• ×

    • Совершенствование системы информационной безопасности на предприятии ооо "овен". Система безопасности в Российской Федерации и пути её совершенствования Совершенствование информационной безопасности предприятия

    30.08.2020
    1
    Министерство внутренних дел Российской Федерации
    Федеральное государственное казенное образовательное учреждение
    высшего образования
    «Уфимский юридический институт Министерства внутренних дел Российской
    Федерации»
    Презентация выпускной квалификационной работы на
    тему:
    Система безопасности в Российской
    Федерации и пути её совершенствования
    Автор работы: ст. гр. ЭК/б-52з Лукьянова О.А.
    Руководитель: к.э.н. Березинец О.М.

    Цель и задачи, объект и предмет исследования

    Цель исследования:
    разработка научно обоснованной концепции системы безопасности и
    обеспечения путей ее совершенствования в Российской Федерации.
    Задачи исследования:
    рассмотреть основы понятия и содержание деятельности по обеспечению национальной безопасности
    РФ;
    исследовать обеспечение концептуальных и нормативно-правовых основ национальной и общественной
    безопасности Российской Федерации;
    изучить стратегию национальной безопасности Российской Федерации и задачи правоохранительных
    органов;
    отразить экономическую безопасность как неотъемлемый элемент национальной и социальноэкономической безопасности страны: понятие и нормативно-правовое регулирование;
    проанализировать современное состояние, угрозы и пороговое значение экономической безопасности;
    рассмотреть методики определения уровня экономической безопасности в РФ;
    исследовать механизм обеспечения экономической безопасности РФ;
    отразить проблемы реализации экономической безопасности Российской Федерации;
    предложить пути совершенствования экономической безопасности Российской Федерации.
    Объект и предмет исследования:
    Объектом является система безопасности Российской Федерации.
    Предметом исследования выступают особенности отношений, связанных с системой безопасности в
    Российской Федерации.

    Основы понятия и содержание деятельности по обеспечению национальной безопасности РФ

    1. Специфика политики обеспечения национальной безопасности состоит в
    том, что это деятельность государства, общества и граждан по выявлению,
    контролю, предупреждению, парированию, снижению, локализации,
    нейтрализации и устранению возможностей нанесения ущерба коренным
    интересам страны и их реализации
    2. Сам объект воздействия сил и средств обеспечения
    национальной безопасности – угрозы и опасности – представляют
    собой проблемы национального масштаба из различных сфер
    социальной жизни, ставящие страну на грань выживания.
    3. Система обеспечения национальной безопасности
    представляет собой объединение органов и сил обороны,
    государственной и общественной безопасности.
    4.Деятельность органов государственной власти и управления по
    экономической стабилизации, социальному обеспечению населения, в
    сферах здравоохранения, образования, культуры и защиты окружающей
    природной среды создает необходимый базис для обеспечения
    национальной безопасности, и нередко включается в нее в качестве
    неотъемлемой части, подсистемы профилактики угроз.

    Нормативно-правовая база обеспечения общественной безопасности Российской Федерации

    Конституция Российской Федерации, федеральные законы, законы субъектов РФ,
    нормативные правовые акты Президента РФ и Правительства РФ
    Не менее значимы и такие концептуальные документы, как Стратегия национальной
    безопасности РФ и Концепция общественной безопасности РФ. Подробный
    перечень правовой основы обеспечения общественной безопасности содержится в ст. 7
    «Концепции общественной безопасности в Российской Федерации», в которой помимо
    вышеназванных нормативно-правовых актов указаны общепризнанные принципы и
    нормы международного права, международные договоры, а так же конституции
    (уставы) субъектов РФ и муниципальных образований
    Так же выделяется ряд подзаконных актов: нормативные правовые акты
    федеральных органов исполнительной власти и органов исполнительной власти
    субъектов РФ, ведомственные нормативные правовые акты.

    Стратегия национальной безопасности Российской Федерации и задачи правоохранительных органов

    5
    Стратегия национальной безопасности Российской Федерации и
    задачи правоохранительных органов
    Согласно Стратегии национальной безопасности:
    главными направлениями обеспечения государственной и общественной безопасности являются:
    - усиление роли государства в качестве гаранта безопасности личности и прав собственности;
    - совершенствование правового регулирования предупреждения преступности (в том числе в информационной
    сфере), коррупции, терроризма и экстремизма, распространения наркотиков и борьбы с такими явлениями;
    - развитие взаимодействия органов обеспечения государственной безопасности и правопорядка с гражданским
    обществом, повышение доверия граждан к правоохранительной и судебной системам Российской Федерации.
    пути обеспечения безопасности:
    - повышение эффективности деятельности правоохранительных органов;
    - совершенствование единой государственной системы профилактики преступности;
    - разработка и использование специальных мер, направленных на снижение уровня криминализации
    общественных отношений;
    - искоренение причин и условий, порождающих коррупцию, которая является препятствием устойчивому
    развитию Российской Федерации и реализации стратегических национальных приоритетов;
    - комплексное развитие правоохранительных органов и специальных служб, укрепление социальных гарантий
    их сотрудникам, совершенствование научно-технической поддержки правоохранительной деятельности,
    развитие системы профессиональной подготовки специалистов в области обеспечения государственной и
    общественной безопасности;
    - повышение социальной ответственности органов обеспечения государственной и общественной безопасности;
    - совершенствование структуры и деятельности федеральных органов исполнительной власти.

    Проблемы Федерального закона РФ «О безопасности» № 390-ФЗ

    6
    Проблемы Федерального закона РФ «О
    безопасности» № 390-ФЗ
    1. закон должен иметь статус не просто федерального, а федерального
    конституционного закона, так как в отличие от закона 1992 года, данный нормативный
    акт в своей основе имеет конкретные положения Конституции РФ, помимо чего в
    основном законе так же содержится прямое указание (вытекающее из взаимосвязанных
    положений ст. 106 и 108 Конституции РФ, закрепляющих перечень вопросов, требуемых
    урегулирования ФКЗ)
    2. произошла подмена понятия «безопасность» на понятие
    «национальная безопасность», исходя из чего следует в название
    данного нормативно-правового акта внести корректировку и
    прописать, что это закон именно о национальной безопасности
    3. буквальное толкование содержания части 3 ст. 4 рассматриваемого закона позволяет
    утверждать, что государственная политика в данной сфере реализуется только лишь на
    основе подзаконных нормативных правовых актов, изданных Президентом РФ,
    Правительством РФ и другими субъектами обеспечения национальной безопасности

    Пути совершенствования законодательной базы общественной безопасности

    7
    Пути совершенствования законодательной
    базы общественной безопасности
    1. Во избежание противоречивого толкования понятия общественной безопасности, для
    установления единообразного законодательно закрепленного понятийного аппарата, а так
    же с целью оптимизации работы и взаимодействия всех органов исполнительной власти и
    регламентации отдельных видов общественной безопасности необходимо разработать и
    принять федеральный закон «Об общественной безопасности в Российской Федерации»
    2. Необходимо внести определенные изменения и корректировки в существующую
    на данный момент законодательную базу. Прежде всего, нужно отметить, что каждый
    отдельный институт общественной безопасности функционирует на основе
    многообразия специальных норм как федерального законодательства, так и
    подзаконных нормативно-правовых актов. Это напрямую влияет на эффективность
    применяемых и реализуемых мер и действий

    Определение экономической безопасности

    8
    Определение экономической безопасности
    Наиболее удачное определение экономической безопасности, на
    наш взгляд, дал И.Я. Богданов. По его мнению, экономическая
    безопасность - это такое состояние экономики страны,
    которое по объемным и структурным параметрам является
    достаточным для обеспечения существующего статуса
    государства, его независимого от внешнего давления
    политического и социально-экономического развития, а также
    достаточное для поддержания уровня легальных доходов,
    обеспечивающих абсолютное большинству населения
    благосостояние, соответствующее стандартам цивилизованных
    стран.

    Структура системы экономической безопасности Российской Федерации

    9
    Структура системы экономической
    безопасности Российской Федерации

    Угрозы экономической безопасности

    10
    Угрозы экономической безопасности

    Критериальная оценка уровня экономической безопасности в стране предполагает учет, определение и анализ следующих параметров

    11
    Критериальная оценка уровня экономической безопасности в
    стране предполагает учет, определение и анализ следующих
    параметров
    1. Состояние ресурсного потенциала, в рамках которого исследуется эффективность использования ресурсов,
    капитала и труда, сохранения государственного контроля над стратегическими ресурсами, объемы вывоза ресурсов
    за пределы государства без причинения ущерба национальной экономике
    2. Состояние научно-технического потенциала страны, которое зависит от уровня развития научноисследовательских институтов, возможности внедрения инновационных научных разработок, способности
    обеспечить независимость государства на стратегически важных направлениях НТП
    3. Стабильность финансовой системы государства, определяемая из показателей инфляции, формирования и
    расходования государственного бюджета, степени защищенности субъектов рынка, конвертируемости
    национальной валюты
    4. Сбалансированность внешнеэкономической политики при одновременном удовлетворении спроса населения и
    защиты отечественных производителей
    5. Уровень жизни населения (уровни бедности, безработицы, имущественной дифференциации, доходов после
    налогообложения)
    6. Конкурентоспособность экономики, которая зависит от стратегических действий государственных структур по
    реализации программ развития определенных отраслей и секторов экономики
    7. Наличие правовых механизмов защиты интересов субъектов национальной экономики

    Основные составляющие механизма обеспечения экономической безопасности государства и его регионов

    12
    Основные составляющие механизма обеспечения
    экономической безопасности государства и его регионов

    Предложения и рекомендации по оптимизации стратегии национальной безопасности РФ посредством использования эффективной системы экономи

    13
    Предложения и рекомендации по оптимизации стратегии
    национальной безопасности РФ посредством использования
    эффективной системы экономической безопасности России
    1. в нормативно-правовом акте
    закреплять не только стратегические
    угрозы национальной безопасности
    РФ, но и меры противодействия
    путем определения процессов,
    подпроцессов, матрицы
    ответственности, сроков и
    ожидаемых результатов на каждом
    этапе
    2. обеспечить четкое следование
    стратегии развития путем контроля
    на каждом этапе с особым акцентом
    на ответственности, сроках и
    реализации плана
    3. при каждой итерации соотносить
    затраты с результатом, акцент делать
    на эффективное достижение целей и
    эффективность действий
    4. каждый государственный
    орган/служба должны ежегодно
    отчитываться о своей эффективности
    путем соотнесения расходов и доходов
    бюджета посредством их деятельности,
    что обеспечит упразднение
    неэффективных служб и органов,
    унифицированный и
    стандартизированный подход к их
    деятельности
    5. ужесточить меру ответственности
    гос. служащих за преступления и
    правонарушения, допускаемые ими,
    что позволит быть уверенным в их
    непредвзятости и «чистой» работе
    6. релевантность использования и
    создания резервной системы
    7. прививать желание гражданам РФ
    следовать интересам страны путем
    понимания надобности и
    значимости действий, а также
    отдачей для общества

    Основные направления реализации государственной стратегии обеспечения экономической безопасности на региональном уровне

    14
    Основные направления реализации государственной стратегии
    обеспечения экономической безопасности на региональном
    уровне
    1.
    Преодоление
    последствий
    кризиса,
    достижение
    экономическо
    го роста в
    реальном
    секторе
    экономики
    региона и его
    подчинение
    задачам
    социально экономическо
    го развития
    государства
    2.
    Существенное
    усиление
    финансовой
    безопасности
    региона,
    первоочередн
    ое укрепление
    финансового
    потенциала
    реального
    сектора
    экономики,
    субъектов
    хозяйствован
    ия всех форм
    собственност
    и,
    домохозяйств
    3. Создание
    надежных
    гарантий
    технологическ
    ой
    безопасности;
    обновление и
    замена старых
    основных
    фондов
    предприятий
    и учреждений,
    уровень
    износа
    которых
    приближается
    к
    критическому
    и составляет
    80-82 %
    4. Усиление
    энергетической
    безопасности
    региона,
    осуществление
    активной
    политики
    энергосбереже
    ния и развития
    собственного
    энергопотенци
    ала,
    диверсификаци
    я рынков сбыта
    продукции и
    создание
    условий для
    реальной
    конкуренции в
    сфере
    энергоснабжен
    ия
    5. Решение
    всего
    комплекса
    проблем, от
    которых
    зависит
    продовольстве
    нная
    безопасность
    государства в
    целом
    6.
    Недопущение
    экспансии
    некачественн
    ых импортных
    продуктов и
    продовольстве
    нных товаров,
    которые
    может
    производить в
    необходимых
    объемах
    агропромышл
    енный
    комплекс в
    регионе
    7. Решение
    наиболее
    острых задач в
    сфере
    определения
    долгосрочных
    приоритетов в
    сфере
    экологическо
    й
    безопасности
    и охраны
    окружающей
    природной
    среды

    ПРАВОВЫЕ ПРОБЛЕМЫ ИСПОЛЬЗОВАНИЯ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ И СОВЕРШЕНСТВОВАНИЕ ЗАКОНОДАТЕЛЬСТВА

    СОВЕРШЕНСТВОВАНИЕ ИНСТИТУЦИОНАЛЬНОГО МЕХАНИЗМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РФ

    IMPROVING THE INSTITUTIONAL MECHANISM FOR ENSURING THE INFORMATION SECURITY OF THE RUSSIAN FEDERATION

    © Коблова Юлия Александровна

    Yuliya A. Koblova

    кандидат экономических наук, доцент кафедры институциональной экономики и экономической безопасности, Саратовский социально-экономический институт (филиал) ФГБОУ ВПО «РЭУ им. Г.В. Плеханова»

    Cand.Sc. (Economics), associate professor at the department of institutional economics, Saratov socio-economic institute (branch) of Plekhanov Russian University of Economics

    e-mail: [email protected]

    В статье исследуются институциональные аспекты обеспечения информационной безопасности государства. Раскрыта сущность и роль институционального механизма в обеспечении информационной безопасности государства. Дана оценка институциональному обеспечению информационной безопасности в России. Выделены проблемы и предложена система мер по совершенствованию институционального механизма обеспечения информационной безопасности страны.

    Ключевые слова: институты, институциональный механизм, информационная безопасность, интернет-пространство.

    The paper examines the institutional aspects of ensuring information security of the state. The author reveals the essence and role of institutional mechanism in ensuring state information security, evaluates the institutional mechanism of ensuring information security in Russia, highlights major challenges, and suggests a system of measures to improve the institutional mechanism to ensure information security.

    Keywords: institutions, institutional mechanisms, information security, internet space.

    Обеспечение информационной безопасности государства - это достаточно новая государственная функция с еще не установившимся объемом и содержанием методов и инстру-

    ментов. Ее формирование обусловлено необходимостью защиты общества и государства от информационных угроз, связанных с развитием новейших информационно-коммуникаци-

    онных технологий. Масштабы негативных последствий этих угроз для государств, организаций, людей уже осознаны мировым сообществом, поэтому важнейшей задачей государства является разработка системы мер по их предотвращению и нейтрализации. Немаловажную роль в достижении информационной безопасности государства играет институциональный механизм ее обеспечения. Эффективность институциональной системы, реализующей общественные интересы, является залогом их гармонизации в целях обеспечения высших государственных интересов, в том числе национальной и информационной безопасности.

    Напомним, что институты - это порожденные человеческим сознанием и опытом правила взаимодействий («правила игры») в обществе, ограничения и предпосылки развития в политике, социальной сфере и экономике. Институтами, поддерживающими долговременный экономический рост, являются законы и правила, формирующие побудительные мотивы и механизмы. Институты задают систему положительных и отрицательных стимулов, снижают неопределенность и делают социальную среду более предсказуемой. Институты, гарантирующие информационную безопасность, известны: верховенство закона, независимый и компетентный суд, отсутствие коррупции и др.

    Институциональный механизм обеспечения информационной безопасности представляет собой особую структурную составляющую хозяйственного механизма, обеспечивающую создание норм и правил, регулирующих взаимодействие различных экономических субъектов в информационной сфере по предотвращению угроз информационной безопасности. Институциональный механизм приводит в действие институты (формальные и неформальные), структурирует взаимодействия субъектов, осуществляет контроль над соблюдением установленных норм и правил.

    Сущность институционального механизма проявляется через его функции. О.В. Иншаков и Н.Н. Лебедева считают, что институциональный механизм выполняет следующие функции, которые применимы и к механизму обеспечения информационной безопасности:

    1) интеграция агентов в один институт с целью осуществления совместной деятельности в рамках общих статусов и норм;

    2) дифференцирование норм и статусов, а также субъектов и агентов разных институтов на разделяющие и игнорирующие их требования; регламентация взаимодействия институ-

    та и его агентов в соответствии с установленными требованиями;

    3) осуществление перевода новых требований в реальную практику;

    4) обеспечение воспроизводства рутинных инноваций;

    5) субординация и координация отношений между субъектами, которые принадлежат к разным институтам;

    6) информирование субъектов о новых нормах и об оппортунистическом поведении;

    7) регулирование деятельности субъектов, разделяющих и отвергающих требования, определенные институтом;

    8) контроль за выполнением норм, правил и соглашений .

    Таким образом, институциональный механизм обеспечения информационной безопасности включает законодательную основу и обеспечивающие ее институциональные структуры. Совершенствование данного механизма включает в себя реорганизацию законодательной основы информационной безопасности и институциональных структур противодействия угрозам информационной безопасности.

    В институциональный механизм обеспечения информационной безопасности входит: принятие новых законов, которые учитывали бы интересы всех субъектов информационной сферы; соблюдение баланса созидательной и ограничительной функций законов в информационной сфере; интеграция России в мировое правовое пространство; учет состояния сферы отечественных информационных технологий.

    К настоящему времени в России сформирована законодательная база в области информационной безопасности, включающая:

    1. Законы Российской Федерации: Конституция РФ, «О безопасности»; «Об органах Федеральной службы безопасности в Российской Федерации», «О государственной тайне», «О внешней разведке», «Об участии в международном информационном обмене», «Об информации, информационных технологиях и о защите информации», «Об электронно-цифровой подписи» и др.

    2. Нормативно-правовые акты Президента Российской Федерации: Доктрина информационной безопасности РФ; Стратегия национальной безопасности Российской Федерации до 2020 года, «Об основах государственной политики в сфере информатизации», «О перечне сведений, отнесенных к государственной тайне» и др.

    3. Нормативные правовые акты Правительства Российской Федерации: «О сертификации

    средств защиты информации», «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны», «О лицензировании отдельных видов деятельности» и др.

    4. Гражданский кодекс РФ (часть четвертая).

    5. Уголовный кодекс Российской Федерации.

    За последние годы в России реализован

    комплекс мер по совершенствованию обеспечения ее информационной безопасности. Реализованы мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов РФ, на предприятиях, в учреждениях и организациях независимо от формы собственности. Ведутся работы по защите специальных информационно-телекоммуникационных систем. Эффективному решению проблем информационной безопасности РФ способствуют государственная система защиты информации, система защиты государственной тайны и системы сертификации средств защиты информации.

    Государственная техническая комиссия при Президенте РФ проводит единую техническую политику и координирует работы в сфере защиты информации, стоит во главе государственной системы защиты информации от технических разведок и обеспечивает защиту информации от утечки по техническим каналам на территории России, отслеживает эффективность принимаемых мер защиты.

    Важную роль в системе информационной безопасности страны играют государственные и общественные организации: они осуществляют контроль за государственными и негосударственными средствами массовой информации.

    Вместе с тем уровень информационной безопасности России не в полной мере соответствует потребностям общества и государства. В условиях информационного общества обостряются противоречия между общественной потребностью в расширении и свободе обмена информацией, с одной стороны, и необходимостью сохранить отдельные регламентированные ограничения на ее распространение.

    В настоящее время отсутствует институциональное обеспечение закрепленных в Конституции РФ прав граждан в информационной сфере (на неприкосновенность частной жизни, личную тайну, тайну переписки и др.). Остав-

    ляет желать лучшего защита персональных данных, которые собираются федеральными органами власти.

    Отсутствует четкость проведения политики государства в сфере формирования информационного пространства РФ, средств массовой информации, международного информационного обмена и интеграции России в мировое информационное пространство.

    Совершенствование институционального механизма информационной безопасности государства, на наш взгляд, должно быть направлено на решение следующих важных проблем.

    Слабая практическая направленность современного российского законодательства в информационной сфере создает проблемы правового и методологического характера. Высказываются мнения о том, что Доктрина информационной безопасности РФ не имеет прикладного значения, содержит множество неточностей и методологических ошибок. Так, объектами информационной безопасности в Доктрине признаются интересы, личность, общество, государство - понятия, не сопоставимые между собой. Многие ученые обращали внимание на недопустимость принятия в качестве объекта информационной безопасности защиты интересов, а не их носителей .

    Применение этих категорий, содержание которых неопределенно, в законодательном документе не вполне неуместно . Например, субъекты права - это юридические и физические лица, организации, лица без гражданства, исполнительные органы власти. Категория «государство» включает в себя территорию страны, ее население (нации), политическую власть, конституционный строй.

    В Доктрине информационной безопасности РФ источниками угроз информационной безопасности признается:

    Деятельность иностранных структур;

    Разработка концепций информационных войн рядом государств;

    Стремление ряда стран к доминированию и др.

    По мнению Г. Атаманова, источником может являться объект или субъект, принимающий участие в информационном процессе или способный повлиять на него в той или иной мере. Например, в американском законодательстве источники угроз информационной инфраструктуры включают: хакеров, настроенных против США; террористические группы; государства, против которых может быть направлена антитеррористическая операция;

    хакеров, любопытствующих или самоутверждающихся .

    Недостатки и рамочный характер Доктрины снижают эффективность и ограничивают сферу ее применения, задают неверное направление развития законодательства в информационной сфере и все больше запутывают его.

    Для должного обеспечения информационной безопасности необходимо создание соответствующей системы правовых отношений, что, в свою очередь, невозможно без пересмотра категориального аппарата, доктринально-го и концептуального фундамента законодательства в информационной сфере.

    2. Разрыв между законодательством и практикой в информационной сфере.

    Огромная пропасть между законодательством и практикой в информационной сфере объективно существует из-за стремительности и масштабности развития информационных технологий и Интернета, мгновенно порождающих новые угрозы. Законодательный процесс, наоборот, долог и тернист. Поэтому в современных условиях необходимы механизмы, позволяющие согласовать разработку законов с реалиями развития информационных технологий и информационного общества. Важно, чтобы отставание не было слишком большим, так как это чревато снижением или потерей информационной безопасности.

    Преодоление разрыва между практикой и законодательством в информационной сфере необходимо для снижения и нейтрализации угроз информационной безопасности, возникающих из-за опережения развития информационных технологий и возникновения вакуума в законодательстве.

    3. Отсутствие наднациональных институтов, гарантирующих информационную безопасность.

    Невозможно противостоять преступлениям, совершаемым в Интернете, силами одной страны. Запретительные меры, вводимые на национальном уровне, не будут действенными, так как нарушители могут находиться за границей. Для борьбы с ними необходима консолидация усилий на международном уровне и принятие международных правил поведения в интернет-пространстве. Подобные попытки предпринимались. Так, Будапештская конвенция Совета Европы допускала преследование нарушителей на территории другого государства без предупреждения его властей. Именно поэтому многие страны сочли неприемлемым ратифицировать данный документ.

    Модельный закон «Об основах регулирования Интернета», одобренный на пленарном

    заседании Межпарламентской Ассамблеи государств - участников СНГ, устанавливает порядок государственной поддержки и регулирования Интернета, а также правила определения места и времени совершения юридически значимых действий в сети. Кроме того, в законе регламентируется деятельность и ответственность операторов услуг.

    Необходимо отметить и ратификацию документа, разрешающего обмен конфиденциальной информацией на территории России, Беларуси и Казахстана. Речь идет о протоколе, который определяет порядок предоставления сведений, содержащих конфиденциальную информацию, для расследований, предшествующих введению специальных защитных, антидемпинговых и компенсационных мер по отношению к третьим странам. Это очень важное соглашение государств - участников Таможенного союза, которое позволяет совместно выработать и отстроить защитные антидемпинговые и компенсационные меры. Таким образом, на сегодняшний день организована прочная нормативная база, которая создает принципиально новый наднациональный орган, уполномоченный не только проводить расследования, собирать доказательственную базу, но и защищать ее от утечек, определяя порядок предоставления.

    Формирование наднациональных институтов в информационной сфере позволит преодолеть ограниченность национальных законодательств в борьбе с информационными преступлениями.

    4. Отсутствие институтов интернет-пространства.

    В настоящее время в международном праве должны появиться такие новые институты, регулирующие взаимодействие субъектов в интернет-пространстве, как «электронная граница», «электронный суверенитет», «электронное налогообложение» и другие. Это будет способствовать преодолению латентного характера киберпреступности, т.е. увеличению раскрываемости киберпреступлений.

    5. Развитие частно-государственного партнерства в информационной сфере.

    В связи со стремлением правительственных организаций публиковать отчеты о состоянии своей системы информационной безопасности возникает интересная дилемма. С одной стороны, эти публикации отражают усилия государства по поддержанию системы кибербезопасности на должной высоте. Казалось бы, такой результат должен вести к более эффективной структуре расходов на кибербе-зопасность. Но, с другой стороны, публикация информации о недостатках системы кибербе-

    Научно-практический журнал. ISSN 1995-5731

    зопасности государственных организаций с большей вероятностью делает их уязвимыми для атак хакеров, что влечет за собой потребность в большем количестве ресурсов для их отражения и предотвращения.

    Самой большой проблемой в обеспечении сотрудничества и обмена информацией, связанной с безопасностью, между государственными агентствами и корпорациями Гордон и Лоеб считают проблему «безбилетничества» (//тее-^ет). Казалось бы, поскольку безопасность компьютерных сетей зависит от действий каждого участника, подобное сотрудничество является оптимальным способом увеличить эффективность средств, затрачиваемых на обеспечение кибербезопасности. Успешный обмен информацией и опытом в области кибербезопасности мог бы дать возможность координировать такую деятельность на национальном и международном уровнях. Но в реальности боязнь фирмы потерять конкурентные преимущества, участвуя в подобном сетевом сотрудничестве и предоставляя полную информацию о себе, приводит к укло-

    нению от предоставления полной информации. Изменить ситуацию здесь может только развитие государственно-частного партнерства на основе введения достаточно значимых экономических стимулов.

    Таким образом, институциональный механизм обеспечения информационной безопасности государства предполагает формирование законодательных основ и институциональных структур, ее обеспечивающих. Для совершенствования институционального механизма и формирования новой архитектуры экономической безопасности в условиях информационной экономики предложена система мер, включающая: преодоление декларативного характера законодательства и сокращение разрыва между законодательством и практикой в информационной сфере, формирование наднационального законодательства в информационной сфере, создание новых институтов, определяющих рамки взаимодействия и правил поведения в интернет-пространстве.

    Библиографический список (References)

    1. Иншаков О.В., Лебедева Н.Н. Хозяйственный и институциональный механизмы: соотношение и взаимодействие в условиях социально-рыночной трансформации российской экономики // Вестник С.-Петерб. гос. унта. Сер. 5. 2008. Вып. 4 (№ 16).

    2. Дзлиев М.И., Романович А.Л., Урсул А.Д. Проблемы безопасности: теоретико-методологические аспекты. М., 2001.

    3. Атаманов Г. А. Информационная безопасность в современном российском обществе (социально-философский аспект): дис. ... канд. филос. наук. Волгоград, 2006.

    4. Кононов А. А., Смолян Г. Л. Информационное общество: общество тотального риска или общество гарантированной безопасности? // Информационное общество. 2002. № 1.

    1. Inshakov O.V., Lebedeva N.N. (2008) Khozyaystvennyy i institutsional"nyy mekhaniz-my: sootnosheniye i vzaimodeystviye v usloviyakh sotsial"no-rynochnoy transformatsii rossiyskoy ekonomiki // Vestnik S.-Peterb. gos. un-ta. Ser. 5. Vyp. 4 (№ 16).

    2. Dzliyev M.I., Romanovich A.L., Ursul A.D. (2001) Problemy bezopasnosti: teoretiko-metodologicheskiye aspekty . M.

    3. Atamanov G.A. (2006) Informatsionnaya bezopasnost" v sovremennom rossiyskom ob-shchestve (sotsial"no-filosofskiy aspekt) . Volgograd.

    4. Kononov A.A., Smolyan G.L. (2002) In-formatsionnoye obshchestvo: obshchestvo total"nogo riska ili obshchestvo garantirovannoy bezopasnosti? // Informat-sionnoye obshchestvo. № 1.

    2. Антивирусная система ESET NOD 32 для защиты от компьютерных вирусов.

    Производится нерегулярное обновление баз и сканирование рабочих станций.

    3. Встроенный Windows Backup для создания архивов.

    OS Backup Wizard - программа, предназначенная для быстрого создания и восстановления резервной копии Windows. Она позволяет создать копию всей Windows или только отдельных файлов и папок.

    4. Шифрование с ключом 2048 бит для канала vpn (подключение к офису управляющей компании для работы почты и документооборота).

    Глава 2. Совершенствование СИБ

    2.1 Недостатки в системе защиты информации

    При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно - технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.

    Современные технологии программирования не позволяют создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения информационной безопасности.

    Проанализировав информационную безопасность предприятия можно сделать вывод, что информационной безопасности уделяется недостаточное внимание:

    Отсутствие паролей доступа в систему;

    Отсутствие паролей при работе программой с 1С: Предприятие, при изменении данных;

    Отсутствует дополнительная защита файлов и информации (отсутствует элементарный запрос пароля при открытии или изменении информации в файлах, не говоря уже о средствах шифрования данных);

    Нерегулярное обновление баз программы антивируса и сканирование рабочих станций;

    Большое количество документов на бумажных носителях в основном лежат в папках (иногда и без них) на рабочем столе сотрудника, что позволяет злоумышленникам без труда воспользоваться данного рода информациях в своих целях;

    Не производится регулярное обсуждение вопросов информационной безопасности на предприятии и возникающих проблем в этой области;

    Не организована регулярная проверка работоспособности информационных систем предприятия, отладка производится только лишь в том случае, когда они выходят из строя;

    Отсутствие политики информационной безопасности;

    Отсутствие системного администратора.

    Все вышеперечисленное является очень важными недостатками обеспечения информационной безопасности предприятия.

    2.2 Цель и задачи системы информационной безопасности

    Безопасность информации - состояние защищенности информационных ресурсов в вычислительных сетях и системах предприятия от несанкционированного доступа, случайного или преднамеренного вмешательства в нормальное функционирование систем, попыток разрушения её компонентов.

    Цели защиты информации:

    предотвращение угроз безопасности предприятия вследствие несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации или иных форм незаконного вмешательства в информационные ресурсы и информационных системах;

    сохранение коммерческой тайны, обрабатываемой с использованием средств вычислительной техники;

    защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.

    Для достижения целей защиты должно обеспечиваться эффективное решение следующих задач:

    · защита от вмешательства в процесс функционирования предприятия посторонних лиц;

    · защита от несанкционированных действий с информационными ресурсами предприятия посторонних лиц и сотрудников, не имеющих соответствующих полномочий;

    · обеспечение полноты, достоверности и оперативности информационной поддержки принятия управленческих решений руководством предприятия;

    · обеспечение физической сохранности технических средств и программного обеспечения предприятия и защита их от действия техногенных и стихийных источников угроз;

    · регистрация событий, влияющих на безопасность информации, обеспечения полной подконтрольности и подотчетности выполнения всех операций, совершаемых на предприятии;

    · своевременное выявление, оценка и прогнозирование источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба интересам субъектов, нарушению нормального функционирования и развития предприятия;

    · анализ рисков реализации угроз безопасности информации и оценка возможного ущерба, предотвращение неприемлемых последствий нарушения безопасности информации предприятия, создание условий для минимизации и локализации наносимого ущерба;

    · обеспечение возможности восстановления актуального состояния предприятия при нарушении безопасности информации и ликвидации последствий этих нарушений;

    · создание и формирование целенаправленной политики безопасности информации предприятия.

    2.3 Мероприятия и средства по совершенствованию системы информационной безопасности

    Для выполнения поставленных целей и решению задач необходимо провести мероприятия на уровнях информационной безопасности.

    Административный уровень информационной безопасности.

    Для формирования системы информационной безопасности необходимо разработать и утвердить политику информационной безопасности.

    Политика безопасности - это совокупность законов, правил и норм поведения, направленных на защиту информации и ассоциированных с ней ресурсов.

    Следует отметить, что разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации, т.е. эти законы и правила необходимо выявлять и принимать во внимание при разработке политики.

    Чем надежнее система, тем строже и многообразнее должна быть политика безопасности.

    В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы.

    Организационный уровень защиты информации .

    Исходя из недостатков, описанных в предыдущем разделе, можно предложить следующие мероприятия по улучшению защиты информации:

    Организация работ по обучению персонала навыкам работы с новыми программными продуктами при участии квалифицированных специалистов;

    Разработка необходимых мероприятий направленных на совершенствовании системы экономической, социальной и информационной безопасности предприятия.

    Провести инструктаж для того, чтобы каждый сотрудник осознал всю важность и конфиденциальность вверенной ему информации, т.к., как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимания (или недопонимания) необходимости их тщательного соблюдения.

    Строгий контроль соблюдения сотрудниками правил работы с конфиденциальной информацией;

    Контроль соблюдения правил хранения рабочей документации сотрудников предприятия;

    Плановое проведение собраний, семинаров, обсуждений по вопросам информационной безопасности предприятия;

    Регулярная (плановая) проверка и обслуживание всех информационных систем и информационной инфраструктуры на работоспособность.

    Назначить системного администратора на постоянной основе.

    Программно-технические меры защиты информации.

    Программно-технические средства являются одними из важнейших компонентов в реализации информационной защите предприятия, поэтому для повышения уровня защиты информации необходимо ввести и применить следующие мероприятия:

    Введение паролей пользователей;

    Для регулирования доступа пользователей к информационным ресурсам предприятия необходимо ввести список пользователей, которые будут входить в систему под своим логином. С помощью ОС Windows Server 2003 Std, установленной на сервере, можно создать список пользователей с соответствующими паролями. Пароли раздать работникам с соответствующим инструктажем их использования. Также необходимо ввести срок действия пароля, по истечению которого пользователю будет предложено поменять пароль. Ограничить число попыток входа в систему с неверным паролем (например, до трех).

    Введение запроса паролей в программе 1С: Предприятии при работе с БД, при изменении данных. Это можно выполнить с помощью программных средств ПК и программы.

    Разграничение доступа к файлам, каталогам, дискам.

    Разграничение доступа к файлам и каталогам будет осуществляться системным администратором, который разрешит доступ к соответствующим дискам, папкам и файлам для каждого пользователя конкретно.

    Регулярное сканирование рабочих станций и обновление баз антивирусной программы.

    Позволит обнаруживать и нейтрализовать вредоносные программы, ликвидировать причины заражений. Необходимо выполнить работы по установке, настройке и обеспечению функционирования средств и систем антивирусной защиты.

    Для этого необходимо настроить программу антивируса на регулярное сканирование ПК и регулярное обновление баз с сервера.

    Установка на компьютер-сервер сетевого экрана Agnitum Outpost FireWall, который блокирует атаки из сети Интернет.

    Преимущества использования сетевого экрана Agnitum Outpost FireWall:

    ¾ контролирует соединения компьютера с другими, блокируя хакеров и предотвращая несанкционированный внешний и внутренний доступ к сети.

    Предпринимаемые меры защиты должны быть адекватны вероятности осуществления данного типа угрозы и потенциальному ущербу, который может быть нанесен в том случае, если угроза осуществится (включая затраты на защиту от нее).

    Необходимо иметь в виду, что многие меры защиты требуют достаточно больших вычислительных ресурсов, что в свою очередь существенно влияет на процесс обработки информации. Поэтому современный подход к решению этой проблемы заключается в применении в АСУ принципов ситуационного управления защищенностью информационных ресурсов. Суть такого подхода заключается в том, что требуемый уровень безопасности информации устанавливается в соответствии с ситуацией, определяющей соотношение между ценностью перерабатываемой информации, затратами (снижением производительности АСУ, дополнительным расходом оперативной памяти и др.), которые необходимы для достижения этого уровня, и возможными суммарными потерями (материальными, моральными и др.) от искажения и несанкционированного использования информации.

    Необходимые характеристики защиты информационных ресурсов определяются в ходе ситуационного планирования при непосредственной подготовке технологического процесса защищенной обработки информации с учетом сложившейся ситуации, а также (в сокращенном объеме) во время процесса обработки. Выбирая защитные меры, приходится учитывать не только прямые расходы на закупку оборудования и программ, но и расходы на внедрение новинки, на обучение и переподготовку персонала. Важным обстоятельством является совместимость нового средства со сложившейся аппаратно-программной структурой объекта.

    Зарубежный опыт в области защиты интеллектуальной собственности и отечественный опыт по защите государственных секретов показывают, что эффективной может быть только комплексная защита, сочетающая в себе такие направления защиты, как правовое, организационное и инженерно-техническое.

    Правовое направление предусматривает формирование совокупности законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации.

    Организационное направление – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий.

    По мнению специалистов, организационные мероприятия играют большую роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловлены не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты.

    К организационным мероприятиям относятся:

    Мероприятия, осуществляемые при проектировании, строительстве и оборудовании служебных и производственных зданий и помещений;

    Мероприятия, осуществляемые при подборе персонала;

    Организация и поддержание надежного пропускного режима, охраны помещений и территории, контроля за посетителями;

    Организация хранения и использования документов и носителей конфиденциальной информации;

    Организация защиты информации;

    Организация регулярного обучения сотрудников.

    Одним из основных компонентов организационного обеспечения информационной безопасности компании является Служба информационной безопасности (СИБ – орган управления системой защиты информации). Именно от профессиональной подготовленности сотрудников службы информационной безопасности, наличия в их арсенале современных средств управления безопасностью во многом зависит эффективность мер по защите информации. Ее штатная структура, численность и состав определяются реальными потребностями компании, степенью конфиденциальности ее информации и общим состоянием безопасности.

    Основная цель функционирования СИБ, используя организационные меры и программно-аппаратные средства, – избежать или хотя бы свести к минимуму возможность нарушения политики безопасности, в крайнем случае, вовремя заметить и устранить последствия нарушения.

    Для обеспечения успешной работы СИБ необходимо определить ее права и обязанности, а также правила взаимодействия с другими подразделениями по вопросам зашиты информации на объекте. Численность службы должна быть достаточной для выполнения всех возлагаемых на нее функций. Желательно, чтобы штатный состав службы не имел обязанностей, связанных с функционированием объекта защиты. Служба информационной безопасности должна быть обеспечена всеми условиями, необходимыми для выполнения своих функций.

    Ядром инженерно-технического направления являются программно-аппаратные средства защиты информации, к которым относятся механические, электромеханические, электронные, оптические, лазерные, радио- и радиотехнические, радиолокационные и другие устройства, системы и сооружения, предназначенные для обеспечения безопасности и защиты информации.

    Под программным обеспечением безопасности информации понимается совокупность специальных программ, реализующих функции защиты информации и режима функционирования.

    Сформированная совокупность правовых, организационных и инженерно-технических мероприятий выливается в соответствующую политику безопасности.

    Политика безопасности определяет облик системы защиты информации в виде совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений, направленных на противодействие угрозам для исключения или минимизации возможных последствий проявления информационных воздействий. После принятия того или иного варианта политики безопасности необходимо оценить уровень безопасности информационной системы. Естественно, что оценка защищенности производится по совокупности показателей, основными из которых являются стоимость, эффективность, реализуемость.

    Оценить варианты построения системы защиты информации – задача достаточно сложная, требующая привлечения современных математических методов многопараметрической оценки эффективности. К ним относятся: метод анализа иерархий, экспертные методы, метод последовательных уступок и ряд других.

    Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Только после этого можно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс анализа уязвимости с учетом изменений в системе защиты.

    Сформированный возможный сценарий действий нарушителя требует проверки системы защиты информации. Такая проверка называется «тестированием на проникновение». Цель – предоставление гарантий того, что для неавторизованного пользователя не существует простых путей обойти механизмы защиты.

    Один из возможных способов аттестации безопасности системы – приглашение хакеров для взлома без предварительного уведомления персонала сети. Для этого выделяется группа из двух-трех человек, имеющих высокую профессиональную подготовку. Хакерам предоставляется в распоряжение автоматизированная система в защищенном исполнении, и группа в течение 1–3 месяцев пытается найти уязвимые места и разработать на их основе тестовые средства для обхода механизмов защиты. Наемные хакеры представляют конфиденциальный доклад по результатам работы с оценкой уровня доступности информации и рекомендациями по улучшению защиты.

    Наряду с таким способом используются программные средства тестирования.

    На этапе составления плана защиты в соответствии с выбранной политикой безопасности разрабатывается план его реализации. План защиты является документом, вводящим в действие систему защиты информации, который утверждается руководителем организации. Планирование связано не только с наилучшим использованием всех возможностей, которыми располагает компания, в том числе выделенных ресурсов, но и с предотвращением ошибочных действий, могущих привести к снижению эффективности предпринятых мер по защите информации.

    План защиты информации на объекте должен включать:

    Описание защищаемой системы (основные характеристики защищаемого объекта: назначение объекта, перечень решаемых задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите, и требований по обеспечению доступа, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т. п.);

    Цель защиты системы и пути обеспечения безопасности автоматизированной системы и циркулирующей в ней информации;

    Перечень значимых угроз безопасности автоматизированной системы, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;

    Политику информационной безопасности;

    План размещения средств и функциональную схему системы защиты информации на объекте;

    Спецификацию средств защиты информации и смету затрат на их внедрение;

    Календарный план проведения организационных и технических мероприятий по защите информации, порядок ввода в действие средств защиты;

    Основные правила, регламентирующие деятельность персонала по вопросам обеспечения информационной безопасности объекта (особые обязанности должностных лиц, обслуживающих автоматизированную систему);

    Порядок пересмотра плана и модернизации средств защиты.

    Пересмотр плана защиты осуществляется при изменении следующих компонентов объекта:

    Архитектуры информационной системы (подключение других локальных сетей, изменение или модификация используемых средств вычислительной техники или ПО);

    Территориального расположения компонентов автоматизированной системы.

    В рамках плана защиты необходимо иметь план действий персонала в критических ситуациях, т. е. план обеспечения непрерывной работы и восстановления информации . Он отражает:

    Цель обеспечения непрерывности процесса функционирования автоматизированной системы, восстановления ее работоспособности и пути ее достижения;

    Перечень и классификацию возможных кризисных ситуаций;

    Требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации, ведения текущих, долговременных и аварийных архивов; состав резервного оборудования и порядок его использования и т. п.);

    Обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях, при ликвидации их последствий, минимизации наносимого ущерба и при восстановлении нормального функционирования системы.

    Если организация осуществляет обмен электронными документами с партнерами по выполнению единых заказов, то необходимо в план защиты включить договор о порядке организации обмена электронными документами, в котором отражаются следующие вопросы:

    Разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

    Определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

    Порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.);

    Порядка разрешения споров в случае возникновения конфликтов.

    План защиты информации представляет собой пакет текстуально-графических документов, поэтому наряду с приведенными компонентами этого пакета в него могут входить:

    Положение о коммерческой тайне, определяющее перечень сведений, составляющих коммерческую тайну, и порядок его определения, а также обязанности должностных лиц по защите коммерческой тайны;

    Положение о защите информации, регламентирующее все направления деятельности по реализации политики безопасности, а также ряд дополнительных инструкций, правил, положений, соответствующих специфике объекта защиты.

    Реализация плана защиты (управление системой защиты) предполагает разработку необходимых документов, заключение договоров с поставщиками, монтаж и настройку оборудования и т. д. После формирования системы защиты информации решается задача ее эффективного использования, т. е. управления безопасностью.

    Управление – процесс целенаправленного воздействия на объект, осуществляемый для организации его функционирования по заданной программе.

    Управление информационной безопасностью должно быть:

    Устойчивым к активным вмешательствам нарушителя;

    Непрерывным, обеспечивающим постоянное воздействие на процесс защиты;

    Скрытым, не позволяющим выявлять организацию управления защитой информации;

    Оперативным, обеспечивающим возможность своевременно и адекватно реагировать на действия злоумышленников и реализовывать управленческие решения к заданному сроку.

    Кроме того, решения по защите информации должны быть обоснованными с точки зрения всестороннего учета условий выполнения поставленной задачи, применения различных моделей, расчетных и информационных задач, экспертных систем, опыта и любых других данных, повышающих достоверность исходной информации и принимаемых решений.

    Показателем эффективности управления защитой информации является время цикла управления при заданном качестве принимаемых решений. В цикл управления входит сбор необходимой информации для оценки ситуации, принятие решения, формирование соответствующих команд и их исполнение. В качестве критерия эффективности может использоваться время реакции системы защиты информации на нарушение, которое не должно превышать времени устаревания информации исходя из ее ценности.

    Как показывает разработка реальных АСУ, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не является абсолютно надежным, а максимальный эффект достигается при объединении всех их в целостную систему защиты информации. Только оптимальное сочетание организационных, технических и программных мероприятий, а также постоянное внимание и контроль над поддержанием системы защиты в актуальном состоянии позволят с наибольшей эффективностью обеспечить решение постоянной задачи.

    Методологические основы обеспечения информационной безопасности являются достаточно общими рекомендациями, базирующимися на мировом опыте создания подобных систем. Задача каждого специалиста по защите информации – адаптировать абстрактные положения к своей конкретной предметной области (организации, банку), в которой всегда найдутся свои особенности и тонкости.

    Анализ отечественного и зарубежного опыта убедительно доказывает необходимость создания целостной системы информационной безопасности компании, увязывающей оперативные, оперативно-технические и организационные меры защиты. Причем система безопасности должна быть оптимальной с точки зрения соотношения затрат и ценности защищаемых ресурсов. Необходима гибкость и адаптация системы к быстро меняющимся факторам окружающей среды, организационной и социальной обстановке в учреждении. Достичь такого уровня безопасности невозможно без проведения анализа существующих угроз и возможных каналов утечки информации, а также без выработки политики информационной безопасности на предприятии. В итоге должен быть создан план защиты, реализующий принципы, заложенные в политике безопасности.

    Но существуют и другие сложности и «подводные камни», на которые обязательно нужно обратить внимание. Это проблемы, выявленные на практике и слабо поддающиеся формализации: проблемы не технического или технологического характера, которые так или иначе решаются, а проблемы социального и политического характера.

    Проблема 1. Отсутствие понимания у персонала и руководителей среднего и нижнего ранга необходимости проведения работ по повышению уровня информационной безопасности.

    На этой ступеньке управленческой лестницы, как правило, не видно стратегических задач, стоящих перед организацией. Вопросы безопасности при этом могут вызывать даже раздражение – они создают «ненужные» трудности.

    Часто приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

    Появление дополнительных ограничений для конечных пользователей и специалистов подразделений, затрудняющее их пользование автоматизированной системой организации;

    Необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.

    Указанная проблема является одной из основных. Все остальные вопросы так или иначе выступают в качестве ее следствий. Для ее преодоления важно решить следующие задачи: во-первых, повысить квалификацию персонала в области защиты информации путем проведения специальных собраний, семинаров; во-вторых, повысить уровень информированности персонала, в частности, о стратегических задачах, стоящих перед организацией.

    Проблема 2. Противостояние службы автоматизации и службы безопасности организаций.

    Эта проблема обусловлена родом деятельности и сферой влияния, а также ответственности этих структур внутри предприятия. Реализация системы защиты находится в руках технических специалистов, а ответственность за ее защищенность лежит на службе безопасности. Специалисты службы безопасности хотят во что бы то ни стало ограничить при помощи межсетевых экранов весь трафик. Но люди, работающие в отделах автоматизации, не желают решать дополнительные проблемы, связанные с обслуживанием специальных средств. Такие разногласия не лучшим образом сказываются на уровне защищенности всей организации.

    Решается эта проблема, как и большинство подобных, чисто управленческими методами. Важно, во-первых, иметь в организационной структуре фирмы механизм решения подобных споров. Например, обе службы могут иметь единое начальство, которое будет решать проблемы их взаимодействия. Во-вторых, технологическая и организационная документации должны четко и грамотно делить сферы влияния и ответственности подразделений.

    Проблема 3. Личные амбиции и взаимоотношения на уровне руководителей среднего и высшего звена.

    Взаимоотношения между руководителями могут быть разными. Иногда при проведении работ по исследованию информационной защищенности то или иное должностное лицо проявляет сверхзаинтересованность в результатах этих работ. Действительно, исследования – это достаточно сильный инструмент для решения их частных проблем и удовлетворения амбиций. Выводы и рекомендации, записанные в отчете, используются как план к дальнейшим действиям того или другого звена. Возможна также и «вольная» трактовка выводов отчета в сочетании с проблемой 5, описанной ниже. Такая ситуация является крайне нежелательным фактором, так как искажает смысл проведения работ и требует своевременного выявления и ликвидации на уровне высшего руководства предприятия. Наилучшим вариантом являются деловые взаимоотношения, когда во главу угла ставятся интересы организации, а не личные.

    Проблема 4. Низкий уровень исполнения намеченной программы действий по созданию системы защиты информации.

    Это достаточно банальная ситуация, когда стратегические цели и задачи теряются на уровне исполнения. Все может начинаться идеально. Генеральный директор принимает решение о необходимости совершенствования системы информационной безопасности. Нанимается независимая консалтинговая фирма, выполняющая аудит существующей системы защиты информации. По окончании формируется отчет, включающий все необходимые рекомендации по защите информации, доработке существующего документооборота в области информационной безопасности, по внедрению технических средств защиты информации и организационных мер, дальнейшей поддержке созданной системы. План защиты включает краткосрочные и долгосрочные мероприятия. Далее рекомендации передаются на исполнение в одно из подразделений. И здесь важно, чтобы они не утонули в болоте бюрократии, личных амбиций, нерасторопности персонала и десятке других причин. Исполнитель может быть плохо проинформирован, недостаточно компетентен или просто не заинтересован в выполнении работ. Важно, чтобы генеральный директор проконтролировал выполнение намеченного плана, дабы не потерять, во-первых, средства, вложенные в безопасность на начальном этапе, во-вторых, чтобы не понести потери в результате отсутствия этой безопасности.

    Проблема 5. Низкая квалификация специалистов по защите информации.

    Данный аспект можно не считать серьезным препятствием, если он не является преградой на пути создания системы защиты информации. Дело в том, что в план защиты, как правило, включается такое мероприятие, как повышение квалификации специалистов в области защиты информации в компании. Для специалистов других служб могут проводиться семинары по основам организации защиты информации. Нужно верно оценивать реальную квалификацию сотрудников, занимающихся исполнением плана защиты. Зачастую неверные выводы или неумение применять методы защиты на практике приводят к сложностям при реализации рекомендованных мероприятий. При намеке на такие обстоятельства самым правильным выходом будет повышение квалификации специалистов по защите информации в специально созданных для этого центрах обучения.

    Таким образом, практическая деятельность в области повышения экономической и информационной безопасности наглядно демонстрирует, что создание реально действующей системы защиты информации оказывается в сильной зависимости от своевременного решения перечисленных проблем. Однако накопленный опыт показывает, что все рассмотренные вопросы успешно решаются при условии плотной совместной работы представителей заказчика и компании-исполнителя. Главное – осознать важность проведения таких работ, своевременно выявить существующие угрозы и применить адекватные меры противодействия, которые, как правило, специфичны для каждого конкретного предприятия. Наличие желания и возможностей является достаточным условием для плодотворной работы, целью которой стало бы создание комплексной системы обеспечения безопасности организации.

    Предыдущая

    Проанализировав информационную безопасность предприятия можно сделать вывод, что в информационной безопасности уделяется недостаточное внимание следующим моментам:

    – нерегулярное резервное копирование базы данных предприятия;

    – не выполняется резервное копирование данных на персональных компьютерах сотрудников;

    – сообщения электронной почты хранятся на серверах почтовых служб в Интернете;

    – некоторые сотрудники имеют недостаточные навыки работы с автоматизированными системами;

    – сотрудники имеют доступ к персональным компьютерам своих коллег;

    – отсутствие антивирусных программ на некоторых рабочих станциях;

    – плохое разграничение прав доступа к сетевым ресурсам;

    – отсутствуют нормативные документы по безопасности.

    Все вышеперечисленное является очень важными недостатками обеспечения информационной безопасности предприятия.

    Анализ рисков

    Опасность угрозы определяется риском в случае ее успешной реализации. Риск - потенциально возможный ущерб. Допустимость риска означает, что ущерб в случае реализации угрозы не приведет к серьезным негативным последствиям для владельца информации. В организации существуют следующие риски:

    1. Нерегулярное резервное копирование базы данных предприятия;

    Последствия: потеря данных о работе предприятия.

    2. Не выполняется резервное копирование данных на персональных компьютерах сотрудников;

    Последствия: при отказах оборудования некоторые важные данные могут быть потеряны.

    3. Сообщения электронной почты хранятся на серверах почтовых служб в Интернете;

    4. Некоторые сотрудники имеют недостаточные навыки работы с автоматизированными системами;

    Последствия: может привести к появлению в системе неверных данных.

    5. Сотрудники имеют доступ к персональным компьютерам своих коллег;

    6. Отсутствие антивирусных программ на некоторых рабочих станциях;

    Последствия: появление в системе вирусных программ, вредоносного программного обеспечения

    7. Плохое разграничение прав доступа к сетевым ресурсам;

    Последствия: по неосторожности может привести к потере данных.

    8. Отсутствуют нормативные документы по безопасности.

    Цель и задачи системы информационной безопасности

    Основной целью системы безопасности предприятия является предотвращение ущерба ее деятельности за счет хищения материально-технических средств и документации; уничтожения имущества и ценностей; разглашения, утечки и несанкционированного доступа к источникам конфиденциальной информации; нарушения работы технических средств обеспечения производственной деятельности, включая и средства информатизации, а также предотвращение ущерба персоналу предприятия.

    Целями системы безопасности являются:

    · защита прав предприятия, его структурных подразделений и сотрудников;

    · сохранение и эффективное использование финансовых, материальных и информационных ресурсов;

    · повышение имиджа и роста прибыли предприятия за счет обеспечения качества услуг и безопасности клиентов.

    Задачи системы безопасности предприятия:

    · своевременное выявление и устранение угроз персоналу и ресурсам; причин и условий, способствующих нанесению финансового, материального и морального ущерба интересам предприятия, нарушения его нормального функционирования и развития;

    · отнесение информации к категории ограниченного доступа, а других ресурсов - к различным уровням уязвимости (опасности) и подлежащих сохранению;

    · создание механизма и условий оперативного реагирования на угрозы безопасности и проявления негативных тенденций в функционировании предприятия;

    · эффективное пресечение посягательств на ресурсы и угроз персоналу на основе комплексного подхода к безопасности;

    Организация и функционирование системы безопасности должны осуществляться на основе следующих принципов:

    Комплексность. Предполагает обеспечение безопасности персонала, материальных и финансовых ресурсов, информации от всех возможных угроз всеми доступными законными средствами и методами, в течение всего жизненного цикла и во всех режимах функционирования, а также способностью системы к развитию и совершенствованию в процессе функционирования.

    Надежность. Различные зоны безопасности должны быть одинаково надежными с точки зрения вероятности реализации угрозы.

    Своевременность. Способность системы носить упреждающий характер на основе анализа и прогнозирования угроз безопасности и разработке эффективных мер противодействия им.

    Непрерывность. Отсутствие перерывов в действии систем безопасности, вызванных ремонтом, заменой, профилактикой и т.д.

    Законность. Разработка систем безопасности на основе существующего законодательства.

    Разумная достаточность. Установление приемлемого уровня безопасности, при котором вероятность и размер возможного ущерба будут сочетаться с предельно допустимыми затратами на разработку и функционирование системы безопасности.

    Централизация управления. Самостоятельное функционирование системы безопасности по единым организационным, функциональным и методологическим принципам.

    Компетентность. Система безопасности должна создаваться и управляться лицами, имеющими профессиональную подготовку, достаточную для корректной оценки обстановки и адекватного принятия решения, в том числе в условиях повышенного риска.

    Похожие статьи
     
    Категории
    Видеоматериалы
    Популярное
    Новое