Тенденция к росту ценности информации как бизнес-ресурса и как товара вместе с повышением уровня информационных угроз приводит к неэффективности существующих систем информационной безопасности большинства предприятий; специфика деятельности некоторых из них предполагает необходимость защиты не только собственной информации, но и персональных данных клиентов, а также других сведений с ограниченным доступом, которые получают сотрудники в процессе предоставления своих услуг. Неэффективность системы информационной безопасности на предприятиях обусловлена не только объективными факторами, негативную роль играет также непонимание со стороны руководства предприятий связи между информационной безопасностью и целями бизнеса, отсутствует единый подход к определению сущности информационной безопасности.
При утверждении необходимости анализа степени информационных угроз, информационной защиты, технологии обеспечения эффективности информационной безопасности предприятия, а также изменений, связанных с вступлением государства в мировое информационное пространство, было задекларировано, что развитие информационного общества и внедрение новейших информационно-коммуникационных технологий во все сферы общественной жизни является одним из приоритетных направлений государственной политики. В целом информация пронизывает все сферы жизни общества, создавая новую основу развития экономики, культуры, а также новую характеристику социума. Важно также подчеркнуть связь процессов информатизации общества с его историческим развитием. Как отмечают специалисты в области информационных проблем, информатизация жизни способствует зарождению и укреплению основ современного, прогрессивного этапа общественного развития - гражданского общества. В литературе также отражена позиция, согласно которой информационное общество определяется "как новый исторический этап развития гражданского общества".
Анализ структуры экономики и производства позволяет отметить в условиях информационных процессов последовательный рост значения и роли юридических лиц, являющихся субъектами малого и среднего бизнеса, которые, по оценкам экономистов, вносят во всех странах заметный вклад в общий объем общественного производства. Именно с развитием правового регулирования процессов информационного обмена гораздо проще устанавливать партнерские отношения, искать контрагентов, реализовывать и закупать продукцию. В целом информация настолько тесно связана с бизнесом, что эта связь выводит на первый план проблемы, значение которых сложно переоценить. К их числу относится и проблема обеспечения информационной безопасности предприятия. Тема информационной безопасности является относительно хорошо разработанной в литературе. Необходимо отметить работы А. Баранова, К. Белякова, В. Брижко, И. Гаврилова, М. Гуцалюка, Л. Задорожной, А. Зинченко, Г. Лазарева, Д. Ловцова, А. Марущака, А. Новицкого, Р. Северина, В. Цымбалюка, Н. Швеца и др. В последнее время подготовлен ряд диссертационных исследований, посвященных вопросам информационной безопасности, при этом следует отметить, что большинство работ связано с вопросом информационной безопасности государства или обеспечения безопасности информационных систем. Однако проблема информационной безопасности предприятия остается недостаточно исследованной. Это связано, в частности, с тем, что авторы больше внимания уделяют обеспечению информационной безопасности государства, а также с отсутствием целенаправленного подхода к проблеме в целом у тех ученых, которые затрагивали роль информации в деятельности предприятия. Поэтому автор в данной работе пытается проанализировать вопросы обеспечения информационной безопасности предприятия как субъекта информационного права и информационных правоотношений. Основной целью данной статьи является изучение основных требований по обеспечению информационной безопасности предприятия.
В системе обеспечения безопасности все большую роль начинает играть обеспечение информационной безопасности предприятия. Это связано с растущим объемом информации, с необходимостью ее хранения, передачи и обработки. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создают качественно новые угрозы конфиденциальной информации. Необходимо отметить, что в научной литературе отсутствует единый взгляд на содержание понятий "информационная безопасность" и "информационная безопасность предприятия".
Так, В. Цымбалюк характеризует информационную безопасность в условиях формирования информационного общества как защиту информации в автоматизированных компьютерных системах. В. Фурашев считает, что информационная безопасность - это вид общественных информационных правоотношений по созданию, поддержке, охране и защите желательных для человека, общества и государства безопасных условий жизнедеятельности. С. Гуцу предлагает рассматривать информационную безопасность как состояние защищенности потребностей в информации физических лиц, общества и государства, при котором обеспечивается их существование и прогрессивное развитие независимо от наличия внутренних и внешних информационных угроз. А. Литвиненко под информационной безопасностью понимает единство трех составляющих - обеспечения защиты информации, защиты и контроля национального информационного пространства, обеспечения надлежащего уровня информационной защиты.
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
Интересным и одновременно дискуссионным является определение Б. Кормича. Он отмечает, что информационная безопасность - это защита установленных законом правил, согласно которым происходят информационные процессы в государстве, обеспечивающие гарантированные Конституцией условия существования и развития человека, всего общества и государства. Л. Харченко, В. Липкан, А. Логинов считают, что информационная безопасность - это составляющая национальной безопасности, процесс управления угрозами и опасностями государственными и негосударственными учреждениями, отдельными гражданами, при котором обеспечивается информационный суверенитет.
Таким образом, информационную безопасность следует рассматривать как обеспечение реализации национальных интересов с помощью разнообразных средств, имеющихся в ее распоряжении.
Относительно понятия "информационная безопасность предприятия" необходимо отметить, что оно является чрезвычайно актуальным на современном этапе развития информационных технологий, который сопровождается введением информационных систем во все сферы деятельности человека. Так, А. Сороковская определяет информационную безопасность предприятия как общественные отношения по созданию и поддержанию на должном уровне жизнедеятельности информационной системы субъекта хозяйственной деятельности. М. Танцюра характеризует информационную безопасность предприятия как сохранение конфиденциальности, целостности и доступности информации; доступность - это свойство быть достижимым и пригодным к использованию в информационной среде; целостность - это свойство защищенности точности и полноты данных; конфиденциальность - это свойство защищенности информации от несанкционированного использования. Учитывая данные определения, мы согласны с А. Марущаком, что информационная безопасность предприятия - это целенаправленная деятельность его органов и должностных лиц с использованием разрешенных методов и средств по достижению состояния защищенности информационной среды предприятия, обеспечение его нормального функционирования и динамичного развития.
Итак, суммируя вышесказанное, считаем необходимым подчеркнуть, что приоритетным направлением в процессе обеспечения информационной безопасности предприятия является сохранение в тайне коммерчески важной информации, позволяющей успешно конкурировать на рынке товаров и услуг.
Опыт показывает, что для борьбы с правонарушениями в сфере обращения информации на предприятии необходима целенаправленная организация процесса защиты информационных ресурсов. Источник этого вида угроз может быть внутренним (собственные работники), внешним (например, конкуренты) и смешанным (заказчики - внешние, а исполнитель - работник фирмы). Как показывает практика, подавляющее большинство таких правонарушений осуществляются самими работниками предприятия.
Что же является непосредственным объектом правонарушений в сфере оборота информации? Прежде всего это информация (данные). Правонарушитель получает доступ к информации, которая охраняется, без разрешения ее владельца или с нарушением установленного порядка доступа. Способы такого неправомерного доступа к компьютерной информации могут быть разными - кража носителя информации, нарушения средств защиты информации, использование чужого имени, изменение кода или адреса технического устройства, предоставление фиктивных документов на право доступа к информации, установка аппаратуры записи, подключаемой к каналам передачи данных. Причем доступ может быть осуществлен на территории предприятия, где хранятся носители, с компьютера на рабочем месте, с локальной сети, глобальной сети. Все угрозы объектам информационной безопасности по способу воздействия могут быть объединены в пять групп: информационные, физические, организационно-правовые, программно-математические, радиоэлектронные.
Последствия совершенных противоправных действий могут быть различными:
а) копирование информации (оригинал при этом сохраняется);
б) изменение содержания информации по сравнению с той, которая была раньше;
в) блокирование информации - невозможность ее использования при сохранении информации;
г) уничтожение информации без возможности ее восстановления;
д) нарушение работы компьютерной техники, системы или их сети.
Проблемы, связанные с информационной безопасностью на предприятиях, могут быть решены только с помощью систематического и комплексного подхода. С методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов.
В обеспечении информационной безопасности нуждаются разные субъекты информационных отношений, такие как:
• государство в целом или отдельные его органы и организации;
• общественные или коммерческие организации (объединения), предприятия (юридические лица);
• отдельные граждане (физические лица).
Весь спектр интересов субъектов, связанных с использованием информации, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности ресурсов информационной среды.
Иногда в число основных составляющих информационной безопасности включают защиту от несанкционированного копирования информации, но, как нам видится, это слишком специфический аспект с сомнительными шансами на успех, поэтому не станем его выделять.
Поясним понятия доступности, целостности и конфиденциальности.
Доступность - это возможность за приемлемое время получить требуемую информационную услугу.
Под целостностью подразумеваются актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Конфиденциальность - это защита от несанкционированного доступа к информации.
Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, принято выделять ее как важнейший элемент информационной безопасности.
Целостность бывает статической (понимается как неизменность информационных объектов) и динамической (относится к корректному выполнению сложных действий). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
Конфиденциальность - самый проработанный у нас в стране аспект информационной безопасности.
Но практическая реализация мер по обеспечению конфиденциальности современных информационных систем имеет серьезные трудности:
• Во-первых, сведения о технических каналах утечки информации являются закрытыми. Большинство пользователей лишено возможности составить представление о потенциальных рисках.
• Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.
Значение каждой из составляющих информационной безопасности для разных категорий субъектов информационных отношений различно.
В случае государственных организаций во главу ставится конфиденциальность, поэтому скорее будет допущена возможность повреждения или уничтожения информации, чем ее разглашение. Далее для государственных структур особую значимость принимает целостность информации. Доступность как одна из составляющих информационной безопасности по отношению к двум другим составляющим обладает наименьшим приоритетом.
Для коммерческих организаций ведущую роль играет доступность информации. Особенно ярко это проявляется в разного рода системах управления - производством, транспортном и т.п. Внешне менее драматичные, но также весьма неприятные последствия, и материальные, и моральные, может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.). Примером может выступать и поставщик интернет-услуг (бесплатный почтовый сервер). Обычно для такого учреждения очень важно обеспечить возможность постоянного доступа пользователей к сервису (скорость Интернета для пользователей также важна).
Целостность равным образом важнейший аспект информационной безопасности коммерческих структур. Набор и характеристики комплектующих изделий, ход технологического процесса - все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Если в качестве объекта выступает, например, значение суммы финансовых средств на счету клиента (остаток), то главная задача банка - обеспечить невозможность ее несанкционированного изменения (целостность). При этом в экстраординарных ситуациях можно пойти на временное отсутствие доступа к счету или разглашение данных. В то же время конфиденциальность в случае коммерческой информации играет заметно меньшую роль.
Целостность информации тесно связана с понятием надежности как технических, так и программных средств, реализующих процессы накопления, хранения и обработки информации. Из анализа угроз безопасности информации, целей и задач ее защиты следует, что достичь максимального (требуемого) уровня защищенности можно только за счет комплексного использования существующих методов и средств защиты. Комплексность является одним из принципов, которые должны быть положены в основу разработки как концепции защиты информации, так и конкретных систем защиты.
Цели защиты информации на объектах защиты могут быть достигнуты при проведении работ по следующим направлениям:
• определение охраняемых сведений об объектах защиты;
• оценка возможностей и степени опасности технических средств разведки;
• выявление возможных технических каналов утечки информации;
• анализ возможностей и опасности несанкционированного доступа к информационным объектам;
• анализ опасности уничтожения или искажения информации с помощью программно-технических воздействий на объекты защиты;
• разработка и реализация организационных, технических, программных и других средств и методов защиты информации от всех возможных угроз;
• создание комплексной системы защиты;
• организация и проведение контроля состояния и эффективности системы защиты информации;
• обеспечение устойчивого управления процессом функционирования системы защиты информации.
Процесс комплексной защиты информации должен осуществляться непрерывно на всех этапах. Реализация непрерывного процесса защиты информации возможна только на основе систем концептуального подхода и промышленного производства средств защиты, а создание механизмов защиты и обеспечение их надежного функционирования и высокой эффективности может быть осуществлено только специалистами высокой квалификации в области защиты информации.
Для граждан на первое место можно поставить целостность и доступность информации, обладание которой необходимо для осуществления нормальной жизнедеятельности. Например, участившиеся случаи искажения информации во время выборов. Конфиденциальность здесь не играет ключевой роли, хотя следует отметить, что физические лица на сегодняшний день являются самыми незащищенными субъектами информационных отношений.
Итак, в результате проведенного исследования можно отметить, что предприятия рассматриваются как субъекты информационного права, а поэтому должны изучать информационные правоотношения, в которые они практически вступают, реализуя полномочия, регулируемые нормами различных отраслей права.
При этом одним из важных аспектов, на котором должно быть сосредоточено внимание, является вопрос обеспечения информационной безопасности предприятия. Если процедуры создания, получения специальных статусов и разрешений, прекращение деятельности и надзор за такой деятельностью в большей степени относятся к предмету других отраслей права, то обеспечение информационной безопасности, потребность в которой, как автор пытался показать, проявляется в течение всего времени существования предприятия и его взаимодействия с другими субъектами, практически полностью относится к предмету информационного права. В то же время как невозможно в полной мере выделить информационную составляющую в деятельности предприятия, так и очень сложно разграничить правовое регулирование этой сферы различными отраслями права.
Статью подготовил ведущий корпоративный юрист Шаталов Станислав Карлович. 
