По данным аналитиков Международной исследовательской компании IDC, затраты на информационную безопасность в России в 2004 году выросли на 32,7% по сравнению с данными за 2003 год и достигли 42 млн руб. Однако это лишь малая толика действительных потребностей рынка защиты информации, который охватывает все сферы бизнеса и потребности государства. Впереди нас ждет настоящий бум.
Угрозы противодействия
В бизнесе, по данным IDC, 80% угроз информационной безопасности исходит от сотрудников компаний, а также из-за недооценки их руководством этой проблемы.
На втором месте — программы, приносящие вред: вирусы и различные почтовые рассылки: спам. По мнению специалистов, бороться с этими угрозами можно двумя способами: организационно-административными мерами (регламенты выполнения работ, список лиц, допущенных к той или иной информации, приказы) и использованием различного рода программно-аппаратных средств защиты.
Так, по мнению Сергея Казакова (ИД «Экономическая газета»), действенной мерой обеспечения безопасности является ограничение доступа к информационным ресурсам: когда каждое подразделение может видеть только те данные, с которыми непосредственно работает. Это достигается организацией локальных подсетей. Ограничить доступ к сети предприятия можно с помощью специальных программ (бендмауеры), которые запретят всем посторонним доступ в локальную сеть. Кроме того, эти программы защитят сеть от так называемых «шпионов», «троянов»,«червей» и «звонилок», которые соединяются с Интернетом без ведома пользователя и позволяют испортить или скачать информацию, если она не защищена.
Как считает Сергей Груздев (компания ALADDIN),оптимальными с точки зрения безопасности и удобства являются смарт-карты — это компактные компьютерные устройства, которые используются для хранения информации. Они, во-первых, имеют достаточно высокий уровень защиты, а во-вторых, повышают мобильность пользователя (подключение к корпоративным ресурсам вне офиса из так называемой враждебной среды).
Сегодня на предприятиях всех форм собственности уделяют внимание не только созданию системы информационной безопасности, но и ее сопровождению, то есть бесперебойному и надежному функционированию. А это стоит денег. Особенно для предприятий, чьи подразделения разбросаны по разным местам. В этом случае необходимо, по мнению Александра Соколова (компания «ЭлвисПлюс»), оптимизировать систему управления информационной безопасностью. При этом важно, чтобы один администратор мог качественно обслуживать большую территориальную сеть, что снижает общие затраты на защиту информации.
Есть еще много других средств и способов поддерживать информационную безопасность, что подтверждает отечественный рынок (см. диаграмму).
Где кнопки управления?
Хотя деятельность в области информационной безопасности регламентируется многими нормативно-правовыми документами, но даже в Федеральном законе от 20февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» нет четкого определения термина «информационная безопасность». Вот поэтому каждый субъект рынка понимает его так, как считает нужным и выгодным для себя. Однако часто компании начинают заниматься информационной безопасностью, когда уже что-то случилось: в одном месте взломали базу данных, в другом— данные потерялись, а в третьем — им нет доверия.
Бизнес стремится сохранить от посторонних глаз состояние банковских счетов, базы данных, стратегические планы и другую информацию, которую считает важной для себя, и заботится не только о построении системы безопасности, но и о системе управления ею. В случае несанкционированного доступа к информации для защиты собственных прав можно воспользоваться, например, ст. 272главы 28 УК РФ. Из нее следует, что это деяние «наказывается штрафом в размере до 200 тыс. руб. или в размере заработной платы осужденного за период до 18месяцев, либо исправительными работами на срок от 6месяцев до одного года, либо лишением свободы на срок до двух лет». «Однако в отечественной судебной практике, — считает Дмитрий Салынский, (компания SBC) — нет прецедентов, нет опыта в подобных делах, а следственные органы настолько непрофессиональны в этой области, что ситуацию можно изменить, лишь обратившись за примерами к западным коллегам». В результате информацию о каждом из нас и о каждой компании можно купить на любом компьютерном рынке.
А тем временем российский рынок защиты информации демонстрирует уверенный рост и находится примерно на таком же уровне, как темпы развития отрасли связи и информатизации. Растут и затраты россиян на информационную безопасность, но на месть еще к чему стремиться. По результатам исследования компании IDC, объем мирового рынка компьютерной и сетевой безопасности в прошедшем году составил 13 млрд дол., а доля российского в нем —всего 1,3%.
Сегодня отечественные предприятия пытаются противостоять конкретным угрозам и уже потратили на это 42 млн руб. На повестке дня разработка стратегии обеспечения информационной безопасности. А на это потребуются дополнительные средства. Поэтому иностранцы и предсказывают нам бум на рынке защиты информации.
К сведению
Система контроля действий персонала выявляет недостатки в организации рабочего процесса, повышает производительность сотрудников, обеспечивает защиту от утечек информации по каналам Интернета. В частности, она обеспечивает:
✔ контроль использования корпоративной электронной почты в личных целях;
✔ контроль посещаемости сотрудниками интернет сайтов:
- блокировка развлекательных страниц;
- разграничение доступа различным группам пользователей;
- создание списка самых посещаемых сотрудниками сайтов;
- экономия интернет-трафика.
Дмитрий Салынский, компания SBC:
«Прежде чем говорить об информационной безопасности, нужно знать, что, от кого и как защищать. Тогда информационная безопасность, по сути, — стиль и методы работы компании не только по предотвращению искажения или потери информации, но и снижению рисков, связанных с этими явлениями».
К сведению
Некоторые нормативно-правовые документы, регулирующие сферу информационной безопасности:
✔Уголовный кодекс РФ, глава 28 «Преступления в сфере компьютерной информации»;
✔ Таможенный кодекс РФ от 28 мая 2003 г. № 61-ФЗ, ст. 427 «Защита информации и прав субъектов, участвующих в информационных процессах и информатизации»;
✔ Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. № ПР-1895;
✔Указ Президента РФ от 12 мая 2004 г. № 611 «О мерах по обеспечению информационной безопасности РФ в сфере международного информационного обмена»;
✔Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации»;
✔Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;
✔ Постановление Правительства РФ от 26.06.95 № 608«О сертификации средств защиты информации»;
✔ Распоряжение от 20 июля 2005 г. № 199-РЭМ «О порядке предоставления сведений о гражданах, зарегистрированных по месту жительства в городе Москве» и др.
Подготовлено «ЭЖ Досье»