Экономические проблемы информационных ресурсов

В соответствии с действующим Федеральным законом «Об информации, информационных технологиях и защите информации» 2006 года информационные ресурсы предприятия, организации, учреждения, банка, компании и других государственных и негосударственных предпринимательских структур включают в себя отдельные документы и отдельные массивы документов, документы и комплексы документов в информационных системах на любых носителях, в том числе обеспечивающих работу вычислительной и организационной техники.

Информационные ресурсы считаются объектами отношений физических и юридических лиц между собой и государством. В совокупности они составляют информационные ресурсы России и защищаются законом наряду с другими видами ресурсов. Документирование информации считается обязательным условием включения информации в информационные ресурсы.

Документ может быть не только управленческим, но и в текстовой, табличной и анкетной форме. Большие объемы наиболее ценных документов представлены в изобразительной форме: конструкторские документы, картографические, научно-технические, документы на фотографических, магнитных и иных носителях.

По принадлежности, информационные ресурсы могут быть государственными или негосударственными, и, как элемент состава имущества, находиться в собственности граждан, органов государственной власти, исполнительных органов, органов местного самоуправления, государственных учреждений, организаций и предприятий, общественных объединений, предпринимательских структур.

В соответствии с интересами обеспечения государственной безопасности и степенью значения для государства, а также правовыми, экономическими и другими интересами предпринимательских структур информационные ресурсы могут быть:

  • а) открытыми;
  • б) ограниченного или запрещенного доступа.

Накопители информационных ресурсов представляют собой пассивные концентраторы этой информации и включают в себя:

  • - публикации о фирме и ее разработках;
  • - рекламные издания, выставочные материалы, документацию;
  • - персонал фирмы и окружающих фирму людей;
  • - физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники, различных приборов и средств связи и т.п.

Источники содержат информацию как открытого, так и ограниченного доступа. Причем информация того и другого рода находится в едином информационном пространстве и разделить ее без тщательного содержательного анализа часто не представляется возможным. Например, систематизированная совокупность открытой информации может в комплексе содержать сведения ограниченного доступа.

Документация, как источник информации ограниченного доступа может включать:

  • а) документацию, содержащую сведения ограниченного распространения и представления;
  • б) комплексы обычной деловой и научно-технической документации, содержащей общеизвестные сведения, организационно-правовые и распорядительные документы;
  • в) рабочие записи сотрудников, их служебные дневники, личные рабочие планы, переписку по производственным вопросам;
  • г) личные архивы сотрудников фирмы.

В каждой из указанных групп могут быть:

  • - документы на традиционных бумажных носителях;
  • - документы на технических носителях;
  • - электронные документы, банки электронных документов, изображения документов на экране дисплея.

При выполнении управленческих и производственных действий любая информация всегда распространяется во внешней среде. Тем самым увеличивается число опасных источников разглашения или утечки информации ограниченного доступа, источников, подлежащих учету и контролю.

Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя:

  • - деловые, управленческие, торговые, научные и другие коммуникативные регламентированные связи;
  • - информационные сети;
  • - естественные технические каналы излучения, создания фона.

Канал распространения информации представляет собой путь перемещения сведений из одного источника в другой в санкционированном режиме или в силу объективных закономерностей.

Документированные информационные ресурсы, которые используются предпринимателем в бизнесе и управлении фирмой, являются его собственной или частной информацией, представляющей для него значительную ценность. Эта информация составляет интеллектуальную собственность предпринимателя. Ценность информации может быть стоимостной категорией и характеризовать конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например: учредительные документы, программы и планы, договоры с партнерами и посредниками и т.д. Ценность может проявляться в ее перспективном научном, техническом или технологическом значении. Обычно выделяется два вида информации, интеллектуально ценной для предпринимателя:

  • а) техническая, технологическая;
  • б) деловая.

Ценная информация охраняется нормами права, товарным знаком или защищается включением ее в категорию информации, составляющей коммерческую тайну.

Процесс выявления и регламентации реального состава ценной информации, составляющей коммерческую тайну, является основополагающей частью системы защиты информации на предприятии.

Состав этих сведений фиксируется в особом списке, закрепляющем факт отнесения их к защищаемой информации и определяющем этап конфиденциальности данных, степень их конфиденциальности, список сотрудников компании, которым дано право использовать эти сведения в работе. В основе списка лежит стандартный состав защищаемых сведений компаний предоставленного профиля. Список считается неизменным трудящимся материалом управления компании, служб защищенности и секретной документации. Он представляет собой классифицированный перечень стандартной и определенной ценной информации о проводимых работах, совершаемой продукции, научных и деловых идеях, технологических новшествах. Нельзя ограничивать доступ к информации, которая относится к новой продукции, но не имеющей ценности.

При заключении любого договора стороны обязаны взять на себя обоюдные письменные обещания по защите конфиденциальной информации другой стороны и документов, приобретенных при переговорах, выполнения критерия договора. Производственная или коммерческая ценность информации, как правило, недолговечна и ориентируется периодом, важным конкуренту для выработки той же идеи или же ее хищения и воспроизводства, а еще периодом до патентования, опубликования и перехода в число общеизвестных.

Документированная информация ограниченного доступа всякий раз принадлежит к 1 из видов тайны - государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные. Обязательным признаком секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной, или содержащие персональные данные граждан, именуются конфиденциальными. Не обращая внимания на то, что конфиденциальность считается синонимом секретности, термин широко применяется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне.

Конфиденциальность отображает ограничение, которое накладывает собственник информации на доступ к ней иных лиц, т.е. собственник устанавливает правовой режим данной информации в соответствии с законом. Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала фирмы. Следует принимать во внимание, собственно, что основная масса секретных документов впоследствии завершения их выполнения или же работы с ними утрачивает собственную ценность и конфиденциальность. Например, переписка до заключения контракта может иметь гриф конфиденциальности, но после его подписания этот гриф с письменного разрешения первого руководителя фирмы снимается.

Следовательно, конфиденциальные документы характеризуются специфическими особенностями, которые отражают их сущность как носителей информации ограниченного доступа и определяют построение системы защиты этой информации. Все информационные ресурсы предприятия постоянно подвергаются объективным и субъективным угрозам утраты носителя или ценности информации. Под угрозой или опасностью утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. Для информационных ресурсов ограниченного доступа диапазон угроз, предполагающих утрату информации значительно шире в результате того, что к этим документам проявляется повышенный интерес со стороны различного рода злоумышленников. В отличие от объективного распространения утрата информации влечет за собой незаконный переход конфиденциальных сведений, документов к субъекту, не имеющему права владения, распоряжения ими и использования в своих целях. Обязательным условием успешного осуществления попытки несанкционированного доступа к информационным ресурсам ограниченного доступа является интерес к ним со стороны конкурентов, определенных лиц, служб и организаций. При отсутствии такого интереса угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней постороннего лица.

Следовательно, утрата информационных ресурсов ограниченного доступа может наступить:

  • - при наличии интереса конкурента, учреждений, фирм или лиц к конкретной информации;
  • - при возникновении риска угрозы, организованной злоумышленником или при случайно сложившихся обстоятельствах;
  • - при наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией.

Эти условия могут включать:

  • - отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;
  • - неэффективную систему защиты информации или отсутствие этой системы;
  • - непрофессионально организованную технологию обработки и хранения конфиденциальных документов;
  • - неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;
  • - отсутствие системы обучения сотрудников правилам защиты информации ограниченного доступа;
  • - отсутствие контроля со стороны руководства за соблюдением персоналом требований нормативных документов по работе с информационными ресурсами ограниченного доступа;
  • - бесконтрольное посещение помещений, где происходит работа с информационными ресурсами ограниченного доступа, посторонними лицами.

Следует всегда помнить, что факт документирования резко увеличивает риск угрозы информации. Великие мастера прошлого никогда не записывали секреты своего искусства, а передавали их устно сыну, ученику. Поэтому тайна изготовления многих уникальных предметов того времени так и не раскрыта до наших дней. Угрозы сохранности, целостности и конфиденциальности информационных ресурсов ограниченного доступа практически реализуются через риск образования канала несанкционированного получения кем-то ценной информации и документов.

Этот канал представляет собой совокупность незащищенных или слабо защищенных направлений возможной утраты информационных ресурсов ограниченного доступа, которые злоумышленник использует для получения необходимых сведений. Каждое конкретное предприятие обладает своим набором каналов несанкционированного доступа к информации, что зависит от множества моментов - профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания и т.п.

Функционирование канала несанкционированного доступа к информации обязательно влечет за собой утрату информации, исчезновение носителя информации. Утрата информации характеризуется двумя условиями, информация переходит:

  • а) непосредственно к заинтересованному лицу конкуренту, злоумышленнику;
  • б) к случайному, третьему лицу.

Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию во владение в силу обстоятельств или безответственности персонала, не обладающее правом владения ею и, что очень важно, не заинтересованное в этой информации.

Однако от третьего лица информация может легко перейти к злоумышленнику. Переход информации к третьему лицу представляется достаточно частым явлением, и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации, нарушения ее безопасности имеет место. В отличие от третьего лица злоумышленник или его сообщник целенаправленно охотятся за конкретными информационными ресурсами и преднамеренно, противоправно устанавливают контакт с источником этих ресурсов или преобразуют канал их объективного распространения в канал их разглашения или утечки. Такие каналы всегда являются тайной злоумышленника.

Таким образом, содержание составных частей элементов, методы и средства защиты информационных ресурсов в рамках любой системы защиты должны регулярно изменяться с целью предотвращения их раскрытия заинтересованным лицом. Конкретная система защиты информации всегда является строго конфиденциальной, секретной.

правовой стоимостной информационный безопасность

 
< Пред   СОДЕРЖАНИЕ   Загрузить   След >