МИНОБРНАУКИ РОССИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ ГУМАНИТАРНЫЙ УНИВЕРСИТЕТ» (РГГУ) Филиал в г. Всеволожске Козинова Т.П. Проблемы информационной безопасности деятельности коммерческих организаций 1 Информационная безопасность составляющая экономической безопасности 2 Термин "безопасность" в законе РФ «О безопасности» • Это состояние защищённости жизненно важных интересов личности, общества, государства от внутренних и внешних угроз. • Состояние защищенности - это стабильно прогнозируемое во времени состояние окружения, в котором предприятие может осуществлять свои уставные задачи без перерывов, нарушений и потери конкурентоспособности 3 Информационная безопасность — совокупность мер по защите информационной среды общества и человека 4 Основными задачами в информационной безопасности широком смысле являются: •защита государственной тайны, т.е. секретной и др. конфиденциальной информации, являющейся собственностью государства от всех видов несанкционированного доступа манипулирования и уничтожения. •защита прав граждан на владение, распоряжение и управление принадлежащей им информацией. •защита прав предпринимателей при осуществлении ими предпринимательской деятельности. 5 Задачи информационной безопасности в узком смысле: речь идёт о совокупности методов и средств защиты информации и её материальных носителей, направленных на обеспечение целостности, конфиденциальности и доступности информации, защита технических и программных средств, информатизации от ошибочных действий персонала и техногенных воздействий, а также стихийных бедствий. Защита технических и программных средств информатизации от преднамеренных воздействий. 6 В решении проблемы информационной безопасности значительное место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. 7 При правильной организации работы с персоналом защита информации фирмы сразу обеспечивается не менее чем, на 80%, без применения каких-либо дополнительных методов и средств защиты. 8 Информационные ресурсы коммерческих организаций включают в себя: • публикации о фирме и ее разработках; • рекламные издания, выставочные материалы, документацию; • персонал фирмы и окружающих фирму людей; • физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники, различных приборов и средств связи. 9 Документация как источник информации ограниченного доступа включает: • документацию, содержащую ценные сведения, ноу-хау; • комплексы обычной деловой и научнотехнической документации, содержащей общеизвестные сведения, организационноправовые и распорядительные документы; • рабочие записи сотрудников, их служебные дневники, личные рабочие планы, переписку по производственным вопросам; • личные архивы сотрудников фирмы 10 Конфиденциальные документы в коммерческих организациях это сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тайне, тайне фирмы, тайне мастерства. 11 В последнее время очень актуальной проблемой для многих компаний является деятельность инсайдеров, которые занимаются хищением конфиденциальной информации. 12 Утечки информации наносят ущерб компаниям во всех отраслях. Даже очень крупные и успешные компании не застрахованы от деятельности инсайдеров, что подтверждается периодически появляющимися в прессе сообщениями об утечках: • В 2007-м году корейский автогигант Kia Motors потерял несколько миллиардов долларов из-за продажи инсайдерами разработок компании её конкурентам из Китая; • В 2008-м Bank of New York допустил утечку информации о своих клиентах, обошедшуюся ему в $866 млн.; • В 2009-м три подразделения британской группы компаний HSBC были оштрафованы на сумму более Ј3 млн. за неспособность обеспечить адекватную защиту данных своих клиентов от утечки и кражи. Проблема защиты информации от утечек в России стоит не менее остро, чем в целом по миру. Согласно исследованию, проведённому в мае 2009 кадровым холдингом АНКОР, 22% россиян пользуются служебной информацией для стороннего приработка. Кто может пострадать от утечки информации? 13 Возможные пути утечки информации • Информация может быть переписана на локальный компьютер, где может подвергаться несанкционированным правкам. • Это может быть отосланное по почтовым протоколам (SMTP, POP3, IMAP,MAPI) электронное письмо. • Посты размещенные в форумах, блогах, социальных сетях. • Сообщение, отправленное посредством клиентов для мгновенного обмена сообщениями (ICQ, JABBER, MSN Messenger, Mail.ru Агент и другие). • Голосовые или текстовые сообщения отправленные через Skype. • Также данные могут быть переписаны на съёмный носитель (например USB-носитель или CD/DVD диски). • Информация может быть распечатаны на принтере. 14 Контур информационной безопасности позволяет отслеживать утечки конфиденциальной информации • через е-mail, ICQ, Skype, • посты на форумах или комментарии в блогах, • внешние устройства (USB/CD), • документы отправляемые на печать и выявлять её появление на компьютерах пользователей. В первую очередь качество отслеживания утечек конфиденциальной информации определяется возможностями полнотекстового поиска. 15 Информационные ресурсы фирмы постоянно подвергаются объективным и субъективным угрозам утраты носителя или ценности информации. 16 Под угрозой или опасностью утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных. 17 Риск угрозы любым (открытым и ограниченного доступа) информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица 18 Основной угрозой безопасности информационных ресурсов ограниченного распространения является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации и как результат — овладение информацией и противоправное ее использование или совершение иных действий. Целью и результатом несанкционированного доступа может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, подмена и т.п. 19 Каждая конкретная фирма обладает своим набором каналов несанкционированного доступа к информации, что зависит от множества моментов — профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания и т.п. 20 Практической реализацией политики (концепции) информационной безопасности фирмы является технологическая система защиты информации. 21 В решении проблемы информационной безопасности значительное место занимает выбор эффективных методов работы с персоналом, обладающим конфиденциальной информацией. 22 Человеческий фактор должен постоянно учитываться в долговременной стратегии фирмы и ее текущей деятельности, являться основным элементом построения действенной и эффективной системы защиты информационных ресурсов. 23