ЮУрГУ

Информационная безопасность в бизнесе

Содержание

Введение

Информация, которую необходимо защищать

От кого следует оберегать информацию?

Защита информации

Заключение

Литература

Введение

На сегодняшний день проблема обеспечения безопасности является одной из самых актуальных в бизнесе. Однако зачастую, под обеспечением безопасности понимается только физическая охрана персонала и материальных ценностей. Но таким способом можно противостоять только криминалу. Между тем, вступая в рыночные отношения, любая организация сталкивается с острой конкурентной борьбой, существующей на любом цивилизованном рынке. И эта борьба таит в себе немало опасностей для предприятия. Если компания достигла каких-либо успехов в своём бизнесе, можно не сомневаться в том, что она вызывает немалый интерес со стороны компаний-конкурентов. Любая информация о работе фирмы будет привлекать повышенное внимание с их стороны. Поэтому защита информации становится важнейшей частью современной системы безопасности бизнеса.

“Кто владеет информацией, тот владеет миром”. Эта истина становится особенно актуальной на пороге XXI века, когда на смену постиндустриальной эпохе приходит информационная эпоха. В новом веке вопрос информационной безопасности бизнеса становится ещё более значимым.

Цель данной работы - рассмотреть сущность информационной безопасности в бизнесе.

В соответствии с указанной целью были поставлены следующие задачи:

- определить виды и источники информации, которые следует защищать;

- выявить объекты, для которых составляет интерес чужая информация;

- раскрыть методы защиты информации.

Информация, которую необходимо защищать

Для того чтобы разобраться в проблеме защиты информации ответим на три вопроса:

- Какую информацию нам необходимо защищать?

- От кого и чего нам необходимо её защищать?

- Каким образом нам необходимо осуществлять защиту информации?

Итак, какую же информацию нам необходимо защищать? От того, насколько правильно мы определим ответ на этот вопрос, главным образом зависит эффективность нашей системы защиты информации. В первую очередь необходимо защищать информацию: Горохов П. К. Информационная безопасность. - М.: Радио и связь, 2005.

- о тех конкурентных преимуществах, которыми владеет компании

- о технологиях её работы

- о движении денежных и материальных потоков компании

- о стратегических планах компании

- о новых продуктах.

В зависимости от характера деятельности компании список объектов информационной защиты может быть расширен. Так, большинству компаний есть смысл хранить в тайне от конкурентов также информацию: Горохов П. К. Информационная безопасность. - М.: Радио и связь, .2005

- о своих клиентах,

- о персонале компании.

Важно понять, что предприятие должно оберегать далеко не всю информацию, которой оно владеет, а лишь ту, использование которой третьими лицами может нанести ущерб деятельности компании. Напротив, существует и такая информация, которую компании просто необходимо разглашать. Так, нет никакого смысла оберегать от конкурентов информацию о наших ценах. А вот информацию о ценах и условиях, на которых мы приобретаем продукцию, сырьё и материалы необходимо хранить в тайне от конкурентов. Излишняя закрытость компании может стать причиной негативного отношения к ней со стороны потенциальных партнёров, клиентов и инвесторов. Особенно это касается фирм, планирующих проводить размещение своих ценных бумаг. Для того чтобы этого не произошло, компания должна изначально определить, какую информацию, в каком объёме и с какой регулярностью ей следует раскрывать. При этом можно ориентироваться на западные стандарты раскрытия информации. Эти же стандарты установила и Федеральная комиссия по рынку ценных бумаг для компаний, осуществляющих размещение ценных бумаг. К информации, обязательной для раскрытия, относятся: Современный бизнес: Этика, культура, безопасность. - М.: ГПНТБ, 2007.

- ежегодная бухгалтерская отчётность (баланс, отчёт о прибылях и убытках, отчёт о движении денежных средств)

- данные об акционерах

- данные о существенных операциях с акционерным капиталом.

Что же касается той информации, которая не подлежит разглашению, то организация должна классифицировать её по степени секретности и выработать нормы информационной безопасности для каждой категории.

От кого следует оберегать информацию?

В своей деятельности предприятие сталкивается с различными организациями, составляющими её окружение. Это: Расторгуев С. П. Информационная война. - М.: Радио и связь, 2007. компании-конкуренты, клиенты, партнёры, налоговые органы, регулирующие органы.

Как уже отмечалось выше, особый интерес к различного рода информации проявляют конкуренты. И именно их действия таят в себе наибольшую опасность для компании. Ведь доля рынка, которую занимает компания, всегда является лакомым куском для конкурентов, и ущерб от утечки разного рода информации, например, о характеристиках готовящегося к выпуску продукта, может оказаться невосполнимым.

Что касается партнёров, то их интерес по отношению к информации о вашей компании, может быть вызван, прежде всего, соображениями собственной безопасности. Поэтому необходимо создать наиболее благоприятные условия для получения ими информации о компании, не выходящей за рамки необходимой для плодотворного сотрудничества. Здесь необходимо чётко определить, какая это информация, с тем, чтобы своевременно и в полном объёме предоставлять её и ограничить доступ к иной информации.

Информация, которую хотят получить клиенты, носит совершенно определённый характер. Это: Информационное общество: Информационные войны. Информационное управление. Информационная безопасность / Под ред. М. А. Вуса. - М.: Изд-во СПб. ун-та, 2006.общие сведения о компании и предлагаемой ею продукции, данные о надёжности компании, информация о ценах.

В отношении клиентов важно обеспечить максимальную доступность такой информации. Говоря о защите информации, следует понимать, что нежелательным был бы “вынос сора из избы”. Впрочем, то же самое касается и отношений с партнёрами. Поэтому особенно важно чётко определить, какая внутрифирменная информация не может подлежать разглашению.

Отношения компании с налоговыми и регулирующими органами носят специфический характер. Эти органы предъявляют свои особые требования к предоставлению им информации. В отношениях с ними важно полностью соблюдать предъявляемые ими требования, предоставлять информацию своевременно и в требуемом объёме, но не превышая этот объём. В данном случае как недостаток, так и избыток предоставляемой информации может привести к самым нежелательным последствиям.

Следующим важным вопросом является понимание того, от чего следует оберегать информацию. Нежелательными действиями, которые могут быть осуществлены с информацией, составляющей тайну организации, являются: Информационное общество: Информационные войны. Информационное управление. Информационная безопасность / Под ред. М. А. Вуса. - М.: Изд-во СПб. ун-та, 2006.уничтожение важной информации, искажение открытой информации, овладение секретной информацией, копирование конфиденциальной электронной информации, закрытие или ограничение доступа к информации, необходимой компании, несанкционированный доступ к информации с ограниченным доступом.

Прежде, чем рассмотреть меры по защите информации, остановимся на том, какие средства и методы могут быть использованы для получения необходимой информации о компании. Существует две большие группы средств и методов экономической разведки или промышленного шпионажа: Информационная безопасность: Учеб. для вузов по гуманитар. и социально- экон. специальностям. - М.: Междунар. отношения: Летописец, 2007.

- методы сбора информации с применением специальной техники

- методы фрагментарного сбора информации.

К промышленному шпионажу, связанному с применением специальной техники, относятся: Информационная безопасность: Учеб. для вузов по гуманитар. и социально- экон. специальностям. - М.: Междунар. отношения: Летописец, 2007.

- прослушивание телефонных разговоров

- прослушивание помещений

- телевизионное наблюдение

- слежка

- вторжение в компьютерную сеть

- считывание информации с мониторов.

Все эти методы весьма трудоёмки и дорогостоящи, и могут применяться только крупными конкурентами и силовыми структурами. Осуществление таких действий под силу лишь профессионалом, что делает подобные действия особенно опасными.

К методам фрагментарного сбора информации относятся: Информационная безопасность: Учеб. для вузов по гуманитар. и социально- экон. специальностям. - М.: Междунар. отношения: Летописец, 2007.

- Телефонная разведка. Многие сведения о фирме можно получить по телефону, позвонив под каким-либо благовидным предлогом, например для установления деловых контактов или проведения статистического опроса. Если персонал компании не достаточно осведомлён о том, какую информацию не следует разглашать, то вы рискуете допустить утечку важной информации, сами того не подозревая.

- Лжепереговоры. Пользуясь этим очень распространённым методом, ваши конкуренты могут представиться, например, вашими потенциальными клиентами или партнёрами и во время предварительных переговоров получить множество интересующей их информации в случае, если вы не подвергнете их предварительной проверке и будете излишне открыты по отношению к ним. Особенно благодатной почвой для получения такого рода информации являются различные выставки.

- Переманивание сотрудников. Приглашение специалистов компании-конкурента на работу порой позволяет очень многое узнать о его деятельности. Даже, если человек из соображений порядочности не будет выдавать информацию, являвшуюся тайной на его предыдущем месте работы, по его знаниям, привычкам, поведению можно сделать многочисленные выводы о работе компании-конкурента. Некоторые компании практикуют и “лжепереманивание” сотрудников, завлекая их высоким уровнем зарплаты. На многочисленных собеседованиях и интервью они могут узнать многое о его компании, при этом новое место работы он так и не получит.

- Внедрение в штат конкурента собственных сотрудников. Этот метод промышленного шпионажа наиболее опасен, поскольку, внедрив своего человека в чужую команду, можно узнать о компании любую информацию, находящуюся в компетенции этого сотрудника. А если компания не предпринимает мер по разграничению доступа к внутренней информации, то рядовому сотруднику может быть известно о компании практически всё.

Таким образом, мы подошли к самому важному вопросу обеспечения информационной безопасности бизнеса - как защитить информацию?

Защита информации

В целом обеспечение информационной безопасности бизнеса сводится к решению двух важнейших задач: Степанов Е. А., Корнеев И. К. Информационная безопасность и защита информации. - М.: ИНФРА-М, 2008.

- Обеспечение целостности и сохранности информации.

- Защита информации от несанкционированного доступа.

Рассмотрим меры по обеспечению целостности и сохранности информации. Как правило, для хранения информации используются:

- бумажные носители

- электронные носители.

На бумажных носителях, как правило, хранятся документы. Количество копий документов ограничено, иногда они могут существовать в единственном экземпляре. Тогда их потеря сделает невозможным восстановление. Чтобы этого не произошло, необходимо вести строгий учёт всех документов, хранить их в соответствующих условиях и обеспечивать контроль доступа к ним. В тех случаях, когда это возможно, следует иметь копии информации и хранить их в специально оборудованных местах. При этом важно, чтобы оригиналы и копии хранились в независимых друг от друга помещениях. Причём желательно по возможности работать с копиями, а оригиналы хранить в секретных хранилищах. Это может быть особенно важно при непредвиденных обстоятельствах, таких как пожар или кража.

В настоящее время наблюдается явная тенденция к расширению использования электронных носителей. Во многих компаниях весь документооборот осуществляется в электронном виде. Неотъемлемой частью информационной структуры компаний являются различные электронные базы данных. На электронных носителях хранится также аудио- и видеоинформация. В последние годы даже платежи проходят в электронном виде. И в то же время именно электронная информация является наиболее уязвимой в плане уничтожения и порчи. Дело в том, что электронные носители не слишком долговечны, а неправильное обращение с техникой может привести к случайному уничтожению информации. Другой серьёзнейшей опасностью являются компьютерные вирусы, получившие громадное распространение в последнее время. В качестве мер, используемых для защиты электронной информации от повреждения и уничтожения, обычно используют: Степанов Е. А., Корнеев И. К. Информационная безопасность и защита информации. - М.: ИНФРА-М, 2008.

- Резервное копирование информации. Осуществляется ежедневно и обеспечивает возможность восстановления информации на глубину не более суток. Ежедневные копии, как правило, хранятся отдельно от компьютерной сети.

- Наличие резервных серверов в локальной сети. Позволяет при отказе основного сервера не прекращать работу.

- Использование источников бесперебойного питания. Позволяет защитить компьютерную сеть компании от потерь информации, связанных с неполадками в электрической сети.

- Создание архивов информации. Вся наиболее важная информация архивируется, записывается на съемные носители и хранится в специально оборудованном помещении. Причём для повышения надежности следует делать несколько копий и хранить их независимо друг от друга. При выборе носителя следует особое внимание уделять его надёжности и долговечности.

- Антивирусная защита. Для эффективной защиты компьютерной сети от вирусной атаки следует контролировать все файлы, приходящие извне. Для этого рекомендуется отключать дисководы на рабочих станциях локальной сети, а все внешние файлы записывать только через сетевого администратора после соответствующей антивирусной проверки. Рекомендуется запретить использование дискет в организации. Наибольшую вирусную опасность таит в себе использование Internet. Необходимо так построить систему антивирусной защиты, чтобы все файлы приходящие через Internet перед использованием проходили проверку. Необходимо также проводить ежедневную профилактическую проверку перед резервным копированием.

- Ограничение доступа. Во избежание случайного повреждения или удаления необходимой информации или программного обеспечения следует ограничивать доступ каждого пользователя локальной сети компании только к необходимой ему информации. В тех случаях, когда информацию следует защищать от самого пользователя, следует применять доступ “только для чтения”.

Теперь рассмотрим меры по защите информации от несанкционированного доступа.

Наиболее важным средством борьбы с утечкой информации является работа с персоналом. Самым важным этапом является отбор персонала. При приёме на работу в компанию следует уделять внимание не только деловым и профессиональным качествам кандидатов, а в первую очередь их человеческим качествам - порядочности, честности, лояльности. После приёма на работу необходимо время от времени проводить негласный контроль деятельности сотрудников с целью предотвратить возможные утечки информации. Необходимо, чтобы руководство также всегда было в курсе проблем своих подчинённых, дабы избежать таких ситуаций, когда поиск дополнительного заработка или излишнее честолюбие толкают человека на продажу секретов предприятия.

Однако все эти меры не принесут никакого результата, если на предприятии не будет выработано чёткой системы разграничения доступа к информации. В зависимости от существующей на предприятии иерархии, каждый сотрудник должен иметь доступ к строго определённому количеству информации. Помимо этого необходимо иметь внутреннее положение о служебной информации и коммерческой тайне и чётко определять степень секретности каждого документа.

Наиболее эффективным способом защиты информации от нежелательного доступа является дробление информации. Этот принцип заключается в том, что любой из сотрудников должен владеть только информацией, касающейся своего участка работы. Таким образом, любая информация дробится между сотрудниками, и никакая секретная информация не может быть полностью доступна одному человеку. В результате он ни сознательно, ни бессознательно не сможет передать кому-либо всю тайну.

Для защиты от промышленного шпионажа с применением технических средств необходимо применять специальные средства. В настоящее время на каждый “жучок” существует “антижучок”. Важно регулярно осуществлять соответствующие проверки, постоянно контролировать уязвимые места. Значительно снизить возможность применения против вас технических средств шпионажа можно, если у вас отлажена система контроля доступа в помещения. Учёт всех перемещений сотрудников и гостей внутри компании и внутреннее и наружное телевизионное наблюдение полностью не обезопасят вас, но в некоторых случаях помогут выявить и предотвратить действия против вас. И, конечно же, главным объектом защиты от несанкционированного доступа является электронная информация. Основными методами её защиты являются: Степанов Е. А., Корнеев И. К. Информационная безопасность и защита информации. - М.: ИНФРА-М, 2008.

- Разграничение доступа. Как уже отмечалось выше, каждый сотрудник должен работать в локальной сети только с той информацией, которая ему необходима для выполнения своих должностных обязанностей. Особенно это актуально в организациях, использующих крупные интегрированные автоматизированные системы. Пренебрежение разделением доступа или неправильное его применение может привести к тому, что рядовые сотрудники будут иметь практически всю информацию о деятельности компании. Также необходимо фиксировать и периодически отслеживать работу пользователей в сети.

- Локализация внутренней компьютерной сети. Для предотвращения утечки информации следует устанавливать в сеть компьютеры, не имеющие дисководов и параллельных портов. Это сделает невозможным скачивание информации с компьютеров фирмы.

- Исключение наиболее важных компьютеров от локальной сети. Для уменьшения вероятности несанкционированного доступа рекомендуется объединять в локальную сеть только компьютеры, завязанные на единый технологический процесс. Правда, как правило, таких компьютеров большинство. Однако руководителям компании желательно иметь собственные независимые компьютеры, доступ к которым имеют только они сами.

- Локализация работы с Internet. Всемирная компьютерная сеть таит в себе немало опасностей не только с точки зрения вирусных атак, но и с точки зрения взлома компьютерных сетей предприятий. Чтобы этого не произошло, необходимо разделить внутреннюю сеть предприятия и Internet. На небольших фирмах возможно выделение отдельного локального компьютера для работы во всемирной сети. Однако на крупном предприятии, где большинство сотрудников пользуются Internet, это не всегда возможно. В таком случае на рабочих станциях следует устанавливать режим, при котором перед входом в Internet компьютер отключается от локальной сети.

- Шифрование информации. Этот метод применяется в основном при передаче информации по модему через телефонные линии, поскольку существует вероятность перехвата такой информации третьими лицами. В настоящее время существуют сертифицированные криптографические программы, и их необходимо использовать в том случае, если вы используете какие-либо постоянные каналы передачи электронной информации.

- Электронно-цифровая подпись. Обеспечивает достоверность передаваемой по модему информации. Служит защитой от намеренного искажения передаваемой информации. В настоящее время существуют сертифицированные программы электронно-цифровой подписи с различной степенью защиты. Особое значение применение таких средств имеет при использовании электронных платежей и передаче сообщений повышенной секретности.

Заключение

Все описанные меры не должны применяться отдельно друг от друга. Для того чтобы обеспечить эффективную защиту информации, необходимо выработать систему информационной безопасности предприятия. Только предпринятые в комплексе эти меры смогут надёжно обезопасить ваш бизнес от нежелательных потерь. Каждая организация имеет свою специфику и соответственно должна иметь свою структуру системы информационной защиты. Правильность её выбора зависит от профессионализма сотрудников, занимающихся этой проблемой, и руководителей компании. Важнейшим компонентом такой системы должен стать регулярный анализ “слабых мест” и принятия необходимых мер для предотвращения возможных неприятностей.

В заключение хочу отметить, что, создавая систему информационной безопасности, важно, с одной стороны, не скупиться, поскольку потери могут оказаться неизмеримо больше, а с другой стороны, не переборщить, чтобы не выбрасывать деньги на ненужные псевдозащитные мероприятия и не затруднять прохождение информационных потоков. Безопасности никогда не бывает много, но никогда нельзя забывать, что главная цель системы безопасности - обеспечение надёжного и бесперебойного функционирования организации.

Литература

1. Горохов П. К. Информационная безопасность. - М.: Радио и связь, 2002.

2. Информационная безопасность: Учеб. для вузов по гуманитар. и социально- экон. специальностям. - М.: Междунар. отношения: Летописец, 2007.

3. Информационное общество: Информационные войны. Информационное управление. Информационная безопасность / Под ред. М. А. Вуса. - М.: Изд-во СПб. ун-та, 2006.

4. Расторгуев С. П. Информационная война. - М.: Радио и связь, 2005.

5. Современный бизнес: Этика, культура, безопасность. - М.: ГПНТБ, 2004.

6. Степанов Е. А., Корнеев И. К. Информационная безопасность и защита информации. - М.: ИНФРА-М, 2008.