• данные контрактов и договоров, выполняемых организацией;
• данные о текущем финансовом, материальном, техническом состоянии организации;
• данные о перспективных и готовящихся проектах и договорах, бизнес-планы;
• данные о персонале;
• данные об используемых ноу-хау;
• данные о текущей деятельности организации;
• данные учета (оперативного, бухгалтерского, движения материальных средств и др.);
• данные, необходимые для выполнения функциональной деятельности всех подразделений организации.

На начальных этапах внедрения информационных технологий АИС использовались главным образом в системах учета и контроля. В настоящее время АИС все активнее используются в качестве ядра бизнес-процессов. Новый импульс для использования информационных технологий в бизнесе дал интернет. Сначала его роль сводилась, главным образом, к роли нового канала коммуникаций – через электронную почту пошел основной поток переписки между сотрудниками фирм. В настоящее время наиболее популярными являются два направления развития бизнеса через интернет, получивших названия: "business to business" (B2B) и "business to customer" (B2C).

Важнейшим для развития интернет-бизнеса является сектор платежных систем и систем обеспечения безопасности электронного документооборота. Роль и число организаций этого сектора будут возрастать по мере интенсификации использования интернета в бизнесе, расширения и укрепления нормативной и законодательной базы интернет-экономики. В значительной степени именно недостаточная развитость указанного сектора препятствует развитию новых форм бизнеса с применением интернета. В качестве еще одного препятствия нельзя не отметить противоречивость существующей нормативно-правовой базы по вопросам применения криптографии. И если в законодательной области в ближайшее время можно рассчитывать на какие-то сдвиги в связи с принятием Закона об электронной цифровой подписи, то в области криптографического обеспечения интернет-бизнеса можно констатировать чрезвычайно тревожную ситуацию.

На сегодняшний день существует положение о том, что разрешено использование в системах общего пользования только сертифицированных ФАПСИ средств криптографической защиты информации, что обеспечивает определенные гарантии их безопасности, но нужно что-то делать с тем, чтобы при этом решалась проблема отсутствия на отечественном рынке достаточно полного набора средств криптографической защиты, отвечающих указанному требованию. Предлагаемые отечественными предприятиями сертифицированные средства и системы криптографической защиты либо ориентированы на ведомственные решения, либо предназначены для создания систем обслуживания узкого круга клиентов и не применимы для реализации реальных крупномасштабных проектов интернет-бизнеса.

Для успешного развития систем электронной коммерции в нашей стране нужно обеспечить возможности широкого доступа пользователей к криптографическим средствам формирования электронно-цифровой подписи (ЭЦП). Необходимо создать сеть удостоверяющих центров открытых ключей ЭЦП, которые будут выдавать сертификаты открытых ключей и удостоверять их правильность при заключении сделок и проведении финансовых транзакций.

Развитие современного бизнеса невозможно без обеспечения конфиденциальности при обмене информацией через телекоммуникационные каналы связи, что делает обязательным применение надежных средств шифрования. Однако требование обеспечения широкомасштабного доступа к средствам сильного шифрования в масштабе страны сталкивается с проблемой существования угрозы того, что средства шифрования могут быть использованы преступными организациями для координации и организации своей деятельности или использоваться недобросовестными предпринимателями, например, для ведения двойной бухгалтерии и сокрытия доходов от налогообложения. Для нейтрализации этих угроз необходимо создать эффективную инфраструктуру центров доверенного хранения и восстановления секретных криптографических ключей. Для того, чтобы нейтрализовать угрозы возможных злоупотреблений со стороны обслуживающего персонала или официальных лиц соответствующего уровня, необходимо разработать и реализовать технологии распределенного хранения отдельных частей ключей в различных центрах с возможностью предоставления частей ключей только их владельцам или правоохранительным органам в порядке, установленном законодательством.

В ближайшее время в стране должна быть усовершенствована система оценки безопасности информационных технологий (см., например, интервью заместителя начальника Управления лицензирования и сертификации Гостехкомиссии России

И.А. Калайды информационному бюллетеню JetInfo (№8 за 2000 г., http://www.jetinfo.ru/2000/8/2/article2.8.2000.html). В настоящее время для оценки уровня безопасности средств информатизации и автоматизированных систем применяется набор требований Рабочих документов (РД) Гостехкомиссии, большинство из которых разработаны около 10 лет назад и не удовлетворяют современным требованиям. Ближайшим шагом должно стать принятие российского стандарта, близкого по своему составу и содержанию к Общим критериям оценки безопасности информационных технологий, зафиксированным в международном стандарте ISO 15408. На основе этого ГОСТа предполагается разработать и принять Профили защиты для конкретных типов средств информатизации, по которым можно будет проводить сравнение уровней информационной защищенности, которые обеспечивают соответствующие средства.

Обеспечение информационной безопасности бизнеса в современных условиях

Расширение видов деятельности, освоение новых рынков, расширение круга клиентов и поставщиков, появление новых служб – все это ведет к усложнению структуры и алгоритмов функционирования организации и к требованию постоянного совершенствования ее информационной инфраструктуры на основе новых компьютерных и телекоммуникационных технологий.

Вместе с тем с созданием АИС расширяется число источников угроз нарушения информационной безопасности.

Источники угроз информационной безопасности бизнеса можно условно разделить на внешние и внутренние. Ориентировочное соотношение степени опасности этих источников, рассчитанное на основе данных публикаций по этой тематике в прессе и в интернете за последние два года, составляет 15 к 85.

К внешним источникам можно отнести:

• деятельность конкурентов, использующих методы недобросовестной конкуренции: промышленный и экономический шпионаж, шантаж, дезинформацию, "черный" пиар;
• действия хакеров и крекеров, стремящихся взломать систему защиты АИС организации с целью дезорганизации ее функционирования;
• агентурную деятельность иностранных спецслужб и систем электронного шпионажа, специализирующихся на промышленном и экономическом шпионаже; в качестве примера можно привести американскую систему Echelon; европейская экономика понесла существенные потери в результате утечки по каналам системы Echelon информации о ряде крупных контрактов, "перехваченных" американскими подрядчиками у европейских;
• недостаточный ассортимент сертифицированных средств защиты информации;
• отсутствие инфраструктуры контроля достоверности открытых ключей ЭЦП;
• ограниченность и противоречивость нормативно-правовой базы развития систем криптографической защиты информации, электронного документооборота, электронных платежей, электронной коммерции;
• действия недобросовестных клиентов, стремящихся к получению незаконной выгоды;
• деятельность недобросовестных партнеров, стремящихся ради собственной выгоды нанести ущерб организации.

• использование организацией технологий обработки информации, которые не обеспечивают требуемую защиту информации;
• недостаточная надежность программно-аппаратных средств обработки данных;
• недостаточная надежность систем защиты информации и, в частности, средств криптографической защиты информации;
• недобросовестность и низкая квалификация персонала;
• периодические обновления и модификация информационных систем;
• использование несертифицированных аппаратных и программных средств, в частности, присутствие недокументированных возможностей и закладок;
• недостаточная безопасность (техническая, пожарная, и т.д.) зданий и помещений, в которых расположена АИС;
• недостаточная надежность систем энергоснабжения и жизнедеятельности;
• использование "пиратских" копий программного обеспечения.

Объектами обеспечения информационной безопасности являются:

• здания, помещения и территории, на которых расположены средства АИС и где могут вестись переговоры и обмен конфиденциальной информацией;
• технические средства АИС – компьютерное оборудование, оборудование локальных сетей, кабельная система, телекоммуникационное оборудование;
• программные средства АИС;
• информация, хранимая и обрабатываемая в АИС и передаваемая по каналам связи;
• автономные носители информации (CD-диски, дискеты, и т.д.);
• сотрудники организации, работающие с АИС и являющиеся носителями конфиденциальной информации и информации о защите АИС.

• меры защиты от НСД территорий и помещений, где расположена АИС (20%);
• меры защиты от технических средств шпионажа (12%);
• меры защиты АИС и хранилищ с носителями информации (28%);
• меры по работе с персоналом (40%).

• системы пожарной безопасности;
• системы охранной сигнализации;
• системы охранного телевидения и видеонаблюдения;
• системы управления допуском, включая биометрические системы опознавания личности и другие системы, позволяющие автоматизировать процесс допуска людей и транспорта в защищаемые здания и помещения, а также дающие возможность отслеживать длительность пребывания и маршруты передвижения людей на защищаемых объектах;
• системы входного контроля (металлодетекторы, интроскопы, средства обнаружения радиоактивных веществ и т.п.);
• инженерные средства защиты – специальные замки и двери, решетки на окнах, защитные оконные пленки, пулестойкие оконные бронемодули.

• поиск и уничтожение технических средств шпионажа;
• шифрование телефонных переговоров, факсимильных сообщений, всей информации, передаваемой по каналам телефонной и иной связи;
• подавление технических средств шпионажа постановкой помех;
• экранирование помещений и источников электромагнитных излучений; заземление, звукоизоляция.

• выработку политики безопасности (правил разграничения доступа к информации) в АИС;
• организационные меры по внедрению политики безопасности, включая подготовку и издание приказов и распоряжений по обеспечению информационной безопасности, меры по мониторингу и контролю их исполнения;
• защиту оборудования (компьютеров) от нарушения их целостности;
• антивирусную защиту программного обеспечения;
• аутентификацию пользователей при допуске к работе на компьютере;
• проверку целостности аппаратных средств и программного обеспечения, установленного на компьютерах АИС;
• создание систем разграничения доступа к ресурсам информационно-вычислительной системы и к базам данных;
• аутентификацию пользователей при доступе к ресурсам локальной сети и базам данных;
• протоколирование действий пользователей при работе на компьютере в сетях;
• аудит протоколов действий пользователей;
• создание систем криптографической защиты информации в локальной сети;
• установку межсетевых экранов между локальной сетью и каналами телекоммуникационного доступа; использование прокси-серверов;
• установку систем обнаружения атак;
• применение программного обеспечения сканеров контроля защищенности АИС от сетевых атак;
• применение систем криптографической аутентификации и защиты информации в телекоммуникационных сетях;
• создание систем резервного копирования и хранения информации, по возможности, территориально-распределенных;
• использование систем резервирования электропитания;
• создание систем защиты структурированной кабельной сети АИС, в том числе от утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИиН);
• создание систем учета и контроля информации, хранимой на автономных носителях информации, и учета этих носителей;
• проведение расследований попыток нарушения информационной безопасности АИС, в том числе с привлечением профессиональных служб компьютерных криминалистов;
• периодический контроль программного обеспечения, установленного на компьютерах пользователей, на предмет его легальности.

Меры по работе с персоналом включают:

• определение и закрепление дисциплинарной и иной ответственности каждого сотрудника за соблюдение условий конфиденциальности и других условий обеспечения безопасности информации в организации; информирование его об уголовной, административной и дисциплинарной ответственности, возникающей при злоупотреблениях во время работы с АИС и конфиденциальной информацией;
• контроль знаний и умений персонала, в том числе по действиям в чрезвычайных условиях компьютерных атак и по восстановлению информационных баз и работоспособности АИС после потери информации или нарушений регламентов работы АИС;
• контроль усвоения персоналом политики безопасности организации, знание им приказов, распоряжений и инструкций по обеспечению информационной безопасности;
• контроль и повышение квалификации персонала в области защиты информации, в том числе в области распознания приемов социальной инженерии, которые к ним могут быть применены;
• предупреждение эксцессов выражения нелояльности к организации, к ее руководству или к другим сотрудникам путем воздействия на ее информационную систему;
• контроль лояльности и исключение возможности вербовки персонала; все чаще для выполнения этого требования в коммерческих структурах используют детекторы лжи;
• разъяснение недопустимости использования нелегального, "пиратского" ПО.

Очевидно, что принятие всех возможных средств и методов защиты на все случаи жизни абсурдно и нереально. От чрезмерных мер безопасности организационная система может стать неработоспособной и разорительной для собственников. Решение этой коллизии состоит в необходимости создания механизма, который бы позволил, отслеживая реальные риски и угрозы, принимать рациональные, наиболее эффективные и посильные для организации меры защиты. Таким механизмом может стать создание системы управления информационной безопасностью, аналогичной системам управления финансами, качеством, проектами, функционирующим в любой организации. Такое решение будет представлять собой тот самый системный комплексный подход к обеспечению информационной безопасности бизнеса, который будет гарантировать от неприятных "сюрпризов", связанных с нарушением защиты информации.

В рамках системы управления информационной безопасностью бизнеса должны решаться следующие задачи:

• контроль и управление функционированием подсистемы информационной безопасности;
• непрерывный мониторинг защищенности АИС и регистрация попыток вторжения;
• разбор и расследование фактов нарушения информационной безопасности;
• изучение известных моделей хакерских атак и взлома компьютерных систем, анализ возможностей их реализации в отношении АИС организации, принятие мер по устранению возможностей реализации такого рода атак и методов взлома;
• организация антивирусной защиты компьютеров организации;
• обеспечение соблюдения политики безопасности в организации;
• мониторинг возможных угроз нарушения информационной безопасности;
• управление рисками нарушения информационной безопасности;
• подготовка планов и предложений по совершенствованию подсистемы информационной безопасности и политики безопасности;
• разработка новых решений по защите информации;
• внедрение новых средств защиты информации;
• контроль появления и проведение своевременной установки "заплат" к программному обеспечению;
• управление персоналом в аспектах, связанных с обеспечением информационной безопасности организации;
• в перспективе – управление страховыми гарантиями безопасности используемых компьютерных и телекоммуникационных технологий.