Информационная составляющая экономической безопасности хозяйствующих субъектов и ее значение для обеспечения устойчивого развития национальной экономики

Проблема поиска путей устойчивого развития в последнее время приобретает все более актуальный характер как в глобальном общемировом аспекте, так и на национальном, и региональном уровнях. Подписав разработанный на проходившей в 1992 году в Рио-де-Женейро Конференции ООН по окружающей среде план основных действий в целях всемирного устойчивого развития и пять принципов устойчивого развития, Россия продемонстрировала миру, что разделяет их основные идеи.

Необходимым условием перехода к модели устойчивого развития является сбалансированное решение задач отечественного производственного комплекса. В числе последних важное место занимает проблема обеспечения устойчивого развития российских предприятий.

Под "устойчивостью" в экономической литературе понимается "способность системы выполнять работу против действия внешних сил по сохранению, воспроизводству и развитию самой себя при изменении внешних условий" Мартынов А. С., Артюхов В. В., Виноградов В. Г. Устойчивое развитие и приоритеты природоохранного инвестирования в регионах России. М.: Practical Scince, 2000. С. 2.. "Устойчивость предприятия" в экономическом словаре А. Б. Борисова трактуется как "финансовое состояние предприятия, хозяйственная деятельность которого обеспечивает в нормальных условиях выполнение всех его обязательств перед работниками, другими организациями, государством, благодаря достаточным доходам и соответствующим расходам" Борисов А. Б. Большой экономический словарь. М.: Книжный мир, 2001. С. 631.. Развитие, как известно из философии, представляет собой особый тип изменения, выражающийся в обновлении системы, ее структурного и функционального содержания. В результате развития возникает новое качественное состояние объекта, его структурно-функциональной сущности. Представление о развитии является общей концепцией того, как использовать и усилить сильные стороны, уменьшить и преодолеть слабые Кондратьев К. Я., Романюк А. П. Устойчивое развитие: концептуальные аспекты // Известия русского географического общества. 1996. Т. 128. Вып. 6. С. 12..

Резюмируя приведенные дефиниции, можно сделать вывод, что под устойчивым развитием предприятия следует понимать постоянное совершенствование его структурного и функционального содержания, позволяющее достигать такого экономического состояния, при котором в условиях меняющейся внешней среды удается гарантированно обеспечивать выполнение обязательств перед работниками, внешними котрагентами и государством с учетом реализации в полном объеме интересов собственника предприятия.

Понятно, что в условиях рыночной экономики далеко не все предприятия могут выйти на траекторию устойчивого развития и в таком случае в полном соответствии с законами рынка им, рано или поздно, придется пасть под натиском конкурентов. Это нормальное явление. Вместе с тем, столь же очевидно, что только обеспечив накопление определенной критической массы отечественных предприятий (включая все системообразующие), реализовавших переход к модели устойчивого развития, можно вести речь о возможности реализации такой модели применительно к национальной экономике в целом.

Однако, на пути достижения обозначенной цели существует большое количество препятствий и ограничений самого разного свойства. Исходя из целей данной статьи выделим лишь одно из таких обстоятельств. Оно заключается в том, что в реалиях современной российской действительности хозяйствующие субъекты вынуждены выстраивать стратегию своего выживания и развития в рыночной среде, характеризуемой, с одной стороны, широким распространением нецивилизованных форм конкуренции и значительной криминализацией экономических отношений, а с другой - крайне низкой эффективностью государственного инфорсмента прав собственности и контрактных обязательств. Все вышеперечисленное обусловливает возрастающее внимание со стороны бизнеса к проблемам обеспечения собственной экономической безопасности, которые выдвигаются на приоритетные позиции не только в кризисные периоды, но и при работе в режиме устойчивого функционирования экономики.

При этом все более очевидной становится зависимость общего уровня экономической безопасности предприятия от ее информационной составляющей. Практика показывает, что любая целенаправленная недружественная акция, направленная против интересов хозяйствующего субъекта, начинается со сбора информации: даже мелкие хищения обычно предваряет изучение лицом с преступными замыслами возможности противоправных действий, и уж конечно без соответствующего информационного обеспечения не мыслимы такие деструктивные проявления как увод активов предприятия или рейдерские захваты.

Не случайно вопросы информационной безопасности уже давно входят в число главных приоритетов практически всех крупных российских и мировых компаний, а в последние годы все большее число руководителей среднего и мелкого отечественного бизнеса начинают осознавать реальную опасность рисков, связанных с инсайдерской информацией, системами ее обрабатывающими и сотрудниками, участвующими в этом процессе.

Ухудшение таких параметров информации (информационных ресурсов), как конфиденциальность, целостность, доступность, достоверность и др., может привести к весьма негативным последствиям: сбоям в функционировании систем управления технологическими процессами и других критических систем; к разглашению сведений, составляющих коммерческую тайну и другие виды тайн; к нарушению достоверности финансовой документации; к несанкционированному доступу к персональным данным физических лиц и т. д. Результатом перечисленного могут стать: разрыв (или ухудшение) деловых отношений с партнерами; срыв переговоров, потеря выгодных контрактов; невыполнение договорных обязательств; необходимость проведения дополнительных рыночных исследований; отказ от решений, ставших неэффективными из-за огласки информации, и, как следствие, финансовые потери, связанные с новыми разработками; потеря возможности запатентовать результат научно-технической деятельности или продать лицензию; снижение цен или объемов реализации; ущерб авторитету или деловой репутации фирмы; более жесткие условия получения кредитов; трудности в снабжении и приобретении оборудования и т. д. В определенных ситуациях пренебрежение вопросами защиты информации может, как уже отмечалось, привести и к полной потере бизнеса.

Надежно гарантировать бизнес от перечисленных негативных явлений можно только на основе формирования эффективной системы обеспечения информационной безопасности предприятия.

Действующее российское законодательство содержит базовые правовые нормы, позволяющие реализовать корпоративные системы защиты информации.

Так, Федеральным законом от 27 июля 2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" установлено, что обладатель информации, наряду с прочим, если иное не предусмотрено федеральными законами, вправе разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа, а также защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами. Ст. 16 указанного закона определено, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации Об информации, информационных технологиях и о защите информации: Федеральный закон от 27 июля 2006 № 149-ФЗ // Собрание законодательства РФ. 2006. № 31 (1 ч.). Ст. 3448..

Особо следует отметить, что хозяйствующий субъект - обладатель информации - вправе применять меры по защите информации, составляющей коммерческую тайну, под которой в соответствии с действующим законодательством понимается научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны О коммерческой тайне: Федеральный закон от 29 июля 2004 № 98-ФЗ (в ред. от 18.12.2006) // Собрание законодательства РФ. 2004. № 32. Ст. 3283. С 1 января 2008 г., после вступления в силу части IV Гражданского кодекса РФ, информация, составляющая коммерческую тайну (секрет производства), определена как "сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны"..

Таким образом, современная корпоративная система информационной безопасности призвана обеспечивать защиту конфиденциальной информации от несанкционированного доступа, предотвращать злонамеренные или случайные изменения (контролировать целостность) и предоставлять требуемый уровень доступности. Речь идет именно о системе, а не об отдельных, пусть даже очень эффективных в своей области, решениях.

Одним из важнейших видов деятельности по обеспечению информационной безопасности предприятия является выявление, оценка и предотвращение угроз информационным системам и информационным ресурсам. Указанные угрозы можно условно разделить на четыре основные группы:

Программные - внедрение "вирусов", аппаратных и программных закладок; уничтожение и модификация данных в информационных системах;

Технические, в т. ч. радиоэлектронные, - перехват информации в линиях связи; радиоэлектронное подавление сигнала в линиях связи и системах управления;

Физические - уничтожение средств обработки и носителей информации;

Режимные - нарушение регламентов информационного обмена; незаконные сбор и использование информации; несанкционированный доступ к информационным ресурсам; незаконное копирование данных в информационных системах; хищение носителей, а также аппаратных или программных парольных ключей; дезинформация, сокрытие или искажение информации; хищение информации из баз данных.

Вопрос анализа угроз и рисков является определяющим при построении эффективной системы защиты информации. Однако, по оценкам специалистов, лишь не более 7 % компаний используют собственные ("углубленные") методики анализа рисков, которые позволяют выполнять количественный анализ и оптимизацию подсистемы информационной безопасности Башлыков М. Актуальные вопросы информационной безопасности // Финансовая газета (Региональный выпуск). 2006. № 4. C.14..

Самыми популяризированными угрозами информационной безопасности являются хакерские атаки, вирусные эпидемии и спам. Как правило, если функции обеспечения информационной безопасности предприятия фактически возлагаются на системных и прикладных администраторов ИТ подразделений, именно на борьбу с негативными явлениями такого рода они и ориентируют руководство.

В то же время, действия внутренних нарушителей, такие как халатность сотрудников, кражи информационных ресурсов и ИТ оборудования, финансовое и иные виды мошенничества с использованием корпоративных информационных систем и ресурсов и т. д., гораздо реже становятся предметом внимания при решении проблем информационной безопасности в случае, если они рассматриваются в отрыве от общих задач обеспечения экономической безопасности предприятия. Результаты исследований показывают, что большинство компаний не предпринимают достаточных мер по защите от действий инсайдеров. Например, только 1 % опрошенных Infowatch компаний внедряет средства по защите от утечки информации. Эти данные подтверждаются и компанией КРОК на основе проведения аудита систем информационной безопасности Башлыков М. Указ. раб. С. 14..

Между тем, статистика в области информационной безопасности свидетельствует, что около 80 % злоумышленников принадлежит к числу инсайдеров. В компаниях телекоммуникационной отрасли на их действия приходится около 90 % финансовых потерь Седов О. Обоснование бюджета информационной безопасности // Директор информационной службы. 2006. № 4. C. 92..

Едва ли справедливо винить бизнес-руководство в том, что оно не осознает самой проблемы информационной безопасности. Но многие директора компаний могут элементарно не "видеть" очевидной связи между потерей доходов и незакрытой "дыркой" в системе информационной защиты. Поэтому в первую очередь необходимо представить проблему в понятном для бизнеса виде. Эта задача

ложится на руководство службы экономической безопасности хозяйствующего субъекта, которое должно выявить и наглядно показать владельцам (топменеджменту) предприятия весь спектр угроз в информационной сфере, а также убедить, что противостоять этим угрозам можно только на основе создания и внедрения эффективных систем защиты информации. информационный безопасность национальный экономика

Относительно основной идеи эффективной системы обеспечения информационной безопасности предприятия представляется оправданной позиция, сформулированная Я. Волковым: являясь частью процессов управления организацией и опираясь на техническую инфраструктуру, данная система должна максимально сокращать величину рисков, связанных с ИТ, минимизировать затраты на это и обладать большим запасом гибкости для самостоятельной адаптации к меняющимся условиям Волков Я. Системы обеспечения информационной безопасности как часть корпоративной культуры современной организации // Финансовая газета. 2006. № 34. C. 15. .

Создавая такие системы необходимо учитывать, что, во-первых, для эффективной защиты информационных ресурсов требуется реализация целого ряда разнородных мер, которые можно разделить на три группы: юридические, организационно-экономические и технологические. Во-вторых, хотя разработкой мер защиты применительно к каждой из трех групп безусловно должны заниматься специалисты соответствующих областей знаний, каждый из которых применяет свои способы и методы для достижения заданных целей, конечный успех в определяющей степени будет зависеть от того, насколько в рамках системного подхода удастся определить и реализовать взаимные связи между соответствующими определениями, принципами, способами и механизмами защиты.

Анализ представленных в литературе различных взглядов и концептуальных подходов к формированию современных эффективных систем информационной безопасности предприятия См., например: Андрианова С. Информационная безопасность о стратегии защиты // Мир безопасности. 2006. № 4; Безмалый В. Создание отдела информационной безопасности // Директор информационной службы. 2006. № 9; Голов А. Интегрированная архитектура системы информационной безопасности // Connect. Мир связи. 2006. № 9; Зосимовская Н. Управление информационной безопасностью // Connect. Мир связи. 2006. № 9; Кудинов А. Т. Проблемы оценки уровня информационной безопасности // Черные дыры в Российском Законодательстве. 2006. № 4; Кургаев М. Аудит информационной безопасности. // Финансовая газета (Региональный выпуск). 2006. № 34-35; Левашов М. Роль службы информационной безопасности во внутренней структуре современного предприятия // Connect. Мир связи. 2006. № 12; Романовский С. Сбалансированный подход к построению корпоративных систем управления информационной безопасностью. // Connect Мир связи. 2006. № 10 и др., позволил сформулировать основные функции, задачи и наметить организационные основы функционирования соответствующих подразделений информационной безопасности.

В современном представлении ролевых функций службы информационной безопасности можно выделить четыре направления: 1) разработка методологии и методик анализа угроз, оценки уровня информационной безопасности предприятия и корпоративных стандартов системы ее обеспечения; 2) организация и осуществление конкретных видов деятельности по защите информации; 3) эксплуатация технических средств защиты информации; 4) аудит и контроль функционирования системы информационной безопасности предприятия.

В рамках первого направления должны решаться следующие основные задачи:

1) анализ и обобщение потенциальных и реализовавшихся угроз, причин нарушений требований информационной безопасности. Анализ степени обеспечения непрерывности бизнес-процессов, использующих ИТ, с точки зрения вопросов информационной безопасности. Поиск новых угроз и уязвимостей, связанных с информационным взаимодействием; 2) построение методик оценки информационных рисков; 3) информационное обследование компании и категорирование информационных ресурсов; 4) разработка методов защиты информации и ИТ, а также методик их внедрения в деятельность компании; 5) разработка и модификация концепции и политик обеспечения информационной безопасности. Создание локальной нормативной базы по этим вопросам с учетом комплексного подхода к экономической безопасности компании; 6) разработка методик оценки уровня информационной безопасности и определения достаточности защиты информации и ИТ с учетом потребностей бизнеса, а также существующей и перспективной нормативной базы РФ; 7) разработка корпоративного стандарта обеспечения информационной безопасности компании; 8) анализ с точки зрения выполнения требований информационной безопасности всех используемых в компании процедур создания, обработки, пересылки, хранения, уничтожения информации, в том числе: процедур (порядков) информационного взаимодействия подразделений компании между собой и с внешними организациями; порядков доступа сотрудников компании и смежных организаций, а также клиентов к информационным ресурсам компании и внешних компьютерных сетей; проектов развития ИТ компании, включая системы связи и телекоммуникаций; проектов договоров с внешними организациями, с которыми осуществляется обмен информацией; проектов других нормативных документов компании, которые предусматривают информационное взаимодействие; 9) подготовка аналитических записок, содержащих выводы из проведенного анализа и предложения по реализации по защите информации.

В рамках второго направления должны решаться следующие основные задачи:

1) планирование на основе координации деятельности всех подразделений компании работ по обеспечению информационной безопасности предприятия; 2) организация и участие во внедрении методов обеспечения информационной безопасности в деятельность предприятия. Работа с персоналом компании, партнерами и клиентами (инструктаж, обучение и консалтинг; создание в коллективе "атмосферы информационной безопасности "); 3) согласование: заявок на доступ и порядка доступа сотрудников компании и внешних организаций к информационным ресурсам компании; согласование "матрицы доступа", ролей в ИТ; процедур информационного взаимодействия подразделений компании между собой и с внешними организациями; проектов развития ИТ-инфраструктуры компании, включая системы связи и телекоммуникаций; договоров с внешними организациями, с которыми осуществляется информационное взаимодействие; проектов приказов, распоряжений, порядков взаимодействий, других нормативно-распорядительных документов компании, в которых затрагиваются вопросы ИТ и информационного взаимодействия; 4) участие в тестировании, испытаниях и приемке информационных систем, систем связи и телекоммуникаций. Подготовка заключений; 5) развитие комплексной системы информационной безопасности в филиалах, дочерних структурах; 6) решение текущих практических вопросов по информационной безопасности, возникающих в подразделениях компании, ее филиалах и дочерних структурах.

В рамках третьего направления должны решаться следующие основные задачи:

1) поддержка ключевых структур, используемых во внешних и встроенных средствах криптографической защиты информации; 2) обеспечение работы инфраструктуры открытых ключей компании; 3) обеспечение работников компании индивидуальными средствами аутентификации, поддержка их работоспособности; 4) решение указанных выше задач в филиалах, дочерних компаниях; 5) поддержка работы других средств информационной безопасности (межсетевых экранов, IDS (IPS), различных "агентов" безопасности и т. д.).

В рамках четвертого направления должны решаться следующие основные задачи:

1) проверка выполнения требований информационной безопасности работниками компании и другими лицами, имеющими доступ к информационным ресурсам компании; 2) мониторинг действий пользователей ИТ компании (несанкционированной модификации критичной информации, использования различных почтовых и других сервисов сети Интернет для отправки конфиденциальной информации за пределы компании и т. д.). 3) контроль своевременного изменения прав пользователей в информационных системах компании; блокирования учетных записей уволенных (переведенных на другую работу) пользователей; изменения групповых средств аутентификации пользователей после увольнения члена группы. Контроль соблюдения настроек безопасности, включая парольную политику, другие встроенные системы информационной безопасности, внешние средства защиты информации; 4) мониторинг работы систем обнаружения (предотвращения) сетевых атак, систем оценки качества (с точки зрения информационной безопасности) построения сети и других автоматизированных систем компьютерной безопасности; 5) участие в разборе выявленных нарушений информационной безопасности и требований нормативных документов по этим вопросам. Подготовка предложений по предупреждению нарушений; 6) проведение внутреннего аудита вопросов информационной безопасности. Подготовка предложений по использованию внешнего аудита; 7) проведение работ по подготовке компании к сертификации по международным стандартам безопасности ИТ; 8) проведение мониторинга возможной утечки конфиденциальной информации по техническим каналам.

Учитывая междисциплинарный характер вопросов, входящих в блок информационной безопасности, некоторые из перечисленных функций могут исполняться только совместно с другими структурными подразделениями предприятия (подразделениями ИТ, службой по работе с персоналом, юридической, хозяйственной службой и т. д.).

Из различных организационных схем функционирования подразделений, отвечающих за информационную безопасность предприятия (функции такого подразделения возлагаются на системных и прикладных администраторов; указанное подразделение находится в структуре ИТ службы, службы экономической безопасности предприятия, или же является самостоятельной структурной единицей компании, подчиняющейся высшему руководству), наиболее предпочтительным представляется вариант, при котором подразделение информационной безопасности входит в состав службы экономической безопасности предприятия. Именно в этом случае создаются наилучшие возможности решения проблем информационной безопасности в контексте общих задач безопасности бизнеса.

Резюмируя, отметим, что в современных условиях информационная безопасность является неотъемлемой составляющей системы экономической безопасности хозяйствующего субъекта. В свою очередь, надежное обеспечение экономической безопасности является непременным условием перехода на модель устойчивого развития не только отдельного предприятия, но и национальной экономики в целом.

Аннотации

В статье рассмотрены современные угрозы информационной безопасности предприятия. На основе анализа действующего российского законодательства, практического опыта организации защиты интересов хозяйствующих субъектов в информационной сфере предложен концептуальный подход по определению функций, задач и организационных основ функционирования подразделений информационной безопасности предприятий с позиций общих задач безопасности бизнеса и обеспечения устойчивого развития национальной экономики.

Информационная составляющая экономической безопасности хозяйствующих субъектов и ее значение для обеспечения устойчивого развития национальной экономики

Похожие статьи