Информационная безопасность предприятия является одним из важнейших факторов, от которого зависят размеры прибыли и перспективы бизнеса. Похищение информации злоумышленниками оборачивается финансовым ущербом и потерей престижа фирмы. Сведения о деятельности компании могут быть переданы лицам, заинтересованным в подрыве ее авторитета и разорении. Похитители способны шантажировать руководство или персонал. 

Чтобы избежать таких ситуаций, требуется комплексная защита информации с использованием программно-аппаратных технологий, организационных методов, приемов обеспечения физической охраны секретных материалов.

Важную роль играют анализ защищенности информационных ресурсов и прогнозирование непредвиденных ситуаций. Необходимо скоординировать меры, связанные с охраной конфиденциальности, чтобы обеспечить безопасность служебной информации.

Принципы и стадии реализации информационной защиты

Комплексные меры обеспечения информационной безопасности включают следующие мероприятия: 

• выработка правил хранения конфиденциальных документов (организационный подход);
• анализ защищенности информации, касающейся отдельных бизнес-процессов (процессный подход). К ним относятся, например, поставка ресурсов, использование определенных технологий. Выбираются методы обеспечения конфиденциальности, приносящие наилучшие результаты;
• корректировка применяемых методов защиты информации для достижения максимальной эффективности (оптимизационный подход);
• организация четкого выполнения «управляющих команд» (правовых норм, касающихся информационной безопасности) «управляемыми объектами» (исполнителями правил конфиденциальности) – кибернетический подход;
• разработка методики принятия решений, касающихся охраны информации (теория принятия решений). 

Управление защитой информации должно основываться на принципах целостности, доступности и конфиденциальности информации. Это значит, что необходимо исключить возможность ее искажения, разглашения, утечки или уничтожения, и при этом сделать информацию доступной для обработки компетентными сотрудниками, имеющими к ней допуск.

Система должна быть организована так, чтобы можно было минимизировать риски на всех стадиях обработки и хранения секретных данных, максимально ослабить последствия их разглашения или потери.

Четкая организация системы управления защитой информации позволяет решать следующие задачи:

• учет информационных ресурсов и составление перечня конфиденциальной информации;
• распределение ответственности за безопасность секретных данных и нарушение конфиденциальности;
• оценка и прогнозирование рисков, разработка мероприятий для их снижения и устранения;
• контроль за соблюдением правил и норм безопасной работы с секретными материалами;
• обеспечение физической защиты информации и персонала компании, причастного к ее обработке;
• определение реальной стоимости имущества предприятия и убытков в случае утечки, намеренного или случайного уничтожения данных. Этот показатель влияет на выбор методов обеспечения информационной безопасности и уровень ее сложности;
• разработка требований и норм информационной безопасности.

Управление системой обеспечения охраны информации осуществляется в определенном порядке. Прежде всего формируется «политика» рисков – определяется, что считать рисками, каковы могут быть последствия осуществления информационных угроз.

Затем проводится анализ всех бизнес-процессов и рисков, которые могут возникать на каждом этапе работы. Выявляются уязвимые моменты в деятельности компании.

В заключение определяется комплекс необходимых мер и общая схема обеспечения безопасной работы предприятия. Устанавливается порядок найма новых работников, а также их ознакомления с нормами корпоративной этики и особенностями работы с конфиденциальной информацией.

Оценка рисков и устранение угроз 

При разработке методов обеспечения информационной безопасности учитываются специфика деятельности организации и правовые нормы РФ. Выполняются требования международных стандартов, которые касаются принципов безопасной работы, используемых программно-технических средств и правовых норм обеспечения конфиденциальности. 

В международной практике стандартными принципами защиты секретной информации, кроме доступности, целостности и конфиденциальности, принято считать также:

• подлинность (подтверждение источника сведений);
• достоверность (доказательство правдивости данных); 
• подотчетность (ответственность за предоставление сведений и результаты их использования).

Угрозы, связанные с безопасностью информационных ресурсов, должны устраняться законными методами. Недопустимо вмешательство в деловые операции предприятия, нарушение контрактных обязательств. 

При разработке методов, связанных с информационной безопасностью, учитываются Конституция РФ, Федеральные законы и кодексы, Указы Президента РФ. Учитываются требования, изложенные в нормативных документах российских министерств и ведомств, а также органов местного самоуправления, приказах ФСБ. За основу берутся рекомендации, изложенные в Доктрине информационной безопасности РФ.

В сформулированной политике безопасности предприятия четко оговариваются информационные объекты, нуждающиеся в защите и возможные угрозы нарушений. 

К объектам защиты относятся:

• информация, передаваемая устно;
• данные, которые хранятся на электронных носителях;
• бумажные документы;
• технические устройства для передачи сведений;
• помещения, в которых хранится, обсуждается и обрабатывается конфиденциальная информация;
• компьютерные информационные системы;
• документы, касающиеся эксплуатации технического оборудования связи и используемого программного обеспечения.

Классификация угроз

Угрозы информационной безопасности предприятия могут быть преднамеренными и случайными (то есть «внешними» и «внутренними»). 

К внешним угрозам относятся:

• действия конкурентов, способных перехватить служебную информацию и использовать ее в своих интересах;
• уничтожение или искажение данных третьими лицами, не имеющими санкционированного доступа к ценным материалам;
• непреднамеренное нарушение работы информационно-аналитической системы со стороны сотрудников смежных организаций;
• экстремальные события и непредвиденные ситуации, которые могут привести к утечке или уничтожению важных сведений.

Внутренние угрозы утечки информации возникают при несоблюдении правил работы с секретными материалами, а также их хранения и передачи.

Причинами могут быть отсутствие координации в охране корпоративных сведений. Возможно преднамеренное вредительство со стороны отдельных сотрудников (из чувства мести, например). Бывают и случайные ошибки персонала, или создание угроз из-за его небрежности или недостаточной осведомленности о конфиденциальности сведений. 

Внутренние нарушения конфиденциальности подразделяются на следующие виды:

• организационно-правовые – несоблюдение политики секретности и нормативных предписаний, касающихся обработки, хранения и уничтожения информации;
• организационные – несанкционированное предоставление и получение доступа в информационную систему, в базу данных и к серверам. Неправильное использование средств охраны информации, введение ошибочных адресов при отправке данных по интернету;
• физические – вывод из строя средств аппаратной защиты или коммуникационных линий, похищение документов и электронных носителей, несанкционированное изучение их содержимого;
• радиоэлектронные – использование технических средств перехвата информации, копирование данных с мониторов, намеренное искажение передаваемой информации.

Работа системы направлена на пресечение подобных нарушений и устранение угроз, разработку эффективных методов противодействия рискам. В процессе их реализации контролируется результативность принимаемых мер, и вносятся необходимые поправки.

Для оценки предпринимаемых действий проводятся аудит (независимые проверки) и мониторинг (систематическое изучение результатов защиты конфиденциальности). Периодически осуществляются испытательные проверки на имитированное проникновение в базу данных. 

Управление системой информационной безопасности предприятия должно быть эффективным, последовательным и непрерывным. Его целями являются прогнозирование и координация методов, с помощью которых можно выявить угрозы хищения и уничтожения важных материалов.

Сочетание организационной, технической и физической охраны секретных материалов позволяет снизить риски нарушений до минимума.

При осуществлении мероприятий по защите секретной информации должны соблюдаться принципы законности действий и санкционированной доступности секретных данных. Применение защитных мер не должно сказываться на качестве и достоверности конфиденциальных сведений. Важно использовать современные программно-аппаратные средства передачи, обработки и хранения секретных материалов. К разработке мер, связанных с информационной безопасностью, привлекаются специалисты в области компьютерных технологий и юристы. 
 

20.05.2020