Научная статья на тему 'Обеспечение информационной безопасности на предприятии'

Обеспечение информационной безопасности на предприятии Текст научной статьи по специальности «Экономика и бизнес»

CC BY
359
356
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
іНФОРМАЦіЯ / іНФОРМАЦіЙНА БЕЗПЕКА / іНФОРМАЦіЙНі ЗАГРОЗИ / іНФОРМАЦіЙНА ПОЛіТИКА / іНФОРМАЦіЙНИЙ РИЗИК / ИНФОРМАЦИЯ / ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / ИНФОРМАЦИОННЫЕ УГРОЗЫ / ИНФОРМАЦИОННАЯ ПОЛИТИКА / ИНФОРМАЦИОННЫЙ РИСК / INFORMATION / INFORMATION SECURITY / INFORMATION THREATS / INFORMATION POLICY / INFORMATION RISK

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Коваленко Ю. О.

Розглядаються питання забезпечення інформаційної безпеки, запропоновано заходи захисту інформації в інформаційній системі підприємства. Зроблено аналіз джерел виникнення інформаційних загроз, наведено методику розрахунку можливих втрат від виникнення інформаційного ризику.Рассматриваются вопросы обеспечения информационной безопасности, предлагаются меры защиты информации в информационной системе предприятия. Сделан анализ источников возникновения информационных угроз, приведена методика расчета возможных потерь от возникновения информационного риска.The paper covers the problems of providing information security, measures to protect the information in enterprise's information system. The sources of information threats are analysed, and methods to calculate possible losses because of information risk are presented.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Обеспечение информационной безопасности на предприятии»

Ю.О. Коваленко

ЗАБЕЗПЕЧЕННЯ ШФОРМАЦШНО1 БЕЗПЕКИ НА ШДПРИСМСТВ1

Розвиток глобального процесу шформатизаци суспiльства, що

спостерiгаeться в останш десятилiття, спричинив нову глобальну проблему -шформацшну безпеку. Багато

найважливших iнтересiв пiдприeмства в даний час значною мiрою визначаеться станом навколишнього iнформацiйного середовища. Цiлеспрямованi або ненавмисш впливи на iнформацiйну сферу з боку зовшшшх або внутрiшнiх джерел можуть завдавати серйозно! шкоди цим штересам i становлять загрози та ризики для безпеки. Тому iнформацiйна безпека в сучасних умовах е одшею з необхiдних умов нормального функцюнування пiдприемства.

Усе бiльш очевидною стае залежшсть загального рiвня економiчноl безпеки шдприемства вiд шформацшно1 складово!. Практика показуе, що будь-яка недружня акщя, спрямована проти iнтересiв господарського суб'екта, починаеться зi збору шформаци: навт дрiбне розкрадання звичайно випереджае вивчення особою зi злочинними задумами можливост протиправних дiй, i без вщповщного iнформацiйного забезпечення не

представляються таю деструктивш прояви, як вiдведення активiв пiдприемства або рейдерське захоплення.

Не випадково питання шформацшно1 безпеки вже давно входять до головних прюритеив практично вшх великих компанiй. Останнiм часом бшьше керiвникiв середнього i малого вггчизняного бiзнесу починають усвiдомлювати реальну небезпеку ризиюв, пов'язаних з iнсайдерською шформащею, системами 11 обробки i сшвроб^никами, що беруть участь у цьому процесс

Питання шформацшно1 безпеки знайшли вiдображення у таких законах Украши: «Про основи нацюнально1 безпеки Украши» [3], «Про концепцiю нацюнально1 програми шформатизаци» [1], «Про нацiональну програму шформатизаци» [2], а також у Стратеги нацюнально1 безпеки Украши, яка затверджена Указом Президента

[5].

У Закош «Про основи нацюнально1 безпеки Украши» надано офщшну оцiнку значущост й системно1 сутностi шформацшно1 безпеки як невщ'емно1 складово1 нацюнально1 безпеки Украши.

У Стратеги нацюнально1 безпеки, присвяченш стану шформацшно1 безпеки в нашш державi, зазначено:

посилюеться негативний зовшшнш вплив на iнформацiйний проспр Укра1ни, що загрожуе розмиванням суспшьних цiнностей i нацюнально1 iдентичностi;

недостатшми залишаються обсяги вироблення конкурентоспроможного

нацiонального iнформацiйного продукту;

наближаеться до критичного стан безпеки шформацшно-комп'ютерних систем у фшансовш i банкiвськiй сферi, сферi державного управлшня, енергетики, транспорту, внутршшх та мiжнародних комунiкацiй тощо [5, п. 2.8].

Поняття шформацшно1 безпеки можна розглядати у декiлькох ракурсах. По-перше, це стан захищеностi шформацшного середовища суспiльства, який забезпечуе його формування, використання й розвиток в штересах громадян, органiзацiй, держави. По-друге, це стан захищеносп потреб в шформаци особи, суспiльства й держави, при якому забезпечуеться !х iснування та прогресивний розвиток незалежно вiд наявност внутрiшнiх i зовнiшнiх iнформацiйних загроз. Стан iнформованостi визначае ступiнь адекватносп сприйняття суб'ектами навколишньо1 дiйсностi ^ як наслiдок - обгрунтованiсть подальших рiшень i дiй.

В шформацшному правi iнформацiйна безпека - це одна iз сторiн розгляду шформацшних вiдносин у межах iнформацiйного законодавства з позицп захисту життево важливих iнтересiв особистостi, суспiльства, держави, акцентування уваги на загрозах цим штересам i на механiзмах усунення або запобтання таким загрозам правовими методами.

© Коваленко Юл1я Олександр1вна - кандидат економ1чних наук, доцент. Донецький юридичний шститут ЛДУВС 1м. Е.О. Дддоренка.

Зi зростанням науково-технiчного прогресу буде зростати важливють питання шформацшно1 безпеки. 1нформащя стала чинником, який може призвести до значних технологiчних аварiй, вшськових та полiтичних конфлiктiв, дезорганiзувати державне управлшня, фiнансову систему. Чим вищий рiвень штелектуалiзащl та шформатизаци суспшьства, тим

потрiбнiшою стае надiйна шформацшна безпека, оскiльки реалiзацiя iнтересiв, людей та держав усе бшьше здшснюеться за допомогою шформатизаци. Ураховуючи той факт, що пiд впливом шформацшних атак може цiлеспрямовано змiнюватися кругозiр та мораль як окремих ошб, так i суспiльства в цшому, нав'язуються чужi iнтереси, мотиви, спошб життя, на перший план випливае анатз сутностi та форм проявiв сучасних методiв скритого агресивного впливу, вияву дш, що мають цшеспрямований агресивний характер i суперечать штересам нацюнально1 безпеки, вироблення механiзмiв протидп !м у всiх напрямах [10, 35-38].

З огляду на це можна констатувати нове розумшня проблем шформацшно! безпеки. Так, Б. Кормич трактуе шформацшну безпеку як стан захищеносп встановлених законодавством норм та параметрiв iнформацiйних процесiв та вщносин, що забезпечуе необхiднi умови юнування держави, людини та суспiльства як суб'екпв цих процесiв та вщносин [9, 75]. Деякi вченi розглядають iнформацiйну безпеку як такий стан захищеносп життево важливих iнтересiв особистосп, суспiльства i держави, при якому зводиться до мшмуму завдання шкоди через неповноту, несвоечаснiсть, недостовiрнiсть шформаци чи негативний iнформацiйний вплив, через негативш наслiдки функцiонування шформацшних технологш, а також через не-санкцiоноване поширення шформаци [6, 72]. 1нформацшну безпеку суспiльства також визначають як неможливiсть завдання шкоди його духовнш сферi, культурним цiнностям, сощальним регуляторам поведiнки людей, iнформацiйнiй iнфраструктурi й

повiдомленням, що передаються за И допомогою [7, 64].

Науковщ стверджують, що

передбачити всi можливi загрози у сферi шформацшно1 безпеки неможливо, оскшьки вони здатнi мiняти сво! змiст i динамiку, а правове регулювання потребуе стабiльностi [9, 76]. Саме тому наголошуеться на необхщност спрямовувати полiтику iнформацiйноl безпеки не на пошук вiдповiдi на певну загрозу, а на створення безпечних умов функщонування iнформацiйноl сфери, за яких вона буде несприйнятливою до можливих негативних впливiв.

Фахiвцями термiн «iнформацiйна безпека» розумiеться по-рiзному, причому найчастiше маеться на увазi якийсь один аспект ще1 проблеми. Наприклад, з погляду керiвника пiдприемства серйозну загрозу становить крадiжка секретно1 документацil, з позици розроблювача антивiрусних програм - ризик знищення безцiнних даних. Кожний iз цих аспектiв заслуговуе окремого вивчення, але для споживача важливо забезпечити безпеку взагал^ а не тшьки за окремими ризиками.

На нашу думку, шформацшна безпека для шдприемства полягае у певних дiях щодо вияву, усунення та нейтралiзацil негативних джерел, причин i умов впливу на шформащю.

При цьому поняття «iнформацiйна безпека» характеризуе стан шформацшного захисту господарюючого суб'екта, в умовах якого можлива дiя загроз. Досягаеться це системою заходiв, спрямованих на поперед-ження, вияв та лшвщащю iнформацiйних загроз.

Мета статп полягае в розробцi основних заходiв щодо попередження виникнення загроз втрати, знищення iнформацil та забезпечення iнформацiйноl безпеки на шдприемсга.

Погiршення на пiдприемствi таких параметрiв iнформацil, як конфiденцiйнiсть, цiлiснiсть, доступшсть, вiрогiднiсть тощо, може призвести до досить негативних наслiдкiв: збо1в у функщонуванш систем управлiння технологiчними процесами й iншими критичними системами;

розголошення вiдомостей, що становлять комерцiйну й iншi види таемниць; порушення вiрогiдностi фiнансовоl

документацп; несанкцюнованого доступу до персональних даних ф1зичних oci6 тощо. Результатом перерахованого можуть стати: попршення дiлових вщносин i3 партнерами; зриви переговорiв, втрата випдних контрактiв; невиконання договiрних зобов'язань; необхщнють проведення додаткових ринкових дослщжень; вiдмовлення вiд рiшень, що стали неефективними через розповсюдження iнформацiï, i, як наслiдок, - фiнансовi втрати, пов'язанi з новими розробками; втрата можливост запатентувати результат науково-технiчноï дiяльностi або продати лiцензiю; зниження щн або обсягiв реалiзацiï; втрати дiловоï репутацiï; бiльш жорсткi умови одержання кредитiв; труднощi в постачаннi i придбанш устаткування тощо. У визначених ситуащях зневага питаннями захисту шформаци може призвести до повного банкрутства.

Тому питання аналiзу загроз i ризиюв е визначальним при побудовi ефективно1' системи захисту iнформацiï. Однак, за оцшками фахiвцiв, лише не бшьше 5% шдприемств використовують власш методики аналiзу ризикiв, що дозволяють виконувати кiлькiсний аналiз та оптишзацш пiдсистеми iнформацiйноï безпеки.

Водночас ди внутрiшнiх порушникiв, такi як недбалють спiвробiтникiв, крадiжки iнформацiйних ресурсiв та 1Т-устаткування, фiнансовi й iншi види шахрайства з використанням iнформацiйних систем i ресурсiв тощо, набагато рщше стають предметом уваги при розв'язанш проблем iнформацiйноï безпеки у випадку, якщо вони розглядаються у вiдривi вiд загальних завдань забезпечення економiчноï безпеки. Результати дослiджень показують, що бшьшють пiдприемств не вживають достатшх заходiв для захисту вiд дш iнсайдерiв.

Статистика у сферi шформащйно^' безпеки свiдчить, що близько 80% зловмисниюв належить до iнсайдерiв. У компашях телекомунiкацiйноï галузi на ix дiï припадае близько 90% фiнансовиx утрат.

Людський фактор завжди був i е одним iз найважливших ризикiв будь-якого бiзнесу, оскiльки бшьшють шцидеипв

вiдбуваються саме з вини сшвробнниюв. Навмисний вiдплив часто важко вiдрiзнити вiд ненавмисного, однак це не завжди потрiбно, оскiльки наслщки для пiдприемства при будь-якому iз цих варiантiв можуть бути катастрофiчними. Те, що бiльшiсть керiвникiв не знають джерел внутршшх загроз, говорить про те, що бiзнесом придшяеться недостатньо уваги iнформацiйнiй безпецi, що, упм, е одним iз найважливших факторiв iснування пiдприемства.

Аналiз, проведений на тдприемствах середнього бiзнесу, показав, що випадковi кiбер-атаки виникають частше i потенцiйно можуть нашкодити бшьше, шж навмиснi атаки iнсайдерiв. У результат дослiдження з'ясовано, що бшьшють шдприемств придшяють набагато бiльше уваги захисту вщ навмисних внутрiшнiх атак, шж вiд бiльш частих i потенцiйно бiльш руйнiвних випадкових внутршшх iнцидентiв.

Поза увагою залишаються питання потенцiйних внутрiшнiх ризикiв, що виходять вщ спiвробiтникiв, якi мають доступ до критично важливих систем i секретное' iнформацii. Хоча керiвники усвiдомлюють iснування таких ризикiв, турбота про зовнiшню iнформацiйну безпеку часто переважуе iншi питання. Але значною е кшькють порушень та випадюв несанкцiонованого доступу i використання шформаци самими сшвробнниками, що ставить шд загрозу основу бiзнесу багатьох шдприемств.

1з 500 керiвникiв пiдприемств у сферi 1Т, що брали участь у дослщженш, бiльшiсть вiдзначили, що вони не знають джерел i причин виникнення внутрiшнiх загроз. При цьому шдприемства намагаються оцiнити потенцшний фiнансовий збиток вiд цих загроз та !х вплив на операцшну дiяльнiсть. Половина опитаних упевненi, що бшьшють внутршшх загроз створюеться ненавмисно, 20% вважають загрози навмисними, 25%, -що навмисних i ненавмисних загроз приблизно нарiвно, 5% утруднилися з вщповщдю. Однак у пункп, де пропонувалося перелiчити найбiльшi загрози за !х важливiстю, майже 85% респондеипв не могли точно сказати, чи були навмисними

або випадковими внутршш шциденти, спровоковаш тдрядчиками або тимчасовими спiвробiтниками.

Дослщження також показало, що приблизно раз на мюяць на пiдприeмствах трапляеться один iнцидент, який можна вщнести до одного з 10 можливих типiв загроз. Бiльше за все вщбуваеться випадкiв ненавмисно1 втрати даних через недбалiсть спiвробiтникiв - таких шциденлв

вiдбуваеться 15-20 на рш. Внутрiшнi зловмиснi атаки i шпигунство - 10 випадкiв на рiк, зловживання доступом до iнформацiï - 20 випадюв на рiк. Якщо говорити про сферу дiяльностi, то на дослщжуваних пiдприемствах вiдбуваеться до 20-30 шцидеипв щорiчно. Результати дослiдження свщчать, що унiверсального рiшення для усунення внутрiшнiх ризикiв не iснуе. Кожне пiдприемство мае виробити власний комп-лексний пiдхiд з урахуванням особливостей структури i специфши дiяльностi.

Хоча навмисних атак зловмисниюв стае все бшьше, практика показуе, що випадковi помилки, неуважшсть до правил безпеки впливають на дiяльнiсть пiдприемства набагато бшьше, шж атаки шахраïв.

Фах1вщ у сферi iнформацiйноï безпеки дотримуються двох думок. Перша полягае у такому: шформацшною безпекою на шдприемсга можна взагалi не займатися, не витрачаючи коштiв. У цьому випадку не виключений такий варiант, що прийнятий ризик себе цiлком виправдае. Другий погляд: необхiдно витратити на створення системи захисту шформаци чимало грошей (навчання персоналу, програмне забезпе-чення тощо) i тим самим забезпечити належний рiвень безпеки. Але при цьому також залишиться деяка вразливють, що рано або тзно призведе до вiдпливу або розкрадання конфiденцiйноï iнформацiï.

В обrрунтуваннi витрат на шформацшну безпеку можна використати нижченаведений шдхщ. Необхщно застосувати на практищ iнструментарiй визначення рiвня шформацшно1' безпеки. Керiвництво пiдприемства залучаеться до оцшки вартостi iнформацiйних ресурсiв, визначення оцшки потенцшного збитку вiд

порушень iнформацiйноï безпеки. Вiд результатiв цих оцiнок буде багато в чому залежати подальша дiяльнiсть керiвникiв у сферi iнформацiйноï безпеки. Якщо шформащя нiчого не коштуе, iстотних загроз для шформацшних активiв немае, а потенцшний збиток мiнiмальний, то проблемою забезпечення iнформацiйноï безпеки можна не займатися. Якщо ж шформащя мае значну вартють, загрози i потенцшний збиток ясш, тодi постае питання про внесення в бюджет витрат на шдсистему iнформацiйноï безпеки. У цьому випадку слщ заручитися шдтримкою керiвництва пiдприемства в усвiдомленнi проблем шформацшно1' безпеки й побудовi системи захисту шформаци.

Надшно гарантувати бiзнес вiд перерахованих негативних явищ можна тiльки на основi формування ефективно1' системи забезпечення iнформацiйноï безпеки.

Однак тут юнують певнi проблеми, що належать, швидше за все, до оргашзацшно-фiнансових. Першою i найбшьшою проблемою у створеннi системи шформацшно1' безпеки е вiдсутнiсть розумiння в керiвництва необхiдностi створення тако1' системи. Багато керiвникiв пiдприемств не усвщомлюють, що створювати систему iнформацiйноï безпеки просто необхщно, бо своечасне створення ïï позбавить пiдприемство збиткiв, а iнодi навiть i врятуе бiзнес.

Друга проблема при створеннi системи шформацшно1' безпеки - вiдсутнiсть достатньо1' кiлькостi фiнансових коштiв. Вiдсутнiсть фшансування з мiнiмального бюджету для створення системи iнформацiйноï безпеки зус^чаеться також дуже часто. Примiром, у США i крашах Евросоюзу на створення системи шформацшно1' безпеки i тдтримку ïï в актуальному сташ видiляеться вiд 30% прибутку компани. В Украïнi ж якщо фшанси i видiляються, то разово й у недостатнш кiлькостi. ïх може вистачити хiба що на продовження лщензи на антивiрус. I лише деяю пiдприемства, якi можна вважати скорiше винятком iз правил, планують i приймають бюджет своеï системи iнформацiйноï безпеки виходячи з реальних

потреб.

Третьою найнебезпечшшою

проблемою е ситуацiя, коли е розумшня керiвництва та необхщш кошти, але створення системи iнформацiйноï безпеки доручають фаxiвцям, що не мають анi вiдповiдноï освiти, аш достатнього досвiду. Найчастiше це бувають системнi адмiнiстратори або вiддiл теxнiчноï пiдтримки. Вони, у свою чергу, розцшюють це як установку i налаштування антивiрусу. Наявнiсть внутрiшнього зловмисника, найчаспше, узагалi не береться до уваги. Вщповщно до статистики 70% порушень здiйснюеться внутрiшнiми зловмисниками. Ще частiше без належноï уваги залишаються канали зв'язку, i переписка керiвництва пiдприемства з дiловими партнерами, iз клiентами стае незахищеною. У результат таких дiй кошти витраченi, а шформацшна безпека на колишньому рiвнi.

Багато керiвникiв пiдприемств можуть не бачити очевидного зв'язку мiж утратою доxодiв i вiдсутнiстю фiнансовиx ресуршв у системi iнформацiйного захисту. Тому в першу чергу необхщно подати проблему у зрозумшому для бiзнесу виглядi. Це завдання лягае на керiвництво служби iнформацiйноï безпеки господарюючого суб'екта, що мае виявити i наочно показати власникам пiдприемства весь спектр загроз в шформацшнш сфер^ а також переконати, що протистояти можна тiльки на основi створення i упровадження ефективних систем захисту iнформацiï.

Створюючи таю системи, необидно враховувати, що, по-перше, для ефективного захисту iнформацiйниx ресуршв потрiбна реалiзацiя цiлоï низки рiзнорiдниx заxодiв, якi можна роздiлити на три групи: юридичш, органiзацiйно-економiчнi й технолопчш. Подруге, хоча розробкою заxодiв у кожнiй iз трьох груп повинш займатися фаxiвцi вщповщних галузей знань, якi застосовують своï способи i методи для досягнення заданих цiлей, кiнцевий успix значною мiрою буде залежати вiд того, насюльки в рамках системного тдходу вдасться визначити i реалiзувати взаемш зв'язки мiж вiдповiдними визначеннями, принципами, способами i меxанiзмами захисту.

Аналiз поглядiв i концептуальних

пiдxодiв до формування сучасних ефективних систем iнформацiйноï безпеки пiдприемства дозволив сформулювати основш функцп та завдання i намнити органiзацiйнi основи функцiонування вщповщних пiдроздiлiв iнформацiйноï безпеки.

У сучасному поданш рольових функцiй служби iнформацiйноï безпеки можна видшити чотири напрями:

розробка методологи та методик аналiзу загроз, оцшки рiвня iнформацiйноï безпеки шдприемства i системи ïï забезпечення;

органiзацiя i здшснення конкретних видiв дiяльностi iз захисту iнформацiï;

експлуатацiя теxнiчниx засобiв захисту iнформацiï;

аудит i контроль функцюнування системи iнформацiйноï безпеки

шдприемства.

У рамках першого напряму мають розв'язуватися таю основш завдання:

аналiз i узагальнення потенцiйниx загроз i таких, що реалiзувалися, причин порушень вимог iнформацiйноï безпеки. Аналiз ступеня забезпечення безперервностi бiзнес-процесiв, що використовують 1Т, з точки зору iнформацiйноï безпеки. Пошук нових загроз i вразливостей, пов'язаних з iнформацiйною взаемодiею;

побудова методик оцiнки

iнформацiйниx ризиюв;

iнформацiйне обстеження

пiдприемства та шформацшних ресуршв;

розробка методiв захисту шформаци та 1Т i методик ïx упровадження в дiяльнiсть пiдприемства;

розробка i модифшащя концепци та полники забезпечення iнформацiйноï безпеки. Створення локальноï нормативноï бази iз цих питань з урахуванням комплексного пiдxоду до економiчноï безпеки;

розробка методик оцiнки рiвня iнформацiйноï безпеки i визначення достатност захисту iнформацiï та 1Т з урахуванням потреб бiзнесу, а також iснуючоï i перспективноï нормативноï бази;

аналiз виконання вимог iнформацiйноï безпеки вшх використовуваних процедур

створення, обробки, пересилання, збереження, знищення шформаци, у тому числк процедур шформацшно1' взаемодп пiдроздiлiв тдприемства мiж собою i iз зовшшшми органiзацiями; порядкiв доступу спiвробiтникiв тдприемства i сумiжних органiзацiй, а також ктента до iнформацiйних ресурсiв i зовшшшх комп'ютерних мереж; проектiв розвитку IT, включаючи системи зв'язку i телекомушкацш; проектiв договорiв iз зовнiшнiми органiзацiями, з якими здшснюеться обмiн iнформацiею; проектiв iнших нормативних документа, що передбачають iнформацiйну взаемодда;

пiдготовка аналiтичних записок, що мю-тять висновки iз проведеного аналiзу i пропозицiï щодо реалiзацiï захисту шформаци.

Другий напрям передбачае таю основш завдання:

планування на основi координаци д> яльностi всiх пiдроздiлiв робгг iз забезпечення iнформацiйноï безпеки тдприемства;

оргашзащя й участь у впровадженш методiв забезпечення iнформацiйноï безпеки в дiяльнiсть пiдприемства. Робота з персоналом, партнерами i ктентами;

узгодження заявок на доступ i порядку доступу сшвроб^ниюв i зовнiшнiх органiзацiй до шформацшних ресурав пiдприемства; процедур iнформацiйноï взаемодп шдроздшв iз зовнiшнiми органiзацiями; договорiв, з якими здiйснюеться iнформацiйна взаемодiя; проектiв наказiв, розпоряджень, iнших нормативно-розпорядницьких документа;

розв'язання поточних практичних питань з шформацшно1' безпеки, що виникають у шдроздшах.

У рамках третього напряму мають розв'язуватися такi основш завдання:

шдтримка ключових структур, використовуваних у зовшшшх i вбудованих засобах криптографiчного захисту шформаци;

шдтримка роботи шших засобiв шфор-мацiйноï безпеки.

Четвертий напрям передбачае розв'язання таких основних завдань:

перевiрка виконання вимог

iнформацiйноï безпеки працiвниками тдприемства й шшими особами, що мають доступ до шформацшних ресурсiв;

мошторинг дiй користувачiв IT (несанкцiонованоï модифшацп iнформацiï, використання рiзних поштових та шших сервгав мережi 1нтернет для вщправлення конфiденцiйноï iнформацiï за меж1 тдприемства тощо);

контроль своечасно1' змши прав користувачiв в iнформацiйних системах; блокування облшових записiв звiльнених (переведених на шшу роботу) користувачiв; контроль дотримання настроювань безпеки, включаючи парольну пол^ику, iншi вбудованi системи шформацшно1' безпеки, зовнiшнi засоби захисту шформаци;

мошторинг роботи систем виявлення (запобшання) мережних атак, систем оцшки якост побудови мереж й шших автоматизованих систем комп'ютерно1' безпеки;

участь у розборi виявлених порушень iнформацiйноï безпеки i вимог нормативних документа iз цих питань. Пщготовка пропозицiй щодо попередження порушень;

проведення внутрiшнього аудиту питань шформацшно1' безпеки. Пiдготовка пропозицш щодо використання зовнiшнього аудиту;

проведення мошторингу можливого випливу конфiденцiйноï iнформацiï техшчними каналами.

З огляду на мiждисциплiнарний характер питань, що входять у блок iнформацiйноï безпеки, деякi з перелiчених функцiй можуть виконуватися тiльки разом з шшими структурними службами

тдприемства (службою по робой з персоналом, юридичною, господарською службою тощо).

Для цього необхщно визначити пол^ику безпеки тдприемства - сукуптсть керiвних принцишв, правил, процедур i практичних прийомiв сфери iнформацiйноï безпеки, що регулюють управлшня, захист i розподш цiнноï iнформацiï на тдприемства

У загальному випадку такий набiр правил становить деяку функцiональнiсть програмного продукту, необх1дного для його

становища потрiбнi велик фшан-совi iнвестицiï

0,8-1,0 Пiдприемство припиняе iснування

використання в конкретнш органiзацiï. Якщо шдходити до полiтики безпеки бiльш формально, то вона е набором певних вимог до функцюнальносп системи захисту, закрiплениx у вщомчих документах.

Головною причиною появи полггики безпеки звичайно е вимога наявносп такого документа вiд оргашзаци, що визначае правила роботи шдприемств даноï галузi. У цьому випадку вiдсутнiсть полiтики може спричинити репресивш дп щодо пiдприемства або навнь повне припинення його дiяльностi.

Крiм того, визначенi вимоги та рекомендаци ставлять галузевi або загальнi, мiсцевi або мiжнароднi стандарти. Звичайно це виражаеться у виглядi зауважень зовшшшх аудиторiв, що проводять перевiрки дiяльностi пiдприемства. Вiдсутнiсть полiтики спричиняе негативну оцiнку, що у свою чергу впливае на публiчнi показники шдприемства - позицп в рейтингу, рiвень надiйностi тощо.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Далi випливае з'ясування, наскшьки серйознi втрати може принести шдприемству настання iнформацiйного ризику на кожен конкретний шформацшний об'ект. 1снуе безлiч схем обчислення ризикiв, варто зупинитися на однш iз найпроспших.

Втрати вiд настання iнформацiйного ризику можуть бути подаш у такий спо-сiб:

Необxiдно вiдзначити, що

класифшащю збитку, нанесеного атакою, мае оцшювати власник iнформацiï або працюючий iз нею персонал. Оцiнку ймовiрностi появи атаки краще довiряти техшчним спiвробiтникам пiдприемства.

З рiзниx оргашзацшних схем функцiонування пiдроздiлiв, що

вщповщають за iнформацiйну безпеку пiдприемства (функцп такого шдроздшу покладаються на системних адмiнiстраторiв; зазначений пiдроздiл знаходиться у структурi служби iнформацiйноï безпеки, що шдкоряеться вищому керiвництву), найкращим е варiант, при якому пiдроздiл iнформацiйноï безпеки входить до складу служби економiчноï безпеки пiдприемства. Саме в цьому випадку створюються найкращi можливост розв'язання проблем iнформацiйноï безпеки в контекст загальних завдань безпеки бiзнесу.

Висновки. Таким чином, у сучасних умовах iнформацiйна безпека е невщ'емною складовою системи економiчноï безпеки господарюючого суб'екта. У свою чергу, надiйне забезпечення iнформацiйноï безпеки е неодмшною умовою переходу на модель стшкого розвитку не тiльки окремого шдприемства, але й нацiональноï економiки в цшому. На наш погляд, особливоï уваги потребуе реальне втiлення запропонованих заxодiв щодо забезпечення iнформацiйноï безпеки, яю мають стати основою для формування та реалiзацiï iнформацiйноï полники пiдприемства, захисту iнформацiï вiд внутршшх та зовнiшнix загроз.

Лiтература

1. Про концепщю нацiональноï програми iнформатизацiï: Закон Украïни вiд 4 лютого 1998 року № 75/98-ВР // Вщомост Верxовноï Ради Украши. - 1998. - № 27-28. -Ст. 182.

2. Про нацюнальну програму iнформатизацiï: Закон Украши вщ 4 лютого 1998 року № 74/98-ВР // Вiдомостi Верxовноï Ради Украïни. - 1998. - № 27-28. - Ст. 181.

3. Про основи нацiональноï безпеки Украши: Закон Украши вщ 19 червня 2003 року № 964-IV // Вщомост Верxовноï Ради Украши. - 2003. - № 39. - Ст. 351.

Величина ризику Опис

0,1-0,2 Оголошення шформаци принесе незначш моральш i фiнансовi втрати шдприемству

0,2-0,3 Втрати вщ iнформацiйноi атаки е, але вони незначш, основш фiнансовi операцп i становище шдприемства на ринку не порушено

0,3-0,4 Фiнансовi операцп не ведуться про-тягом деякого часу, за цей час шд-приемство зазнае збиткiв, але його становище на ринку i кшькють клi-ентiв змiнюються мммально

0,4-0,6 Значнi втрати на ринку й у при-бутку. Пiдприемство втрачае значну частину клiентiв

0,6-0,8 Втрати дуже значш, пiдприемство на перiод до року втрачае становище на ринку. Для вщновлення

4. Рекомендаци парламентських слухань з питань розвитку шформацшного суспшьства в Украшк Постанова Верховно1 Ради Укра1ни вщ 1 грудня 2005 року // Вщомосп Верховно1 Ради Укра1ни. - 2006. -№ 15.

5.Про Стратепю нацюнально1 безпеки Укра1ни: Указ Президента Украши вщ 12 лютого 2007 року № 105/200 // Офщшний шсник Укра1ни. - 2007. - № 11. - Ст. 389.

6. Баранов А. 1нформацшний суверештет або iнформацiйна безпека? / А. Баранов // Нацюнальна безпека та оборона. - 2001. - № 1. - С. 70-76.

7. Иванов О.В. Информационная составляющая современных войн / О.В.Иванов // Вестн. Моск. ун-та. Сер. 18: Социология и политология. - 2004. - № 4. -С. 64-70.

8. 1нформацшне законодавство: зб.

законодавчих акпв у 6 т. / за заг. ред. Ю.С. Шемшученка, К С. Чижа. - Т. 5: Мiжнародно-правовi акти в шформацшнш сферь - К.: Юридична думка, 2005. - 328 с.

9. Кормич Б.А. Органiзацiйно-правовi основи пол^ики шформацшно1 безпеки Украши: автореф. дис. ... д-ра юрид. наук / Б.А. Кормич. - Харюв, 2004. - 44 с.

10. Роговец В. Информационные войны в современном мире: причины, механизмы, последствия / В. Роговец // Персонал. - 2000. - № 5. - С. 34-40.

11.Рощин С.К. Психологическая безопасность: новый подход к безопасности человека, общества и государства / С.К. Рощин, В.А. Соснин // Российский монитор. - 1995. - №6 [Электронный ресурс]. - Режим доступа: http://www.bookap.by.ru/psywar/grachev/ gl6. shtm.

i Надоели баннеры? Вы всегда можете отключить рекламу.