Информация в системе менеджмента

     Термин "информационная безопасность" имеет  различные определения, общего или частного свойства, однако все они связывают безопасность именно с ее защитой в компьютерных информационных системах.

     В Российском законодательстве на национальном уровне политика информационной безопасности регулируется, прежде всего, Конституцией РФ и рядом федеральных законов, основные из которых следующие: "О безопасности" от 5.03.1992, "О государственной тайне" от 21.07.1993. с изменениями и дополнениями от 6.10.1997. и др.

     Постановлением  Правительства РФ установлен перечень сведений, которые не могут быть отнесены к коммерческой тайне. К ним относятся:

     -учредительные  документы (решение о создании  предприятия, контракт учредителей,  устав);

     -документы,  дающие право заниматься предпринимательской  деятельностью (регистрационное  удостоверение, лицензии, патенты);

     -сведения  по установленным формам отчетности  о финансово-хозяйственной деятельности  и иные данные, необходимые для  проверки правильности исчисления  и уплаты налогов и других  обязательных платежей в государственную  бюджетную систему);

     -документы  о платежеспособности;

     -сведения  о численности, составе работающих, их заработной плате и условиях  труда, а также о наличии  свободных рабочих мест;

     - документы о выплате налогов  и обязательных платежей;

     -сведения  о загрязнении окружающей среды,  нарушениях антимонопольного законодательства, несоблюдения безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а также других нарушениях законодательства и размерах причиненного при этом ущерба;

     -сведения  об участии должностных лиц  предприятия в кооперативах, малых предприятиях, объединениях и других организациях, занимающихся предпринимательской деятельностью.

     В УК РФ введено понятие "компьютерное преступление", которое предусматривает  неправомерный доступ к компьютерной информации, создание и использование вредоносных программ, нарушение правил эксплуатации ЭВМ или их систем.

     Вероятными  угрозами информационной базе предприятия  представляются следующие:

     - несанкционированный доступ;

     - перехват информации в каналах  связи;

     - кража документов;

     - уничтожение (случайное / сознательное) информации;

     - ошибки в работе персонала;

     - разрушение информации вирусами;

     - ошибки в программах обработки  данных;

     - отключение электропитания;

     - фальсификация сообщений;

     - несанкционированная модификация  информации.

     Система защиты информации представляет собой  комплекс организационных, технических, технологических и иных средств, методов и мер, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее утечке или утрате.

     Система защиты информации должна удовлетворять следующим требованиям:

     - на стадии проектирования должна  быть создана система менеджмента  и корректировки;

     - объединить внутри себя законодательные,  технические и организационные  способы защиты;

     - расходы на защиту должны быть меньше, чем сумма возможного убытков от утечки информации;

     - не должна создавать дополнительные  трудности в менеджменте - обеспечивать  защиту от всех реальных угроз.

     С точки зрения защищенности всю управленческую информацию делят на семь классов:

     - наличие развитой службы безопасности;

     - наличие полного набора механизмов  защиты на нескольких ступенях;

     - броня при большом количестве  субъектов и объектов, имеющих  доступ к информации;

     - броня электронной передачи данных;

     - броня распределенных информационных сетей;

     - броня локальных информационных  сетей;

     - минимальные требования к защищенности.

     Систему менеджмента можно считать защищенной, если все операции выполняются в  соответствии со строго определенными  правилами, обеспечивающими непосредственную защиту объектов, ресурсов и операций.

     Угроза  раскрытия содержится в доступности  информации конкурентам, что может  привести к экономическим потерям  организации.

     Потеря  целостности содержится в нарушении  части информации, что приводит к  потере полезности всего массива данных.

     Безопасность  информации обеспечивается комплексом специальных мероприятий по правилам использования, доступности со стороны  персонала, процедур компьютерной обработки.

     Мерами  защиты могут стать:

     - проверка подлинности информации;

     - контроль доступа в помещения;

     - разделение полномочий;

     - шифрование цифровой подписи  на сообщениях;

     - использование биометрических характеристик  для контроля;

     - применение электронных карт;

     - использование антивирусной защиты;

     - контроль целостности информации.

     Собственники  соответствующей информации определяют необходимую степень ее защищенности и тип системы, способы и средства защиты, исходя из ценности информации, размера убытков от ее утраты или  утечки и стоимости защитного  механизма.

     В некрупных организациях с небольшим объемом информации, подлежащей защите, наиболее целесообразны и эффективны простейшие методы ее защиты (организация охраны здания, назначение и обучение служащего, работающего с этими документами, введение обязательств для сотрудников о неразглашении ценных сведений и т.п.) [5, с. 290].

     В крупных организациях со сложной  структурой и значительными объемами информации, подлежащей защите, формируются  комплексные системы защиты информации, характеризующиеся многоуровневым построением и иерархическим доступом к информации. 

     2.3. Политика безопасности 

     В реальной жизни термин "политика безопасности" трактуется гораздо  шире, чем в "Оранжевой книге". Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

     С практической точки зрения политику безопасности целесообразно разделить  на три уровня. К верхнему уровню можно отнести решения, затрагивающие  организацию в целом. Они носят  весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

     - формирование или пересмотр комплексной  программы обеспечения информационной  безопасности, определение ответственных  за продвижение программы;

     - формулировка целей, которые преследует  организация в области информационной  безопасности, определение общих  направлений в достижении этих  целей; 

     - обеспечение базы для соблюдения  законов и правил;

     - формулировка управленческих решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

     Для политики уровня руководства организации  цели в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение случаев потерь, повреждений или искажений данных. Для организации, занимающейся продажами, вероятно, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь заботится о защите от несанкционированного доступа - конфиденциальности.

     На  верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

     Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров. Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

     В политике должны быть определены обязанности  должностных лиц по выработке  программы безопасности и по проведению ее в жизнь. В этом смысле политика является основой подотчетности персонала.

     Политика  верхнего уровня имеет дело с тремя  аспектами законопослушности и  исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень послушания персонала, а для этого нужно выработать систему поощрений и наказаний. Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

     К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных  систем, эксплуатируемых организацией. Примеры таких вопросов - отношение к передовым, но еще недостаточно проверенным технологиям: доступ к Internet (как сочетать свободу получения информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

     Политика  обеспечения информационной безопасности на среднем уровне должна освещать следующие темы:

     1. Область применения. Следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли организаций - субподрядчиков политика отношения к неофициальному программному обеспечению? Затрагивает ли она работников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

     2. Позиция организации. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного обеспечения и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще, стиль документов по политике безопасности, как и перечень этих документов, может быть существенно различным для разных организаций.

     3. Роли и обязанности. В "политический" документ необходимо включить информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь. Например, если для использования работником неофициального программного обеспечения нужно официальное разрешение, то должно быть известно, у кого и как его следует получать. Если должны проверяться дискеты, принесенные с других компьютеров, необходимо описать процедуру проверки. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.