статья  
 

Методологический подход к решению задач обеспечения безопасности предприятия

Вернигоров Н.С., директор OOO НПП "Вихрь", д. т. н., профессор,
академик Петровской АН, лауреат премии Совмина СССР
 
 
   Настоящая статья является дополнением к [1], но в ней рассматриваются не частные вопросы, а общий методологический подход к обеспечению безопасности предприятия. Именно непонимание методологии в большинстве случаев приводит к существенным потерям. В краткой статье невозможно подробно рассмотреть весь спектр задач в области обеспечения защиты предприятия, но вполне возможно наметить пути решения наиболее важных из них. Эта тема есть бесконечная "игра мнений", но все они в итоге сводятся к одному постулату - "Скупой за защиту своих интересов заплатит не дважды, а может быть, и своим делом!".
   В большинстве случаев понятие "защита" ассоциируется с конкретным материальным объектом, реально существующим и постоянным. Однако в этой статье речь пойдет о другом, всем известном и достаточно важном, а поэтому, безусловно, подлежащем защите объекте, имя которому - информация. При ее защите используются те же методы и способы, что и при защите любого другого объекта.
Рассмотрим общий подход к обеспечению безопасности объектов.
   Любая наука достигает совершенства лишь тогда, когда ей удается пользоваться математикой. Однако существуют задачи, и их довольно много, которые не подчиняются математическим законам.    Подобные задачи называются "слабо формализуемыми" и "плохо структурируемыми", именно в них существует понятие "проблема".
   ПРОБЛЕМА - реальное положение дел, которым кто-то неудовлетворен. (Не путать с понятием "интересы каждого"!)
   Решение проблемы (или плохо структурируемой и слабо формализуемой задачи) осуществляется с помощью системного анализа.
   В теории системного анализа известно четыре способа для решения любой проблемы.
   1. "Absolution" ("воздержание") - отказ от решения проблемы, основанный на ожидании, что она разрешится сама собой.
   2. "Resolution" ("частичное решение") - смягчение остроты проблемы (метод "затыкания дыр").
   3. "Solution" ("оптимальное решение в заданных условиях") -использование и привлечение методики системного анализа для решения проблемы.
   4. "Dissolution" ("растворение проблемы") - решение, основанное на анализе проблемы и связанное с удовлетворением всех участников; основной результат - не должно появляться новых проблем.
Обратите внимание - "Удовлетворение - Не возникновение". Это равновесие должно поддерживаться не в заданном ПРОМЕЖУТКЕ ВРЕМЕНИ, а в определенном виде ДЕЯТЕЛЬНОСТИ!
   На сегодня профессионально решаются проблемы защиты передачи информации по локальным компьютерным сетям и появляются робкие попытки сделать это в Интернете. Однако пока наши профессионалы в этой области на 98% находятся на уровне 2 ("затыкание дыр") и лишь 2% вышли на уровень 3.
   Первым шагом при защите любого объекта является выявление потенциального противника, или основных угроз для объекта. Определим понятие "угроза" вообще.
   УГРОЗА - это внезапная возможность отклонения объекта от принятого состояния равновесия за счет внешних или внутренних факторов, не предусмотренных заранее.
   Угроза может быть отвратимой и неотвратимой, неизбежной. Последнее - это, например, стихийные бедствия и подобные плохо прогнозируемые явления. Расчет здесь нужно делать на самый тяжелый случай.
   При устранении угрозы существует ситуация риска.
   Начиная с рождения, всякая деятельность человека, независимо от ее вида, связана с риском. Риск и его последствия представляют собой причинно-следственную связь. В этой ситуации всегда имеется два возможных исхода: успех или неудача. Следствие от предпринимаемого рискованного действия является событием, прогнозируемым с априори предполагаемой величиной вероятности того или иного исхода. Схематично риск и его следствие можно изобразить следующим образом (Рис.1).

   Может возникнуть вопрос: чем риск отличается от азарта? Основное отличие заключается в том, что в случае азарта следствием всегда предполагается только успех, т.е. априори отвергается возможность свершения противоположного события - неудачи, опасности.
   В общем случае следствием риска является безопасность - опасность. Можно утверждать, что риск является составным звеном понятия "безопасность".
   Безопасность бизнеса зависит от многих факторов риска.
   Выделим некоторые наиболее наглядные и укрупненные группы риска, имеющие место в бизнесе.
   1. Государственная финансовая политика, включающая действия относительно акцизных сборов всех видов и их постоянство. Если финансовая политика государства часто изменяется и носит исключительно фискальный характер или происходят непредсказуемые изменения законов, то степень риска занятия бизнесом возрастает. Это же относится к так называемым реформам экономики в интересах малого, среднего и, может быть, крупного бизнеса.
   2. Личные действия руководителя в стратегии предприятия.
   3. Смещение вида деятельности, приводящее к конфликту с действующим законодательством.
   4. Преднамеренная и непреднамеренная утечка информации.
   Заметим сразу, что приведенная схема не является постулатом и может быть оспорена, но не может быть отвергнута вообще, поскольку названные факторы априори присутствуют постоянно.
   Если первые три группы достаточно очевидны и начинают действовать объективно с первых самостоятельных шагов в бизнесе, то последняя зачастую вообще не принимается во внимание. Это связано не только с отсутствием знаний о возможных печальных последствиях данного фактора риска, но и с тем, что негативные проявления утечки информации наступают не сразу, а по мере наращивания финансовой мощи в выбранном направлении бизнеса.
   Еще в Древнем Риме был провозглашен девиз: "Предупрежден - значит, вооружен!", и он вряд ли когда-нибудь устареет. Сегодня как никогда актуальны и слова Уинстона Черчилля: "Кто владеет информацией, тот владеет миром!".
   Решения, принимаемые руководством фирмы, являются фундаментом, на котором строится все остальное. Руководитель выполняет следующие функции.
   1. Определяет объем и порядок финансирования работ по обеспечению выбранного уровня безопасности. По современным стандартам на защиту информации должно выделяться от 5 до 15% с оборота. Недостаток финансирования - первый и самый большой риск, который и определяется собственным "Я" руководителя (прав всегда, меня это не коснется и т.д.).
   2. Решает, какие риски должны быть исключены, а на какие можно пойти, что и от кого следует защищать.
   3. Анализирует последствия утечки информации, устанавливает градацию информации по возможному ущербу от ее потери.
   4. Выбирает степень защиты для каждого вида информации.
   Если возможные угрозы и риски не просчитываются, то затраченные средства не приводят к поставленной цели. В большинстве случаев такая ситуация тщательно скрывается, поскольку является следствием ошибок, допущенных руководителем.
   Рассмотрим вкратце два общих канала утечки информации.
   1. Непреднамеренная утечка информации. Данный канал, как правило, возникает либо в связи с неправильно организованными профилактическими мероприятиями, либо с их полным отсутствием
   2. Преднамеренная утечка информации. Организация данного канала возможна несколькими путями:
- корыстные побуждения штатных сотрудников фирмы (внутренний канал утечки информации);
- установка средства съема информации (ССИ) с помощью сотрудника фирмы, не подозревающего о смысле совершаемого действия. Классическим примером подобной ситуации служит использование подсобных рабочих, которые по просьбе оставляют в кабинетах обычную бытовую вещицу, в которой замаскировано ССИ;
- негласное проникновение извне с целью установки ССИ;
- подкуп сотрудника (-ов) фирмы с целью передачи информации "из уст в уста" или с помощью установки ССИ. 25% служащих готовы в любое время и при любых обстоятельствах предать интересы фирмы, 50% готовы это сделать в зависимости от обстоятельств.
   Последнее обстоятельство достаточно подробно проанализировано в [1].
   Методы, средства и способы защиты информации развиваются по принципу ответной реакции на появляющиеся угрозы. Поскольку их обнаружение происходит, как правило, не сразу, то постоянной является опасность безнаказанного использования этих угроз в течение некоторого времени.
Применение ССИ осуществляется благодаря наличию следующих технических каналов утечки информации:
- акустический контроль помещений, автомобилей, непосредственно человека, телефонных каналов связи, перехват факсовой и модемной передачи сообщений;
- перехват компьютерной информации, несанкционированное внедрение в базы данных;
- перехват переговоров по мобильным средствам связи (радио- и сотовые телефоны);
- визуальное наблюдение за объектом;
- скрытая фото- и видеосъемка.
   В зависимости от поставленной задачи средства съема информации могут выполнять как функцию защиты, так и функцию нападения (атакующее свойство ССИ). Если необходимо выявить и контролировать внутренние каналы утечки информации с помощью ССИ (только внутри фирмы), то выполняется функция защиты. Если же желание улучшить состояние бизнеса потребовало добыть информацию о конкуренте либо конкурент действует в таком же направлении, используется функция нападения. Однако следует помнить, что применение ССИ как средства нападения категорически запрещено Конституцией РФ и наказуемо в рамках Уголовного кодекса, ст. 137, 138.
   Основные особенности средств съема информации будут рассмотрены в дальнейших публикациях на страницах журнала "Информост".
   Литература :
1. Лихачев Ю.И. Промышленный шпионаж - реальность в СНГ // Информост. - 2002. - ?5. - С. 7.
Электронный вариант: http://www.informost.ru/  

[на главную]    

Copyright© 2005 by Nikolay S. Vernigorov
http://vikhr.ru/
Перепечатка и распространение материалов автора разрешается с обязательной ссылкой на авторство и сайт ООО "Вихрь

 
Rambler's Top100 Рейтинг@Mail.ru