Современный мир находится на таком этапе своего развития, который специалисты определяют как «информационное общество». Это значит, что во всех сферах деятельности на первый план выходит ин-формация, а следовательно, и процессы, связанные с ее получением, обработкой и использованием. Информация стала определяющим ресурсом для успешной деятельности почти любого предприятия. Утверждение «Кто владеет информацией, тот владеет миром» становится реальностью.
Как мы установили в предыдущих главах, для успешного осуществления управленческой деятельности необходима информация — один из наиболее ценных управленческих ресурсов.
Любая информация, необходимая для удовлетворения потребностей субъекта информационного обмена, должна отвечать следующим требованиям:
— полнота, т. е. достаточность имеющейся информации для принятия правильных решений;
— достоверность, т. е. отсутствие в полученной информации искажений, внесенных случайно или намеренно;
— своевременность, т. е. получение информации именно в тот момент времени, когда она необходима.
Получение неполной или искаженной информации, а также блокирование доступа к ней могут привести к принятию неправильных решений в области управления.
Кроме того, в большинстве случаев информация имеет наибольшую ценность только в силу неизвестности конкурентам или злоумышленникам. Такую информацию будем называть конфиденциальной или информацией, составляющей коммерческую тайну организации. Подобная информация должна быть защищена от утечки
Утечка информации — процесс ее неконтролируемого распространения за пределы круга лиц, имеющих право на работу с данной информацией.
По оценкам западных специалистов, утечка 20 % информации, составляющей коммерческую тайну, в шестидесяти случаях из ста приводит к банкротству фирмы. Ни одна даже самая преуспевающая фирма США не сможет просуществовать более трех суток, если ее конфиденциальная информация станет общедоступной.
Добывание конфиденциальной информации организаций называется промышленным шпионажем. Как и в классической разведке, в нем выделяются следующие виды: агентурный, легальный и технический.
Агентурный промышленный шпионаж осуществляется скрытыми и противоправными методами с помощью лиц, называемых агентами. Данный вид является наиболее опасным, так как он многофункционален, может решать любые поставленные задачи и имеет множество форм проявления, а защита от него наиболее сложна. Кроме того, методы агентурного шпионажа являются самыми старыми, проверенными и многократно отработанными. В XX в. этот вид шпионажа получил особенно интенсивное развитие благодаря многочисленным войнам.
В связи с развитием современных информационных технологий и общедоступности огромного количества информации, промышленный шпионаж можно осуществлять и легальными методами. Использование открытых, не запрещенных правовыми нормами методов является отличительной особенностью легального промышленного шпионажа. Более того, в данной ситуации подобные действия чаще всего называют исследованием рынка и подобными терминами
Залогом успешной деятельности в этой области являются высококвалифицированные специалисты-аналитики, так как в основе легальных способов получения защищаемой информации лежит тщательная аналитическая обработка различных данных, открыто опубликованных в специализированных журналах, отчетах, научных трудах, выставочных проспектах, а также полученных из иных открытых источников. Такие данные сами по себе не являются секретными и не позволяют получить защищаемую информацию, но сопоставленные друг с другом и аналитически переработанные приобретают новый смысл.
Все большее значение в последнее время приобретает промышленный шпионаж, осуществляемый с использованием различного рода технических средств. Это объясняется не только быстрым развитием технических устройств, но и очевидными преимуществами технической разведки. Осуществление промышленного шпионажа за счет технических средств разведки позволяет получать большой объем важ-ной информации в ряде случаев вообще без непосредственного проникновения в организацию. Важным преимуществом также является и то, что пострадавшая сторона не всегда в состоянии устранить утечку информации, даже зная о ней. Таким образом, обнародование конфиденциальной информации не грозит возможностью ликвидации источников и средств ее получения.
Технические средства промышленного шпионажа могут получать защищаемую информацию из нескольких источников в любое время года и суток и, разумеется, без разрешения ее собственников и вла-дельцев. Такие технические средства часто бывают неуязвимы для пострадавшей стороны и обладают достаточной надежностью в работе, сфера их применения и возможностей постоянно расширяются.
В последнее время данный вид шпионажа приобретает все большее распространение в коммерческих организациях, так как доход от полученной информации часто намного выше всех затрат на приобретение и эксплуатацию разведывательной техники.
С помощью средств промышленного шпионажа можно получать и информацию, непосредственно обрабатываемую вычислительной техникой. Основной угрозой при этом является получение злоумышлен-ником несанкционированного доступа (НСД) к средствам обработки, передачи, хранения информации. Злоумышленник, получивший доступ к обрабатываемой в ЭВМ информации, может производить с ней любые действия: читать, изменять, уничтожать, распространять по сетям связи и пр.
Существуют такие информационные ресурсы, наибольшим вредом для которых будет не утечка информации, а их утрата (уничтожение). Обычно это та информация, восстановить которую невозможно или очень сложно, например обширные банки данных, архивы предприятия и т. п.
Информация, ценность которой зависит от своевременности предоставления пользователям, нуждается в защите от блокирования.
Удовлетворение перечисленных требований к информационным ресурсам позволяет говорить о соблюдении информационной безопасности.
Информационная безопасность — такое состояние информационных ресурсов, при котором они защищены от любых негативных воздействий, способных привести к нарушению полноты, целостности, доступности этих ресурсов или вызвать утечку или утрату содержащейся в них ни формации.
Таким образом, информационная безопасность должна решать большой круг задач. Они могут быть разделены на два направления: удовлетворение информационных потребностей субъектов и защита информации. Удовлетворение информационных потребностей заключается в предоставлении пользователям необходимой им информации. Защита информации отвечает за полноту, достоверность, своевременность предоставленной информации. Кроме того, она должна гарантировать сохранность информации и неизвестность ее третьим лицам (конкурентам, злоумышленникам).
Специалисты выделяют следующие направления обеспечения защиты информации:
— правовая;
— организационная;
— инженерно-техническая;
— программно-аппаратная (в том числе криптографическая). В понятие правовой защиты информации входит соблюдение всех норм правовых документов,
регулирующих вопросы использования информационных ресурсов.
Организационная защита информации подразумевает создание в организации комплекса административных мер, позволяющих разрешить или запретить доступ сотрудников к определенной информации и средствам ее обработки, выработать правила работы с защищаемой информацией, определить систему наказаний за несоблюдение таких правил и т. п.
Инженерно-техническая защита информации означает обеспечение защиты от технической разведки, установку в организации технических средств охраны (охранной сигнализации), a так же принятие мер по обеспечению защиты информации от утечки по техническим каналам (акустический, визуальный, электромагнитный).
Программно-аппаратная защита включает в себя комплекс мер по защите информации, обрабатываемой на ЭВМ, в том числе в вычислительных сетях.