Інформаційна безпека бізнесу
Інформаційна безпека бізнесу
В.Н. Будаев, директор Центру Безпеки Бізнесу,
Матеріали міської конференції «Актуальні проблеми регіональної безпеки бізнесу»
Кому-то можуть здатися побитими слова Уїнстона Черчілля «Хто володіє інформацією, той володіє світом». Насправді цей вислів, в сучасному світі набуває актуального значення.
Нові суспільно-політичні та економічні відносини привели до створення інформаційного суспільства. Виникнення приватного сектора економіки призвело до появи приватної інформації і агресивної загрози порушення її режиму безпеки.
Подальший розвиток приватного бізнесу та інформаційних технологій призвело до зародження недобросовісних форм і методів ведення інформаційної боротьби. Їх широке поширення сприяло виникненню нових загроз інформаційній безпеці, здатних завдати непоправної шкоди бізнесу.
Все більше, успішний розвиток бізнесу, залежить від його інформаційної безпеки. Все більшою мірою інформація стає товаром, від наявності та збереження якого залежить благополуччя громадян, організацій, суспільства в цілому.
До 90-х років минулого століття, українські підприємства практично не відчували факторів інформаційного ризику. Так як вони всі були державною власністю, держава сама здійснювало функцію захисту інформації. Поняття «інформаційна безпека» не існувало.
З появою приватної власності, з'явилися і власники своєї власної інформації, які, як і держава, зацікавлені в її захисті. Змінився і сам підхід до інформації. Вона все частіше стає товаром, який можна купити, продати, обміняти і т.д. При цьому вартість інформації часто перевершує в десятки, а то і в сотні разів вартість обчислювальної техніки, в якій вона зберігається. Інформація ставати все більш широкою, є для її власника цінних виробничим ресурсом. Її конфіденційність, цілісність і доступність мають особливе значення для забезпечення конкурентоспроможності, рентабельності та створення позитивного іміджу підприємства. Економічна діяльність більшості комерційних підприємств все більшою мірою стає залежною від ризиків порушення інформаційної безпеки.
Захисту підлягає будь-яка інформація, неправомірне поводження з якою може завдати шкоди її власнику, власнику, користувачеві й іншій особі. При цьому необхідно мати на увазі, що інформація є дуже специфічним продуктом, який може існувати як в документированном вигляді, зафіксованому на матеріальному носії, так і в Недокументовані вигляді (мовна інформація).
З'явилося поняття «інформаційна безпека».
Правова система забезпечення інформаційної безпеки складається з наступних основних законів: Конституція РФ, закон України «Про безпеку», закон України «Про державну таємницю», «Доктрина інформаційної безпеки РФ», закон України «Про інформацію, інформаційні технології та захист інформації», закон Україна «Про комерційну таємницю», закон України «Про участь в міжнародному інформаційної обміні», ряд підзаконних актів і норм кримінального, цивільного та адміністративного законодавства.
Вся інформація (інформаційні ресурси) ділиться на державну і недержавну, і як елемент складу майна перебуває у власності фізичних та юридичних осіб, органів державної влади.
Інформаційні ресурси є відкритими і доступними для всіх. Виняток становить документована інформація обмеженого доступу, яка в свою чергу поділяється на інформацію, віднесену до державної таємниці та конфіденційну.
Яку інформацію відносити до відомостей, що становлять державну таємницю, визначає держава.
Яку інформацію відносити до конфіденційної, в тому числі комерційної таємниці, визначає її власник.
До неї відносяться: установчі документи, Статут підприємства, документи, що дають право займатися підприємницькою діяльністю, бухгалтерські документи і т.д.
Інформація може бути зафіксована на матеріальному носії (папір, жорсткі носії, знімні носії і т. Д.), Може циркулювати в інформаційних системах, в мережах зв'язку, в тому числі стільникових, факсових і т.д.
"Язик мій ворог мій". Цей постулат повністю відноситься до особливого виду інформації - так званої мовної інформації. Це така інформація, яка озвучується в процесі мовного спілкування між двома або кількома людьми. В процесі мовного спілкування озвучуються будь-які відомості (будь-яка інформація), в тому числі що містять державну таємницю і конфіденційну інформацію, а також інформацію, яка може завдати шкоди її власникам.
Від кого ж і від чого необхідно захищати інформацію. Якщо коротко, то від конкурентів, від організованих злочинних співтовариств, в т.ч. від рейдерів, в деяких випадках від недобросовісних представників адміністративно-чиновницького апарату та правоохоронних органів, від недобросовісних співробітників, від особистих ворогів і заздрісників, від технічних розвідок (промислове шпигунство) і т.д.
Інформація може бути викрадена шляхом підслуховування, крадіжки фізичних носіїв, знімання інформації з технічних каналів.
Неправомірне заволодіння інформацією можливо в результаті: розголошення, витоку, несанкціонованого доступу до інформації.
Витік інформації - це безконтрольний вихід інформації за межі організації або кола осіб, яким вона була довірена. Витік можлива, як правило, по технічних каналах.
Інформаційна безпека - це багатогранна діяльність, успіх якої може принести тільки систематичний, комплексний підхід.
Ефективність заходів щодо захисту інформації досягається шляхом створення системи інформаційної безпеки, яка переслідує дві основні мети: забезпечення економічної безпеки і мінімізація ризиків від можливих загроз.
Всі заходи щодо забезпечення інформаційної безпеки, прийнято ділити на наступні основні напрямки.
Правовий захист. Вона забезпечується державою, шляхом прийняття законів і підзаконних актів. Ці нормативні акти регулюють діяльність в області захисту інформації, визначають відповідальність відповідно до кримінальних, адміністративних і цивільним законодавством, дають перелік заходів, обов'язкових для виконання суб'єктами інформаційних правовідносин.
Організаційна захист. Вона має на увазі підготовку внутрішніх нормативних документів підприємства, що регламентують організацію захисту інформації. До них відносяться: політика безпеки підприємства, концепція інформаційної безпеки, внесення змін до Статуту підприємства, правила внутрішнього трудового розпорядку, інструкції про пропускний режим, внесення спеціальних пунктів в колективний і трудовий договір, посадові обов'язки, підготовка положення про дотримання конфіденційної інформації (комерційної таємниці) , складання переліку відомостей що становлять комерційну таємницю, інструкції про порядок допуску працівників до відомостей, що становлять комерційну таємницю, обов'язковою цтво про нерозголошення комерційної таємниці, правил користування засобами обчислювальної техніки та інші. Тут же передбачається організація фізичного захисту підприємства, організація пропускного режиму, системи контролю доступу, охоронна, пожежна сигналізації, охоронне телебачення. Особливе місце займають організація інформаційно-аналітичної роботи по виявленню внутрішніх і зовнішніх загроз і організація роботи з кадрами.
Інженерно-технічний захист. Вона передбачає використання спеціальних технічних засобів при проведенні комплексу інженерно-технічних заходів, спрямованих на попередження, виявлення, припинення розголошення, витоку і несанкціонованого доступу до інформації.
Інформаційна безпека, якщо можна так висловитися, є однією з найбільш загадкових напрямків забезпечення безпеки бізнесу. Начебто все все знають, Новомосковскют газети, слухають радіо, дивляться в кіно детективи і бойовики в яких розкриваються форми і методи отримання інформації. Однак літературне викладення інформаційної боротьби (отримання і захист інформації), часто плід фантазії письменника або режисера і не має нічого спільного з дійсністю, хоча деякі форми і методи правдиві. Видно консультували фахівці.