Главная страница

Безопасность бизнеса Введение Организация, безопасность и риск 1 Сущность предпринимательского риска


НазваниеБезопасность бизнеса Введение Организация, безопасность и риск 1 Сущность предпринимательского риска
страница11/23
Дата01.04.2016
Размер2.9 Mb.
ТипДокументы
1   ...   7   8   9   10   11   12   13   14   ...   23

4.3 Какую информацию защищать
Коммерческая информация может быть ранжирована по степени ее важности для предприятия с тем, чтобы регулировать ее распространение среди работающих на предприятии, указывать пользователей этой информации, уровень ее защиты и т.д. Для обозначения степени важности коммерческой информации для предприятия можно предложить систему обозначения степени ее секретности (грифы секретности или конфиденциальности):
коммерческая тайна — строго конфиденциально (КТ-СК);
коммерческая тайна — конфиденциально (КТ-К);
коммерческая тайна (КТ).

Предлагаются также двухуровневые системы ранжирования коммерческой информации по степени важности: "Коммерческая тайна" и "Для служебного пользования" ("ДСП").

Для того чтобы система защиты информации в организации была работоспособной и эффективной весьма важно отсортировать служебную информацию и выбрать ту, защита которой действительно целесообразна.

Каждая организация решает эту проблему самостоятельно, исходя из действующего законодательства и своих собственных интересов и возможностей. Однако к настоящему времени практикой выработаны общие рекомендации, которые могут быть полезны любому предприятию, решающему проблему засекречивания своей коммерческой информации.

Предлагается следующий комплекс мероприятий, проводимых на предприятии по определению сведений, являющихся коммерческой тайной [Шиверский, 1996]:

1. Выделяется ответственный за эту работу — один из руководителей предприятия (например, заместитель руководителя по коммерции или маркетингу), который совместно со службой безопасности (СБ) организует и осуществляет весь комплекс работ.

2. Создается комиссия из числа квалифицированных специалистов ведущих структурных подразделений, которая будет выполнять экспертные функции.

3. Вырабатывается первоначальный вариант Перечня сведений, составляющих коммерческую тайну предприятия, членами созданной выше комиссии с привлечением руководителей и специалистов таких структурных подразделений, как патентно-лицензионного, финансового, занимающихся рекламой и сбытом продукции и др.

4. Анализируются поступившие предложения и готовится окончательный вариант Перечня сведений.

5. Перечень утверждается руководителем предприятия и доводится до исполнителей в полном объеме или в части их касающейся.

В подготовленном и утвержденном Перечне целесообразно указывать степень конфиденциальной коммерческой информации и на какой срок она засекречивается (в тех случаях, когда это возможно определить), а также условия рассекречивания информации.

ЗАДАНИЕ 4.2

Решаем вопрос о защите информации
Если в вашей организации отсутствует система защиты информации или не решен вопрос об отнесении тех или иных сведений к разделу защищаемых, обдумайте и подготовьте ответы на следующие вопросы:
1. Кому из руководителей организации следует курировать эту работу?
2. Кого из руководителей подразделений и специалистов необходимо включить в число экспертов для решения вопросов засекречивания?
3. Имеются ли у Вас и в подразделениях предложения (наброски) для включения в перечень сведений, подлежащих засекречиванию?
Составьте график (например, в виде сетевой модели) работ по составлению Перечня.

Вся информация организации, о защите которой может идти речь, относится к одной из трех следующих групп.

1. Сведения стратегического характера:
планы развития организации, в том числе с применением новых технологий и т.п.;
причины, сдерживающие развитие предприятия, трудности и возможные пути их преодоления.

2. Технологическая и научно-техническая информация, лежащая в основе производства предприятием конкурентоспособной продукции.

3. Деловая информация:
о торговых и деловых партнерах, клиентах, посредниках, поставщиках;
об условиях контрактов, соглашений, договоров;
о состоянии кредитно-финансовой системы предприятия;
маркетинговая информация.

ЗАДАНИЕ 4.3
Составляем перечень
Составьте набросок Перечня сведений, которые в вашей организации необходимо засекретить. Руководствуйтесь вышеприведенными рекомендациями. Постарайтесь учесть информацию, относящуюся ко всем трем (стратегическая, технологическая, деловая) группам.

Следует иметь в виду, что защита информации требует затрат определенных ресурсов (см. следующий раздел). Поэтому необходимо следить за тем, чтобы в составе защищаемой информации не было ничего лишнего. Надо убедиться в том, что рассматриваемые сведения не являются общеизвестными или общедоступными на законных основаниях. Не подлежат отнесению к категории коммерческой тайны сведения стратегического характера, передаваемые в соответствующие государственные органы (в том числе, информация, передаваемая государственным органам статистики, налоговой инспекции и т.п.); любые сведения после их опубликования в открытой печати, передаче по электронным средствам массовой информации.

Кроме того, нужно убедиться в том, что ваша организация будет в состоянии обеспечить защиту отобранной информации и "взвесить" отрицательные последствия таких шагов:
— некоторые потери от вводимых ограничений на пользование конфиденциальной информацией;
— не владение предприятием данными о возможном наличии подобной информации у конкурентов.

ЗАДАНИЕ 4.4
Еще раз проверим Перечень
Вернитесь к перечню, составленному при выполнении задания, и откорректируйте его с учетом вышеизложенных соображений.

4.4 Способы защиты информации
Все разнообразные способы защиты информации обычно классифицируют по двум основным признакам

Во-первых, по собственнику информации (по видам охраняемых тайн) и, во-вторых, по группам используемых для защиты информации сил, средств и методов. К первой группе могут быть отнесены следующие основные направления: защита государственной тайны, защита межгосударственных секретов, защита коммерческой тайны.

Ко второй группе относятся следующие основные направления: правовая защита информации, организационная защита информации, инженерно-техническая защита информации, программно-математическая защита информации.

Защита государственной тайны регламентируется Законом РФ "О государственной тайне". Этим же законом, а также рядом межгосударственных соглашений регламентируется защита межгосударственных секретов.

Рассмотрим общие подходы к построению системы защиты коммерческой тайны. Такая система будет состоять из элементов, условно располагаемых на следующих уровнях защиты:

  • правового обеспечения деятельности организации по защите коммерческой тайны;

  • организационного, материального и инженерно-технического обеспечения защиты этой информации;

  • осуществления по защите коммерческой тайны, отслеживания состояния и эффективности всей системы защиты такой тайны, предупреждения ее утечки и перекрытия возможных или появляющихся источников и каналов утечки конфиденциальной информации.

Система правовой регламентации защиты конфиденциальной информации является двухуровневой. На первом уровне стоят законодательные акты государства, регламентирующие деятельности организаций в области защиты коммерческой тайны, определяющие объем их прав и обязанностей в области защиты их собственности в виде такой информации, объявленной предприятием коммерческой тайной. К этой группе можно отнести закон РФ, "О частной детективной и охранной деятельности в РФ от 1103.92 № 2487-1, Закон РФ "О конкуренции и ограничении монополистической деятельности на товарных рынках" от 22.03.91 №948-1, Гражданский кодекс Российской Федерации и др.

Второй уровень нормативной документации образуют документы, разрабатываемые непосредственно в организации. К ним относятся

1. Устав предприятия (указываются цели его деятельности, права, в том числе право иметь коммерческую тайну и осуществлять ее защиту).
2. Коллективный договор (определяются права и обязанности сторон, заключивших договор, в том числе по защите конфиденциальной информации, обеспечению необходимых условий и средств ее защиты).
3. Правила внутреннего распорядка (в которые также могут быть включены статьи, обязывающие всех работников защищать интересы предприятия, его информацию, в том числе защищать коммерческую тайну).
4. Инструкция, определяющая организацию, порядок и правила защиты коммерческой тайны на предприятии.
5. Перечни, определяющие категории сведений, которые отнесены к конфиденциальной информации предприятия (в этих перечнях следует также указывать сроки засекречивания коммерческой информации и уровень ее защиты).

В ходе текущей деятельности организации необходимо осуществлять меры по защите коммерческой тайны, к которым относят следующие:

  • контроль со стороны руководства предприятия и СБ за соблюдением всеми сотрудниками, связаными по работе с конфиденциальной информацией, правил ее защиты;

  • выявление каналов и источников утечки защищаемой информации и принятие мер по их перекрытию;

  • принятие мер по предотвращению разглашения защищаемой информации в открытых публикациях сотрудниками, особенно по техническим вопросам профиля предприятия при подготовке рекламных брошюр, пристендовой литературы, в случае участия в выставках и т.п., а также при подготовке и публикации научных работ (статей, брошюр и др.). Все эти документы и публикации должны предварительно согласовываться со специалистами и руководящими работниками организаций;

  • работа с клиентами, партнерами и др.

Инженерно-техническая защита информации — это самостоятельное направление защиты секретов, приобретающее в последнее время все большее значение. Всю совокупность инженерно-технических мер защиты информации можно разделить на группы: создание и использование экранированных помещений; специальных транспортных средств, укрытий и аппаратуры засекречивания; снижение и изменение различных излучений путем использования эквивалентных антенн, естественных и индустриальных помех, а также режима молчания и соблюдение установленных правил использования средств связи.

Доступность разнообразных технических средств защиты информации — одно из наибольших достижений в развитии отечественного бизнеса. Многие фирмы в разных регионах страны занимаются продажей, монтажом и обслуживанием этих средств. На наш взгляд выбор наиболее подходящих из них не представляет трудностей.

ЗАДАНИЕ 4.5
Вспомните известные Вам случаи "утечки" информации из различных организаций (коммерческих, государственных и т.п.). Если затрудняетесь назвать случаи из реальной жизни, вспомните прочитанные книги: можно найти массу таких примеров из "шпионской" литературы. Заполните следующую таблицу.

№ п/п

Владелец информации

Новый обладатель информации

Путь утечки

Основная причина утечки (по вашему мнению)

Характер вреда, причененного владельцу информации

Актуальная ситуация для вашей организации

1













2













3














ЗАДАНИЕ 4.6
В каких документах Вашей организации затронуты вопросы защиты информации, кого из персонала они касаются и в какой степени они влияют на деятельность организации в целом?

ЗАДАНИЕ 4.7
Сравните список, составленный вами при выполнении задания с вышеприведенными рекомендациями.

Считаете ли Вы, что...

  • в нормативных документах, регламентирующих деятельность вашей организации, вопросы защиты информации проработаны вполне достаточно;

  • следует внести соответствующие дополнения в учредительные документы;

  • следует внести соответствующие дополнения в правила внутреннего распорядка;

  • следует разработать инструкцию по защите коммерческой тайны в организации;

  • иное.

4.5 Выводы

1. Первой целью этой главы было помочь Вам в приобретении представления о наиболее вероятных путях несанкционированного получения информации. Они основаны на особенностях такой системы, какой является Интернет: сложность, взаимодействие, неожиданность, баги.

При этом выделяют две группы причин утечки информации:

  • Принятие недостаточных мер защиты информации:(несовершенство нормативных актов, даже буквальное выполнение которых не гарантирует защищенность информации; недостаточность наличных средств и сил для перекрытия всех возможных каналов утечки информации).

  • Нарушения лицами, допущенными к работе с защищаемой информацией, правил защиты, что создает возможность и облегчает несанкционированный доступ к информации.

2. Второй целью было помочь Вам правильно выбрать информацию, подлежащую защите.

Вся информация организации, о защите которой может идти речь, относится к одной из трех следующих групп.

Сведения стратегического характера:

планы развития организации, в том числе с применением новых технологий и т.п.;
причины, сдерживающие развитие предприятия, трудности и возможные пути их преодоления.

Технологическая и научно-техническая информация, лежащая в основе производства предприятием конкурентоспособной продукции.

Деловая информация:

о торговых и деловых партнерах, клиентах, посредниках, поставщиках;
об условиях контрактов, соглашений, договоров;
о состоянии кредитно-финансовой системы предприятия;
маркетинговая информация.

3. Третья цель помочь усвоить основные организационно-технические приемы защиты информации.

Общие подходы к построению системы защиты коммерческой тайны включают элементы, условно располагаемые на следующих уровнях защиты:

правового обеспечения деятельности организации по защите коммерческой тайны;
организационного, материального и инженерно-технического обеспечения защиты этой информации;
осуществления по защите коммерческой тайны, отслеживания состояния и эффективности всей системы защиты такой тайны, предупреждения ее утечки и перекрытия возможных или появляющихся источников и каналов утечки конфиденциальной информации.
5. Информационная безопасность в киберпространстве
Этот раздел предназначен для расширения кругозора менеджера в области опасностей для информации его подразделения и организации в целом, возникающие в связи с подключением компьютеров подразделения к сети (всемирной или локальной), а также выработки мер для информационной безопасности. Защита информации – это процесс, в который вовлечен менеджер.

После изучения раздела Вы должны уметь:

 анализировать Ваше окружение с учетом опасностей в киберпространстве;

 разрабатывать мероприятия по минимизации этих опасностей;

 участвовать в разработке политики организации по информационной безопасности;

 рационально действовать при обнаружении нападения на компьютеры Вашего подразделения.



5.1 Информационные опасности
Киберпространство – часть реального мира людей. Создав компьютеры и объединив их в сети, вплоть до Интернет, человечество сегодня не просто реализовало один из типов систем. Оно создало некое киберпространство, в котором существуют эти системы. В этой среде живут, распространяются и «размножаются» программы, данные, вирусы и пр. Но это пространство – часть реального мира людей. Все больше и больше людей «входит» в это киберпространство и осуществляет в нем свои действия.

Люди, вошедшие в киберпространство, взаимодействуют с другими, образуют сложные социальные и деловые взаимоотношения, живут и «умирают». В киберпространстве существуют сообщества, большие и малые. Киберпространство наполнено коммерцией. Там заключаются соглашения и контракты, там случаются разногласия и конфликты.

И опасности в этом мире отображают опасности физического мира. Если в физическом мире существуют опасности хищений и растрат, то точно так же они существуют и в киберпространстве. Если грабят физические банки, то ограбят и цифровые. Вторжение в частную жизнь может иметь облик фотографа с телеобъективом, а может и облик хакера, который перехватывает сообщения частного характера. Правонарушения в киберпространстве включают в себя все, что вы можете видеть в физическом мире: воровство, рэкет, вандализм, подглядывание и подслушивание, эксплуатацию, вымогательство, мошенничество и обман. Присутствует даже опасность реального физического ущерба в результате выслеживания, а также реальные нападения – например, на систему контроля воздушных перевозок. В первом приближении сообщество живущих в киберпространстве такое же, как и сообщество тех, кто далек от компьютерных сетей.

Это означает, что, бросая взгляд в прошлое, мы можем точнее увидеть, что принесет будущее. Нападения будут выглядеть по-разному — взломщик будет оперировать цифровыми взаимодействиями и точками входа в базы данных вместо отмычек и монтировок, террористы выберут мишенью информационные системы вместо самолетов — но мотивация и психология будут теми же. Это также значит, что нам не понадобится совершенно другая правовая система в будущем. Если наше грядущее похоже на былое — за исключением некоторых особенностей, — тогда правовая система, которая работала в прошлом, вероятно, будет работать и в будущем.

Но киберпространство сегодня – весьма привлекательная для грабителей область. В начале 20 века широко распространилась «мода» грабить банки, потому что там хранились деньги. Сегодня деньги находятся не в банке, они перемещаются по компьютерным сетям. Каждый день банки мира переводят друг другу миллиарды долларов при помощи простого изменения чисел в компьютерной базе данных. Между тем, средняя величина единичной кражи из физических банков ненамного превышает 1500 долларов. И киберпространство будет представляться злоумышленникам все более соблазнительным — объем электронной торговли возрастает с каждым годом.

Преступники не хуже и не лучше деловых людей понимают, для чего можно использовать сеть; они только переиначивают свои старые трюки под новые возможности, учитывая тонкие подробности и эксплуатируя размах сети и ее тенденцию к росту.

Опасности могут быть теми же, но киберпространство все видоизменяет по-своему.

Новые свойства киберпространства. У Интернета есть три новых свойства, которые помогают осуществить атаку. Любое из них — угроза. Это автоматизация, действие на расстоянии и распространение технических приемов.





Автоматизация — это друг нападающего. Телефонные хулиганы могут звонить бесплатно из телефонов-автоматов в пределах определенной местности практически сколько угодно. Они не сильно влияют на итоговую прибыль компании.

В киберпространстве все иначе. Компьютеры имеют неоспоримое преимущество при решении повторяющихся, скучных задач. Так называемая «тактика поэтапных нападений» — кража каждый раз небольшой части денег, по кусочкам, от каждого счета, приносящего процентный доход, — прекрасный пример того, что было невозможным без компьютеров.

Если вы спланировали крупную аферу, при помощи которой можно очистить чьи-нибудь карманы, а она срабатывает только один раз из 100 000 попыток, вы умрете с голоду, прежде чем ограбите кого-то. В киберпространстве вы можете настроить свой компьютер на поиск одного шанса из ста тысяч. Быстрая автоматика совершает атаки, даже если возможное число успешных попыток мизерно. Атаки, которые были слишком несущественны, чтобы обращать них внимание в физическом мире, могут быстро стать основной угрозой в цифровом. Многие коммерческие организации совершенно не заботятся об этих мелочах: дешевле игнорировать их, чем с ними бороться. Им необходимо думать иначе с приходом цифровых систем.

Действие на расстоянии. Интернет не имеет границ или естественных ограничений. Любые две вещи одинаково тесно связаны, будь они расположены в разных концах комнаты или планеты. Это означает, что нападающим в Интернете не нужно находиться где-то рядом со своей добычей. Нападающий может сидеть за компьютером в Санкт-Петербурге и атаковать компьютер Ситибанка в Нью-Йорке. Такое изменение положения вещей породило гигантские последствия для безопасности. Вам надлежит принимать во внимание преступность всего мира.
Глобальная природа Интернета также затрудняет поиск преступников и их обвинение. Найти нападающих, ловко скрывающих свое местонахождение, может быть почти невозможно, и, если вы даже найдете их, что будете делать? Преступность ограничена только в том, что касается политических границ. Но если у Интернета не существует физической территории, на которой можно было бы его контролировать, то кто обеспечит его безопасность? К настоящему времени все правоохранительные органы, которые могли бы предъявить претензии к Интернету, уже пытались это сделать, но, в целом, безуспешно.

Распространение технических приемов. Это третье свойство Интернета — легкость, с которой опыт удачных атак распространяется по киберпространству. Интернет представляет собой еще и совершенную среду для распространения удачных приемов нападения. Только первому нападающему приходится быть изобретательным, все остальные могут просто использовать его программы. После того как автор изобретения включает их в какой-нибудь архив, удобно расположенный где-нибудь, любой способен загрузить и использовать их. И, однажды выпущенные в свет, они уже не поддаются контролю.

Анализ всех трех свойств Интернет должен, вероятно, привести Вас к мысли о приоритетности упреждающих мер вместо привычных ответных.

ЗАДАНИЕ 5.1.
Угрозы из Интернета для вашей организации
Рассмотрите следующий вопрос: "Что такое угрозы из Интернета?». В качестве отправной точки Вы должны задуматься о том, каковы особенности угроз из Интернета, как они могут повлиять на доходы Вашего предприятия, и можно ли их компенсировать упреждающими мерами.

Определите, могут ли повлиять угрозы из Интернета (в случае их реализации) на доходы Вашего предприятия.

Представленный выше контекст позволяет сделать некоторые выводы:

1. Информационная безопасность в бизнесе сегодня – это прежде всего безопасность в киберпространстве - компьютерная безопасность, а также безопасность в компьютерных сетях. При этом безопасность в сетях, по определению, ниже, так как сети из компьютеров представляют собой более сложные системы по сравнению с отдельными компьютерами, непрозрачны и имеют большее количество багов. И сотрудники Вашей организации через эти сети из компьютеров имеют дело с преступностью всего мира.

2. Сегодняшний уровень встроенных в современные операционные системы и приложения механизмов защиты может оказаться недостаточным и не обеспечить гарантированную защиту информации организации.

3. Для обеспечения необходимого уровня защиты информации необходимо опираться как на общетеоретические представления о защите информации и систему выработанных мер, так и на встроенные в аппаратуру механизмы защиты. Но необходим также анализ конкретной статистики угроз и принятие мер – быстрых и эффективных.

Следовательно, необходим более полный анализ требований к системам защиты со стороны конкретных организаций бизнеса, подходов к защите информации и учет статистики угроз.
1   ...   7   8   9   10   11   12   13   14   ...   23