Данной публикацией «Хронограф» продолжает специализированную серию статей, посвященных вопросам организации безопасности бизнеса. В предыдущих выпусках шла речь о методиках противостояния рейдерским захватам (см. «Хронограф» №19 (138) от 05.06.06) и о системе комплексной защиты бизнеса (см. «Хронограф» №23 (142) от 03.07.06). Развитие частного бизнеса и информационных технологий привело к зарождению недобросовестных форм и методов ведения информационной борьбы. Их широкое распространение привело к возникновению новых угроз информационной безопасности, способных нанести непоправимый ущерб бизнесу. Очередной материал серии посвящен основам организации информационной безопасности бизнеса.
Новые опасностиС появлением частной собственности появились и владельцы своей собственной информации, которые, как и государство, заинтересованы в ее защите. Изменился и сам подход к информации. Она все чаще становится товаром, который можно купить, продать, обменять и т.д. При этом стоимость информации зачастую превосходит в десятки, а то и в сотни раз стоимость самой вычислительной техники, в которой она хранится. Информация становится все более обширной, является для ее собственника ценным производственным ресурсом. Ее конфиденциальность, целостность и доступность имеют особое значение для обеспечения конкурентоспособности, рентабельности и создания положительного имиджа предприятия. Экономическая деятельность большинства коммерческих предприятий все в большей степени становится зависимой от рисков нарушения информационной безопасности. В настоящее время сложилось такое понятие, что защищать нужно только государственную и коммерческую тайны. Но это не совсем верно. Защите подлежит любая информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. При этом необходимо иметь в виду, что информация является весьма специфическим продуктом, который может существовать как в документированном виде, зафиксированном на материальном носителе, так и в недокументированном виде (речевая информация). Разнообразие неправомерных форм и методов получения информации вынуждают владельцев информации принимать меры по ее защите. Однако для того, чтобы применить наиболее эффективные методы и средства защиты, необходимо знать основные концептуальные моменты информационной безопасности. Государство создало законодательную основу в сфере обеспечения информационной безопасности, разделило всю информацию по категориям доступа, определило ее владельцев и дало правовые рычаги ее защиты. Оставило под своей защитой сведения, составляющие государственную и служебную тайну, а всю остальную информацию, в том числе и конфиденциальную, отдало под защиту владельцам этой информации. Информация бывает разнойИнформационные ресурсы являются открытыми и доступными для всех. Исключение составляет документированная информация ограниченного доступа, которая, в свою очередь, подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную. Особо закон выделяет информацию о гражданах (персональные данные). Относит ее к конфиденциальной информации и ставит запрет на сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Здесь же государство четко определяет, кто какую информацию защищает. В отношении сведений, отнесенных к государственной тайне, -уполномоченными государственными органами на основе Закона РФ «О государственной тайне», в отношении конфиденциальной информации — собственником информации (информационных ресурсов). Есть информация, которая не подпадает под категорию ограниченного доступа, но разглашение которой может влиять на экономическую, финансовую деятельность и имиджевую политику предприятий и организаций. Такую информацию также необходимо защищать. К примеру, на АВТОВАЗе был случай, когда было принято решение о проведении брифинга для широкого круга центральных СМИ, на котором должны были быть озвучены успехи и результаты производственной деятельности. |  | 
Однако сведения о брифинге и итогах деятельности завода были разглашены собственными сотрудниками и эта информация была опубликована в одной из газет за несколько дней до брифинга. В результате преждевременного опубликования результатов деятельности завода брифинг был практически сорван, многие СМИ не прислали своих представителей и не опубликовали о нем информации. Основная цель брифинга — показать открытость и создание положительного имиджа завода — не была достигнута. Всю информацию (не только информацию ограниченного доступа, но и ту, которая важна для ее собственника) можно условно разделить на несколько больших блоков: - государственная тайна; - конфиденциальная информация, в том числе коммерческая тайна; - собственно информация, не подпадающая под категорию ограниченного доступа, но выход которой из-под контроля собственника может нанести ему различного вида вред (компромат). Какую информацию относить к сведениям, составляющим государственную тайну, определяет государство. Какую информацию относить к конфиденциальной, в том числе коммерческой тайне, определяет ее владелец. При этом необходимо иметь в виду, что есть информация, которую, в соответствии с законом, нельзя относить к конфиденциальной. К ней относятся: учредительные документы, устав предприятия, документы, дающие право заниматься предпринимательской деятельностью, и т.д. «Язык мой — враг мой». Этот постулат полностью относится к особому виду информации — так называемой речевой информации. Это такая информация, которая озвучивается в процессе речевого общения между двумя или несколькими людьми. В процессе речевого общения озвучиваются любые сведения (любая информация), в том числе содержащие государственную тайну и конфиденциальную информацию, а также информацию, которая может нанести вред ее владельцам. Некоторые специалисты выделяют информацию, циркулирующую в информационных системах и которая может содержать сведения ограниченного доступа. Как уберечь информациюОт кого же и от чего необходимо защищать информацию? Если коротко, то от конкурентов, от организованных преступных сообществ, в т.ч. от рейдеров, в некоторых случаях от недобросовестных представителей административно-чиновничьего аппарата и правоохранительных органов, от недобросовестных сотрудников, от личных врагов и завистников, от технических разведок (промышленный шпионаж) и т.д. Информация может быть похищена путем подслушивания, кражи физических носителей, съема информации с технических каналов. Неправомерное овладение информацией возможно в результате разглашения, утечки, несанкционированного доступа к информации. Разглашение информации — это умышленные или неосторожные действия должностных лиц или других работников, которым данная информация была доверена в установленном порядке. Разглашение выражается в форме сообщения, передачи, предоставления, пересылки, опубликования, утери и реализуется по каналам распространения и средствам массовой информации. Утечка информации — это бесконтрольный выход информации за пределы организации или круга лиц, которым она была доверена. Утечка возможна, как правило, по техническим каналам. Несанкционированный доступ к информации (НДС) — это противоправное, преднамеренное овладение информацией лицом, не имеющим права доступа к охраняемым сведениям. НДС возможен различными способами, в том числе: сотрудничество, подслушивание, наблюдение, хищение, копирование, перехват, копирование, фотографирование и т.д. | | Информационная безопасность — это многогранная деятельность, успех которой может принести только систематический, комплексный подход. Эффективность мероприятий по защите информации достигается путем создания системы информационной безопасности, которая преследует две основные цели: создание благоприятных условий для экономической деятельности и минимизация рисков от возможных угроз. Все мероприятия по обеспечению информационной безопасности принято делить на следующие основные направления. Правовая защита. Как я уже говорил ранее, правовая защита обеспечивается государством путем принятия законов и подзаконных актов. Эти нормативные акты регулируют деятельность в области защиты информации, определяют ответственность в соответствии с уголовным, административным и гражданским законодательством, дают перечень мероприятий, обязательных для исполнения субъектами информационных правоотношений. Организационная защита. Она подразумевает подготовку внутренних нормативных документов предприятия, регламентирующих деятельность по организации защиты информации. К ним относятся: политика безопасности предприятия, концепция информационной безопасности, внесение дополнений в устав предприятия, правила внутреннего трудового распорядка, коллективный и трудовой договоры, инструкция о пропускном режиме, подготовка должностных обязанностей, положения о соблюдении конфиденциальной информации (коммерческой тайны), перечня сведений, составляющих коммерческую тайну, инструкции о порядке допуска сотрудников к сведениям, составляющим коммерческую тайну, обязательства о неразглашении коммерческой тайны, правил пользования средствами вычислительной техники и другие. Здесь же предусматривается организация физической защиты предприятия, организация пропускного режима, системы контроля доступа, охранная, пожарная сигнализации, охранное телевидение. Особое место занимают организация информационно-аналитической работы по выявлению внутренних и внешних угроз и организация работы с кадрами. Инженерно-техническая защита. Она предусматривает использование специальных технических средств при проведении комплекса инженерно-технических мероприятий, направленных на предупреждение, выявление, пресечение разглашения, утечки и несанкционированного доступа к информации. Информационная безопасность, если можно так выразиться, является одним из самых загадочных направлений в обеспечении безопасности бизнеса. Вроде бы все все знают, читают газеты, слушают радио, смотрят в кино детективы и боевики, в которых раскрываются формы и методы получения информации. Однако литературное изложение информационной борьбы (получение и защита информации) — зачастую плод фантазии писателя или режиссера и не имеет ничего общего с действительностью. Автор материала — специалист в области обеспечения безопасности бизнеса Справка:Правовая система обеспечения информационной безопасности состоит из следующих основных законов: - Конституция РФ; - Закон РФ «О безопасности»; - Закон РФ «О государственной тайне»; - «Доктрина информационной безопасности РФ»; - Закон РФ «Об информации, информатизации и защите информации»; - Закон РФ «О коммерческой тайне»; - Закон РФ «Об участии в международном информационной обмене»; - ряд подзаконных актов и норм уголовного и гражданского законодательства. Источниками информации могут быть: - люди (сотрудники, клиенты, посетители, обслуживающий персонал и т. д.); - документы самого различного характера и назначения; - публикации: доклады, статьи, интервью, книги, проспекты и т.д.; - технические средства: носители, хранители информации и их обработки; - выпускаемая продукция; - производственные отходы; -и т. д. |
