Исследование проблемы управления информационной безопасностью предпринимательской деятельности как элемента управления предприятием в первую очередь требует определения роли информации в управлении и анализа самого понятия информации. Изучение источников по данному вопросу показывает обилие различных подходов к этому, казалось бы, общеизвестному и установившемуся понятию. Однако до сих пор не существует единого определения понятия «информация». Вместе с тем, формулировка данного термина необходима для решения как теоретических, так и практических задач. В действующем Федеральном законе «Об информации, информатизации и защите информации» дано следующее определение: «информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления» [1].
Кроме термина «информация», следует обратить внимание на ряд других определений, в дальнейшем применяемых в настоящей работе. Ранее указанный Федеральный закон «Об информации, информатизации и защите информации», а также Федеральный закон «Об участии в международном информационном обмене» дают следующее определение информационных ресурсов – это отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).
Информационная система понимается как организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы (ими являются процессы создания, сбора, обработки, накопления, хранения, поиска, распространения и потребления информации).
Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. [1]
Под конфиденциальным (закрытым, защищаемым) документом понимается необходимым образом оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического или физического лица [4].
Как известно, современное материальное производство базируется на индустриальных технологиях, которые все больше требуют расширенного обмена информацией, т.е. зависят от степени совершенства процессов обработки данных. В целом взаимодействие субъектов производства имеет исключительно информационную сущность, в процессе которого многократно происходит преобразование информации.
На современном этапе в связи с усложнением структуры и содержания информационных ресурсов, взрывным ростом их объема, возникает важнейшая задача рационального управления ими. К тому же информация является важнейшей составляющей экономических процессов. Она лежит в основе управленческой деятельности и обладает следующими качественными характеристиками, от которых непосредственно зависит эффективность указанной деятельности: достоверность, целостность, доступность, конспиративность.
Все информационные ресурсы фирмы постоянно подвергаются объективным и субъективным угрозам утраты носителя или целостности информации.
Под угрозой или опасностью утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных [2].
Риск угрозы любым (открытым и ограниченного доступа) информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. К угрозам, создаваемым этими лицами, относятся: несанкционированное уничтожение документов, ускорение угасания (старения) текста или изображения, подмена или изъятие документов, фальсификация текста или его части и др.
Основной угрозой безопасности информационных ресурсов ограниченного распространения является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации и как результат – овладение информацией и противоправное ее использование или совершение иных действий. Целью и результатом несанкционированного доступа может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, подмена и т.п. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники коммунальных служб, экстремальной помощи, прохожие и др.), посетители фирмы, работники других организационных структур, а также сотрудники данной фирмы, не обладающие правом доступа в определенные помещения, к конкретному документу, информации, базе данных. Каждое из указанных лиц может быть злоумышленником или его сообщником, агентом, но может и не быть им.
Угрозы сохранности, целостности и конфиденциальности информационных ресурсов ограниченного доступа практически реализуются через риск образования канала несанкционированного получения (добывания) кем-то ценной информации и документов. Этот канал представляет собой совокупность незащищенных или слабо защищенных фирмой направлений возможной утраты конфиденциальной информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой информации.
Каждая конкретная фирма обладает своим набором каналов несанкционированного доступа к информации, что зависит от множества моментов – профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания и т.п.
Функционирование канала несанкционированного доступа к информации обязательно влечет за собой утрату информации, исчезновение носителя информации.
В том случае, когда речь идет об утрате информации по вине персонала, используется термин- «разглашение (огласка) информации». Человек может разглашать информацию устно, письменно, с помощью жестов, мимики, условных сигналов, лично, через посредников, по каналам связи и т.д. Термин «утечка информации», хотя и используется наиболее широко, однако в большей степени относится, по нашему мнению, к утрате информации за счет ее перехвата с помощью технических средств разведки, по техническим каналам.
Утрата информации характеризуется двумя условиями: информация переходит а) непосредственно к заинтересованному лицу – конкуренту, злоумышленнику или б) к случайному, третьему лицу. Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию во владение в силу обстоятельств или безответственности персонала, не обладающее правом владения ею и, что очень важно, не заинтересованное в этой информации. Однако от третьего лица информация может легко перейти к злоумышленнику.
Таким образом, под информационной безопасностью понимается состояние защищенности информации на любых носителях от случайных и преднамеренных несанкционированных воздействий естественного и искусственного свойства, направленных на уничтожение, разрушение, видоизменение тех или иных данных, изменение степени доступности ценных сведений [2].
Практической реализацией политики (концепции) информационной безопасности фирмы является технологическая система защиты информации. Защита информации представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ценных информационных ресурсов и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности фирмы [2].
Система защиты информации – рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке. Главными требованиями к организации эффективного функционирования системы являются: персональная ответственность руководителей и сотрудников за сохранность носителя и конфиденциальность информации;
– регламентация состава конфиденциальных сведений и документов, подлежащих защите;
– регламентация порядка доступа персонала к конфиденциальным сведениям и документам;
– наличие специализированной службы безопасности, обеспечивающей практическую реализацию системы защиты и нормативно-методического обеспечения деятельности этой службы.
Анализ состояния дел в области информационной безопасности показывает, что в ряде развитых государств сложилась и успешно функционирует вполне устоявшаяся инфраструктура системы информационной безопасности (СИБ), т.е. системы мер, обеспечивающей такое состояние конфиденциальной информации, при котором исключаются ее разглашение, утечка, несанкционированный доступ (внешние угрозы), а также искажение, модификация, потеря (внутренние угрозы) [7].
С развитием рыночных отношений, злоумышленные действия над информацией имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что и у нас в стране, для успешного противодействия этой тенденции необходима стройная и управляемая система обеспечения безопасности информации (ОБИ).
Общеизвестно, что информация является продуктом информационной системы (ИС), т.е. организационно-упорядоченной совокупности информационных ресурсов, технологических средств, реализующих информационные процессы в традиционном или автоматизированном режимах для удовлетворения информационных потребностей пользователей. Материальными объектами информационной безопасности являются элементы таких ИС, как потребители и персонал; материально-технические средства (МТС) информатизации; информационные ресурсы (ИР) с ограниченным доступом. Таким образом, под информационной безопасностью будем понимать состояние защищенности информационных ресурсов, технологий их формирования и использования, а также прав субъектов информационной деятельности [7]. Здесь важно отметить следующее:
- объектом защиты становится не просто информация как некие сведения, а информационный ресурс, т.е. информация на материальных носителях (документы, базы данных, патенты, техническая документация и т.д.), право на доступ к которой юридически закреплено за ее собственником и им же регулируется;
- информационная безопасность пользователей в отличие от физической обеспечивает защищенность их прав на доступ к ИР для удовлетворения своих информационных потребностей;
- с точки зрения экономической целесообразности защищать следует лишь ту информацию, разглашение (утечка, потеря и т.д.) которой неизбежно приведет к материальному и моральному ущербу.
Важнейшими принципами обеспечения безопасности ИС являются:
- законность мероприятий по выявлению и предотвращению правонарушений в информационной сфере;
- непрерывность реализации и совершенствования средств и методов контроля и защиты информационной системы;
- экономическая целесообразность, т.е. сопоставимость возможного ущерба и затрат на обеспечение безопасности информации;
- комплексность использования всего арсенала имеющихся средств защиты во всех подразделениях фирмы и на всех этапах информационного процесса.
Последнее дает наибольший эффект тогда, когда все используемые средства, методы и мероприятия объединены в единую управляемую систему информационной безопасности. В этом случае достигается полный охват объектов защиты (персонала, МТС информатизации и ИР) всей совокупностью форм противодействия и защиты на основе правовых, организационных и инженерно-технических мероприятий. В зависимости от масштаба и вида деятельности коммерческой организации структура ее СИБ может быть разнообразной исходя из экономической целесообразности. Однако обязательными элементами, присутствующими в ее структуре и соответствующими основным направлениям защиты, должны быть следующие: правовой, организационный, инженерно-технический, программно-аппаратный и криптографический [2].
Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала. В обязанности персонала входят условия по соблюдению установленных собственником информации ограничительных и технологических мер защитного характера, а также его ответственности за нарушение порядка защиты информации.
Организационный элемент системы защиты информации содержит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы [7]. Эти меры связаны с установлением режима конфиденциальности в фирме.
Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика.
Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах [5]. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите.
Криптографический элемент системы защиты информации предназначен для защиты конфиденциальной информации методами криптографии.
Учитывая изложенное, необходимо сделать вывод о том, что только система управления информационной безопасностью предпринимательской деятельности сможет обеспечить и сохранить качества информации, необходимые для эффективного управления предприятием и его информационными ресурсами.
Н.И. Глухов
ЛИТЕРАТУРА
- Федеральный закон РФ «Об информации, информатизации и защите информации» от 20.02.1995. – № 24–ФЗ.
- Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Уч. пособие. – М.: ИНФРА-М, 2001.
- Степанов Е.А. Основополагающие принципы защиты и обработки конфиденциальных документов // Делопроизводство. – 2000. – № 2.
- Соколов А.В, Степанюк О.М. Методы информационной защиты объектов и компьютерных сетей. – СПб., 2000.
- Туровец О.Г., Бухалков М.И., Родинов В.Б. Организация производства и управление предприятием.
- Уфимцев Ю.С. Методика информационной безопасности. – М., 2004.
- Ярочкин В.И. Информационная безопасность: Учебник. – М., 2004.