Козлов А. Н.,
г. Пермь

УДК 623.12

Анализ проблемы информационной безопасности предприятий
малого и среднего бизнеса

Обеспечение информационной безопасности фирмы, предприятия и государства в целом является одной из важнейших составляющих экономической безопасности. Представлены выводы по результатам исследования состояния информационной безопасности на предприятиях Пермской области. Раскрыты показатели и проблемы информационной безопасности на предприятиях малого и среднего бизнеса. Намечены пути решения проблемы информационной безопасности предприятий малого и среднего бизнеса

Не проходящий и не снижающийся интерес к проблеме информационной безопасности, объясняется тем, что прежние традиционные подходы в современных условиях уже не в состоянии обеспечить требуемый уровень безопасности государственно значимой и частной конфиденциальной информации, циркулирующей в информационно-телекоммуникационных системах страны.

До начала 90-х годов нормативное регулирование в данной области оставляло желать лучшего. В настоящее время можно отметить, что правовое поле в области защиты информации получило весомое заполнение. Уже имеется неплохая законодательная база, вполне позволяющая предприятиям осуществлять свою деятельность по защите информации в соответствии с требованиями действующих нормативных актов. Конечно нельзя сказать, что процесс построения цивилизованных правовых отношений успешно завершен и задача правового обеспечения деятельности в этой области уже решена.

Угрозы безопасности информации принято делить на случайные и преднамеренные.

Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными. Реализация угроз этого класса приводит к наибольшим потерям информации (по статистическим данным – до 80% от ущерба, наносимого информационным ресурсам КС любыми угрозами).

Согласно данным Национального Института Стандартов и Технологий США (NIST) 65% случаев нарушения безопасности информации происходит в результате ошибок пользователей и обслуживающего персонала. В России этот показатель достигает 80% от общего числа случайных угроз. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками приводят к уничтожению, нарушению целостности, достоверности и конфиденциальности информации, а также компрометации механизмов защиты.

Второй класс угроз безопасности информации в КС составляют преднамеренные угрозы. Данный класс угроз изучен недостаточно, очень динамичен и постоянно пополняется новыми угрозами.

На данном этапе развития Российского общества основной преднамеренной угрозой является несанкционированный доступ к информации. По данным из некоторых отечественных источников он составляет 60 – 75 % от числа преднамеренных угроз.

Известны результаты исследований [2], которые позволили сделать следующие выводы о состоянии информационной безопасности на предприятиях АПК Пермской области:

• основным каналом утечки информации, согласно опросу руководителей предприятий, являются собственные сотрудники и партнеры по совместной работе;
• не всегда при заключении договоров с партнерами оговариваются мероприятия по сохранности и безопасности информации, ответственность за ее разглашение;
• на предприятиях, как правило, отсутствует контроль за хранением, копированием и уничтожением документов; документы, содержащие коммерческую тайну, не имеют соответствующего грифа;
• недостаточно внимания уделяется или не уделяется совсем способам защиты информации в технических средствах связи и в компьютерных сетях предприятия;
• основными средствами защиты информации являются использование зачастую устаревших антивирусных программ и ограниченный доступ пользователей к информационным ресурсам предприятия;
• ни одно из исследованных предприятий не располагает сведениями о соотношении затрат на обеспечение информационной безопасности с потерями от утраты защищаемой информации.

Особенно плачевно складывается ситуация с обеспечением информационной безопасности на негосударственных предприятиях малого и среднего бизнеса. В первую очередь это связано с недопониманием руководства, как правило, молодого, важности данного вопроса.

Одной из важнейших проблем в ИБ предприятия является ее количественная оценка. Существуют показатели и методики оценки информационной безопасности отдельных элементов информационной системы, например, рабочего места специалиста или локальной компьютерной сети.

Однако это не позволяет оценить информационную безопасность предприятия в комплексе. К тому же, целесообразно, чтобы показатель информационной безопасности должен иметь вероятностный характер, так как реализация угроз является в основном случайным процессом.

Доктрина информационной безопасности Российской Федерации трактует понятие информационной безопасности как состояние информации, информационных ресурсов и информационных и телекоммуникационных систем, при котором с требуемой вероятностью обеспечивается защита информации [1].

Другой важной и взаимосвязанной проблемой является отсутствие приемлемых методик разработки и реализации мероприятий информационной безопасности. На крупных государственных предприятиях и коммерческих фирм имеются сложившиеся традиции и методологическая база организации работы с информационными ресурсами ограниченного пользования. Службы безопасности и охраны отдельно занимаются этими вопросами.

На предприятиях малого и среднего бизнеса этот подход и методический аппарат неприемлем, в первую очередь, из-за его масштабов и стоимости. Здесь предпочитают экономить на информационной безопасности, хотя это зачастую приводит к существенным финансовым и моральным потерям, вплоть до краха.

В обеспечении информационной безопасности деятельности той или иной структуры можно выделить несколько последовательных стадий: определение информации, которую необходимо отнести к коммерческой тайне; определение возможных каналов утечки сведений; принятие необходимых мер для избежания утечки информации.

Первоочередной задачей в обеспечения информационной безопасности региона, отрасли, фирмы является определение сведений, составляющих коммерческую тайну. Она представляет собой одно из центральных звеньев в системе мер, осуществляемых по защите информации. Неправильное или несвоевременное выделение предмета защиты существенно снижает эффективность этой системы, либо вообще сводит ее на нет.

Основными источниками утечки информации в общем случае могут являться: человеческий фактор, совместная деятельность с другими субъектами, недобросовестная конкуренция или промышленный шпионаж, использование технических средств несанкционированного доступа к информации.

Основными мерами защиты информации являются: создание правовых основ защиты информации, создание организационных систем защиты, создание технических систем защиты.

Специфика работ по информационному обеспечению деятельности предприятия характерна нередким отсроченным проявлением ущербов от некачественной работы информационной службы предприятия. Этой спецификой отсроченных результатов и вызвана большая сложность задачи оптимизации затрат на обеспечение информационной безопасности предприятия.

В силу этого, а также из-за очевидной большой значимости работ по обеспечению информационной безопасности предприятия предпочтительным считается повышенное финансирование и ресурсное обеспечение деятельности информационного подразделения предприятия.

Основу любой деятельности предприятия – производственной, экономической, финансовой – составляет ее информационное обеспечение. Качественная организация процесса обеспечения информационной безопасности предприятия представляется жизненно важной для его безопасного и успешного функционирования. Информация становится одним из основных средств решения проблем и задач предприятия и в условиях конкуренции играет ключевую роль в обеспечении его экономической безопасности и требует особого внимания со стороны руководителей предприятий.

Таким образом, разработка и совершенствование методического аппарата оценки информационной безопасности, обоснование методов и средств защиты информации предприятий малого и среднего бизнеса является актуальной задачей. Для ее решения необходимо:

• обоснование и разработка методики комплексной оценки информационной безопасности на основе вероятностных показателей;
• разработка методического аппарата для проектирования и реализации мероприятий информационной безопасности на предприятиях малого и среднего бизнеса.

Литература

1. Доктрина информационной безопасности Российской Федерации. Утверждена Указом Президента Российской Федерации от 9 сентября 2000 г. № Пр-1895.
2. Глотина И.М. Диссертация на соискание ученой степени кандидата экономических наук. — Пермь: ПГСХА, 2003 г. — 205 с.