ПРЕДПОСЫЛКИ СОЗДАНИЯ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ МАЛЫХ ПРЕДПРИЯТИЙ

Защита информации важный вид деятельности предприятия, значимость которого прямо пропорциональна его жизнеспособности, сохранению конкурентного преимущества и выполнения обязательств перед законодательством, сотрудниками и клиентами в части конфиденциальных данных, хранящихся и обрабатываемых в информационной системе.

Под защитой информации и информационной безопасностью следует понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры [1].

Вопрос обеспечения надлежащего уровня информационной безопасности (ИБ) решается путем построения системы обеспечения информационной безопасности (СОИБ). Если СОИБ отсутствует как часть информационной системы (ИС), то её необходимо создавать, внедрять и обеспечивать дальнейшее её непрерывное функционирование и развитие.

В крупных организациях, имеющих в своем составе службы администрирования сетевой инфраструктуры, сопровождения баз данных, а также юридическую службу, вопросам защиты информации выделяются отдельные финансовые и временные ресурсы. Малый бизнес, в отличие от больших компаний, зачастую не считает приоритетной задачу разработки четкой стратегии развития ИТ-инфраструктуры своего предприятия, считая более важной продуктовую, операционную или маркетинговую деятельность [2]. Данный подход ошибочен и способен вызвать как временную парализацию, так и полное прекращение деятельности предприятия.

Инициация разработки СОИБ может быть вызвана как со стороны законодательства, которое прописывает обязательства предприятия по хранению и обработке информации внутри ИС [3], так и желанием руководства снизить риски денежных и иных трат связанных с реализацией угроз ИБ, поднятие имиджа.

Законодательные предпосылки

В качестве законодательных предпосылок стоить выделить Федеральный закон № 152 "О персональных данных" (ФЗ-152). Данный закон принят в 2006 году и нацелен на все ИС обрабатывающие персональные данные. Предприятие, использующее ИС, не подходящую требованиям ФЗ-152, может понести наказание в виде штрафов, приостановки действия или даже отзыва лицензии на проведение деятельности [3]. Для понимания того, подпадает ли деятельность предприятия под требования закона, необходимо обратится к его основным определениям:

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация [4];

конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания [4];

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и/или осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных [4].

Исходя из этих определений, очевиден факт того, что под действие закона подпадают практически все организации и предприятия, имеющие хотя бы одного работника в подчинении.

Обязанности оператора прописаны в статье 19 ФЗ-152: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» [4]. В соответствии с данной статьей необходимо определить и выполнить требования по защите объекта, на котором обрабатываются персональные данные, организовать повышение квалификации сотрудников и их осведомленности в области защиты персональных данных, а также все технические средства, использующиеся при обработке данных, должны соответствовать требованиям.

В качестве руководства при приведении ИС в состояние удовлетворяющей требованиям ФЗ-152 следует обратить внимание на приказ ФСТЭК № 21 утвержденный 18 февраля 2013 года: «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», а также на Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Экономические предпосылки

Помимо мотивации со стороны законодательства, собственники и руководители предприятий могут быть обеспокоены рисками и сопутствующими им финансовыми, временными и иными потерями. В небольших предприятиях зачастую отсутствует штатный ИТ-специалист, способный осуществлять процедуры ИБ должным образом. Как правило, такие предприятия работают в условиях неприемлемого уровня ИБ до первого прецедента реализации какой-либо из угроз, которые, в свою очередь, не имеют адекватных прогнозов и оценки [2]. Эта тенденция вызвана отсутствием желания руководящего звена выделять ресурсы на решения вопросов ИБ, считая угрозы в данной сфере несущественным риском для бизнеса.

Для обоснования эффективности внедрения СОИБ с экономической точки зрения зачастую прибегают к различного рода метрикам. Метрики оценки ущерба от реализации угроз можно представить, как при помощи количественного, так и качественного подхода.

Качественный подход не использует конкретные физические величины для объекта оценки, вместо этого присваивая данному объекту показатель, проранжированный по соответствующей шкале ценности для предприятия и вероятности реализации риска в его отношении. Данный метод используется в случаях, когда нет возможности представить объект оценки в разрезе количественных величин из-за большой степени неопределенности. Как пример, случай оценки ущерба репутации в результате преждевременного обнародования разработок компании.

Анализ рисков и угроз и их соответствующая оценка с применением качественного подхода проводится с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы и зачастую является инструментом для крупных организаций, которые достаточно осведомлены в необходимости организации работ в области ИБ [5].

Количественный подход применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человеко-часах и т.п. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз ИБ. При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

В качестве примера можно привести ситуацию с работой предприятия занимающегося торговлей, где основной торговой площадкой является сайт в сети Интернет, расположенный на собственном сервере. Оценка ущерба компании при временном выходе этого сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное средней времени простоя сервера. Экспертным путем можно выявить периодичность подобных выходов из строя при сохранении текущих мер обслуживания, из чего можно вывести годовые потери в денежном выражении [5].

Количественный метод наиболее трудоемкий и применим не во всех случаях, но дает наглядное представление в ресурсном эквиваленте по объектам оценки и является достаточно убедительным основанием для руководителей и собственников малого и среднего бизнеса при решении о внедрении СОИБ.

Заключение

В малом бизнесе, при правильной организации проектирования и внедрения ИС, проблемы ИБ минимальны или стоят не так остро как в крупных, территориально распределенных компаниях с большим количеством сотрудников. Однако, не смотря на простоту организации допустимого уровня ИБ при правильном проектировании ИС малых предприятий, существуют руководители и собственники бизнеса, которые осуществляют автоматизацию деятельности, пренебрегая возможными экономическими угрозами и существующим законодательством, что может повлечь за собой как финансовые потери, так и наказание в виде штрафов, приостановки действия или отзыва лицензии.

Со стороны законодательства необходимость внедрения СОИБ обоснована необходимостью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

С экономической точки зрения внедрение СОИБ позволяет снизить риски финансовые и репутационные риски связанные с нарушениями ИБ и добиться положительного экономического эффекта. В качестве метрик для обоснования и контроля эффективности СОИБ для предприятий малого бизнеса наиболее целесообразно использовать количественные метрики, выражаемые в конкретных и понятных для собственников бизнеса величинах.

Список литературы:

1. Глухов Е.В., Должиков С.В., Ковисарова Е.В., Смелик В.В., Соппа И.В., Фролов А.М., Хузиятов Т.Д. Конспект лекций для подготовки к междисциплинарному экзамену "прикладная информатика (в экономике)". Учебное пособие / [Глухов В. В. и др.]; под ред. Б. Л. Резника; Дальневосточный федеральный ун-т, Шк. естественных наук, Шк. экономики и менеджмента. Владивосток, 2012. — 312 с.
2. «Код безопасности», Информационная безопасность (рынок России 2016 год) [Электронный ресурс] — Режим доступа: http://www.tadviser.ru/index.php/Статья:Информационная_безопасность_(рынок_России) (дата обращения: 31.01.2017).
3. Картамышев А.В. Организация обработки и защиты персональных данных в малых организациях. — Журнал "Information Security" 2008. — №6. — с.16-17.
4. Федеральный закон "О персональных данных" от 27.07.2006 № 152-ФЗ (действующая редакция, 2016) [Электронный ресурс] Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 31.01.2017).
5. Шиляев С.С. Методика оценки рисков информационной безопасности [Электронный ресурс] — Режим доступа:  https://kontur.ru/articles/1691 (дата обращения: 31.01.2017).