Информационная безопасность бизнеса


В.Н. Будаев, директор Центра Безопасности Бизнеса,

Материалы городской конференции «Актуальные проблемы региональной безопасности бизнеса»

Кому-то могут показаться избитыми слова Уинстона Черчилля «Кто владеет информацией, тот владеет миром». На самом деле это изречение, в современном мире приобретает актуальное значение.

Новые общественно-политические и экономические отношения привели к созданию информационного общества. Возникновение частного сектора экономики привело к появлению частной информации и агрессивной угрозы нарушения её режима безопасности.

Дальнейшее развитие частного бизнеса и информационных технологий привело к зарождению недобросовестных форм и методов ведения информационной борьбы. Их широкое распространение способствовало возникновению новых угроз информационной безопасности, способных нанести непоправимый ущерб бизнесу.

Все больше, успешное развитие бизнеса, зависит от его информационной безопасности. Все в большей степени информация становится товаром, от наличия и сохранности которого зависит благополучие граждан, организаций, общества в целом.

До 90-х годов прошлого века, российские предприятия практически не ощущали факторов информационного риска. Так как они все были государственной собственностью, государство само осуществляло функцию защиты информации. Понятия «информационная безопасность» не существовало.

С появлением частной собственности, появились и владельцы своей собственной информации, которые, как и государство, заинтересованы в её защите. Изменился и сам подход к информации. Она все чаще становится товаром, который можно купить, продать, обменять и т.д. При этом стоимость информации зачастую превосходит в десятки, а то и в сотни раз стоимость вычислительной техники, в которой она хранится. Информация становиться все более обширной, является для её собственника ценным производственным ресурсом. Её конфиденциальность, целостность и доступность имеют особое значение для обеспечения конкурентоспособности, рентабельности и создания положительного имиджа предприятия. Экономическая деятельность большинства коммерческих предприятий все в большей степени становится зависимой от рисков нарушения информационной безопасности.

Защите подлежит любая информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. При этом необходимо иметь в виду, что информация является весьма специфическим продуктом, который может существовать как в документированном виде, зафиксированном на материальном носителе, так и в недокументированном виде (речевая информация).

Государство создало законодательную основу в сфере обеспечения информационной безопасности, разделило всю информацию по категориям доступа, определило её владельцев и дало правовые рычаги её защиты. Оставило под своей защитой сведения, составляющие государственную и служебную тайну, а всю остальную информацию, в том числе и конфиденциальную, отдало под защиту владельцам этой информации.

Появилось понятие «информационная безопасность».

Правовая система обеспечения информационной безопасности состоит из следующих основных законов: Конституция РФ, закон РФ «О безопасности», закон РФ «О государственной тайне», «Доктрина информационной безопасности РФ», закон РФ «Об информации, информационных технологиях и защите информации», закон РФ «О коммерческой тайне», закон РФ «Об участии в международном информационной обмене», ряд подзаконных актов и норм уголовного, гражданского и административного законодательства.

Вся информация (информационные ресурсы) делится на государственную и негосударственную, и как элемент состава имущества находится в собственности физических и юридических лиц, органов государственной власти.

Информационные ресурсы являются открытыми и доступными для всех. Исключение составляет документированная информация ограниченного доступа, которая в свою очередь подразделяется на информацию, отнесенную к государственной тайне и конфиденциальную.

Особо закон выделяет информацию о гражданах (персональные данные), которые являются конфиденциальной информацией. Закон ставит запрет на сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.

Хотел бы особо подчеркнуть, что в защите нуждается не только государственная тайна и конфиденциальная информация, для которых создается специальный режим защиты. Есть информация, которая не подпадает под категорию ограниченного доступа, но разглашение которой, может влиять на экономическую, финансовую деятельность и имиджевую политику предприятий и организаций. Такую информацию так же необходимо защищать.

Всю информацию, не только информацию ограниченного доступа, которую необходимо защищать специально созданным режимом, можно условно разделить на несколько больших блоков:
государственная тайна;
конфиденциальная информация, в том числе коммерческая тайна;
собственно информация, не подпадающая под категорию ограниченного доступа, но выход, которой из-под контроля собственника, может нанести ему различного вида вред, к примеру - компромат.

Какую информацию относить к сведениям, составляющим государственную тайну, определяет государство.

Какую информацию относить к конфиденциальной, в том числе коммерческой тайне, определяет её владелец.

К ней относятся: учредительные документы, Устав предприятия, документы, дающие право заниматься предпринимательской деятельностью, бухгалтерские документы и т.д.

Источниками информации могут быть:
люди (сотрудники, клиенты, посетители, обслуживающий персонал и т.д.);
документы самого различного характера и назначения;
публикации: доклады, статьи, интервью, книги, проспекты и т.д.;
технические средства: носители, хранители информации и их обработки;
выпускаемая продукция;
производственные отходы;
т.д.

Информация может быть зафиксирована на материальном носителе (бумага, жесткие носители, съемные носители и т. д.), может циркулировать в информационных системах, в сетях связи, в том числе сотовых, факсовых и т.д.

«Язык мой – враг мой». Этот постулат полностью относится к особому виду информации – так называемой речевой информации. Это такая информация, которая озвучивается в процессе речевого общения между двумя или несколькими людьми. В процессе речевого общения озвучиваются любые сведения (любая информация), в том числе содержащие государственную тайну и конфиденциальную информацию, а так же информацию, которая может нанести вред её владельцам.

От кого же и от чего необходимо защищать информацию. Если коротко, то от конкурентов, от организованных преступных сообществ, в т.ч. от рейдеров, в некоторых случаях от недобросовестных представителей административно-чиновничьего аппарата и правоохранительных органов, от недобросовестных сотрудников, от личных врагов и завистников, от технических разведок (промышленный шпионаж) и т.д.

Информация может быть похищена путем подслушивания, кражи физических носителей, съема информации с технических каналов.

Неправомерное овладение информацией возможно в результате: разглашения, утечки, несанкционированного доступа к информации.

Разглашение информации - это умышленные или неосторожные действия должностных лиц или других работников, которым данная информация была доверена в установленном порядке. Разглашение выражается в форме сообщения, передачи, предоставления, пересылки, опубликования, утери и реализуется по каналам распространения и средствам массовой информации.

Утечка информации – это бесконтрольный выход информации за пределы организации или круга лиц, которым она была доверена. Утечка возможна, как правило, по техническим каналам.

Несанкционированный доступ к информации – это противоправное, преднамеренное овладение информацией лицом, не имеющим права доступа к охраняемым сведениям. Возможен различными способами, в том числе: сотрудничество, подслушивание, наблюдение, хищение, копирование, перехват, копирование, фотографирование и т.д.

Информационная безопасность – это многогранная деятельность, успех которой может принести только систематический, комплексный подход.

Эффективность мероприятий по защите информации достигается путем создания системы информационной безопасности, которая преследует две основные цели: обеспечение экономической безопасности и минимизация рисков от возможных угроз.

Все мероприятия по обеспечению информационной безопасности, принято делить на следующие основные направления.

Правовая защита. Она обеспечивается государством, путем принятия законов и подзаконных актов. Эти нормативные акты регулируют деятельность в области защиты информации, определяют ответственность в соответствии с уголовным, административным и гражданским законодательством, дают перечень мероприятий, обязательных для исполнения субъектами информационных правоотношений.

Организационная защита. Она подразумевает подготовку внутренних нормативных документов предприятия, регламентирующих организацию защиты информации. К ним относятся: политика безопасности предприятия, концепция информационной безопасности, внесение изменений в Устав предприятия, правила внутреннего трудового распорядка, инструкции о пропускном режиме, внесение специальных пунктов в коллективный и трудовой договора, должностные обязанности, подготовка положения о соблюдении конфиденциальной информации (коммерческой тайны), составления перечня сведений составляющих коммерческую тайну, инструкции о порядке допуска сотрудников к сведениям, составляющим коммерческую тайну, обязательство о неразглашении коммерческой тайны, правил пользования средствами вычислительной техники и другие. Здесь же предусматривается организация физической защиты предприятия, организация пропускного режима, системы контроля доступа, охранная, пожарная сигнализации, охранное телевидение. Особое место занимают организация информационно-аналитической работы по выявлению внутренних и внешних угроз и организация работы с кадрами.

Инженерно-техническая защита. Она предусматривает использование специальных технических средств при проведении комплекса инженерно-технических мероприятий, направленных на предупреждение, выявление, пресечение разглашения, утечки и несанкционированного доступа к информации.

Информационная безопасность, если можно так выразится, является одной из самых загадочных направлений обеспечения безопасности бизнеса. Вроде бы все всё знают, читают газеты, слушают радио, смотрят в кино детективы и боевики в которых раскрываются формы и методы получения информации. Однако литературное изложение информационной борьбы (получение и защита информации), зачастую плод фантазии писателя или режиссера и не имеет ничего общего с действительностью, хотя некоторые формы и методы правдивые. Видно консультировали специалисты.

Обновлено: 11.03.2015