А.М. Карминский, С.А. Карминский, В.П. Нестеров, Б.В. Черников

ИНФОРМАТИЗАЦИЯ БИЗНЕСА:

КОНЦЕПЦИИ, ТЕХНОЛОГИИ, СИСТЕМЫ

МОСКВА

"ФИНАНСЫ И СТАТИСТИКА" 2004

Глава 7

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Не лает, не кусает, а в дверь не пускает. Народная загадка

Данайцы, дары приносящие... Троянский конь... Камень за пазу­хой... Какие ассоциации возникают у многих из нас при упоминании подобных аллегорий? Что-то неопределенное, но, безусловно, свя­занное с чем-то тайно-нехорошим, не правда ли? Однако мы рас­сматриваем вопросы информатизации... Тогда вспоминаются еще какие-то слова: хакеры, вирусы...

Известно, что около 70 % мирового совокупного национального продукта зависит в той или иной степени от информации, циркули­рующей в информационных системах. Компьютеры уже стали при­вычным атрибутом нашей жизни и деятельности, однако расширение сфер их использования принесло не только известные удобства, но и множество проблем, наиболее серьезной из которых является про­блема информационной безопасности. Первое злоупотребление ком­пьютером зафиксировано в 1958 г. Первое компьютерное преступле­ние, совершенное в городе Миннеаполисе, состояло в подделке бан­ковских документов с помощью компьютера.

Короче говоря, увязывая "деяния" данайцев и троянцев с объектом нашего рассмотрения, пора вспомнить о том, что "тот, кто владеет ин­формацией - владеет всем". По некоторым данным*, утечка 20 % ком­мерческой информации в 60 % случаев приводит к банкротству фир­мы. И это немудрено, поскольку, по существующей статистике, при ограблении банка потери (в среднем) составляют 19 тыс. долл., а при компьютерном преступлении - 560 тыс. долл.

* Магауенов Р.Г. Основные задачи и способы обеспечения безопасности ав­томатизированных систем обработки информации. - Мир безопасности, 1997.

Поэтому, чтобы не делиться, слегка перефразируя слова извест­ной песни, "всем, что есть у меня", информацию нужно беречь и за­щищать, обеспечивая для этой самой информации достойный уро­вень безопасности.

Информационной безопасностью называют меры по защите ин­формации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Под безопасностью информации понимается состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной сис­темы, от внутренних или внешних угроз*. Другими словами — это состояние устойчивости информации к случайным или преднамерен­ным воздействиям, исключающее недопустимые риски ее уничтоже­ния, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя информации.

Изучение случаев нарушений информационной безопасности про­водится регулярно. По данным компании Emst&Young, 54 % из 1 320 опрошенных компаний заявили, что в течение 2001 - 2002 гг. были случаи, когда они несли убытки, связанные с пренебрежением защи­той информации и восстановлением от сбоев. Если к двум вышеупо­мянутым причинам потерь добавить еще и компьютерные вирусы, то число пострадавших составит 78 % опрошенных, причем три четвер­ти из них не смогли оценить объема своих потерь. Британский на­циональный компьютерный центр (NCC) неоднократно, с двухлет­ним интервалом, изучал уровень защищенности информации различ­ных организаций. В ходе последнего исследования, затронувшего деятельность 660 компаний, обнаружено более 7 000 случаев нару­шений информационной безопасности, допущенных в этих компани­ях в течение последних двух лет. Сравнивая результаты двух послед­них исследований, сотрудники NCC установили, что средняя стои­мость нарушений требований по информационной безопасности почти удвоилась и достигла 16 тыс. ф. ст. (25,5 тыс. долл.).

Безусловно, особую опасность представляют нарушения "извне", т.е. внешние, которые всегда осуществляются умышленно. К этой категории относятся, например, действия хакеров, обративших свои знания и умения в средство добывания денег незаконными способа­ми. По данным компании Ernst&Young, 25 % респондентов утвер­ждают, что за последний год в сеть их компании были случаи про­никновения извне через Интернет. Однако к внешним угрозам отно-

Руководящий документ Гостехкомиссии России "Защита от несанкциони­рованного доступа к информации. Термины и определения". - М., 1992.

сятся и менее "квалифицированные". Так, например, по данным NCC, в результате кражи и вандализма во время ночного налета на офис компании материальные потери составили около 60 тыс. ф. ст.

Обратите внимание - в определении термина информационная безопасность упоминаются внутренние угрозы. Логично? Вроде бы нет... С чего бы "у самого себя" без спросу брать? Тем не менее суще­ствует статистика, по которой около 80 % злоумышленников — штат­ные сотрудники компании. Оказывается, доверие компании к собст­венному персоналу может обойтись ей недешево. Используя доступ к информационной системе, работник компании в течение двух лет не­легально переводил деньги на частный банковский счет. Общая сумма похищенных средств составила около полумиллиона фунтов стерлин­гов. Безусловно, далеко не все коллеги по работе только и занимаются разработкой коварных планов и их реализацией. Тем не менее недос­таточные знания тоже иногда приводят к ужасающим последствиям, однако, как говорят, "незнание законов не освобождает от ответствен­ности". Судите сами, во что обходится халатность. Пользователь-уста-новил обновленную версию программы на свой компьютер, подклю­ченный к сети компании. Поскольку поставщик считался надежным, работник счел излишним выполнение обязательной операции провер­ки "чужих" дискет на отсутствие вирусов. Программа оказалась зара­женной компьютерным вирусом, а излишняя доверчивость работника обошлась компании в два дня простоя. Показательно, что даже еди­ничная человеческая ошибка может оказаться весьма дорогостоящей. В одной компании в результате ошибки оператора были уничтожены данные, эквивалентные недельному труду 15 сотрудников (около 12 тыс. ф. ст.). К сожалению, список подобных примеров можно продол­жать довольно долго, однако вывод из всего этого следует один: ин­формацию необходимо защищать, и чем надежней, тем лучше. Как говорится, обойдется "себе дешевле".