Понятия информационной и экономической безопасности и их особенности в сфере сервиса

В в е д е н и е

Монография адресована научным сотрудникам, преподавателям вузов, студентам, специализирующимся в области информационных технологий и менеджмента в сфере сервиса. Она может быть также использована при изучении таких общепрофессиональных дисциплин как " Информационная безопасность", " Информационные технологии управления", " Основы менеджмента", " Управление персоналом" и др. Пособие также может быть полезно для повышения уровня информационной и экономической культуры аспирантов, преподавателей и практических специалистов, работающих в области управления проектами, а также в других экономических областях в сфере сервиса. В условиях рыночной экономики сфера образования может рассматриваться как частный случай сферы сервиса. Книга также содержит результаты исследования преподавания информационной и экономической безопасности в высшей школе. Предлагается эффективная современная методика организации такого обучения путем разработки необходимых сервисов обучения.

Введение и главы 1, 2, 3, 4 написаны Р.Р.Фокиным, главы 5, 6, 7, 8 - М.А.Абиссовой.

Глава 1. О понятиях информационной и экономической безопасности

Понятия информационной и экономической безопасности и их особенности в сфере сервиса

Информационная безопасность и экономическая безопасность - это различные, но пересекающиеся и тесно связанные между собой области научных знаний. Они, как правило, предлагают весьма дорогостоящие средства и методы защиты. Но сфера сервиса включает в себя большую долю малых предприятий, ресурсы которых ограничены. Это важнейшая проблема информационной и экономической безопасности в сфере сервиса. Другая проблема связана с необходимостью защиты не только предприятий и организаций сферы сервиса, но также и огромного количества клиентов той или иной сферы сервиса. Люди не должны пострадать только потому, что они воспользовались той или иной услугой.

Что же такое информационная и экономическая безопасность?

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ (ИБ) - это область научных знаний, предметом изучения которой являются такие специфические свойства информации как:

1) конфиденциальность информации;

2) целостность информации;

3) доступность информации;

4) неотрекаемость при передаче информации;

5) учет использования информации.

Именно эти свойства информации обеспечивают безопасность ее сбора, хранения, передачи и обработки.

КОНФИДЕНЦИАЛЬНОСТЬ информации - это невозможность ее использования для неуполномоченных лиц. Уполномоченные лица - это лица, имеющие право на использование соответствующей информации в соответствии с принятой в некотором сообществе системой правил. Такая система правил носит название ПОЛИТИКИ ИБ. Существуют политики ИБ государства, региона, предприятия, организации и, наконец, политики ИБ личности. Конфиденциальность обеспечивается системой разграничения доступа к информации - системой, где разные пользователи имеют разные права. При входе в такую систему пользователь должен назвать себя (используются методы идентификации) и доказать, что это именно он (используются методы аутентификации). Пароль и смарт-карта - наименее надежные, но наиболее дешевые методы аутентификации. Их можно передать другому человеку. В сфере сервиса именно их целесообразно применять к сотрудникам и привилигированным клиентам. Аутентификация по отпечаткам пальцев, по сетчатке глаза и т.п. методы надежнее и дороже, хотя и не существенно дороже. Их можно применять к небольшому числу наиболее значимых сотрудников и клиентов. Традиционные методы обеспечения конфиденциальности - это методы шифрования (криптографические и стеганографические методы). Криптографические методы обеспечивают сокрытие от лица, не знающего ключа шифра, конфиденциальной информации. Стеганографические методы обеспечивают сокрытие от лица, не знающего ключа шифра, не только конфиденциальной информации, но и самого факта ее существования. Например, в цифровой фотографии с безобидными видами природы может в зашифрованном виде храниться секретный чертеж или текст. Стойкость шифра определяется трудоемкостью его взлома. В настоящее время существует множество шифров с различной степенью стойкости. Применять шифр с высокой степенью стойкости, как правило, сложно и дорого, да она в сфере сервиса обычно и не нужна, целеесообразнее применять простые шифры с невысокой степенью стойкости.

ЦЕЛОСТНОСТЬ информации - это невозможность ее неуполномоченного изменения или уничтожения. Например, из-за ошибочных действий персонала, из-за непредвиденных сбоев технических и программных средств при передаче, хранении, обработке. Преднамеренное изменение или уничтожение информации уполномоченными лицами не является нарушением ее целостности. Целостность информации обеспечивается ее копированием и резервированием соответствующих технических средств - носителей информации (компьютеров, жестких дисков, лазерных дисков, флеш-карт, дискет). Все это доступно по средствам даже малому предприятию сервиса.

ДОСТУПНОСТЬ информации - это возможность ее использования уполномоченными лицами. При выполнении принятых правил уполномоченными лицами соответствующая информация должна быть им доступна для использования. В зависимости от этих правил уровень доступности может быть низким или высоким. Например, уполномоченное лицо может забыть пароль или потерять смарт-карту. Если для этого случая заранее не предусмотрена специальная процедура, то мы говорим о низком уровне доступности.

УЧЕТ ИСПОЛЬЗОВАНИЯ информации - это документальная фиксация и анализ действий по попыткам доступа к защищаемой информации и по ее использованию. Существуют специальные программные средства, обеспечивающие документальную фиксацию в автоматическом режиме. В случае некоторого происшествия затем можно проанализировать как и почему оно произошло.

НЕОТРЕКАЕМОСТЬ при передаче информации - это невозможность отказа уполномоченного лица ни от фактов отправления и получения им защищаемой информации, ни от ее содержания. Традиционные средства обеспечения неотрекаемости - это подпись и печать. В настоящее время они не обеспечивают неотрекаемости с высокой надежностью. Обычные подписи и печати легко подделать, используя современные сканеры и цветные принтеры. Современные технологии электронной цифровой подписи (ЭЦП) обеспечивают неотрекаемость с высокой надежностью. Пока не известны способы взлома и подделки ЭЦП. Технологии ЭЦП реализуются использованием сравнительно недорогих компьютерных программ. Больших капитальных вложений при этом не требуется.

Достижение конфиденциальности, целостности, доступности, учета использования информации и неотрекаемости должно быть интегрировано в политику ИБ данного предприятия. Как показывает опыт, обеспечить ИБ предприятия только программно-техническими средствами невозможно. Необходимы также организационно-правовые средства. Поэтому политика ИБ должна в себя включать как организационно-правовую составляющую, так и программно-техническую. Эта политика должна быть разработана специалистами в области ИБ неформально (в хорошем смысле этого слова) с учетом особенностей конкретного предприятия, она должна оперативно совершенствоваться по мере ее практического использования. А самое худшее на предприятии сервиса - это " понадеяться на русский авось" и вообще не иметь никакой политики ИБ, что очень часто бывает.

Разработка основ политики ИБ конкретного предприятия сервиса (при ее отсутствии на данном предприятии) или ее части может быть темой дипломной или курсовой работы студента - будущего специалиста в области информационных технологий (ИТ). В этом случае студент должен проявить максимум нетривиального, творческого подхода к делу. Чтобы построить комплексную систему ИБ требуются глубокие знания в области ИБ и всех научных дисциплин, входящих в ее состав.

Среди философов, ученых, известных политических деятелей от древней Греции и Рима до наших дней очень многие занимались различными проблемами ИБ, например, Лисандр, Сцитал, Полибий, Эней, Пифагор, Платон, Аристотель, Цезарь, Цицерон, кардинал герцог Ришелье, 3-й президент США Т. Джефферсон, Петр Великий, английский философ Ф. Бэкон, ученые Л. Альберти, Д. Кардано, Г. Галилей, И. Кеплер, К. Гюйгенс, Б. Вижинер, Д. Валлис, Б. Паскаль, Х. Гольбах, Л. Эйлер, Ф. Эпинус, К.Гаусс, Ч.Бэббидж, Г.Ядлей, А.Тьюринг, С.Куллбак, К.Шеннон, В.А. Котельников, А.А. Марков, А.О. Гельфонд, Ю.Н. Горчинский, В.Е. Степанов и др.

Выделяют следующие НАУЧНЫЕ ДИСЦИПЛИНЫ В СОСТАВЕ ИБ:

1) организационно-правовое обеспечение ИБ;

2) стандарты ИБ;

3) криптология (включает криптографию, криптоанализ, стеганографию);

4) вирусология;

5) сетевая ИБ;

6) инженерно-техническая защита информации;

7) управление рисками ИБ;

8) политика ИБ.

ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИБ - научная дисциплина, объектами исследования которой являются связанные с проблемами ИБ международные соглашения, законодательные акты различных государств, муниципальных образований, распоряжения руководства предприятий и организаций, возможные организационные мероприятия и т.п.

СТАНДАРТЫ ИБ - дисциплина, изучающая принципы разработки оценочных стандартов ИБ (стандартов, предназначенных для оценки и классификации информационных систем и средств защиты по требованиям безопасности), спецификаций ИБ (стандартов, регламентирующих различные аспекты реализации и использования средств и методов защиты), профилей ИБ (приложений общих стандартов к некоторой конкретной области, в качестве примера можно назвать профили защиты информации на малых предприятиях). Стандарты ИБ, как и другие стандарты, лежащие в основе современных ИТ, как правило, разрабатываются на основе теории открытых систем - важнейшей фундаментальной теории современной информатики.

КРИПТОЛОГИЯ (КРИПТОГРАФИЯ, КРИПТОАНАЛИЗ, СТЕГАНОГРАФИЯ) предполагает изучение шифров. О криптографии и стеганографии говорилось выше. Они занимаются разработкой и совершенствованием шифров. Криптоанализ изучает методы взлома шифров.

ВИРУСОЛОГИЯ - дисциплина, изучающая разнообразные компьютерные вирусы и методы борьбы с ними.

СЕТЕВАЯ ИБ - дисциплина, изучающая особенности ИБ в условиях применения коммуникационных компьютерных сетей. Особое внимание уделяется сети Интернет.

ИНЖЕНЕРНО-ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ - дисциплина, изучающая методы защиты целостности, конфиденциальности, доступности информации при помощи инженерно-технических средств. Ее задачи - предотвращение последствий сбоев в электропитании, сбоев в работе ТС, утечек информации в результате использования спецсредств и т.п.

УПРАВЛЕНИЕ РИСКАМИ ИБ - дисциплина, исследующая целесообразность выбора той или иной системы ИБ в конкретных условиях. Внедрение и эксплуатация некоторой системы ИБ сопряжена с некоторыми затратами A. С другой стороны отсутствие этой системы безопасности может вызвать потери B. Если A> B, то целесообразность внедрения и эксплуатации такой системы ИБ под вопросом.

ПОЛИТИКА ИБ - научная дисциплина, изучающая принципы и методы разработки политики ИБ для конкретных условий страны, региона, предприятия, организации и т.д. Конкретная политика ИБ обычно представляет собой пакет нормативных документов, содержащий принципы и правила безопасного использования ИТ, функционирования служб ИБ, реализации организационно-правовых и программно-технических мер обеспечения ИБ, анализа каналов утечки информации, борьбы с дезинформацией, действий в случаях нарушения ИБ, борьбы с компьютерной преступностью и т.д. Политика ИБ - это интегральная дисциплина, использующая достижения всех дисциплин в составе ИБ и различных связанных с ИБ наук.

Существуют явления (общества, природы, сознания) формализуемые. В этом случае можно в принципе построить математическую модель такого явления. Естественно, для этого необходимо глубоко изучить это явление. Но существуют также и явления не формализуемые. Для их изучения методов точных наук недостаточно. Необходимы методы гуманитарных наук и междисциплинарные методы. ИБ как область научных знаний изучает по большей части как раз явления неформализуемые. Чтобы в этом убедиться, достаточно оценить данную выше краткую характеристику научным дисциплинам в составе ИБ. Именно поэтому научные работы специалистов в области ИБ, часто неоднозначно оцениваются специалистами в области точных и технических наук, до этого проблемами ИБ не занимавшимися.

Отметим и такой факт. Российский государственный гуманитарный университет (гуманитарный вуз) готовит специалистов в области ИБ по направлениям " Комплексная защита объектов информатизации" и " Организация и технология защиты информации".

Из всего сказанного выше можно сделать вывод, заключающийся в том, что высшие учебные заведения сервиса, в частности Санкт-Петербургский государственный университет сервиса и экономики, могли бы готовить специалистов в области ИБ. Что будут делать такие специалисты? Они будут государственным структурам, предприятиям, организациям, гражданам оказывать УСЛУГИ в области ИБ. А это сфера СЕРВИСА. Заметим также, что термин " сервисы ИБ" является стандартным в теории ИБ.

ОБ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ. Конечная цель экономической деятельности - получение прибыли. Условия достижения цели - эффективное использование ресурсов и снижение возможных непредвиденных убытков. Экономическая безопасность (ЭБ) как научная дисциплина изучает комплексы мер по защите ресурсов и снижению рисков, направленных на создание и поддержание условий достижения конечной цели экономической деятельности.

Политика ЭБ в Российской Федерации строится на следующих конституционных принципах:

1) верховность права;

2) признание норм международного права;

3) гарантии свободы экономической деятельности, равенство и гарантии всех форм собственности;

4) гарантии прав и свобод человека и гражданина, их государственная защита;

5) гарантии судебной защиты прав и получения квалифицированной юридической помощи.

При выработке концепции обеспечения ЭБ организации или предприятия сервиса необходимо исходить из того, что результатом применения мер противодействия угрозам является защита персонала, материальных, финансовых, информационных ресурсов от нанесения им возможного ущерба в результате случайных или преднамеренных действий.

Различают следующие направления обеспечения ЭБ организации или предприятия сервиса:

1) правовая защита, т.е. наличие таких нормативно-правовых элементов, как: патенты, авторские права, лицензии, законы, подзаконные акты, кодексы, инструкции, положения, приказы;

2) организационная защита, т.е. регламентация производственной деятельности и взаимоотношений исполнителей (сторон), исключающая нанесение ущерба: режим и охрана организации, обеспечение сохранения конфиденциальной информации, подбор и расстановка персонала;

3) инженерно-техническая защита, т.е. использование различных технических средств, препятствующих нанесению ущерба: физические и аппаратные средства, программное обеспечение, математические (криптографические) методы.

В рамках указанных направлений деятельность организации по обеспечению ЭБ классифицируется:

1) по целям: предупреждение, выявление, пресечение угроз, ликвидация последствий;

2) по видам угроз: от разглашения, от несанкционированного доступа, от утечки;

3) по объектам: территория, здания, аппаратура, персонал, финансовые ценности, информация;

4) по активности: активные методы защиты (наступательные, с прямым воздействим на источник угроз), пассивные методы (оборонительные, без прямого воздействия на источник угроз).

Таблица 1.1. Функции обеспечения экономической безопасности в организации или на предприятии сервиса

Экономическая безопасность как область научного знания имеет приблизительно следующую структуру:

1) общетеоретические вопросы экономической безопасности: коммерческая тайна, интеллектуальная собственность;

2) организационные аспекты проблемы экономической безопасности: концепция безопасности, методы защиты объектов;

3) организацию документооборота конфиденциальной информации;

4) экономические проблемы безопасности: природа мошенничества, налоговые нарушения, методы судебной бухгалтерии;

5) психологические аспекты обеспечения безопасности, связанные с организацией общения и наймом персонала.

Тематика экономической безопасности России и российских предприятий в периоды реформирования страны приобрела популярность в последние годы, особенно, после завершения правления в России президента Б.Н. Ельцина. Многочисленные авторы указывают, что если реформы Петра Великого на рубеже XVII-XVIII веков, Столыпина в начале XX века, реформы коммунистов в начале XX века имели главной целью и непосредственно вели к укреплению экономической безопасности России, то реформы в период правления в России президента Б.Н. Ельцина привели к серьезному снижению уровня экономической безопасности России и российских предприятий. Эти реформы просто не имели такой цели.

В этом, собственно говоря, и состоит главная проблема и главная особенность экономической безопасности России и российских предприятий. В частности, предприятий сервиса. Выводы из содержания этих работ с точки зрения науки очевидны и, на наш взгляд, не сильно продвигают вперед соответствующую область знаний. Хотя эти выводы верны и чрезвычайно актуальны. Срочно нужны хоть какие-то меры. Они обязательно дадут положительный результат. Пусть не максимальный. Поскольку в этом направлении совсем не было мер никаких.

Главными целями реформ в период правления в России президента Б.Н. Ельцина были внедрение частной собственности и интеграция Российской экономики в мировую. В связи с этим отметим, что зарубежные специалисты в области ЭБ считают основной особенностью ЭБ на современном этапе массовое внедрение ИТ в экономику, науку, искусство, культуру, быт. А также - информационный взрыв и движение общества к информационной фазе своего развития. В этой фазе наибольшую долю в валовом продукте по стоимости будет занимать информационный продукт, а не материальный. Вхождение человечества в информационную фазу прогнозируется где-то к середине XXI века.

Таким образом, на современном этапе очевидна тесная связь ЭБ с ИБ. Хотелось бы в заключении отметить наиболее значимые на наш взгляд (в том числе и для сферы сервиса) негативные моменты глобальной информатизации для ИБ и ЭБ:

Во-первых, это все большая зависимость человека от технических и программных средств, используемых в управлении (в частности, в сфере сервиса), их сложность и невысокая надежность, отсюда высокий риск сбоев, аварий, кризисных ситуаций и даже техногенных катастроф (например, в сфере жилищно-коммунального хозяйства).

Во-вторых, это невозможность для многих людей (в частности, для специалистов сферы сервиса и их клиентов) полностью адаптироваться к современным ИТ, невозможность работать без ошибок, цена которых может быть очень высокой. Отсюда так называемые непредумышленные атаки на ИБ и ЭБ.

В-третьих, как показал опыт последних десятилетий, информатизация фактически не сглаживает, а обостряет политические и социальные противоречия. Растет уровень расслоения стран на бедные и богатые, в отдельно взятой стране (например, в такой компьютеризированной стране, как США) растет уровень расслоения людей на бедных и богатых. В результате внедрения современных ИТ растет доля высвобождающихся работников (в частности, в сфере сервиса), становящихся невостребованными обществом. В связи с этим даже появился термин " компьютерная безработица". Области бизнеса, связанные с высокими технологиями, также весьма неустойчивы и подвержены кризисам. А информационные услуги - это тоже сфера сервиса. Неустойчиво положение сотрудников, занятых в области высоких технологий, хотя уровни образования и оплаты труда у них высоки. Отсюда так называемые предумышленные атаки на ИБ и ЭБ, в том числе компьютерные преступления.

В-четвертых, широкое применение коммуникационных компьютерных сетей (в частности, в сфере сервиса) существенно усугубляет последствия непредумышленных и предумышленных атак на ИБ и ЭБ.

В-пятых, работа с компьютером, компьютерные игры, Интернет, сотовая телефонная связь отнюдь не способствуют ни физическому, ни психическому здоровью человека. Это касается как специалистов сферы сервиса, так и их клиентов.