Информационная безопасность предприятия: сущность, основные проблемы обеспечения

На сегодняшний день большинство современных предприятий функционируют в очень непростых условиях, и в ответ на эти условия требуется применять особые меры и действия. Стабильному росту и развитию предприятия препятствует множество рисков и угроз, которые оказывают негативное влияние на независимость и устойчивость компаний. В XXI веке значительно выросло количество информации, использование и обработка которой является необходимым условием для нормального функционирования предприятия любого уровня.

Одна из очень важных позиций в практике работы предприятия – это соблюдение правил информационной безопасности (ИБ) при работе с различными массивами данных. В широком смысле под ИБ понимают обеспечение законных интересов субъекта в информационной сфере, в узком (конкретном) смысле под ИБ предприятия подразумевается состояние (свойство) системы управления предприятием, обеспечивающее контроль информационных потоков, процессов и систем обработки данных и защиту от воздействия на них внешних и внутренних факторов.

Основными факторами, которые способствуют увеличению уязвимости, являются:

• -     рост объема информации, которая накапливается, хранится и

• обрабатывается с помощью ЭВМ и других автоматизированных средств;

• -     единые базы данных информации разного характера  и

• принадлежностей;

• -    расширение круга пользователей, которые имеют непосредственный доступ к ресурсам вычислительной системы и находящимся в ней данных;

• -    сложность режимов функционирования технических средств вычислительных систем: широкое внедрение многопрограммного режима, режимов разделения времени и режима реального времени;

• -    автоматизация межмашинного обмена информацией [2].

Следует отметить, что угроза сохранности информационных ресурсов компании не обязательно поступает извне, утечка или утрата данных может произойти по причинам, спровоцированным внутри организации. Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать следующими данными:

• -    82% угроз совершается собственными сот рудниками фирмы либо при их прямом или опосредованном участии;

• -    17% угроз совершается извне — внешние угрозы;

• -    1% угроз совершается случайными лицами.

«Закрыть глаза» на проблему обеспечения ИБ практически не представляется возможным ни для одного предприятия. Согласно статистическим опросам, за 2014 год около 98% компаний в России сталкиваются с инцидентами безопасности информации, которые вызваны факторами извне. Самая значимая из внешних угроз, около 77%, это вредоносное программное обеспечение. 74% составляют нежелательные электронные письма, т.к. «спам» часто содержит в себе вирус или ссылку на «фишинговый» сайт.

Несмотря на столь неутешительную статистику, руководство предприятий чаще всего не уделяет в своей деятельности должного внимания аспекту ИБ. Зачастую это связано с недостаточной информированностью руководителей по данному вопросу. Такая ситуация складывается из-за специфического характера сведений, которым должен обладать человек, рассматривающий эти вопросы, а также из-за стремительного развития информационных технологий и также в связи с особенностями современного законодательства и постоянно меняющихся требований к защите информации. Для грамотного понимания задач обеспечения ИБ руководителю рекомендуется пройти хотя бы минимальных курс обучения. Конечно, не обязательно знать абсолютно всё о защите информации, но понимать основные задачи высшие менеджеры обязаны [3].

Кроме того, в современных компаниях часто отсутствует ответственное за обеспечение ИБ лицо, из-за чего контроль за этим важным процессом оказывается в должной мере не обеспечен. Данное лицо должно отвечать за состояние ИБ на предприятии, регулярно собирать, обобщать и анализировать информацию о ИБ на предприятии, осуществлять документальное сопровождение и регулярно информировать руководство о состоянии дел по вопросам ИБ на предприятии. Весьма существенным элементом функций ответственного лица является разработка системы и правил наказаний за нарушения правил ИБ (отсутствие такой системы является характерным для большинства действующих предприятий). Документ должен быть утвержден руководителем предприятия, выполнение его должно оперативно контролироваться. Также человек, занимающую должность ответственного за ИБ лица, должен регулярно проходить переобучение и информировать руководство о последних важных тенденциях в этом вопросе, особенно изменениях в области законодательства.

Нельзя не отметить, что недостаточное финансовое обеспечение защиты информационных ресурсов компании может привести к значительно большим затратам вследствие утраты или хищения важной организационной информации. Именно поэтому при разработке системы защиты информации необходимо учитывать финансовые аспекты ИБ бизнеса, которые, по существу, выступают в качестве факторов, влияющих на прибыль предприятия:

• -    величина внутренних издержек, в том числе на содержание коллектива и затрат на обеспечение безопасности. В результате задания неправильных требований по безопасности, величина издержек может стать настолько обременительной, что сделает бизнес неэффективным;

• -    качество управления собственными активами;

• -    качество работы коллектива, обеспечивающего бизнес-процессы;

• -    скорость реакции коллектива на внешние факторы, влияющие на компанию, или на управляющие воздействия;

• -    стратегия и качество ведения самого бизнеса;

• -    выбранная стратегия управления рисками, в том числе экономическими рисками и рисками информационной безопасности.

Обеспечение ИБ на предприятии какими-либо способами почти всегда сопряжено с определенными затратами. Эти затраты смело можно назвать инвестициями в ИБ, т.к. они осуществляются с целью извлечения в конечном итоге финансовых выгод. В случае с защитой информации данные выгоды будут представлены в форме сохраненных средств, которые предприятие могло бы потратить на устранение последствий информационных «атак».

Таким образом, в условиях современной динамично развивающейся экономической ситуации вопрос обеспечения информационной безопасности предприятий становится особенно острым, ведь каждой компании неизбежно приходится с этим столкнуться. К сожалению, руководство многих организаций недостаточно ответственно подходит к разработке политики ИБ, часто игнорируя необходимость назначения конкретного должностного лица, ответственного за вопросы ИБ и выделяя недостаточные объемы финансирования на защиту производственной информации.