ЗАЩИТА ИНФОРМАЦИИ В КОММЕРЧЕСКОМ ПРЕДПРИЯТИИ

АННОТАЦИЯ

Одним из важнейших направлений в обеспечении безопасности предприятия на сегодняшний день является защищенность от посторонних лиц всех информационных ресурсов предприятия.

В настоящее время в связи с бурным развитием информационных технологий особое значение приобретает разработка новых и модернизация уже имеющихся систем защиты конфиденциальной информации коммерческих предприятий, при которых возможность несанкционированного доступа сводится к минимуму.

Исследована специфика защиты информации в коммерческих предприятиях. Предложена методика оценки эффективности службы безопасности на основе анализа рисков.

Ключевые слова: обеспечение безопасности, открытый доступ, персональные данные, оценка риска.

Введение

Существование и функционирование любого предприятия независимо от формы собственности требует наличия в его структуре системы безопасности [3], которая обеспечит не только защиту материальных и финансовых ресурсов, но и обеспечит защиту информации [4]. Структура системы безопасности зависит от конкретного вида предприятия.

Объекты информационной безопасности – это компоненты информационной среды, угрозы которых представляют опасность для клиентов и работников предприятия. Основными объектами информационной безопасности на предприятии являются:

• данные открытого доступа: открытая (общедоступная) информация, представленная в виде документов и массивов информации, независимо от формы и вида их представления;
• архивные данные;
• системная информация: информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства её обработки, передачи и отображения, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков, администраторов и пользователей;
• средства обеспечения ИБ: каналы информационного обмена и телекоммуникации, системы видеонаблюдения, пожаротушения, сигнализации, системы контроля доступа, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты;
• персональные данные сотрудников: вся информация о сотрудниках, в том числе о начисленной им заработной плате;
• конфиденциальная информация: информационные ресурсы с ограниченным доступом, составляющие коммерческую, служебную тайну, персональные данные, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы.

Основные положения анализа рисков

Анализ рисков – систематический и структурированный процесс, при котором выявляются источники опасности, имеющиеся на рабочем месте или возникающие при выполнении работ, производится идентификация опасностей, оцениваются риски и принимаются решения в порядке приоритета для снижения рисков до приемлемого уровня [1].

Управление рисками ИБ представляет собой постоянный процесс, в рамках которого проводится анализ ситуаций, которые могут произойти, а также возможных последствий данных происшествий, после чего принимаются решения о том, что необходимо предпринять и в какой момент времени это необходимо сделать для уменьшения риска до приемлемого уровня путем предотвращения возникновения угроз ИБ и (или) минимизации последствий в случае реализации данных угроз [2].

Необходимо регулярно оценивать риски организации для того, чтобы осознавать, насколько хорошо работает СУИБ. Работа по управлению рисками сводится к минимизации реализации рисков или снижению потерь от этих рисков.

Анализ рисков, в основном, сводится к определению опасностей (как внешних, так и внутренних) для предприятия и самой оценке рисков.

Опасность – очаг возможного вреда, или ущерба, или какая-либо ситуация, последствия которой могут нанести ущерб предприятию.

Риск – это показатель, который определяет насколько вероятно возникновение опасности и какие последствия эта опасность повлечет за собой.

Для определения рисков необходимо первоначально выявить примерный круг опасностей для предприятия, а также охарактеризовать каждую опасность в отдельности.

Оценка риска производится для того, чтобы получить ответы на следующие элементарные для информационной безопасности вопросы:

• какие события могут возникнуть и их причина реализации (идентификация опасных событий);

• каковы последствия после реализации событий;
• какова вероятность их возникновения;
• какие факторы могут сократить неблагоприятные последствия или уменьшить вероятность возникновения опасных ситуаций.

Для оценки рисков необходимо выявить и сравнить два главных показателя: вероятность возникновения опасности и то, на сколько критичны последствия этой опасности для предприятия. Тем самым, проведя анализ для каждой из опасностей, выделенных для предприятия, получим приемлемые и неприемлемые риски и опасности.

Приемлемые или неприемлемые риски, то есть риски - процент потерь, от которых будет примерно, как и процент возможности их минимизации – приемлемые риски, то есть такие, с которыми организация «мирится», а для неприемлемых рисков есть два варианта событий: минимизировать риск (положить на это какие-то затраты), переложить риск на какую-нибудь иную организацию (например, застраховать данное предприятие).

Оценка рисков.

В общем случае величина риска может быть выражена в денежной форме путем умножения стоимости защищаемого ресурса на актуальную угрозу в виде плотности потока событий:

где:

Р – величина риска в денежном выражении;

АУ – актуальная угроза в виде плотности потока событий;

ИР – стоимость информационного ресурса.

Однако при реализации угрозы негативные последствия наступают не всегда. Этот факт учитывается введением понятия «уязвимость». Например, из 10 возгораний, удается потушить 8, и только 2 наносят вред ресурсу. В этом случае уязвимость ресурса для угрозы «пожар» составит 0,2, а формула примет вид:

Рисунок 1. Воздействие актуальных угроз (АУ) на информационные ресурсы (ИР) через уязвимости (У)

В случае, когда на предприятии имеется M информационных ресурсов, которые подвергаются N различным угрозам, величина риска выражается формулой:

Где У_{i k} – уязвимость информационного ресурса с номером k для угрозы с номером i.

Экономический эффект от модернизации службы безопасности может быть выражен снижением общего суммарного риска для всех информационных ресурсов.

Выводы

1. Внедрение на предприятии системы безопасности (или модернизация существующей) не уменьшает количество актуальных угроз, но снижает уязвимости информационных ресурсов.
2. Положительный эффект от работы службы безопасности может быть выражен в денежной форме посредством применения методики анализа рисков.
3. Данная методика оценки рисков может применяться на предприятиях любых форм собственности.

Список литературы:

1. ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство [Текст]. – Введ. 2011-09-01. – М.: Стандартинформ, 2018. – 21 с.
2. ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска [Текст]. – Введ. 2012-12-01. - М.: Стандартинформ, 2012. – 74 с.
3. Раевский, Г. В. «Угрозы экономической безопасности предприятия и задачи службы безопасности по их нейтрализации», журнал «Частный сыск» №4, М: Ось, 2008.
4. Ярочкин В. И., Бузанова Я. В. Основы безопасности бизнеса и предпринимательства, М.: Академический проект, 2005.