CC BY
156ХГУЭП ХГУЭП ХГУЭП ХГУЭП ХГУЭП 0KQ Н^О^М ИЧ ЕСКАЯ Б ЕЗОПАСНОСТЬ ХГУЭП ХГУЭП ХГУЭП ХГУЭП ХГУЭП
УДК 004.056:343 DOI 10.38161/2618-9526-2021-1-048-054
О.К. Коробкова, канд. экон. наук,
и.о. завкафедрой бухгалтерского учёта, анализа и экономической безопасности
экономического факультета Хабаровского государственного университета экономики и права
ПРОБЛЕМНЫЕ ВОПРОСЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ В РАМКАХ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ РФ
В статье раскрыты проблемы, связанные с информационной безопасностью экономического субъекта. Составлена классификация угроз информационной безопасности организации и меры по их предотвращению. Предложен план мероприятий по минимизации угроз информационной безопасности экономического субъекта. Результаты исследования могут применяться организациями любой сферы деятельности.
Ключевые слова: экономическая безопасность, информационная безопасность, угрозы экономической безопасности, дистанционная работа.
UDC 004.056:343 DOI 10.38161/2618-9526-2021-1-048-054
O.K. Korobkova,
Candidate of Economic Sciences, Associate Professor, Acting Head of Department of Accounting, Analysis and Economic Security, School of Economics, Khabarovsk State University of Economics and Law
PROBLEMATIC ISSUES OF ORGANIZATIONS' INFORMATION SECURITY WITHIN THE FRAMEWORK OF ECONOMIC SECURITY OF THE
RUSSIAN FEDERATION
The article reveals the problems associated with the information security of an economic entity. The classification of threats to organizations' information security and measures to prevent them is compiled. A plan of measures to minimize threats to the information security of an economic entity is proposed. The results of the study can be applied by organizations in any field of activity.
Keywords: economic security, information security, threats to economic security, remote work.
В настоящее время одним из основных направлений обеспечения экономической безопасности экономического субъекта является использование информационных технологий, защита информационных данных. Генезис общества характеризуется развитием информационной сферы, которая представляет собой совокупность информации, в том числе баз данных, информационной инфраструктуры, экономических субъектов, осуществляющих сбор, формирование, использование информации, и системы регулирования общественных отношений, возникающих при этом. Информационная сфера является системообразующим аспектом жизни общества, активно оказывает влияние на состояние экономической безопасности РФ. Одним из показателей цифровизации экономики является применение широкополосного доступа. По данным Росстата, в 2019 г. в России насчитывалось 55,4 миллиона домохо-зяйств, из них доступ к Интернету имеют 76,9 %, к широкополосному доступу -
73.6 %. По регионам применение широкополосного доступа наиболее существенно в Ямало-Ненецком автономном округе - 93,9 %, Магаданской области -
86.7 %, Москве - 86,6 %, Оренбургской
области - 86,1 %, Тульской области - 85,2 %, Хабаровскому краю - 75,5 % [4]. Национальная безопасность РФ зависит от обеспечения информационной безопасности регионов и страны в целом, а в ходе развития цифровой экономики эта зависимость будет расти. Таким образом, противостояние угрозам информационной безопасности экономических субъектов будет зависеть от создания, внедрения эффективных систем защиты информации.
Следствием наличия уязвимых мест в защите информационных систем является угроза (например, возможность доступа посторонних лиц к инфраструктуре). Выделяют три вида угроз: нарушения конфиденциальности обрабатываемой информации (направлены на разглашение секретной информации, то есть информация становится известной лицу, которое не должно иметь к ней доступ); нарушения целостности обрабатываемой информации (изменение хранящейся в вычислительной системе или передаваемой информации не уполномоченным на это действие лицом); нарушения работоспособности информационной системы (результат неумышленных действий при ошибочной эксплуатации системы).
Таблица - Классификация угроз информационной безопасности экономического субъекта [2]
Угроза информационной безопасности Отрицательное влияние на деятельность организации Меры по предотвращению угроз информационной безопасности
Ошибки пользователей и системных администраторов Снижение уровня продуктивности персонала организации Установление графика проверки программного обеспечения на предмет обновлений и обнаружения вредоносных программ
Компьютерные вирусы и иные вредоносные программы Нарушение работы операционных сетей. Невозможность резервного копирования. Кража персональных данных Разработка положения об антивирусной защите. Использование комплекса антивирусных программ (Avast Free Antivirus, Kaspersky Free Antivirus, 360 Total Security)
Ошибки в работе программного обеспечения. Несанкционированный доступ к информации Вероятность искажения данных и их использования сторонними лицами. Финансовые потери. Потеря клиентов Информирование руководителя о нарушениях в информационной системе. Использование программ HelpDesk или ServiceDesk для своевременного сигнала технического отдела об ошибке. Разработка положения о дистанционной работе (в связи с карантином)
Сбои в работе компьютерного оборудования Нарушение сроков сдачи документации Разработка положения о допустимом использовании компьютерной техники. Диагностика новых и существующих программ на совместимость. Использование стабилизаторов напряжения и источников бесперебойного питания
Нарушение сотрудниками организации регламентов по работе с конфиденциальной информацией Недобросовестное использование и распространение конфиденциальной информации. Урон имиджу и ухудшение финансового положения организации Разработка положения о коммерческой тайне. Информирование сотрудников организации об изменениях в нормативных документах компании, связанных с информационной безопасностью. Использование программного обеспечения Microsoft RMS (сервис управления правами доступа) и программно-аппаратный комплекс Sentinel RMS
Техногенные катастрофы и стихийные бедствия Нарушение деятельности организации. Финансовые потери Проверка пожарной сигнализации раз в квартал. Разработка должностной инструкции физической охраны. Отлаженная система удалённой работы с помощью технических средств
Для определения критериев защиты информационной безопасности составлена классификация угроз информационной безопасности (см. таблицу).
В области информационной безопасности выделяют следующие возможные каналы утечки информации: утечка электронного документа на внешних носителях; создание неучтённых печатных копий электронного документа и их утеря; копирование документа при передаче его через каналы связи. Исследование про-
блемы внутренних П-угроз показало, что российские организации сталкиваются с утечкой конфиденциальной информации (98 %), искажением информации (62 %), сбоями в работе информационных систем по причине халатности сотрудников (15 %), утратой информации (7 %), кражей оборудования (6 %), др. (28 %). Промышленный шпионаж, сбор информации спецслужбами, атаки хакеров, вирусы и вредоносные программы, стихийные бедствия и техногенные катастрофы могут
подорвать систематизированную работу организации.
11 марта 2020 г. Всемирная организация здравоохранения объявила COVID-19 всемирной пандемией, которая негативно повлияла на жизнедеятельность организаций страны. В период пандемии многие организации приняли решение перейти на дистанционную работу. Кибератаки получили наибольшее распространение в сфере здравоохранения и финансовом секторе, а фишинговые атаки по электронной почте стали наиболее распространённым источником утечки данных во время удалённой работы сотрудников предприятий. В 2020 г. как следствие пандемии были сокращены IT- и ИБ-бюджеты. Аналитики компании «Gartner» полагают, что по итогам 2020 г. глобальные поставки средств защиты информации возрастут на 2,4 %, хотя в целом ожидают снижения роста в сегменте программных решений и ИБ-сервисов. Анализ мировых расходов на информационную безопасность показал рост затрат на облачную безопасность (33,3 %), безопасность данных (7,2 %), безопасность приложений (6,2 %), системы индентифи-кации и управления доступом и защиты инфраструктуры (5,8 %), комплексное управление рисками (3,8 %), ИБ-сервисы (3,7 %), а также снижение затрат на оборудование сетевой защиты на 12 % [3].
В соответствии с Государственной программой Хабаровского края «Развитие информационного общества в Хабаровском крае» в 2020 г. использование преимущественно отечественного программного обеспечения государственными органами, органами местного самоуправле-
ния и организациями составляет 70 %, число подготовленных специалистов по образовательным программам в области информационной безопасности - 0,134 тыс. человек, средний срок простоя государственных информационных систем в результате компьютерных атак - 24 часа [5].
Одна из проблем цифровой экономики Хабаровского края - обеспечение информационной безопасности экономического субъекта, что является основой для развития общественных отношений и формирования государственной политики в данной области, а также для выработки мер по совершенствованию системы обеспечения информационной безопасности. Функционирование системы обеспечения безопасности информационных систем должно осуществляться в соответствии со следующими принципами: законность, комплексность, системность, непрерывность, своевременность, персональная ответственность, сотрудничество и взаимодействие, гибкость системы защиты, простота применения средств защиты, научная обоснованность и техническая реализуемость.
Защита информационной среды экономического субъекта включает:
- меры защиты организации от промышленного шпионажа со стороны других юридических и физических лиц;
- техническую защиту различной документации, помещений от несанкционированного доступа заинтересованных юридических и физических лиц к закрытой информации;
- сбор информации о потенциальных инициаторах промышленного шпионажа и проведение необходимых предупре-
ждающих действий с целью прекращения таких попыток;
- внешняя информационная деятельность.
Информационная безопасность как составная часть экономической безопасности экономического субъекта должна включать:
- комплексную программу обеспечения безопасности информационных ресурсов организации;
- экономически обоснованную технологическую систему защиты, обеспечивающую должный уровень защищённости, готовности, надёжности информационных систем и безопасность информации.
На основе вышеизложенного составлен план мероприятий по минимизации угроз информационной безопасности, включающий следующие направления:
- организационную работу руководства экономического субъекта с составлением локальных организационных документов на основе анализа состояния защиты информационных баз;
- подготовку персонала по вопросам защиты информации;
- мониторинг защиты носителей конфиденциальной информации;
- допуск и доступ персонала организации к конфиденциальной информации (структурирование её по степени секретности) и её носителям;
- организацию конфиденциального делопроизводства (мониторинг конфиденциальных документов; выявление материалов, изменивших степень своей секретности на более высокую или более низкую и др.);
- защиту информации при использова-
нии технических средств (методы защиты информации от утечки по каналам передачи информации, защиту информации от несанкционированного доступа при использовании средств открытой связи);
- защиту информации при выполнении совместных работ (мероприятия по защите информации, отражённой в договорных отношениях с поставщиками и подрядчиками, исполнителями и заказчиками);
- итоговую аналитическую работу с составлением отчётности.
Система управления информационной безопасности должна включать три элемента:
- идентификацию пользователей и управление доступом;
- защиту от угроз;
- управление информацией безопасности.
Каждый элемент должен быть открытым и обладать возможностью простой интеграции с другими элементами. Поэтому первичной задачей организации со стороны информационной безопасности является создание механизма защиты данных в экономическом субъекте, то есть разработка мер обеспечения информационной безопасности от внутренних и внешних угроз. При разработке мероприятий основополагающим документом является Доктрина по информационной безопасности РФ, согласно которой меры по предотвращению угроз информационной безопасности можно разделить на следующие угрозы: правовые, организационные и технические [1]. Для обеспечения защиты информации необходимо разработать внутренние нормативные документы.
На основе всего процесса удалённой работы можно увидеть, что персональные данные сотрудников, корпоративная ин-
формация и коммерческая тайна организации подвергнуты определённой опасности, так как вся организация работы производится через сеть Интернет. В связи с этим, технические отделы столкнулись с серьёзными проблемами обеспечения информационной безопасности. Для определения регламента работы сотрудников на удалённом доступе и упрощения работы IT-отдела необходимо разработать положение о дистанционной работе сотрудника.
Взаимодействие самой организации со своими сотрудниками и их клиентами может осуществляться путём обмена электронными документами по корпоративной электронной почте, через документооборот и путём системы Service Desk. Все эти системы обладают высоким уровнем безопасности и регулярно диагностируются сотрудниками IT-отдела. Для безопасности электронных документов можно использовать электронные подписи работника и работодателя, а также каждая из сторон обязана направлять в форме электронного документа подтверждение получения электронного документа от другой стороны в день получения электронного документа.
В политике информационной безопасности необходимо прописать политику ограничения доступа парольной системой. Парольная политика описывает основные параметры создания и использования паролей в корпоративной сети, график смены пароля пользователями и правила парольной защиты для того, чтобы сотрудники могли обезопасить свою работу, личные данные и персональные данные клиентов компании от хищения, использования и распространения треть-
ими лицами. Правила парольной защиты: не рекомендуется сообщать индивидуальный пароль никому (все пароли являются конфиденциальной информацией) по телефону, по электронной почте, начальнику, коллегам, родственникам; не говорить о пароле рядом с посторонними лицами; не устанавливать в качестве пароля числа, которые часто могут использоваться (например, день рождения); не указывать пароль в анкетах; не записывать пароль и не хранить его на рабочем месте. К техническим мероприятиям по защите информации можно отнести использование инженерно-технических и программных средств, в том числе безопасность территории экономического субъекта от проникновения нарушителей; защиту аппаратных средств компьютерной сети и носителей информации от хищения; предотвращение возможности удалённого видеонаблюдения или подслушивания правонарушителями; контроль перемещения сотрудников в других отделах организации. В настоящее время внедряют биометрические технологии как комплекс защиты всей территории организации, в том числе отдельных производственных отделов. Современные биометрические системы дают высокую надёжность аутентификации объекта. В методах биометрической аутентификации можно выделить две категории: статистические - физиологические данные человека (уникальны, их сложно подделать (дактилоскопический отпечаток)); динамические - основаны на уникальных особенностях поведения человека (индивидуальность почерка и голоса). Биометрические технологии минимизируют мо-
шенничество и повышают доверие потребителей. Применение биометрии в организациях различных отраслей становится актуальнее в связи с привлечением новых потребителей и сохранения конкурентного положения на рынке. К основным программным средствам защиты информации относится программное обеспечение:
- идентификация и аутентификация пользователей компьютерной сети;
- разграничение доступа пользователей к ресурсам компьютерной сети;
- шифрование информации;
- защита информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т.п.) от несанкционированного изменения, использования и копирования. Организационные мероприятия обеспечения безопасности информации экономического субъекта внедряются на этапе создания информационных систем (проектирование, разработка, изготовление и испытание системы). К ним можно отнести:
- введение режима секретности на некоторых участках работ;
- составление должностных инструкций по обеспечению режима секретности в соответствии с законодательными документами;
- выделение отдельных помещений с охранной сигнализацией или пропускной системой;
- мониторинг соблюдения исполнителями должностных инструкций и режима секретности.
Таким образом, информационная безопасность как важнейшая составляющая экономической безопасности во многом определяет национальную безопасность
РФ, её геополитическое положение, безопасность жизнедеятельности государственных и общественных институтов, организаций, сферы услуг и населения.
Список использованных источников
1 Об утверждении Доктрины информационной безопасности Российской Федерации : указ Президента РФ от 05.12.2016 г. № 646 // Собрание законодательства РФ. 2016. № 50. Ст. 7074.
2 Коробкова, О. К. Информационная безопасность услуг сферы здравоохранения в условиях цифровой экономики : проблемные вопросы / О. К. Коробкова // Экономика и предпринимательство. 2020. № 8 (121). С. 1110-1113.
3 «Коронакризис» меняет приоритеты в сфере защиты информации [Электронный ресурс] https://www.cnews.ru/reviews/security202 0/artides/obzDr_rynka_ib
4 Мониторинг развития информационного общества в Российской Федерации [Электронный ресурс] https://rosstat.gov.ru
5 Паспорт регионального проекта Хабаровского края «Информационная безопасность» [Электронный ресурс] https://mits.khabkrai.ru/?menu=getíile&id=1285
