Экономические проблемы в обеспечении безопасности информационных ресурсов

1. Экономические проблемы в обеспечении безопасности информационных ресурсов.

       В соответствии с действующим Федеральным законом «Об информации, информационных технологиях и защите информации» 2006 года информационные ресурсы предприятия, организации, учреждения, банка, компании и других государственных и негосударственных предпринимательских структур включают в себя отдельные документы и отдельные массивы документов (дела), документы и комплексы документов в информационных системах (библиотеках, архивах, фондах, банках данных компьютеров и других информационных системах) на любых носителях, в10 том числе обеспечивающих работу вычислительной и организационной техники. Информационные ресурсы (информация) являются объектами отношений физических и юридических лиц между собой и государством. В совокупности они составляют информационные ресурсы России и защищаются законом наряду с другими видами ресурсов. Документирование информации (создание официального документа) является обязательным условием включения информации в информационные ресурсы. Следует учитывать, что документ может быть не только и даже не столько управленческим (деловым), имеющим в большинстве случаев текстовую, табличную или анкетную форму. Большие объемы наиболее ценных документов представлены в изобразительной форме: конструкторские документы, картографические, научно-технические, документы на фотографических, магнитных и иных носителях. По принадлежности к тому или иному виду собственности информационные ресурсы могут быть государственными или негосударственными, и, как элемент состава имущества, находиться в собственности граждан, органов государственной власти, исполнительных органов, органов местного самоуправления, государственных учреждений, организаций и предприятий, общественных объединений, предпринимательских структур. В соответствии с интересами обеспечения национальной безопасности и степенью ценности для государства, а также правовыми, экономическими и другими интересами предпринимательских структур информационные ресурсы могут быть: а) открытыми, т.е. общедоступными, используемыми в работе без специального разрешения, публикуемыми в средствах массовой информации, оглашаемыми на конференциях, в выступлениях и интервью; б) ограниченного или запрещенного доступа, т.е. содержащими сведения, составляющие тот или иной вид тайны и подлежащие защите, охране, наблюдению и контролю. Накопители информационных ресурсов представляют собой пассивные концентраторы этой информации и включают в себя: 1) публикации о фирме и ее разработках; 2) рекламные издания, выставочные материалы, документацию; 3) персонал фирмы и окружающих фирму людей; 4) физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники, различных приборов и средств связи и т.п. Источники содержат информацию как открытого, так и ограниченного доступа. Причем информация того и другого рода находится в едином информационном пространстве и разделить ее без тщательного содержательного анализа часто не представляется возможным. Например, систематизированная совокупность открытой информации может в комплексе содержать сведения ограниченного доступа. 11 Документация, как источник информации ограниченного доступа может включать: 1) документацию, содержащую сведения ограниченного распространения и представления; 2) комплексы обычной деловой и научно-технической документации, содержащей общеизвестные сведения, организационно-правовые и распорядительные документы; 3) рабочие записи сотрудников, их служебные дневники, личные рабочие планы, переписку по производственным вопросам; 4) личные архивы сотрудников фирмы. В каждой из указанных групп могут быть: 1) документы на традиционных бумажных носителях (листах бумаги, ватмане, фотобумаге и т.п.); 2) документы на технических носителях (магнитных, фотопленочных и т.п.); 3) электронные документы, банки электронных документов, изображения документов на экране дисплея (видеограммы). При выполнении управленческих и производственных действий любая информация всегда распространяется во внешней среде. Тем самым увеличивается число опасных источников разглашения или утечки информации ограниченного доступа, источников, подлежащих учету и контролю. Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя: 1) деловые, управленческие, торговые, научные и другие коммуникативные регламентированные связи; 2) информационные сети; 3) естественные технические каналы излучения, создания фона. Канал распространения информации представляет собой путь перемещения сведений из одного источника в другой в санкционированном (разрешенном, законном) режиме или в силу объективных закономерностей. Документированные информационные ресурсы, которые используются предпринимателем в бизнесе и управлении фирмой, являются его собственной или частной информацией, представляющей для него значительную ценность. Эта информация составляет интеллектуальную собственность предпринимателя. Ценность информации может быть стоимостной категорией и характеризовать конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например: учредительные документы, программы и планы, договоры с партнерами и посредниками и т.д. Ценность может проявляться в ее перспективном научном, техническом или технологическом значении. Обычно выделяется два вида информации, интеллектуально ценной для предпринимателя: 12 1) техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, рецептуры, результаты испытаний опытных образцов, данные контроля качества и т.п.; 2) деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий и т.п. Ценная информация охраняется нормами права (патентного, авторского, смежных прав и др.), товарным знаком или защищается включением ее в категорию информации, составляющей коммерческую тайну. Процесс выявления и регламентации реального состава ценной информации, составляющей коммерческую тайну, является основополагающей частью системы защиты информации на предприятии. Состав этих сведений фиксируется в специальном перечне, закрепляющем факт отнесения их к защищаемой информации и определяющем период (срок) конфиденциальности (т.е. недоступности для всех) этих сведений, уровень (гриф) их конфиденциальности, список сотрудников фирмы, которым дано право использовать эти сведения в работе. В основе перечня лежит типовой состав защищаемых сведений фирм данного профиля. Перечень является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. Следует отметить, что нельзя ограничивать доступ к информации, относящейся к новой продукции, но не имеющей ценности. При заключении любого договора (контракта) стороны должны брать на себя взаимные письменные обязательства по защите конфиденциальной информации другой стороны и документов, полученных при переговорах, исполнении условий договора. Производственная или коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, а также временем до патентования, опубликования и перехода в число общеизвестных. Документированная информация ограниченного доступа всегда принадлежит к одному из видов тайны – государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные. Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой, банковской, 13 профессиональной, производственной и др.), или содержащие персональные данные граждан, именуются конфиденциальными. Несмотря на то, что конфиденциальность является синонимом секретности, термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне. Конфиденциальность отражает ограничение, которое накладывает собственник информации на доступ к ней других лиц, т.е. собственник устанавливает правовой режим этой информации в соответствии с законом. Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала фирмы (от нескольких часов до значительного числа лет). Следует учитывать, что основная масса конфиденциальных документов после окончания их исполнения или работы с ними теряет свою ценность и конфиденциальность. Например, переписка до заключения контракта может иметь гриф конфиденциальности, но после его подписания этот гриф с письменного разрешения первого руководителя фирмы снимается. Следовательно, конфиденциальные документы характеризуются специфическими особенностями, которые отражают их сущность как носителей информации ограниченного доступа и определяют построение системы защиты этой информации. Все информационные ресурсы предприятия (учреждения) постоянно подвергаются объективным и субъективным угрозам утраты носителя или ценности информации. Под угрозой или опасностью утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных. Риск угрозы любым (открытым и ограниченного доступа) информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. Для информационных ресурсов ограниченного доступа диапазон угроз, предполагающих утрату информации (разглашение, утечку и т.д.) значительно шире в результате того, что к этим документам проявляется повышенный интерес со стороны различного рода злоумышленников. В отличие от объективного распространения утрата информации влечет за собой незаконный переход конфиденциальных сведений, документов к субъекту, не имеющему права владения, распоряжения ими и использования в своих целях. Обязательным условием успешного осуществления попытки несанкционированного доступа к информационным ресурсам ограниченного14 доступа является интерес к ним со стороны конкурентов, определенных лиц, служб и организаций. При отсутствии такого интереса угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней постороннего лица. Следовательно, утрата информационных ресурсов ограниченного доступа может наступить: 1) при наличии интереса конкурента, учреждений, фирм или лиц к конкретной информации; 2) при возникновении риска угрозы, организованной злоумышленником или при случайно сложившихся обстоятельствах; 3) при наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией. Эти условия могут включать: 1) отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов; 2) неэффективную систему защиты информации или отсутствие этой системы; 3) непрофессионально организованную технологию обработки и хранения конфиденциальных документов; 4) неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе; 5) отсутствие системы обучения сотрудников правилам защиты информации ограниченного доступа; 6) отсутствие контроля со стороны руководства за соблюдением персоналом требований нормативных документов по работе с информационными ресурсами ограниченного доступа; 7) бесконтрольное посещение помещений, где происходит работа с информационными ресурсами ограниченного доступа, посторонними лицами. Следует всегда помнить, что факт документирования резко увеличивает риск угрозы информации. Великие мастера прошлого никогда не записывали секреты своего искусства, а передавали их устно сыну, ученику. Поэтому тайна изготовления многих уникальных предметов того времени так и не раскрыта до наших дней. Угрозы сохранности, целостности и конфиденциальности информационных ресурсов ограниченного доступа практически реализуются через риск образования канала несанкционированного получения (добывания) кем-то ценной информации и документов. Этот канал представляет собой совокупность незащищенных или слабо защищенных направлений возможной утраты информационных ресурсов ограниченного доступа, которые злоумышленник использует для получения необходимых сведений. Каждое конкретное предприятие (учреждение) обладает своим набором каналов несанкционированного доступа к информации, что зависит от15 множества моментов – профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания и т.п. Функционирование канала несанкционированного доступа к информации обязательно влечет за собой утрату информации, исчезновение носителя информации. Утрата информации характеризуется двумя условиями: информация переходит а) непосредственно к заинтересованному лицу – конкуренту, злоумышленнику или б) к случайному, третьему лицу. Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию во владение в силу обстоятельств или безответственности персонала, не обладающее правом владения ею и, что очень важно, не заинтересованное в этой информации. Однако от третьего лица информация может легко перейти к злоумышленнику. Переход информации к третьему лицу представляется достаточно частым явлением, и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации, нарушения ее безопасности имеет место. В отличие от третьего лица злоумышленник или его сообщник целенаправленно охотятся за конкретными информационными ресурсами и преднамеренно, противоправно устанавливают контакт с источником этих ресурсов или преобразуют канал их объективного распространения в канал их разглашения или утечки. Такие каналы всегда являются тайной злоумышленника. Таким образом, содержание составных частей элементов, методы и средства защиты информационных ресурсов в рамках любой системы защиты должны регулярно изменяться с целью предотвращения их раскрытия заинтересованным лицом. Конкретная система защиты информации всегда является строго конфиденциальной, секретной.