Экономическая безопасность предприятия и риски предпринимательской деятельности

- необходимо чёткое разграничение  деятельности каждого банковского  работника и предоставление информации  строго в необходимом для работы  объёме;

- необходим полноценный анализ  всех решений кредитований и  инвестиций, осуществляемых банком;

- существенную роль играют системы  контроля за деятельностью работников  и системы обеспечения безопасности  самого производственного процесса.

Эффективное обеспечение экономической  безопасности банка осуществляется в основном экономическими методами, хотя необходимость проведения определённых мер строго охранного характера  так же продолжает присутствовать.

Служба экономической безопасности банка должна представлять собой  структуру, состоящую из специалистов по информационной безопасности; экономистов, чётко представляющих себе работу на местах; юристов; специалистов по экономическому анализу и специалиста по обеспечению  имущественной безопасности и безопасности остального персонала.

Руководить службой безопасности, несомненно, должен человек, обладающий не только большими организаторскими способностями, но и знаниями во всех перечисленных сферах деятельности.

 

 

3 БЕЗОПАСНОСТЬ ИНФОРМАЦИИ

 

3.1 Проблемы безопасности  информационной инфраструктуры  бизнеса. Обеспечение информационной  безопасности бизнеса в современных  условиях

 

В системе современного бизнеса  существуют значительные массивы информации, обеспечение целостности, доступности  и конфидециальности которых  имеет для бизнеса решающее значение. В современном бизнесе практически  вся эта информация хранится и  обрабатывается в автоматизированных информационных системах (АИС). Поэтому  эффективность деятельности предриятия становится все в большей степени зависима от устойчивости функционирования и защищённости этих систем. Потеря работоспособности АИС может повлечь негативные последствия для бизнес-структуры, а в некоторых случаях привести к гибели системы в целом.

На начальных этапах внедрения  информационных технологий АИС использовались главным образом в системах учёта  и контроля. В настоящее время  АИС всё активнее используются в  качестве ядра бизнес-процессов. Новый  импульс для применения информационных технологий в бизнесе дал Интернет. Важнейшим для развития Интернет-бизнеса  является сектор платежных систем и  систем обеспечения безопасности электронного документооборота.

Расширение видов деятельности, круга клиентов и поставщиков, освоение новых рынков, появление новых  служб – всё это ведет к  усложнению структуры и алгоритмов функционирования организации и  к постоянному совершению её информационной инфраструктуры на основе новых компьютерных и телекоммуникационных технологий.

Вместе с тем, с созданием  АИС расширяется число источников угроз нарушения информационной безопасности. источники угроз информационной безопасности бизнеса можно условно  разделить на внешние и внутренние. К внешним источникам можно отнести:

- Деятельность конкурентов, использующих  методы недобросовестной конкуренции:  промышленный и экономический  шпионаж, шантаж, дезинформацию,  «чёрный» пиар;

- Действия хакеров и крекеров, стремящихся взломать систему  защиты АИС организации с целью  её дезорганизации;

- Агентурную деятельность иностранных  спецслужб и систем электронного  шпионажа, специализирующихся на  промышленном и экономическом  шпионаже [В качестве примера  такой системы можно привести  американскую систему Echelon, о степени, опасности которой можно судить по тем данным и фактам, которые широко обсуждались в руководящих кругах европейского общества, экономика которого понесла существенные потери в результате утечки по каналам системы Echelon информации о ряде крупных контрактов, «перехваченных» американскими подрядчиками у европейских];

- Недостаточный ассортимент сертифицированных  средств защиты информации;

- Действия недобросовестных клиентов, стремящихся к получению незаконной  выгоды;

- Деятельность недобросовестных  клиентов, стремящихся ради собственной  выгоды нанести ущерб организации;

- внутренним источникам относятся:

- Использование организацией технологий  обработки информации, которые не  обеспечивают требуемую защиту  информации;

- Недостаточную надёжность систем  защиты информации;

- Недобросовестность и низкую  квалификацию персонала;

- Использование несертифицированных  и закладок, аппаратных и программных  средств;

- Недостаточную безопасность (техническую,  пожарную и т.д.) зданий и помещений,  в которых расположена АИС;

- Недостаточная надёжность систем  энергоснабжения и жизнедеятельности;

-·Использование «пиратских» копий  программного обеспечения;

Чтобы представить весь круг и всю  сложность задач по обеспечению  информационной безопасности в таких  условиях, приведём перечень объектов, нуждающихся в защите, и мер, которые  могут быть приняты.

Объектами обеспечения информационной безопасности являются:

- Здания, помещения и территории, на которых расположены средства  АИС и где могут вестись  переговоры и обмен конфидециальной  информацией;

- Технические средства АИС –  компьютерное оборудование, оборудование  локальных сетей, кабельная система,  телекоммуникационное оборудование;

- Программные средства АИС;

- информация, хранимая и обрабатываемая  в АИС, и передаваемая по  каналам связи;

- автономные носители информации (CD-диски, дискеты и т.д.);

- сотрудники организации, работающие  с АИС и являющиеся носителями  конфидециальной информации и  информации по защите АИС.

Все меры защиты можно разделить  на четыре категории:

1. Защита территорий и помещений,  где расположена АИС (20%);

2. Защита от технических средств  шпионажа (12%);

3. Защита АИС и хранилищ с  носителями информации (28%);

4. Меры по работе с персоналом (40%).

Меры защиты территории и помещений  включают следующие технические  системы:

- Пожарной безопасности;

- Охранной сигнализации;

- Охранного телевидения и видеонаблюдения;

- Управление допуском, включая  системы опознавания личности  и другие системы, позволяющие  автоматизировать процесс допуска  людей и транспорта в защищаемые  здания и сооружения, а также  дающие возможность отслеживать  длительность пребывания и маршруты  передвижения людей на защищаемых  объектах;

- Входного контроля (металлодетекторы, средства обнаружения радиоактивных  веществ и т.п.);

- Инженерные средства защиты  – специальные замки и двери,  решётки на окнах, защитные  оконные плёнки, пулестойкие оконные  бронемодули и др.

Меры защиты от технических средств  шпионажа включают:

- Поиск и уничтожение технических  средств шпионажа;

- Шифрование телефонных переговоров,  факсимильных сообщений, всей  информации, передаваемой по каналам  телефонной связи;

- Подавление технических средств  шпионажа постановкой помех;

- Экранирование помещений и  источников электромагнитных излучений;

- Заземление, звукоизоляция;

Меры защиты АИС включают:

- Выработку политики безопасности  в АИС;

- Организационные меры по внедрению  политики безопасности;

- Защиту оборудования (компьютеров)  от нарушения их целостности;

- Антивирусную защиту программного  обеспечения;

- Проверку целостности аппаратных  средств и программного обеспечения,  установленного на компьютерах  АИС;

- Создание систем разграничения  доступа к ресурсам информационно-вычислительной  системы и к базам данных;

- Определение пользователей при  доступе к ресурсам локальной  сети и базам данных;

- Протоколирование действий пользователей  при работе на компьютере в  сетях;

- Аудит протоколов действий  пользователей;

- Использование прокси-серверов;

- Установку систем обнаружения  атак;

- Применение систем криптографической  аутентификации и защиты информации  в телекоммуникационных сетях;

- Создание систем учёта и  контроля информации, хранимой на  автономных носителях информации, и учёта этих носителей;

- Создание систем резервного  копирования и хранения информации, по возможности, территориально-распределённых;

- Использование систем резервирования  электропитания;

- Проведение расследований попыток  нарушения информационной безопасности  АИС, в том числе с привлечением  профессиональных служб компьютерных  криминалистов;

- Периодический контроль программного  обеспечения, установленного на  компьютерах пользователей, на  предмет его легальности.

Большинство из указанных мер, как  правило, реализуется путём установки  в АИС специальных прграммно-аппаратных средств. Вся совокупность программных  и технических средств защиты информации в АИС объединяется в  подсистему информационной безопасности АИС.

 

3.2 Управление информационной  безопасностью бизнеса

 

Очевидно, что принятие всех возможных  средств и методов защиты на все  случаи жизни нереально. От чрезмерных мер безопасности организационная  система может стать неработоспособной  и разорительной для собственников. Решение этой коллизии состоит в  необходимости создания механизма, который позволил бы, отслеживая реальные риски и угрозы, принимать рациональные, наиболее эффективные и посильные  для организации меры защиты. Таким  механизмом может стать создание системы управления финансами, качеством, проектами, функционирующим в любой  организации. Такое решение будет  представлять собой тот самый  системный комплексный подход к  обеспечению информационной безопасности бизнеса, который будет гарантировать  защиту от неприятных «сюрпризов», связанных  с нарушением защиты информации.

В рамках системы управления информационной безопасностью бизнеса должны решаться следующие задачи:

- контроль и управление функционированием  подсистемы информационной безопасности;

- регистрация попыток вторжения  в АИС, разбор и расследование  фактов нарушения информационной  безопасности;

- изучение известных моделей  хакерских атак и взлома компьютерных  систем, анализ возможности их  реализации в отношении АИС  организации, принятие мер по  устранению возможностей реализации  такого рода атак и методов  взлома;

- организация антивирусной защиты  компьютеров организации;

- управление рисками нарушения  информационной безопасности;

- подготовка планов и предложений  по совершенствованию подсистемы  информационной безопасности и  политики безопасности;

- разработка новых решений по  защите информации;

- внедрение новых средств защиты  информации;

- управление персоналом, в аспектах, связанных с обеспечением информационной  безопасности организации;

- управление страховыми гарантиями  безопасности используемых компьютерных  и телекоммуникационных технологий.

 

 

3.3 Коммерческая тайна

 

Сейчас на рынке безопасности наиболее востребованы физическая и техническая  защита. Хотя очевидно, что по мере становления  такого рынка спрос на них сужается и со временем обратится к технологиям  защиты коммерческой тайны, услугам  по обеспечению информационной безопасности, защите от риска в сугубо коммерческой (предпринимательской) деятельности, т.е. на специфические навыки контрразведчиков, разведчиков и аналитиков коммерческих служб безопасности.

Предпринимательская деятельность всегда тесно связана с получением, накоплением, хранением, обработкой и использованием информации. В настоящее время  она приобрела коммерческую ценность, стала продуктом и товаром, имеющим  своего владельца, стоимость и рынки  сбыта. Конкуренция, желание преуспеть  вынуждают российские предприятия  копить секреты и создавать структуры  по их добыванию и защите своих  информационных ресурсов. Сегодня уровень  конкурентоспособности зависит  от умения защитить свою деловую и  техническую информацию от хищения, несанкционированного использования, изменения или уничтожения.

Несмотря на это обстоятельство, менеджеры и руководители многих российских предриятий обнаруживают полное невежество в вопросах информационной безопасности. Социологический опрос, проведённый на российских промышленных объектах, показал, что даже управленцы не всегда твёрдо знают, что кроется под понятием «коммерческая тайна». Из всех опрошенных (около 100 служащих) правильное определение коммерческой тайны дали 7%, неправильное – 30%, затруднились ответить 63%.не сумели ответить, что относится к коммерческой тайне, более 60%, а 40%служащих даже не подозревали о существовании на предприятии сведений, составляющих коммерческую тайну. Приведённые цифры ярко иллюстрируют существующее в предриятиях непонимание сущности коммерческой тайны.