Проблемы обеспечения информационной безопасности становятся все более сложными и концептуально значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу.
Термин «информационная безопасность» имеёт различные определения, общего или частного свойства, однако все они связывают безопасность именно с ее защитой в компьютерных информационных системах.
В Российском законодательстве на национальном уровне политика информационной безопасности регулируется прежде всего Конституцией РФ и рядом федеральных законов, основные из которых следующие: «О безопасности» от 5.03.1992 г., «О государственной тайне» от 21.07.1993 г. с изменениями и дополнениями от 6.10.1997 г. и др.
Постановлением Правительства РФ установлен перечень сведений, которые не могут быть отнесены к коммерческой тайне. К ним относятся:
· учредительные документы (решение о создании предприятия, договор учредителей, устав);
· документы, дающие право заниматься предпринимательской деятельностью (регистрационное удостоверение, лицензии, патенты);
|
|
· сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные данные, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему);
· документы о платежеспособности;
· сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
· документы об уплате налогов и обязательных платежей;
· сведения о загрязнении окружающей среды, нарушениях антимонопольного законодательства, несоблюдения безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства и размерах причиненного при этом ущерба;
· сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, объединениях и других организациях, занимающихся предпринимательской деятельностью.
В УК РФ введено понятие «компьютерные преступления», которое предусматривает неправомерный доступ к компьютерной информации, создание и использование вредоносных программ, нарушение правил эксплуатации ЭВМ или их систем.
Вероятными угрозами информационной базе предприятия представляются следующие:
· несанкционированный доступ;
· перехват информации в каналах связи;
· кража документов;
· уничтожение (случайное / сознательное) информации;
· ошибки в работе персонала;
· разрушение информации вирусами;
· ошибки в программах обработки данных;
|
|
· отключение электропитания;
· фальсификация сообщений;
· несанкционированная модификация информации.
Система защиты информации представляет собой комплекс организационных, технических, технологических и иных средств, методов и мер, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее утечке или утрате.
Система защиты информации должна удовлетворять следующим требованиям:
1) на стадии проектирования должна быть создана система управления и корректировки;
2) объединить внутри себя законодательные, технические и организационные способы защиты;
3) расходы на защиту должны быть меньше, чем сумма возможного ущерба от утечки информации;
4) не должна создавать дополнительные трудности в управлении предприятием;
5) обеспечивать защиту от всех реальных угроз.
С точки зрения защищенности всю управленческую информацию делят на семь классов:
1) наличие развитой службы безопасности;
2) наличие полного набора механизмов защиты на нескольких ступенях;
3) защита при большом количестве субъектов и объектов, имеющих доступ к информации;
4) защита электронной передачи данных;
5) защита распределенных информационных сетей;
6) защита локальных информационных сетей;
7) минимальные требования к защищенности.
Систему управления можно считать защищенной, если все операции выполняются в соответствии со строго определенными правилами, обеспечивающими непосредственную защиту объектов, ресурсов и операций.
Угроза раскрытия заключается в доступности информации конкурентам, что может привести к экономическим потерям организации.
Потеря целостности заключается в нарушении части информации, что приводит к потере полезности всего массива данных.
Безопасность информации обеспечивается комплексом специальных мероприятий по правилам использования, доступности со стороны персонала, процедур компьютерной обработки.
Мерами защиты могут стать:
· проверка подлинности информации;
· контроль доступа в помещения;
· разделение полномочий;
· шифрование цифровой подписи на сообщениях;
· использование биометрических характеристик для контроля;
· применение электронных карт;
· использование антивирусной защиты;
· контроль целостности информации;
· и т.п.
Собственники соответствующей информации определяют необходимую степень ее защищенности и тип системы, способы и средства защиты, исходя из ценности информации, размера ущерба от ее утраты или утечки и стоимости защитного механизма.
В некрупных организациях с небольшим объемом информации, подлежащей защите, наиболее целесообразны и эффективны простейшие методы ее защиты (организация охраны здания, назначение и обучение служащего, работающего с этими документами, введение обязательств для сотрудников о неразглашении ценных сведений и т.п.)[5 с. 290].
В крупных организациях со сложной структурой и значительными объемами информации, подлежащей защите, формируются комплексные системы защиты информации, характеризующиеся многоуровневым построением и иерархическим доступом к информации.
Летом 2006 года компания S. N. Safe & Software объявило о выпуске нового продукта Safe’n’Sec Enterprise, который предназначен для многоцелевой защиты корпоративных сетей крупных предприятий и корпораций от внешних и внутренних угроз и уязвимостей. В настоящее время новинка проходит тестирование на базе нескольких крупных российских предприятий [12 c. 63].