Проблемы безопасности информационной инфраструктуры бизнеса

А.А. Кононов



В системе современного бизнеса существуют значительные массивы информации, обеспечение целостности, доступности и конфиденциальности которых имеет для бизнеса решающее значение. К такого рода информации относятся:
В современном бизнесе практически вся эта информация хранится и обрабатывается в автоматизированных информационных системах (АИС). Поэтому эффективность деятельности фирмы, а, значит, и судьба ее бизнеса, становятся все в большей степени зависимы от устойчивости функционирования и защищенности этих систем от пассивного и активного информационного воздействия внешней среды и конкурентов, соответственно. Потеря работоспособности АИС может повлечь негативные последствия для бизнес-структуры, а в некоторых случаях привести к гибели системы в целом.

На начальных этапах внедрения информационных технологий АИС использовались главным образом в системах учета и контроля. В настоящее время АИС все активнее используются в качестве ядра бизнес-процессов. Новый импульс для использования информационных технологий в бизнесе дал интернет. Сначала его роль сводилась, главным образом, к роли нового канала коммуникаций – через электронную почту пошел основной поток переписки между сотрудниками фирм. В настоящее время наиболее популярными являются два направления развития бизнеса через интернет, получивших названия: "business to business" (B2B) и "business to customer" (B2C).

Важнейшим для развития интернет-бизнеса является сектор платежных систем и систем обеспечения безопасности электронного документооборота. Роль и число организаций этого сектора будут возрастать по мере интенсификации использования интернета в бизнесе, расширения и укрепления нормативной и законодательной базы интернет-экономики. В значительной степени именно недостаточная развитость указанного сектора препятствует развитию новых форм бизнеса с применением интернета. В качестве еще одного препятствия нельзя не отметить противоречивость существующей нормативно-правовой базы по вопросам применения криптографии. И если в законодательной области в ближайшее время можно рассчитывать на какие-то сдвиги в связи с принятием Закона об электронной цифровой подписи, то в области криптографического обеспечения интернет-бизнеса можно констатировать чрезвычайно тревожную ситуацию.

На сегодняшний день существует положение о том, что разрешено использование в системах общего пользования только сертифицированных ФАПСИ средств криптографической защиты информации, что обеспечивает определенные гарантии их безопасности, но нужно что-то делать с тем, чтобы при этом решалась проблема отсутствия на отечественном рынке достаточно полного набора средств криптографической защиты, отвечающих указанному требованию. Предлагаемые отечественными предприятиями сертифицированные средства и системы криптографической защиты либо ориентированы на ведомственные решения, либо предназначены для создания систем обслуживания узкого круга клиентов и не применимы для реализации реальных крупномасштабных проектов интернет-бизнеса.

Для успешного развития систем электронной коммерции в нашей стране нужно обеспечить возможности широкого доступа пользователей к криптографическим средствам формирования электронно-цифровой подписи (ЭЦП). Необходимо создать сеть удостоверяющих центров открытых ключей ЭЦП, которые будут выдавать сертификаты открытых ключей и удостоверять их правильность при заключении сделок и проведении финансовых транзакций.

Развитие современного бизнеса невозможно без обеспечения конфиденциальности при обмене информацией через телекоммуникационные каналы связи, что делает обязательным применение надежных средств шифрования. Однако требование обеспечения широкомасштабного доступа к средствам сильного шифрования в масштабе страны сталкивается с проблемой существования угрозы того, что средства шифрования могут быть использованы преступными организациями для координации и организации своей деятельности или использоваться недобросовестными предпринимателями, например, для ведения двойной бухгалтерии и сокрытия доходов от налогообложения. Для нейтрализации этих угроз необходимо создать эффективную инфраструктуру центров доверенного хранения и восстановления секретных криптографических ключей. Для того, чтобы нейтрализовать угрозы возможных злоупотреблений со стороны обслуживающего персонала или официальных лиц соответствующего уровня, необходимо разработать и реализовать технологии распределенного хранения отдельных частей ключей в различных центрах с возможностью предоставления частей ключей только их владельцам или правоохранительным органам в порядке, установленном законодательством.

В ближайшее время в стране должна быть усовершенствована система оценки безопасности информационных технологий (см., например, интервью заместителя начальника Управления лицензирования и сертификации Гостехкомиссии России

И.А. Калайды информационному бюллетеню JetInfo (№8 за 2000 г., http://www.jetinfo.ru/2000/8/2/article2.8.2000.html). В настоящее время для оценки уровня безопасности средств информатизации и автоматизированных систем применяется набор требований Рабочих документов (РД) Гостехкомиссии, большинство из которых разработаны около 10 лет назад и не удовлетворяют современным требованиям. Ближайшим шагом должно стать принятие российского стандарта, близкого по своему составу и содержанию к Общим критериям оценки безопасности информационных технологий, зафиксированным в международном стандарте ISO 15408. На основе этого ГОСТа предполагается разработать и принять Профили защиты для конкретных типов средств информатизации, по которым можно будет проводить сравнение уровней информационной защищенности, которые обеспечивают соответствующие средства.

Обеспечение информационной безопасности бизнеса в современных условиях

Расширение видов деятельности, освоение новых рынков, расширение круга клиентов и поставщиков, появление новых служб – все это ведет к усложнению структуры и алгоритмов функционирования организации и к требованию постоянного совершенствования ее информационной инфраструктуры на основе новых компьютерных и телекоммуникационных технологий.

Вместе с тем с созданием АИС расширяется число источников угроз нарушения информационной безопасности.

Источники угроз информационной безопасности бизнеса можно условно разделить на внешние и внутренние. Ориентировочное соотношение степени опасности этих источников, рассчитанное на основе данных публикаций по этой тематике в прессе и в интернете за последние два года, составляет 15 к 85.

К внешним источникам можно отнести:


К внутренним источникам можно отнести:
Чтобы представить весь круг и всю сложность задач по обеспечению информационной безопасности в таких условиях, приведем перечень объектов, нуждающихся в защите, и мер, которые могут быть приняты.

Объектами обеспечения информационной безопасности являются:


Все меры защиты можно разделить на четыре категории (в скобках указана относительная значимость этих мер для обеспечения информационной безопасности бизнеса, рассчитанная по данным публикаций в прессе и интернете за последние два года):
Меры защиты территории и помещений включают следующие технические системы:
Меры защиты от технических средств шпионажа включают:
Меры защиты АИС включают:
Большинство из указанных мер, как правило, реализуются путем установки в АИС специальных программно-аппаратных средств. Вся совокупность программных и технических средств защиты информации в АИС объединяется в подсистему информационной безопасности АИС.

Меры по работе с персоналом включают:


Управление информационной безопасностью бизнеса

Очевидно, что принятие всех возможных средств и методов защиты на все случаи жизни абсурдно и нереально. От чрезмерных мер безопасности организационная система может стать неработоспособной и разорительной для собственников. Решение этой коллизии состоит в необходимости создания механизма, который бы позволил, отслеживая реальные риски и угрозы, принимать рациональные, наиболее эффективные и посильные для организации меры защиты. Таким механизмом может стать создание системы управления информационной безопасностью, аналогичной системам управления финансами, качеством, проектами, функционирующим в любой организации. Такое решение будет представлять собой тот самый системный комплексный подход к обеспечению информационной безопасности бизнеса, который будет гарантировать от неприятных "сюрпризов", связанных с нарушением защиты информации.

В рамках системы управления информационной безопасностью бизнеса должны решаться следующие задачи:



Кононов Александр Анатольевич - старший научный сотрудник Института системного анализа РАН, кандидат технических наук.


© Информационное общество, 2002, вып. 1, сc. 45-48.