Шепитько Г.Е., Локтев А.А. Гудов Г.Н. и др. Комплексная система защиты информации на предприятии. Часть 1

Подождите немного. Документ загружается.

полное устранение рисков невозможно. Целью изучения и анализа рисков является определение

уровня «приемлемого риска», который соответствует определенному балансу между ожидаемы-

ми выгодами и возможными угрозами. «Приемлемый риск» достигается методами управления

рисками.

Управление риском представляет собой разработку и реализацию экономически и юри-

дически обоснованных для конкретного объекта мероприятий, направленных на уменьшение

первоначального

уровня риска до приемлемого уровня.

Основной целью оценки и управления рисками являются формирование сознательного

отношения к риску, снижение вероятности неожиданного появления фактора риска и принятия

необоснованных решений.

Уклонение от рисков — действия, позволяющие полностью избежать того или иного

риска. Например, уклониться от риска потери активов можно путем продажи активов, от риска

несоответствия хозяйственных операций требованиями законодательства — путем прекращения

хозяйственных операций.

Локализация рисков — действия, позволяющие сократить область воздействия рисков.

Например, для внедрения новой технологии создается венчурное предприятие, проблемные

активы переводятся в отдельное юридическое лицо, права владения и пользования активами

разделяются между различными юридическими лицами.

Распределение рисков — действия, позволяющие распределить риски между

различны-

ми субъектами или во времени. Примером могут служить диверсификация видов деятельности,

поставщиков, инвестиций, перестрахование.

Компенсация рисков — действия, позволяющие снизить вероятность наступления по-

следствий рисков и (или) частично или полностью возместить потери от наступления последст-

вий рисков. Примерами являются страхование рисков, создание резервов, планирование дея-

тельности, прогнозирование.

Основные этапы разработки

системы управления рисками (процесс управления рис-

ками) включает следующие:

– постановка конкретных целей управления рисками;

– комплексный анализ рисков;

– выбор и анализ эффективности методов управления рисками;

– разработка программы управления рисками, включающей планирование, определение

кадрового состава и организацию процесса управления рисками;

– непосредственная реализация процесса управления рисками, включающая обеспечение

процесса, управление и

контроль;

– контроль и корректировка осуществляемых мероприятий.

Концепция риск-менеджмента в рамках всего предприятия связана с осознанием расту-

щих рисков в бизнес-среде компаний и ростом ответственности высшего менеджмента Приме-

нение концепции риск-менеджмента в компаниях ведет к созданию, увеличению и защите стои-

мости компании. В концепции риск-менеджмента в рамках

всего предприятия значительное

внимание уделяется подготовке сотрудников различных уровней к деятельности по оценке и

управлению рисками и их информированию о целях системы риск-менеджмента и деятельности

предприятия в целом. Эффективная система оценки и управления рисками, в том числе для «за-

щиты бизнеса», должна быть комплексной и непрерывной во времени.

Одной

из простейших практических экспертных методик анализ рисков является SWOT-

анализ (S — силы, W — слабости, О — возможности, Т — угрозы).

Идея SWOT-анализа состоит в следующем:

– определение сильных и слабых сторон предприятия, имеющихся возможностей развития

и угроз бизнесу;

– определение способов развития сильных сторон предприятия в соответствии с его огра-

ниченными возможностями;

– компенсации слабых сторон и угроз.

На первом этапе изучаются силы — конкурентные и правовые преимущества предпри-

ятия. На втором этапе изучаются соответствующие слабости предприятия. На третьем этапе

изучаются факторы внешней среды (экономические, политические, правовые, рыночные и т.д.)

для прогнозирования стратегических и тактических угроз и своевременного их предотвращения.

На четвертом этапе

изучаются стратегические и тактические возможности предприятия, необхо-

димые для предотвращения угроз, уменьшения слабостей и роста силы.

В контексте понятия «защиты бизнеса» основным итогом SWOT-анализа является ком-

плекс мер.

Экономическая безопасность предприятия — это состояние наиболее эффективного

использования корпоративных ресурсов для предотвращения угроз и обеспечения стабильного:

функционирования предприятия в настоящее время в

будущем. Экономическая безопасность

предприятия характеризуется совокупностью качественных и количественных показателей,

важнейшим среди которых является уровень экономической безопасности.

Уровень экономической безопасности предприятия — это оценка состояния использо-

вания корпоративных ресурсов по критериям уровня экономической безопасности предприятия.

С целью достижения наиболее высокого уровня экономической безопасности предприятие

должно следить за обеспечением максимальной безопасности основных

функциональных со-

ставляющих своей работы.

Функциональные составляющие экономической безопасности предприятия — это

совокупность основных направлений экономической безопасности, существенно отличающихся

друг от друга по своему содержанию.

Примерная структура функциональных составляющих экономической безопасности пред-

приятия:

– финансовая;

– интеллектуальная и кадровая;

– технико-технологическая;

– политико-правовая;

– экологическая;

– информационная;

– силовая.

Каждая из перечисленных функциональных

составляющих экономической безопасности

предприятия характеризуется собственным содержанием, набором функциональных критериев

способами обеспечения.

Для обеспечения своей экономической безопасности предприятие использует совокуп-

ность своих корпоративных ресурсов.

Корпоративные ресурсы — факторы бизнеса, используемые владельцами и менеджера-

ми предприятия для выполнения целей бизнеса. Среди них выделим:

а) ресурс капитала. Акционерный капитал предприятия в сочетании с

заемными финансо-

выми ресурсами является кровеносной системой предприятия и позволяет приобретать и под-

держивать остальные корпоративные ресурсы, изначально отсутствующие у создателей данного

предприятия;

б) ресурс персонала. Менеджеры предприятия, штат инженерного персонала, производст-

венных рабочих и служащих с их знаниями, опытом и навыками выступают основным проводя-

щим и связующим звеном, соединяющим воедино

все факторы данного бизнеса, обеспечиваю-

щим проведение в жизнь идеологии бизнеса, а также достижение целей бизнеса;

в) ресурс информации и технологии. Информация, касающаяся всех сторон деятельности

предприятия, является в настоящее время наиболее ценным и дорогостоящим из всех ресурсов

предприятия. Именно информация об изменении политической, социальной, экономической и

экологической ситуации, изменения

рынков предприятия, научно-техническая и технологиче-

ская информация, конкретные ноу-хау, касающиеся каких-либо аспектов данного бизнеса, новое

в методах организации и управления бизнесом позволяют предприятию адекватно реагировать

на любые изменения внешней среды бизнеса, эффективно планировать и осуществлять свою

хозяйственную деятельность;

г) ресурс техники и оборудования. На основе имеющихся финансовых, информационно-

технологических и кадровых возможностей предприятие приобретает

технологическое и другое

оборудование, необходимое, по мнению менеджеров предприятия, и доступное, исходя из

имеющихся ресурсов;

д) ресурс прав. С развитием цивилизации, истощением природных ресурсов и повышени-

ем ценности для бизнеса нематериальных активов резко выросла роль ресурса прав. Этот ресурс

включает в себя права на использование патентов, лицензии и квоты на

использование природ-

ных ресурсов, а также экспортные квоты, права на пользование землей, причем в настоящее

время, крайне повысилась ценность городских территорий, не предназначенных для земледелия,

а используемых под административную застройку.

Основной причиной необходимости обеспечения экономической безопасности предпри-

ятия является стоящая перед каждым предприятием задача достижения стабильности своего

функционирования и создания перспектив

роста для выполнения целей данного бизнеса

Цели экономической безопасности предприятия. Главной целью экономической безо-

пасности предприятия является обеспечение его устойчивого и максимально эффективного

функционирования в настоящее время и обеспечение высокого потенциала развития и роста

предприятия в будущем.

Выполнение других целей экономической безопасности предприятия существенно важно

для достижения ее главной цели.

Кроме того, каждая из целей экономической безопасности

имеет собственную структуру подцелей, обусловливаемую функциональной целесообразностью

и характером работы предприятия.

Обеспечение экономической безопасности предприятия — это постоянный цикличе-

ский процесс реализации функциональных составляющих экономической безопасности с целью

предотвращения возможных ущербов и достижения максимального уровня экономической безо-

пасности предприятия в настоящий момент времени и

в будущем.

Способы обеспечения экономической безопасности предприятия — это набор мер и

система организации их выполнения и контроля, которые позволяют достигать наиболее высо-

ких значений уровня экономической безопасности предприятия.

Важнейшим этапом обеспечения экономической безопасности предприятия является

стратегическое планирование и прогнозирование его экономической безопасности. На осно-

ве разработанного стратегического плана необходимо выработать общие

и функциональные

рекомендации по реализации плановых установок, которые должны содержать определенные

количественные характеристики и оформляться специальными приложениями к стратегическо-

му плану обеспечения экономической безопасности предприятия.

После разработки стратегического плана обеспечения экономической безопасности пред-

приятия и выработки рекомендаций по его реализации в соответствии с данными документами

осуществляется стратегическое планирование финансово-хозяйственной

деятельности.

Создаются стратегические финансовые, производственные планы, осуществляется планирование

персонала, поставок и др.

После разработки стратегических планов деятельности предприятия необходимо провести

оперативную оценку уровня обеспечения и текущее тактическое планирование экономической

безопасности предприятия. Анализ уровня экономической безопасности предприятия прово-

дится на основе оценки эффективности мер по предотвращению ущербов и расчета функцио-

нальных и

совокупного критериев экономической безопасности предприятия.

Оценка уровня экономической безопасности предприятия по всем функциональным со-

ставляющие на основе статистических методов обработки информации сильно затруднена, так

как большинство аспектов данной проблемы крайне сложно поддаются математической форма-

лизации, а некоторые из них и совсем не поддаются. Тем не менее, важность данной проблемы

для эффективного функционирования предприятия очень велика, поэтому предлагается оцени-

вать уровень экономической безопасности предприятия на основе определения совокупного

критерия экономической безопасности предприятия, рассчитываемого на основе мнений

квали-

фицированных экспертов по частным функциональным критериям экономической безопасности

предприятия.

Частные функциональные критерии экономической безопасности предприятия по каж-

дой из ее составляющих рассчитываются на основе оценки ущербов экономической безопасно-

сти предприятия и эффективности мер по их предотвращению.

Совокупный критерий экономической безопасности предприятия рассчитывается по

формуле:

∑

dKСКЭБ

где К — значения частных функциональных критериев экономической безопасности

предприятия;

d — удельные веса значимости функциональных составляющих экономической безопас-

ности предприятия, причем Σd =1.

Удельные веса частных функциональных критериев экономической безопасности пред-

приятия в совокупном критерии экономической безопасности предприятия рассчитываются на

основе оценки совокупных ущербов по функциональным составляющим его экономической

безопасности, которая подробнее рассматривается

ниже.

Из приведенного здесь метода расчета совокупного критерия экономической безопасно-

сти предприятия видно, что в данном случае содержится значительная доля субъективного фак-

тора мнений экспертов, проводящих оценку уровня экономической безопасности предприятия.

Субъективизм предлагаемого метода проявляется как в оценке ущербов при определении

частных функциональных критериев экономической безопасности предприятия, так и в

процессе

распределения удельных весов функциональных составляющих при расчете совокупного крите-

рия экономической безопасности предприятия.

Анализ уровня экономической безопасности предприятия производится на основе сравне-

ния полученного в результате расчета значения совокупного критерия экономической безопас-

ности предприятия с полученными ранее значениями этого критерия для анализируемого пред-

приятия, а также по возможности с рассчитанными

для сравнения значениями данного критерия

для аналогичных предприятий данной отрасли.

Проведение функционального анализа с целью выявить недостатки и резервы реализуе-

мого предприятием комплекса мер по обеспечению каждой из функциональных составляющих

экономической безопасности и безопасности предприятия в целом, а также дать возможность

менеджерам предприятия скорректировать функциональную систему обеспечения его экономи-

ческой

безопасности.

Данный функциональный анализ целесообразно оформлять картой функционального ана-

лиза экономической безопасности предприятия.

При заполнении карты функционального анализа экономической безопасности предпри-

ятия негативные воздействия, влияющие сразу на несколько функциональных составляющих

экономической безопасности, должны отдельно учитываться по всем затрагиваемым состав-

ляющим. При этом ущербы и эффекты следует также разделять на соответствующие составляю

щие, а стоимость мер в случае их повтора в разных составляющих должна учитываться в бюдже-

те только один раз.

На основе карты функционального анализа специалист имеет возможность оценивать эф-

фективность проводимых предприятием действий по предотвращению возможных и реальных

негативных воздействий. Эта оценка производится через отнесение стоимостей предотвращен-

ных с помощью принятия конкретных мер ущербов и полученных дополнительных эффектов к

затратам на реализацию этих мер и стоимости понесенного таки ущерба.

Таблица 1.1. Ущербы ЭБП

Типы ущербов

Ожидае-

мый

ущерб

Предот-

вращенный

ущерб

Реализо-

вавшийся

ущерб

Совокуп-

ность ущер-

бов

Удельные веса совокуп-

ных ущербов по функ-

циональным составляю-

щим в общей сумме

ущербов

Функциональные со-

ставляющие ЭБП

1 2 3 4 5

1. Финансовая

2. Интеллектуальная и

кадровая

3. Технико-

технологическая

4. Политико-правовая

5. Экологическая

6. Информационная

7. Силовая

Частный функциональный критерий экономической безопасности предприятия по этой

методике необходимо рассчитывать как отношение совокупного предотвращенной ущерба по

данной составляющей экономической безопасности предприятия к сумме затрат на реализацию

мер но предотвращению ущербов от негативных воздействий и общего понесенного ущерба по

составляющей.

Например, значение показателя информационной составляющей ЭБП принимается как

значение частного функционального

критерия информационной составляющей экономической

безопасности предприятия и рассчитывается по методике оценки ущербов на основе данных

карты расчета эффективности принимаемых мер:

,MAX

УЗ

ЧФК

по

пр

→

где ЧФК — частный функциональный критерий обеспечения информационной состав-

ляющей ЭБП;

пр

— совокупный предотвращенный ущерб по информационной составляющей ЭБП;

З — общие понесенные предприятием затраты на реализацию мер по обеспечению ин-

формационной составляющей ЭБП;

по

- общий понесенный предприятием ущерб по информационной составляющей ЭБП.

Специфика работ по информационно-аналитическому обеспечению деятельности пред-

приятия характерна нередким отсроченным проявлением ущербов от некачественной работы

информационно-аналитической службы предприятия. Этой спецификой отсроченных результа-

тов изменений в работе аналитической службы предприятия и вызвана сложность оптимизации

затрат на информационно-аналитическое обеспечение деятельности

предприятия.

В силу этого, а также из-за очевидной большой значимости работ по обеспечению инфор-

мационной безопасности предприятия предпочтительным считается повышенное финансирова-

ние и ресурсное обеспечение деятельности информационно-аналитического подразделения

предприятия.

Под силовой составляющей экономической безопасности предприятия можно понимать

совокупность следующих компонентов:

1) физической безопасности сотрудников предприятия, особенно представителей руково-

дства;

2) сохранности имущества предприятия от негативных воздействий, угрожающих потерей

этого имущества или снижением его стоимости;

3) силовые аспекты информационной безопасности предприятия;

4) благоприятствование внешней среды бизнеса.

В отношении индикаторов, отражающих уровень обеспечения силовой

составляющей

экономической безопасности предприятия, необходимо выделить следующее важное отличие

системы индикаторов по данной составляющей экономической безопасности предприятия от

большинства других составляющих. Оно заключается в том, что практически единственным

приемлемым показателем по силовой составляющей можно считать лишь показатель эффектив-

ности принимаемых мер по обеспечению силовой составляющей экономической безопасности

предприятия, рассчитываемый на

основе оценки понесенных и предотвращенных ущербов по

составляющей с помощью карты расчета эффективности принимаемых мер.

Очевидно, что желаемая максимизация данного критерия может осуществляться на основе

прежде всего снижения затрат на обеспечение силовой безопасности предприятия. Ясно также,

что специфика деятельности службы безопасности и других подразделений предприятия, участ-

вующих в реализации мер по

обеспечению силовой составляющей, характеризуется такой зави-

симостью увеличения понесенного ущерба от снижения затрат па обеспечение безопасности,

когда до определенного уровня снижение затрат ведет к незначительному увеличению стоимо-

сти дополнительного ущерба.

После же перехода через уровень предела безопасности происходит скачкообразное уве-

личение ущерба даже при незначительном снижении затрат на реализацию мер

по обеспечению

силовой составляющей экономической безопасности предприятия.

Таким образом, сущность оценки уровня обеспечения силовой составляющей экономиче-

ской безопасности предприятия заключается в оценке эффективности предотвращения ущербов

от негативных воздействий личностной или имущественной направленности, а основной задачей

управления процессом обеспечения этой составляющей является оптимизация затрат на меры по

обеспечению силовой составляющей с целью

достижения минимального приемлемого для пред-

приятия уровня материального ущерба при надежном обеспечении физической безопасности

сотрудников предприятия, членов их семей и сохранении безопасности капиталов предприятия и

его основного имущества.

2.3. Информационная безопасность

Информационная безопасность — состояние защищенности информационной среды от

воздействия угроз, обеспечивающее её формирование, использование, развитие с учетом баланса

интересов

граждан, общества, государства.

В частности, если говорить об интересах государства, то можно перечислить сле-

дующие из них:

– защита конституционных прав личности на право доступа и распространение инфор-

мации;

– обеспечение конфиденциальности информации, определение исполнительских меха-

низмов и нормативное обеспечение защиты информации;

– защита личности и общества от вредного воздействия недостоверной, ложной,

и т.п. ин-

формации;

– защита предпринимательской и финансовой деятельности путем создания механизма,

определяющего понятие «коммерческая тайна» и установления условий для осуществления

«добросовестной» конкуренции;

– защита от компьютерных преступлений в сфере высоких информационных технологий в

области информатизации, что предполагает регулирование прав разработчиков программ для

ЭВМ, ответственность за незаконное использование и искажение, уничтожение информацион-

ных ресурсов,

информационных систем;

– ответственность за нарушение информационной безопасности, в том числе прав и сво-

бод личности, и других ограничений доступа к информации за компьютерные преступления.

С учётом вышесказанного для удовлетворения прав и интересов личности, общест-

ва, государства необходимо обеспечить:

– своевременный доступ законных пользователей к информации, использование её в ин-

тересах не

запрещённой законом деятельности, физического, духовного и интеллектуального

развития личности.

– конфиденциальность информации;

– соблюдение авторских прав на собственность информации;

– достоверность (полноту, точность, адекватность, целостность) информации;

– защиту от навязывания ложной (недостоверной, искажённой) информации (то есть от

дезинформации);

– разграничение ответственности за нарушение установленных правил обращения с ин-

формацией.

В области информационной безопасности

основными объектами защиты являются:

– интересы гражданина, общества государства в информационной сфере (духовность,

нравственность, интеллектуальный уровень развития личности и общества и т.п.);

– знания и духовные ценности общества;

– конституционный строй, суверенитет и территориальная целостность государства;

– информация как интеллектуальная собственность;

– документированная информация, информационные продукты, информационные услуги;

– информационные ресурсы, базы

данных в составе автоматизированных информацион-

ных систем и их сетей;

– информационные системы, программные средства в составе ЭВМ, их сетей;

– физические носители информации (бумажные, технические, машинные и т.п. в том чис-

ле физическое поле).

Информационные отношения при обеспечении безопасности информации основаны

на следующих правах и обязанностях участников отношений:

– право

на защиту личности от воздействия недостоверной, ложной информации;

– право на защиту информации, информационных ресурсов, продуктов от несанкциониро-

ванного доступа;

– право на защиту интеллектуальной собственности;

– право на защиту информационных систем, информационных технологий и средств их

обеспечения;

– право на защиту информационных прав и свобод человека и гражданина на получение и

распространение

информации;

– ограничение права на раскрытие личной тайны, а также иной информации ограниченно-

го доступа без санкции её собственника или владельца;

– обязанности по защите государства и общества от вредного воздействия ложной инфор-

мации, по защите самой информации от искажения и уничтожения;

– ответственность за нарушение безопасности информации, за компьютерные престу-

пления

Рассматривая правовые отношения субъектов информационного права в области обеспе-

чения информационной безопасности, на основании вышесказанного, можно констатировать,

что на всех этапах производства, передачи, получения и распространения, хранения и обработки

информации необходимо обеспечивать конституционное право личности, общества, государства

на целостность, доступность, конфиденциальность информации, учитывая следующее:

– целостность информации — заключается в существовании её

в неизменном виде по

отношению к некоторому — фиксированному — состоянию на момент создания информации

производителем;

– доступность информации — своевременный и беспрепятственный доступ законных

пользователей к интересующей их информации и готовность соответствующих служб к обслу-

живанию поступающих запросов;

– конфиденциальность информации — необходимость введения ограничений на доступ

к информации в целях защиты интересов

граждан, общества, государства.

Доступность, целостность и конфиденциальность информации авторы будут называть

характеристиками информационной безопасности.

Основные направления в обеспечении информационной безопасности

В Концепции национальной безопасности Российской Федерации среди важных задач

обеспечения национальной безопасности сформулирована задача укрепления безопасности в

информационной сфере.

В разделе 6 Доктрины информационной безопасности Российской Федерации (далее —

Доктрина) сказано: «... информационная безопасность Российской Федерации является одной из

составляющих национальной безопасности Российской Федерации и оказывает влияние на

за-

щищённость национальных интересов Российской Федерации в различных сферах жизнедея-

тельности общества и государства».

В соответствии с Доктриной, информационная безопасность определена как состояние за-

щищённости национальных интересов Российской Федерации в информационной сфере, опреде-

ляющихся совокупностью сбалансированных интересов личности, общества и государства и явля-

ется самостоятельной составляющей национальной безопасности, оказывая непосредственное

влияние на защищённость интересов личности, общества, государства Российской Федерации.

Интересы личности в информационной сфере заключаются в реализации конституцион-

ных прав человека и граждан на доступ к информации, на её использование в интересах осуще-

ствления не запрещённых законодательством физического, духовного и интеллектуального

уровня.

Интересы общества в информационной сфере заключаются в обеспечении интересов

лич-

ности в этой сфере, в создании правового социального государства, в достижении и под-

держании общественного согласия, в духовном обновлении России.

Интересы государства в информационной сфере заключаются в создании условий для

гармоничного развития российской информационной структуры, для реализации конституцион-

ных прав и свобод человека и гражданина в области получения информации

и пользования ею, в

целях обеспечения незыблемости конституционного строя суверенитета и территориальной

целостности России, политической, экономической и социальной стабильности, в безусловном

обеспечении законности и правопорядка, в развитии равноправного и взаимовыгодного между-

народного сотрудничества.

В соответствии с предписаниями федеральных законов Российской Федерации целями

защиты в информационной сфере являются:

– предотвращение угроз безопасности

личности, общества, государства;

– предотвращение утечки, разглашения, утечки по техническим каналам, утраты (потери),

хищения;

– предотвращение несанкционированных действий по уничтожению, модификации, иска-

жению, копированию, блокированию информации; предотвращение других форм незаконного

вмешательства в информационные ресурсы и информационные системы, обеспечение правового

режима документированной информации как объекта собственности;

– защита конституционных прав граждан на сохранение личной тайны и конфиденциаль-

ности персональных данных, имеющихся в информационных системах;

– сохранение государственной

тайны, конфиденциальности документированной инфор-

мации в соответствии с законодательством;

– обеспечение прав субъектов в информационных процессах и при разработке, производ-

стве и применении информационных систем, технологий и средств их обеспечения.

В Концепции национальной безопасности и Доктрине информационной безопасности

в качестве важнейших задач, решаемых в информационной сфере, являются:

– установление необходимого баланса между

потребностью в свободном обмене инфор-

мацией и допустимыми ограничениями её распространения;

– совершенствование информационной структуры, ускорение развития новых информа-

ционных технологий и их широкое распространение, унификация средств поиска, сбора, хране-

ния, обработки и анализа информации с учётом вхождения России в глобальную информацион-

ную инфраструктуру;

– разработка соответствующей правовой базы и координация

деятельности федеральных

органов государственной власти и других органов, решающих задачи обеспечения информаци-

онной безопасности;

– развитие отечественной индустрии телекоммуникационных и информационных средств,

их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рын-

ке;

– защита информационных ресурсов, прежде всего в федеральных органах государствен-

ной власти и на предприятиях оборонного комплекса.

соответствии с целями и задачами, указанными в федеральных законах, в Доктрине ин-

формационной безопасности, в Концепции национальной безопасности, можно выделить три

основных направления в обеспечении безопасности информации, касающейся информационной

сферы.

Первое направление. Защита чести, достоинства и деловой репутации граждан и органи-

заций, духовности и интеллектуального уровня развития личности, стабильности и

устойчивого

развития общества, информационного суверенитета и защищенности государства от воздействия

вредной опасной недоброкачественной информации, от сокрытия информации, от нарушения

порядка распространения информации.

Второе направление. Защита информации и информационных ресурсов, а также инфор-

мационных систем, информационных технологий, средств связи и телекоммуникаций от угроз

несанкционированного и неправомерного воздействия посторонних лиц.

В соответствии с

Федеральным законом «Об информации, информационных технологиях

и о защите информации», защите подлежит любая документированная информация, неправо-

мерное обращение с которой может нанести ущерб её собственнику, владельцу, пользователю и

иному лицу.

При этом режим защиты информации устанавливается в отношении:

– государственной тайны - сведений в области военной, внешнеполитической, экономи-

ческой, разведывательной, контрразведывательной

и оперативно-розыскной деятельности, рас-

пространение которых может нанести ущерб безопасности Российской Федерации;

– конфиденциальной информации - документированной несекретной информации, дос-

туп к которой ограничивается служебной необходимостью в соответствии с законодательством

Российской Федерации (служебная тайна, коммерческая тайна, налоговая тайна, банковская

тайна, профессиональная тайна и другие тайны).

Третье направление. Защита информационных прав и свобод личности (право на произ-

водство, распространение, поиск, получение, передачу и использование информации, право на

интеллектуальную собственность) в информационной сфере в условиях информатизации.

Принципы и методы обеспечения информационной безопасности

Принципы построения безопасности информации: комплексность, своевременность и не-

прерывность, обоснованность и экономическая целесообразность, законность, баланс

интересов

граждан, общества, государства.

Соблюдение принципа комплексности говорит о том, что для достижения эффективности

безопасности информации необходимо проводить работы по всем направлениям, связанным с

защитой информации (правовые, организационные, технические), перекрытием всех возможных

каналов утечки, перехвата информации.

Построение системы обеспечения информационной безопасности предприятия должно

основываться на следующих основных принципах:

– системность и

комплексность;

– своевременность и упреждающий характер реализации мер защиты;

– законность;

– экономическая целесообразность и разумная достаточность;

– научно-техническая обоснованность и практическая реализуемость;

– специализация и профессионализм;

– взаимодействие и координация;

– обязательность и эффективность контроля;

– простота применения защитных мер и средств;

– преемственность и непрерывность совершенствования;

– баланса интересов граждан, общества и государства

Системность и комплексность предполагают:

– обеспечение безопасности информационных ресурсов на всех этапах её обработки (пре-

образования) и использования, во всех режимах функционирования технических средств, при

информационном взаимодействии, как между отдельными подсистемами, входящими в состав

объекта информатизации, так и с внешними информационными системами;

– обеспечение равнопрочной защиты информации от возможных угроз всеми

доступными

методами, способами, организационными мерами и техническими средствами;

– способность объекта информатизации к развитию и совершенствованию в соответствии

с возможными изменениями условий функционирования.

Своевременность и упреждающий характер реализации мер защиты предполагают

постановку задач и реализацию мер по комплексной защите информации акционерных обществ,

на основе анализа и прогнозирования состояния мирового рынка: технических

и программных

средств, информационных технологий.

Законность предполагает разработку на предприятии системы информационной безопас-

ности, на основе использования федерального законодательства в области информации, инфор-

матизации и защиты информации, законодательных актов Правительства Российской Федера-

ции, руководящих и нормативно-методических документов ФСТЭК (Гостехкомиссии России),

ФСБ России, а также организационно-распорядительных документов Министерств и ведомств

по обеспечению информационной безопасности, с применением всех дозволенных методов об-

наружения и пресечения правонарушений, при работе с информацией ограниченного доступа.

Экономическая целесообразность и разумная достаточность предполагают адекват-

ность уровня затрат на обеспечение информационной безопасности, величине возможного

ущерба при реализации угроз информационной безопасности.

Научно-техническая обоснованность и практическая реализуемость предполагают,

что

применяемые технические и программные средства и информационные технологии, средства