Главная » Информационное обеспечение » Утечка информации на современном предприятии и обеспечение информационной безопасности

Утечка информации на современном предприятии и обеспечение информационной безопасности

Защита информации - специфический и ответственный вид деятельности

В самом конце прошлого 20-го века возникла новая угроза, доселе фактически не учитываемая в производственной и бизнес деятельности предприятий. Появились такие незнакомые и порой пугающие понятия, как информационное противоборство, информационная война, информационное оружие. Сегодня вопросу информационной безопасности уделяется серьезнейшее внимание. Особенно актуальна проблема использования экономической информации в сложнейшей сфере управления материальным производством, где рост информационного потока находится в естественной зависимости от промышленного потенциала. Быстрое развитие процессов автоматизации производства, использование компьютеров и сетей во всех сферах современной жизни, помимо несомненных преимуществ, повлекло появление ряда весьма специфичных проблем. Одна из них — необходимость обеспечения эффективной защиты информации. Исходя из этого дан толчок созданию правовых норм, закрепляющих права и обязанности граждан, коллективов и государства на информацию. Защита информации становятся важнейшим аспектом информационной политики государства, а в экономической сфере, — специфическим и ответственным видом деятельности.

По мнению уважаемых в этой области специалистов, снятие систем защиты информации с компьютерных сетей приведет к разорению 20-25% средних компаний в течение нескольких часов, 30-40% средних и 10-15% крупных компаний потерпят крах через несколько дней, 30-40% банков лопнут за несколько часов, около половины банков — через считанные дни. Наиболее мощные и современные российские корпорации уже приняли собственные концепции информационной безопасности. Другие субъекты крупного, среднего и иной раз даже мелкого бизнеса, не оформляя собственную концепцию информационной безопасности отдельным документом, вынуждены уделять этой проблеме повышенное внимание, так как это равнозначно жизнеспособности этого предприятия или бизнес-структуры.

Надежность и защищенность информационных систем

Важнейший ресурс современного общества — информация — одновременно несет в себе и огромную угрозу для него, связанную с внутренней спецификой этого ресурса. Простота и большое число различных способов доступа и модификации информации, значительное количество квалифицированных специалистов, широкое использование в общественном производстве специальных технических средств позволяют злоумышленнику практически в любой момент и в любом месте осуществлять действия, представляющие угрозу информационной безопасности как в локальном, так и в глобальном масштабах. «Кто владеет информацией, тот владеет миром». Эта крылатая фраза становится все более актуальной. Сегодня к материальным, людским, финансовым ресурсам предприятий добавился ещё один ресурс — информационный.

Целостность, достоверность и доступность информации в наши дни стали важнейшими составными частями успеха любой организации. Под информацией нужно понимать: конфиденциальные данные на бумаге, находящиеся в кабинете на столе или в сейфе; цифровые данные, хранимые в компьютере, записанные на дискете или передаваемые по каналам связи; разговоры по телефону или просто в помещении. Доступ в помещение тоже является доступом к информации. В качестве информации могут выступать и деньги, драгоценности, ценные бумаги. Даже сами сотрудники являются объектом информации, иногда наиболее ценной. И все это необходимо защищать. Защищать комплексно. Еще одна особенность момента заключается в том, что бизнес во всем мире стремительно становится электронным, и это требует коренного изменения роли ИТ-подразделений, которые становятся производственным департаментом, непосредственно приносящим прибыль. Ведение бизнеса в сети предполагает массовый доступ потребителей электронных услуг к Internet-приложениям, размещение которых в корпоративной сети может нанести ущерб безопасности ИТ-инфраструктуры предприятия в целом. Открытие доступа через межсетевой экран неизбежно создает потенциальную возможность для несанкционированного проникновения злоумышленников к ресурсам внутрикорпоративной сети.

Число попыток вторжений, в том числе и успешных, на серверы частных и государственных организаций постоянно увеличивается. Российский рынок обеспечения информационной безопасности стремительно растет, по данным некоторых исследований он удваивается ежегодно. Кроме этого, наблюдается серьезный рост интереса со стороны крупных государственных и частных структур. Вопросами безопасности сегодня озабочены и все основные игроки рынка информационных технологий. Современный бизнес требует решения все более сложных задач:

— хранение и защита от взломов и вирусов важной информации;
— поддержка клиентов в круглосуточном режиме;
— обеспечение доступа к информации сотрудников в любой момент и в любом месте;
— удобство управления всей информационной системой.

Все эти задачи могут быть успешно решены только в одном случае: если информационная система (ИС) обладает двумя важнейшими свойствами — надежностью и защищенностью. Управление безопасностью имеет много аспектов и только при комплексном подходе к решению этой задачи может быть создана действительно безопасная среда для функционирования ИС и всего предприятия. В число этих аспектов входит: обеспечение целостности, конфиденциальности и аутентичности информации; разграничение прав пользователей по доступу к ресурсам автоматизированной системы; защита автоматизированной системы и ее элементов от несанкционированного доступа; обеспечение юридической значимости электронных документов.

Разъяснения явной необходимости защиты информации в бизнес-структурах
Угрозы безопасности информации в научно-классифицированном виде
Возможные каналы утечки информации, представляющей коммерческую тайну

Аудит системы информационной безопасности

Комплексное обследование (аудит) системы информационной безопасности организации. Необходимым атрибутом стабильного и успешного функционирования большинства государственных и частных структур является их собственная информационная безопасность. В зависимости от рода и характера деятельности предприятия, организации и т.д. необходимый уровень защищенности может варьировать в довольно широком диапазоне, однако для его достижения однозначно необходимо использование соответствующего комплекса специальных средств и мероприятий. Сегодня профессиональная оценка уровня информационной защищенности конкретного объекта (территории, здания, помещения, технического средства или их комплекса), его сопоставление с объективно необходимым уровнем, а в случае их несоответствия грамотный подбор оптимального комплекса средств и мероприятий по повышению информационной безопасности представляет собой непростую наукоемкую задачу, требующую от исполнителя не только глубоких предметных знаний и практического опыта, но где-то даже интуиции. Эта задача, с одной стороны, характеризуется откровенно высокой стоимостью процедуры анализа и оптимизации информационной защищенности, с другой стороны — значительной зависимостью конечного результата от субъективного фактора. Это, конечно же, явный отрицательный момент.

Специфика организации и построения системы информационной безопасности коммерческого предприятия
Международные и отечественные стандарты информационной безопасности и их методическое обеспечение

Защита информации в корпоративных информационных сетях

Порядок организации и аспекты защиты корпоративных информационных сетей. Довольно интенсивное развитие современных информационных технологий ведет к тому, что автономные компьютеры и локальные сети постепенно объединяются в единую корпоративную сеть группы предприятий или отдельной организации. Помимо весомых преимуществ такого рода переход несет с собой и довольно специфичные проблемы, весьма характерные для корпоративных сетей. Сталкиваться с этими проблемами приходится не только специалистам служб безопасности, но и сотрудникам управлений автоматизации. Основными причинами, приводящими к возникновению таких проблем, являются разнородность и сложность используемого современного аппаратного и программного обеспечения, большое количество узлов корпоративной сети, территориальная разбросанность этих узлов и отсутствие достаточного времени для текущего контроля всех настроек. Необходимость подключения корпоративной сети к интернет и доступ внешних сторонних пользователей (в частности — клиентов и партнеров) в корпоративную сеть организации или группы компаний также отнюдь не способствует повышению уровня информационной безопасности, а скорей — способствует утечке информации. Сегодня трудно найти сети, которые построены на основе одной базовой сетевой операционной системы. Довольно большое количество конфигурационных параметров используемого аппаратного и программного обеспечения затрудняет его эффективную настройку и снижает степень эксплуатационной безопасности. Узлы, объединенные в корпоративную сеть, зачастую разбросаны по разным регионам и территориям, а подключение корпоративной сети к интернет приводит к тому, что, часто предельно трудно определить границы сети и всех подключенных к этой сети пользователей. В таких условиях попытки несанкционированного доступа к защищаемой информации неизбежны.

Межсетевые экраны, или брандмауэры, применяющиеся в корпоративных сетях
Средства защиты программного обеспечения и системы обнаружения атак

Защита компьютерных сетей от вирусов, червей и троянских программ

Корпоративная электронная почта - обеспечение безопасности

Обеспечение безопасности системы корпоративной электронной почты. У электронной почты есть многочисленные достоинства, однако именно из-за них возникают основные риски и сложности, связанные с использованием электронной почты в организации. Часто ее доступность превращается в существенный недостаток, если пользователи применяют электронную почту для рассылки спама. Бесконтрольность и легкость в использовании приводит к утечке информации (служебной, составляющей коммерческую тайну, а порой и секретной), возможность пересылки  документов в различных форматах — к распространению вирусов. Любой из этих рисков в конечном итоге может привести к довольно серьезным негативным последствиям для организации. Это и снижение качества услуг корпоративных информационных систем, и потеря эффективности текущей работы, и возможное разглашение конфиденциальной служебной или коммерческой информации. Недостаточное внимание к этой серьезной и актуальной проблеме грозит вполне реальными и значительными потерями в бизнесе, а иногда — привлечением к юридической ответственности в связи с фактами нарушения действующего законодательства. Достоинство электронной почты превращается в угрозу, так как электронная почта представляет собой идеальную среду для внедрения и переноса различных опасных вложений: вредоносных программ, компьютерных вирусов, «троянских» программ. Если не обеспечен текущий грамотный контроль за использованием электронной почты на предприятии или в бизнес-структуре, последствия могут быть чрезвычайно тяжелы, а порой — непоправимы. От этого риска можно избавиться  лишь путем блокировки электронных писем с опасными вложениями, а также обязательной антивирусной проверкой прикрепленных к письмам файлов.

Несанкционированный съем коммерческой, служебной и личной информации
Обеспечение безопасности служебной информации при документообороте на предприятии

Комплексная система информационной безопасности на предприятии

Практика производства показывает, что построить качественную комплексную систему информационной безопасности на предприятии, в организации или бизнес-структуре невозможно без твердой и последовательной реализации мер правового и организационного характера. Возможности несанкционированного доступа и использования сведений конфиденциального характера в значительной мере обуславливаются не технологическими и техническими аспектами, а действиями злоумышленного порядка, небрежностью, нерадивостью, а порой — халатностью персонала или пользователей.

В каждом конкретном случае действия и мероприятия организационного порядка носят специфическое для данного предприятия содержание и форму, направленные на надежное обеспечение безопасности служебной информации в разных условиях. Практика доказывает, что обеспечить информационную безопасность могут лишь профессионалы, которые владеют соответствующими специфическими знаниями и навыками. И действуют эти профессионалы в соответствии с тщательно продуманной программой по защите информации. Что касается правовых мер защиты информации, то они обладают рядом признаков, отличающих их от других видов защиты служебных и коммерческих данных: организационных, технических и физических. Юридические средства защиты конечно же не могут в буквальном смысле слова поймать за руку злоумышленника или оградить от него секреты предприятия, фирмы, организации. Юридические средства призваны выполнять особые функции, которые позволяют им занимать особое положение в корпоративной системе обеспечения защиты информации.

Во-первых, юридические меры выполняют определенную охранительную функцию. Они призваны формировать отношение лиц, участвующих в обороте информации, к правилам и нормам такого оборота: «За нарушение — наказание в соответствии с законом». Во-вторых — юридические меры выполняют компенсационную функцию: то есть в случае нанесения ущерба законному владельцу информации нарушитель привлекается к ответственности по закону и возмещает причиненный материальный и моральный ущерб.

Надо отметить, что именно правовые меры наиболее активно воздействуют на самые рискованные группы лиц, участвующих в информационном обороте, — сотрудников и контрагентов фирмы, доступ которых к служебным, конфиденциальным и секретным сведениям предусмотрен кругом их должностных обязанностей или договорными обязательствами.

Юридические средства защиты служебных данных в последнее время становятся все более и более действенными, в первую очередь потому, что российское законодательство уделяет серьезное внимание правовому регулированию информационной безопасности, включая институт охраны коммерческой тайны. Введение правовых режимов защиты информации в организации или бизнес-структуре — это уже не желание учредителей или руководителей, это — требование закона. В частности, для предприятия является обязательным наличие строгого правового режима защиты всех персональных данных сотрудников, защиты служебной профессиональной тайны, в том числе защиты конфиденциальной информации, полученной в результате осуществления совместной работы по договорам с другими фирмами.

Грамотно и своевременно организованный режим охраны коммерческой тайны позволяет возмещать ущерб от ее несанкционированного (читай – незаконного) разглашения. Положение о средствах связи и коммуникаций позволяет организации осуществлять полноценное и относительно безопасное использование электронной почты, положение о мониторинге производственного процесса с помощью видеозаписей — устанавливать в офисных и производственных помещениях, а также на складах камеры наружного видеонаблюдения. Дисциплинирует персонал и памятка об ответственности за халатное или неправомерное обращение со служебной или коммерческой информацией.

Несколько правовых актов, которые разработаны и приняты на предприятии, могут весьма существенно снизить риски, связанные с безответственным или неправомерным обращением с информацией. Кроме того, они позволят снизить риски, которые иногда возникают у организаций вследствие нарушения им (его сотрудниками) норм действующего российского законодательства, которые регулируют обращение с охраняемыми данными и сведениями.

Организационные меры по защите информации и работа с персоналом предприятия
Сотрудники отдела информационной безопасности — их подбор и профессиональная подготовка
Юридические вопросы, связанные с организацией защиты информации на предприятии

Угрозы безопасности информации меняются

Все мы должны понимать, что в современном мире информация является одним из главных объектов устремлений как спецслужб государства, контролирующих и правоохранительных органов, так и злоумышленников, конкурентов. Утечка корпоративной служебной информации может привести к значительным убыткам, иногда — к потере бизнеса как такового. Следует помнить, что шпионаж (коммерческий в том числе) — одно из самых древних ремесел. За историю своего поступательного развития шпионаж обогатился весьма изощренными технологиями, методиками, наработками и превратился в сложную и специфичную науку, поскольку развивался он накопительно и поступательно, независимо от царящих в ту или иную эпоху общественно-экономических формаций.

В связи с бурным техническим прогрессом в последние годы особое развитие приобрело хищение информации с максимальным использованием прикладных научно-технических средств, в том числе компьютеров и соответствующего программного обеспечения. Противостоять такому серьезному врагу могут только специалисты, имеющие высочайшую квалификацию в области защиты информации, причем только те специалисты, которые непрерывно совершенствуются и постоянно повышают уровень своей подготовки.

Угрозы безопасности информации меняются во времени, модифицируются в зависимости от обстоятельств и задач, следовательно надо постоянно менять и обновлять средства защиты. Если предприятие находится в информационной безопасности в день сегодняшний, отнюдь не значит, что оно будет в безопасности в ближайшем (не говоря уже о далеком) будущем. В постоянной борьбе зла с добром зло, увы, всегда на шаг впереди. В непрерывной борьбе вируса с антивирусом вирус всегда впереди хотя бы на полшага. В таких условиях задача специалистов по корпоративной информационной безопасности предпринять все от них зависящее, чтобы полшага эти были как можно короче и преодолевались молниеносно.