магистрант
Кубанский Государственный Университет
Мировая экономика и менеджмент
Листопад Мария Евгеньевна, доктор экономических наук, доцент, профессор кафедры мировой экономики и менеджмента ФГБОУ ВО «Кубанский государственный университет». Синеок Сергей Вячеславович, Начальник отдела информационной безопасности Департамента информатизации и связи Краснодарского края
УДК 338
На сегодняшний день развитые страны находятся на стадии перехода от индустриального мира к постиндустриальному, который некоторые специалисты называют информационным миром, поскольку роль информации как ресурса с каждым днем возрастает все больше.
Одной из главнейших составляющих продуктивного функционирования экономики и всего государства является обеспеченность информационными возможностями, как всего государства, так и отдельных организаций. Поэтому безопасность России зависит как от сопротивления физическим угрозам, так и во многом от защищенности и эффективного функционирования информационной среды [2, c. 60].
Данные о социальной, политической и экономической ситуации на рынках хозяйствующего субъекта, информация о новых проектах, методах и технологиях управления и развития бизнеса способствуют эффективному планированию и продуктивному процессу деятельности компании.
Для сохранения конкурентоспособности современные организации должны обеспечить защиту информации, касающейся их деятельности, от различного рода посягательств со стороны злоумышленников, желающих ее похитить, использовать, изменить или уничтожить, поэтому важной составляющей в функционировании фирмы является деятельность по обеспечению информационной безопасности [3, с. 115].
Злоумышленниками, чаще всего, становятся конкуренты, коррупционеры, административно-управленческие органы. Целью действий которых является ознакомление со сведениями, находящимися под охраной, их изменение или уничтожение для нанесения ущерба материальному и репутационному положению компании. Для злоумышленников интерес представляет различная коммерческая, конфиденциальная информация, утечка которой приводит к различного рода убыткам предприятия, в отдельных случаях к ее ликвидации.
По отношению к организации угрозы можно разделить на внешние и внутренние:
Так же угрозы могут быть непреднамеренными (сотрудник случайно удалил документ) и преднамеренными (сотрудник удалил тот же самый документ, но специально, не оповещая о своей «ошибке» и не предпринимая действий по восстановлению файла). Выявить преднамеренные угрозы и устранить их последствия намного сложнее, так как злоумышленник тщательно продумывает свои действия с целью их необнаружения.
Классифицируя угрозы по цели, выделяют: угрозы, направленные на присвоение информации; угрозы с целью модификации данных и угрозы по их удалению. Наиболее частыми из перечисленных являются угрозы утечки, несанкционированного доступа и разглашения [4, с. 217].
Разглашением является неосторожные действия с конфиденциальными данными, вследствие чего они получили распространение у лиц, не имеющих не это права. Разглашение может принимать различные формы: передача, пересылка, опубликование, утеря и другие подобные действия с документами, содержащими научную и коммерческую информацию. Информация может быть разглашена как при личной встрече злоумышленника с агентом, так и по каналам связи, будь то телефонная или компьютерная сеть. С другой стороны сотрудник может разгласить тайну ввиду незнания основных правил защиты конфиденциальной информации. Получение не общедоступной информации через разглашение является самым выгодным для злоумышленника, ведь он не затрачивает практически никаких средств и получает проверенную точную информацию.
Такая форма распространения информации как утечка - представляет собой явление, при котором несанкционированный поток информации поступает третьим лицам за пределами фирмы. Злоумышленник может получить информацию посредствам различных технических средств: прослушивающие устройства, камеры, диктофоны и подобные электронные устройств, так же могут использоваться бумажные носители, диски и флэш-карты. Этот вид угрозы требует больших затрат со стороны злоумышленника.
Несанкционированный доступ - это проникновение злоумышленника в помещение фирмы, компьютерную систему и иные содержащие коммерческую информацию места.
Для обеспечения сохранности информации, находящейся в собственности предприятия должна быть создана комплексная система безопасности. Системе необходимо иметь в себя осуществляемые в совокупности, мероприятия по защите бизнеса от угроз со стороны злоумышленников и защиту законных интересов компании, то есть защищать всю информационную среду, то есть базы данных, локальные сети, выходы в сеть Интернет, рабочие файлы, электронную почту [5, с. 814].
Одной из приоритетных целей создаваемой системы безопасности является устранение действий, направленных на ухудшение экономического положения предприятия; обеспечение защиты не только финансовых, кадровых и материальных ресурсов компании, но и защиты информации. Учитывая то, что информация в последние годы является основным объектом угроз, в рамках системы общей безопасности должна активно действовать и развиваться система информационной безопасности, которая должна быть сосредоточена на защиту компании от утечек, разглашений, утрат информации, от доступов к ней третьих лиц и от иных посягательств со стороны недоброжелателей.
Сегодня в сфере информационно-коммуникационных технологий происходят большие изменения. Это подтверждается из данных официальной статистики. Проанализируем долю организаций, использовавших информационные и коммуникационные технологии за период с 2007 по 2015 гг., в процентах от общего числа обследованных организаций по данным Федеральной службы государственной статистики Российской Федерации на рисунке 1.
Рисунок 1. Доля организаций, использовавших информационные и коммуникационные технологии за период с 2007 по 2015 гг., в процентах от общего числа обследованных организаций [1]
Из графика, представленного на рисунке 1, наглядно видно, что доля персональных компьютеров, используемых в организации, за изучаемый период уменьшилось на один процент с 93,3 % до 92,3 % соответственно. Доля локальных вычислительных сетей увеличилась на 7,1 % с 56,4 % до 63,5 %. Доля применения электронной почты изменилась с 69,1 % до 84 % что составило рост 14,9 %. Использование сети Интернета в организациях увеличилось на 20,3 % с 67,8 до 88,1 % в 2015 году, что в общем, говорит о растущей динамике использования и применения информационно-коммуникационных технологий в период с 2007 по 20015 год.
Рассмотрим долю организаций, использовавших Интернет, по субъектам Российской Федерации, в процентах представленных на рисунке 2.
Рисунок 2. Доля организаций, использовавших Интернет, по субъектам Российской Федерации, в процентах [1]
Из графика, представленного на рисунке 2, видно, что доля организаций применяющих Интернет, по субъектам Российской Федерации за период с 2013 по 2015 год имеет неустойчивую тенденцию. Так в масштабе страны доля организаций, использовавших Интернет, в 2015 году снизилось до уровня 2013 года, и составила 88,1 %. Лидером в 2013 году по доле организаций, использовавших Интернет, по субъектам Российской Федерации является Северо-Западный федеральный округ (92,3 %), на 2 месте - Уральский федеральный округ (91,2 %), на третьем месте - Северо-Кавказский федеральный округ (89,2 %), на 4 месте – Приволжский федеральный округ (88,7 %), на пятом месте - Южный федеральный округ (86,2 %), на шестом месте - Дальневосточный федеральный округ (85,6 %), на седьмом месте – Сибирский федеральный округ (85,0 %).
В итоге, к 2015 году первое место занял Крымский федеральный округ (93,6 %), второе и третье место - Северо-Западный федеральный округ (92,4 %) и Центральный федеральный округ (90,8 %),
Рассмотрим долю организаций, использовавших специальные программные средства, в процентах от общего числа обследованных организаций представленных на рисунке 3
Рисунок 3. Доля организаций, использовавших специальные программные средства, в процентах от общего числа обследованных организаций [1]
Из графика, представленного на рисунке 3, можно увидеть, что за период с 2011 по 2015 год долю организаций, использовавших специальные программные средства снизилась с 89,8 до 84,8 % соответственно на 5 процентных пункта. Однако если в 2011 году для решения организационных, управленческих задач использовалось 60,3 % специальных программных устройств, то в 2015 году этот показатель снизился на 8 % и составил 52,3 %. Для осуществления финансовых расчетов в электроном виде в 2011 году применялись 60,9 % специальных программных средств, а в 2015 г. – 55,1 %, т.е. снижение составило 5,8 п.п. Для получения электронно-справочной правовой информации в 2015 г. используется почти 52,3 % специальных программных средств.
Что касается технической защиты предприятий, используемой с целью сохранения информации, то в крупных организациях имеются дорогостоящие средства защиты, которых у малых предприятий нет в силу малого бюджета. Таким образом, учитывая наибольшую защищенность крупного бизнеса угрозы малым предприятиям становятся все более частыми.
При формировании политики информационной безопасности нужно обратить внимание на ряд моментов. Во-первых, необходимо осуществлять мониторинг информационных сетей, в частности компьютеров персонала и локальных сетей, для чего существует множество программ (утилиты), проводящих осмотр сетей и указывающих на найденную угрозу. Во-вторых, разграничение доступа к информации обязательно для безопасности предприятия, в результате чего ни один из представителей персонала не должен иметь доступ ко всей информации фирмы, он может просматривать и использовать только ту часть, которая необходима для его деятельности, для этого устанавливаются различные пароли. В-третьих, использование сертифицированных и лицензионных программных и программно-аппаратных средств уменьшает риск несанкционированного доступа извне, установление только легального программного обеспечения, антивирусных программ и комплексов программно-аппаратных технологий, направленных на обеспечение информационной безопасности, может помочь в защите информации. Но при этом нужно помнить, что от внутреннего проникновения данная мера не спасёт [6, с. 28].
Однако даже те предприятия, которые технически хорошо защищены, имеют дорогостоящие элементы защиты, программные и аппаратные обеспечения, не застрахованы от воздействия человеческого фактора.
В последнее время именно этот вид информационных угроз вызывает озабоченность со стороны Госструктур и представителей бизнес сектора, так как переданная персоналом информация в наибольшей степени полна и правдива. Утечка такой информации наносит самый крупный урон предприятию в виде материального и морального (потеря репутации) ущербов. Тенденцию к разглашению тайной информации персоналом отмечают как компании, занимающиеся аудитом, так и Министерством Внутренних Дел России в представленных докладах о правонарушениях в сфере безопасности информации.
Исходя из этого, предприятия, независимо от их сферы деятельности, должны задумываться не только о технической и программной безопасности, но и выработать внутриорганизационную политику информационной безопасности. Эта политика должна включать комплекс следующих мер:
Вероятность утечки информации будет ниже, если в компании не будет недовольных зарплатой или служебным положением сотрудников, а так же озлобленных уволенных работников.
В общем же, инструменты по защите данных от посягательств со стороны злоумышленников состоят из нескольких шагов. Первый шаг - это регулярный мониторинг информационной безопасности компании, с целью выявления угроз, возможной степени их воздействия, нахождения слабых мест технической и организационной системы компании. Вторым шагом является разработка мер по устранению найденных проблем. Третий шаг - приведение мер и технологий в действие и ознакомление с ними персонала. Также сотрудники компании должны находиться под постоянным, но не навязчивым контролем со стороны администрации. Правильно выработанная внутриорганизационная политика информационной безопасности приведет к минимуму возможность внутреннего несанкционированного доступа к конфиденциальным сведеньям, утечки или разглашения информации компании.
Однако необходимо помнить, что меры по безопасности не должны препятствовать деятельности предприятия и сотрудников. Чрезмерно засекречивая информацию, фирма может потерять клиентов и, соответственно, прибыль, ввиду недостаточной рекламной агитации. Вся деятельность службы информационной безопасности должна быть направлена на поддержку основных функций формы, а не на препятствие им. Конечно, с одной стороны, защитить компанию со всех сторон от всех мыслимых и немыслимых угроз не возможно. При этом с другой стороны, служба информационной безопасности, предотвращающая грядущие угрозы и решающая реальные проблемы, принимающая рациональные решения на основе комплексного подхода, это единственный выход защиты компании от посягательств со стороны злоумышленников.
Рецензии:
13.02.2017, 17:59 Котилко Валерий Валентинович
Рецензия: статья актуальна. хорошо иллюстрирована. логична. может быть опубликована
13.02.2017, 19:03 Ямилов Рамиль Могатович
Рецензия: Название статьи "ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В РОССИИ И ЕЁ РЕГИОНАХ" шире чем текст, в котором рассматривается безопасность в отношении информации в электронных коммуникациях.
Автору стоит учесть данное замечание.
После устранения данной несоответствия, рекомендую статью к публикации
16.02.2017, 0:44 Эрштейн Леонид Борисович
Рецензия: Это реферат, а не научная статья. Хороший реферат. Но где здесь вклад автора? Где здесь научная новизна, человек излагает то что уже известно и называет это научной статьей. Кроме того, одной из основных проблем информационной безопасности является проблема потери данных в результате отсутствия средств резервного копирования. В тексте об этом ничего. Я рекомендую это к публикации только в том случае, если автор покажет в чем его вклад и какова научная новизна этого текста. А так, конечно, нельзя.
Комментарии пользователей:
Оставить комментарий