Защита информации

Система управления информационной безопасностью предпринимательской деятельности как элемент системы управления предприятием

Исследование проблемы управления информационной безопасностью предпринимательской деятельности как элемента управления предприятием в первую очередь требует определения роли информации в управлении и анализа самого понятия информации. Изучение источников по данному вопросу показывает обилие различных подходов к этому, казалось бы, общеизвестному и установившемуся понятию. Однако до сих пор не существует единого определения понятия «информация». Вместе с тем, формулировка данного термина необходима для решения как теоретических, так и практических задач. В действующем Федеральном законе «Об информации, информатизации и защите информации» дано следующее определение: «информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления» [1].

Кроме термина «информация», следует обратить внимание на ряд других определений, в дальнейшем применяемых в настоящей работе. Ранее указанный Федеральный закон «Об информации, ин­форматизации и защите информации», а также Федеральный закон «Об участии в международном информационном обмене» дают сле­дующее определение информационных ресурсов – это отдельные докумен­ты и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, дру­гих информационных системах).

Информационная система понимается как организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы (ими являются процессы создания, сбора, обработки, накопления, хранения, поиска, распространения и потребления информации).

Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. [1]

Под конфиденциальным (закрытым, защищаемым) документом понимается необходимым образом оформленный носитель докумен­тированной информации, содержащий сведения ограниченного до­ступа или использования, которые составляют интеллектуальную собственность юридического или физического лица [4].

Как известно, современное материальное производство базируется на индустриальных технологиях, которые все больше требуют расширенного обмена информацией, т.е. зависят от степени совершенства процессов обработки данных. В целом взаимодействие субъектов производства имеет исключительно информационную сущность, в процессе которого многократно происходит преобразование информации.

На современном этапе в связи с усложнением структуры и содержания информационных ресурсов, взрывным ростом их объема, возникает важнейшая задача рационального управления ими. К тому же информация является важнейшей составляющей экономических процессов. Она лежит в основе управленческой деятельности и обладает следующими качественными характеристиками, от которых непосредственно зависит эффективность указанной деятельности: достоверность, целостность, доступность, конспиративность.

Все информационные ресурсы фирмы постоянно подверга­ются объективным и субъективным угрозам утраты носителя или целостности информации.

Под угрозой или опасностью утраты информации понимается единичное или комплексное, реальное или потенциальное, актив­ное или пассивное проявление неблагоприятных возможностей вне­шних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных [2].

Риск угрозы любым (открытым и ограниченного доступа) ин­формационным ресурсам создают стихийные бедствия, экстремаль­ные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинте­ресованные в возникновении угрозы лица. К угрозам, создаваемым этими лицами, относятся: несанкционированное уничтожение до­кументов, ускорение угасания (старения) текста или изображения, подмена или изъятие документов, фальсификация текста или его части и др.

Основной угрозой безопасности информационных ресурсов огра­ниченного распространения является несанкционированный (неза­конный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации и как результат – овла­дение информацией и противоправное ее использование или со­вершение иных действий. Целью и результатом несанкциониро­ванного доступа может быть не только овладение ценными сведе­ниями и их использование, но и их видоизменение, уничтоже­ние, подмена и т.п. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники коммунальных служб, экстремальной помощи, прохожие и др.), посетители фирмы, работники других организа­ционных структур, а также сотрудники данной фирмы, не обла­дающие правом доступа в определенные помещения, к конкрет­ному документу, информации, базе данных. Каждое из указан­ных лиц может быть злоумышленником или его сообщником, агентом, но может и не быть им.

Угрозы сохранности, целостности и конфиденциальности инфор­мационных ресурсов ограниченного доступа практически реализуют­ся через риск образования канала несанкционированного получения (до­бывания) кем-то ценной информации и документов. Этот канал пред­ставляет собой совокупность незащищенных или слабо защищенных фирмой направлений возможной утраты конфиденциальной информа­ции, которые злоумышленник использует для получения необходи­мых сведений, преднамеренного незаконного доступа к защищаемой информации.

Каждая конкретная фирма обладает своим набором каналов несанкционированного доступа к информации, что зависит от мно­жества моментов – профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местополо­жения здания и т.п.

Функционирование канала несанкционированного доступа к ин­формации обязательно влечет за собой утрату информации, исчез­новение носителя информации.

В том случае, когда речь идет об утрате информации по вине персонала, используется термин- «разглашение (огласка) информа­ции». Человек может разглашать информацию устно, письменно, с помощью жестов, мимики, условных сигналов, лично, через посредников, по каналам связи и т.д. Термин «утечка информа­ции», хотя и используется наиболее широко, однако в большей степени относится, по нашему мнению, к утрате информации за счет ее перехвата с помощью технических средств разведки, по техни­ческим каналам.

Утрата информации характеризуется двумя условиями: инфор­мация переходит а) непосредственно к заинтересованному лицу – конкуренту, злоумышленнику или б) к случайному, третьему лицу. Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию во владение в силу обстоятельств или безответственности персонала, не обладающее правом владения ею и, что очень важно, не заинтересованное в этой информации. Однако от третьего лица информация может легко перейти к зло­умышленнику.

Таким образом, под информационной безопасностью понимается состояние защищенности информации на любых носителях от случайных и преднамерен­ных несанкционированных воздействий естественного и искусственного свойства, направленных на уничтожение, разрушение, видоизменение тех или иных данных, изменение степени доступ­ности ценных сведений [2].

Практической реализацией политики (концепции) инфор­мационной безопасности фирмы является технологическая систе­ма защиты информации. Защита информации представляет собой жестко регламентированный и динамический технологический про­цесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ценных информационных ресурсов и, в конечном счете, обеспечивающий достаточно надеж­ную безопасность информации в процессе управленческой и произ­водственной деятельности фирмы [2].

Система защиты информации – рациональная совокупность на­правлений, методов, средств и мероприятий, снижающих уязви­мость информации и препятствующих несанкционированному дос­тупу к информации, ее разглашению или утечке. Главными требова­ниями к организации эффективного функционирования системы яв­ляются: персональная ответственность руководителей и сотрудников за сохранность носителя и конфиденциальность информации;

– рег­ламентация состава конфиденциальных сведений и документов, подлежащих защите;

– регламентация порядка доступа персонала к конфиденциальным сведениям и документам;

– наличие специали­зированной службы безопасности, обеспечивающей практическую реализацию системы защиты и нормативно-методического обеспе­чения деятельности этой службы.

Анализ состояния дел в области информационной безопасности пока­зывает, что в ряде развитых государств сложилась и успешно функцио­нирует вполне устоявшаяся инфраструктура системы информационной безопасности (СИБ), т.е. системы мер, обеспечивающей такое состояние конфиденциальной информации, при котором исключаются ее разглаше­ние, утечка, несанкционированный доступ (внешние угрозы), а также ис­кажение, модификация, потеря (внутренние угрозы) [7].

С развитием рыночных отношений, злоумышленные действия над информацией имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что и у нас в стране, для успешного противодействия этой тенденции необходима стройная и управляемая система обеспечения безопасности информации (ОБИ).

Общеизвестно, что информация является продуктом информационной систе­мы (ИС), т.е. организационно-упорядоченной совокупности информаци­онных ресурсов, технологических средств, реализующих информацион­ные процессы в традиционном или автоматизированном режимах для удовлетворения информационных потребностей пользователей. Мате­риальными объектами информационной безопасности являются элементы таких ИС, как потребители и персонал; материально-технические средст­ва (МТС) информатизации; информационные ресурсы (ИР) с ограничен­ным доступом. Таким образом, под информационной безопасностью будем пони­мать состояние защищенности информационных ресурсов, техноло­гий их формирования и использования, а также прав субъектов ин­формационной деятельности [7]. Здесь важно отметить следующее:

  • объектом защиты становится не просто информация как некие сведе­ния, а информационный ресурс, т.е. информация на материальных но­сителях (документы, базы данных, патенты, техническая документа­ция и т.д.), право на доступ к которой юридически закреплено за ее собственником и им же регулируется;
  • информационная безопасность пользователей в отличие от физиче­ской обеспечивает защищенность их прав на доступ к ИР для удовле­творения своих информационных потребностей;
  • с точки зрения экономической целесообразности защищать следует лишь ту информацию, разглашение (утечка, потеря и т.д.) которой не­избежно приведет к материальному и моральному ущербу.

Важнейшими принципами обеспечения безопасности ИС являются:

  • законность мероприятий по выявлению и предотвращению правона­рушений в информационной сфере;
  • непрерывность реализации и совершенствования средств и методов контроля и защиты информационной системы;
  • экономическая целесообразность, т.е. сопоставимость возможного ущерба и затрат на обеспечение безопасности информации;
  • комплексность использования всего арсенала имеющихся средств за­щиты во всех подразделениях фирмы и на всех этапах информацион­ного процесса.

Последнее дает наибольший эффект тогда, когда все используемые средства, методы и мероприятия объединены в единую управляемую сис­тему информационной безопасности. В этом случае достигается полный охват объектов защиты (персонала, МТС информатизации и ИР) всей со­вокупностью форм противодействия и защиты на основе правовых, орга­низационных и инженерно-технических мероприятий. В зависимости от масштаба и вида деятельности коммерческой организации структура ее СИБ может быть разнообразной исходя из экономической целесообраз­ности. Однако обязательными элементами, присутствующими в ее структуре и соответствующими основным направлениям защиты, должны быть следующие: правовой, организационный, инженерно-техни­ческий, программно-аппаратный и криптографический [2].

Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала. В обязанности персонала входят условия по соблюдению установ­ленных собственником информации ограничительных и техноло­гических мер защитного характера, а также его ответственности за нарушение порядка защиты информации.

Организационный элемент системы защиты информации содер­жит меры управленческого, ограничительного (режимного) и тех­нологического характера, определяющие основы и содержание сис­темы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы [7]. Эти меры связаны с ус­тановлением режима конфиденциальности в фирме.

Инженерно-технический элемент системы защиты информа­ции предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охра­ны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика.

Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях ло­кальных сетей и различных информационных системах [5]. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите.

Криптографический элемент системы защиты информации пред­назначен для защиты конфиденциальной информации методами криптографии.

Учитывая изложенное, необходимо сделать вывод о том, что только система управления информационной безопасностью предпринимательской деятельности сможет обеспечить и сохранить качества информации, необходимые для эффективного управления предприятием и его информационными ресурсами.

Н.И. Глухов

ЛИТЕРАТУРА

  1. Федеральный закон РФ «Об информации, информатизации и защите инфор­мации» от 20.02.1995. – № 24–ФЗ.
  2. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Уч. пособие. – М.: ИНФРА-М, 2001.
  3. Степанов Е.А. Основополагающие принципы защиты и обработки конфиденциаль­ных документов // Делопроизводство. – 2000. – № 2.
  4. Соколов А.В, Степанюк О.М. Методы информационной защиты объектов и компьютерных сетей. – СПб., 2000.
  5. Туровец О.Г., Бухалков М.И., Родинов В.Б. Организация производства и управление предприятием.
  6. Уфимцев Ю.С. Методика информационной безопасности. – М., 2004.
  7. Ярочкин В.И. Информационная безопасность: Учебник. – М., 2004.