологическая безопасность, защищенность экологических прав граждан и их объединений.

Таким образом, методы обеспечения информационной безопасности, общие и частные, применяются в сфере экономики, внутренней и внешней политики государства, науки и техники, духовной жизни общества, информации и телекоммуникации, обороны, правоохранительной и судебной деятельности, охраны окружающей среды и природопользования, в условиях чрезвычайных ситуаций для защиты информационных объектов путем определения источника и вида угроз, разработки направлений и мероприятий по их пресечению и нейтрализации.