Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

специфичных проблем. Одна из них - необходимость обеспечения

эффективной защиты информации. Исходя из этого создание

правовых норм, закрепляющих права и обязанности граждан,

коллективов и государства на информацию, а также защита этой

информации становятся важнейшим аспектом информационной

политики государства.

Защита информации, особенно в экономической сфере, —

очень специфический и важный вид деятельности. Доста точно

сказать, что в мире средняя величина ущерба от одной банковской

кражи с применением электронных средств оценивается в 9 тыс.

долл. Ежегодные потери от компьютерных преступлений в США и

Западной Европе достигают 140 млрд. долл. По мнению

американских специалистов, снятие систем защиты информации с

компьютерных сетей приведет к разорению 20% средних компаний

в течение нескольких часов, 40% средних и 16% крупных ком паний

потерпят крах через несколько дней, 33% банков лопнут за 2 -5

часов, 50% банков - через 2 - 3 дня [42].

Наиболее «продвинутые» российские корпорации (Газпром,

РАО ЕЭС и др.) уже приняли собственные Концепции ИБ. Другие

субъекты крупного, среднего и д аже мелкого бизнеса, не оформляя

собственную концепцию информационной безопасности отдельным

документом, вынуждены уделять этой проблеме особое внимание,

так как безопасность информации, имеющейся в предприятии,

равнозначна жизнеспособности этого предприятия.

Раздел 1 Понятие информационной

безопасности предприятия

Введение

Важнейший ресурс современного общества - информация -

одновременно несет в себе и огромную угрозу для него, свя занную

с внутренней спецификой этого ресурса. Простота и большое чис ло

различных способов доступа и модификации информации,

значительное количество квалифицированных специалистов,

широкое использование в общественном производстве

специальных технических средств позволяют злоумышленнику

практически в любой момент и в любом месте осуществлять

действия, представляющие угрозу информационной безопасности

как в локальном, так и в глобальном мас штабах.

«Кто владеет информацией, тот владеет миром». Эта кры-

латая фраза становится все более актуальной. Сегодня к ма-

териальным, людским, финансовым ресурсам предприятий

добавился ещѐ один ресурс - информационный. Целостность,

достоверность и доступность информации в наши дни стали

важнейшими составными частями успеха любой организации.

Под информацией нужно понимать: конфиденциальные

данные на бумаге, находящиеся в кабинете на столе или в сейфе;

цифровые данные, хранимые в компьютере, записан ные на

дискете или передаваемые по каналам связи; разгово ры по

телефону или просто в помещении. Доступ в помещение тоже

является доступом к информации. В качестве информации могут

выступать и деньги, драгоценности, ценные бумаги. Даже сами

сотрудники являются объектом информации, иногда наиболее

ценной. И все это необходимо защищать. Защищать комплексно.

Еще одна особенность момента заключается в том, что бизнес

во всем мире стремительно становится электронным, и это требует

коренного изменения роли ИТ-подразделений, которые становятся

производственным департаментом, непос редственно приносящим

прибыль. Ведение бизнеса в Сети предполагает масс овый доступ

потребителей электронных услуг к Internet-приложениям,

размещение которых в корпоративной сети может нанести ущерб

безопасности ИТ-инфра-структуры предприятия в целом. Открытие

доступа через межсетевой экран неизбежно создает

потенциальную возможность для несанкционированного

проникновения злоумыш ленников к ресурсам внутрикорпоративной

сети, Число попыток вторжений, в том числе и успешных, на

серверы частных и государственных организаций постоянно растет

[1]. До 90% опрошенных компаний сообщают о взломах их Web-

серверов, что свидетельствует как о быстром расширении при-

сутствия бизнеса в Сети, так и о насущной необходимости

эффективных комплексных решений по обеспечению электронной

безопасности.

В феврале 2003 года администрация США переда ла на ут-

верждение в Конгресс окончательный вариант стратегии Со-

единенных Штатов в области защиты Интернета и обеспече ния

безопасности информационных систем. «Защита киберп-

ространства представляет собой чрезвычайно трудную страте-

гическую задачу, которая требует координированных и целе-

направленных усилий всего общества - федерального прави-

тельства, штатов и местных органов власти, частного сектора и

американского народа», - пишет президент Джордж Буш в

сопроводительном письме к документу. Стратегия выдвигает пять

основных направлений: создание системы реагирования на угрозу

кибербезопасности, разработка программы сокра щения угроз и

уязвимости, повышение уровня знаний и обра зования в области

информационной безопасности, защита правительственных систем

и международные усилия по решению проблем безопасности. В

2002 г. расходы бюджета США на безопасность в сфере ИТ

выросли с 2,7 до 4,2 млрд. долл. [1].

Осознают важность обеспечения безопасности ИС не толь ко

за океаном: российский рынок обеспечения информационной

безопасности стремительно растет, по данным некоторых

исследований он удваивается ежегодно. Кроме этого, наблю дается

серьезный рост интереса со стороны крупных государ ственных и

частных структур.

Вопросами безопасности сегодня озабочены и все основные

игроки рынка информационных технологий.

Современный бизнес требует от ИС решения все более слож-

ных задач:

- хранение и защита от взломов и вирусов важной инфор мации;

- поддержка клиентов в режиме 24 х 7;

- обеспечение доступа к информации сотрудников в любой

момент и в любом месте;

- удобство управления всей ИС.

Все эти задачи могут быть успешно решены только в од ном

случае: если ИС обладает двумя важнейшими свойства ми -

надежностью и защищенностью.

Управление безопасностью имеет много аспектов и только при

комплексном подходе к решению этой задачи может быть создана

действительно безопасная среда для функционирова ния ИС и

всего предприятия. В число этих аспектов входит: обеспечение

целостности, конфиденциальности и аутентично сти информации;

разграничение прав пользователей по дос тупу к ресурсам

автоматизированной системы; защита автоматизированной

системы и ее элементов от несанкционированного доступа;

обеспечение юридической значимости электронных документов.

Глава 1 Необходимость защиты информации на

предприятии

Безопасность предпринимательской деятельности - это тот

случай, когда лучше предупредить возможные неприятности, чем

решать возникающие проблемы. Многие риски в пред-

принимательской деятельности можно просчитать заранее.

Лучше всего задуматься о безопасности бизнеса в тот момент

[104], когда пришла идея создать свое предприятие, По тратить

некоторое количество сил и средств на начальном этапе и

исправить свои возможные просчеты и ошибки на бумаге, когда

представление о том, что такое собственный бизнес, как он

выглядит, как будет развиваться» еще только формируется, -

значительно проще и дешевле, чем ломать уже выстроенный и

работающий механизм.

Кроме того, задумываться о проблемах безопасности надо

всякий раз, когда бизнес претерпевает к акие - либо изменения.

Надо постараться ответить на вопрос: кто от этих изме нений может

пострадать (хотя бы косвенно)?

Например: решено установить систему автоматизации бух -

галтерского учета. Б результате двое из четырех работников

бухгалтерии становятся не нужны. Одна из работниц переводится

на новый участок, другая увольняется, и она направля ет на

предприятие налоговую инспекцию. Даже если провер ка

налоговыми органами ничего криминального не выявит, то время и

нервы отнимет точно.

Другой вариант: решено внедрить новую технологию, су-

щественно упрощающую и удешевляющую какой-то произ-

водственный процесс. Можно не сомневаться, что компании

занятые в этой отрасли сделают все, чтобы новое техническое

решение так и осталось нереализованным - для них это потеря

дохода (рынок любит стабильность и добровольно начинать

ценовые войны, передел зон влияния никто не хочет).

Еще вариант. Решено распространить через сеть рознич ной

торговли новый вид товара, выгодно отличающийся от того, что

сейчас представлено на рынке. И все начинается довольно

неплохо - спрос высокий, продажи растут. Но при этом продукция

кого-то другого, кто на этом рынке работал до Вас, безнадежно

«встала». Скорее всего, этот «кто-то» обязательно поинтересуется,

кто Вы такой, насколькд Вы сильны и нельзя ли Вас каким - то

образом «потеснить».

Базисом, на котором строится безопасность бизнеса, явля ется

комплекс ресурсов, которым обладает любой бизнес [116]. Что это

за ресурсы?

В первую очередь - предпринимательский ресурс. Это по -

тенциал руководителя (собственника) бизнеса и высшего уп-

равленческого звена: их образование, опыт, квалификация,

наконец, интуиция. Именно эти люди принимают решение о том,

куда будет двигаться бизнес, каким будет поведение фир мы в

рынке, каковы конечные цели.

Материальные ресурсы. Это и сырье, из которого произво -

дится конечный продукт, идущий на продажу, и средства про-

изводства, и финансовые средства, основные и оборотные, яв-

ляющиеся кровью бизнеса. Безопасность этого сегмента бизнеса

напрямую зависит от того, в какой мере руководитель контролирует

инфраструкту ру оборота, то есть всю цепочку поступления и

функционирования материальных ресурсов. Такой многоуровневый

и плотный контроль за материальным ресурсом возможен в одном

случае - если все эти ресурсы находятся в личной или хотя бы

коллективной собственности. В этом случае собственник имеет

реальные рычаги воздействия на функционирование ресурса на

разных уровнях.

Следующий ресурс - интеллектуальный. Это программы,

патенты, технологии, лицензии, информационные системы. По

большому счету это то, что обеспечивает прогресс в вос-

производстве и защиту коммерческой тайны. Однако здесь есть

существенная проблема - успешная защита коммерчес кой тайны,

интеллектуальной собственности возможна лишь в рамках

установившегося, регулируемого, четко очерченного правового

поля. Что, согласитесь, у нас пока хромает. За коны прописаны

весьма приблизительно, следовательно, и система их исполнения

не работает. Потому предприниматель не может реально

контролировать интеллектуальный ресурс. Исходя из такого

положения вещей, делаем вывод - интеллектуальная безопасность

бизнеса - дело будущего. Может быть - ближайшего.

Еще один ресурс - кадровый. Не вызывает сомнений, что

плохо обученный, неквалифицированный сотрудник представ ляет

собой прямую угрозу безопасности бизнеса. Однако и постоянная

смена персонала также накладна и подрывает благополучие

фирмы. В этой ситуации грамотный руководитель (или

собственник) имеет полную возможность контроля над ресурсом -

внедряя корпоративную идеологию, вводя разумную систему

поощрений, обеспечивая социальные нужды.

Важнейшую роль в защите бизнеса играет информационная

безопасность.

Информация давно перестала быть просто необходимым для

производства вспомогательным ресурсом или побочным прояв-

лением всякого рода деятельности. Она приобрела ощутимый

стоимостный вес, который четко определяется реальной прибы-

лью, получаемой при ее использовании, или размерами ущерба, с

разной с тепенью вероятности наносимого владельцу информа ции.

Однако создание индустрии переработки информации порождает

целый ряд сложных проблем. Одной из таких проблем является

надежное обеспечение сохранности и установленного статуса

информации, циркулирующей и обрабатываемой в ин-

формационно-вычислительных системах и сетях.

Данная проблема вошла в обиход под названием проблемы

защиты информации.

Говоря о защите информации, вводят следующую класси-

фикацию тайн по шести категориям [106]:" государственная тайна,

коммерческая тайна, банковская тайна, профессиональ ная тайна,

служебная тайна, персональные данные. Последние пять

составляют конфиденциальную информацию.

В отличие от государственной тайны, где режим ее защиты

устанавливает государство, в отношении конфиденциаль ной

информации режим защиты устанавливается собствен ником

информационных ресурсов.

Зачем надо защищаться?

Ответов на этот вопрос может быть множество, в зависи мости

от с труктуры и целей предприятия. Для одних первой задачей

является предотвращение утечки информации (мар кетинговых

планов, перспективных разработок и т.д.) конкурентам. Другие

могут пренебречь конфиденциальностью своей информации и

сосредоточить внимание на ее целостности. Например, для банка

важно в первую очередь обеспечить не-изменность

обрабатываемых платежных поручений, чтобы злоумышленник не

смог несанкционированно дописать в платежку еще один нолик или

изменить реквизиты получателя. Для третьих на первое место

поднимается задача обеспечения доступности и безотказной

работы информационных систем. Для провайдера Internet-услуг,

компании, имеющей Web-сервер, или оператора связи первейшей

задачей является именно обеспечение безотказной работы всех

(или наиболее важных) узлов своей информационной системы.

Расставить такого рода приоритеты можно только по ре-

зультатам анализа деятельности предприятия.

Обычно, когда речь заходит о безопасности предприя тия, его

руководство часто недооценивает важность инфор мационной

безопасности. Основной упор делается на физи ческую

безопасность (пропускной режим, охрану, систему

видеонаблюдения и т.д.). Однако, за последние годы ситуация

существенно изменилась. Для того, чтобы проникнуть в тайны

предприятия, достаточно проникнуть в информа ционную систему

или вывести из строя какой-либо узел корпоративной сети. Все это

приведет к огромному ущербу. Причем не только" к прямому

ущербу, который может выражаться в цифрах со многими нулями,

но и к косвенному. Например, неисправность того или иного узла

приводит к затратам на восстановление его работоспособнос ти,

которые заключаются в обновлении или замене программного

обеспечения, зарплате обслуживающего персо нала. А атака на

публичный Web-сервер предприятия и замена его содержимого на

любое другое может привести к снижению доверия к фирме и, как

следствие, потере части клиентуры и снижению доходов.

От кого же надо защищаться?

Если задать этот вопрос обычному человеку, то в абсолютном

большинстве случаев будет ответ: «От хакеров». Не вдава ясь в

терминологию, можно сказать, что, по мнению большин ства наших

сограждан, основная опасность исходит именно от внешних

злоумышленников, которые проникают в компью терные системы

банков, военных организаций и т.д. Такая опас ность существует и

нельзя ее недооценивать, но она слишком преувеличена.

Обратимся к статистике. Более половины всех компьютерных

преступлений связаны с внутренними нарушениями, т.е.

осуществляются сотрудниками своей компании, работающими или

уволенными. Свой сотрудник может реаль но оценить стоимость

той или иной информации, и зачастую он обладает привилегиями,

которые излишни для него.

«Зачем моему сотруднику обкрадывать меня?» - может

подумать собственник предприятия. Причин множество. Са мая

распространенная - неудовлетворенность своим положе нием или

зарплатой. Другой пример - сотрудник при увольнении затаил

обиду и хочет отомстить своим обидчикам, т.е. предприятию или

его руководству. Если в своей работе он имел достаточно широкие

права, используя их, он может очень существенно навредить и

после своего ухода.

Однако больших бед можно ожидать не от уволенных или

обиженных обычных сотрудников (например, операционис тов), а от

тех, кто облечен очень большими полномочиями и имеет доступ к

широкому спектру различной информации -это сотрудники отделов

автоматизации, информатизации и телекоммуникации, которые

знают пароли ко всем системам, используемым в организации. Их

квалификация, знания и опыт, используемые во вред, могут

привести к очень большим проблемам. Кроме того, таких

специалистов трудно обнаружить, поскольку они обладают

достаточными знаниями о системе безопасности организации,

чтобы обойти используемые защитные механизмы.

Поэтому при построении системы защиты необходимо за -

щищаться не только и не с только от внешних злоумышленников,

сколько от злоумышленников внутренних,

К сожалению, приходится констатировать тот факт, что многие

бизнесмены, руководители коммерческих структур, банков

должным образом не уделяют этому постоянного вни мания и

начинают беспокоиться тогда, когда уже обнаруже на утечка

информации.

Проблема состоит не только в том, что преступные элементы

или группировки обогащаются за счет объектов преступной

деятельности, а в том, что это приводит, в конечном счете, к

подрыву экономики государства. По представлениям многих

бизнесменов беспокоиться о возможной утечке инфор мации

следует только в том случае, когда в его действиях ес ть криминал

и, как, говорится, под него «копают». На самом деле это не так.

Что может создавать опасность для бизнесменов или ком -

мерсантов, заинтересованных, разумеется, в соблюдении

коммерческой тайны? Как правило, это [2]:

- разведывательная деятельность конкурентов;

- несанкционированные действия сотрудников собственной

фирмы;

- неправильная политика фирмы в области безопасности.

Информация, представляющая интерес при сборе и анлизе

сведений:

а) сведения коммерческого содержания:

- уставные документы фирмы;

- сводные отчеты по финансовой деятельности фирмы (еже-

месячные, квартальные, годовые, за несколько лет);

- кредитные договоры с банками;

- договоры купли и продажи;

- сведения о перспективных рынках сбыта, источниках средств

или сырья, товарах, о выгодных партнерах;

- любая информация, предоставленная партнерами, если за ее

разглашение предусмотрены штрафные санкции;

- данные о конкурентах, их слабые и сильные стороны;

- условия финансовой деятельности;

- технологические секреты;

- меры, предпринимаемые конкурентами в отношении своих

противников;

- данные о потенциальных партнерах, проверка их на не -

добросовестность;

- информация о месте хранения грузов, времени и марш рутах

их перевозки;

- выявление уязвимых звеньев среди сотрудников;

- выявление лиц, перспективных для вербовки путем подкупа,

шантажа или иного метода;

- связи и возможности руководства;

- выявление круга постоянных посетителей, б) сведения

личного характера:

- источники доходов;

- истинное отношение к тем или иным общественным яв-

лениям, «сильным мира сего»;

- уклад личной жизни руководителя и членов его семьи;

- расписание и адреса встреч - деловых и личных;

- данные о размерах финансового благополучия;

- информация о человеческих слабостях;

- пагубные пристрастия;

- вредные привычки;

- сексуальная ориентация;

- данные о друзьях, подругах, местах проведения досуга,

способах и маршрутах передвижения;

- информация о местах хранения ценностей;

- место жительства;

- супружеская неверность;

- проблемы отцов и детей.

Необходимо отметить, что безопасность как система мер

требует обеспечения необходимого уровня защищенности по ряду

направлений:

- защита от организованной преступности;

- защита от нарушений закона;

- защита от недобросовестной конкуренции;

- защита от правоохранительных и контролирующих органов,

Gartner Group [31] выделяет 4 уровня зрелости компании с

точки зрения обеспечения информационной безопасности:

0-й уровень:

- информационной безопасностью в компании никто не за-

нимается, руководство компании не осознает важности проблем

информационной безопасности;

- финансирование отсутствует;

- информационной безопасностью реализуется штатными

средствами операционных систем, СУБД и приложений (па рольная

защита, разграничение доступа к ресурсам и серви сам).

1-й уровень: