Методы обеспечения информационной безопасности

Безусловно все аспекты безопасности предприятия очень важны, но сегодня на первое место уже и России выходит информационная безопасность. Информационные потребности российского рынка только формируются, хотя рынок информации в России многообразен и динамичен. Активно используя самые совершенные технологии, он расширяется за счет формирования новых общественных потребностей и начинает доминировать. Чтобы оценить масштабность рынка информации, подчеркнем что в число основных его секторов входят: традиционные средства массовой информации телевидение, радио, газеты; различные справочные издания (энциклопедии, учебники, словари, каталоги и т.д.); многообразные справочно-информационные службы (телефонные службы, справочное бюро, доски объявлений и др.); консалтинговые службы (юридические, маркетинговые, налоговые и др.) и компьютерные информационные системы.

Последний из названных секторов — компьютерный — имеет ряд особенностей. Он обеспечивает новое качество информационных услуг — быстрый поиск в больших массивах информации, а также позволяет реализовать весь цикл технологии ввода, хранения, обновления и доставки информации потребителям с наиболее эффективными алгоритмическими решениями на отдельных этапах.

Поэтому вопросы информационной безопасности занимают все более важное место. Успех предпринимательской деятельности в немалой степени зависит от умения распоряжаться таким ценнейшим товаром, как информация. Сейчас главным ресурсом вместо капитала становится именно информация. В законе РФ «Об информации, информатизации и защите информации» подчеркивается, что информационные ресурсы являются объектами собственности граждан, организаций, общественных объединений, государства. Собственность гражданина, организации, фирмы, интеллектуальная и материальная, — один из главных, (если не единственный) источник существования для предпринимателя, получение прибыли и личного дохода, ради чего трудятся специалисты, рабочие и служащие. В понятие «собственность фирмы» входят идеи, концепции и технологии, машины, оборудование и сырье — вес то, что благодаря стараниям и усилиям людей, работающих в данной организации, превращается в товары и услуги, идущие на удовлетворение духовных и материальных потребностей населения. Интеллектуальную собственность (информацию) можно использовать для производства товаров и услуг или превратить ее в наличность, продав тому, кому она нудна. Но она может быть легко и утрачена, в том числе похищена конкурентами.

Деловым людям приходится самим определять, что в их бизнесе относится к интеллектуальной собственности, которую целесообразно держать в тайне от конкурентов и защищать определенным способом от различных посягательств. Главным критерием в выборе средств защиты интеллектуальной собственности является ее ценность (реальная или потенциальная), определяемая приносимым доходом, а также компенсацией возможных затрат на ее защиту. Для конкурентов такого рода ценность должна компенсировать риск, связанный с ее приобретением.

С точки зрения делового человека, интеллектуальной собственностью выступают знания, которые помогают ему эффективно разрабатывать и изготавливать новую продукцию, выгодно продавать товар, увеличивать свою прибыль. Способ управления производством, технологический процесс, список клиентов, профиль научных исследований, анализ конкурентоспособности — все это входит в обойму. Поэтому для достижения успеха в коммерческой деятельности приходится очень тщательно оберегать свою информацию. В результате конкуренции между различными коммерческими структурами многим российским предпринимателям наносится ущерб за счет несанкционированного добывания и использования их информации. Стало массовым явлением, когда сотрудники того или иного предприятия, подрабатывая в кооперативах других фирмах, используют методики, технологии, программы, разработанные на основном предприятии, но юридически не закрепленные в качестве его собственности. Это — ведет к потерям финансов, моральным и материальным. Для эффективной защиты интеллектуальной собственности, необходимо провести ее анализ, оценить ценность и уязвимость. Определение ценности интеллектуальной собственности позволяет выявлять возможный ущерб от овладения информацией конкурентами, недостатки объекта защиты, которые могут облегчить проникновение злоумышленника к охраняемым сведениям через каналы их утечки. Основная цель защиты любой конфиденциальной информации состоит в том, чтобы предотвратить незаконное овладение ею конкурентами или злоумышленниками.

Система защиты коммерческой информации направлена прежде всего на охрану собственных секретов предприятия. Но очень часто требуется защищать и коммерческие секреты других фирм, которые могут быть доверены на определенных условиях (например, по договору на совместные, работы, по соглашению об услугах и др.). Отказ зашиты «чужих» секретов может лишить предприятие выгодных партнеров и клиентов, а при некоторых обстоятельствах привести к крупным денежным издержкам (в порядке компенсации). Такие ситуации возможны в частности в банках, хранящих чужие секреты, в обслуживающих организациях и учреждениях, в судах, в том числе и в правоохранительных органах.

Зарубежный опыт в области защиты интеллектуальной собственности, а также отечественная практика свидетельствуют, что эффективной может быть только комплексная защита (правовая, организационная, инженерно-техническая).

В практике обеспечения безопасности информационных систем сложилась трехэтапная разработка защитных мер.

Первое (выработка требований) включает: определение состава средств информационной системы; анализ уязвимых элементов; оценка угроз (выявление проблем, которые могут возникнуть из-за наличия уязвимых элементов); анализ риска (прогнозирование возможных последствий, которые могут вызвать эти проблемы);

Второе (определение способ защиты ) дает ответы на следующие вопросы:

• Какие угрозы должны быть устранены и в какой мере?

• Какие ресурсы системы должны быть защищаемы и в какой степени?

• С помощью каких средств должна быть реализована защита?

• Какова должна быть полная стоимость реализации защиты и затраты на эксплуатацию с учетом потенциальных угроз?

В первую очередь определяют источники информации, к которым относятся: люди (сотрудники, обслуга, продавцы, клиенты и др.; документы самого различного характера и назначения, публикации, доклады, статьи, интервью, проспекты, книги и др.; технические носители информации и документов, технические средства обработки информации, автоматизированные средства обработки информации и средства обеспечения производственной и трудовой деятельности, в том числе и средства связи, выпускаемая продукция, производственные и промышленные отходы.

В ряду источников конфиденциальной информации люди занимают особое место как активные элементы, способные выступать не только обладателями конфиденциальной информации, но и субъектами злонамеренных действий. Они являются и обладателями, и распространителями информации в рамках своих функциональных обязанностей. Люди способны анализировать важную информацию обобщать, делать соответствующие выводы, а также при определенных условиях, скрывать, воровать, продавать и совершать иные криминальные действия, вплоть до вступления в преступные связи с злоумышленниками.

Персонал — сотрудники, продавцы продукции, партнеры, поставщики, клиенты и т.д. — главные источники конфиденциальной информации. Поэтому необходимо тщательно изучать весь состав сотрудников, выделяя при этом обладающих особо ценной коммерческой информацией. Нужно обращать внимание как на вновь поступивших на работу, так на и на тех, кто подлежит увольнению. Эти люди, нередко, находятся в ситуациях, благоприятных к злонамеренным действиям, особенно последние. Объект особой заботы также — персонал, занимающийся сбытом продукции. Эти люди нередко получают запросы от клиентов с просьбой сообщить какие-либо сведения о возможной продаже улучшенных или новых моделей, дополнительную информацию об изделии якобы для того, чтобы его лучшим образом применить.