ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОММЕРЧЕСКОГО ПРЕДПРИЯТИЯ

АННОТАЦИЯ

Важнейшим направление обеспечения общей безопасности предприятия является защита информации.

В настоящее время в связи с бурным развитием информационных технологий особое значение приобретает организационное направление обеспечения информационной безопасности, которое состоит в обеспечении предприятия внутренними нормативными документами, соответствующими федеральной правовой базе требованиям национальных стандартов безопасности.

Представлены результаты статистики преступлений в области информационной безопасности.

Приведены перечни наиболее важных федеральных законов и стандартов безопасности, актуальных для коммерческих предприятий, не работающих с государственной тайной.

Определена структура пакета внутренних нормативно-правовых документов для коммерческих предприятий.

Введение

В последнее время количество преступлений в информацио6нной сфере неуклонно увеличивается, возрастает их удельный вес по размерам похищаемых сумм и другим видам ущерба в общей доле материальных потерь от обычных видов преступлений. О динамике и масштабах этих преступных посягательств наглядно свидетельствуют следующие данные, полученные путем анализа и обобщения статистической информации, полученной из Главного информационного центра МВД России [2]:

• за последние 10 лет их количество возросло в 22,3 раза и продолжает увеличиваться, в среднем в 3,5 раза ежегодно;
• ежегодный размер материального ущерба от рассматриваемых преступных посягательств составляет 613,7 млн руб.;
• средний ущерб, причиняемый потерпевшему от 1 компьютерного преступления, равен 1,7 млн руб.;
• с определенной долей успеха расследуется лишь около 49% преступлений;
• обвинительные приговоры выносятся лишь в 25,5% случаев от общего числа возбужденных уголовных дел;
• средний показатель количества уголовных дел, по которым производство приостановлено, составляет 43,5% и отражает низкую степень профессионализма сотрудников правоохранительных органов в деятельности по раскрытию, расследованию и предупреждению указанных преступных посягательств.

Понятие информационной безопасности

Под информационной безопасностью предприятия подразумевается степень того насколько защищена информация, информационные ресурсы и информационная инфраструктура, которая обеспечивает жизненно важные интересы, как отдельных личностей, так и общества, так и целого государства, а кроме того способность государства обеспечивать информацией, которая необходима для противодействия планам и намерениям контрагентов, организаций и лиц причинить вред интересам безопасности предприятия.

Угрозу безопасности информации определяют, как совокупность условий и факторов, которые создают потенциальную или на самом деле существующую опасность, которая связана с утечкой информации и (или) несанкционированными и (или) непреднамеренными воздействиями на нее.

Выделяют внешние и внутренние угрозы информационной безопасности. Оценка состояния информационной безопасности базируется на анализе источников угроз. Деятельность, которая направлена на то чтобы предотвратить утечку информации, несанкционированное и непреднамеренное воздействие на нее, называется защитой информации. Объектом защиты является информация или носитель информации, или информационный процесс, которые нужно защищать [1, с. 57].

Информационная безопасность включает в себя три основных измерения: конфиденциальность, доступность и целостность. С целью обеспечения длительного непрерывного успеха в бизнесе и уменьшения нежелательных воздействий информационная безопасность предусматривает применение соответствующих мер безопасности, которые включают в себя рассмотрение широкого диапазона угроз, а также управление этими мерами [1, с. 88].

Основные федеральные законы в сфере информационной безопасности

В качестве документов законодательного федерального уровня можно привести следующее [4, с. 105]:

• Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
• Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ;
• Закон РФ «О государственной тайне» от 21.07.1993 № 5485-1;
• Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ;
• Федеральный закон «Об электронной подписи» от 6.04.2011 № 63-ФЗ;
• Федеральный закон «О техническом регулировании» от 27.12.2002 № 184-ФЗ;
• Федеральный закон о коммерческой тайне № 98-ФЗ от 29.07.2004;
• «Кодекс РФ об административных правонарушениях» от 30.12.2001;
• «Трудовой Кодекс Российской Федерации» от 30.12.2001;
• «Гражданский кодекс Российской Федерации» от 30.11.1994 (ч. 4 вступила в силу с 1 января 2008 года);

Основные национальные стандарты информационной безопасности

Кроме федеральных законов в области защиты информации особое значение имеют стандарты безопасности, которые описывают требования к информационным системам и их защите [5, с. 25].

К числу таких стандартов, актуальных для коммерческих предприятий, могут быть отнесены следующие:

• стандарты по менеджменту информационной безопасности;
• стандарты по безопасности информационно-телекоммуникационных систем;
• стандарты по безопасности в финансовой сфере;
• стандарты по интегрированным системам безопасности.

Структура пакета нормативно-правовых документов, обязательных для коммерческих предприятий

Оптимальное и контролируемое обеспечение информационной безопасности предприятия (далее – ИБ) требует наличия пакета документов, системно описывающих цели и взаимосвязи процессов по их достижению.

Документация по обеспечению информационной безопасности предприятия разделяется по уровням, количество уровней зависит от специфики организации и может быть различно.

Как правило, выделяют 4 уровня иерархической структуры документации по информационной безопасности.

Первый уровень – документы, содержащие положения корпоративной политики ИБ организации, определяют высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенные для организации в целом.

Второй уровень - документы, определяющие правила, требования и принципы, используемые применительно к отдельным областям ИБ, видам и технологиям деятельности организации – частные политики ИБ. Кроме того, в состав документов данного уровня рекомендуется включить стандарты технологий обеспечения ИБ организации.

Третий уровень документов по обеспечению ИБ составляют документы, содержащие требования к процедурам обеспечения ИБ, выполняемым работниками в рамках технологических процессов, реализующих технологии, требования ИБ к которым определены в частных политиках организации.

Четвертый уровень документов по обеспечению ИБ составляют документы, содержащие записи о результатах реализации деятельности по обеспечению ИБ, регламентированной документами верхних уровней иерархии, например:

• реестры и описи;
• регистрационные журналы, в том числе журналы регистрации инцидентов; протоколы (например, протокол проведения испытаний);
• листы ознакомления; обязательства (например, обязательства о неразглашении);
• акты, договоры, отчеты и т.д.

Для разработки локальных нормативно-правовых документов необходимо провести аудит предприятия. Концепция информационной безопасности, в общем случае, должна отвечать на три вопроса: - Что защищать? - От чего (кого) защищать? - Как защищать? Если ответы на данные вопросы получены, можно приступить к построению системы защиты информации.

На основании указанных выше положений, для коммерческих предприятий, не работающих с государственной тайной, может быть рекомендована следующая структура пакета документов:

• Перечень сведений составляющих коммерческую тайну;
• Реестр угроз;
• Модель нарушителя;
• Политика ИБ предприятия;
• Политика обработки персональных данных;
• Политика антивирусной защиты;
• Парольная политика
• Политика об использовании сервисов сети Internet и электронной почты (корпоративной поты);
• Политика обеспечения безопасности платежных систем организации;
• Политика обеспечения пропускного и внутриобъектового режимов;
• Политика обеспечения ИБ при взаимодействии с третьими сторонами (аутсорсинг);
• Положение об обработке и защите персональных данных;
• Положение об информации ограниченного доступа предприятия;
• Регламент использования мобильных устройств;
• Инструкция ответственного лица за обработку персональных данных;
• Журнал учета посетителей и работников предприятия;

Выводы

1. В условиях постоянного роста числа правонарушений в информационной сфере особую важность приобретает защита информационных ресурсов предприятия.
2. Из всех направлений обеспечения информационной безопасности предприятия приоритет принадлежит организационной защите, определяющей работу и взаимодействие других направлений защиты (технической, программно-аппаратной, криптографической и т.д.).
3. Разработка локальной правовой базы для коммерческих предприятий должна вестись на основе федеральных законов и национальных стандартов в области информационной безопасности.
4. Представленная структура пакета локальных нормативно-правовых актов может быть рекомендована для использования коммерческими предприятиями, не связанными с государственной тайной.

Список литературы:

1. Арламов Е.А., Анализ состояния информационной безопасности в современной России [Текст] / Е.А. Арламов, Г.О. Панасюк // Экономика и менеджмент инновационных технологий. 2016. № 12.
2. Информационно-аналитический центр МВД РФ [Электронный ресурс]. – URL: https://мвд.рф/mvd/structure1/Centri/Glavnij_informacionno_analiticheskij_cen
3.    Интернет-портал информационной безопасности в сети [Электронный ресурс]. – URL: https://safe-urf.ru/specialists/article/5244/626223/
4. Родичев Ю.А. Компьютерные сети. Нормативно-правовые аспекты информационной безопасности. Часть 1. Учеб. пособие для вузов. - Самара: изд-во «Универс-групп», 2007. - 344 с.
5. Родичев Ю.А. Информационная безопасность. Национальные стандарты Российской Федерации. Учебное пособие. 2-е изд. – СПб.: Питер, 2019 – 304 с.