Главная страница

Безопасность бизнеса Введение Организация, безопасность и риск 1 Сущность предпринимательского риска


НазваниеБезопасность бизнеса Введение Организация, безопасность и риск 1 Сущность предпринимательского риска
страница10/23
Дата01.04.2016
Размер2.9 Mb.
ТипДокументы
1   ...   6   7   8   9   10   11   12   13   ...   23

Автоматизированная подсистема телевизионного наблюдения. Основным назначением АПТН является комплексирование подсистем АСО с целью идентификации и видео документирования (протоколирования и архивирования) всех тревожных, аварийных и других нештатных ситуаций, сообщения о которых формируются в АСО.

Автоматизированная подсистема охранной сигнализации. Основным назначением АПОС является своевременная сигнализация о фактах несанкционированного проникновения физических лиц через периметр ЛЗ, а также внутрь зданий, сооружений, хранилищ и служебных помещений, расположенных на территории объекта.

Комплекс средств автоматизации и управления. Основным назначением КСАУ является функциональное и информационно-техническое комплексирование подсистем АСО и повышение уровня автоматизации и надежности управления этими подсистемами и их элементами.

Представленный образ системы охраны при его полном воплощении обеспечивает сохранность имущества организации и высокую безопасность ее работников.
Реальная система охраны Вашей организации может отличаться от представленной, быть обычно более простой. Сравнение Вашей АСО с представленной позволяет определить возможные каналы физического проникновения нарушителя, а также вырабатывать комплекс мер по закрытию этих каналов при возникновении тревожной ситуации.

Для более полной оценки необходимо понимать, каково качество функционирования такой системы охраны.

Основными характеристиками АСО, определяющими их качество, являются интегральные показатели:

 показатель эффективности;

 показатель надежности;

 обобщенный показатель стоимости покупки и эксплуатации АСО.

Данные характеристики качества АСО являются обобщенными, а их количественные значения зависят от структуры АСО, значений характеристик ее элементов (в том числе частных показателей назначения) и условий функционирования системы.
Важнейшей и наиболее общей характеристикой качества АСО является ее эффективность. Эффективность АСО оценивается при помощи показателя эффективности Фо — количественной меры, характеризующей способность системы выполнять свое назначение. За показатель эффективности системы охраны Фо принимается вероятность выполнения системой своего назначения по предотвращению акций нарушителя (нарушителей) по проникновению к охраняемому объекту (на территорию, в здания, сооружения, агрегаты объекта). Этот показатель как основная числовая характеристика качества АСО, используется для сравнения различных вариантов построения системы на этапах ее создания и модернизации, а также для оценки результатов мероприятий по повышению эффективности системы на этапах ее доработки и эксплуатации. Показатель эффективности является функцией множества параметров системы и ее элементов и может быть представлен в виде функционала





Таким образом, автоматизированная система охраны позволяет повысить безопасность объектов организации и тем самым снизить риск потери имущества организации при разведывательно – диверсионной деятельности агрессора, применяющего насильственные действия. Выбирая структуру и характеристики элементов системы охраны, организация добивается приемлемых значений риска в рамках допустимых совокупных затрат на приобретение и эксплуатацию автоматизированной системы охраны.
3.5 Выводы



  

1. Первой целью этой главы было помочь Вам в приобретении понимания, как следует анализировать ваше окружение на предмет возможных противоправных насильственных действий в отношении Вас. Одним из основных способов решения этой задачи является последовательное рассмотрение целей насильственных действий и выбор одного из четырех направлений (а возможно и все направления) борьбы с угрозой:

  • формирование программ обеспечения безопасности персонала и собственности фирмы;

  • внедрение специальных методик управления и кадровой политики с учетом риска функционирования коммерческой организации в районах (местах, зонах) повышенной диверсионно-террористической опасности;

  • выработка системы рекомендаций по тактике действий администраций, служб безопасности и поведения персонала при столкновении с опасностью террористических акций;

  • уменьшение в рамках инвестиционных программ размеров собственности фирмы и численности персонала в зонах (районах), подверженных повышенной диверсионно-террористической опасности.

2. Второй целью было способствовать тому, чтобы Вы успешно разрабатывали мероприятия по минимизации криминальной опасности. Для этого Вы должны знать комплекс мер, обеспечивающих безопасность организации:

  • информационно-аналитическая деятельность по выявлению и прогнозированию возможных угроз;

  • предотвращение сбора конфиденциальной информации техническими средствами, а также через персонал в окружении организации;

  • защита финансово-экономической деятельности от экономических преступлений, афер, мошенничества, злоупотреблений со стороны собственного персонала, партнеров, акционеров, сторонних организаций;

  • меры по обеспечению секретности и конфиденциальности внутренней и иной коммерческой информации;

  • физическая защита зданий и помещений коммерческих структур и их сотрудников;

  • охрана руководящих и других сотрудников, а также лиц, прибывающих для встреч и переговоров;

  • выработка и реализация антикризисных планов деятельности, предусматривающих выход из различных типовых чрезвычайных ситуаций;

  • специальные меры при подборе, проверке, подготовке, переподготовке, расстановке, увольнении персонала.

3. Третьей целью было помочь Вам рационально действовать в случае нападения (угрозы нападения) на Вас, членов вашей семьи, сотрудников вашей организации, при других насильственных действиях. Вам была предложен комплекс рекомендаций – что делать, если Вам угрожают, и как поступать, если нападение произошло.

4. И еще одной из целей было разрабатывать предложения по системе охраны с учетом возможных средств автоматизации. В главе описана «полномасштабная» автоматизированная система охраны как важное средство обеспечения безопасности организации – сохранности сооружений, имущества, информации (частично) и обеспечение условий работы персонала. Материалы главы продемонстрировали, что Вы можете варьировать состав технических средств автоматизированной системы охраны и ее функциональные подсистемы, а также ее структуру, уровень обучения персонала и режимы работы так, чтобы, изменяя вероятность успешного функционирования системы и ее стоимость, добиться приемлемого уровня безопасности организации.

 



4. Информационная безопасность – важный аспект безопасности бизнеса
Основной целью данного раздела является ознакомление с практикой работы по защите информации.

После изучения раздела Вы должны уметь:

 представлять себе наиболее вероятные пути несанкционированного получения информации;

 уметь правильно выбрать информацию, подлежащую защите;

 знать основные организационно-технические приемы защиты информации.


В предыдущих разделах не раз упоминалось о том, что многие беды предпринимателей начинаются с того, что злоумышленникам становились известными сведения, использованные впоследствии в ходе шантажа, мошенничества и т.п. Не узнай они их — не было бы проблемы.

Таким образом, защита информации в бизнес - деятельности становится актуальнейшей задачей.
4.1 Информационная безопасность – основные понятия
Одной из основных, наиболее актуальных сфер безопасности, оказывающих существенное (а в ряде случаев — определяющее) влияние на все процессы в бизнесе, и, соответственно, на уровень рисков, является информационная безопасность. Информационная безопасность (ИБ) – это состояние защищенности информационных ресурсов, технологии их формирования и использования, а также прав субъектов информационной деятельности. Взаимосвязь основных характеристик информационной безопасности представлена на морфологической схеме:





Вопросы информационной безопасности бизнеса, таким образом, являются частью вопросов информационной безопасности государства, и решаются они на фоне информационного взаимодействия и/или конфликта огромного количества групп участников и на различных иерархических уровнях.

Тем не менее информационная безопасность бизнеса представляет собой относительно самостоятельную область, для которой информационные условия формируются, как и принято считать в бизнесе, взаимодействием 4-х внешних факторов дальнего окружения – социальных, технических, экономических и политических. Однако реальные угрозы бизнесу в информационной области формируются не только и не столько в области этих STEP–факторов. И в больших масштабах.

О значительных масштабах угроз бизнесу свидетельствуют многие факты. Сегодняшний бизнес не может существовать без информационных технологий. Известно, что около 70% мирового совокупного национального продукта зависят тем или иным образом от информации, хранящейся в информационных системах. Повсеместное внедрение компьютеров создало не только известные удобства, но и проблемы, наиболее серьезной из которых является проблема информационной безопасности. Недавнее исследование Британского Национального Компьютерного Центра (NCC, 2003), в котором участвовало 660 компаний, выявило более 7000 случаев нарушения информационной безопасности, допущенных в этих компаниях в течение последних двух лет. С момента проведения предыдущего исследования (т. е. за два года) средняя стоимость такого нарушения почти удвоилась и достигла 16 тыс. фунтов стерлингов (25,5 тыс. долл). В качестве отдельных примеров - краткая выдержка данных всего лишь за один из месяцев 2000г /Б. Шайдер, 2003/.

  • Взломан веб-сайт одной из фирм электронной коммерции; украдено около 3000 записей, содержащих номера кредитных карт клиентов и информацию частного характера. Часть этой информации помещена в Интернете.

  • В течение нескольких лет частная информация утекала с ряда веб-сайтов без ведома их владельцев к рекламодателям.

  • Осужденный за свои преступления хакер Кэвин Митник в показаниях Конгрессу сказал, что наиболее уязвимое место в системе безопасности — человеческий фактор. Он зачастую выведывал пароли и другую секретную информацию, действуя под чужим именем.

  • Частные данные клиентов, заказывавших продукцию на веб-сайте корпорации Sony, утекли к неким другим клиентам (Это — актуальная проблема всех типов сайтов).

  • Министерство обороны Японии приостановило внедрение новой компьютерной системы безопасности после того, как установило, что программное обеспечение было разработано членами секты Аум Синрике.

  • Двое сицилианцев (Джузеппе Руссо и его жена Сандра Элазар) были арестованы за кражу через Интернет около тысячи кредитных карт США. Они использовали эти карты для закупки лучших товаров и лотерейных билетов.

  • Отражена серия атак, направленных на отказ в обслуживании, проведенных хакером (на самом деле — скучающим подростком) по имени Кулио. Оп признал, что в прошлом вскрыл около 100 сайтов, в том числе сайт криптографической компании RSA Security и сайт, принадлежащий государственному департаменту США.

  • Злоумышленники организовали атаки, приведшие к отказам в обслуживании на веб-сайте компании Мiсгоsoft в Израиле.

  • Джонатан Босанак, известный как Гетсби, был приговорен к 18 месяцам заключения за взлом сайтов трех телефонных компаний.

  • Лазейка, обнаруженная в Мiсгоsoft Internet Ехрlогег 5 (в Windows 95, Windows 98, Windows NТ 4.0 и Windows 2000), позволила злоумышленнику создать веб-страницу, дающую ему возможность запустить любую программу на компьютере посетителя сайта.

Обозревая этот список, приходишь к заключению, что имеется значительное разнообразие проблем, слабых точек в защите и атак. Некоторые из них присутствуют в электронной коммерции, при проектировании которой учитывались требования информационной безопасности. Даже криптографическая фирма, продающая системы информационной безопасности, не смогла уберечь свой сайт от взлома. Хакерами (индивидуумами, вскрывающими программную защиту) оказываются самые разнообразные люди, не имеющие высокого специального образования в области защиты информации. Почему же это так, и что можно сделать для сохранения своих секретов – предмет дальнейшего обсуждения.

В Российском законодательстве на национальном уровне политика информационной безопасности регулируется прежде всего Конституцией Российской Федерации, Доктриной информационной безопасности Российской Федерации от 16.03.04 и рядом федеральных законов, основные из которых следующие: «Закон РФ «Об авторском праве и смежных правах» от 9.07.93 №5352-1, Закон РФ «О государственной тайне» от 21.07.93 № 5485-1 (с изменениям и дополнениями от 6.10.97), Федеральный закон «Об информации, информатизации и защите информации» от 2501.95 24-Ф3 и др., а также рядом руководящих документов Государственной технической комиссии при Президенте РФ (Гостехкомиссии России).

Работая на компьютере, используя сеть компьютеров в организации, подключаясь к Интернет, мы имеем дело с системами. Понятие система относительно ново для науки. Восточные философы уже давно рассматривали мир как единую систему, состоящую из различных компонентов, но в западной традиции было принято разделять его на отдельные явления, развивающиеся в различных направлениях. Машины только недавно стали системами. Подъемный блок — это машина; но лифт —это комплексная система, включающая много различных механизмов. Системы взаимодействуют: лифт взаимодействует с электрической системой здания, с его системой пожарной безопасности и пр. Аналогично компьютеры, взаимодействуя, образуют сети; сети, взаимодействуя, образуют более крупные сети и т.д.
Интернет, возможно, наиболее сложная система, которая когда-либо разрабатывалась. Она включает в себя миллионы компьютеров, объединенных в непредсказуемо сложные физические сети. На каждом компьютере работают сотни программ, некоторые из них взаимодействуют с программами, установленными на том же компьютере, другие — через сеть с программами, установленными на удаленных компьютерах. Система принимает сигналы от миллионов пользователей, часто одновременно.

Системы имеют несколько интересных свойств, которые уместно здесь обсудить.

1. Сложность. Механизмы просты, системы сложны. Даже простая компьютерная программа имеет тысячи строчек кода. Человек спроектировал систему, но работает она не так, как ее он задумал. В ходе ее создания она подверглась массе доработок, замен и других изменений. В реальности система – не то, что было записано на бумаге. То, что записано – некий ее образ, модель, которые всегда значительно проще, чем реальная система, в состав которой включены люди со своими целями, характером и навыками. В случае информационной безопасности – все информационные системы для бизнеса строятся в интересах бизнеса. И только потом их пытаются защитить от атак. Так, проблемы безопасности в операционной системе Windows 2000 прямо вытекают из сложности любой компьютерной системы каталогов. Скорее всего, они основаны на недостатке, заложенном при проектировании: Мiсгоsoft применила конструкторское решение, обеспечивающее удобство пользователям, но небезупречное с точки зрения безопасности.

2 Взаимодействие. Это еще одно свойство системы. Взаимодействие между программным обеспечением веб- сайта фирмы и программным обеспечением, например, рекламодателя, производящее отображение объявлений пользователей, привело к утечке информации от одного к другому. Это взаимодействие происходит помимо людей.

3. Неожиданность. Судя по сообщениям в прессе, программисты Sonу не знали, как происходит утечка информации о кредитных картах от одного пользователя к другому. Она просто происходит.

4. «Баги» (от английского bug – жучок). Этим термином обозначают особую разновидность ошибки. Их наличие— неожиданное свойство системы, не предусмотренное при ее создании. «Баги» принципиально отличаются от сбоев. Если где-то происходит сбой, продолжение работы невозможно. Когда же имеется «баг», работа продолжается хотя объект, ее производящий, ведет себя, возможно, неустойчиво, возможно, необъяснимо. «Баги» — уникальное свойство систем. Машины могут ломаться или портиться, или не работать вовсе, но только системы могут иметь «баги». Уязвимость программного обеспечения – это следствие «бага». Нарушитель отыскивает «баг» и использует его в своих интересах, создавая проблему для безопасности.

Сочетание всех четырех свойств порождает возможность несанкционированного доступа. Нет сложности – следовательно, просто защитить. И взаимодействие пройдет под контролем людей. Или сложно, но «прозрачно», тогда нет неожиданности. Но если сложно, без участия людей, при наличии слабой модели для описания самой системы и для организации безопасности – то появляются «баги», и есть возможность обойти систему защиты.

Необходимо отметить еще одну особенность – теперь не систем для бизнеса, а систем защиты от атак. Это соотношение между предупреждением, обнаружением и реагированием. Хорошая защита объединяет все три звена: безопасное хранилище, чтобы сохранить ценности, сигнализацию, чтобы обнаружить грабителей, если они захотят туда проникнуть, и милицию, которая отреагирует на сигнал тревоги и поймает грабителей. В системах компьютерной безопасности наблюдается тенденция полагаться, в основном, на упреждающие меры: криптография, брандмауэры и т. д. В большинстве случаев в них не заложено обнаружения и почти никогда нет реагирования и преследования. Такая стратегия оправдана только тогда, когда предупредительные меры совершенны:в противном случае кто-нибудь наверняка сможет сообразить, как их обойти. Большинство уязвимых мест и, соответственно, нападений, описанных выше, — это результат несовершенства превентивных механизмов. В реальности же нашего мира обнаружение и реагирование очень существены.
4.2 Что и как узнают злоумышленники


Чтобы защитить информацию, нужно представлять себе наиболее вероятные пути несанкционированного получения информации; уметь правильно выбрать информацию, подлежащую защите, знать основные организационно-технические приемы защиты информации.

ЗАДАНИЕ 4.1
Ответьте на следующие вопросы.

1. Я считаю проблему защиты информации:

    • весьма важной, в т.ч. для моей организации;

    • важной только для крупных организаций со сложной организационной структурой;

    • важной только для организаций, обладающих секретами технического характера;

    • несущественной для современных Российский условий.

2. Известны ли Вам законодательные акты РФ, регламентирующие понятия защищаемой информации:

    • достаточно подробно;

    • слышал названия;

    • не известны.

Сбор информации о хозяйственной деятельности велся всегда и везде. Его вели государственные разведывательные органы (об экономике потенциальных противников); коммерческие и другие организации (о фирмах — конкурентах); криминальные группировки (о будущих жертвах).

При этом суть такой деятельности не зависит от размеров участников (будь то иностранная фирма, действующая на одном рынке с вашей, или мелкий шантажист, пытающийся узнать о ваших "грехах" в уплате налогов).

В принципе несанкционированное получение информации может быть случайным (уволившийся сотрудник знает "кое-что" о фирме, в которой работал) или являться следствием целенаправленной разведки.

Каковы же способы такой разведки, осуществляемой в отношении коммерческих и иных организаций. В специальной литературе называются, например, такие:

1. Получение информации через агентуру фирмы о конкурирующем предприятии от специалистов соперника на выставках, на биржах, конференциях, совещаниях и т. д. В процессе общения возможно "выуживание" у них интересующей информации. Учитывая обстоятельства, возможны попытки получения конфиденциальной информации конкурентами и через ваших людей. Поэтому не рекомендуется направлять на выставки, ярмарки, конференции ведущих специалистов, осведомленных в конфиденциальной информации.

2. Подкуп специалистов конкурирующей фирмы (по существу — это вербовка), который за вознаграждение снабжает данную фирму конфиденциальной информацией. Возможно как разовое получение информации, так и многоразовое. Через таких агентов-специалистов может осуществляться кража (фотографирование и т.п.) чертежей, документов, образцов, содержащих нужную информацию.

3. Возможно и предательство со стороны сотрудников предприятия, которые пытаются продать дорогостоящие объекты интеллектуальной собственности, созданные предприятием, незаконно, и, безусловно, в личных корыстных целях.

4. Добывание информации о конкурентах путем засылки агента на предприятие (банк, контора, фирма и др.) для добывания различными приемами и ухищрениями конфиденциальной информации о конкурентах. Например, запускают в какой-нибудь банк, все равно — государственный или акционерный или еще в какую-либо фирму, молодого человека приятной внешности с бутылкой шампанского в кейсе и букетом роз в руках, и через три дня он представляет подробный отчет о том, куда и как двигаются средства на лицевом счете предприятия, которое интересует соответствующую фирму.

5. Непосредственное наблюдение за работой конкурирующего предприятия. Однажды утром четверо служащих крупной сети отелей "Мэрриот" заняли номера в дешевой гостинице Атланты (столица штата Джорджия) и приступили к "разведывательной" операции. Один изучал систему обслуживания, другой - оборудование номеров, третий - степень звукоизоляции комнат... Такие операции по свидетельству американского журнала "Форчун" осуществлялись на протяжении шести месяцев в разных районах страны. Результаты операции не замедлили сказаться. Вложив 500 млн. долларов, "Мэрриот" создала новую сеть гостиниц, которая должна превзойти конкурентов по всем показателям.

6. Сотрудники службы информации и их агенты по принципу свободного поиска, например, в местах, где обычно бывают или собираются служащие конкурирующего предприятия. Из праздных бесед за кружкой пива или бокалом вина они стараются найти в недрах конкурирующего предприятия человека, недовольного своим положением и зарплатой, и выведать у него как можно больше информации.

7. Скупка краденных промышленных секретов у профессиональных
промышленных шпионов... Кроме того, могут быть и вполне "легальные" способы сбора информации, такие как:

приобретение открытой литературы, периодических изданий и т.п.;
— направление запросов в различные организации и учреждения, анкетирование и т.п.;
— визуальное наблюдение за незащищенными объектами;
— банки данных о предприятиях, создаваемые различными фирмами и акционерными обществами. В банках накапливается и постоянно обновляется информация о десятках тысяч предприятий; банков, биржах, брокерских фирмах и др.;
— обратный инжиниринг, то есть разборка и изучение продукции конкурентов с целью исследования конструкции, компонентов и других характеристик, также пользуется большой популярностью;
— материалы открытых судебных процессов. Судебные материалы нередко обладают высокой информативностью, однако получение и использование их должно производиться в рамках действующих процессуальных законов.

Широко известен термин "утечка" информации. Имеет смысл подробнее разобраться в этом явлении. Тем более, что для современного отечественного предпринимательства оно, к сожалению, характерно.

Часто под утечкой информации понимается ее несанкционированное разглашение, выход ее за пределы круга лиц, которым эта информация была доверена. Однако одного этого признака недостаточно, чтобы считать факт утечки защищаемой информации состоявшимся. Основным признаком утечки информации все-таки должен считаться факт завладения защищаемой информацией субъектом, от которого информация защищается.

Выделяют обычно две группы причин утечки информации:

1. Принятие недостаточных мер защиты информации: (несовершенство нормативных актов, даже буквальное выполнение которых не гарантирует защищенность информации; недостаточность наличных средств и сил для перекрытия всех возможных каналов утечки информации).
2. Нарушения лицами, допущенными к работе с защищаемой информацией, правил защиты, что создает возможность и облегчает несанкционированный доступ к информации.

Мероприятия по ликвидации таких причин рассмотрены в следующих разделах. При этом проблемам работы с персоналом (в т.ч. в части обеспечения сохранности информации) посвящена отдельная глава.

 

1   ...   6   7   8   9   10   11   12   13   ...   23