Пути решения проблем обеспечения информационной безопасности малого бизнеса Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056:33

ПУТИ РЕШЕНИЯ ПРОБЛЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ МАЛОГО БИЗНЕСА

Л.Ю. Овсяницкая, Челябинский филиал Финансового университета при Правительстве РФ,

Ю.В. Подповетная, д.п.н., доцент, Челябинский филиал Финансового университета при Правительстве РФ; ФГАОУ ВО «Южно-Уральский государственный университет» (НИУ)

E-mail: y-u-l-i-a-v-a-l@mail.ru А.Д. Подповетный, студент ФГАОУ ВО «ЮУрГУ» (НИУ)

Аннотация

В статье представлен авторский подход к проблемам выбора средств и методов защиты информации в условиях ограниченного бюджета и к обоснованию комплекса мер, направленных на обеспечение информационной безопасности для малого бизнеса. Материалы статьи могут быть полезными для руководителей и владельцев предприятий малого бизнеса, студентам высших и средних учебных заведений технического и экономического направления.

Ключевые слова: информационная безопасность, малый бизнес, информационные угрозы, информационные системы.

В настоящее время невозможно представить направление малого бизнеса, не использующее информационные технологии для проведения финансовых расчетов, организации документооборота, рекламы своей деятельности, поиска поставщиков и покупателей, реализации онлайн-сервисов, использования информации как объекта товарно-денежных отношений.

Однако существуют факторы, которые могут не только дезорганизовать работу любого предприятия или организации, но и остановить на какое-то время всю деятельность. Киберпреступники в последнее время большое внимание уделяют малому бизнесу, считая его сферой более легкого получения информации о персональных данных сотрудников и средств с банковских счетов работников и предприятия. Причиной является то, что крупные компании уделяют большое внимание вопросам информационной безопасности: они имеют высококвалифицированных сотрудников IT-отделов, используют лицензионное программное обеспечение, хранят данные на собственных надежных серверах и способны вкладывать средства в обеспечение информационной безопасности. В сегменте малого бизнеса данными проблемами занимаются гораздо меньше. Существует несколько причин подобного поведения:

1) некомпетентность сотрудников;

2) неосведомленность руководителей в вопросах текущего состояния защиты информации;

3) нежелание или невозможность выделения финансовых средств на обеспечение информационной безопасности, на обучение сотрудников, на приобретение современного программного и аппаратного обеспечения;

4) использование бесплатных сервисов, программного обеспечения и облачных хранилищ данных.

Существуют четыре действия, производимые с информацией, которые могут содержать в себе угрозу: сбор, модификация, утечка и уничтожение. Источники угроз при этом делятся на внешние и внутренние. Источниками внутренних угроз являются:

- сотрудники организации;

- программное обеспечение;

- аппаратные средства.

Внутренние угрозы могут проявляться в следующих формах:

- ошибки пользователей и системных администраторов;

- нарушения сотрудниками фирмы установленных регламентов бора, обработки, передачи и уничтожения информации;

- ошибки в работе программного обеспечения;

- отказы и сбои в работе компьютерного оборудования.

Максимальный ущерб бизнесу наносит уязвимости в программном обеспечении. Особенно остро этот вопрос стоит в случае использования бесплатного программного обеспечения, публичных облачных хранилищ данных и использования паролевой защиты для доступа к информационным ресурсам. При установленных лицензионных информационных систем, использовании собственных серверов для хранения информации и обеспечения многофакторной защиты доступа к информационным ресурсам вероятность потерь информации значительно снижается. Однако указанные мероприятия требуют вложения средств.

Одновременно существуют действия, которые одинаково вероятны и опасны в сегменте как крупного, так и малого бизнеса, например, утечка информации по преднамеренной или случайной вине сотрудников, потеря мобильных устройств сотрудниками, мошенничество сотрудников и т. д. Причиной безответственного отношения к выполнению требований информационной безопасности является отсутствие знаний в области 1Т-безопасности и, соответственно, понимания важности точного соблюдения правил и требований.

К внешним источникам угроз относятся:

- компьютерные вирусы и вредоносные программы;

- организации и отдельные лица;

- стихийные бедствия.

Формами проявления внешних угроз являются:

- заражение компьютеров вирусами или вредоносными программами;

- несанкционированный доступ (НСД) к корпоративной информации;

- информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;

- аварии, пожары, техногенные катастрофы.

Внешние угрозы возникают в случае отсутствия установленных лицензионных программных продуктов, защищающих компьютер и информационную систему в целом от вредоносных программ. Предлагаемое бесплатное или условно-бесплатное программное обеспечение никогда не будет поддерживать полный функционал средств защиты, существующих в коммерческих версиях: блокирование вирусов и шпионских программ, обеспечение безопасности покупок в Интернете, блокирование спама и фишинговых сообщений, защита конфиденциальности данных, наличие брандмауэра, предотвращение хакерских атак, защита денежных операций, предупреждение о подмене доменных адресов на мошеннические и другое.

Игнорирование существующих внутренних и внешних киберугроз, низкий уровень инвестирования в средства информационной безопасности и в обучение сотрудников может привести к значительным финансовым и репутационным потерям.

Убытки от произошедших инцидентов складываются из расходов на внешнее профессиональное обслуживание, из упущенных бизнес-возможностей, а также ущерба от вынужденного простоя по причине блокирования ГГ-процессов компании и остановки деятельности на период восстановления информационных процессов и данных.

Согласно Федеральному закону от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», под защитой информации понимается принятие правовых, организационных и технических мер, направленных:

на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

на соблюдение конфиденциальности информации ограниченного доступа; на реализацию права на доступ к информации1.

Рассмотрим составляющие системы информационной безопасности малого бизнеса. Выбор методов и средств ее защиты информации на предприятии зависит от ее типа.

На рисунке 1 представлена классификация информации по признаку ограничения к ней доступа.

Рис. 1. Классификация информации по признаку ограничения доступа

Существующая на предприятиях информация делится на общедоступную информацию и информацию с ограниченным доступом.

1. К общедоступной (открытой) информации относится:

- информация, подписанная руководством, для передачи вовне (например, для конференций, презентаций и т. п.);

информация, полученная из внешних открытых источников; информация, находящаяся на внешнем web-сайте компании.

Многие считают, что защищать открытую информацию не имеет смысла. Однако это не так: например, подмена информации на web-сайте компании, в зависимости от того, чем именно она будет заменена, может привести к тем или иным нежелательным последствиям различной тяжести.

Для защиты общедоступной информации достаточно применение минимальных средств и методов информационной безопасности: паролевая защита файлов и папок, использование встроенных механизмов защиты данных в MS Office. Данные средства позволяют защитить с помощью пароля файлы от ознакомления или изменения, запретить редактирование, форматирование или внесение любых изменений в документ, организовать защиту макросов, скрыть от просмотра определенные части документа, распределить ограничения для пользователей и добавить цифровую подпись.

2. Информация, содержащая государственную тайну.

Согласно Закону Российской Федерации «О государственной тайне» от 21 июля 1993 г. № 5485-I, под государственной тайной понимаются защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной деятельности, распространение которых может нанести ущерб безопасности РФ2.

Меры защиты информации, содержащую государственную тайну, реализуются в информационной системе в рамках ее системы защиты информации в зависимости от класса защищенности информационной системы, угроз безопасности информации, структурно-функциональных характеристик информационной системы, применяемых информационных технологий и особенностей функционирования информационной системы.

Отметим главную особенность защиты информации, содержащей государственную тайну: все используемые методы и средства информационной безопасности должны иметь сертификат соответствия ФСТЭК (Федеральной службы по техническому и экспортному контролю) - документ, выданный федеральной структурой ФСТЭК, подтверждающий соответствие сертифицируемого объекта требованиям нормативных российских актов.

3. Информация для внутреннего использования.

К информации для внутреннего использования относится любая информация, используемая сотрудниками в рамках своих подразделений, тематических групп, которая:

- циркулирует между подразделениями и необходима для нормального их функционирования;

- является результатом работ с информацией из открытых источников (например, обзор рынка производимой продукции);

- не относится к информации конфиденциального характера;

- не относится к открытой информации.

Для защиты информации для внутреннего использования необходимо применять все перечисленные выше механизмы защиты открытой информации, однако с гораздо большей ответственностью: при создании паролей применять пароли с увеличенным битовым пространством, использовать не только буквы и цифры, но и специальные символы, различать регистры. Для удобства и скорости доступа паролевую защиту можно заменить на защиту на основе биометрии и ключи е-Токеп, применять электронную подпись, официально получаемую в удостоверяющих центрах.

4. Конфиденциальная информация.

Конфиденциальная информация - это документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ. Конфиденциальная информация не является общедоступной информацией и в случае разглашения способна нанести ущерб правам и охраняемым законом интересам предоставившего ее лица.

Рассмотрим подробнее виды конфиденциальной информации:

Персональные данные. Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», к персональным данным относят любую информацию, относящуюся к определенному физическому лицу (субъекту персональных данных). Персональные данные представляют собой информацию, которая позволяет однозначно определить, о каком лице идет речь. Закон подразделяет персональные данные на три вида:

- общие;

- специальные;

- биометрические.

Общими персональными данными являются фамилия, имя, отчество, место жительства, паспортные данные, сведения об образовании и квалификации, величина заработной платы, трудовая деятельность и т. д. Данные сведения всегда имеются на предприятии.

Специальными данными являются сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и другие. Эти данные могут содержаться в анкетах, заполняемых сотрудниками при приеме на работу, медицинских справках и т. д.

К биометрическим данным относят сведения, отражающие физиологические и поведенческие характеристики, позволяющие определить его личность. Например, отпечатки пальцев, рисунок радужной оболочки глаза, данные измерений параметров лица, формы руки, рисунка сетчатки глаза, почерка, голоса и другие. Кроме того, к биометрическим

данным относятся фотографии человека, за исключением фотографий и видеозаписи, сделанных во время массовых и публичных мероприятий.

Предприятие несет ответственность перед работниками за нарушение режима защиты, обработки и порядка использования этой информации. Для защиты персональных данных используются все методы и средства, перечисленные при описании защиты информации для служебного пользования. При обнаружении незаконности сбора или распространения информации и при отсутствии согласия ее носителя на сбор или разглашение информации, возникает уголовная ответственность. Если разглашение конфиденциальных сведений о личности произошло во время выполнения служебных обязанностей, наказание ужесточается. Еще более серьезная ответственность предусмотрена за разглашение данных о несовершеннолетних.

Коммерческая тайна - это информация, связанная с производственной, технической, технологической информацией, управлением финансовой и другой деятельностью предприятия, разглашение которой может нанести ущерб его интересам. К коммерческой тайне может относиться научно-техническая, технологическая, производственная информация, в том числе секреты производства (ноу-хау), финансово-экономическая и иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.

К признакам коммерческой тайны, проявляющимся при ее разглашении, относятся:

- нанесение экономического ущерба компании;

- возникновение у компании убытков в виде упущенной выгоды;

- снижение экономической, технической эффективности деятельности компании, в том числе и внешнеэкономической;

- нанесение ущерба имиджу компании и дискредитация его как добросовестного, надежного партнера по внешнеэкономической и иной деятельности;

- нанесение ущерба престижу и репутации партнера, с которым заключается или осуществлена коммерческая сделка.

Решение о применении методов и средств обеспечения безопасности коммерческой информации принимает владелец информации. Если информация не содержит государственную тайну и персональные данные сотрудников, то методы и средства не регламентируются законодательством, требований о необходимости наличия сертификата ФСТЭК нет.

Профессиональная тайна. К профессиональной тайне относятся сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и Федеральными законами, нарушение которой влечет уголовную ответственность.

Согласно Закону РФ от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», профессиональной тайной является информация, полученная гражданами при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности3.

Выделяют следующие виды профессиональной тайны:

- тайна страхования и сведения о страхователе;

- тайна связи;

- медицинская (врачебная) тайна;

- сведения о доноре и реципиенте;

- тайна исповеди;

- тайна адвоката, сведения, сообщенные доверителем в связи с оказанием юридической помощи;

- сведения, ставшие известными в связи с совершением нотариальных действий (профессиональной деятельности нотариуса); тайна совершения нотариальных действий.

Определившись с особенностями каждого вида информации, сформулируем основные положения, касающиеся ее оптимальной защиты в рамках использования в малом бизнесе с

учетом малых финансовых затрат. Это будет возможно при создании системы безопасности, которая выполняет только необходимые обязательные функции.

1. Антивирус и брандмауэр.

Крупнейшие системы безопасности предлагают программные приложения, разработанные специально для компаний, относящихся к сегменту малого бизнеса, с числом сотрудников и, соответственно, компьютеров, до 25. Данные предложения обеспечивают комплексную защиту компьютеров, файловых серверов и мобильных устройств от вредоносных программ, интернет-атак и онлайн-мошенничества с учетом всех требований закона.

2. Система аутентификации (идентификации), авторизации и администрирования

(ААА).

Работа предприятия малого бизнеса невозможна без обеспечения системы, имеющей аббревиатуру AAA или 3A (аутентификация, авторизация, администрирование). В некоторых случаях добавляют четвертую составляющую и четвертую «А» - аудит. Данные системы предназначены для обеспечения защиты от несанкционированного доступа к информационным системам и ресурсам.

Конкретный состав и содержание организационных и технических мер по обеспечению информационной безопасности персональных данных указаны в Приказе ФСТЭК № 21 от 18 февраля 2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

3. Системы хранения информации.

Для предприятий любой величины проблема хранения, управления и восстановления в случае потери является актуальной.

Система резервного копирования и восстановления данных (Backup & Recovery) позволяют с заданным интервалом создавать копии данных с целью их возможного восстановления в будущем. Кроме того, они способствуют обеспечению непрерывной деятельности предприятия или организации в случае повреждения операционной системы путем ее быстрого восстановления без потерь информации.

Отметим важную особенность, которую необходимо учитывать при использовании облачных хранилищ информации. В том случае, когда предприятие использует для обработки персональных данных облачные хранилища данных, расположенные не на территории РФ, оно обязано иметь копию базы данных, расположенную в нашей стране, проводить все требуемые изменения и дополнения в этой базе данных, а затем передавать информацию в облачное хранилище. То есть на территории РФ всегда должна находиться актуализированная база данных, содержащая обрабатываемую персональную информацию.

4. Защита от утечек конфиденциальной информации

Информационные системы защиты от утечек конфиденциальной информации (Data Loss Prevention, DLP) позволяют проводить отслеживание и блокирование передачи информации за пределы корпоративной сети. Данные системы способны следить за действиями сотрудников организации, записывать и анализировать их сообщения, посылаемые во время работы по электронной почте, социальным сетям, FTP, Skype, ICQ и других приложений, и протоколов, распечатываемых на принтере или сохраняемых на внешние носители информации. Основной задачей систем DLP является обеспечение выполнения политики конфиденциальности, принятой в конкретной организации.

Результатом становится предотвращение несанкционированной передачи конфиденциальной и персональной информации, минимизация рисков репутационного ущерба и повышение дисциплины сотрудников организации.

Таким образом, информация является ценнейшим ресурсом бизнеса. Защита данных, содержащих государственную тайну и персональные сведения людей, регламентируется законами РФ и обязательна для исполнения. Алгоритмы защиты коммерческой тайны

необходимо задавать самостоятельно, в зависимости от специфики и величины каждого предприятия или организации.

Особенностью малого бизнеса являются ограниченные финансовые возможности, выделяемые на средства и методы защиты информации. Поэтому принимаемые решения должны позволить реализовать оптимальную защиту информационной системы и данных, т. е. обеспечить максимально возможный результат при ограниченных вложениях средств.

Примечания

1 «Об информации, информационных технологиях и о защите информации»: Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016).

2 «О государственной тайне»: Закон Российской Федерации от 21 июля 1993 г. № 5485-1 (с изменениями и дополнениями).

3 «Об информации, информационных технологиях и о защите информации»: Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016).

WAYS TO SOLVE THE PROBLEMS OF SECURING THE INFORMATION SECURITY

OF SMALL BUSINESS

L. Yu. Ovsyanitskaya, Chelyabinsk branch of the Finance University under the Government of the

Russian Federation,

Yu.V. Podpovetnaya, Ph.D., associate professor, Chelyabinsk branch of the Financial University under the Government of the Russian Federation; FGAOU VO "South Ural State University"

(NRU)

E-mail: y-u-li-i-a-v-a-l@mail.ru A.D. Podpovetniy. A student of the FGAOU VO "SUSU" (NIU)

Abstract

The author presents an author's approach to the problems of choosing means and methods for protecting information in the conditions of a limited budget and to justifying a set of measures aimed at ensuring information security for small businesses. The materials of the article can be useful for managers and owners of small businesses, students of higher and secondary educational institutions of technical and economic direction.

Keywords: information security, small business, information threats, information systems.