Основы обеспечения информационной безопасности организации

Введение

В современном мире информация считается национальным стратегическим ресурсом - одним из основных богатств страны. Мировой объем производства информационных продуктов и информационной техники в конце 90-х годов превысил 650 млрд. долларов, а в настоящий момент он превышает 2-2.5 трлн. долларов. В развитых странах это производство занимает лидирующее место, как по объему, так и по числу занятых в нем людей. Под воздействием информатизации практически все сферы жизни общества (как и основном - экономическая) приобретают новые качества – динамичность, гибкость. Однако одновременно возрастает и потенциальная уязвимость общественных процессов от информационного воздействия. Мировые эксперты по вопросам информатики считают, что на смену опасности возникновения ядерной катастрофы может прийти угроза развязывания войны, которая примет новые иные формы. Это будет борьба, направленная против стран, обладающих передовыми технологиями, в целях создания хаоса в информационных структурах и порождения экономической катастрофы.
Конфиденциальная информация для бизнеса входит в сферу повышенного интереса конкурирующих компаний. Для коррупционеров, недобросовестных конкурентов и других злоумышленников особый интерес представляет информация о составе менеджмента предприятий, их деятельности и статусе фирмы. Доступ к приватной информации и ее изменение могут нанести существенный и колоссальный урон материальному положению компании. И при этом, информационная утечка может быть даже частичной. В некоторых случаях даже обеспечение хищения 1/6 частной информации может иметь критические последствия для финансовой безопасности. Причиной утечки информации, если отсутствует должное обеспечение информационной безопасности организации, могут быть различные случайности, вызванные неопытностью сотрудников [1].

1. Основы обеспечения информационной безопасности организации

ИБ предполагает обеспечение защиты данных от хищений или изменений как случайного, так и умышленного характера. Система обеспечения ИБ организации – это эффективный инструмент защиты интересов пользователей информации и собственников. Однако, следует отметить, что ущерб может быть нанесен не только несанкционированным доступом к информации, но и он может быть получен в результате неисправности коммуникационного или информационного оборудования. Особенно актуальна эффективная организация обеспечения безопасности информационных банковских систем и учреждений открытого типа (учебные, социальные и др.).
С целью этого для того чтобы нормализовать соответствующее предоставление защиты данных необходимо обладать точным пониманием о ключевых понятиях, целях и значимости ИБ.
Термин «безопасность данных» представляет ситуацию, исключающую допуск с целью просмотра, модерации и ликвидирования сведений субъектами в отсутствии присутствия определенных прав доступа. Данное понятие содержит предоставление обеспечение защиты от утечки и кражи данных с поддержкой нынешних технологий и инноваторских приборов.
Система ИБ для фирмы – юридического лица содержит 3 категории ключевых определений: целостность, общедоступность и секретность.
Под целостностью подразумевается стабильность базы данных, других информативных массивов к неожиданному либо сознательному разрушению, внесению несанкционированных перемен. Понятие целостности может рассматриваться как:
• статическое, выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
• динамическое, подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.
Для контроля динамической целостности используются специальные технические инструменты, которые анализируют поток информации, например, финансовой, и выявляют случаи кражи, дублирования, перенаправления, переупорядочения сообщений. Целостность как основная характеристика требуется, когда решения принимаются на основе поступающей или доступной информации. Нарушение порядка выполнения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других подобных ситуациях.
Доступность - это свойство, которое позволяет уполномоченным субъектам получать доступ к интересующим их данным или обмениваться этими данными. Ключевое требование для легитимации или авторизации субъектов позволяет создавать разные уровни доступа. Неспособность системы предоставить информацию становится проблемой для любой организации или группы пользователей. Например, недоступность сайтов государственных служб в случае сбоя системы, что лишает многих пользователей возможностей.
Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.
Равные свойства ИБ имеют разную ценность для пользователей, отсюда – две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр – доступность.

1.1 Объекты защиты в концепциях информационной безопасности
Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:
• информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов);
• права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона; доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека;
• система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы);
• система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).
• Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта [3].


2. Угрозы информационной безопасности организации

1. Неблагоприятная для предприятия экономическая политика государства. Регулирование экономики государством посредством манипуляций (определение обменного курса, учетной ставки, таможенных тарифов и налогов) является причиной многих противоречий на предприятиях в сфере производства, финансов и торговли.
Большую опасность для обеспечения безопасности информационных предприятий несут административные обязательства по выходу на рынок, что приводит к насильственному сужению товарно-денежных отношений, нарушению законов государством и ограничению деятельности предприятия

. Зачастую государство преувеличивает свою компетенцию в финансовой и коммерческой сфере деятельности предприятия и необоснованно вмешивается в информационное пространство этих областей, а также посягает на собственность предприятия в различных формах.
Серьезную угрозу обеспечению безопасности информации предприятия несут политические действия, направленные на ограничение или прекращение экономических связей. Санкции в экономике вызывают у обеих сторон недоверие к дальнейшей деятельности и подрывают коммерческие отношения2. Действия иных хозяйствующих субъектов. В данном случае риск обеспечению безопасности информации несет нездоровая конкуренция. Нездоровая или недобросовестная конкуренция имеет несколько понятий и по нормам международного права разделяется на три вида:
• Когда деятельность одной коммерческой структуры пытаются представить потребителю под видом другой;
• Дискредитирование репутации коммерческого предприятия путем распространения ложной информации;
• Неправомерное и некорректное использование торговых обозначений, вводящих потребителя в заблуждение.
В западных странах существуют законодательные акты по ведению недобросовестной конкуренции, фирменным наименованиям, товарным обозначениям и препятствованию обеспечению безопасности информации, нарушение которых ведет к определенной юридической ответственности. Также к ответственности приводят следующие неправомерные действия:
• Подкуп или переманивание потребителей со стороны конкурента;
• Порядок обеспечения информационной безопасности организации нарушается путем разглашения коммерческих тайн, а также выяснения информации с помощью шпионажа, подкупа;
• Установление неравноправных и дискредитирующих условий, влияющих на обеспечение безопасности информации;
• Тайное создание картелей, сговор во время торгов с предоставлением коммерческой информации;
• Создание условий, ограничивающих возможность обеспечения безопасности информации;
• Преднамеренное снижение цен для подавления конкуренции;
• Копирование товаров, рекламы, услуг и других форм коммерческой деятельности и информации конкурента.
Есть и другие аспекты, которые выявляют недобросовестную конкуренцию. К ним относятся экономическое подавление, которое выражается в различных формах - шантаж персонала, менеджеров, компрометация информации, парализация деятельности предприятия и срыв транзакций по каналам СМИ, коррупционные отношения в государственных органах.
Коммерческий и промышленный шпионаж, который подрывает основы обеспечения информационной безопасности организации, также подпадает под юридическую ответственность, поскольку подразумевает незаконный захват секретной информации конкурентом с целью получения личной выгоды.
Информация, которая предоставляется массам по легальным каналам, не дает руководству предприятия полного ответа на вопросы о конкурентах. Поэтому многие крупные предприятия, даже считая шпионаж неэтичным и незаконным, все же прибегают к мерам противодействия информационной безопасности. Шпионы, работающие на конкурирующем предприятии, часто прибегают к таким действиям, как прямое предложение сотруднику за секретную информацию, кражу, взяточничество и другие разные уловки. Многие действия по подрыву безопасности информации облегчаются появлением на рынке различных подслушивающих устройств и других современных технических разработок, которые обеспечивают высочайший уровень коммерческого и промышленного шпионажа.
Для многих сотрудников конкурентоспособной компании сумма, предлагаемая за шпионаж, предоставление секретной информации и нарушение информационной безопасности, в несколько раз превышает их ежемесячный доход, что очень заманчиво для рядового сотрудника. Таким образом, вы можете рассчитывать. В эту категорию входит:
• Организация разбойных нападений на производственные, складские помещения и офисы с целью ограбления;
• Уничтожение, порча имущества и материальных ценностей путем взрыва, поджога или разрушения.
3. Кризис в мировой экономике. Кризисы имеют особенность перетекать из одной страны в другую, используя каналы внешнеэкономических связей. Они также вредят безопасности информации. Это следует учитывать при определении методов и средств обеспечения информационной безопасности организации.
Поэтапная интеграция России в мировую экономику способствует зависимости коммерческих предприятий страны от различных процессов, происходящих в мировой экономике (падение и рост цен на энергоносители, реструктуризация и другие факторы).[2].

3. Система обеспечения информационной безопасности организации

Система безопасности потенциальных и реальных угроз непостоянна, поскольку они могут появляться, исчезать, уменьшаться или увеличиваться. Все участники отношений в процессе обеспечения безопасности информации, будь то человек, государство, предприятие или регион, являются многоцелевыми сложными системами, для которых сложно определить необходимый уровень безопасности.
Исходя из этого, система информационной безопасности организации рассматривается как целый комплекс управленческих решений, принятых для выявления и предотвращения внешних и внутренних угроз. Эффективность принятых мер основана на определении таких факторов, как степень и характер угрозы, аналитическая оценка кризисной ситуации и учет других неблагоприятных моментов, представляющих опасность для развития предприятия и его достижения. из поставленных целей. Обеспечение информационной безопасности организации основывается на принятии таких мер, как:
1. Анализ потенциальных и реальных ситуаций, представляющих угрозу безопасности корпоративной информации;
2. Оценка характера угроз информационной безопасности;
3. Принятие и комплексное распространение мер по определению угрозы;
4. Реализация мер, принятых для предотвращения угрозы.
Основной целью создания интегрированной системы информационной безопасности для защиты предприятия является:
◦ создать благоприятные условия для нормального функционирования в нестабильной среде;
◦ защищать свою собственную безопасность;
◦ способность юридически защищать свои интересы от противоправных действий конкурентов;
◦ Обеспечить работнику безопасность жизни и здоровья.
◦ Предотвращать возможность материальной и финансовой кражи, искажения информации, раскрытия и утечки конфиденциальной информации, отходов, производственных нарушений, уничтожения имущества и обеспечения нормальной производственной деятельности.
◦ Качественная информационная безопасность для профессионалов - это система мер, которая обеспечивает:
◦ Защита от противоправных действий;
◦ Соблюдение законов, позволяющих избежать законного наказания и наложения санкций;
◦ Защита от преступных действий конкурентов;
◦ Защита от нечестности сотрудников.
◦ Эти меры применяются в следующих областях:
◦ Производство (для сохранения материальных ценностей);
◦ Коммерцию (для оценки партнерских отношений и правовой защиты личных интересов);
◦ Обеспечить компанию квалифицированным персоналом.
◦ Защита информации любого делового предприятия основана на следующих критериях:
◦ Соблюдение конфиденциальности и защита интеллектуальной собственности;
◦ Обеспечение физической безопасности персонала предприятия;
◦ Защита и сохранение ценностей имущества.

3.1 Рекомендации разработчикам системы ИБ
Все используемые защитные средства должны быть доступны пользователям и просты в обслуживании.
◦ Каждому пользователю должны быть предоставлены минимальные права, необходимые для выполнения определенной работы.
◦ Система безопасности должна быть автономной.
◦ Необходимо предусмотреть возможность отключения защитных механизмов в ситуациях, когда они мешают выполнению работ.
◦ Разработчики систем безопасности должны учитывать максимальную степень враждебности среды, то есть предполагать наихудшие намерения злоумышленников и способность обходить все защитные механизмы.
◦ Наличие и расположение защитных механизмов должно быть конфиденциальным.
Организация обеспечения безопасности информационных банковских систем основана на тех же принципах защиты и предполагает постоянную модернизацию защитных функций, поскольку эта область постоянно развивается и совершенствуется