Введение
Концентрация больших объемов обобщенной и систематизированной информации в автоматизированных системах обработки информации (АСОИ) предприятий привели к увеличению вероятности утечки секретных и конфиденциальных сведений, а значит и к необходимости принятия мер по обеспечению безопасности информации. Анализ состояния дел в области информационной безопасности показывает, что к настоящему времени в ведущих странах мира сложилась достаточно четко очерченная система концептуальных взглядов на обеспечение информационной безопасности государства в целом и его организаций и предприятий в отдельности. Тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не уменьшаются, но имеют достаточно устойчивую тенденцию к росту. Дело в том, что информационные технологии, которые внедряются на предприятиях, бурно развиваются, доставляя их обладателям новые заботы ввиду появления новых точек вероятных атак. Одновременно совершенствуются средства и способы несанкционированного доступа к информации, ее искажения, уничтожения или внедрения ложной. В связи с этим появляется необходимость в постоянном совершенствовании способов и средств защиты информации. Причем эта задача должна решаться в темпе, опережающем развитие средств нападения. Надо сказать, что подобная терминология (атака, защита, нападение) связана с понятием “информационная война”. Этот термин впервые появился в 1992 году в тексте Директивы МО США TS-3600.1 “Информационная война”.
Программа создания системы планирования информационной войны включена в перечень приоритетных программ НИОКР Пентагона. По данным Федеральной Комиссии по вопросам оборонных научных исследований США более 25 государств проводят разработку средств и методов ведения информационной войны. В общем случае концепции “информационной войны” предусматривают получение доступа к национальным информационным ресурсам, а также нарушение нормального функционирования информационных систем других государств. Однако и в гражданской жизни информация становится ценным товаром. В связи с этим предприятиям приходится разрабатывать стратегию и тактику оборонительных информационных действий. В противном случае у них останется мало шансов выжить. Так, по оценкам специалистов в области информационной безопасности следует, что если фирма (организация) допускает утечку 20 и более процентов важной информации, то такая фирма (организация) в 60 случаях из 100 банкротится. Поэтому экономически развитые страны в настоящее время тратят большие деньги на обеспечение безопасности, в том числе и информационной. Так, например, на содержание службы безопасности эти страны сегодня тратят в среднем до 25% годовой прибыли в год.
Сегодня, большинство руководителей предприятий и организаций принимают меры по «охране и обороне» важной для них информации. Однако практика показывает, что эти действия не всегда носят системный характер, направлены на ликвидацию только отдельных угроз, оставляя бреши в обороне. Поэтому, прежде, чем приступать к решению проблем информационной безопасности, представляется целесообразным познакомиться со статистическими данными компаний, которые проводят аналитические оценки использования средств и систем защиты информации. Цель такого ознакомления в выявлении тенденций развития рынка услуг в области информационной безопасности, в анализе причин “неудач” при решении проблем защиты информации. Этой информацией нельзя пренебрегать в своей работе, хотя совершенно понятно, что каждая организация имеет свою специфику, которую необходимо учесть в рамках общих тенденций развития рассматриваемой области деятельности.
Так, более половины опрошенных заявили, что в течение ряда лет были случаи, когда они несли убытки, связанные с пренебрежением защитой информации и восстановлением от сбоев. Если к двум вышеупомянутым причинам потерь добавить еще и компьютерные вирусы, то число пострадавших составит 3/4 опрошенных, причем те же три четверти из них не смогли оценить объема своих потерь.
Только эти данные уже свидетельствуют о непонимании руководителями предприятий остроты проблем обеспечения информационной безопасности, а также отсутствии знаний в области создания и управления системой информационной безопасности. Анализ других данных позволяет обосновать не только необходимость, но и разработать некоторые достаточно общие рекомендации по защите информации.
