|
|
Открытый информационный портал РБД |
| На главную | В открытую библиотеку | ||
|
МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ЭКОНОМИКИ, СТАТИСТИКИ И ИНФОРМАТИКИ Тюнина Наталья Олеговна ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИНИМАТЕЛЬСТВА КАК ФАКТОР ПОВЫШЕНИЯ ЕГО КОНКУРЕНТОСПОСОБНОСТИ Специальность 08.00.05 - Экономика и управление народным хозяйством (предпринимательство) Диссертация на соискание ученой степени кандидата экономических наук Научный руководитель: доктор экономических наук, профессор Орехов С.А. Москва 2003 2 СОДЕРЖАНИЕ ВВЕДЕНИЕ....................................................................................3 ГЛАВА 1. РОЛЬ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ ЗАЩИТЫ В ПОВЫШЕНИИ КОНКУРЕНТОСПОСОБНОСТИ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ.................................................................11 1.1.Защита информационной среды предпринимательства как приоритетное направление повышения его конкурентоспособности...........................11 1.2.Современные тенденции в области информационной защиты предпринимательства..............................................................................24 1.3.Сущность и классификация признаков угроз конфиденциальности для обеспечения конкурентных преимуществ субъектов предпринимательской деятельности..............................................................................35 ГЛАВА 2. МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ СОЗДАНИЯ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СУБЪЕКТОВ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ...............................................47 2.1.Адаптация методологических подходов при анализе информационных рисков в современном отечественном бизнесе....................................47 2.2.Разработка методологии расчета показателей экономической эффективности системы информационной безопасности субъектов предпринимательской деятельности................................................................66 2.3.Применение методологии сценарного анализа в прогнозировании поведения системы информационной безопасности субъекта предпринимательской деятельности.......................................................................82 ГЛАВА 3. РАЗРАБОТКА ПОЛИТИКИ СУБЪЕКТА ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.........................................................................100 3.1.Основные положения политики информационной безопасности субъекта предпринимательской деятельности...............................................100 3.2.Разработка мер реализации политики информационной безопасности субъекта предпринимательской деятельности путем создания службы защиты информации..................................................................114 3.3.Определение роли мониторинга системы информационной безопасности и его значение в формировании политики информационной безопасности субъекта предпринимательской деятельности...................................125 ЗАКЛЮЧЕНИЕ............................................................................132 СПИСОК ЛИТЕРАТУРЫ...............................................................137 ПРИЛОЖЕНИЯ............................................................................150 3 ВВЕДЕНИЕ Современная российская экономика в качестве основной характеристики имеет активное формирование и развитие рыночных отношений и институтов. Ключевую роль в этом процессе играет предпринимательство. Как показывает мировой опыт, чем больше возможностей для расширения своей деятельности у класса предпринимателей, тем более высокими являются темпы развития национальной экономики, укрепление позиций государства на мировом конкурентном рынке. В этих условиях весьма значительным фактором является обеспечение благоприятных условий развития предпринимательской деятельности в стране, повышение конкурентоспособности хозяйствующих субъектов. «Конкуренция ведет к лучшему использованию знаний и достижений. Большая часть достигнутых человеческих благ получена именно путем состязания с целью завоевания конкурентных преимуществ. Конкуренция не может функционировать среди людей, лишенных предпринимательского духа» [105,с.14]. Реалии российской экономической жизни таковы, что предприниматели в своей практической деятельности сталкиваются не только с экономическими, организационными, правовыми трудностями в процессе создания своего дела и его развития, но и негативным воздействием некоторых субъектов, зачастую носящим противоправный характер, с недобросовестной конкуренцией. Это в свою очередь, обуславливает необходимость поддержания достаточного уровня экономической безопасности предпринимательства с целью сохранения и повышения конкурентоспособности на внутреннем и мировом рынках, разработки критериев такой безопасности в настоящем актуальном и перспективном аспектах. Значение для страны субъектов предпринимательской деятельности определяет соответствующие требования к обеспечению безопасности их деятельности, проведению методологических и конкретно эмпирических исследований по данной проблематике. Без осмысления механизма 4 обеспечения безопасности функционирования хозяйствующих субъектов (объектов защиты) невозможно в целом разработать концепцию защиты экономической безопасности Российской Федерации. Под безопасностью предпринимательской деятельности следует понимать состояние защищенности субъекта предпринимательской деятельности на всех стадиях его функционирования от внешних и внутренних угроз, имеющих негативные, прежде всего экономические, а также организационные, правовые и иные последствия[52, с.9]. Главной целью экономической безопасности предприятия, как хозяйствующего субъекта, является обеспечение его устойчивого и максимально эффективного функционирования, высокого уровня конкурентоспособности. Наиболее эффективное использование всех ресурсов предприятия, обеспечивающее выполнение этой цели, достигается при решении следующих задач по повышению экономической безопасности: • Обеспечение достаточной финансовой устойчивости и независимости М предприятия; • Поддержание технологической независимости, формирование высокого технического и технологического потенциала; • Оптимизация организационной структуры, постоянное совершенствование и выполнение менеджерских функций; • Обоснованная правовая защита всех видов деятельности предприятия; • Создание защиты информационной среды предприятия, его коммерческой .j тайны; • Формирование условий для безопасной работы сотрудников предприятия, соблюдение их коммерческих интересов; • Техническое оснащение службы безопасности предприятия. Актуальность проблемы. Обеспечение экономической безопасности предприятия - это постоянный процесс реализации составляющих безопасности. Однако, следует отметить, что выше перечисленные составляющие экономической безопасности могут быть не эффективны при 5 недостаточном обеспечении сохранности информационной среды субъектов предпринимательской деятельности. На сегодняшний день успешный бизнес предполагает владение информацией о рыночной конъюнктуре, финансовом положении конкурентов, их планах, новейших разработках, тенденциях развития в конкретных областях науки и производства. Практика деятельности хозяйствующих субъектов повседневно свидетельствует об их повышенной, по сравнению с государственными структурами, уязвимости от противоправных и иных нарушающих нормальную жизнедеятельность посягательств преступных обществ, а также отдельных лиц с целью раскрытия коммерческой тайны предприятия. Поэтому обеспечение информационной безопасности своей деятельности, сохранение конкурентных преимуществ становится жизненно важной потребностью, одним из базовых принципов функционирования субъектов предпринимательской деятельности. Ряд общих вопросов криминологической безопасности данных субъектов предпринимательской деятельности нашли отражение в работах А.И.Гурова, Ч А.И.Долговой, А.Г.Шаваева, В.ИЯрочкина, Ж.Бережье, Р.Минна и ряда других ученых и практиков. Вопросам промышленного шпионажа, сохранности коммерческой тайны и функционирования служб безопасности коммерческих фирм посвящены труды А.И.Алексеева, Р.М.Гасанова, В.С.Горячева, А.В.Жукова, Ю.Ф.Каторина, А.Вольфа, К.Савки и других авторов. Следует отметить, что перечисленные работы лишь в обобщенном виде передают зарубежный и отечественный опыт построения политики информационной безопасности субъектов предпринимательской деятельности, мало затрагивая вопросы прикладного характера, ориентированные на решение проблем безопасного бизнеса предпринимателей, отсутствует комплексная методология подхода к реализации политики информационной безопасности данных хозяйствующих субъектов. В то же время сама жизнь диктует настоятельную необходимость перехода к научным основам организации защиты субъектов предпринимательской деятельности с целью укрепления их 6 положения на конкурентном рынке, что и обусловило выбор темы диссертационного исследования и ее актуальность в научном и практическом плане. Цель и задачи исследования. Целью диссертационного исследования является разработка методов поддержания конкурентоспособности хозяйствующих субъектов за счет обеспечения защиты предпринимательской деятельности на основе реализации принципов информационной безопасности бизнеса. Цель исследования предполагает постановку следующих задач: проведение анализа основных направлений повышения конкурентоспособности предпринимательской деятельности в аспекте информационной защиты бизнеса; исследование основных тенденций развития современных ситуационных подходов к обеспечению информационной безопасности российских и зарубежных субъектов предпринимательской деятельности; анализ угроз безопасности предпринимательской деятельности в результате раскрытия коммерческой тайны и потери конкурентных преимуществ хозяйствующего субъекта; и на этой основе: исследовать основные категории конфиденциальной информации хозяйствующих субъектов; выявить и обобщить качественные и количественные подходы к анализу информационных рисков предпринимательской деятельности; провести анализ существующего на сегодняшний день инструментария в области анализа и управления информационными рисками; осуществить исследование современных методик расчета экономической эффективности применения систем информационной защиты субъектов предпринимательской деятельности; разработать аппарат описания оценки экономической эффективности системы информационной безопасности; 7 разработать модели изучения и исследования поведения системы защиты информации на основе методологии сценарного анализа и прогнозирования; исследовать и обобщить основные положения политики информационной безопасности и меры ее реализации на субъекте предпринимательской деятельности, разработать формальную модель построения политики информационной безопасности; разработать структурную модель построения службы безопасности хозяйствующего субъекта; определить роль мониторинга информационной безопасности в системе политики информационной безопасности субъекта предпринимательской деятельности. Предмет и объект исследования. Предметом исследований являются правовые, организационно-административные, технологические и экономические процессы функционирования системы информационной безопасности хозяйствующих субъектов. В качестве объекта исследования выступает информационная система хозяйствующего субъекта. Методика исследования. В процессе исследования проанализированы и использованы достижения отечественных и зарубежных специалистов по вопросам теории и практики организации защиты конфиденциальной информации и обеспечения безопасности информационных процессов коммерческих фирм, а также нормативно-правовые и руководящие документы, статистические данные, материалы периодической печати, материалы компаний по указанным вопросам и их критическое осмысление. Теоретическую и методологическую основу исследования составляет системный подход в сочетании с методологией структурного анализа сложных систем, методы системного анализа и стратегического прогнозирования, элементы логического моделирования и сценарного анализа. При решении поставленных задач применялся текстовый редактор MS Word, табличный процессор MS Excel, редактор диаграмм Microsoft Graph, редактор формул Microsoft Equation 3.0. 8 Научная новизна диссертации. В диссертации поставлена и решена новая актуальная задача по разработке и обоснованию теоретических положений, реализации практических рекомендаций по укреплению конкурентоспособности хозяйствующих субъектов различных форм собственности путем построения системы информационной безопасности данных субъектов на основе реализации политики информационной безопасности. Научную новизну содержат следующие положения и результаты исследования: • На основе анализа мировых тенденций развития бизнеса сделан вывод о роли информационной безопасности предпринимательской деятельности как приоритетном направлении повышения ее конкурентоспособности на современном этапе развития экономики; • Разработана методика определения рисков информационных систем субъектов предпринимательской деятельности в ситуациях, когда невозможно Ч воспользоваться количественными характеристиками для расчета величины риска. Суть методики заключается в определении посредством экспертных оценок зависимости значения риска от определенных факторов - вероятности наступления события и ущерба от наступления данного события; • Разработана модель управления информационными рисками на основе алгоритма, отражающего последовательность и взаимодействие этапов оценки рисков и выбора защитных регуляторов; 1 • Сформулирован методический подход к определению затрат при расчете эффективности применения системы информационной безопасности на основе сравнения показателей стоимости совокупных потенциальных потерь информации без использования системы информационной безопасности и показателя стоимости реальных потерь при ее использовании; • Разработан подход к построению методологии сценарного прогнозирования и анализа поведения системы информационной безопасности при возникновении различных угроз информационной среде субъекта 9 предпринимательской деятельности, в основу которого положено выделение ключевых моментов развития ситуации посягательства на защищаемый объект и разработка качественно различных вариантов отражения атаки, а также анализ и оценка каждого из полученных вариантов и возможных последствий его реализации. Теоретическая и практическая значимость. Настоящая диссертационная работа является результатом исследования практического материала деятельности коммерческих фирм в области защиты информационной среды, анализа публикаций и систематизации данных по данной проблеме. Теоретическая и практическая значимость диссертационной работы определяется актуальностью поставленной цели и соответствующих ей задач, достигнутым уровнем разработанности проблематики, применением аналитического и модельного подхода к определению направления совершенствования систем информационной защиты коммерческого назначения путем формирования политики информационной безопасности субъектов предпринимательской деятельности, что призвано углубить практические и научные наработки в данной области и способствовать формированию новой парадигмы создания благоприятных условий и поддержке функционирования предпринимательских структур. Результаты проведенного исследования, выводы и предлагаемые решения могут быть использованы коммерческими структурами с целью обеспечения собственной информационной безопасности, а также фирмами и организациями, занимающимися разработкой и внедрением систем информационной безопасности коммерческого назначения. Разработанные в диссертации принципы и подходы к построению системы информационной безопасности коммерческих фирм позволяют: • сформировать грамотную стратегию обеспечения собственной информационной безопасности субъектов предпринимательской 10 деятельности, исходя из детального анализа направлений их деятельности и комплексных требований защиты; • повысить скорость и качество принятия управленческих решений в области информационной защиты; • реализовать эффективную корпоративную политику информационной безопасности; • сформировать собственные службы защиты информации. Обобщения, выводы и основные положения диссертации могут быть также использованы в обучении студентов и подготовке специалистов в области информационной безопасности. Апробация и реализация результатов исследования. Основные выводы и рекомендации диссертационной работы использовались при разработке и корректировке системы информационной безопасности НИИ АВТОМАТИЧЕСКОЙ АППАРАТУРЫ им. Академика В.С.Семинихина (ФГУП «НИИ АА»), ЗАО «НТФ КРИПТОН НИИ АА», ЗАО «Центр защиты информации ГАММА», ООО ИК «Сибинтек», что подтверждается соответствующими документами. Предложенная в работе схема формализации сценариев поведения системы информационной безопасности положена в основу разработки ЗАО «Центр защиты информации ГАММА» интерактивной системы анализа защиты информации. В настоящее время программный продукт находится в стадии пилотного проекта. Некоторые из теоретических и методологических положений диссертации докладывались и получили положительную оценку на Межвузовском научном семинаре «Организационно-управленческие проблемы трансформации Российской экономики», Москва, 2002 год. Публикации. Основные положения диссертации отражены в 6 работах общим объемом 1.5 п.л. Структура работы. Диссертация состоит из введения, трех глав, заключения, списка использованных источников и 12 приложений. 11 ГЛАВА 1. РОЛЬ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ ЗАЩИТЫ В ПОВЫШЕНИИ КОНКУРЕНТОСПОСОБНОСТИ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ 1.1. Защита информационной среды предпринимательства как приоритетное направление повышения его конкурентоспособности Предпринимательство, как сравнительно молодой негосударственный сектор отечественной экономики уже оказывает существенное влияние на экономику и политику государства, определяет развитие многих современных технологий, перспективы создания новых рабочих мест, увеличения налоговых поступлений в бюджет. Ряд крупных и средних субъектов предпринимательской деятельности создали более совершенную по сравнению с государственным сектором производственную и финансовую инфраструктуру. С экономической точки зрения предпринимательская деятельность выполняет определенную функцию в экономическом развитии любой страны. Наиболее ярко эту функцию описал австрийский ученый Йозеф Шумпетер. Предпринимателями он назвал «хозяйствующих субъектов, функцией которых является как раз осуществление новых комбинаций» [113, с.159], то есть, предприниматели реализуют нововведения, играющие ведущую роль в развитии экономики страны, повышению ее конкурентоспособности на мировом рынке. Й. Шумпетер определяет конкурентоспособность как соперничество старого с новым, с инновациями. В конце 1999г. по уровню конкурентоспособности Россия находилась на 127 месте из 180 стран, оцениваемых Всемирным экономическим форумом [105]. Одной из главных причин такого положения, по нашему мнению, является то, что в России до 1999г. проблемы конкурентоспособности на государственном уровне не поднимались. Впервые на государственном уровне актуальность повышения конкурентоспособности страны прозвучала в Ежегодном послании первого Президента Российской Федерации Б.Н. Ельцина 30 марта 1999г. «Россия на рубеже эпох», с которым он выступил на 12 совместном заседании палат Федерального Собрания РФ [46]. В послании особое внимание уделяется созданию эффективной системы внедрения наукоемких технологий, защите результатов интеллектуальной деятельности российских предприятий. Идея повышения конкурентоспособности России была включена в «Концепцию национальной безопасности Российской Федерации» в редакции от 10 января 2000г. В Концепции отмечается, что Государство должно содействовать развитию частного предпринимательства во всех сферах народного хозяйства, где это способствует росту общественного благосостояния, прогрессу науки и образования, духовному и нравственному развитию общества, защите прав потребителей [153]. Таким образом, прослеживается четкая связь между понятиями «конкурентоспособность» и «безопасность». К примеру, в США, которые по уровню конкурентоспособности занимают первое место в мире, в 1994 г. администрацией Президента была принята «Стратегия национальной '$ безопасности США», в которой первый из семи разделов посвящен повышению конкурентоспособности. Р.А.Фатхутдинов в разработанной им теории конкурентоспособности предприятий предлагает пользоваться понятием «ценность» - как «нечто особенное, чем система владеет (содержит в себе), стремиться сохранить либо иметь в будущем. Конкурентоспособность предприятия зависит от конкурентного преимущества - эксклюзивной ценности, обладаемой системой и дающей ей превосходство перед конкурентами»[105, с. 147]. Таким образом, любая коммерческая система заинтересована в сохранении, надежной защите этой «ценности», без которой бизнес не эффективен. Главную роль в обеспечении защиты «ценности» должна сыграть система безопасности. Исходя из вышесказанного предлагаем представить цепочку получения эффекта от «ценности», дающей конкурентное преимущество на рынке, следующим образом (рис.1): 13 ■'М
Рис. 1. Цепочка получения эффекта от ценности. Для того, чтобы грамотно построить систему безопасности субъекта предпринимательской деятельности, необходимо четко понимать и учитывать все негативные явления, представляющие угрозы «ценности» и сводящие на нет конкурентные преимущества данного субъекта. По мнению западных теоретиков-экономистов, таких как Лезер Й. и Проэктор Д. [65, с.79], «успешное развитие предпринимательства существенно зависит от той политико-экономической среды (командно-административной или рыночно-конкурентной), в которой оно осуществляет свою деятельность». Представляется, что подобный взгляд в области хозяйствования следует признать в качестве основополагающего фактора. Однако не менее важным фактором, постоянно сопутствующим определенной экономической среде, является внутренняя и внешняя обстановка в стране, от которой зачастую зависит положение предпринимателя на конкурентном рынке. Современная обстановка в России характеризуется усугубляющаяся криминогенной ситуацией, появлением активно действующих структур экономической разведки, международной организованной преступности, широким применением жестких методов воздействия на субъекты предпринимательской деятельности [153]. 14 Наличие условий, при которых создается реальная угроза причинения вреда (ущерба) хозяйствующим субъектам, снижению их конкурентоспособности ставит в ряд первоочередных и долговременных задач, требующих оперативного решения, проблему обеспечения экономической безопасности этих субъектов. Экономическая безопасность данных субъектов является необходимым и одним из основных принципов поддержания устойчивости экономического и социального положения для России в целом, ее конкурентоспособности на , . мировом рынке. Как считает О.Ю.Казакевич [50, с.201] «обеспечение безопасности хозяйствующих субъектов необходимо рассматривать в контексте становления и развития системы обеспечения экономической безопасности страны, определения ее объектов и субъектов, источников внешних и внутренних угроз безопасности, элементов, функций системы, критериев ее надежности и эффективности». Экономическая безопасность государства - это такое состояние Ц экономики, когда экономическое благополучие участников соответствующих общественных отношений, стабильность внутреннего рынка данной страны хотя и зависят от действия внешних факторов, но негативное влияние последних нейтрализуется резервами хозяйствующих субъектов, позволяющих сохранить стабильность экономики в целом, ее конкурентоспособность. [109, с.6] Криминологический аспект безопасности субъектов предпринимательской деятельности — неотъемлемая часть общей системы национальной экономической безопасности. С криминологической точки зрения негосударственные хозяйствующие субъекты могут быть дифференцированы по критерию уровня виктимизации. Эта проблема подробно рассматривается в научных трудах О.Б.Малежина [71]. Уровень криминологической виктимизации характеризуется отношением числа потерпевших от преступлений к общей численности обследуемой социальной группы. По данным проведенных исследований, средний уровень 15 виктимизации субъектов предпринимательской деятельности соответственно составил: - В сфере индивидуального предпринимательства - 61%; - В сфере малого бизнеса - 57 %; - В сфере среднего бизнеса - 29%; - В сфере большого (крупного бизнеса) - 14%. Таким образом, среди рассмотренных групп наиболее подверженными криминальным угрозам являются лица, занимающиеся индивидуальным предпринимательством и коммерческие фирмы, функционирующие в сфере малого бизнеса. Наименее уязвимые представители крупного бизнеса несколько ниже среднего уровня виктимизации ( по данным ГИЦ МВД РФ за 2002 год средний уровень виктимизации населения по РФ составил 16%). Постановка вопроса о концептуальных основах обеспечения криминологической безопасности субъектов предпринимательской деятельности объективно необходима еще и потому, что комплексная разработка этого аспекта функциональной деятельности указанных структур на фундаментальном уровне еще не осуществлялась. В исследованиях отечественных и зарубежных ученых рассмотрены отдельные вопросы по затрагиваемой проблеме. Так, феномен организованной и иной преступности в сфере экономики, основные закономерности, содержание и динамика этого явления достаточно подробно исследованы в работах А.И.Гурова, А.И.Долговой, А.Г.Шаваева, В.И.Ярочкина и ряда других ученых и практиков [41, 44, 45, 109, 117]. В числе зарубежных ученых и публицистов, уделивших внимание данной проблеме следует особо отметить работы Ж.Бережье, Р.Минна [30, 74]. С учетом сложившейся политической и экономической ситуации в России сформировался интерес к проблемам обеспечения защиты субъектов предпринимательской деятельности от посягательств со стороны организованной преступности, промышленного шпионажа и иных правонарушений, сохранности коммерческой тайны, функционирования 16 негосударственных служб безопасности. Хотя эти исследования представлены сравнительно широко, следует специально выделить работы А.И.Алексеева, Р.М.Гасанова, В.С.Горячева, А.В.Жукова, Ю.Ф. Каторина, В.ИЛрочкина. [25, 35,38,47,52,115] Исследование проблемы показывает, что все факторы, способствующие преступным посягательствам на безопасность хозяйствующих субъектов, условно могут быть разделены на внутренние и внешние. В числе основных внутренних криминогенных факторов, позволяющих выделить субъекты предпринимательской деятельности среди иных объектов защиты в интересах задействования всех сил и средств такой защиты, следует отметить: • наличие у данных субъектов заказов, связанных с созданием в России новейших образцов техники и технологий, фундаментальных и прикладных научных исследований, опережающих мировой уровень; • их участие этих фирм в продвижении на мировой рынок высокотехнологических товаров; • уровень угроз для экономики отрасли, региона, государства, определяемый вынужденной остановкой или сбоями в функционировании субъектов предпринимательской деятельности; • повышенная экологическая опасность, связанная с деятельностью этих субъектов. К факторам, составляющим внешние угрозы криминологической безопасности хозяйствующих субъектов, относятся: • Формирования организованной преступности; • Негосударственные организации и отдельные лица, специализирующиеся на проведении промышленного шпионажа; • Деятельность спецслужб иностранных государств, ставящие своей целью добывание информации по экономической проблематике. Как отмечает Р.М.Гасанов, экономический шпионаж как сфера тайной деятельности по сбору, анализу, хранению и использованию особо ценной 17 конфиденциальной информации охватывает все сферы рыночной экономики [35, с.б]. Ущерб от экономического шпионажа, например, в банковской сфере составляет сегодня в мире 30% от всего ущерба, который несут банки [91, с.14]. В основе причинной обусловленности возникновения, развития и дальнейшего совершенствования такого явления, как экономическая разведка, лежит обеспечение конкурентных преимуществ - либо национальных, либо корпоративных. В условиях продолжающегося воздействия на состояние всемирного хозяйства и его подсистем разноуровневых глобальных факторов, а именно: технологической революции, обострения энергосырьевой проблемы, кризиса мировой финансово-кредитной системы, усиление взаимозависимости национальных хозяйств, их экономической политики, сближения экономических уровней развития различных стран; преодоления межсистемных противоречий между странами, проявляющегося в признании конкуренции как *{ главного фактора, обеспечивающего равновесие внутрихозяйственного развития, несомненно, экономическая разведка сохранит свою актуальность и в дальнейшем. Следует отметить, главное предназначение разведки - добывание информации. В своем исследовании Е.Степанов [99, с.49] приходит к выводу, что прочность положения фирмы в значительной степени зависит от владения информацией о рыночной конъюнктуре, финансовом положении конкурентов, результатах перспективных исследований и разработок, тенденциях развития в конкретных областях бизнеса, получить которую и должна экономическая разведка. Она также способствует выявлению уязвимых мест и недостатков в системе безопасности компании, что позволяет разрабатывать адекватные меры защиты от промышленного шпионажа, мошенничества и других угроз. Информация и бизнес на сегодняшний день являются взаимосвязанными понятиями. Стремительное развитие информационных технологий привело к созданию и быстрому росту глобальной сети Internet, формированию 18 информационной среды, оказывающей влияние на все сферы предпринимательской деятельности. Новые технологические возможности облегчают распространение информации, повышают эффективность производственных процессов, способствуют расширению деловых операций в сфере бизнеса. Эффективность бизнеса субъекта предпринимательской деятельности напрямую зависит от качества и оперативности управления бизнес-процессами. Одним из главных инструментов управления бизнесом являются корпоративные информационные системы (КИС). Предприятия нового типа — это разветвленная сеть распределенных подразделений, филиалов и групп, взаимодействующих друг с другом. Распределенные корпоративные информационные системы становятся сегодня важнейшим средством производства современной компании, они позволяют преобразовать традиционные формы бизнеса в электронный бизнес. Электронный бизнес использует глобальную сеть Internet и современные информационные технологии для повышения эффективности всех сторон $ деловых отношений, включая продажи, маркетинг, платежи, финансовый анализ, поддержку клиентов и партнерских отношений. Важнейшее условие существования электронного бизнеса в предпринимательстве - его информационная безопасность. А.В.Соколов и В.Ф.Шаньгин [96, с. 16] определяют информационную безопасность, как «защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий, которые могут нанести ущерб владельцам или пользователям информации». Информация должна быть доступна только тем, кому она предназначена, и скрыта от сторонних наблюдателей, в этом состоит ее конфиденциальность. В своем научном труде А.В.Петраков [82, с.49-53] анализирует понятие конфиденциальности и дает определение конфиденциальной информации и данным, как «статусу определяющему степень их защиты». Разрушение информационного ресурса, его временная недоступность или несанкционированное использование (т.е. нарушение установленных правил доступа и использования информации) могут 19 нанести хозяйствующему субъекту значительный материальный ущерб и даже привести к полному закрытию компании. Без должной степени защиты информации внедрение информационных технологий может оказаться экономически невыгодным в результате значительного ущерба из-за потерь конфиденциальных данных, хранящихся и обрабатываемых в компьютерных сетях. Корпоративные сети и системы, внедряемые на субъектах предпринимательской деятельности, объективно приводят к росту стоимости информации, хранящейся и обрабатываемой в них. Информация приобретает для предпринимателей особую ценность, дает хозяйствующему субъекту конкурентные преимущества по отношению к другим участникам рынка. Реализация решений, обеспечивающих безопасность информационных ресурсов в предпринимательской деятельности, повышает эффективность всего процесса информатизации на фирме, обеспечивая сохранность дорогостоящей деловой информации, циркулирующей в локальных и глобальной информационных средах. Поддержание массовых и разнообразных связей предприятия через Internet с одновременным обеспечением безопасности этих коммуникаций является сегодня основным фактором, влияющим на развитие корпоративной информационной системы коммерческой фирмы. Следует отметить, что средства взлома компьютерных сетей и хищения информации развиваются так же быстро, как и все высокотехнологичные компьютерные отрасли. В этих условиях обеспечение информационной безопасности КИС является приоритетной задачей для руководителей хозяйствующих субъектов, поскольку от сохранности корпоративных информационных ресурсов во многом зависит качество и оперативность принятия стратегических решений и эффективность их реализации, что в конечном итоге отражается на конкурентоспособности субъектов предпринимательской деятельности. Задача обеспечения информационной безопасности КИС хозяйствующего субъекта традиционно решается построением системы информационной 20 безопасности (СИБ), определяющим требованием к которой является сохранение вложенных в построение КИС инвестиций. Для того чтобы обеспечить надежную защиту ресурсов корпоративной информационной системы в подсистеме информационной безопасности должны быть реализованы самые прогрессивные и перспективные технологии информационной защиты. Особое внимание уделяется комплексному подходу к обеспечению информационной безопасности, предполагающему рациональное сочетание методов, технологий и средств информационной защиты, эффективное применение правовых, программно-технических и организационных мер. По данным аналитических исследований, приведенных в совместной работе Ю.Ф.Каторина, Е.В. Куренкова, А.В.Лысова и А.Н.Остапенко [52, с.78], удельный вес каждого из перечисленных компонентов соответственно составляет: - Правовые методы - 60%; - Программно-технические — 30%; - Организационные методы-10%. Из приведенных цифр наглядно видно, что правовые методы занимают лидирующее место по своей значимости, и именно поэтому правовое обеспечение рассматривается как приоритетное направление в политике обеспечения информационной безопасности предпринимательства. Нормативно-правовая база информационной защиты включает в себя различные федеральные законы, акты и методические документы, направленные на построение системы информационной безопасности, регламентирующие порядок защиты конфиденциальной информации и информационные отношения в области предпринимательства в целом, такие как: Федеральный закон от 20.02.95г. №24-ФЗ "Об информации, информатизации и защите информации", Федеральный закон от 04.07.96 г. №85-ФЗ "Об участии в международном информационном обмене", Указ Президента Российской Федерации от 06.03.97 г. № 188 "Перечень сведений конфиденциального характера", Постановление Правительства Российской 21 Федерации от 03.11.94 г. №1233 "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органов исполнительной власти", а также другие нормативные правовые акты и ГОСТы по реализации мер защиты информации (приложение 1). В РФ вопросам информационной безопасности уделяется приоритетное направление. Доказательством этому служит утверждение в сентябре 2000 г. Доктрины информационной безопасности Российской Федерации, которая особо подчеркивает жизненную важность этих вопросов для государства, общества и предпринимательской сферы в частности [9]. Подводя итог анализу литературных источников по данной проблематике, можно сделать вывод, что успешное развитие предпринимательской деятельности, повышение ее конкурентоспособности во многом зависит от наличия конкурентных преимуществ, выраженных в эксклюзивной ценности. В связи с этим, хозяйствующие субъекты серьезно заинтересованы в сохранении этой ценности. Данная задача решается посредством построения системы обеспечения экономической безопасности. Учитывая бурное развитие информационных технологий на современном этапе, возрастание роли информации во всех бизнес-процессах, преобразование традиционных форм бизнеса в электронный бизнес, логично предположить, что эксклюзивная ценность, дающая конкурентные преимущества предпринимательским структурам заключается в информации, хранящейся и циркулирующей на субъектах предпринимательской деятельности. Поэтому предлагаем рассматривать вопросы разработки методов и механизмов обеспечения конкурентоспособности хозяйствующих субъектов за счет обеспечения безопасности их деятельности и защиты конкурентных преимуществ на основе реализации принципов информационной безопасности бизнеса. Основываясь на проведенном анализе литературы, считаем, что функционирование системы экономической безопасности в целях обеспечения конкурентоспособности предпринимательства, рассматриваемое в аспекте 22 защиты информационной среды субъектов предпринимательской деятельности, должно основываться на четырех уровнях: • Первый - соблюдение политико-правовых международных условий существования субъектов предпринимательской деятельности в рамках государства, обеспечивающих возможность свободного выбора и осуществления стратегических задач экономического развития (не подвергаясь при этом внешнему политическому, экономическому и иному давлению, вмешательству во внутренние дела), использования потенциала развитых стран ^ и международного экономического сообщества в интересах развития экономики страны на основе взаимовыгодного сотрудничества и повышения конкурентоспособности российских субъектов предпринимательской деятельности на мировом рынке. • Второй - обеспечение достижимости макроэкономических целей на федеральном и региональном уровнях путем создания внутригосударственной подсистемы экономической безопасности, предусматривающей прежде всего *f своевременное выявление и подавление, либо нейтрализацию источников внешней и внутренней угрозы безопасности предпринимательской деятельности, защиту от недобросовестной конкуренции. • Третий - объектовая защита субъектов предпринимательской деятельности от противоправных посягательств конкурентов в основном с использованием сил и средств самих объектов защиты. • Четвертый - непосредственно защита конфиденциальной информации ^ и коммерческой тайны, сохранение конкурентных преимуществ, как важнейшее условие развития, устойчивости и эффективности предпринимательской деятельности, осуществляемая путем построения подсистем информационной безопасности хозяйствующего субъекта. Все уровни системы обеспечения экономической безопасности не изолированы друг от друга и находятся в неразрывном единстве, предполагающем правильное определение стратегических целей и задач обеспечения защиты экономической деятельности хозяйствующего субъекта, 23 применение апробированной с учетом мирового опыта и российской специфики тактики достижения решения поставленной задачи, а также взаимодополнение и взаимоподдержку при сохранении централизованной координации. Вместе с тем анализ специальной литературы по рассматриваемой проблематике, а также практический анализ работы ряда предприятий отечественного малого и среднего бизнеса дает основание сделать вывод о том, что до настоящего времени не сложилась единая точка зрения по вопросам комплексного, системного подхода к обеспечению безопасности субъектов предпринимательской деятельности, механизма и принципов создания и функционирования служб безопасности таких субъектов, их взаимодействия между собой и правоохранительными органами. У значительного числа руководителей хозяйствующих субъектов еще не сформировалось понимание приоритетности обеспечения информационной безопасности как одного из базовых принципов эффективной экономической деятельности, поддержанию ее конкурентоспособности. В силу этого на практике задача обеспечения экономической безопасности хозяйствующего субъекта с точки зрения защиты его информационной среды нередко относится к второстепенной, либо не ставится вообще. Указанные обстоятельства позволяют утверждать, что современное состояние разработанности проблемы обеспечения безопасности негосударственных субъектов экономики не отвечает в должной мере потребностям эффективной и надежной защиты таких субъектов от источников внешних и внутренних угроз безопасности, выработке оптимальных политических решений в сфере обеспечения национальной экономической безопасности. Это обстоятельство в ближайшем будущем может привести к экономическим потерям в сфере деятельности предприятий негосударственного сектора экономики, значительно ослабить их конкурентоспособность на отечественном и зарубежных рынках. 24 1.2. Современные тенденции в области информационной защиты предпринимательства Анализ современного состояния экономической безопасности предпринимательства в аспекте защиты информационной среды российских и зарубежных субъектов предпринимательской деятельности, включенных в содержание данной части работы, осуществлялся на основе ранее предложенного понятия (п. 1.1.) успешного функционирования четырехуровневой системы защиты экономической деятельности хозяйствовующих субъектов с целью повышению их конкурентоспособности на национальном и мировом рынках. Создание политико-правовых международных условий существования и развития негосударственных субъектов предпринимательской деятельности и обеспечение их безопасности на федеральном и региональном уровнях регламентируются нормативно-правовыми базами государств, включающими различные федеральные законы и акты, а также международными соглашениями и стандартами. Сегодня в России и за рубежом наблюдается значительный рост интереса к проблемам информационной безопасности, который объясняется бурным развитием крупномасштабных распределенных информационных систем и значительным ущербом, который наносится компьютерными преступлениями. Ком проблем информационной безопасности будет нарастать экспоненциально, по данным Координационного центра CERT (рис.2), уже в 2003 году в США количество инцидентов, связанных с нарушением компьютерной безопасности, превысит 170 тыс., по существу сравнявшись со всем числом инцидентов, зафиксированных CERT за весь период сбора информации, начиная с 1997 года [152]. 25 Прогнозная модель N=2134*EXP(0,73*T)
Годы, Т Рис.2. Динамика инцидентов, связанных с нарушениями компьютерной безопасности в США. Одновременно по данным CERT продолжает увеличиваться число выявленных уязвимостей компьютерных систем в США (рис.3). В текущем году в соответствии с прогнозом их число составит почти 7200 [152]. Прогнозная модель V=250*EXP(0,56*T)
Рис.3. Динамика количества уязвимостей компьютерных систем в США. Очевидно, что в России из-за гораздо меньшей развитости компьютерных сетей ситуация пока не такая напряженная, но в ближайшие годы по прогнозам российских аналитиков накал значительно вырастет, и российские 26 предприниматели в полной мере ощутят реалии современных информационных войн. По официальным источникам, ежегодные потери только делового сектора США от незаконного проникновения в информационные корпоративные системы составляют от 150 до 300 млн.долл. Средний ущерб от одного компьютерного преступления США составляет 450 тыс.долл., а максимальный — 1 млрд.долл. В Великобритании ежегодные потери составляют 2.5 млрд.фунтов стерлингов, а в странах Западной Европы - 30 млрд.долл [62, с.56]. Статистика компьютерных преступлений, совершенных в России в последнее время, достаточно впечатляюща и наглядна, и далеко не все случаи официально зафиксированы. Так, например, в 1997-98 годах только в кредитно-финансовой сфере выявлено более 29,2 тысяч преступлений [91, с.21], большинство из которых совершено с использованием компьютерной техники. И если (по данным Главного информационного центра МВД РФ ) еще несколько лет тому назад доля явных компьютерных преступлений от общего числа в кредитно-финансовой сфере бизнеса составляла не более 2%, что в абсолютных цифрах насчитывало около сотни [100, с. 16], то, например, в 2000 годы по данным Управления «Р» зафиксировано 1375 компьютерных преступлений, а ущерб от одного компьютерного преступления составляет в среднем 300-500 тысяч рублей, а в отдельных случаях и значительно больше [84, с.38]. Международный опыт уголовно-правовой классификации компьютерных преступлений, накопленный в ряде ведущих высокотехнологичных стран мира, позволил сформировать так называемые «Минимальный список нарушений» и «Необязательный список нарушений». В приложении 2 приводятся основные перечни компьютерных преступлений, содержащиеся в этих списках. Данные списки были разработаны государствами-участниками Европейского сообщества и официально оформлены как «Руководство Интерпола по компьютерной преступности» [62, с. 116]. 27 В России большая часть преступлений, посягающих на экономическую, в том числе и информационную безопасность хозяйствующих субъектов впервые криминализована в новом УК РФ [3]. До 1 января 1997 года - даты вступления в действие нового Уголовного Кодекса Российской Федерации (УК РФ) в России отсутствовала возможность эффективно бороться с посягательствами на информационную безопасность субъектов предпринимательства, в частности с компьютерными преступлениями и нарушениями. Несмотря на явную опасность для отечественного бизнеса, данные посягательства не были противозаконными, то есть они не упоминались российским уголовным законодательством. Хотя еще до принятия нового УК в России была осознана необходимость правовой борьбы с компьютерными преступлениями. Сегодня составы компьютерных преступлений приведены в главе 28 УК РФ, которая называется «Преступления в сфере компьютерной информации» и содержит три статьи: «Неправомерный доступ к компьютерной информации» (ст.272), «Создание, использование и распространение вредоносных программ ЭВМ» (ст.273) и «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» (ст.274). В большинстве стран соответствующие нормы сильно рассредоточены по соответствующим УК либо даже по разным законам, так что помещение их в одну главу было несомненным успехом российских законодателей. В то же время следует заметить, что, например, американское законодательство более конкретно [73], четкое руководство к действию в случае нарушения компьютерной безопасности отражено в части 18 Свода законов. Имеющиеся в России законы и указы [7, 10] носят в основном запретительный характер. В то же время следует учитывать, что в данном случае от государства требуется в первую очередь поддержка, организация и координация работ. В других странах это поняли довольно давно. Так, в США в 1987 году был принят закон о компьютерной безопасности (Computer Security Act, вступил в силу в сентябре 1988 года). Этот закон предусматривает 28 комплекс мер по обучению пользователей, имеющих дело с критичной информацией, по подготовке разъяснительных руководств и т.д., без чего сознательное поддержание режима информационной безопасности просто невозможно. И данный закон на самом деле выполняется [142]. Характеризуя в целом текущее состояние отечественного нормативно-правового обеспечения информационной безопасности, можно отметить, что сложность компьютерной техники, неоднозначность квалификации, трудность сбора доказательной информации, а также неохваченность полностью всех видов компьютерных преступлений и нарушений пока в полной мере не позволяют эффективно бороться с данными проявлениями. Тем не менее, позитивность произошедших перемен в российском правовом поле очевидна. Стремительное внедрение и развитие технологий Internet во всем мире сегодня затрагивает все основные сферы бизнеса. Корпоративные системы, соединенные с помощью открытых каналов связи в единую глобальную сеть, становятся прекрасными мишенями для проведения различных атак, являются ft уязвимыми для разного рода злоумышленников и в целом представляют возможность проведения самых настоящих электронных диверсий и информационных войн. Бывший директор ЦРУ Джон Дейч поставил электронную угрозу, ввиду ее значимости, в один ряд с такими страшными угрозами, как ядерная, химическая и бактериологическая [84, с. 18]. Последнее обстоятельство выводит вопросы информационной безопасности на первое место среди приоритетных направлений совершенствования всей системы национальной безопасности государств. Так в т январе 2000 г. президентом США Клинтоном был подписан «Национальный план защиты информационных систем» [33], координирующий национальную программу информационной безопасности на период до 2003 года. План состоит из десяти программ по принятию законов, определению угроз и критических точек, внедрению средств защиты, подготовки кадров, выполнению НИОКР. Нужно отметить, что план направлен на консолидацию усилий правительства, федеральных ведомств и частных компаний. После 29 трагических событий 11 сентября 2001г. президент Буш подписал указ №13231, специально посвященный вопросам информационной безопасности страны -«Защита критической инфраструктуры в информационный век» [136]. О серьезности отношения к вопросу информационной безопасности в России говорит утверждение Президентом РФ в сентябре 2000 г. Доктрины информационной безопасности Российской Федерации, закладывающей основы информационной политики государства. С учетом существующих угроз для защиты национальных интересов России государство планирует активно развивать отечественную индустрию средств информации с последующим выходом продукции на мировой рынок, обеспечивать гарантии безопасности для национальных информационных систем. Анализ развития нормативной базы оценки безопасности информационных технологий (ИТ) позволяет понять мотивационные посылки, которые привели к созданию современных международных стандартов. Прежде всего это связано с коренными изменениями окружающей среды бизнеса. В 80-е годы прошлого столетия утвердилась интернационализация экономики, которой было присуще взаимопроникновение и взаимозависимость между экономиками отдельных стран, а в 90-е годы началась ее глобализация -новый и качественно иной этап, ведущий к созданию единого мирового рынка. В 1983 году в качестве стандарта оценки безопасности компьютерных систем в США был принят стандарт TCSEC, известный также под названием «Оранжевая книга», который определил требования к средствам защиты информации, которые должны быть включены в компьютерную систему, предназначенную для обработки критичной информации. Следуя по пути интеграции, Европейские страны (Франция, Германия, Великобритания и Нидерланды) в 1991 году приняли согласованные «Критерии оценки безопасности ИТ» (ITSEC). Основное отличие «Европейских критериев» от «Оранжевой книги» заключалось в обращении значительно большего внимания на вопросы гарантированности безопасности информационных технологий, затрагивающей два аспекта - эффективность и корректность средств 30 обеспечения безопасности. Также были разработаны «Канадские критерии» (СТСРЕС), которые в отличии от «Оранжевой книги» были изначально нацелены на широкий диапазон компьютерных систем [84]. В 1990 году под эгидой Международной организации по стандартизации (ИСО) были развернуты работы по созданию международного стандарта в области оценки безопасности информационных технологий. Разработка этого стандарта преследовала следующие цели: • Унификация национальных стандартов в области оценки безопасности ИТ; •ш • Повышения уровня доверия к оценке безопасности ИТ; • Сокращения затрат на оценку безопасности ИТ; • Сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов. Новые критерии получили название «Общие критерии оценки безопасности информационных технологий» (ОК) и были призваны обеспечить взаимное признание результатов стандартизованной оценки безопасности на М мировом рынке ИТ. ОК обобщили содержание и опыт использования «Оранжевой книги», развили положения «Европейских критериев». Как показывают оценки специалистов в области информационной безопасности, таких как, Д.П.Зегжда, А.М.Ивашко [48], В.В.Липаев [66], М.Т. Кобзарь, И.А.Клайда, А.П.Трубачев [55, 56] по уровню систематизации, полноте и возможностям детализации требований, универсальности и гибкости в применении «Общие критерии» представляют наиболее совершенный из г существующих в настоящее время стандартов. Целесообразность использования основных положений и конструкций ОК при разработке комплекса нормативных документов, методического и инструментального обеспечения оценки безопасности ИТ была осознана в России, первоочередным шагом в этом направлении является принятие российского стандарта ГОСТ Р ИСО/МЭК 15408 «Критерии оценки безопасности информационных технологий» [140]. 31 Следует отметить, что до настоящего времени в России и других странах, развитие систем защиты современных информационных технологий отстает от бурных темпов создания собственно этих технологий. Как пример, можно привести важнейшее средство защиты информации от искажения — эклектронно-цифровую подпись (ЭЦП). Внедрение средств ЭЦП, например, в банковские электронные технологии произошло намного позже создания и развертывания самих этих технологий. Федеральный закон «Об электронной цифровой подписи» был разработан и принят лишь в январе 2002г., с 1 июля 2002 года принята и введена в действие новая версия стандарта ЭЦП ГОСТ РЗИ. 10-01, по своим характеристикам существенно превосходящая предыдущий стандарт. В настоящее время отечественные компании в своей деятельности в области защиты конфиденциальной информации все чаще обращаются к практике адаптации к российским условиям и применению методик международных стандартов (ISO 17799, BSI и пр.). На современном этапе в России мощный импульс в сфере ИТ-технологий, который дала Федеральная программа «Электронная Россия», постепенно переводит общество на более высокий технологический уровень, где ключевое значение имеет информация. Успешное функционирование хозяйствующих субъектов, поддержание их конкурентоспособности, как было отмечено в п. 1.1., невозможно без защиты их информационных ресурсов. Грамотная стратегия использования защиты информации для поддержки и развития бизнеса сегодня является одним из ключевых факторов обеспечения конкурентоспособности компании на рынке. В последнее время на российском рынке информационной безопасности наблюдалась положительная динамика роста объема продаж аппаратно-программных средств защиты конфиденциальной информации, а также услуг в области консалтинга и аудита информационной безопасности (рис.4) [85]. 1 32
Рис.4. Динамика рынка информационной безопасности. Отмеченные тенденции развития рынка информационной защиты и проблемы роста отечественных компаний, связанные с постоянной реструктуризацией и модернизацией производства и сбыта, заставляют российских предпринимателей заново переосмыслить стратегию и тактику существующих корпоративных систем защиты информации, разрабатывать и совершенствовать подходы к реализации этой защиты. Существенную помощь предпринимательским структурам в этом направлении оказывают фирмы, специализирующиеся в области защиты информации. Таблица 1 отражает динамику основных направлений на рынке информационной безопасности. [Данные предоставлены сотрудниками ООО ИК «Сибинтек»]. Таблица 1. Динамика основных направлений информационной безопасности
В связи с этим в настоящее время ряд ведущих отечественных компаний осознали преимущество дополнительных собственных инициатив, 33 направленных на обеспечение устойчивости функционирования корпоративных информационных систем и поддержания непрерывности бизнеса в целом, некоторые компании уже приняли собственные Концепции ИБ. Так например, по данным Cnews, российская компания «Информзащита», работающая в сфере информационных технологий, является первой по росту оборота, с показателем в 226% (при составлении рейтинга рассматривались компании с оборотом не менее 100 млн. рублей в год) [152]. И это не случайно -наряду с активным внедрением ИТ, не менее интенсивно в этой компании » , развивается сегмент IT-Security. Именно тот, кто решает проблему развития и конкурентоспособности в комплексе с информационной безопасностью и становится победителем. Среди основных тенденций в области информационной безопасности, наблюдаемых в деятельности ведущих отечественных компаний, особо можно отметить: • Уход от решения локальных задач в сторону построения комплексных М систем информационной безопасности; • Возрастание роли организационно-управленческих мер обеспечения безопасности; • Создание системы ИБ начинается с определения концепции и политики компании в области информационной безопасности; • Все большее значение приобретают вопросы тестирования и мониторинга состояния системы информационной безопасности; > • При оценке эффективности работы систем информационной безопасности все чаще применяются экономические показатели [72]. В условиях ожесточенной конкурентной борьбы на международном и отечественном рынке, когда масштабы промышленного шпионажа резко возрастают, традиционные подходы к обеспечению экономической безопасности хозяйствующих субъектов, базирующиеся на пассивной защите, требуют значительных ресурсов и не могут принципиально обеспечить требуемого уровня. В силу этого в последние несколько лет активно 34 развиваются адаптивные системы защиты, обеспечивающие активное противодействие злоумышленникам. Исходя из фундаментальных положений разработанной В.А. Герасименко [36] общей концепции защиты информации наиболее перспективной является упреждающая концепция. Основная идея которой заключается в принятии превентивных мер к поддержанию безопасности информации. Этот подход основан на анализе возможных угроз информационной системе, поиске уязвимостей, которые могут быть использованы для реализации атаки, и . , разработке соответствующих контрмер [67, с. 29]. щ Проанализировав основные мировые тенденции в области экономической безопасности применения информационных технологий, можно отметить, что в настоящее время повседневная деятельность большинства хозяйствующих субъектов во многом зависит от информационных систем. Поэтому грамотная стратегия обеспечения безопасности этих систем для поддержки и развития бизнеса сегодня является одним из ключевых факторов обеспечения ,-V конкурентоспособности субъектов предпринимательской деятельности как на внутреннем национальном, так и на мировом рынке. Сегодня понятие «обеспечение безопасности информационной системы» становится синонимом бесперебойного и устойчивого функционирования бизнеса в целом, его высокой конкурентоспособности. Наметившиеся тенденции развития отечественного рынка информационной безопасности позволяют сделать вывод о необходимости v внедрения стратегии адаптации к российским условиям и применении на практике методик международных стандартов, а также использование внутренних корпоративных методик и разработок, что несомненно выведет на качественно новый уровень эффективность экономической безопасности российского бизнеса. Наличие развитой системы информационной безопасности гарантирует жизнеспособность и конкурентоспособность любого субъекта предпринимательской деятельности. 35 1.3. Сущность и классификация признаков угроз конфиденциальности для обеспечения конкурентных преимуществ субъектов предпринимательской деятельности Предпринимательская деятельность во всех сферах неразрывно связана с получением и использованием различного рода информации. Причем в современных условиях информация представляет собой особого рода товар, имеющий определенную ценность, дающую конкурентные преимущества хозяйствующим субъектам. Для предпринимателя зачастую наиболее ценной является информация, которую он использует для достижения целей фирмы и разглашение которой может лишить его возможностей реализовать эти цели, то есть, создает реальные угрозы безопасности предпринимательской деятельности. Безусловно, не вся информация может, в случае ее разглашения, создавать эти угрозы, однако существует определенная ее часть, имеющая особую ценность для субъекта предпринимательской деятельности, которая нуждается в защите. Информация, используемая в предпринимательской деятельности весьма разнообразна. Ее можно разделить на два вида [87]: промышленная и коммерческая. К промышленной относится информация о технологии и способе производства, технических открытиях и изобретениях, "ноу-хау", конструкторская документация, программное обеспечение и т.п. Коммерческая информация - это информация о финансово-экономическом положении предприятия (бухгалтерская отчетность), кредитах и банковских операциях, о заключаемых договорах и контрагентах, структуре капиталов и планах инвестиций, стратегических планах маркетинга, анализе конкурентоспособности собственной продукции, клиентах, планах производственного развития, деловой переписке и пр. Вся эта информация представляет различную ценность для самого предпринимателя и, соответственно, ее разглашение может привести (либо не привести) к угрозам информационной безопасности различной степени 36 тяжести, даже к потере конкурентоспособности коммерческой фирмы. Поэтому информацию, используемую в процессе предпринимательской деятельности, специалисты по информационной защите - А.В. Жуков, И.Н. Маркин, В.Б. Денисов [47] предлагают разделить на три группы: • информация для открытого пользования любым потребителем в любой форме; • информация ограниченного доступа - только для органов, имеющих соответствующие законодательно установленные права (милиция, налоговая у полиция, прокуратура); • информация только для работников (либо руководителей) фирмы. Эта классификация представляется наиболее удобной в практическом плане и используется во хозяйствующих субъектах. Информация, относящаяся ко второй и третьей группам является конфиденциальной и имеет ограничения в распространении. Конфиденциальная информация - это документированная (то есть •^ зафиксированная на материальном носителе и с реквизитами, позволяющими ее идентифицировать) информация, доступ к которой ограничивается в соответствии с законодательством РФ [7, 8, 9, 11, 13]. В соответствии со «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации» (СТР-К) [20] дано определение конфиденциальной информации как информации «с ограниченным доступом, за исключением сведений, отнесенных к к государственной тайне и персональным данным, содержащейся в государственных (муниципальных) информационных ресурсах, накопленной за счет государственного (муниципального) бюджета и являющейся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской м 37 Федерации от 06.03.97 №188), защита которой осуществляется в интересах государства, а также информации о фактах, событиях и обстоятельствах частной жизни граждан, позволяющей идентифицировать личность (персональные данные)». Наряду с конфиденциальностью важными категориями информации являются также ее целостность, то есть, гарантия того, что при хранении или передаче информации не было произведено несанкционированных изменений, таких как ее уничтожение или модификация, и доступность, то есть гарантия обеспечения своевременного и беспрепятственного доступа к информации субъектов, имеющих на это надлежащие полномочия [97]. Говоря о безопасности информации с ограниченным доступом необходимо определить не только основные требования, но и классифицировать угрозы, результатом реализации которых может быть: • Утечка информации (извлечение, копирование, подслушивание); • Нарушение целостности (модификация, т.е. подделка, изменение содержания или объема информации, и уничтожение данных); • Блокирование информации (невозможность доступа к данным). Классификацию основных требований и угроз конфиденциальной информации представляется наиболее наглядно представить в виде схемы (рис.5). Рис. 5. Требования и угрозы для обеспечения информации.
38 Часть конфиденциальной коммерческой информации составляет особый блок и может быть отнесена к коммерческой тайне. Коммерческая тайна, в соответствии с гражданским законодательством РФ [1, статья 139], это информация которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель принимает меры к охране ее конфиденциальности. Следовательно, коммерческая тайна не может быть общеизвестной и общедоступной информацией, открытое ее использование несет угрозу экономической безопасности предпринимательской деятельности, потере конкурентных преимуществ, в связи с чем предприниматель осуществляет меры по сохранению ее конфиденциальности и защите от незаконного использования. По функционально-целевому признаку можно выделить следующие составляющие коммерческой тайны [51, с.89-92]: • Деловая информация (сведения о контрагентах, конкурентах, потребителях, деловых переговорах, коммерческая переписка, сведения о заключенных и планируемых контрактах); • Научно-техническая информация (содержание и планы научно-исследовательских работ, содержание "ноу-хау", рационализаторских предложений, планы внедрения новых технологий и видов продукции); • Производственная информация (технология, планы выпуска продукции, объем незавершенного производства и запасов, планы инвестиционной деятельности); • Организационно-управленческая информация (сведения о структуре управления фирмой не содержащиеся в уставе, оригинальные методы организации управления, система организации труда); • Маркетинговая информация (рыночная стратегия, планы рекламной деятельности, планы обеспечения конкурентных преимуществ по сравнению с продукцией других фирм, методы работы на рынках, планы 39 сбыта продукции, анализ конкурентоспособности выпускаемой продукции); • Финансовая информация (планирование прибыли, себестоимости, ценообразование - методы расчета, структура цен, скидки, возможные источники финансирования, финансовые прогнозы); • Информация о персонале фирмы (личные дела сотрудников, планы увеличения (сокращения) персонала, содержание тестов для проверки вновь принимаемых на работу); (/ • Программное обеспечение (программы; пароли, коды доступа к конфиденциальной информации, расположенной на электронных носителях). Раскрытие сведений, составляющих коммерческую тайну, способно привести к значительным негативным последствиям для фирмы, создать серьезные угрозы экономической безопасности как для фирмы в целом, так и для работающего в ней персонала. По оценкам экспертов, потеря лишь 'Т четверти информации, относимой к категории коммерческой тайны, обеспечивает весомые преимущества конкурентам и в течение нескольких месяцев приводит к банкротству половины фирм, допустивших утечку сведений [151]. В связи с этим, есть все основания полагать, что в России по мере развития рыночных отношений с присущими им конкуренцией и хозяйственным расчетом подходы к охране коммерческой тайны радикально изменятся. Для этого необходимо четко представлять информационные угрозы \ деятельности предпринимательских структур, результатом которых может стать разглашение коммерческой тайны и, как следствие, потеря конкурентного преимущества. Так, В.И. Ярочкиным приводятся следующие оценки угроз предпринимательской деятельности в российской экономике, сделанные на основе экспертных оценок (табл.2) [118, с. 102]. 40 Таблица 2 Экспертные оценки угроз предпринимательской деятельности в российской экономике
Однако не вся информация, которой располагает предприниматель, может быть отнесена к категории коммерческой тайны. Существует официально утвержденный перечень сведений, которые не могут составлять коммерческую тайну в РФ (Приложение 3) [12]. Соответственно, не вся информация является закрытой для внешних пользователей. Предприниматели, в плане защиты наиболее важной информации, решают сложную проблему. С одной стороны, они должны предоставить максимум информации о своей деятельности потребителям, контрагентам, кредиторам и т.п. Реклама привлекает покупателей, деловые РОССИЛСГГЛЛ 41 г;—-vr-- '.-■; связи, патенты и лицензии, "ноу-хау" - контрагентов, финансовое положение -инвесторов. С другой стороны, предприниматели должны оградить названные группы лиц, а также своих конкурентов от информации, утечка или разглашение которой может представлять угрозу их экономической безопасности, лишить предпринимательскую структуру конкурентного преимущества. В выборе "золотой середины", то есть определении того оптимального количества информации, которого будет достаточно для внешних . пользователей и которое не будет представлять угроз экономической щ безопасности предпринимательской деятельности и не отразится на конкурентоспособности хозяйствующего субъекта, и состоит первый шаг предпринимателей в процессе защиты информации, составляющей коммерческую тайну. Получить информацию о деятельности фирмы можно двумя способами: • законным (статьи о фирме и финансовые отчеты в открытых -*г источниках, рекламные материалы с выставок и конференций, интервью руководителей фирмы и т.д.); • незаконным, т.е. получение информации, не предназначенной для внешних пользователей, без согласия руководства фирмы, с нарушением действующего законодательства и приводящее к прямым экономическим потерям от предпринимательской деятельности, потере конкурентоспособности коммерческой фирмы , либо к упущенной выгоде. Существует большое количество способов получения информации о фирме и ее персонале. Так, например, американский журнал «Chemical engineering» опубликовал данные проведенного анкетирования 350 ведущих коммерческих фирм США. По результатам опроса чаще всего назывались 16 источников получения информации (табл. 3) [87]: 42 Таблица 3. Источники получения информации о фирме
Анализ причин потери информации в предпринимательской сфере показывает, что в действительности подавляющее большинство случаев связано с ошибками или преднамеренными действиями персонала фирмы. 43 На рис.6, приведена интересная статистика (по данным Computer Security Institute) [24]. Рис.6. Распределение потерь информации по различным причинам. Письменный опрос (анкетирование) 250 московских бизнесменов, проведенный летом 2001 года показал, что наиболее типичными формами и методами экономического шпионажа они считают следующие: (табл. 4) [Материал предоставлен сотрудниками отдела СЗИ фирмы ВИТ]. Таблица 4. Распределение ответов московских бизнесменов о наиболее типичных формах несанкционированного доступа к коммерческим секретам конкурирующих фирм
Любопытно сравнить результаты этого опроса с мнением группы экспертов стран Общего рынка за тот же год о формах и методах
44 несанкционированного доступа к коммерческим секретам конкурирующих фирм (табл.5) [134]: Таблица 5. Распределение ответов группы экспертов стран Общего рынка о наиболее типичных формах несанкционированного доступа к коммерческим секретам конкурирующих фирм
Как видно из приведенных таблиц, выводы обеих групп заинтересованных лиц поразительно близки друг другу. Что же касается условий, способствующих утечке коммерческих секретов фирм, то опрос 3-х тысяч респондентов в семи городах России, проведенный московским центром по изучению проблем недобросовестной конкуренции в 2002-м году, дал следующие результаты (табл.6) [151]: Таблица 6. Распределение ответов группы экспертов в ходе опроса, проведенного московским центром по изучению проблем недобросовестной конкуренции
Получить достоверную информацию о деятельности фирмы незаконным путем маловероятно, если фирма с пониманием относится к сохранности 45 коммерческой тайны и создания соответствующей системы защиты. Кроме того, следует учитывать мировой опыт по защите коммерческой информации. В разных странах существуют различные приоритетные направления защиты коммерческой информации (коммерческой тайны). Так, в Германии преобладают законодательные меры, в США и Франции, наряду с ними, предпочтение отдается организации собственных служб безопасности фирм, для Японии характерен корпоративный дух и долгосрочная занятость в фирме, в Великобритании защита обеспечивается договорными обязательствами [103]. Идея, что коммерческая информация является деловым капиталом, дающим конкурентное преимущество на рынке, представляет собой первооснову организации защиты коммерческой тайны в зарубежных фирмах. Поэтому в их практике особое внимание уделяется письменным обязательствам каждого сотрудника о неразглашении коммерческой тайны. Пример такого соглашения американской корпорации с персоналом приведен в приложении 4 [135]. В то же время многие российские руководители предпринимательских структур под безопасностью понимают, прежде всего, физическую защищенность, иногда включая отдельные требования информационной защиты коммерческих интересов, что не способствует решению проблем безопасности в комплексе. На основе вышеизложенных фактов и подводя итог первой главе работы, можно сделать следующие выводы: • На современном этапе развития бизнеса информационная защита играет ключевую роль в обеспечении экономической безопасности субъектов предпринимательской деятельности. Это связано со стремительным развитием и внедрением информационных технологий во все бизнес-процессы хозяйствующих субъектов и возросшей в связи с этим вероятности угроз деятельности этих объектов. • Разработка грамотной стратегии обеспечения информационной безопасности является одной из ключевых задач обеспечения 46 конкурентоспособности субъектов предпринимательской деятельности как на национальных, так и на мировых рынках. • Каждый хозяйствующий субъект должен строить свою систему защиты информации на концептуальной основе, исходя из назначения данного субъекта, его размеров, условий размещения, характера деятельности и т.д. • При разработке политики защиты необходимо исходить из детального анализа направлений деятельности хозяйствующего субъекта и комплексных требований защиты. Особенно, если структуры применяют в своей деятельности средства информатики. • Учитывая многообразие потенциальных угроз информации в системе обработки данных, сложность структуры и функций, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания системы защиты информации на основе комплексного подхода. • Начинать создание системы надо с оценки угроз информационной безопасности деятельности хозяйствующего субъекта, и уже исходя из полученных результатов анализа, принимается решение о построении всей системы защиты и выбираются необходимые средства. 47 ГЛАВА 2. МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ СОЗДАНИЯ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СУБЪЕКТОВ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ 2.1. Адаптация методологических подходов при анализе информационных рисков в современном отечественном бизнесе В процессе разработки и построения системы информационной безопасности хозяйствующего субъекта в целях обеспечения его конкурентоспособности анализ информационных рисков является необходимым и первоочередным этапом. Риск — это потенциальная возможность того, что данная угроза использует уязвимости некоторого актива, чтобы нанести потери или ущерб этому активу [92, с.48]. При проведении анализа рисков необходимо определить: • Уязвимые места в информационной системе объекта предпринимательской деятельности; л, • Существующие угрозы, их уровень; • Допустимый уровень угроз; • Комплекс мер, позволяющий снизить риски до допустимого уровня. По каждому из этих пунктов требуется проведение специальных аналитических исследований [131]. В настоящее время технологии анализа рисков в России, к сожалению, развиты слабо. Основная причина такого положения состоит в том, что в российских руководящих документах в области информационной защиты не рассматривается в должной мере аспект информационных рисков, их допустимый уровень и ответственность за принятие определенного уровня рисков. Анализ информационных рисков, как правило, выполняется формально с использованием собственных методик хозяйствующих субъектов, порой неизвестного качества. В развитых зарубежных странах вопросам анализа информационных рисков уделяется серьезное внимание: десятилетиями собирается статистика, 48 совершенствуются методики. За рубежом начали предприниматься попытки найти общие ответы на эти вопросы. Первой удачной попыткой в этой области стал британский стандарт BS 7799 «Практические правила управления информационной безопасностью» (1995 год), в котором обобщен опыт обеспечения режима безопасности в информационных системах разного профиля. Этот стандарт послужил основой для разработки нового стандарта ISO 17799, который был принят в конце 2000 года [128]. Также существуют аналогичные стандарты, в том числе германский BSI [123]. Содержание этих документов в основном относится к этапу анализа информационных рисков, на котором определяются угрозы безопасности и уязвимости информационных ресурсов, уточняются требования к режиму информационной безопасности. Несмотря на то, что некоторые показатели защищенности и требования по защите информации различаются в отечественных и зарубежных стандартах, данный вариант анализа рисков и их управления практически применим и в РФ с некоторой адаптацией к российским условиям [85]. Идеи, содержащиеся в этих документах, заключаются в следующем. Практические правила обеспечения информационной безопасности на всех этапах жизненного цикла информационной технологии должны носить комплексный характер и основываться на проверенных практикой приемах и методах. Например, в информационной технологии должны обязательно использоваться некоторые средства идентификации пользователей (сервисов), средства резервного копирования, антивирусный контроль и т.д. Режим безопасности фирмы в подобных системах обеспечивается: • На процедурном уровне — путем разработки и выполнения разделов инструкций для персонала, посвященных информационной безопасности, а также мероприятиями физической защиты; • На программно-техническом уровне - применением апробированных и сертифицированных решений, стандартного набора контрмер. 49 Существуют различные подходы к оценке информационных рисков. Выбор подхода зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности, характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер. В зависимости от уровня жесткости требований к режиму информационной безопасности, возможны два варианта проведения анализа информационных рисков: • Базовый вариант; (±. • Полный вариант. Базовый вариант анализа рисков является наименее трудоемким. Он применяется, если ценность защищаемых ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме и предполагает рассмотрение стандартного набора наиболее распространенных угроз безопасности без оценки вероятностей этих угроз. Полный вариант анализа рисков применяется в случае повышенных f? требований в области ИБ. В отличие от базового варианта, в том или ином виде производится оценка ценности ресурсов, характеристик рисков и уязвимостей ресурсов. Как правило, проводится анализ стоимость/эффективность нескольких вариантов защиты. Минимальным требованиям к режиму информационной безопасности объекта соответствует базовый уровень ИБ. Обычной областью использования этого уровня являются типовые проектные решения. Существует ряд , стандартов и спецификаций, в которых рассматривается минимальный ' ,0 (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т.д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно. В случаях, когда нарушения режима безопасности чреваты тяжелыми последствиями, базовый уровень требований к режиму ИБ недостаточен. При 50 повышенных требованиях к режиму ИБ применяется полный вариант анализа рисков. Для того чтобы сформулировать дополнительные требования, необходимо: • определить ценность ресурсов; • к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы; • оценить вероятность угроз; • определить уязвимость ресурсов; • предложить решение, обеспечивающее необходимый уровень ИБ. При разных вариантах оценки рисков уровня ИБ используются различные подходы к методологии и инструментарию анализа. Применение каких-либо инструментальных средств не является обязательным, однако, их использование позволяет уменьшить трудоемкость проведения анализа рисков и выбора контрмер. Использование современных зарубежных методик и специализированного программного обеспечения позволяет выполнить анализ быстро и качественно. В настоящее время на рынке существует около двух десятков программных продуктов для анализа рисков: от простейших, ориентированных на базовый уровень безопасности, до сложных и дорогостоящих продуктов, позволяющих провести полный анализ рисков и выбрать комплекс контрмер требуемой эффективности. Примеры программных продуктов, наиболее часто используемых российскими фирмами для анализа рисков различных уровней, и их характеристики приведены в приложении 5 [143]. Для того чтобы обеспечить базовый уровень безопасности, достаточно проверить выполнение требований соответствующего стандарта. Программные продукты, предназначенные для этой цели, позволяют сформировать список вопросов, касающихся выполнения этих требований. На основе ответов генерируется отчет с рекомендациями по устранению выявленных недостатков [86]. 51 Программные средства, позволяющие провести полный анализ рисков, строятся с использованием структурных методов системного анализа и проектирования и представляют собой инструментарий для: • Построения модели информационной системы предприятия с точки зрения информационной безопасности; • Оценки ценности ресурсов; • Составления списка угроз и уязвимостей, оценки их характеристик; • Выбора контрмер и анализа их эффективности; {ц • Анализа вариантов построения защиты; • Документирования (генерации отчетов). Обязательным элементом этих продуктов является база данных, содержащая информацию по инцидентам в области ИБ, позволяющая оценить риски и уязвимости, эффективность различных вариантов контрмер в определенной ситуации. Один из возможных подходов к разработке подобных методик состоит в 77 накоплении статистических данных о реально случившихся происшествиях, анализе и классификации причин, выявлении факторов информационного риска. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах. Но существуют определенные сложности в реализации этого подхода. Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области, во-вторых, применение этого подхода оправдано далеко не 4э всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход будет оправдан. Если система сравнительно невелика, использует только новейшие элементы технологии (для которых пока нет достоверной статистики), оценка рисков и уязвимостей может оказаться недостоверной. 52 Альтернативой статистическому подходу является подход, основанный на анализе особенностей технологии. Примером может служить германский стандарт BSI с обширным каталогом угроз и контрмер [133]. Однако, такой подход назвать полностью универсальным нельзя, так как темпы технологического прогресса в области информационных технологий настолько высоки, что имеющиеся оценки относятся к уже устаревшим или устаревающим технологиям. Для новейших технологий таких оценок пока не существует. В российской практике наиболее часто используется подход, основанный на оценке текущей ситуации в области информационной безопасности на предприятии. В этом подходе существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод достаточно прост, требует намного меньших капитальных вложений, что можно отнести к несомненным достоинствам, но и •# обладает меньшими возможностями. Он основан на известной схеме: "Вы — злоумышленник. Ваши действия?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, возможно ли такая атака со стороны реального злоумышленника. Недостатки данного метода аналогичны перечисленным выше недостаткам, присущим как методу накопления статистических данных об инцидентах, так и методу анализа технологий. Метод "сверху вниз" представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является определение - какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится классификация всех информационных 53 объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности). Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие конфиденциальной информации или иная атака каждому конкретному информационному объекту. Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки". Обычно считается, что риск тем выше, чем больше вероятность происшествия и тяжесть последствий, т.е. ущерб. Общая идея выражается следующей формулой: РИСК = Рпроисшествия * УЩЕРБ (1) Это одна из самых простых схем вычисления рисков. Данная формула применима, если переменные являются количественными величинами. В этом случае информационный риск - это оценка математического ожидания информационных потерь. Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей: Таблица 7. Определение величины ущерба
54 Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей: Таблица 8. Определение вероятности атаки
Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал. Оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы. Следующим этапом составляется таблица рисков предприятия. Она имеет следующий вид: Таблица 9. Определение рисков предприятия
На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением «7». Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка - это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в приведенном примере 7*2=14) с интегральным риском 55 (ячейка "Итого"). Если интегральный риск превышает допустимое значение, значит, в системе набирается множество мелких погрешностей в области безопасности, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дают самый значительный вклад в значение интегрального информационного риска и производится попытка их уменьшить или устранить полностью. Исходя из того, что вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Соответственно, из формулы (1), риск можно определить следующим образом:
Но нередко возникают ситуации, когда переменные можно представить только качественными величинами, метрическая операция умножения не определена. В таких ситуациях, по нашему мнению, целесообразно рассмотреть зависимость значения информационного риска от определенных факторов, представленных качественными величинами. В наиболее простом варианте предлагается определить три шкалы качественных значений: Таблица 10. Субъективная шкала вероятностей событий
56 Таблица 11. Субъективная шкала серьезности происшествий (ущерба)
Для оценки рисков определяется шкала из трех значений: • Низкая степень риска - HP • Средняя степень риска - СР; • Высокая степень риска - (Ц. Информационный риск, связанный с определенным событием, зависит от двух факторов и может быть определен, как показано в табл. 12. Таблица 12. Определение риска в зависимости от двух факторов
Шкалы факторов информационного риска и сама таблица могут быть определены иначе, могут иметь другое число градаций в зависимости от 57 определенных требований компании. При разработке (использовании) различных методик оценки рисков необходимо учитывать ряд особенностей: • Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки; • Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков. Подобная методика может широко применяться при проведении анализа информационных рисков базового уровня. Простота расчетов является несомненным ее преимуществом. Но при повышенных требованиях к уровню информационной безопасности субъекта, когда требуется применение полного варианта анализа рисков данная методика явно не достаточна. В 1985 году Центральное агентство по компьютерам и телекоммуникациям (ССТА) Великобритании начало исследования существующих методов анализа ИБ для того, чтобы рекомендовать методы, пригодные для использования в различных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассматриваемых методов не обеспечивал комплексную оценку рисков ИБ. Поэтому был разработан новый метод, соответствующий требованиям ССТА. Он получил название CRAMM-метод ССТА анализа и контроля рисков [139]. Затем появилось несколько версий метода. Одна из версий, «коммерческий профиль» является коммерческим продуктом (CRAMM 4.O.). Целью разработки данного метода являлось создание формализованной процедуры, позволяющей: • Убедиться, что требования, связанные с безопасностью, полностью проанализированы и документированы; • Избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков; 58 • Оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем; • Обеспечить проведение работ в сжатые сроки; • Автоматизировать процесс анализа требований безопасности; • Предоставить обоснование для мер противодействия; • Оценивать эффективность контрмер, сравнивать различные варианты контрмер; • Генерировать отчеты. В основу CRAMM-метода положена концепция анализа рисков, включающая в себя идентификацию и вычисление уровней рисков на основе оценок, присвоенных информационным ресурсам, угрозам и уязвимостям ресурсов. Контроль рисков состоит в идентификации и выборе контрмер, позволяющих снизить риски до приемлемого уровня. Применение данного метода, основанного на концепции анализа информационных рисков, позволяет убедиться, что защита охватывает всю систему и существует уверенность в том, что: • Уязвимости ресурсов, риски, угрозы определены и их уровни оценены; • Контрмеры эффективны; • Расходы, связанные с ИБ, оправданы. Исследование информационной безопасности всего объекта с помощью CRAMM-метода проводится в три этапа. Этап 1: анализируется все, что касается идентификации и определения ценности ресурсов. На этом этапе: • определяются границы исследования, • собирается первичная информация, • устанавливаются ответственные за физические, информационные и программные ресурсы, 59 • проводится идентификация ресурсов, содержащихся внутри границ системы. Затем строится модель информационной системы с точки зрения ИБ. Определяется ценность ресурсов - этот шаг является обязательным в полном варианте анализа информационных рисков. Ценность физических ресурсов в данном методе определяется ценой их восстановления в случае разрушения. Для оценки возможного ущерба, целесообразно, по нашему мнению, использовать некоторые из следующих параметров: • Ущерб репутации организации; • Нарушение действующего законодательства; • Ущерб для здоровья персонала; • Ущерб, связанный с разглашением персональных данных отдельных лиц; • Финансовые потери от разглашения информации; • Финансовые потери, связанные с восстановлением ресурсов; • Потери, связанные с невозможностью выполнения обязательств; • Дезорганизация деятельности. Для данных выбираются применимые к данной информационной системе критерии и дается оценка ущерба по шкале с определенными значениями. Далее рассматриваются основные сценарии, приводящие к различным негативным последствиям, описываемым в терминах выбранных параметров. На основании подготовленных отчетов, если ценность информационных ресурсов низкая, можно использовать базовый вариант защиты. В таком случае исследователь может сразу перейти от этапа 1 к этапу 3. Однако для адекватного учета потенциального воздействия какой-либо угрозы, уязвимости или комбинации угроз и уязвимостей, которые имеют высокие уровни, следует использовать сокращенную версию этапа 2. Это позволит разработать более эффективную схему защиты. Этап 2: рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. На этом этапе: 60 • Оценивается существующий уровень угроз и уязвимостей; • Вычисляются уровни информационных рисков; • Анализируются результаты. Для определения зависимости всей системы от групп ресурсов производится группировка ресурсов с точки зрения угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи, кабинеты руководителей и т.д.). ^ч Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов. Программное обеспечение CRAMM для каждой группы ресурсов и каждого типа угроз генерирует список вопросов, допускающих однозначный ответ. Примеры оценки угроз и уязвимостей на основе косвенных факторов приведены в приложении 6 [133]. На основе этой информации рассчитываются уровни информационных рисков по качественной (бальной) шкале с несколькими градациями. (И Полученные уровни угроз, уязвимостей и рисков анализируются, после этого можно переходить к третьему этапу. Этап 3: поиск адекватных контрмер. На этом этапе CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. На этой стадии возможно провести сравнительный анализ эффективности различных вариантов защиты. Рассмотрев подробно механизм работы CRAMM-метода, можно сделать вывод, что на сегодняшний день это наиболее совершенный и простой в практическом применении аппарат выявления и анализа рисков информационных систем и его внедрение на российских субъектах предпринимательской деятельности несомненно должно стать следующим шагом в совершенствовании системы информационной безопасности данных предприятий, приобретении ими дополнительных конкурентных преимуществ. Не смотря на существенную разницу в подходах к методологии обеспечения базового и повышенного уровней безопасности информации, 61 можно говорить о единой политике безопасности информационной системы предприятия, исходя из определения требований к ее режиму (рис.7.).
Рис.7. Определение политики информационной безопасности исходя из требований к режиму ИБ. Проведя анализ выше изложенных методик определения рисков информационной безопасности предприятия, трудно отдать предпочтение какой-либо одной из них. Каждая методика наряду с несомненными достоинствами имеет определенные недостатки при ее практическом применении, выражающиеся либо в существенных дополнительных капитальных вложениях либо в недостаточных возможностях для проведения полного анализа рисков ИБ. Целесообразнее, по нашему мнению, использовать комбинированный подход, применяя простейшие методики расчета величины риска и базовую защиту в масштабе всей организации, и дополнительно использовать полный детальный анализ рисков, чтобы защитить определенные наиболее важные 62 элементы информационной системы при высоком риске, критичном для деловой деятельности хозяйствующего субъекта. Риск является чистым негативным результатом проявления уязвимости объекта с учетом как вероятности, так и последствий свершения события. На практике важно не только выявить потенциальные риски информационных систем, но и уметь управлять этими рисками. Управление риском - это процесс выявления риска, оценки риска и принятия мер по его снижению до приемлемого уровня. Важно отметить, что правильная оценка и управление информационными рисками позволяет российским компаниям минимизировать возможные негативные последствия, связанные с использованием информационных технологий для поддержки основных бизнес-процессов предприятия, избежать раскрытия коммерческой тайны и потери конкурентоспособности [85]. Суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки. Таким образом, управление рисками включает в себя два вида деятельности: • оценку (измерение) рисков; • выбор эффективных и экономичных защитных регуляторов. Проведение политики информационной безопасности в области управления информационными рисками требует использования трех видов регуляторов: • правовых; • управленческих; • программно-технических. Важно выбрать разумную методологию оценки рисков. Целью оценки является получение ответа на два вопроса: приемлемы ли существующие информационные риски, и если нет, то какие защитные средства экономически выгодно использовать. Процесс управления рисками считаем рационально подразделить на несколько этапов. Предлагаемая нами модель процесса управления рисками (рис.8) отражает последовательность и взаимодействие отдельных этапов.
Рис.8. Модель процесса управления рисками. Этапы 6 и 7 относятся к выбору защитных регуляторов, остальные (этапы 1-5, 8) - к оценке рисков. Уже перечисление этапов показывает, что управление рисками - процесс циклический. По существу, последний этап (этап 8) - это оператор конца цикла, предписывающий вернуться к началу. Выбор методологии (этап 2) зависит от жесткости требований, предъявляемых к безопасности информационных ресурсов. В зависимости от выбранной методологии оценки информационных рисков применяется базовый вариант проведения анализа (этап 3) или полный вариант (этап 4). Риски нужно контролировать постоянно, периодически проводя их переоценку. Повторный анализ рисков позволяет уточнить оценки вероятности их проявления и последствий. Нужно отметить, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность. Регулярные отчеты о 64 наиболее существенных рисках позволяют повысить качество управления всей системой информационной безопасности субъекта предпринимательской деятельности. На основе вышесказанного можно сделать вывод, что для управления рисками в отечественных компаниях целесообразно использовать комплексный подход в выборе методики. Однако на практике очень часто задача защиты информационных ресурсов предприятий малого и среднего бизнеса строится исходя из бюджетных ограничений. При этом никто не ставит задачи управлением информационными рисками, из-за чего запланированный на информационную безопасность бюджет тратится не на предупреждение атак и покрытие рисков, а на другие нужды. Но информационной безопасностью необходимо управлять и, принимая во внимание все аспекты, комплексно рассматривать проблемы информационной безопасности субъектов предпринимательской деятельности. Также нужно учитывать, что многие риски не могут быть уменьшены до пренебрежимо малой величины. На практике, после принятия стандартного набора контрмер, ряд рисков уменьшается, но остается все еще значимым. Поэтому необходимо знать остаточную величину риска. В результате выполнения этапа для принимаемых во внимание рисков должна быть предложена стратегия управления. На основе которой разрабатывается комплекс мер, структурированных по уровням (правовому, организационному, программно-техническому) и отдельным аспектам информационной безопасности. Предложенный комплекс строится в соответствии с выбранной стратегией управления рисками. После определения стратегии управления риском необходимо выявить присущие данной организации риски на основе исходных данных и разработать подходы для их количественной оценки: какие методы должны использоваться, на каких данных будут основываться расчеты и т. д. Схема возможной технологии управления рисками приведена на рис.9.
Рис.9. Возможная технология управления рисками в области информационной безопасности на предприятии. 66 Однако необходимо учитывать, что открытые документы чаще всего не содержат ряда важных деталей, которые нужно обязательно конкретизировать при разработке применяемых на практике методик. Конкретизация этих деталей зависит от уровня зрелости организации, специфики ее деятельности. На основе построенной модели управления рисками можно обоснованно выбрать систему контрмер, снижающих риски информационной системы коммерческого предприятия до допустимых уровней и обладающих наибольшей ценовой эффективностью, для чего необходимо определить экономический эффект от использования различных вариантов защиты. 2.2. .Разработка методологии расчета показателей экономической эффективности системы информационной безопасности субъектов предпринимательской деятельности При решении проблемы обеспечения безопасности предпринимательской деятельности внедрение систем защиты информации коммерческих фирм дает несомненные преимущества в бизнесе и его конкурентоспособности. Оценить эти преимущества можно проанализировав эффект от применения этих систем. Обычно, когда рассматривается вопрос об эффективности какой-либо деятельности, прежде всего имеется в виду адекватность достигнутых в процессе ее осуществления результатов намеченным целям, степень приближения результата к цели с одновременным учетом производственных затрат (времени, материальных и денежных средств, трудовых ресурсов и т.д.) С учетом этого положения критерием эффективности работы системы информационной безопасности субъекта предпринимательской деятельности будет соотношение достигнутого результата, выражающегося в обеспечении защиты от различного рода угроз коммерческим интересам предприятия, к поставленной цели, то есть, поддержанию устойчивого функционирования информационной среды, сохранению коммерческой тайны, сохранению и повышению конкурентоспособности фирмы на внутреннем и мировом рынках. 67 Известные специалисты в области информационной защиты С.Ф.Алаухов и ВЛ.Коцеруба [22] определяют эффективность системы информационной безопасности как показатель выполнения системой своей целевой функции по обеспечению защиты информационной среды объекта от внешних и внутренних угроз. Проведенный анализ литературы [23, 58, 81, 90, 131] дает основание сделать вывод, что среди существующих подходов к оценке эффективности системы информационной безопасности можно выделить две основные группы. Первая группа отражает технический подход к оценке эффективности, но при этом, как правило, игнорируется экономическая сторона. Во второй группе делаются попытки учесть экономические показатели, но единый подход к оценке экономической эффективности системы информационной безопасности коммерческого предприятия на сегодняшний день отсутствует. В последнее время при оценке эффективности работы систем информационной безопасности все чаще возникает необходимость применения экономических показателей [72]. Если оперировать экономическими категориями, то оценка эффективности системы экономической безопасности хозяйствующего субъекта является результатом сопоставления затрат на создание и внедрение данной системы и преимуществ, которые получит субъект предпринимательской деятельности после внедрения системы. То есть, показатель того, на сколько оперативно благодаря системе безопасности будет возможно предотвращать угрозы и устранять ущербы от негативных воздействий на различные аспекты хозяйственно-финансовой деятельности коммерческого предприятия. Причем, измерять преимущества от внедрения системы информационной безопасности наиболее рационально по «экономической» шкале, используя такие категории, как прибыль или доход, выраженные в денежных единицах за определенный период. Ключевым условием полезности данной оценки является возможность выбора варианта 68 защиты через сравнение интегральных показателей, соответствующих разным вариантам [104]. Экономическая наука разработала, а хозяйственная практика опробировала общую методологию оценки уровня экономической безопасности организации [31]. Его предлагается определять как совокупный критерий, получаемый суммированием отдельных функциональных критериев, которые определяются при помощи сравнения возможной величины ущерба предприятия и эффективности способов по предотвращению этого ущерба. Совокупный критерий экономической безопасности какого-либо субъекта хозяйствования КЭб можно рассчитать по формуле (4):
где к; - значение частных критериев оценки экономической безопасности по основным ее функциональным составляющим; dj - удельный вес i-ой функциональной составляющей экономической безопасности; i - количество функциональных составляющих экономической безопасности предприятия (=1,2...п). Частные критерии оценки экономической безопасности ( kj) могут быть рассчитаны как отношение совокупного ущерба по i-ой составляющей экономической безопасности предприятия к сумме затрат на реализацию мер по предотвращению ущербов от негативных воздействий по данной функциональной составляющей:
где СУ{ - совокупный ущерб по i-ой функциональной составляющей экономической безопасности предприятия; 69 3; - суммарные затраты на реализацию мер по предотвращению ущербов по i-ой функциональной составляющей экономической безопасности. Несомненно, что задача достоверной оценки всех возможных понесенных и предотвращенных ущербов по каждой из реализуемых мер является крайне сложной. Как показывает практика, в случае использования информационных технологий расчеты эффекта принятых мер существенно сложны и запутанны, и тому есть много причин. Одна из основных причин состоит в том, что чрезвычайно трудно определить стоимость информации и ее преобразования. Кроме того, информационные технологии, как правило, не производят оконечный продукт, а лишь участвуют в бизнес-процессе. Еще одна причина -сложность сравнения состояний до и после внедрения информационной защиты: как правило, учет разнообразных характеристик (времени работы, частоты сбоев, эффективности функционирования, обеспечения отражения угроз и т.д.) в применении информационных технологий затруднен и в хозяйствующих субъектах ведется далеко не всегда. Однако выше описанная методика сопоставления различных аспектов экономической безопасности хозяйствующего субъекта по однородному критерию оценки ущербов, измеряемому в тех же стоимостных единицах, что и затраты на реализацию принимаемых мер, по нашему мнению, является наиболее приемлемой при расчете получаемого эффекта от мер по обеспечению ИБ предпринимательской структуры, как одной из функциональных составляющих экономической безопасности бизнеса. Влияние всех факторов, как внутренних, так и внешних, на экономическую безопасность коммерческой фирмы проявляется в изменении показателей ее деятельности. В.И.Королев и Е.В.Морозова [52] уровень экономической безопасности представили в виде функции многих переменных: Уэб = a,* f(x,)+ a2*f(x2)+... +ai*f(xn) (6) где УЭб - уровень экономической безопасности; 70 xi, X2, ...xn - основные показатели деятельности предприятия; f(xi), f(x2),... f(xn) - локальные функции зависимости уровня экономической безопасности от соответствующих показателей деятельности предприятия; аь а2, ... а; - удельный вес значимости каждого показателя для обеспечения экономической безопасности предприятия; i - кол-во показателей. Однако в этом случае проблема оценки экономической безопасности коммерческой фирмы состоит в том, что не все факторы, влияющие на показатели, детерминированы и имеют количественные измерители. К тому же, иногда, получить достоверную информацию о них весьма проблематично. Поэтому другой подход можно условно назвать «неэкономическим», поскольку при оценке преимуществ, которые дает применение системы информационной защиты, используются неэкономические показатели. -$ В этом случае безопасность предпринимательства может оцениваться с помощью различных качественных критериев. Во-первых, ее можно оценить с организационной стороны. При этом предполагается сохранение как самой фирмы, так и ее организационной целостности, нормальное функционирование основных подразделений (отделов, служб и т.п.). Во-вторых, это оценка с правовой стороны. Имеется в виду постоянное обеспечение соответствия деятельности фирмы действующему законодательству, что выражается в отсутствии претензий со стороны правоохранительных органов или контрагентов к фирме; отсутствие потерь от сделок с внешними партнерами вследствие нарушения последними законодательства (умышленно либо неумышленно). Это обеспечивается юридической экспертизой всех осуществляемых операций и сделок, заключаемых договоров и выполнением требований по лицензированию и сертификации [6, 10, 14]. Деятельность фирм, оказывающих услуги в области 71 информационной безопасности, должна быть лицензирована, а средства защиты и программные продукты строго сертифицированы. В-третьих, оценка со стороны внутренней информации фирмы. Безопасность может быть оценена как сохранение состояния защищенности внутренней конфиденциальной информации от утечки или разглашения в различных формах. В четвертых, безопасность предпринимательской структуры можно оценить с технологической стороны. Имеется в виду использование передовых и надежных технологий обработки и сохранности информации, сюда можно отнести не только технические средства, программные продукты, а также высококвалифицированный персонал. В-пятых, оценка безопасности коммерческой фирмы с экономической стороны. Это проявляется в стабильных или имеющих тенденцию к росту основных финансово-экономических показателях деятельности фирмы (таких как собственный капитал, объем годового оборота, прибыль, рентабельность). В них отражаются общие результаты обеспечения безопасности с организационной, правовой, информационной и собственно экономической сторон. Сюда могут входить такие показатели, как отсутствие потерь, связанных с производственным шпионажем, с недобросовестными сотрудниками, с имиджем фирмы, с воздействием различного рода преднамеренных и непреднамеренных угроз. Таким образом, в наиболее общем виде показателем эффективной работы системы безопасности фирмы является сохранение ее как целостного структурного образования и юридического лица и устойчивые (либо растущие) значения основных финансово-экономических показателей конкурентоспособности на внутреннем и мировом рынке. Применительно же к конкретной стороне деятельности фирмы, могут использоваться специфические показатели эффективности ее безопасности. Наиболее важное значение для субъекта предпринимательской деятельности приобретают угрозы экономической безопасности, поскольку все 72 потери (организационные, информационные, материальные, имиджа фирмы) в конечном счете выражаются именно в экономических потерях, то есть потерях финансовых средств (и все прочие угрозы в основе имеют, как правило, экономические мотивы). К количественной оценке информационных угроз существуют различные подходы. Наиболее простая методика оценки ущерба от возникающих угроз предлагается В.В. Шлыковым [112]. Методика основана на расчете коэффициента ущерба Ку, величина которого позволяет принять решение о более эффективной защите собственных информационных интересов. Для расчета коэффициента ущерба используются следующее соотношение действительной величины потерь информации и собственных информационных ресурсов предприятия (фирмы): Ку = ДВП/Р (7) где Ку - коэффициент ущерба; ДВП - действительную величину потерь; Р - объем собственных ресурсов. В свою очередь действительная величина потерь (ДВП) характеризуется суммой следующих величин: ДВП = ФУ + Зсу + Зву (8) где ФУ - фактические убытки; Зсу - затраты на снижение убытков; Зву - затраты на возмещение убытков. На практике применительно к специфике деятельности предпринимательской структуры разрабатывается специальная шкала значения коэффициента ущерба, и в соответствии с фактическими и нормативными 73 значениями этого показателя делается оценка эффективности информационной системы безопасности от разного рода угроз. По нашему мнению, разумным компромиссом, подразумевающим необходимость учета экономического (финансового) и так называемого «неэкономического» аспекта в критерии эффективности применения системы информационной защиты, можно считать формализацию критериев эффективности в координатах «затраты-преимущества», где под преимуществами понимается совокупность показателей, как экономических, так и качественных, выраженных в определенной шкале баллов. Ключевым здесь является то, что «преимущество» - это составной интегральный показатель, который формируется в результате учета разнородных эффектов, значения которых неравноценны, а единицы измерения несовместимы. Поэтому условием практической применимости такого подхода является наличие методики приведения значений различных показателей к единой шкале баллов с учетом коэффициентов значимости каждого показателя. Это связано с тем, что на каждом конкретном коммерческом предприятии весовая составляющая коэффициентов значимости определенных показателей различна, зависит от специфики деятельности конкретной фирмы и не может быть универсальна по своей сути. Максимальную значимость для одних предпринимательских структур имеет технологический процесс, для других — сохранность мат.обеспечения, для третьих — целостность технических средств. Если такая методика имеется на предприятии, то определение эффективности от использования системы информационной безопасности упрощается. Зная значение интегрального преимущества П; по i-му варианту защиты и совокупные траты 3; для реализации данного варианта, можно для каждого варианта Bj рассчитать отношение, характеризующее значение преимущества на единицу затрат: В,_ПА (9) 74 где Bj - значение критерия преимущества экономической безопасности по i-му варианту защиты; Ц - значение интегрального преимущества по i-му варианту защиты; 3j - совокупные затраты для реализации i-ro варианта защиты. В свою очередь, значение интегрального преимущества по i-му варианту защиты можно представить в следующем виде:
где П|фин и П;кач - значения финансового и качественного критерия преимущества экономической безопасности по i-му варианту защиты; Kj - коэффициент значимости качественного показателя преимущества по i-му варианту защиты; ITj - значение интегрального преимущества по i-му варианту защиты. Выражение (9) можно рассматривать как целевую функцию увеличения прибыли и уменьшения затрат, очевидно, что данную функцию следует максимизировать:
Оптимально реализованная система информационной безопасности на практике дает положительный синергический эффект, то есть сумма свойств системы, в нашем случае - интегральное преимущество от применения i-ro варианта защиты будет выше суммы свойств ее компонентов, то есть суммы отдельных значений показателей преимуществ (финансовых и качественных) по i-му варианту защиты. Во многих отношениях затраты на создание и внедрение системы информационной безопасности на предприятии сходны с инвестициями, поскольку они связаны с вложением средств, риском и получением прибыли. Существенным отличием является то, что под прибылью в данном случае 75 следует понимать не конкретный поток финансовых ресурсов, а возможное уменьшение потерь от действия дестабилизирующих факторов [108]. Величина затрат на реализацию защиты напрямую связана с величиной предполагаемых потерь в последствии реализации угроз, то есть, расчет абсолютных количественных показателей неразрывно связан с оценкой информационного риска и затрат на уменьшение риска (п.2.1.). Как отмечалось ранее, потери в предпринимательской деятельности могут носить различный характер: организационный, информационный, технологический, экономический и т.д. Это потеря свойств информации, вычислительных, информационных ресурсов, финансовых и прочих активов, а также имиджа фирмы и доверия между партнерами. Причем они вытекают друг из друга, и потери на одном уровне влекут за собой потери на следующих уровнях. При определении величины потерь следует принимать во внимание ресурсы, на которые могут быть совершены покушения или которые могут быть утеряны полностью или частично (это должны определить и дать стоимостную оценку тому или иному ресурсу только собственники информации), а также возможность восстанавливаемости ресурса в исходное состояние. Исходя из основных принципов безопасности: конфиденциальности, целостности и доступности ресурсов, необходимый уровень целостности и доступности восстанавливается посредством использования специальных методов и средств (то есть, за счет дополнительных затрат), то, в свою очередь, первоначальный уровень конфиденциальности практически не восстанавливается. К примеру, в случае кражи информационных ресурсов или услуг, если их можно восстановить (то есть установить виновника и получить соответствующую компенсацию), величина потерь равна затратам на восстановление. В случае, когда это не удается сделать, величина потерь равна стоимости похищенного. При исследовании потерь следует выделить следующие разновидности: - Совокупные потенциальные потери без использования системы информационной безопасности, которые определяются ценностью активов фирмы; - Возможные реальные потери при использовании системы защиты. Этот тип потерь является расчетным. Тогда преимущество от использования системы безопасности, выраженное в сохраненной стоимости (в дальнейшем - эффективная стоимость СЭфф). или разница между величиной потенциальных потерь без использования системы информационной безопасности и расчетной величиной реальных потерь при использовании системы защиты будет иметь вид:
где СЭфф. - эффективная стоимость; Сб/сиб. - стоимость совокупных потенциальных потерь без использования системы информационной безопасности; Ссиб. - стоимость реальных потерь при использовании системы информационной безопасности. Исходя из формулы (12) можно вычислить коэффициент уменьшения потенциальных потерь Кугш., как отношение между показателем уменьшения потерь, то есть эффективной стоимостью, и величиной возможных потерь, которые могут быть в случае не использования системы информационной безопасности:
где Купп. - коэффициент уменьшения потерь, характеризующий на сколько система защиты информации уменьшает совокупные потенциальные потери. 77 Качественно и полно проведенный анализ рисков экономической безопасности фирмы (п.2.1.), например с использованием CRAMM-метода, позволяет провести сравнительный анализ эффективности различных вариантов защиты, выбрать адекватные контрмеры и на основе этого построить наиболее оптимальную систему защиты информации. Такие критерии эффективности системы экономической безопасности предприятия, как результативность, действенность, экономичность, позволяют судить о ней только в общей форме. Поэтому считаем, что конкретно оценить практические результаты от функционирования системы ИБ помогает разработка и использование устойчивого, постоянного показателя «эффективность-стоимость» инвестиций в систему информационной безопасности, который можно определить по следующей формуле: Кэ-с = (Сб/Сиб. - Ссиб.) / (Зк + Зп + Зв) = Сэфф. / (Зк + Зп + Зв) (14) где Кэ.с - показатель «эффективность-стоимость»; Сб/сиб. - стоимость совокупных потенциальных потерь без использования системы информационной безопасности; ССиб. - стоимость реальных потерь при использовании системы информационной безопасности; СЭфф. - сохраненная стоимость информационных ресурсов; Зк - капитальные затраты на создание и внедрение системы информационной безопасности; Зп - постоянные затраты на эксплуатацию и поддержку системы информационной безопасности; Зв - вероятная величина затрат на восстановление нормальной работоспособности информационных ресурсов. Очевидно, значение показателя «эффективность-стоимость» будет максимальным при минимальных затратах и максимальной эффективной стоимости, то есть при максимально сохраненной стоимости ресурсов. 78 К показателям капитальных затрат на создание системы информационной безопасности можно отнести затраты на проектирование системы, затраты на программно-технические меры защиты, затраты на организационные меры защиты, затраты на монтажные работы, затраты на внедрение системы информационной защиты, затраты на первоначальное обучение персонала и др. К показателям постоянных затрат на эксплуатацию и поддержку системы информационной безопасности относятся затраты на управление паролями и другими операциями по управлению системой разграничения доступа, постоянные затраты на поддержку требуемого уровня избыточности, затраты на охрану объекта, прямые потери из-за уменьшения производительности информационной системы предприятия в связи с использованием системы защиты информации, затраты на аутентификацию (проверку подлинности субъекта), идентификацию (присвоение имени субъекту или объекту) и регистрацию входа в информационную систему, затраты на обучение и переподготовку персонала и др. Вероятная величина затрат на восстановление нормальной работоспособности ресурсов рассчитывается на основе проведенного анализа рисков, сюда относятся затраты, необходимые для ремонта, замены или восстановления утраченных информационных ресурсов, исходя из потраченного времени, сложности работ и стоимости материалов. Эти затраты носят случайный характер и зависят от объема поврежденных ресурсов. Принимая во внимание, что в данном случае наличие риска вносит неопределенность в каждую конкретную ситуацию, важно рассмотреть вопросы, связанные с критериальностью определения риска. Различают несколько критериев, по которым могут приниматься решения в условиях неопределенности с применением математических методов [39]. В данном случае наиболее подходящим является критерий минимакса, оценивающий альтернативы и учитывающий исключительно наихудший результат из всех возможных исходов. Принимается та альтернатива, которая ведет в случае наихудшего исхода к наилучшему результату: 79 (15) где fifo) - значение критерия для i-ой альтернативы; Гу - исход при выборе i-ой альтернативы и наступлении j-ro варианта обстановки. Это самый пессимистичный из всех критериев принятия решения, его обычно применяют, когда стремятся избежать малейшего риска. Показатели затрат в выражении (14) рассчитываются по определенным методикам. Пример предлагаемой нами методики расчета некоторых показателей затрат при определении показателя «эффективность-стоимость» приведен в приложении 7. Необходимо отметить, что чем меньше затраты на организацию защиты, тем выше риск потери информации. Зависимость между затратами на обеспечение информационной безопасности и величиной информационного риска представлена рис. 10.
Рис.10. Зависимость «затраты-риск» при обеспечении информационной безопасности. где 3 -совокупные затраты на обеспечение информационной безопасности; 80 Р - интегральный показатель информационного риска. Исходя из теории экономики [70, 107] можно воспользоваться понятием эластичности для количественного анализа зависимости между затратами на обеспечение информационной защиты и риском ресурсов. Эластичность риска по затратам на обеспечение безопасности данных показывает чувствительность риска к изменению величины затрат на обеспечение защиты ресурсов, то есть, насколько изменится уровень риска при изменении затрат на обеспечение информационной безопасности на 1%. Эластичность определяется как отношение процентного изменения величины риска к процентному изменению затрат: (Р2-РХ)1Р АР 3 v ' где A3 = Зг - 3i - изменение затрат на обеспечение безопасности; др = р2 _ Pj . изменение риска при изменении затрат на обеспечение безопасности. В случае, когда Э = 1, можно говорить об оптимальном уровне риска. В случае, когда Э < 1, каждая дополнительная единица средств, потраченная на систему информационной безопасности, приводит к увеличению эффективной стоимости более, чем на одну единицу, то есть рентабельность затраченных средств больше нуля. В случае, когда Э > 1, каждая дополнительная единица средств, потраченная на систему информационной безопасности, приводит к увеличению эффективной стоимости меньше, чем на единицу, то есть рентабельность затраченных средств ниже нуля. Исходя из экономических положений Г105] схему действия закона взаимосвязи затрат на защиту информационных ресурсов и стоимости ущерба можно представить в виде пересечения графиков «затрат на защиту» и «затрат на возмещение ущерба» в координатах «уровень защищенности - уровень 81 затрат». Точка пересечения кривых определяет показатели уровней оптимальных затрат Зот при оптимальном уровне защищенности Попт информационных ресурсов субъекта предпринимательской деятельности. Схема действия закона экономической взаимосвязи затрат на возмещение ущерба, в случае реализации угрозы информации и затрат на защиту ресурсов представлена на рис. 11. Уровень затрат 'опт Суммарные затраты
Затраты на защиту Затраты на возмещение ущерба п опт Уровень защищенности Рис. 11. Схема действия закона экономической взаимосвязи затрат на возмещение ущерба, в случае реализации угрозы и затрат на защиту ресурсов. В настоящее время, в связи с отсутствием адекватного механизма расчета реальной стоимости системы информационной безопасности предприятия, вопрос эффективного применения ресурсов для обеспечения информационной защиты субъекта предпринимательской деятельности остается открытым. Из анализа практики деятельности отечественных и зарубежных фирм можно сказать, что в политике защиты своих информационных ресурсов и, исходя из рентабельности вложений финансовых средств в защиту, в «грубом» варианте используется показатель эффективности использования СИБ: R = (C/Q)*100% (17) где R - показатель эффективности вложенных в защиту средств; 82 С - интегральный показатель стоимости средств, потраченных на защиту ресурсов; Q — интегральный показатель стоимости ресурсов. В зарубежных методиках значения этого показателя лежат в границах 20-40%, в России рентабельными считаются проекты, где стоимость системы обеспечения безопасности информационных ресурсов составляет 10-15% от стоимости этих ресурсов [Данные предоставлены сотрудниками ООО ИК «Сибинтек»]. На основе данного показателя можно провести анализ принятых мер безопасности. Для этого устанавливается определенный интервал значений показателя эффективности вложенных в защиту средств. Если значение показателя данного критерия оказалось за пределами установленного интервала значений, значит необходимо пересмотреть структуру системы информационной безопасности предприятия и повторить процесс оптимизации. Границы интервала значений определяются внутренними требованиями к системе безопасности коммерческого предприятия, а также значимостью защищаемых ресурсов. Процесс оптимизации структуры системы информационной безопасности и выбора наиболее эффективного способа защиты информационных ресурсов значительно упрощается с применением сценарного анализа поведения СИБ субъекта предпринимательской деятельности. 2.3. Применение методологии сценарного анализа в прогнозировании поведения системы информационной безопасности субъекта предпринимательской деятельности Прогнозирование динамики развития рисков экономической безопасности предприятия с учетом оценки внутренних и внешних угроз, выполненное на основе анализа уязвимостей и сравнительного анализа «эффективность-стоимость» различных вариантов защиты, позволяет выбрать адекватные контрмеры, оценить уровень остаточных рисков, построить 83 объектно-ориентированные модели системы информационной защиты, а также вести контроль выполнения требований по организации режима информационной безопасности субъекта предпринимательской деятельности. Такое прогнозирование требует проведения тщательного анализа информации, которая описывает функционирование системы информационной безопасности хозяйствующего субъекта. Элементы необходимой информации, а также способы ее выделения, получения и обработки зависят от целей и аппарата исследования. В любом случае исследователь имеет дело с модельным представлением системы, а в силу дискретности измерения получает сведения лишь об определенных ее состояниях. Следовательно, любой прогноз поведения - это некий сценарий поведения, определяемый предпосылками, на которые опирается исследователь. Сценарий - это описание картины будущего, состоящей из согласованных логически взаимоувязанных событий и последовательности шагов, с определенной вероятностью ведущих к прогнозируемому конечному состоянию. Основной целью проводимых исследований поведения СИБ субъектов предпринимательской деятельности является создание аппарата для изучения и исследования безопасности коммерческих фирм в контексте их информационной защиты, включающего теоретические и практические аспекты указанной проблематики. Как правило, сценарии представляют собой качественное описание, хотя и детализированное, содержащее отдельные количественные оценки. Этим они отличаются от обычных прогнозов, в большинстве которых упор делается на количественные показатели. Сценарии должны из настоящей ситуации развить картины будущего, показать насколько обосновано применение системы информационной безопасности для экономической безопасности субъекта предпринимательской деятельности. 84 Эта работа ведется систематически и с учетом основополагающего принципа стратегического управления - альтернативности выбора. Поэтому разрабатывается не один сценарий обеспечения безопасности информации, а несколько вариантов, что позволяет руководителям организации видеть возможные последствия выбора того или иного варианта защиты. Ядром такого метода служит объектно-субъектный подход в сочетании с методологией структурного анализа сложных систем, что позволяет изучать различные аспекты функционирования компонентов рассматриваемой системы на основе генерации формализованных сценариев ее поведения. Такой подход к изучению системы защиты информации на предприятии называют сценарным анализом системы информационной безопасности [26]. Кеннет Савка, крупный эксперт по конкурентной разведке [128], формулирует понятие «сценарного анализа», как систематического метода оценки предполагаемых сценариев развития ситуации в области безопасности информации. Методология, по его мнению, позволяет аналитикам предлагать варианты деятельности по защите при наиболее вероятных условиях развития ситуации. Сценарный анализ начинают с построения метанабора системы информационной безопасности, при этом выделяют объекты управления и субъекты действия. Таким образом, безопасность предпринимательской структуры на заданном горизонте времени - это такое ее динамическое состояние, при котором обеспечивается заданная эффективность реализации защиты выделенных объектов и субъектов [61]. К основным этапам сценарного анализа поведения информационной системы безопасности коммерческой структуры, по нашему мнению, можно отнести: • определение целей формирования сценариев; • формирование сценария; • определение характеристик сценария; 85 • анализ сценария; • оптимизация сценария; • преобразование выбранного сценария в программы и планы. В процессе сценарного анализа будем пользоваться следующими понятиями: • основной метанабор (идентифицированная модель системы информационной безопасности; модели окружающей и внутренней обстановки (внешние и внутренние угрозы информационной безопасности предприятия); i, модель поведения системы защиты информации; модель измерения ее состояний; модель выбора контрмер); • сценарий поведения системы информационной защиты (ожидаемое событие, то есть вероятные угрозы; ситуация, то есть реализация угроз; гипотеза поведения системы информационной защиты; обстановка или конечный результат); • наиболее эффективная модель системы защиты информации, то *** есть модель, построенная на основе выбора оптимального сценария. Непосредственно при разработке сценария, считаем, что целесообразно руководствоваться тремя общими положениями: 1. Исходным пунктом разработки сценария всегда является точная оценка настоящей стратегической ситуации предприятия в области защиты информации. Такая оценка ведет к пониманию динамики воздействующих факторов: значение каких факторов падает и каких возрастает по всему ^) временному горизонту. 2. Для воздействующих факторов с неопределенными тенденциями развития выполняются специальные прогнозы и делаются рациональные предложения экспертов. 3. Разрабатывается множество альтернативных сценариев, представляющих собой определенную логическую картину. При этом соблюдается обязательное условие - альтернативные сценарии не должны содержать противоречий, то есть взаимоисключающих шагов и событий. ■V 86 С учетом данных положений нами предлагается алгоритм разработки сценариев поведения СИБ (табл. 13). Таблица 13. Алгоритм разработки сценариев
Руководствуясь алгоритмом разработки сценариев для информационной системы безопасности субъекта предпринимательской деятельности, на первом 87 этапе анализируется фактическое состояние данной системы, если таковая уже имеется на предприятии, или разрабатывается концептуальный проект с комментариями, касающимися наиболее важных подэтапов и решаемых задач. Современным информационным системам безопасности присущи все характерные признаки сложных человеко-машинных систем: • Наличие большого числа взаимосвязанных элементов; • Принципиальная неопределенность из-за неполной информации о потенциальном противнике; • Субъективизм из-за наличия «человеческого фактора», связанный с необходимостью принятия человеком оперативных решений и их выполнением силами реагирования; • Многообразие условий функционирования (природные факторы, включая климатические и погодные условия, наличие естественных и индустриальных помех) [49]. В связи с этим нельзя пользуясь лишь интуицией, получить оптимальный сценарий поведения системы информационной безопасности. Необходимо привлекать достаточно сложные научные методы, практические методики, требующие, при необходимости, разработки и применения компьютерных программ, как это было показано в п.п.2.1. и 2.2. После определения целей и задач системы информационной защиты проводится обследование защищаемого объекта с целью сбора необходимых исходных данных. Для этого формируется комплексная группа экспертов - специалистов различного профиля из числа: • Сотрудников объекта, хорошо знающих технологию функционирования объекта и способных оценить возможный ущерб при тех или иных возможных акциях нарушителя; • Представителей службы безопасности объекта, знающих правовые и нормативные документы, которые могут «спрогнозировать» потенциальных нарушителей; 88 • Проектантов информационной системы безопасности, хорошо знающих технические средства и системы, которые могут оценить возможности их применения на данном объекте; • Аналитиков-системотехников, которые объединяют усилия всех членов группы и оценивают эффективность предлагаемых действий, разрабатывают различные сценарии, оптимизируют их и на их основе создают эффективные модели защиты. Важным этапом является определение тех мест защищаемого объекта, , безопасность которых необходимо обеспечить. Условно их можно назвать «особо-важными точками»-ОВТ. Все они должны быть проранжированы по важности либо на основе действующих для объектов данного класса нормативных документов, либо, при их отсутствии, экспертным путем. После этого по каждой ОВТ определяются вероятные угрозы и проводится полный анализ рисков по методологии, предложенной в п.2.1., определяются модели потенциальных нарушителей - «проводников» угроз, включая возможные И' сценарии их осуществления. Следует отметить, что этот этап достаточно сложен, так как от службы безопасности требуется для каждой ОВТ выбрать из нескольких возможных типов нарушителей, предлагаемых экспертами-аналитиками, один, на который и будет ориентирована проектируемая система информационной защиты. Угроза, которую представляет любой нарушитель для информационных ресурсов, зависит от нескольких факторов: .^ . • Способа доступа к информационным ресурсам предприятия; • Уровня квалификации нарушителей; • Мотивации. На основе этих факторов разрабатываются модели потенциальных нарушителей, приведенные в приложении 8. Также при построении модели потенциальных нарушителей полезно их разделить на внешних и внутренних. Так называемые внешние нарушители включают: 89 - Хорошо технически вооруженную и оснащенную группу, действующую извне, иногда применяющую силовые методы; - Одиночного нарушителя, не имеющего допуск на объект, старающегося действовать скрытно и осторожно, осознающего, что силы реагирования имеют перед ним преимущество. Среди потенциальных внутренних нарушителей можно отметить: • Вспомогательный персонал объекта, допущенный на объект, но не допущенный в ОВТ; , • Основной персонал, допущенный в ОВТ (наиболее опасный тип нарушителей); • Сотрудников службы безопасности, хотя часто формально и не допущенных в ОВТ, но реально имеющих достаточно широкие возможности для сбора конфиденциальной информации и совершения противоправных акций. Должна рассматриваться возможность сговора между нарушителями ^ различных типов, что еще более усложняет задачу формализации моделей нарушителя. Информационная защита предприятия напрямую связана с его физической защитой, поэтому при построении сценария защиты необходимо рассмотреть различные модели физической защиты ОВТ. К примеру, к обязательным мерам защиты от внешних нарушителей необходимо предусмотреть контроль доступа на объект и на каждую ОВТ. При оценке физической безопасности любого объекта можно воспользоваться методом концентрических окружностей [24], представленным на рис.12. Суть данного метода заключается в разграничении территории охраняемого объекта на отдельные зоны, представляющие собой концентрические окружности 90 Рис.12. Метод концентрических окружностей Разграничение объекта на зоны начинается с окружности, наиболее удаленной от ОВТ (например, компьютерного зала). Далее границы последующих зон постепенно приближаются к охраняемой точке. Необходимо провести детальный анализ для каждой зоны, ответив на следующие вопросы: • существуют ли естественные барьеры между каждой окружностью и ОВТ? • имеются ли искусственные препятствия? • используется ли контроль доступа? К примеру, если одна из концентрических окружностей огибает здание, проходя от автомобильной стоянки к наружной стене, и если у входа на стоянку дежурит сторож, то этот сторож - одна из точек контроля доступа, через которую нарушитель должен будет пройти. Следующая концентрическая окружность - сама внешняя стена. Если двери и окна запираются или доступ ограничен специально отведенными местами, то здесь находится следующий уровень контроля доступа.
91 Систематический надзор и анализ по методу концентрических окружностей может предотвратить проникновение на охраняемый объект или подсказать, как нарушитель получил доступ к объекту (если преступление уже совершено). В задачи физической защиты объекта входят не только действия по предотвращению противоправных акций нарушителей, но и защита от стихийных бедствий, нарушений условий эксплуатации и различного рода аварий. Для выполнения анализа физической уязвимости объекта в настоящее время разрабатываются и применяются различные компьютерные методики оценки. В США практически по каждому проекту производится оценка уязвимости существующей системы физической защиты объектов повышенной потенциальной опасности. В этих целях в США было разработано несколько методик оценки, к примеру, SAVI и ASSESS. Анализ зарубежных методик показал, что существующие американские программы не в полной мере удовлетворяют современным требованиям оценки физической защищенности объектов повышенной потенциальной опасности. Главным образом это определяется тем, что они не позволяют анализировать многоуровневые объекты, не учитывают реальные физические барьеры и технические средства охраны, не учитываются степени защищенности при выходе из строя тех или иных систем, отсутствует модель столкновения сил охраны с нарушителями. Поэтому российские разработчики отказались от программ-прототипов, . и создали новый программно-методический аппарат, лишенный указанных недостатков. Программный комплекс "СПРУТ" позволяет решать задачи анализа и синтеза системы физической защиты объекта [59]. При построении моделей защиты наряду с количественной информацией (количественные показатели рисков и эффективности системы информационной безопасности) используется также качественная (логическая) информация, содержащаяся в экспертных знаниях. Она применяется для 92 л коррекции данных мониторинга, для создания логических моделей влияния на систему различных факторов. Логическое представление информации для системы информационной защиты - это часть сценария. Такой подход к построению сценария дает возможность легче ориентироваться во множестве возможных решений и их последствий. Под любое логическое описание может быть выдано количественное обоснование. Для обеспечения указанных возможностей параметры модели должны быть как числового, так и логического типа, например при определении возможности предотвращения какой-либо угрозы в виде качественных суждений: "легко", "трудно", или значения "да'У'нет" для каких-либо признаков и т.д. Кроме того, используемые моделями алгоритмы должны включать, наряду с количественной, логическую часть. Она состоит из правил логического вывода. Пример алгоритма реализации угроз и противостояния им системы информационной безопасности показан на рис.13. Рис.13. Сценарный алгоритм реализации угроз и противостояния им системы информационной безопасности.
93 Коррекция логической модели сводится к добавлению новых правил логического вывода. При этом новые правила не отменяют старые, а лишь детализируют их. Совместное использование количественной и качественной информации осуществляется в процессе отладки модели, в частности, ее адаптации к новым данным. Так к примеру, к предложенной выше логической модели реализации угроз и противостояния им системы информационной информации можно ввести некоторые коррективы и дополнения, более подробно определить различные состояния системы и увеличить логические выводы. Необходимо конкретно идентифицировать угрозы, как нарушаемые принципы безопасности объекта: Позиция А. • Нарушение конфиденциальности личной, служебной и другой информации; "•г" • Нарушение целостности и достоверности хранимых данных; • Нарушение доступности системы, данных и услуг всем уполномоченным пользователям; • Несоблюдение законов, правил, лицензий, договоров, этических норм при использовании информации. Целесообразно более детализировать возможности системы: Позиция В. .1 Возможность предотвращения угроз: • Легко; • Трудно; • Очень трудно; • Невозможно. Позиция С. Возможность обнаружения угроз: • Легко; 94 • Трудно; • Невозможно. Позиция D. Возможность нейтрализации угроз и восстановления нормальной работы системы: • Легко; • Трудно; • Очень трудно; • Невозможно. Важно ввести в модель показатель частоты появления угрозы. Эта оценка отражает сравнительную характеристику частоты появления данной угрозы по отношению к другим угрозам. Позиция Е. Частота появления угрозы: • Неизвестна - 0; • Низкая - 1; • Средняя -2; • Высокая - 3; • Очень высокая - 4. Для этого можно разработать вспомогательную таблицу оценок (табл.14): Таблица 14. Вероятная частота появления угроз
95 Представляется целесообразным формировать подобную таблицу для всех потенциальных угроз и расчета абсолютной вероятности их отражения. При построении моделей рационально ввести качественные показатели потенциальных опасностей, источников их появления, уровня необходимых знаний нарушителя. Позиция F. Потенциальная опасность: • Низкая; • Высокая; • Сверх высокая. Позиция G. Источник появления угроз: • Внутренний; • Внешний. Позиция Н. Уровень необходимых знаний нарушителя, который является составной частью модели нарушителя. Следует отметить, что чем выше уровень необходимых знаний для реализации угрозы, тем меньше ее привлекательность для нарушителя: • Фундаментальные знания системной организации ресурсов; • Знание операционной системы; • Знание языков программирования; • Элементарные знания в области вычислительной техники. Особенно важно отметить, что сценарный анализ, как правило, предполагает на заключительном этапе выработать адекватные меры защиты от реализации угроз, сформулировать конкретные рекомендации по предотвращению рисков при различных угрозах (стихийных бедствиях, нарушениях условий эксплуатации объекта, несанкционированному вторжению 96 на объект внешних нарушителей, а также при противоправных действиях персонала объекта). Также сценарный анализ позволяет спрогнозировать меру потенциального наказания нарушителя в рамках существующего законодательства. Выделяются такие аспекты, как дисциплинарное взыскание, гражданская и уголовная ответственность. При данном прогнозе принимается во внимание факт возможности доказательства авторства злоупотребления и наличие юридической ответственности за соответствующее нарушение. Позиция I. Потенциальное наказание в рамках существующего законодательства: • Строгое наказание вплоть до уголовной ответственности; • Незначительное наказание; • Наказание отсутствует. Позиция А определяет принципы безопасности, которые нарушаются при реализации угроз. Оценки по позициям В,С...1 призваны определить степень нарушения указанных в позиции А принципов безопасности. Предложенная система обозначений и оценок, используемая в построении моделей, может быть детализирована для каждой ОВТ в зависимости от характера деятельности объекта в целом. Для каждой модели определяются качественные критерии показателя уровня угроз, которые условно можно разделить: • Неопасные угрозы, которые легко обнаруживаются, нейтрализуются и устраняются; • Опасные угрозы, для которых процессы предотвращения, обнаружения и нейтрализации с точки зрения технологии не отработаны; • Очень опасные угрозы, которые обладают максимальными оценками по всем параметрам и реализация процесса противостояния сопряжена с огромными затратами. 97 На основе применения различных ситуационных моделей разрабатываются сценарии поведения системы информационной безопасности. Используя методологию оценки эффективности работы данной системы, предложенную в п.2.2., выбирается наиболее оптимальный из них, и соответственно, определяется оптимальная модель построения системы защиты информации субъекта предпринимательской деятельности. Сценарный анализ позволяет применительно к специфике деятельности предпринимательской структуры и в соответствии с фактическими и нормативными значениями ее технико-экономических показателей и величиной их отклонения от барьерных (пороговых) значений индикаторов экономической безопасности, а также учитывая качественные показатели, охарактеризовать состояние информационной защиты коммерческого предприятия как: - Нормальное, когда индикаторы информационной безопасности находятся в пределах пороговых значений, а степень использования имеющегося потенциала близка к экономически обоснованным нормативам эффективности; Предкризисное, когда переступается барьерное значение хотя бы одного из индикаторов экономической безопасности, а другие приблизились к некоторой окрестности своих барьерных значений и при этом были утрачены технические, технологические и экономические возможности улучшения условий и результатов производства путем принятия к угрозам мер предупредительного характера; Кризисное, когда переступается барьерное значение большинства основных индикаторов экономической безопасности и проявляются признаки необратимости или частичной утраты информационных ресурсов; - Критическое, когда нарушаются все (или почти все) барьеры, отделяющие нормальное и кризисное состояние безопасности, а частичная утрата информационных ресурсов становится неизбежной и неотвратимой. Подводя итог второй главе, можно отметить, что: 98 • Применение методологий оценки рисков, расчета показателей эффективности системы информационной безопасности субъекта предпринимательской деятельности и разработки сценариев ее поведения являются важными и взаимосвязанными этапами в процессе построения комплексной системы защиты информационной среды предпринимательских структур в целях поддержания конкурентоспособности их бизнеса. • Существенно, что качественно выполненный анализ рисков позволяет провести сравнительный анализ по критерию «эффективность-стоимость» различных вариантов защиты и принять решение о целесообразности применения того или иного варианта защиты с помощью сценарного анализа. • Кроме того, инструментальные средства анализа рисков, а также экспертные оценки, основанные на современных базах данных и знаний в области защиты информации, позволяют построить структурные и объектно-ориентированные модели угроз и рисков и выявить те особо важные в конкурентном отношении точки (ОВТ) объекта, риск нарушения которых является критичным, то есть, неприемлемым для успешного функционирования субъекта предпринимательской деятельности. • Изучение закономерностей возникновения рисков, зависимостей угроз и противодействий им со стороны системы информационной защиты однозначно достигается на основе сценарного анализа и расчетов по выстроенным моделям. Разработка и построение сценариев направлены на решение двух основных проблем: Во-первых, выделение ключевых моментов развития ситуации противодействия посягательства на защищаемый объект и разработка на этой основе качественно различных вариантов ее динамики; Во-вторых, всесторонний анализ и оценка каждого из полученных вариантов, изучение его структурных особенностей и возможных последствий его реализации. 99 Хорошо аргументированные сценарии позволяют своевременно создавать «запасные» вариантные планы действий в случае реализации угроз. Кроме того, «сценарная аналитика» может быстро и убедительно объяснить руководителям хозяйствующих субъектов мотивы поведения нарушителей (нередко ими являются конкуренты), и, ссылаясь на проведенный анализ, показать, какие именно элементы продуманных заранее сценариев стали воплощаться в реальность и по какой причине. Но самое главное, руководству субъектов предпринимательской деятельности не надо терять время на проработку адекватных начавшимся изменениям действий, ибо такие планы уже есть. Выбор наиболее оптимального сценария для каждой ОВТ объекта позволяет спроектировать наиболее эффективную модель системы информационной защиты всей предпринимательской структуры в целом, что даст несомненные конкурентное преимущество в предпринимательской деятельности. W 100 ГЛАВА 3. РАЗРАБОТКА ПОЛИТИКИ СУБЪЕКТА ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 3.1. Основные положения политики информационной безопасности субъекта предпринимательской деятельности Зарубежный и отечественный опыт обеспечения безопасности предпринимательской деятельности свидетельствует, что для борьбы со всей совокупностью потенциально возможных угроз, связанных с конфиденциальной корпоративной информацией, защитой коммерческой тайны и поддержанием конкурентоспособности хозяйствующего субъекта, необходима стройная и целенаправленная организация процесса противодействия. Причем в организации этого процесса должны участвовать не только люди, ответственные за это направление, но и специалисты в области защиты информации, руководство организации, ведущие сотрудники организации. Для этого необходимо разрабатывать для каждой конкретной организации свою политику информационной безопасности. Целью разработки политики субъекта предпринимательской деятельности в области информационной безопасности является определение правильного (с точки зрения организации) способа использования информационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности. Политика информационной безопасности хозяйствующего субъекта выражает систему взглядов на проблему защиты конфиденциальной информации и коммерческой тайны, раскрытие которых может привести к серьезным прямым убыткам и полной потере конкурентоспособности на различных этапах и уровнях предпринимательской деятельности, а также основные принципы, и направления реализации мер информационной безопасности. Политика безопасности субъекта предпринимательской деятельности определяется в изданном специальном документе (или своде документов), в 101 котором рассматриваются вопросы философии, задач, организации, стратегии, методов в отношении обеспечения конфиденциальности, целостности, доступности информации и информационных ресурсов предприятия. Философия определяет подход к организации информационной безопасности предпринимательской фирмы, структуру и руководящие принципы информационной стратегии безопасности. Философию безопасности можно представить, как большой купол, под которым находятся все другие механизмы безопасности предприятия. Философия должна объяснять во всех будущих ситуациях, почему предпринимаются те или иные действия при обеспечении защиты информации. Задачи политики информационной безопасности направлены на реализацию назначения (целей) систем защиты и основных функциональных требований, предъявляемых к информационным ресурсам коммерческой структуры. Этап формирования требований к безопасности информационных ресурсов является принципиально важным при выработке политики информационной безопасности. От качественного проведения этого этапа в определенной степени зависит уровень всех дальнейших проектных решений по защите информации и, в конечном итоге, достигаемый уровень безопасности коммерческой фирмы в целом. Если требования к безопасности в начале разработки политики предъявлены не в полной мере, то результирующая политика может не отвечать своему предназначению. Для формирования требований к безопасности должны быть учтены все факторы, определяющие условия функционирования системы безопасности, возможные угрозы, а также стандартные каталоги требований. Исходным пунктом для формирования требований является установление среды информационной безопасности. При определении среды безопасности необходимо учитывать: 102 1. Физическую среду, которая определяет все аспекты внешней среды, имеющие отношение к безопасности, включая условия физической безопасности защищаемого объекта, нормативно-правовую базу и данные, относящиеся к персоналу; 2. Информационные активы, подлежащие защите, к которым должны применяться требования и меры безопасности; 3. Назначение защищаемого объекта, в том числе, технические характеристики и область применения аппаратных и программных средств. Анализ факторов внешней среды завершается описанием следующих параметров среды безопасности: • Угроз безопасности, которые могут быть реализованы по отношению к защищаемому объекту. В описании угроз безопасности должны содержаться следующие компоненты: - Источник угрозы; - Способ реализации; - Уязвимости объекта, которые могут быть использованы для реализации угроз; - Ресурсы, подверженные действию угроз. • Мер и правил политики безопасности организации, которые обеспечиваются по отношению к объекту защиты. Такие меры конкретно формулируются, а для универсальных объектов делаются общие утверждения в отношении политики информационной безопасности организации; • Предположений об условиях, которые должны быть обеспечены в среде, чтобы объект мог рассматриваться как безопасный. Для установленной среды безопасности объекта оцениваются риск и возможный ущерб от нарушения безопасности (п.2.1.), являющиеся исходными данными для определения мер и средств противодействия, которые должны быть реализованы при защите, а также их эффективность (п.2.2.). 103 При разработке положений по установлению среды безопасности целесообразно учесть модель безопасности ГОСТ Р ИСО/МЭК 15408, которая изображена на рис. 14. Рис.14. Модель безопасности по ГОСТ Р ИСО/МЭК 15408. Результаты анализа среды безопасности предназначены для формулирования целей безопасности защищаемого объекта, направленных на противодействие выявленным угрозам безопасности и соответствующих политике безопасности организации и условиям, определенным для среды безопасности. Необходимость определения целей безопасности состоит в том, чтобы выразить все намерения в отношении обеспечения безопасности объекта и определить, какие из них будут обеспечиваться средой безопасности. Требования безопасности представляют собой результат преобразования целей безопасности в совокупность требований по защите объекта и требований безопасности для его среды, которые в случае их выполнения,
104 обеспечивают уверенность, что выработанная политика информационной безопасности отвечает целям безопасности организации в целом. В итоге, формирование требований к защите объекта при разработке политики информационной безопасности можно изобразить следующим образом (рис. 15): Рис.15. Формирование требований к защите объекта при разработке политики информационной безопасности хозяйствующего субъекта.
105 Политика информационной безопасности субъекта предпринимательской деятельности отражает стратегию управления в отношении защиты информации. В данном случае стратегия представляет собой план или проект в философии безопасности. Детализация этого плана показывает, как организация намеревается достигнуть целей, поставленных в пределах структуры философии, и какие методы применять в каждом конкретном случае. Определение целей системы защиты информации включает следующие пункты: • Определение необходимого с точки зрения экономической целесообразности уровня информационной безопасности хозяйствующего субъекта; • Определение методов достижения необходимого уровня защищенности оптимальным сочетанием технических средств по основным направлениям проведения работ и организационных мер; • Определение этапов создания системы защиты информации хозяйствующего субъекта. Рекомендации по внедрению конкретных методов защиты информации для реализации политики безопасности содержат: • Обзор мер защиты, позволяющих реализовать комплекс защиты на защищаемых объектах, включающих организационные мероприятия, технические средства, программно-аппаратные средства; • Предложения и рекомендации по выбору и размещению на объекте основных средств защиты; • Разработку технико-экономического обоснования внедрения системы информационной безопасности, оценку эффективности данной системы с учетом оценки вероятности возможных угроз и величины возможных потерь; • Разработку плана по реализации и поддержанию политики информационной безопасности; 106 • Разработку предложений по совершенствованию и развитию системы защиты информации на предприятии; • Оценку ожидаемой эффективности предлагаемых мер защиты с учетом эффективности, стоимости, бесконфликтности с используемым на объекте программным обеспечением, простоты эксплуатации. Политика безопасности предприятия должна отвечать на три главных вопроса: • Что защищать? • От кого (от чего) защищать? • Как защищать? Отвечая на первый вопрос, важно отметить, что реализацию жизненно-важных интересов любого субъекта предпринимательской деятельности обеспечивают его корпоративные ресурсы, особенно ресурсы, содержащие ценную информацию, разглашение которой может привести к значительному, а иногда, к не поправимому ущербу конкурентоспособности субъекта предпринимательской деятельности. Эти ресурсы должны быть надежно защищены от прогнозируемых угроз. Для предпринимательской структуры такими важными для жизнедеятельности ресурсами, а следовательно, предметами защиты являются: • Конфиденциальная информация: На материальных носителях, а также циркулирующая во внутренних коммуникационных каналах связи, в кабинетах руководства предприятия, на совещаниях и заседаниях; • Финансово-экономические ресурсы: Обеспечивающие эффективное и устойчивое развитие хозяйствующего субъекта (коммерческие интересы, бизнес-планы, договорные документы, обязательства и т.п.) • Имущество: 107 Секретная и конфиденциальная документация, интеллектуальная собственность (ноу-хау), ценная информация, содержащаяся на магнитных носителях и т.д. • Персонал предприятия: Люди, допущенные в особо важные точки (ОВТ) предприятия, владеющие конфиденциальной информацией. Для обеспечения защиты интеллектуальной собственности, сведений, составляющих коммерческую тайну на хозяйствующем субъекте вводится определенный порядок работы с конфиденциальной информацией и доступа к ней, включающий в себя комплекс административных, правовых, организационных, инженерно-технических, финансовых, социально-психологических и иных мер, основывающихся на государственных правовых нормах и на организационно-распорядительных положениях руководителей субъекта предпринимательской деятельности. Вопросы, связанные с коммерческой тайной достаточно подробно рассмотрены в п. 1.3. настоящей работы. Как было отмечено ранее, в настоящее время отсутствует какая-либо универсальная методика, позволяющая четко относить ту или иную информацию к категории коммерческой тайны. Законопроектом «О коммерческой тайне» права по отнесению информации к категории коммерческой тайны предоставлены руководителям хозяйствующих субъектов. Поэтому при разработке политики информационной безопасности руководителям субъектов предпринимательской деятельности целесообразно определить функции по защите коммерческой тайны субъекта хозяйствования: • Выработать критерии выделения ценной информации, подлежащей защите; • Определить объекты интеллектуальной собственности, подлежащие охране; • Выбрать методы защиты (патентование, авторское право, непосредственно защита и т.п.); 108 • Разработать для последующего утверждения Перечень сведений, составляющих коммерческую тайну; • Установить правила допуска и разработать разрешительную систему доступа к сведениям, составляющим коммерческую тайну. Для того, чтобы разработать эффективную политику безопасности, информация, хранимая или обрабатываемая в организации, должна быть классифицирована, по нашему мнению, прежде всего в соответствии с ее критичностью к потере конфиденциальности. На основе этой классификации разрабатывается политика для разрешения (или запрещения) доступа к информационным ресурсам. В развитии п. 1.3. настоящей работы, заметим, что наиболее рационально разбить информационные ресурсы на 4 класса безопасности, каждый из которых имеет свои требования по обеспечению защиты - критичная информация, коммерческая тайна, персональная информация и для внутреннего пользования. Эта система классификации должна использоваться во всей организации. Лица, ответственные за информационные ценности, отвечают за назначенные им классы информационных ресурсов, и этот процесс должен контролироваться руководством предприятия. Классы определяются следующим образом: • Критичная информация: Этот класс применяется к информации, требующей специальных мер безопасности для обеспечения гарантий ее целостности, чтобы защитить ее от модификации или удаления. Эта информация требует более высоких гарантий, чем обычно, в отношении ее точности и полноты. Примерами информации этого класса может служить информация о финансовых операциях или распоряжения руководства. • Коммерческая тайна: Этот класс применяется к наиболее критической коммерческой информации, которая предназначена для использования только внутри организации, если только ее разглашение не требуется различными 109 законодательными актами. Ее несанкционированное разглашение может нанести серьезный вред организации, ее акционерам, деловым партнерам и клиентам. • Персональная информация: Этот класс применяется к информации личного характера, использование которой разрешено только внутри организации. Ее раскрытие может нанести серьезный вред организации и ее персоналу. • Для внутреннего пользования: , Этот класс применяется ко всей остальной информации, которая не попадает ни в один из указанных выше классов. Хотя ее раскрытие нарушает политику, оно не может нанести какого-либо вреда организации, ее служащим или клиентам. Второй вопрос «От кого (от чего) защищать?» тесно связан с понятием «угроза». Методики анализа риска и сценарного анализа поведения системы ИБ, учитывающие модели нарушителей (приложение 8), предложенные во 2-ой >*•' главе работы, позволяют полно ответить на этот вопрос. Считаем необходимым отметить, что наиболее неуправляемым элементом в системе защиты информации является персонал. Правильно разработанная кадровая политика и организация управления персоналом позволяют снизить риски этого фактора. Хотя при обсуждении вопросов информационной безопасности часто основное внимание уделяется внешним злоумышленникам, в действительности, как показывает практика (п.1.3., рис.6), подавляющее большинство инцидентов связано с ошибками или преднамеренными действиями служащих компании. Поэтому грамотно разработанная политика безопасности должна включать программу защиты от персонала, которая охватывает угрозы от различных типов нарушителей, включая служащих, деловых партнеров, поставщиков и подрядчиков. Проверки во время работы и тщательный мониторинг ее выполнения являются важными компонентами защиты от персонала. по Проведение кадровой политики, нацеленной на решение задачи обеспечения информационной безопасности, на всех уровнях управления коммерческим предприятием основывается на трех основных положениях: • Безопасность при выборе персонала и работе с ним. Это положение предполагает включение задач по обеспечению информационной безопасности в должностные обязанности всех сотрудников, строгую проверку кандидатов (проверку рекомендаций, данных резюме, идентификацию личности, подтверждение ученых степеней и образования), . ознакомление и подписание соглашения о конфиденциальности. • Подготовка и переподготовка пользователей и специалистов по защите информации. Это положение подразумевает наличие системы повышения уровня технической грамотности и информированности пользователей в области информационной безопасности, а также переподготовку специалистов по защите информации. Для этого необходимо регулярное проведение тренингов "*f для персонала и контроль готовности новых сотрудников по применению правил информационной защиты, а также периодическая переподготовка специалистов подразделений защиты информации. • Реагирование на нарушения информационной безопасности. По этому положению для организации своевременного реагирования на нарушения информационной безопасности на субъекте хозяйственной деятельности необходимо создать систему мониторинга событий , информационной безопасности, которая должна включать средства системного мониторинга для автоматизированных участков обработки информации, а также регламент представления отчетов об инцидентах в области информационной безопасности для всех сотрудников предприятия и другую информацию о состоянии системы информационной защиты субъектов предпринимательской деятельности. С третьим вопросом «как защищать?» связано понятие «система информационной защиты», как комплекса мер и средств, а также деятельность на их основе, направленная на выявление, отражение и ликвидацию различных видов угроз безопасности объектов защиты. Среди основных видов средств защиты различают нормативно-правовые, морально-этические, организационные и программно-технические. Схематично политику безопасности предприятия можно представить, как (рис.16):
Рис.16. Политика информационной безопасности предприятия. 112 Разработка и внедрение политики информационной безопасности требует серьезных инвестиций - денежных, временных, человеческих ресурсов, но эффективно построенная политика окупает затраты и приносит фирме неоспоримые преимущества. В большинстве стран и в том числе в России принято, что всю ответственность за защиту информационных активов хозяйствующих субъектов несет руководство. Так как руководители субъектов предпринимательской деятельности, как правило, не являются специалистами в области защиты информации, их попытки вмешиваться в техническую и организационную сторону безопасности могут приводить к нежелательным последствиям. Если же в коммерческой организации разработана политика информационной безопасности, в которой четко прописаны обязанности и уровень доступа самых разных сотрудников, то руководитель может легко контролировать выполнение этих правил. Вовлечение руководства хозяйствующего субъекта в дело информационной безопасности приносит огромную вспомогательную выгоду - оно значительно увеличивает приоритет информационной безопасности, что положительно отражается на общем уровне безопасности субъекта предпринимательской деятельности. Поскольку политика отражает философию и стратегию управления, она является четким и бесспорным доказательством намерений коммерческой организации относительно информационной безопасности. Это положительно сказывается на работе с клиентами и партнерами, а особенно на привлечение дополнительных инвестиций в предпринимательский бизнес. Все большее число российских, а тем более, иностранных компаний требуют доказательства достаточного уровня надежности и безопасности, особенно информационной, своих инвестиций и ресурсов. Как уже отмечалось во 2-ой главе настоящей работы, политика информационной безопасности - это совершенный стандарт, которым может быть измерена целесообразность и окупаемость затрат на защиту ресурсов. Руководителю организации достаточно сравнить предлагаемые выгоды с 113 данными, прописанными в политике информационной безопасности, чтобы определить эффективность расходования средств из бюджета компании. Если политика правильно сформулирована и связана с трудовыми контрактами служащих, то любые нарушения установленного режима информационной безопасности могут быть наказаны согласно ранее оговоренным пунктам, подписанными служащими. Даже просто наличие подобного документа на хозяйствующем субъекте значительно улучшает информационную безопасность и улучшает производительность труда персонала. Хорошо осуществленная политика помогает гарантировать выполнение инструкций, путем создания единой директивы и ясного назначения обязанностей, а также описания ответственности за неисполнение обязанностей и негативные последствия. При надлежащем обучении персонала, должном выполнении им своих обязанностей и используемых современных технологиях «человеческий фактор» фактически исключается из списка проблем и становится хорошей »•- позитивной составляющей безопасности. Эффективно разработанная политика информационной безопасности может служить также эталоном, по которому возможно измерение степени компетенции, успешного выполнения своей работы и рабочей дисциплины любыми ответственными сотрудниками организации. Фактически, политика должна заранее вводить высокие стандарты информационной безопасности и затем отслеживать, чтобы весь персонал фирмы подтянул свои знания и навыки к этим стандартам и полностью нес ответственность за информационную безопасность хозяйствующего субъекта и последствий от своих противоправных действий. Нанесение вреда информационной безопасности фирмы «по незнанию» при имеющейся политике информационной безопасности исключается. Эффективность политики пропорциональна поддержке, которую она получает от различных структур организации и конкретных сотрудников. Таким образом, критически важным условием для успеха в области защиты информационных ресурсов фирмы становится создание в организации 114 атмосферы, благоприятной для поддержания высокого приоритета информационной безопасности. Любая политика приходит к персоналу фирмы «сверху». Сначала руководство организации определяет какой-то вариант политики, после чего происходит принятие политики руководителями среднего и низшего звена, а затем рядовыми сотрудниками. В ходе принятия политики безопасности возможно внесение в нее согласованных с руководством корректив, а иногда, фундаментальное изменение в структуре организации и перераспределение полномочий. . Как правило, чем крупнее организация, тем более масштабные изменения V в существующих правилах и порядках ей предстоят в связи с принятием политики информационной безопасности. Но, в любом случае, привитие культуры информационной безопасности позитивно отражается на безопасности негосударственного субъекта предпринимательской деятельности в целом. *•- 3.2. Разработка мер реализации политики информационной безопасности субъекта предпринимательской деятельности путем создания службы защиты информации Отдельный раздел законопроекта "О коммерческой тайне", посвященный организации защиты коммерческой информации, определяет необходимый комплекс мероприятий по ее защите [152]: • установление особого режима конфиденциальности; • ограничение доступа к конфиденциальной информации; ft • использование организационных мер и технических средств защиты информации; • осуществление контроля за соблюдением установленного режима конфиденциальности. Конкретное содержание указанных мероприятий для каждого отдельно взятого хозяйствующего субъекта может быть различным по масштабам и формам. Это зависит в первую очередь от производственных, финансовых и 115 иных возможностей предприятия, от объемов конфиденциальной информации и степени ее значимости. Существенным является то, что весь перечень указанных мероприятий обязательно должен планироваться и использоваться с учетом особенностей функционирования информационной системы предприятия. Необходимые мероприятия по защите информации достаточно подробно освещены в предыдущем пункте данной главы. Считаем важным отметить, что традиционно для организации доступа к конфиденциальной информации s, использовались организационные меры, основанные на строгом соблюдении сотрудниками процедур допуска к информации, определяемых соответствующими инструкциями (приложение 9), приказами, договорами (приложения 1, 11) и другими нормативными документами. Однако с развитием компьютерных систем эти меры перестали обеспечивать необходимую безопасность информации. Появились и в настоящее время широко применяются специализированные программные и программно-**>' аппаратные средства защиты информации, которые позволяют максимально автоматизировать процедуры доступа к информации и обеспечить при этом требуемую степень ее защиты. Осуществление контроля за соблюдением установленного режима конфиденциальности предусматривает проверку соответствия организации защиты информации установленным требованиям, а также оценку эффективности применяемых мер защиты информации. Как правило, контроль осуществляется в виде плановых и внеплановых проверок. По результатам проверок специалистами по защите информации проводится необходимый анализ с составлением отчета, который включает: • вывод о соответствии проводимых на предприятии мероприятий установленным требованиям; • оценка реальной эффективности применяемых на предприятии мер защиты информации и предложения по их совершенствованию. 116 Обеспечение и реализация перечисленных выше мероприятий требует создания на предприятии соответствующих органов защиты информации. Эффективность защиты информации на субъекте предпринимательской деятельности во многом будет определяться тем, насколько правильно выбрана структура органа защиты информации и квалифицированы его сотрудники. Как правило, служба защиты информации представляет собой самостоятельное подразделение. Созданием службы защиты информации на предприятии завершается v построение системы информационной безопасности, под которой понимается совокупность органов защиты информации, используемые ими средства защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации. В состав пакета организационных-распорядительных документов хозяйствующего субъекта могут входить ■±' различные документы, регулирующие вопросы обеспечения информационной безопасности, примерный их перечень приведен в приложении 11. Основными функциями службы защиты информации коммерческой фирмы являются следующие: • организация и осуществление совместно с подразделениями фирмы защиты конфиденциальной информации; • проверка сведений о попытках шантажа, провокаций и иных акций в отношении персонала, преследующих цель получения конфиденциальной информации о деятельности фирмы; • организация сбора, накопления, автоматизированного учета и анализа информации по вопросам безопасности; • проведение проверок в подразделениях фирмы и оказание им практической помощи по вопросам информационной безопасности их деятельности; • разработка и внедрение положения о коммерческой тайне; • проверка правил ведения закрытого делопроизводства; 117 • проверка работников на предмет соблюдения правил обеспечения экономической, информационной и физической безопасности; • оказание содействия отделу кадров по работе с персоналом в вопросах подбора, расстановки, служебного перемещения и обучения персонала; • сбор, обработка, хранение, анализ информации о контрагентах с целью предотвращения сделок с недобросовестными партнерами; • выполнение поручений руководства фирмы, входящих в компетенцию службы; • взаимодействие с правоохранительными органами, проведение мероприятий по выявлению и предупреждению различного рода финансово-хозяйственных правонарушений; • проведение служебных расследований по фактам разглашения конфиденциальной информации, потери служебных документов работниками фирмы и действий угрожающих экономической безопасности фирмы. Организация, задачи и функции службы защиты информации коммерческой структуры закрепляются в Положении о службе защиты информации, пример которого приводится в приложении 12. Правовой базой для создания службы безопасности является Закон РФ от 11 марта 1992 г. "О частной детективной и охранной деятельности в Российской Федерации" № 2487-1, которым предусматривается (ст. 14), что предприятия, расположенные на территории Российской Федерации, независимо от их организационно - правовых форм, вправе учреждать обособленные подразделения - службы безопасности, для осуществления деятельности по защите безопасности собственных экономических интересов. Создание собственной службы информационной защиты представляет на практике определенную трудность, поскольку каждый субъект предпринимательства сугубо индивидуален, поскольку специфична его деятельность. Однако, можно выделить ряд этапов, рекомендуемых предпринимателям при создании службы безопасности: 118 1.Принятие решения о необходимости создания службы защиты информации. Вопрос о создании службы защиты информации в идеале должен возникать в момент принятия решения об организации хозяйствующего субъекта, в зависимости от выбираемого вида деятельности, размера годового оборота и прибыли, использования секретов производства, количества работников и т.п. Учредители должны заранее предусмотреть необходимость создания службы защиты информации и определить ответственное лицо, которое будет непосредственно заниматься организацией этой службы. Если необходимость создания службы защиты информации созрела в процессе функционирования фирмы, то, как правило, такая служба создается в процессе разработки политики информационной безопасности хозяйствующего субъекта. 2. Определение общих задач службы защиты информации. В задачи службы защиты информации входит: предупреждение угроз, реагирование на возникшие угрозы и определение конкретных объектов >■' защиты (персонал, конфиденциальная информация, компьютерные системы, здания и помещения). 3. Разработка положения о службе защиты информации. В нем определяется структура, и утверждается штат службы. Наличие соответствующей законодательной базы позволяет создать легальную службу безопасности (приложение 11). 4. Набор кадров в службу информационной безопасности. Работниками службы информационной безопасности могут быть люди, специально и постоянно занимающиеся данной деятельностью как основной и привлеченные специалисты (например, главный бухгалтер, юрист и пр.). При подборе постоянных работников в качестве важнейшего требования выступает профессиональная подготовка. В связи с этим предпочтение следует отдавать высококвалифицированным специалистам в области безопасности и бывшим работникам правоохранительных органов (МВД, ФСБ, прокуратуры, налоговой полиции) с соответствующим опытом работы и морально-деловым качествами для данной деятельности. 5.Непосредственная организация и функционирование службы защиты информации. В процессе функционирования службы значительную роль играет умелая расстановка кадров, распределение прав, полномочий и степени ответственности, что позволяет обеспечить эффективную работу подразделения. Примерная рекомендуемая нами структура службы защиты информации хозяйствующего субъекта приведена на рис. 17.
Рис.17. Примерная структура службы защиты информации хозяйствующего субъекта. 120 фирмы, идет профилактическая работа по их предупреждению и деятельность всех подразделений проходит в повседневном ритме. Возникающие проблемы и угрозы носят локальный характер и преодолеваются текущей работой подразделений фирмы, в том числе службой защиты информации. При чрезвычайном режиме возникают неожиданные угрозы с высокой или значительной тяжестью последствий. В этом случае руководитель службы защиты информации собирает группу чрезвычайных ситуаций (кризисную группу), включающую наиболее квалифицированных в данной проблеме специалистов фирмы, для ее решения. Эта группа работает не постоянно, а лишь по мере необходимости. Отделы службы защиты информации часто состоят из отделений, отвечающих за конкретные направления в рамках работы данных отделов. Предлагаем примерную схему организации отделов службы: Рис.18. Примерная схема организации отделов службы защиты информации. Основные функции отделов службы безопасности: 1. Информационно-аналитический отдел:
121 оптимизирует деятельность службы защиты информации, минимизирует риски и максимизирует прибыли. Участвует в разработке политики информационной безопасности организации и проектировании интегрированной системы безопасности. Должен работать непрерывно, отслеживая изменение параметров системы. Разрабатывает оперативно-тактические планы. 2. Отдел собственной безопасности: обеспечивает контроль персонала, проверку деятельности персонала по обеспечению безопасности, усилению исполнительской дисциплины, взаимодействие с правоохранительными органами. Подсистема функционирует на основе принципов объективности, систематичности, своевременности, конкретности, целенаправленности. Используемые методы: наблюдение, обследование, эксперимент. По результатам контрольно-проверочных мероприятий разрабатываются конкретные предложения по устранению имеющихся недостатков и оказанию практической помощи исполнителям в совершенствовании работы. 3. Отдел обеспечения режима и физической охраны: обеспечивает сохранность материальных ценностей, физических носителей информации и персонала от потенциально возможных угроз. 4. Инженерно-технический отдел: на основе разработанной политики информационной безопасности обеспечивает оптимальное распределение технических средств по всей структуре службы защиты информации. Осуществляет контроль работы, своевременное обновление и внедрение парка новых технических средств. За счет этого достигается минимизация людских и иных ресурсов в процессе обеспечения информационной безопасности, а также обеспечивается максимальная надежность охраны, минимальные затраты на эксплуатацию. 5. Отдел экономической и информационной безопасности: обеспечивает безопасность экономической деятельности организации и защиту ее коммерческой тайны. Осуществляет получение дополнительной информации об экономическом пространстве и его изменении законными путями. 122 Обеспечивает защиту от промышленного шпионажа, недобросовестной конкуренции, разведывательных мероприятий других организаций. Осуществляет взаимодействие со средствами массовой информации. 6. Юрист-эксперт, юрист-консультант: осуществляет детальный анализ всех документов, подлежащих утверждению руководителями организации. Контроль документооборота, экспертиза договоров и своевременный учет изменения законодательства, разработка правовых мер по предотвращению негативных для организации явлений (ликвидации организации, штрафных санкций, юридических исков и т.п.). 7. Оперативный совет безопасности: является консультационным органом службы защиты информации и служит для разрешения спорных и сложных вопросов в осуществлении деятельности службы. В этот совет входят руководитель организации и ведущие специалисты из всех подразделений службы защиты информации, председателем является, как правило, руководитель организации. 8. Кризисная группа: оказывает противодействие внезапно возникающим критическим (кризисным) ситуациям, то есть оценке обстановки, принятию неотложных мер по информационной безопасности, управлению деятельностью фирмы в экстренных условиях, обеспечению оперативного взаимодействия с органами правопорядка. Она создается из числа ключевых фигур организации: руководителя, начальников подразделений, филиалов, служб, юриста, главного бухгалтера и др. В каждом конкретном случае в состав кризисной группы могут включаться те или иные специалисты. Рабочие заседания группы должны проходить в условиях предельной конфиденциальности. Особое внимание следует уделять постоянному взаимодействию службы защиты информации с правоохранительными органами. Взаимодействие службы защиты информации и правоохранительных органов может осуществляться по следующим направлениям: 123 • Кадры - проверка правоохранительными органами кандидатов на работу, подготовка с помощью правоохранительных органов работников служб информационной безопасности. • Информация - обмен взаимной информацией о способах совершения противоправных действий, потенциально опасных лицах и пр. • Организационное взаимодействие - создание системы совместного противодействия незаконной деятельности со стороны физических и юридических лиц (организация охраны, установка сигнализации, системы быстрого оповещения правоохранительных органов). Особо важное значение для минимизации негативных последствий возникших угроз играет своевременное и оперативное информирование сотрудниками службы защиты информации правоохранительных органов об обнаружении правонарушений, приведших к негативным последствиям для коммерческой организации и повлекшим наступление ответственности, носящей одновременно как гражданско-правовой, так и уголовный характер. Практическая деятельность службы защиты информации должна основываться на использовании типовых схем, процедур и действий. Прежде всего следует сказать об общем алгоритме действий, на котором основана работа службы защиты информации. Он включает следующую последовательность операций (рис.19): Рис. 19. Алгоритм действий службы защиты информации.
124 Система предупредительных мер включает деятельность по изучению контрагентов, анализу условий договоров, соблюдению правил работы с конфиденциальной информацией, защите компьютерных систем и т.д. Эта деятельность осуществляется регулярно и непрерывно. Она обеспечивает защиту информационной безопасности на основе постоянно действующей системы организационных мероприятий. В заключении необходимо отметить: 1. При построении политики информационной безопасности руководитель хозяйствующего субъекта и начальник службы защиты информации должны очень тщательно анализировать полный набор угроз, глубокое знание и своевременное выявление которых позволит службе защиты информации превентивно их блокировать. Накопленный в мире опыт в области безопасности показывает, что: • Анализ угроз и разработка политики информационной безопасности не должны быть одноразовыми актами. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных форм, методов, способов и путей создания, совершенствования и развития системы информационной безопасности, непрерывном управлении ей, контроле, выявлении ее слабых мест и ликвидации недостатков; • Информационная безопасность может быть обеспечена лишь при комплексном использовании всего арсенала сил и средств во всех структурных элементах системы, то есть использовании комплексной системы информационной безопасности; • Никакая комплексная система информационной безопасности не может обеспечить требуемый уровень безопасности без надлежащей подготовки персонала организации и пользователей и соблюдения ими всех установленных правил, направленных на обеспечение информационной безопасности. 125 3.3. Определение роли мониторинга системы защиты информации и его значение в формировании политики информационной безопасности субъекта предпринимательской деятельности Для обеспечения высокой конкурентоспособности предпринимательской деятельности путем поддержания информационной безопасности и противодействия внутренним и внешним угрозам коммерческим интересам фирмы важнейшее значение принадлежит мониторингу правильного функционирования системы защиты информационной безопасности хозяйствующего субъекта. Мониторинг системы информационной безопасности — это деятельность, направленная на проверку, контроль, анализ и оценку текущего положения и прогноз в области информационной безопасности субъекта предпринимательской деятельности. Мониторинг системы информационной безопасности понимается сегодня достаточно широко. За этим названием скрываются, по крайней мере, три различных группы работ: К первой группе относятся так называемые «тестовые взломы» систем информационной безопасности предприятия. Но, как показывает практика, этот подход является мало эффективным. Причина малой эффективности «тестовых взломов» с точки зрения получения сведений об информационной безопасности ресурсов предприятия скрывается в самой постановке задачи. Как правило, основной задачей является обнаружение одной-двух уязвимостей и их максимальная эксплуатация для доступа в систему. Если тест оказался ТУ успешным, то, предотвратив потенциальное развитие возможных сценариев тестовой атаки, работу необходимо начинать сначала и искать следующие. Неуспех атаки может означать в равной мере, как защищенность системы, так и недостаточность тестов. Вторая группа работ по проведению мониторинга информационной безопасности хозяйствующего субъекта - экспресс-обследование. В рамках этой, обычно непродолжительной, работы оценивается общее состояние 126 механизмов безопасности информационных ресурсов на основе стандартизованных проверок. Экспресс-обследование обычно проводится в случае, когда необходимо проконтролировать функционирование системы информационной безопасности фирмы и определить приоритетные направления, позволяющие обеспечить минимальный уровень защиты информационных ресурсов. Основу для него составляют списки контрольных вопросов, заполняемые как в результате интервьюирования персонала, так и в результате работы автоматизированных сканеров защищенности. Третья группа работ по проведению мониторинга информационной системы хозяйствующего субъекта является самой трудоемкой, проводится полное обследование защищенности информационной системы данного субъекта. Такое обследование предполагает анализ организационной структуры предприятия в приложении к информационным ресурсам, правил доступа сотрудников к тем или иным информационным ресурсам. Затем выполняется анализ самих информационных ресурсов. Картина дополняется встроенными механизмами безопасности, что в сочетании с оценками потерь в случае нарушения информационной безопасности дает основания для ранжирования рисков, существующих в информационной системе, и выработки адекватных контрмер. Успешное проведение полного обследования и анализа рисков определяет, насколько принятые меры будут, с одной стороны, экономически оправданы, с другой — адекватны угрозам. Применение методологии сценарного анализа (п.2.3.) позволяет эффективно справиться с этой задачей. Мониторинг системы информационной безопасности следует рассматривать как инструмент в формировании политики информационной безопасности предприятия. Политику информационной безопасности можно представить как совокупность следующих этапов, среди которых мониторинг играет одну из ключевых ролей (рис.20.):
Рис.20. Роль и место мониторинга в формировании политики безопасности коммерческого предприятия. На этапе формирования требований к политике информационной безопасности определяются требования защищенности имеющейся информационной системы хозяйствующего субъекта, это подробно рассмотрено в п.3.1. (рис. 15.). Следующий этап — непосредственно проектирование и построение системы информационной безопасности коммерческого предприятия, включающее в себя комплекс организационных мер и технических средств защиты информации. Назначение системы информационной безопасности субъекта предпринимательской деятельности реализуется в ее политике информационной безопасности (п.3.1.). Мониторинг состояния реализованной системы защиты информации и контроль соблюдения политики информационной безопасности позволяют своевременно выявить существующие бреши в безопасности хозяйствующего субъекта и объективно оценить соответствие параметров, характеризующих режим безопасности, необходимому уровню. Под мониторингом подразумевается оценка текущего состояния безопасности на соответствие основно-правовым актам, методологическим 128 документам по ИБ (приложение 1) и предъявленным при выработке политики информационной безопасности требованиям. В процессе проведения проверки анализируются и оцениваются следующие положения: 1. Организационная инфраструктура информационной безопасности на местах (распределение обязанностей сотрудников по обеспечению безопасности); 2. Документированная политика безопасности предприятия, и в частности: • подход к оцениванию и управлению рисками в рамках всей организации; • обоснование выбора средств защиты; • процедура принятия уровня остаточного риска; • результаты оценивания рисков по информационной системе предприятия; • контрмеры для противодействия выявленным рискам; • эффективность использования контрмер и результаты их тестирования и т.д. В процессе проверки на соответствие требованиям безопасности могут быть получены следующие ответы: - Да, это требование полностью выполняется; - Частично, некоторые положения выполняются, но этого недостаточно для положительного ответа; - Нет, это требование не выполняется, либо к данной системе оно не применимо. Если требование не выполняется или выполняется частично, то указывают причину (или причины) этого, относя их к одной из следующих категорий: • Это требование ранее не учитывалось, считалось несущественным ; • Финансовые ограничения; 129 • Препятствуют внешние факторы ( климатические факторы и т.д.); • Временные ограничения ( не все требования могут быть выполнены одновременно, впоследствии по мере возможностей постепенно будут выполнены); • Прочее. На основе ответов составляется «Ведомость соответствия». Основная цель этого документа - дать аргументированное обоснование имеющих место отклонений предъявленных при выработке политики безопасности требований. После проведенной проверки необходимо иметь четкое представление о степени серьезности обнаруженных недостатков, их категориях и способах исправления. В практике используются следующие категории несоответствия: • Существенное несоответствие. Не выполняется одно или несколько базовых требований, либо установлено, что используются неадекватные меры защиты конфиденциальности, целостности или доступности критически важной информации. • Несущественное несоответствие. Не выполняются некоторые второстепенные требования, что влечет за собой некоторое повышение рисков или снижение эффективности защитных мер. Каждое несоответствие имеет ссылку на соответствующее требование по обеспечению информационной безопасности. В итоге работы необходимо проанализировать все существенные аспекты информационной безопасности с учетом величины проверяемой организации и специфики ее деятельности, учесть ценность информации, подлежащей защите. Как следствие, опыт и компетентность специалистов, проводящих мониторинг, являются весьма существенными факторами, оказывающими влияние на итоговый результат. В результате проведения мониторинга создается список выявленных несоответствий требованиям ИБ или замечаний, а также рекомендации по их исправлению. 130 Для проведения мониторинга системы информационной безопасности создается специальная комиссия. Руководитель фирмы совместно с руководителем службы безопасности определяет ее членов из числа наиболее надежных и квалифицированных работников фирмы. В необходимых случаях могут привлекаться и внешние специалисты. Но тенденции развития этого направления таковы, что руководители коммерческих фирм все чаще склоняются к созданию службы внутрифирменного мониторинга, поскольку гораздо дешевле предотвратить правонарушения собственными силами, чем потом бороться с их последствиями. На основе результатов проведенного мониторинга системы информационной безопасности хозяйствующего субъекта разрабатывается проект, назначение которого состоит в модернизации старых и внедрении новых схем защищенного взаимодействия в рамках информационной системы хозяйствующего субъекта, что находит свое отражение в новом доработанном варианте политики информационной безопасности предприятия. Регулярный мониторинг системы информационной безопасности является одним из обязательных условий сохранения адекватного уровня информационной безопасности фирмы. Поэтому, основываясь на вышесказанном и подводя итог 3-ей главе, можно сделать следующие выводы: • В основе разработки комплексной и эффективной системы обеспечения экономической безопасности предпринимательства в аспекте защиты его коммерческих интересов и в целях поддержания его конкурентоспособности на внутреннем и мировом рынках в должна лежать определенная политика информационной безопасности, которая включает описание цели комплексной системы защиты, ее задачи, принципы деятельности, философию безопасности, стратегию и тактику, а также объект и субъект защиты. • Наличие эффективно разработанной политики безопасности является четким и бесспорным доказательством намерений субъекта хозяйственной 131 деятельности относительно информационной защиты, что положительно сказывается на его положении на конкурентном рынке, работе с партнерами, на повышении производительности труда персонала, на привитии культуры информационной безопасности на хозяйствующем субъекте и на привлечении инвестиций в предпринимательский бизнес. • Политика информационной безопасности предполагает разработку специальных мер организационного и технического характера, среди которых особое место занимает создание службы собственной информационной безопасности. • Разработка политики информационной безопасности субъекта предпринимательской деятельности начинается с формирования требований к безопасности информационных ресурсов предприятия. От качественного проведения этого этапа зависит уровень всех дальнейших проектных решений по защите информационной среды предприятия. • Мониторинг состояния реализованной системы информационной "*" безопасности является важнейшим инструментом в формировании политики информационной безопасности хозяйствующего субъекта, что позволяет оценить текущее состояние безопасности на соответствие предъявленным требованиям ИБ, выявить существующие бреши в защищенности предприятия и дать рекомендации по их исправлению. • На основе результатов мониторинга разрабатываются и внедряются новые решения в рамках информационной системы хозяйствующего субъекта. Это находит свое отражение в доработанном новом варианте политики ГУ безопасности хозяйствующего субъекта. • Так как процесс совершенствования политики информационной безопасности хозяйствующего субъекта имеет постоянный циклический характер, поэтому мониторинг системы безопасности является одним из обязательных условий сохранения адекватного уровня информационной безопасности коммерческой фирмы. 132 ЗАКЛЮЧЕНИЕ Стремительное развитие информационных технологий на современном этапе, признание конкуренции как главного фактора, обеспечивающего преимущество на рынке отдельных фирм, активизация экономической разведки привели в настоящее к необходимости пересмотра традиционных подходов к обеспечению сохранения конфиденциальной информации и коммерческой тайны хозяйствующих субъектов. В поддержании высокой конкурентоспособности предпринимательской деятельности особое место принадлежит проблеме формирования эффективной системы информационной безопасности хозяйствующих субъектов. Изложенные в диссертационной работе теоретические, организационные и прикладные проблемы построения и функционирования системы ИБ коммерческой информации субъекта предпринимательской деятельности позволили подробно рассмотреть наиболее существенные вопросы, относящиеся к построению эффективной политики информационной безопасности данных субъектов. Данный факт особенно существенен и актуален в настоящее время, так как без обеспечения стройной и целенаправленной организации процесса противодействия недобросовестной конкуренции, различного рода угрозам конфиденциальной корпоративной информации невозможно создать условия для безопасного и устойчивого развития и функционирования предпринимательских структур на внутреннем и мировом конкурентных рынках. В процессе проведения диссертационного исследования, направленного на достижение поставленных целей и задач, получены следующие теоретические и практические результаты: Обобщен и систематизирован круг проблем, относящихся к обеспечению безопасности информационной среды предпринимательской деятельности. Проведенный анализ показал, что обеспечение защиты информационных ресурсов хозяйствующих субъектов решается построением системы 133 информационной безопасности данных субъектов. Причем только комплексный подход к обеспечению информационной безопасности, предполагающий рациональное сочетание правовых, программно-технических и организационных мер, способен эффективно решить данную проблему. На основе проведенного исследования автором сделан вывод, что функционирование системы обеспечения информационной безопасности предпринимательства должно основываться на 4-х уровнях: - Создание политико-правовых международных условий существования субъектов предпринимательской деятельности в рамках государства; - Обеспечение достижимости макроэкономических целей на федеральном и региональном уровнях путем создания внутригосударственной подсистемы экономической безопасности; - Создание объектовой защиты негосударственных субъектов экономики от противоправных посягательств с использованием сил и средств самих объектов защиты; - Обеспечение непосредственно информационной защиты хозяйствующих субъектов путем построения систем информационной безопасности и внедрения политики безопасности на данных субъектах. На основе проведенного анализа и сравнения отечественного и зарубежного опыта обеспечения информационной безопасности частного предпринимательства автором выявлены основные тенденции развития отечественного рынка информационной безопасности, выражающиеся в адаптации к российским условиям и применении на практике методик международных стандартов, а также использовании внутренних корпоративных методик и разработок, позволяющих вывести на качественно новый уровень эффективность экономической безопасности российского бизнеса путем сохранения конкурентных преимуществ. Автором проанализированы понятия конфиденциальной информации, ее основных категорий и коммерческой тайны субъектов предпринимательской деятельности. В рамках предложенной классификации выделены составляющие 134 коммерческой тайны по функционально-целевому признаку, детально исследованы сущность и признаки угроз конфиденциальной информации, что позволило сделать вывод о необходимости построения политики информационной безопасности субъекта предпринимательской деятельности на основе комплексного подхода, учитывающего многообразие потенциальных угроз информации, назначение объекта защиты, его размеров, условий размещения и характера деятельности. В диссертационной работе подробно рассмотрены основные шаги построения системы информационной безопасности предпринимательских структур, среди которых анализ и оценка рисков информационных ресурсов играют ведущую роль. В процессе исследования зарубежных и отечественных подходов к оценке рисков информационных систем автором была предложена и апробирована методика определения рисков коммерческих информационных систем, исходя из формализованных качественных показателей определяющих факторов, позволяющая оценить степень информационного риска в ситуациях, когда невозможно воспользоваться традиционными методиками, использующими количественные характеристики для расчета величины риска. Также была разработана модель процесса управления информационными рисками, суть которой заключается в оценке рисков и выборе эффективных и экономичных защитных регуляторов, даны общие рекомендации по применению комбинированного подхода к различным методикам определения рисков. В рамках анализа различных методологий расчета экономической эффективности системы защиты информации сделан вывод, что разумным компромиссом, подразумевающим необходимость учета экономического (финансового) и, так называемого, «неэкономического» качественного аспекта в критерии эффективности применения системы информационной безопасности, следует считать формализацию показателей эффективности в координатах «затраты преимущества». Автором предложен методологический 135 подход к формализации данных показателей, значения которых неравноценны, а единицы измерения несовместимы. Автором разработана и апробирована методика определения затрат при расчете эффективности применения системы информационной безопасности на хозяйствующем субъекте на основе расчета показателя «эффективность-стоимость», что позволило конкретно оценить практические результаты от функционирования системы защиты информационной среды. В диссертационной работе разработан подход к методологии построения сценарного анализа и прогнозирования поведения системы информационной безопасности при возникновении различных угроз информационной среде субъекта, исследован алгоритм разработки сценариев, проанализированы зарубежные и отечественные программные продукты, используемые при сценарном прогнозировании, классифицированы различные модели потенциальных нарушителей информационной безопасности. На основе обобщений и формализации исследованных отдельных подходов определена методология построения сценарного анализа поведения коммерческих информационных систем, которая легла в основу программного продукта, находящегося в настоящее время в стадии пилотного проекта. В процессе исследования автор приходит к выводу об обязательной необходимости применения всех 3-х выше предложенных методологий (анализа рисков, расчета экономической эффективности, сценарного анализа и прогнозирования) при построении эффективной системы защиты безопасности субъектов предпринимательской деятельности. Существенно и качественно выполненный анализ информационных рисков позволяет провести сравнительный анализ по критерию «эффективность-стоимость» различных вариантов защиты, а применение метода сценарного анализа позволяет принять решение о целесообразности использования того или иного варианта защиты конфиденциальной информации, построить структурные и объектно-ориентированные модели информационных угроз и рисков и выявить те особо 136 важные точки защищаемого объекта, риск нарушения которых является критическим, то есть, неприемлемым. В диссертационной работе автор делает вывод, что в основе разработки комплексной и эффективной системы обеспечения экономической безопасности предпринимательства в аспекте защиты его коммерческих интересов и, таким образом, обеспечения его конкурентоспособности, должна лежать определенная политика информационной безопасности, которая включает описание философии безопасности, цели комплексной защиты, ее задачи, принципы деятельности, а также стратегию и тактику защиты. Автором подробно исследована модель построения политики информационной безопасности хозяйствующих субъектов, принципиально важным моментом которой является формирование требований к безопасности информационных ресурсов, подробно рассмотрены и классифицированы основные угрозы информационной безопасности деятельности данных субъектов. В работе предложена и апробирована модель организации отделов службы безопасности, созданием которой и завершается построение системы защиты информации субъекта предпринимательской деятельности. Выделены ряд этапов, рекомендуемых при создании службы безопасности, описаны функции отдельных подразделений и обоснована необходимость создания кризисной группы для принятия решений при чрезвычайных обстоятельствах, приведен алгоритм действий службы безопасности. На основе проведенного исследования выявлены роль и место мониторинга системы защиты ИБ в формировании политики информационной безопасности предпринимательской структуры, проведение которого носит постоянный циклический характер и позволяет оценить текущее состояние безопасности на соответствие предъявленным требованиям, выявить существующие бреши в защищенности хозяйствующего субъекта и дать рекомендации по их исправлению. 137 СПИСОК ЛИТЕРАТУРЫ 1. Гражданский кодекс РФ.- ЭКМОС, 2003. - 272с. 2. Кодекс РФ об административных правонарушениях (с постатейными материалами). - М.: Юридическая литература, 2002. - 1008с. 3. Уголовный кодекс РФ. - Вече, 2003. - 160с. 4. О частной детективной и охранной деятельности в Российской Федерации. - Закон РФ №2487-1 от 11.03.92. 5. О правовой охране программ для электронных вычислительных машин и баз данных. - Закон РФ №3523-1 от 23.09.92. 6. О сертификации продукции и услуг. - Закон РФ №5151-1 от 10.06.93. 7. Об информации, информатизации и защите информации. - Закон РФ №24-ФЗ от 20.02.95. 8. Об участии в международном информационном обмене. - Закон РФ №85-ФЗ от 04.07.96. *>J 9. Доктрина информационной безопасности Российской Федерации. - ■ № Пр.-1895. Утверждена Президентом Российской Федерации 9.09.2000. 10.0 мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации. - Указ Президента Российской Федерации № 334 от 3.04.95. 11.Перечень сведений конфиденциального характера. - Указ Президента Российской Федерации № 188 от 06.03.97. 12.0 передаче сведений, которые не могут составлять коммерческую тайну. - Постановление правительства Российской Федерации № 35 от 05.12.91. 13.Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти. - Постановление Правительства Российской Федерации №1233 от 03.11.94. 138 Н.Положение о лицензировании деятельности по технической защите конфиденциальной информации. - Постановление Правительства Российской Федерации №290 от 30.04.2002. ^.Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации - Руководящий документ. - Гостехкомиссия России - Москва, 1992. 16.Временное положение по организации разработки, изготовления и v эксплуатации программных и технических средств защиты информации А'- от НСД в автоматизированных системах и средствах вычислительной техники - Руководящий документ. - Гостехкомиссия России - Москва, 1992. П.Защита от несанкционированного доступа к информации. Термины и определения. - Руководящий документ. - Гостехкомиссия России - Москва, 1992. •*>' 18.Концепция защиты СВТ и АС от НСД к информации. - Руководящий документ. - Гостехкомиссия России - Москва, 1992. 19.Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. - Руководящий документ. - Гостехкомиссия России - Москва, 1992. 2О.Специальными требованиями и рекомендациями по технической защите t конфиденциальной информации» (СТР-К). - Решение Коллегии Гостехкомиссии России №7.2 от 02.03.01. 21.Азоев Г.Л. Конкуренция: анализ, стратегия и практика. — М.: Центр экономики и маркетинга, 1996. - с.56-69. 22.Алаухов С.Ф., Коцеруба В.Я. Вопросы создания систем физической защиты для крупных промышленных объектов // Системы безопасности. 2001.-№41,-с.93. 139 23.Андреевский Н.А. Подход к построению математической модели системы защиты информации в компьютерной системе // Безопасность информационных технологий №2, 1995. - с.16-17. 24.Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями: Пер. с англ. — М.:Мир, 1999.-351с. 25.Алексеев А.И, Комментарий специалиста.// Частный сыск и охрана №1, 1998. - с.34-36. 26.Архипова Н.И., Кононов Д.А., Кульба В.В., Чернов И.В. Теоретические основы сценарного анализа как методологии построения систем управления безопасностью социально-экономических систем — // Проблемы регионального и муниципального управления. Материалы Международной конференции. 18 мая 2000г. — М.: РГГУ. 2000. с.38-39. 27.Балыбердин А.Л. Основные положения закона Российской Федерации «О государственной тайне» и их влияние на систему защиты информации. // Безопасность информационных технологий №1,. 1999. - с.7-10. 28.Бачило И.Л. Методология решения правовых проблем в области информационной безопасности. // Информатика и вычислительная техника №3, 2000. - с.21-25. 29.Батурин Ю.М. Жиджитский A.M. Компьютерная преступность и компьютерная безопасность — М.: Юридическая литература, 1999 — 162с. ЗО.Бережье Ж. Промышленный шпионаж. — М., 1992. - 165с. 31.Бородина О.А. «Факторы и методы оценки экономической безопасности предприятия». Автореферат диссертации канд. экон. Наук - Донецк, 2002 -25с. 32.Воловик Е.М. Защита данных в распределенных системах // Мир ПК. №10, 1997.-с.166-170. 33.В США принят план защиты информационных систем // Jet Info online, 2000г. - №8(87). 140 34.Гавриш В.А.. Практическое пособие по защите коммерческой тайны. Симферополь: Таврида, 1994. - 112с. 35.Гасанов РМ. Шпионаж и бизнес. - М., 1999. - 213с. 36.Герасименко В.А. «Основы информационной грамоты» М.: Энергоатомиздат, 1996. - 146с. 37.Герасименко В.А. Комплексная защита информации в современных системах обработки данных. // Зарубежная радиоэлектроника №2,1994 - с.35-38. ч 38.Горячев B.C. Информация и ее защита. // Вопросы защиты информации. №2,1994-с.45. 39.Гранберг А.Г., Суспицын С.А. Введение в системное моделирование народного хозяйства. - Новосибирск: Наука. Сиб. отд-ние, 1988. - 304с. 4О.Гузик С. Зачем проводить аудит информационных систем? // Jet Info online, №10(89), 2000. 41.Гуров А.И. Профессиональная преступность: прошлое и современность -tv M.,1996.-116с. 42.Давыдовский А.И. Методология построения безопасных процессов обработки информации. // Безопасность информационных технологий. №1,1999.-с.63-65. 43.Данько Т.П. Управление маркетингом: Учебник. Изд. 2-е, перераб. и доп. - М.: ИНФРА-М, 2001. - 334с. 44. Долгова А.И. Преступность в России // Советская юстиция. — 1993, с.37-3 ., 45.Долгова А.И. Преступность и общество.- М. 1992, - 204с. 46.Ельцин Б.Н. Россия на рубеже эпох. Ежегодное послание Президента // Российская газета, 31 марта 1999г. 47.Жуков А.В., Маркин И.Н., Денисов В.Б. Все о защите коммерческой информации. - М., 1992. - 89с. 48.3егжда Д.П., Ивашко А.М.Основы безопасности информационных систем. - М.:Горячая линия - Телеком, 2000. - 452с. 141 49.Измайлов A.M. "Концептуальное проектирование интегрированных систем безопасности // БДИ №4, 1998. - с. 14. 5О.Казакевич О.Ю. Предприниматель в опасности: способы защиты (практическое руководство для предпринимателей и бизнесменов). Объединение УППИКС, М, 1998, - 256с. 51.Казакевич О.Ю., Конеев Н.В, Максименко В.Г. и др. Предприниматель в опасности: способы защиты. Практическое руководство для предпринимателей и бизнесменов. — М.: Юрфак МГУ, 1992. 119с. s 52.Каторин Ю.Ф., Куренков Е.В., А.В.Лысов, А.Н.Остапенко / Энциклопедия промышленного шпионажа / С.Петербург: ООО «Издательство Полигон», 1999. - 512с. 53.Кедровская Л., Ярочкин В. Коммерческая тайна в условиях рыночной экономики. // Информационные ресурсы России. - 1998, №5-6, с. 11-15. 54.Кравец Л.Г., Обрезанов С.А. Конкурентоспособность предпринимательства и конкурентная разведка. Изд.дом «Права 1* человека», 2002. - 182с. 55.Кобзарь М.Т., Клайда И.А. Общие критерии оценки безопасности информационных технологий и перспективы их использования/ZJet Info.- 1998. -№i. 56.Кобзарь М.Т., Трубачев А.П. Концептуальные основы совершенствования нормативной базы оценки безопасности информационных технологий в России // Безопасность информационных .. технологий №4, 2000. - с.9-11. 57.Кононов Д.А., Кульба В.В. Формирование сценариев развития макроэкономических процессов на базе использования языка знаковых графов. — // Моделирование экономической динамики: риск, оптимизация, прогнозирование. — М.: МГУ. 1997. - с.7-33. 5 8. Королев В.И., Морозова Е.В. Методы оценки качества защиты информации при ее автоматизированной обработке // Безопасность информационных технологий №2, 1995. - с.79-87. 142 59.Кофейников Ю.К. Методы и анализ уязвимости объекта (текущее состояние). Сборник материалов 1-го отраслевого совещания руководителей подразделений безопасности нефтеперерабатывающих и химических предприятий России и СНГ, 2000. - с.34-38. бО.Кульба В.В., Кононов Д.А., Косяченко С.А. Управление безопасностью функционирования сложных систем на основе построения формализованных сценариев их поведения. — //Международная конференция по проблемам управления (29 июня — 2 июля 1999 г.). Избранные труды. Т. 2.. — М.: ИЛУ РАН. 1999. - с.26-34. 61.Кульба В.В., Кононов Д.А., Чернов И.В., Шелков А.Б. Методы решения задач обеспечения экономической безопасности государства. — // Проблемы регионального и муниципального управления. Материалы Международной конференции 18 мая 2000г. — М.: РГГУ. 2000. - с.57-58. 62.Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. - М: Новый юрист, 1999. - с.116. 63.Ларичев В.Д. Как уберечься от мошенничества в сфере бизнеса. - М.: Юристь, 1998,-216с. 64.Левин В.К ~ Защита информации в информационно-вычислительных системах и сетях -- Программирование , №5, 1998. - с.5-16. 65.Лезер Й., Проэктор Д. Революция в политике безопасности. — М., 1996. -304с. бб.Липаев В.В. Стандарты на страже безопасности информационных систем // PC WEEC/RE.- 2000. - №30. 67.Лукацкий А.В. Адаптивная безопасность сети. Компьютер-Пресс, №8, 1999, с.23-34. 68.Лукацкий А.В. Обнаружение атак.- СПб.: БХВ-Петербург, 2001, - 98с. 69.Максименко СВ. Технологическая модель обеспечения достоверности данных информационных технологий. // Безопасность информационных технологий. - 1998, №2, - с. 14-15. 143 70.Максимова В.Ф. Микроэкономика. Учебник. Издание третье, переработанное и дополненное - М.: «Соминтэк», 1996, - 328с. 71.Малежин О.Б. Опыт обеспечения информационной безопасности естественных монополий // Сборник материалов конференции «Информационная безопасность России в условиях глобального информационного общества» 18 июня 2001, Москва. - 2001, - с.46-51. 72.Марков СВ. Без защиты информации нет бизнеса.// «Конфидент» №3, 2002. - с.4-6. ■, 73.Материалы семинара Университета МВД РФ. - СПб.: Университет МВД РФ, 1997.-С.18-25. 74.Минна Р. Закон против мафии. Пер. с итал. - М.,1989. - 115с. 75.Мироничев СЮ. Коммерческая разведка и контрразведка или промышленный шпионаж в России и методы борьбы с ним. М.: Дружок, 1995.-216с. 76.Мишин Е.Т., Оленин Ю.А., Капитонов А.А. Системы безопасности «!/ предприятия — новые акценты // Конверсия в машиностроении№4, 1998. - с.46-51. 77.0бщие критерии оценки безопасности информационных технологий: Учебное пособие. Перевод с англ. Сидак Е.А. // Под ред.Кобзаря М.Т., Сидака А.А. - М.: МГУЛ, 2001. - 84с. 78.Орехов СА. Менеджмент финансово-промышленных групп (учебный курс). Московский государственный университет экономики, статистики и информатики. - М., 2002. - 84с. 79.Орехов С.А., Селезнев В.А. Теория корпоративного управления. // Московский государственный университет экономики, статистики и информатики. - М., 2002. - 148с. 80.Орехов С.А., Агкацева И.Э. Управление финансами корпораций. // Московский государственный университет экономики, статистики и информатики. - М., 2002. - 92с. 144 81.Осипов В.Ю. Оценка ущерба от несанкционированного доступа к электронно-вычислительной системе. // Безопасность информационных технологий №2, 1995. - с. 17-19. 82.Петраков А.В. Основы практической защиты информации. — М.: Радио и связь, 1999.-368с. 83.Петраков А.В. Защита и охрана личности, собственности, информации: Справочное пособие. -М.: Радио и связь, 1997. - 320с. 84.Петренко С.А., Петренко А.А., Аудит безопасности Intranet. - М.:ДМК ■j Пресс, 2002.-416с. 85.Петренко С.А., Симонов СВ. Новые инициативы российских компаний в области защиты конфиденциальной информации // Конфидент №1, 2003. - с.34-38. 86.Портер М. Международная конкуренция: Пер.с англ. / Под ред. и с предисловием В.Д.Щетинина. - М.: Международные отношения, 1993. - 345с. чу 87.Предпринимательство и безопасность. Т.2.Ч.1. - М.:АНТИ, 1991, 346с. 88.Ракитянский Н. Информационная безопасность предприятия. // Информационные ресурсы России №2, 1999. - с.5. 89.Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях / Под. Ред. В.Ф. Шаньгина. — 2-е изд., перераб. и доп. - М.: Радио и связь, 2001. - 376с. 90.Руководство по оценке эффективности инвестиций: Пер. с англ. перераб. и дополн. изд-е. - М.: АОЗТ «Интерэксперт», «ИНФРА-М», 1995.- 98с. 91 .Сардак И.Г. Борьба с экономическими преступлениями выходит на новый уровень // М.: Гротек. Системы безопасности связи и телекоммуникаций №3, 1998-С.13-24. 92.Симонов СВ. Анализ рисков в информационных системах. Практические аспекты./ЯСонфидент №2, 2001. - с.48-53. 93.Симонов СВ. Методология анализа рисков в информационных системах.// Конфидент №1,2001. - с.72-76. 145 94.Симонов СВ. Технологии аудита информационной безопасности.// Конфидент №2, 2002. -с.З6-41. 95.Скуратов Ю.И., Лебедев В.М. Комментарий к Уголовному кодексу Российской Федерации - М.: Инфа-М - Норма, 1996, - 98с. 96.Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах. - М.:ДМК Пресс, 2002. - 134с. 97.Спесивцев А.В., Вегнер В.А., Крутиков А.Ю., Серегин В.В. Защита информации в персональных ЭВМ - М.: Радио и связь, «Веста», 1998. -, 191с. 98.Спицнадель В.Н. Основы системного анализа: Учебн.пособие. — СПб.: Бизнес-пресс, 2000. - 176с. s 99.Степанов Е. «Кроты» на фирме (персонал и конфиденциальная информация)// Предпринимательское право №4, 1999. - с 49. 100. Сырков Б. Компьютерная преступность в России. Современное состояние // Системы безопасности связи и телекоммуникаций. М.: +S Гротек №4, 1998. - с.З6. 101. Трубачев А.П., Долинин М.Ю., Кобзарь М.Т., Сидак А.А., Сороковиков В.И. Оценка безопасности информационных технологий // Под общ. Ред. В.А. Галатенко. -М.:СИП РИА, 2001. - 356с. 102. Тюнина Н.О. Анализ причин потерь информации в предпринимательской сфере на основе сбора статистических данных. Теория и практика статистического анализа: Сборник научных трудов./ .j Московский государственный университет экономики, статистики и информатики. - М., 2002. - с.78-81. 103. Тюнина Н.О. Основы формирования политики безопасности в коммерческой фирме как субъекте предпринимательской деятельности. Организационно-управленческие проблемы трансформации Российской экономики. Сборник трудов Межвузовского научного семинара. / Под ред.: д.э.н. проф. Ильенковой СВ. - М.:ИНИОН РАН, 2002. - с. 163-166. 146 104. Тюнина Н.О. Оценка эффективности применения информационных технологий при подготовке руководителей высшего и среднего звена для современного бизнеса. Роль информационных технологий при обучении на программе MB А: Сборник тезисов докладов.- М.: Издательский центр МЭСИ, 2003. - с.272-276. Ю5.Фатхутдинов Р. А. Конкурентоспособность: экономика, стратегия, управление. - М: ИНФРА-М. - 2000. - 312с. 106. Фатхутдинов Р.А. Стратегический маркетинг: Учебник. - М.: БШ, 2000. - 640с. 1О7.Хриби У., Гэмми Б., Уолл С. Экономика для менеджеров: Учеб.пособие для вузов / Пер. с англ. под ред. A.M. Никитина - М.: ЮНИТИ, 1999. -535с. 108. Черней Г.А. Моделирование задач оценки эффективности информационной безопасности экономических информационных систем. Автореферат диссертации канд. эконом, наук - М., 1996. - 24с. 1О9.Шаваев А.Г. Безопасность копрораций. Криминологические, уголовно-правовые и организационные проблемы. - М.:Концерн «Банковский Деловой Центр», 1998. - с.42. ПО. Шанк Дж., Говиндараджан В. Стратегическое управление затратами / Пер. с англ. СПб.: ЗАО «Биснес Микро», 1999. - 288с. 111. Шибалкин О.Ю. Проблемы и методы построения сценариев социально-экономического развития. — М.: Наука, 1992. - 176 с. 112. Шлыков В.В. Комплексное обеспечение экономической безопасности предприятия. — СПб: "Алетейя", 1999. - с.59. 113. Шумпетер Й. Теория экономического развития. - М., 1982. - с. 159. 114. Юданов А.Ю. Конкуренция: теория и практика: Учебн. Пособие, 2-е изд. - М.: Гном-Пресс, 1998. 115.Ярочкин В.И. Безопасность информационных систем. - М. Ось-89, 1997 - 320с. 116. Ярочкин В.И. Система безопасности фирмы. - М. Ось-89, 1997. - 192с. 147 П7.Ярочкин В.И. Предприниматель и безопасность. - М., Ось-89, 1994. - 234с. П8.Ярочкин В.И. Секьюритология - наука о безопасности жизнедеятельности. - М.: "Ось-89", 2000. - с.151. 119. A practical guide to the use of CRAMM, 1998. 120. Baker R.H. Computer Security Handbook. Blue Ridge Summit (Pensylvania): TAB Professional Reference Books, 1994. 121. Barker L.K., Nelson L.D. Security standart - gavernment and commercial. // > AT&Technical Journal. - 1998, vol.67, № 3, p.9-18. 122. Daly J. Virus vagaries foil feuds. // Computerworld. - 1996, vol.27, №28, p.1,15. 123.Information security management. Part 2. Specification for information security management systems. British Standart BS7799, Part 2, 1998. 124. Information security management: an introduction. DISC PD 3000, 1998. 125. Information security. Handbook - N.Y., 1999. ■+.- 126. Information Technology Security Evaluation Criteria (ITSEC). Harmonised Criteria of France — Germany — the Netherlands — the United Kingdom ~ Department of Trade and Industry, London , 1991. 127. ISO/IEC 15408-1 Information technology - Security technigues - Evaluation criteria for IT security - Part 1: Introduction and general model, 1999. 128. Savka K. Security Resources Planning//Competitive Intelligence Magazine, Sept-Oct2001. 129. Security Architecture for Open Systems Interconnection for CCITT Applications. Recommendation X.800 — CCITT, Geneva, 1991. 130. Styblinski M.A. Formulation of the drift reliability optimization problem. // Microelectronic Reliab. - 1997, vol.31, № 1, p. 159-171. 131. Wolfe A.B. Computer Security: For Fun and Profit.// Computer&Security.-1995, №14, p.l 13-115. 132.www.agentura.ru/dosie/fapsi/tesis - Тезисы выступления генерального директора ФАПСИ Матюхина В.Г. на открытии Всероссийской 148 конференции «Информационная безопасность России в условиях глобального информационного общества». 133. www.bsi.bund.de/gshb/english/menue.htm - BSI Bundesamt fur Sicherheit in der Informationstechnik. 134. www.cnews.ru - Анализ угроз ИБ. Архив 2001 года. Холдинг РБК. 135.www.home.cris.net/~maikl/Komp/08.htm - Практика защиты коммерческой тайны в США. 136.www.isn.ru/indexll2.shtml - Анатомия информационной безопасности , США. Статья А.Левакова. 137.www.newasp.omskreg.ru/bekryash/litl - Электронный учебник «Теневая экономика и экономическая преступность». 138. www.oviont.ru/articles.show.html - Стандарт ISO 17799. 139. www.pcweek.ru/Year2001 /N37/CP1251 /NetWeek/chapt I .htm - NETWEEK безопасность. 140. www.sssr.hl.ru/3isol5408100.htm-rOCTP ИСО/МЭК 15408-1-2001. -А" 141. www.unix I .jinr.ru/faq guide/securitv/jet/analiz riskov/articlel. 1.1999.html - UNIXGEMS (статьи по информационной безопасности). 142. www.unixl .jinr.ru/faq_guide/security/jet/infosec/articlel. 1-3.1996.html Информационная безопасность. Статья В.Галатенко. 143. www.usp-compulink.ru - Официальный сайт компании «Компьюлинк». 144. www.osp.ru/os/2002/07-08/054 1 .htm - Функциональная безопасность корпоративных систем. Статья И.Трифаленкова, Н.Зайцевой. .t 145.www.iis.ru/library/riss/riss.ru.htm - Концепция формирования информационного общества в России. 146.www.hse.ru/~erussia/defau1t.htm - Федеральная целевая программа "Электронная Россия на 2002-1010 годы." 147.www.iis.ru/library/isp2010/isp2010.ru.html - Концепция федеральной целевой программы "Развитие информатизации в России на период до 2010 года". 149 148. www.pubs.carnegie.ru/books/2002/08is Интернет и российское общество. Под редакцией И.Семенова. (Книга). 149. www.netconference.ru/documents/index.asp?id=49# - . Анализ готовности России к вхождению в глобальное информационное общество. Статья А.Короткова. 150. www.pcweek.ru/yearl 998/п48/ср 1251 /reviews/chapt4.htm - Россия и глобальное информационное общество. Статья В. Дрожжинова, Ф.Широкова. , 151. www.e-commerce.ru - Организация защиты коммерческой тайны. 152. www.OXPAHA.ru - Российские проблемы информационной безопасности. 153. www.scrf.gov.ru/documents/decree/2000/24-l .html- Концепция национальной безопасности РФ. 150 Приложение 1. Основные нормативные правовые акты и методические документы по защите конфиденциальной информации. 1. Федеральный закон от 20.02.95 г. №24-ФЗ "Об информации, информатизации и защите информации". 2. Федеральный закон от 04.07.96 г. №85-ФЗ "Об участии в международном информационном обмене". 3. Федеральный закон от 16.02.95 г. №15-ФЗ "О связи". '^' 4. Федеральный закон от 26.11.98 г. № 178-ФЗ "О лицензировании отдельных видов деятельности". 5. Указ Президента Российской Федерации от 19.02.99 г. № 212 "Вопросы Государственной технической комиссии при Президенте Российской Федерации". 6. "Доктрина информационной безопасности Российской Федерации", утверждена Президентом Российской Федерации 9.09.2000 г. № Пр.-1895. ' 7. Указ Президента Российской Федерации от 17.12.97 г. № 1300 "Концепция национальной безопасности Российской Федерации" в редакции указа Президента Российской Федерации от 10.01.2000 г. №24. 8. Указ Президента Российской Федерации от 06.03.97 г. № 188 "Перечень сведений конфиденциального характера". 9. Постановление Правительства Российской Федерации от 03.11.94 г. №1233 "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органов исполнительной власти". Ю.Решение Гостехкомиссии России и ФАПСИ от 27.04.94 г. № 10 "Положение о государственном лицензировании деятельности в области защиты информации" (с дополнением). 11 .Постановление Правительства Российской Федерации от 11.04.2000 г. № 326 "О "лицензировании отдельных видов деятельности". 12. "Сборник руководящих документов по защите информации от несанкционированного доступа" Гостехкомиссия России, Москва, 1998г. 151 13.ГОСТ Р 51275-99 "Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения" 14.ГОСТ Р 50922-96 "Защита информации. Основные термины и определения" 15.ГОСТ Р 51583-2000 "Порядок создания автоматизированных систем в защищенном исполнении" 16.ГОСТ Р 51241-98 "Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний". 17.ГОСТ 12.1.050-86 "Методы измерения шума на рабочих местах". 18.ГОСТ Р ИСО 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель". 19.ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации". 20.ГОСТ 2.114- 95 "Единая система конструкторской документации. 1 Технические условия". 21.ГОСТ 2.601- 95 "Единая система конструкторской документации. Эксплуатационные документы". 22.ГОСТ 34.201- 89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем". 23.ГОСТ 34.602- 89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создании автоматизированных систем". 24.ГОСТ 34.003- 90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения". 25.РД Госстандарта СССР 50-682-89 "Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения". 26.РД Госстандарта СССР 50-34.698-90 "Методические указания. Информационная технология. Комплекс стандартов и руководящих 152 документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов". 27.РД Госстандарта СССР 50-680-89 "Методические указания. Автоматизированные системы. Основные положения". 28.ГОСТ 34.601- 90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадия создания" 29.ГОСТ 6.38-90 "Система организационно-распорядительной документации. Требования к оформлению". 30.ГОСТ 6.10- 84 "Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствам вычислительной техники, ЕСКД, ЕСПД и ЕСТД". 31.ГОСТР-92 "Система сертификации ГОСТ. Основные положения". 32.ГОСТ 28195-89 "Оценка качества программных средств. Общие положения". 33.ГОСТ 28806-90 "Качество программных средств. Термины и определения". 34.ГОСТ Р ИСО\МЭК 9126- 90 "Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению". 35.ГОСТ 2.111-68 "Нормоконтроль". 36.ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации". 37.РД Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей", Москва, 1999г. 38.РД Гостехкомиссии России "Средства защиты информации. Специальные общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам", Москва, 2000г. 39.ГОСТ В 15.201-83 "Тактико-техническое (техническое) задание на выполнение ОКР". 153 40.ГОСТ В 15.101-95 "Тактико-техническое (техническое) задание на выполнение НИР" 41.ГОСТ В 15.102-84 "Тактико-техническое задание на выполнение аванпроекта" 42.ГОСТ В 15.103-79 "Порядок выполнения аванпроекта. Основные положения" 43.ГОСТ В 15.203-96 "Порядок выполнения ОКР. Основные положения" 44.Решение Гостехкомиссии России от 14.03.95 г. № 32 "Типовое положение о Совете (Технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утечки по техническим каналам". 45.Решение Гостехкомиссии России от 14.03.95 г. № 32 "Типовое положение о подразделении по защите информации от иностранных технических разве док и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов Российской Федерации". 46.Решение Гостехкомиссии России от 14.03.95 г. № 32 "Типовое положение о подразделении по защите информации от иностранных технических разве док и от ее утечки по техническим каналам на предприятии (в учреждении, организации)". 47.СанПиН 2.2.2.542-96 "Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы". 48.ГОСТ Р 50948-96. "Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности". 49.ГОСТ Р 50949-96 "Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности." 50.ГОСТ Р 50923-96 "Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения." 154 51.Решение Гостехкомиссии России от 03.10.95 г. № 42 "Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и ее утечки по техническим каналам на объекте". 155 Приложение 2. Основные виды компьютерных преступлений из списка руководства Интерпола по компьютерной преступности «Минимальный список нарушений»: • компьютерное мошенничество; • подделка компьютерной информации; • повреждение ЭВМ или программ ЭВМ; -*>*■ • компьютерный саботаж; • несанкционированный доступ; • несанкционированный перехват данных; • несанкционированное использование защищенных компьютерных программ; • несанкционированное воспроизведение схем. «Необязательный список»: • Изменение данных ЭВМ или программ ЭВМ; • Компьютерный саботаж; • Неразрешенное использование ЭВМ; • Неразрешенное использование защищенной программы ЭВМ. 156 Приложение 3. Перечень сведений, которые не могут составлять коммерческую тайну в РФ • учредительные документы (устав, учредительный договор); • документы, дающие право заниматься предпринимательской деятельностью (регистрационное удостоверение, свидетельство о регистрации, лицензии, сертификаты, патенты); • сведения по установленным формам отчетности о финансово- хозяйственной деятельности, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ); • документы о платежеспособности; • сведения о численности работающих, их составе, заработной плате, наличии свободных рабочих мест; • документы об уплате налогов и обязательных платежей; • сведения о соблюдении установленных правил охраны труда; • сведения о соблюдении установленных норм охраны окружающей среды; • сведения о нарушении антимонопольного законодательства; • сведения о реализации продукции, причинившей вред здоровью населения; • сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, акционерных обществах и других организациях, занимающихся предпринимательской деятельностью. -'V 157 Приложение 4. Краткая форма соглашения о сохранении коммерческой тайны в американской корпорации "Как служащий корпорации XYZ, я осознаю, что получу доступ к оборудованию и информации Компании, касающихся ее бизнеса. Я также понимаю, что во время моей работы я буду осуществлять анализ, составлять схемы, таблицы, чертежи, доклады и другие документы, относящиеся к делам Компании. Я обязуюсь, что ни во время моей работы в компании, ни после увольнения не буду обсуждать с кем-либо или раскрывать (за исключением случаев выполнения моих обязанностей в качестве служащего Компании) какую-либо информацию или другое достояние Компании, которые я получил либо разработал как служащий Компании. Я также согласен, что все анализы, идеи, схемы, чертежи, доклады и другие документы, подготовленные мной либо в сотрудничестве с другими во время моей работы, будут являться собственностью Компании; и я сам не буду и не позволю никому делать копии, выдержки либо аннотации на вышеуказанные документы. Я подтверждаю, что не имею никаких обязательств перед каким-либо лицом или фирмой, которые входят в противоречие с настоящим Соглашением или которые ограничивают мою деятельность на стороне Компании. _________________________Служащий Дата:__________________ 158 Приложение 5. Примеры программных продуктов для анализа рисков различных уровней
159 -■»»• Приложение 6. Пример оценки угроз и уязвимостей на основе косвенных факторов Угроза: несанкционированный доступ к приложению Ответьте на вопросы: • Может ли сокрытие информации принести прямую финансовую или иную выгоду сотрудникам? Варианты ответов
• Может ли уничтожение информации принести прямую финансовую или иную выгоду сотрудникам? Варианты ответов
• Может ли раскрытие информации принести прямую финансовую или иную выгоду сотрудникам? Варианты ответов
• Может ли искажение информации принести прямую финансовую или иную выгоду сотрудникам? Варианты ответов
160 • Осведомлен ли персонал о тех выгодах, которые можно получить, воспользовавшись приложением несанкционированным способом? Варианты ответов
• Может ли сокрытие какой-либо информации (финансовых счетов, документов политически важного характера) принести существенную выгоду посторонним лицам, заинтересованным организациям и т.п.? Варианты ответов
• Может ли уничтожение какой-либо информации (финансовых счетов, документов политически важного характера) принести существенную выгоду посторонним лицам, заинтересованным организациям и т.п.? Варианты ответов
• Может ли раскрытие какой-либо информации (финансовых счетов, документов политически важного характера) принести существенную выгоду посторонним лицам, заинтересованным организациям и т.п.? Варианты ответов
• Может ли искажение какой-либо информации (финансовых счетов, документов политически важного характера) принести существенную выгоду посторонним лицам, заинтересованным организациям и т.п.? Варианты ответов
161 ■A..- V
• Осведомлены ли упомянутые выше посторонние лица и организации о тех выгодах, которые можно получить, воспользовавшись приложением несанкционированным способом? Варианты ответов
• Существуют ли другие, более простые способы достичь желаемого результата, чем несанкционированное использование приложения? Варианты ответов
• Является ли обычной практикой использование временно нанятых или работающих по контракту сотрудников для обеспечения нормальной работы информационной системы? Варианты ответов
162 • Подвергался ли кто-нибудь из сотрудников наказаниям или дисциплинарным взысканиям за нарушение нормативных актов, определяющих правила использования компьютеров? Варианты ответов
• Сколько случаев несанкционированного отмечено за последние 3 года? Варианты ответов использования приложении
• Какова тенденция в статистике использования приложений? Варианты ответов попыток несанкционированного
ИТОГ: Степень угрозы при количестве баллов:
V 163 Уязвимость: несанкционированный доступ к приложению Ответьте на вопросы: • Обладают ли сотрудники достаточными знаниями и возможностями для того, чтобы использовать приложение несанкционированным образом (например, обойти блокировки и получить непосредственный доступ к данным)? Варианты ответов
• Каков общий уровень загруженности персонала, имеющего доступ к приложениям? Варианты ответов
• Есть ли у сотрудников возможность использовать приложение несанкционированным образом (например, когда их непосредственно не контролируют, по вечерам и т.п.)? Варианты ответов
• Есть ли у сотрудников основание полагать, что использование приложения несанкционированным образом останется незамеченным? Варианты ответов ими
• Могут ли сотрудники без официального предупреждения (разрешения) получить физический или логический доступ к критичным с точки зрения функционирования информационной системы программам и устройствам? Варианты ответов
164
• Может ли использование приложения несанкционированным образом привести к разрушению информации? Варианты ответов
• Может ли использование приложения привести к разглашению информации? Варианты ответов несанкционированным образом
• Может ли использование приложения несанкционированным образом привести к искажению информации? Варианты ответов
• ИТОГ: Степень угрозы при количестве баллов:
165 Приложение 7. Пример методики определения затрат при расчете эффективности применения системы защиты информации на предприятии 1. Капитальные затраты на создание и внедрение системы защиты информации на предприятии: *к -»пр * °м ^ °в ~ °о ' °птех ' °орг ~ где Зпр — затраты на проектирование системы информационной безопасности; Зм — затраты на монтажные работы; Зв— затраты на внедрение системы информационной безопасности; 30— затраты на первоначальное обучение персонала; 1>г> Зптех — затраты на приобретение элементов системы информационной безопасности и организацию программно-технической защиты; Зорг— затраты на организационные меры защиты; 3Идоп - дополнительные единовременные затраты на создание элементов избыточности. 2. Постоянные затраты на эксплуатацию и поддержку системы ~V экономической защиты: п -^уп "•" ^ипост ^пп ~*~ "^аир ~"~ -^по ^пфо» где Зуп — затраты на управление паролями и другие операциями по управлению системой разграничения доступа; 166 Зипост ~ постоянные годовые затраты на избыточность, которая включает затраты на резервирование информации, избыточность операций (действий), повторную идентификацию персонала. 3Пп ~ прямые потери из-за уменьшения производительности информационной системы предприятия в связи с использованием системы информационной безопасности; Заир — затраты на идентификацию, аутентификацию и регистрацию входа в систему; X* Зпо — затраты на переподготовку персонала; Зпфо ~ затраты на постоянную физическую охрану объекта. 3. Затраты на управление паролями и другие операции по управлению системой разграничения доступа: = t 1 * п * Г • 1п1 "п ^и? где tni — время единичного изменения паролей; пп —периодичность изменения паролей; Си— стоимость одного часа работы в системе. 4. Затраты на создание и поддержку требуемого уровня избыточности, "V которая включает в себя затраты на резервирование информации, на создание избыточности операций (действий), на повторную идентификацию персонала: х- А 3 167 где Зидоп — дополнительные единовременные затраты на создание элементов избыточности; Зипост ~~ постоянные годовые затраты на поддержку требуемого уровня избыточности; Т — временной период. 5. Прямые потери из-за уменьшения производительности информационной системы предприятия в связи с использованием системы X' информационной безопасности: з = т «* с • °ПП АСИО иИ) где Тсиб — рабочее время информационной системы фирмы затраченное системой информационной защиты для собственных нужд в течении года; Си— стоимость одного часа работы в системе. 6. Затраты на идентификацию, аутентификацию и регистрацию входа в систему: = N * t * Г -^аир 1аир ^и где NaHp — количество пользователей системы; taHp— время, затраченное на операции идентификации, аутентификации и регистрации входа в систему ( в часах); Си— стоимость одного часа работы в системе. 168 Время, затраченное на операции идентификации, аутентификации и регистрации входа в систему можно определить как: 1аир где taHpi— время, затраченное на один вход в систему; паир~ количество входов в систему в течении одного года функционирования системы информационной безопасности. Тогда, с учетом формулы (6) формула (7) приобретает следующий вид: + ,*п 1аир1 Х1аир *+ ,*п * Г 1аир1 Х1аир ^ где NaHp — количество пользователей системы; taHpi— время, затраченное на один вход в систему; паир~ количество входов в систему в течении одного года функционирования системы информационной безопасности. Си— стоимость одного часа работы в системе. 7. Затраты на обучение и переподготовку персонала: ^о "■" где 30— затраты на первоначальное обучение персонала; Зпо — затраты на переподготовку персонала. Затраты на переподготовку персонала можно определить как: 3По = Зпо 1 пгод \ (10) 169 Тогда с учетом формулы (10) формула (9) приобретает следующий вид: где 30— затраты на первоначальное обучение персонала; Зпо1 ~~ затраты на единовременную подготовку персонала; пгод ~" количество раз переподготовки персонала в течении одного года. ч" 7. Затраты на физическую охрану объекта: \ 1 £) где Зто— затраты на программно-технические средства и их обновление; 3Пто — затраты на персонал технической охраны. Затраты на программно-технические средства и их обновление можно определить как: Зто = Зптех + 30б5 (13) где Зптех — затраты на приобретение элементов системы информационной безопасности и организацию программно-технической защиты; Зоб — затраты на обновление элементов системы; Затраты на персонал технической охраны можно определить как: где Cj - заработная плата персонала i-ой категории (в год); 170 К; — количество необходимого персонала i-ой категории. Тогда с учетом формул (13) и (14) формула (12) будет иметь вид: 1*кь (15) где Зптех — затраты на приобретение элементов системы информационной безопасности и организацию программно-технической защиты; Зоб ~~ затраты на обновление элементов системы; С, — заработная плата персонала i-ой категории (в год); Ki — количество необходимого персонала i-ой категории. 171 Приложение 8. Модели потенциальных нарушителей информационной безопасности
172 ■Г}*
173
174 Приложение 9. ТИПОВАЯ ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ ГЛАВНОГО СПЕЦИАЛИСТА ПО ЗАЩИТЕ ИНФОРМАЦИИ Должностные обязанности Главного специалиста по защите информации. Руководит выполнением работ по комплексной защите информации в отрасли, на предприятии, в учреждении, организации, обеспечивая эффективное применение всех имеющихся организационных и инженерно-технических мер в целях защиты сведений, составляющих государственную тайну. Участвует в разработке технической политики и определении перспектив развития технических средств контроля, организует разработку и внедрение новых технических и программно-математических средств защиты, исключающих или существенно затрудняющих несанкционированный доступ к служебной информации, составляющей государственную или коммерческую тайну. Участвует в рассмотрении технических заданий на проекты изделий, научно-исследовательские и опытно-конструкторские работы, подлежащие защите, осуществляет контроль за включением в них требований нормативно-технических и методических документов по защите информации и выполнением этих требований. Готовит предложения для включения в планы и программы работ организационных и инженерно-технических мер по защите информационных систем. Участвует в работе по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации. Организует проведение научно-исследовательских работ в области совершенствования систем защиты информации и повышения их эффективности. Выполняет весь комплекс (в том числе особо сложных) работ, связанных с контролем и защитой информации, на основе разработанных программ и методик. Организует сбор и анализ материалов о возможных каналах утечки информации, в том числе по техническим каналам, при проведении исследований и разработок, связанных с созданием и 175 производством специальных изделий (продукции), необходимых для проведения работ по обеспечению защиты информации. Обеспечивает координацию проводимых организационно-технических мероприятий, разработку методических и нормативных материалов и оказание необходимой методической помощи в проведении работ по защите информации, оценке технико-экономической эффективности предлагаемых и реализуемых организационно-технических решений. Организует работу по сбору и систематизации необходимой информации об объектах, подлежащих защите, и i охраняемых сведениях, осуществляет методическое руководство и контроль за работой по оценке технико-экономического уровня и эффективности разрабатываемых мер по защите информации. Возглавляет работу по обобщению данных о потребности в технических и программно-математических средствах защиты информации, аппаратуре контроля, составлению заявок на изготовление этих средств, организует их получение и распределение между объектами защиты. Содействует распространению передового опыта и внедрению современных организационно-технических мер, средств и способов защиты информации с целью повышения ее эффективности. Обеспечивает контроль за выполнением требований нормативно-технической документации, за соблюдением установленного порядка выполнения работ, а также действующего законодательства при решении вопросов, касающихся защиты информации. Координирует деятельность подразделений и специалистов по защите информации в отрасли, на предприятии, в учреждении, организации. Главный специалист по защите информации должен знать: законодательные и нормативные правовые акты о государственной тайне; документы, определяющие основные направления экономического и социального развития отрасли; нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации; перспективы развития, специализацию и направления деятельности учреждения, организации, предприятия и их подразделений; характер взаимодействия 176 подразделений в процессе исследований и разработок и порядок прохождения служебной информации; систему организации комплексной защиты информации, действующую в отрасли, учреждении, организации, на предприятии; перспективы и направления развития технических и программно-математических средств защиты информации; методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки; методы планирования и организации проведения научных исследований, разработок, выполнения работ по защите информации; , порядок заключения договоров на проведение специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации; отечественный и зарубежный опыт в области технической разведки и защиты информации; основы экономики, организации производства, труда и управления; правила и нормы охраны труда. Требования к квалификации Главного специалиста по защите информации. Высшее профессиональное (техническое) образование и стаж работы по защите информации не менее 5 лет. 177 Приложение 10.
2003 г Сотрудник), с другой стороны, заключили настоящий договор о нижеследующем. I. ПРЕДМЕТ ДОГОВОРА 1 .Сотрудник обязуется хранить в тайне сведения, составляющие коммерческую тайну АО как в период своей работы, так и в течение двух лет после увольнения с работы. 2. Перечень сведений, отнесенных к коммерческой тайне АО, содержится в приказе АО от «__»_____2003 г. №___, с которым Сотрудник ознакомлен. В случае изменения указанного выше перечня Сотрудник должен быть ознакомлен с соответствующим актом АО, которым они предусмотрены, под расписку. В противном случае его обязательства перед АО по сохранению коммерческой тайны остаются прежними. II. ПРАВОВОЙ РЕЖИМ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ КОММЕРЧЕСКУЮ ТАЙНУ 3. Для исключения фактов разглашения сведений, составляющих коммерческую тайну, Сотрудник обязан строго соблюдать порядок работы с информацией, содержащей коммерческую тайну. Нормативные акты АО, устанавливающие такой порядок, должны быть сообщены Сотруднику под расписку. 4. Разглашением коммерческой тайны следует считать действия Сотрудника, совершенные им в случаях, когда законодательство, локальные нормативные акты АО прямо не обязывали его их совершить, либо при отсутствии письменного согласия на это Председателя или заместителя Председателя правления АО. 4.1. Разглашение в устной, письменной, электронной или иной форме сведений, отнесенных к коммерческой тайне, может наступить в результате умысла Сотрудника или его неосторожности, включая халатное отношение к своим обязанностям. Эти действия могут быть связаны с нарушением требований действующего законодательства, настоящего договора, нормативных актов АО, иных обязательных для исполнения правил, направленных на предупреждение случаев разглашения коммерческой тайны. 4.2. Использование сведений, составляющих коммерческую и банковскую тайну в процессе выполнения работы для другого предприятия, учреждения и организации, по заданию физического лица или в ходе •у-/ осуществления предпринимательской деятельности без образования юридического лица. 4.3. Использование сведений, составляющих коммерческую тайну, в ходе публичных выступлений, интервью и т.п. 4.4. Иные действия Сотрудника, в результате которых сведения, составляющие коммерческую тайну, были бы разглашены. 5. Сотрудник обязан немедленно сообщать в письменной или устной форме руководителю службы безопасности АО о любых попытках организаций, физических лиц получить информацию, касающуюся АО. 178 6. При увольнении из АО (прекращении договорных отношений с АО) Сотрудник обязан передать все носители коммерческой тайны (рукописи, черновики, магнитные ленты, диски, дискеты, распечатки на принтерах и т.п.) в__________________________________________________(подразделение АО) (должность сотрудника) При отсутствии указанного подразделения и должностного лица АО на момент увольнения Сотрудника (прекращения договорных отношений) по причине произведенной реорганизации, изменения штатного расписания и т.п. все носители коммерческой тайны передаются руководителю службы безопасности АО. 8. Сотрудник обязан сообщать о всех фактах утраты, хищения, недостачи носителей коммерческой тайны, а также удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов (металлических шкафов), личных печатей и о других фактах, которые могут привести к разглашению коммерческой тайны, а также о причинах и условиях возможной утечки информации, содержащей коммерческую тайну, в службу безопасности АО. III. СРОК ДОГОВОРА 9. Настоящий договор вступает в силу с момента подписания и действует в течение всего времени работы Сотрудника в АО, а также в течение двух лет после увольнения из АО (прекращения договорных отношений). IV. СРОК ДОГОВОРА 10. Ответственность Сотрудника, работающего по трудовому договору, в период его работы в АО определяется трудовым законодательством. Настоящий договор является неотъемлемой частью трудового договора АО с Сотрудником. у/ Каждый случай невыполнения Сотрудником законодательства, нормативных актов АО, настоящего договора, касающихся порядка работы с информацией, содержащей сведения, отнесенные к коммерческой тайне, является нарушением трудовых обязанностей Сотрудника, независимо оттого, привели указанные нарушения к разглашению коммерческой тайны или нет. Каждый факт разглашения Сотрудником коммерческой тайны в случаях, когда законодательство, нормативные акты АО, настоящий договор или указания Председателя или заместителя Председателя правления АО его к этому не обязывали (или не разрешали), также является нарушением трудовых обязанностей Сотрудника. За совершение названных выше трудовых обязанностей Сотрудник может быть привлечен к дисциплинарной и/или материальной ответственности в порядке, установленном КзоТ РСФСР, ГК РФ. В случае обнаружения в действиях Сотрудника признаков состава преступления АО направляет соответствующее сообщение в правоохранительные органы. 11. Ответственность Сотрудника, прекратившего с АО трудовые и иные договорные отношения, определяется гражданским законодательством. Если разглашение коммерческой тайны привело к возникновению убытков в хозяйственной сфере АО, то он имеет право взыскать с Сотрудника причиненные убытки. V. ИНЫЕ УСЛОВИЯ ПО УСМОТРЕНИЮ СТОРОН 12. Настоящий договор составлен в двух экземплярах - по одному для каждой стороны. Каждый экземпляр имеет равную юридическую силу. VI. ЮРИДИЧЕСКИЕ АДРЕСА И ПОДПИСИ СТОРОН АО______________________________________________________________ Сотрудн и к________________________________________________________ 179 Приложение 11. Организационно-распорядительные документы по вопросам обеспечения информационной безопасности Организационно-распорядительные документы регулируют вопросы обеспечения информационной безопасности в Организациях практически любого масштаба, профиля деятельности и форм собственности. В состав пакета могут входить следующие организационно-распорядительные документы: L/ • "Политика обеспечения информационной безопасности Организации"; • "План защиты корпоративной информационной системы (КИС)" (включая концептуальные вопросы); • "Положение о категорировании ресурсов КИС"; • "Порядок обращения с информацией, подлежащей защите"; * • "План обеспечения непрерывной работы и восстановления"; • "Положение об отделе технической защиты информации"; • "Обязанности главного администратора информационной безопасности Организации"; • "Обязанности администратора информационной безопасности" (ответственного за обеспечение информационной безопасности в подразделении); • "Памятка пользователю КИС" (общие обязанности по обеспечению информационной безопасности); • "Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам КИС"; • "Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств КИС"; • "Инструкция по организации парольной защиты"; 180 • "Инструкция по организации антивирусной защиты"; 2. Краткое описание документов "Политика обеспечения информационной безопасности в КИС" содержит: • общую характеристику объекта защиты (описание состава, функций и существующей технологии обработки данных в типовой КИС); • формулировку целей создания системы защиты, основных задач обеспечения информационной безопасности и путей достижения целей (решения задач); • перечень типичных угроз информационной безопасности и возможных путей их реализации, неформальная модель вероятных нарушителей; • основные принципы и подходы к построению системы обеспечения информационной безопасности, меры, методы и средства достижения целей защиты. "План защиты" от несанкционированного доступа к информации и незаконного вмешательства в процесс функционирования КИС содержит: • определение целей, задач защиты информации в КИС и основных путей их достижения (решения); 'гг • требования по организации и проведению работ по защите информации в КИС, • описание применяемых мер и средств защиты информации от рассматриваемых угроз, общих требований к настройкам применяемых средств защиты информации от НСД; • распределение ответственности за реализацию "Плана защиты КИС" между должностными лицами и структурными подразделениями организации. 181 "Положение о категорировании ресурсов КИС" содержит: • формулировку целей введения классификации ресурсов (АРМ (автоматизированное рабочее место), задач, информации, каналов передачи) по степеням (категориям) защищенности; • предложения по числу и названиям категорий защищаемых ресурсов и критериям классификации ресурсов по требуемым степеням защищенности (категориям); • определение мер и средств защиты информации, обязательных и рекомендуемых к применению на АРМ различных категорий; • общие положения, специальные термины и определения, встречающиеся в документе • образец формуляра ЭВМ (для учета требуемой степени защищенности (категории), комплектации, конфигурации и перечня решаемых на ЭВМ задач); • образец формуляра решаемых на ЭВМ КИС функциональных задач (для учета их характеристик, категорий пользователей задач и их прав доступа к информационным ресурсам данных задач). "Порядок обращения с информацией, подлежащей защите" содержит: • определение основных видов защищаемых (конфиденциальных) сведений (информационных ресурсов); v • общие вопросы организации учета, хранения и уничтожения документов и магнитных носителей конфиденциальной информации; • порядок передачи (предоставления) конфиденциальных сведений третьим лицам; • определение ответственности за нарушение установленных правил обращения с защищаемой информацией; 182 • форму типового Соглашения (обязательства) сотрудника организации о соблюдении требований обращения с защищаемой информацией. "План обеспечения непрерывной работы и восстановления" включает: • общие положения (назначение документа); • классификацию возможных (значимых) кризисных ситуаций и указание источников получения информации о возникновении ч- кризисной ситуации; • перечень основных мер и средств обеспечения непрерывности процесса функционирования КИС и своевременности восстановления ее работоспособности; • общие требования к подсистеме обеспечения непрерывной работы и восстановления; • типовые формы для планирования резервирования ресурсов подсистем КИС и определения конкретных мер и средств обеспечения их непрерывной работы и восстановления; • порядок действий и обязанности персонала по обеспечению непрерывной работы и восстановлению работоспособности системы. "Положение об отделе технической защиты информации" содержит: • общие положения, руководство отделом; • основные задачи и функции отдела; • права и обязанности начальника и сотрудников отдела, ответственность; • типовую организационно-штатную структуру отдела. "Обязанности главного администратора информационной безопасности Организации" содержат: 183 • основные права и обязанности по поддержанию требуемого режима безопасности; • ответственность за реализацию принятой политики безопасности, в пределах своей компетенции. "Памятка пользователю КИС Организации" • определяет общие обязанности сотрудников подразделений при работе со средствами КИС и ответственность за нарушение установленных порядков. "Инструкция по внесению изменений в списки пользователей" • определяет процедуру регистрации, предоставления или изменения прав доступа пользователей к ресурсам КИС. "Инструкция по модификации технических и программных средств" ' • регламентирует взаимодействие подразделений Организации по обеспечению безопасности информации при проведении модификаций программного обеспечения и технического обслуживания средств вычислительной техники; "Инструкция по организации парольной защиты" • регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе Организации, также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями. "Инструкция по организации антивирусной защиты" содержит: • требования к закупке, установке антивирусного программного обеспечения; 184 • порядок использования средств антивирусной защиты, регламенты проведения проверок и действия персонала при обнаружении вирусов; • распределение ответственности за организацию и проведение антивирусного контроля. V 185 Приложение 12. Положение о службе защиты информации (на примере коммерческой фирмы) УТВЕРЖДАЮ Председатель правления акционерного общества закрытого типа _____________И.П. Иванов "____"___________2003 г. ПОЛОЖЕНИЕ о службе защиты информации акционерного общества I. ОБЩИЕ ПОЛОЖЕНИЯ «V 1. Служба защиты информации является самостоятельным подразделением АО. 2. В своей деятельности подразделение руководствуется положениями Конституции российской Федерации, требованиями законов Российской Федерации "О частной детективной и охранной деятельности", Уставом службы безопасности, "Положением о коммерческой тайне", другими соответствующими актами Российской Федерации, а также распоряжениями Председателя правления, его заместителей не противоречащими названным законодательным актам. 3. Структура и штаты службы защиты информации утверждаются Председателем правления. 186 II. ЗАДАЧИ И ФУНКЦИИ СЛУЖБЫ 1. Основными задачами службы являются: • разработка и осуществление профилактических мероприятий по защите финансовых и других операций АО; • сбор, обработка, хранение и анализ официальной и конфиденциальной информации в отношении контрагентов и деловых интересов АО с целью предупреждения сделок с недобросовестными контрагентами; • организация и проведение мероприятий по обеспечению безопасности персонала АО, основных фондов и финансовых активов в различных условиях повседневной деятельности и в экстремальных ситуациях; • проведение работ по защите информации; • внедрение нормативных актов по организации охраны г^,) помещений АО, взаимодействию с охранной фирмой , Управлением внутренних дел; • проведение единой технической политики в вопросах охраны; • контроль, выполнение требований подразделениями АО по вопросам, входящим в компетенцию службы; • проведение инструктажа и обучения работников АО правилам работы с конфиденциальной информацией. V III. ФУНКЦИИ СЛУЖБЫ ЗАЩИТЫ ИНФОРМАЦИИ 1. В вопросах информационной безопасности: • организация и осуществление совместно с отделами АО мероприятий по защите конфиденциальной информации о финансовой, кадровой и иных сторонах деятельности; • проверка сведений, а также данных о попытках шантажа, 187 провокаций и иных неблаговидных акций в отношении персонала, преследующих цель получения конфиденциальной информации о деятельности АО; • взаимодействие с правоохранительными органами, проведение мероприятий по выявлению и предупреждению различного рода финансовых злоупотреблений; • организация сбора, накопления, анализа и автоматизированного учета информации по вопросам безопасности АО; ^ • проведение проверок в подразделениях АО и оказание им практической помощи по вопросам безопасности их деятельности; • взаимодействие с другими подразделениями при осуществлении ими деятельности, связанной с иностранными специалистами; внедрение положения о коммерческой тайне; • обучение работников практическим навыкам по обеспечению (*^> экономической, информационной и физической безопасности; • оказание содействия отделу кадров по работе с персоналом в вопросах подбора, расстановки, передвижения и обучения персонала; • сбор, обработка, хранение, анализ информации о клиентах АО с целью предотвращения сделок с недобросовестными партнерами; ,-. • выполнение поручений руководства АО, входящих в компетенцию службы. IV. ОРГАНИЗАЦИЯ РАБОТЫ СЛУЖБЫ 1 .Службу возглавляет руководитель, назначаемый и освобождаемый от должности приказом председателя правления АО. 2.Служба имеет право: ; V 188 • получать от подразделений АО информацию, необходимую для выполнения возложенных на нее основных задач; • давать разъяснения по правильному применению ведомственных актов по вопросам компетенции службы; • проверять соблюдение информационной безопасности в подразделениях; • требовать от сотрудников АО представления письменных объяснений по фактам нарушения информационной безопасности. Руководитель службы защиты информации _____________ | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Спонсоры сайта: Институт глобалистики
и коммуникаций,
НИИ Европейского развития
|
|
|
Авторское право на тексты принадлежит их авторам, все тексты предоставлены только для ознакомления. |
