Обеспечение информационной безопасности предприятия
Тема 7. Экономическая безопасность предприятия
Предприятие, фирма, организация
Источники угроз экономической безопасности предприятия.
Обеспечение информационной безопасности предприятия.
1. Предприятие- это самостоятельно хозяйствующий субъект, созданный учредителями (собственниками имущества) – предпринимателями, объединением предпринимателей, уполномоченным органом государства, трудовым коллективом в процессе приватизации для производства продукции, выполнения работ, оказания услуг для удовлетворения общественных потребностей с целью получения прибыли в долгосрочном периоде. В краткосрочном периоде предприятие может ставить целью не получение прибыли, а, например, инвестирование создания новой конкурентоспособной продукции, повышение квалификации персонала, выход на внешний рынок и др. В конечном итоге эти инвестиции в долговременном периоде должны быть компенсированы получением дополнительной массы прибыли.
Каждое предприятие является юридическим лицом, которое характеризуют следующие признаки:
наличие организационного единства и организационной обособленности, фиксируемых в уставе и учредительных документах;
обособленность имущества, что отражается в бухгалтерском балансе, уставе и учредительном договоре;
способность от своего имени приобретать имущественные права и осуществлять иные хозяйственные сделки;
ответственность по обязательствам всем своим имуществом;
способность быть истцами и ответчиками в суде, арбитражном или третейском суде.
Предприятие имеет законченную (завершенную) систему учета и отчетности, самостоятельный баланс, банковский расчетный счет, печать с собственным названием, а в отдельных случаях и товарный знак.
Фирма – также юридически самостоятельная предпринимательская единица в форме концерна или небольшой компании. Современная фирма включает обычно несколько предприятий и по отношению к входящим в ее состав производственным единицам является органом предпринимательского управления. Именно фирма, а не предприятия выступает на рынке как хозяйственный субъект, участвующий в конкурентной борьбе, осуществляющий научно-техническую и ценовую политику, распределение прибыли.
Организация как процесс представляет собой совокупность действий, ведущих к образованию и совершенствованию взаимосвязей между частями целого, регулируется законами о труде, процессуальными и уголовными кодексами. Организация представляет собой сознательно координируемое социальное образование с определенными границами, которое функционирует на относительно постоянной основе для достижения общей цели или целей. Под словами «сознательно координируемое» понимается управление, под «социальным образованием» — то, что организация состоит из отдельных людей или их групп, взаимодействующих между собой. Как явление она представляет физическое объединение реальных элементов (людей, техники) для выполнения программы или цели. В России организации как явления регулируются Гражданским кодексом РФ. Как воздействие – это упорядочение или налаживание какого-либо объекта.
2.Угроза безопасности - это совокупность факторов и условий, создающих опасность для нормального функционирования объектов экономики в соответствии с их целями и задачами. В зависимости от субъектной обусловленности негативных воздействий на экономическую безопасность предприятия может применяться следующая градация этих негативных воздействий.
Объективные негативные воздействия - это такие негативные воздействия, которые возникают без участия и помимо воли предприятия или его служащих.
Субъективные негативные воздействия - это негативные воздействия, возникшие как следствие неэффективной работы предприятия в целом или его работников. Существуют и иные классификации. Так, в зависимости от возможности их прогнозирования следует выделять угрозы, которые можно предвидеть или предсказуемые и непредсказуемые. К первым относятся те которые, как правило, возникают в условиях, известных из опыта хозяйственной деятельности своевременно выявлены и обобщены экономической наукой.
Основной классификацией угроз является их деление на внешние и внутренние.
К внешним угрозам относится широкий круг негативных воздействий. Первая группа угроз исходит от нормативных актов, принимаемых руководством страны, и подзаконных актов, издаваемых различными ведомствами (Центральный банк РФ, Министерство по налогам и сборам и др.), которые иногда противоречат законам и друг другу, однако все равно подлежат исполнению. Вторая группа внешних угроз вытекает из невыполнения партнерами, заказчиками, поставщиками, клиентами своих обязательств по оплате контрактов, поставке товаров и т.п. В этом случае ущерб возникает из-за неправильного прогноза всех возможных последствий того или иного мероприятия. Третья группа угроз обусловлена внутренними конфликтами в коллективе или среди руководства экономической структуры либо преступными наводками со стороны персонала (часто со стороны охраны). С учетом реальности данных угроз, следует привлекать службы безопасности к решению кадровых вопросов.
К внутренним угрозам безопасности негосударственных объектов экономики относятся: противоправные и иные негативные действия кадровых сотрудников объектов; нарушения установленного режима сохранности сведений, составляющих коммерческую тайну; нарушения порядка использования технических средств; иные нарушения порядка и правил соблюдения режима безопасности на объекте, создающие предпосылки для реализации преступными элементами своих целей и возникновения чрезвычайных происшествий.
3.Защита компьютерных систем от преднамеренных или случайных программных воздействий стала в настоящее время осознанной необходимостью. Обеспечить надежную защиту от компьютерных вирусов, «троянских коней», логических «бомб» и т. п. угроз информационной безопасности становится все труднее и дороже.
Анализ уже раскрытых преступлений, с одной стороны, показывает две особенности: во-первых, их совершают, как правило, мастера своего дела и люди с незапятнанной репутацией, хорошо владеющие тонкостями информационных технологий, во-вторых, при этом используется метод мистификации, маскировки под запросы других «легальных» пользователей, незаконного подключения к аппаратуре и линиям связи.
Систему обеспечения безопасности автоматизированной информации можно разбить на следующие подсистемы: компьютерную безопасность, которая обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности связанных с ним ресурсов; безопасность данных, которая достигается защитой от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашений; безопасность программного обеспечения, представляющая собой прикладные программы и средства, осуществляющие безопасную обработку данных в системе; безопасность коммуникаций, которая обеспечивается посредством аутентификации телекоммуникаций зачет принятия мер по предотвращению предоставления неавторизованным лицам критической информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.
Специалисты делят угрозы информационным системам предприятия на два типа: целевые и нецелевые. К первым относится сознательная деятельность различных злоумышленников, в корыстных целях стремящихся украсть или повредить информационную базу предприятия. Второй тип - угрозы, напоминающие стихийные бедствия: вирусы, спам и другие массово распространяемые вредоносные программы, а также собственно стихийные бедствия (землетрясения, наводнения, пожары и т. д.).
Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.
Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.
Порядок защиты информации, составляющей коммерческую тайну, предусматривает самое широкое применение различных видов нормативных документов разного уровня и происхождения: право конфиденциальности и право на защиту коммерческой тайны (патентование, использование норм авторского права, применение норм обязательного права); нормативные акты, регламентирующие соблюдение информационной безопасности на предприятии; положение о коммерческой тайне; инструкция по соблюдению сотрудниками предприятия режима конфиденциальности; разделы устава предприятия, регламентирующие защиту коммерческой тайны; положение о специальном совете предприятия по вопросам защиты коммерческой тайны; соглашение о неразглашении коммерческой тайны.
Для того чтобы требовать от сотрудников, партнеров выполнения обязательства о неразглашении коммерческой тайны, необходимо соблюсти ряд условий: обладатель коммерческой тайны должен определить перечень сведений, утвержденный администрацией компании, относящихся к коммерческой тайне; сотрудник, имеющий доступ к таким сведениям, должен быть ознакомлен с таким перечнем, что и подтвердить своей подписью; сотруднику должны быть разъяснены особенности режима коммерческой тайны и ответственности за ее разглашение. Данная информация, как правило, содержится в положении о коммерческой тайне, утверждаемом администрацией компании. Факт ознакомления работника с этим положением, как и с указанным выше перечнем сведений, должен быть подтвержден документально; трудовой или гражданско-правовой договор (например, договор подряда) с лицом, имеющим доступ к коммерческой тайне, должен содержать положение, содержащее обязательство о неразглашении коммерческой тайны.
Перечень сведений, составляющих коммерческую тайну, определяется руководством предприятия. Перечень сведений, которые не могут составлять коммерческую тайну, определяется правительством Российской Федерации.
Коммерческую тайну могут составлять сведения: незапатентованные научно-технические разработки; базы данных и программы для ЭВМ, созданные работниками организации; информация о потенциальных покупателях и поставщиках и пр.
Охраняемая коммерческая информация существует в виде схем, чертежей, описания технологии, рецептур и т. д.
Право на отнесение информации к коммерческой тайне имеют руководители юридического лица, занимающегося коммерческой деятельностью, независимо от формы собственности, те, кто имеют право выступать от его имени, а также физические лица, осуществляющие предпринимательскую деятельность без образования юридического лица. Сведения, составляющие коммерческую тайну, включают определение и утверждение их перечня, установление правил отнесения информации к коммерческой тайне, постановки и снятия грифа конфиденциальности, определение условий передачи информации, отнесенной к коммерческой тайне, другим лицам, сроков, порядка защиты такой информации и доступа к ней, правил ее использования.