4. Северин В.А. Комплексная защита информации на предприятии (20xx) (Северин В.А. Комплексная защита информации на предприятии (20xx).doc), страница 5

Применение метода эксперимента, выполняющего важную прогностическую функцию, важно тогда, когда: во-первых, це­лесообразность и эффективность того или иного режимного ме­роприятия, связанного с прогнозированием, нельзя обосновать с помощью иных методов; во-вторых, невозможно научно предска­зать какие-либо конкретные результаты решения прогнозируемых проблем в сфере обеспечения безопасности организации, так как научное предвидение объясняет, как правило, лишь общие направления и характер этих результатов.

Эксперимент позволяет подтвердить выдвинутую гипотезу и служит источником фактического материала, дает возможность перейти от гипотезы к теории, а от теории к практике, к вы­работке научно обоснованных рекомендаций по предупрежде­нию утечки КЗИ. Эксперимент выступает, с одной стороны, как способ проверки, например, установленного в организации режима коммерческой тайны, а с другой ~- как инструмент, способствующий поиску новых правовых средств, направленных на обеспечение эффективности деятельности по охране конфи­денциальности КЗИ.

Общепризнанным является факт проникновения математики во многие отрасли знания, в том числе и гуманитарные. Мате­матические методы широко используются при исследовании социальных явлений. Высказанное К. Марксом положение о том, что «наука только тогда достигает совершенства, когда ей удается пользоваться математикой» , не потеряло своей актуальности в современный период. В этой связи следует подчеркнуть, что криминологическая наука, например, обнаруживает тенденции к переходу от чисто качественного анализа к количественно-математическому. Это, впрочем, характерно сегодня, хотя и в меньшей степени, для других юридических наук, включая науки частного права. Математические формулы выражают не только количественные отношения действительности, но и улавливают качественную сторону объекта изучения. Математические методы могут быть использованы при разработке методик определения степени конфиденциальности информации, выявления ВКУ информации и изучения системы предупреждения нарушений в сфере обращения КЗИ, а также для обоснования расчетов, подтверждения тенденции развития того или иного явления. Математический аппарат может быть использован при про­ведении расчета данных о вероятности возникновения угроз организации, моделирования ВКУ КЗИ н решения других задач в рамках создания АСУ Р() работ, выполняемых в организации с использованием КЗИ.

Данные кибернетики как науки, исследующей различные системы живой природы и автоматические системы, созданные человеком, а также изучающей законы управления в любых системах, в том числе и социальных, могут быть использованы организациями для разработки комплексных систем зашиты ин­формации. Перспективной в этом направлении является задача изучения возможностей использования кибернетических методов при выявлении угроз безопасности организации, планировании мер по охране КЗИ и других, которые использовались, например, при разработке АСУ РО в советский период и экспершыч систем в области информационных отношений.

Для изучения процесса перехода практического в теоретиче­ское в учебнике представлены частнонаучныв методы, которые позволяют получить данные о регулировании и обеспечении охраны конфиденциальности информации в гражданском (тор­говом) обороте с использованием различных правовых средств, о существовании ВКУ КЗИ, причин и обстоятельств их обуслов­ливающих, а также об эффективности принимаемых предупре­дительных мер защиты информации. Наиболее характерными в этой группе являются следующие методы.

Письменный и устный опрос достаточно часто используется для сбора эмпирических материалов. Опрос как выборочный метод сбора социально-правовой информации в сфере обращения КЗИ может проводиться в виде анкетирования, представляющего со­бой сбор сведений об имеющихся недостатках в работе, которые связаны с корпоративным регулированием обращения КЗИ, фор­мированием договорных условий об охране конфиденциальности информации, принятием адекватных мер угрозам безопасности организации, а также мер по предупреждению нарушений в этой сфере. На практике используются различные формы сбора све­дений, в основном в виде устного опроса и заполнения анкет.

Анализ документов — один из широко используемых и эф­фективных методов, который применяется для сбора первичной информации о состоянии дел в сфере обращения КЗИ и охраны ее конфиденциальности. Документы анализируются на тради­ционных (бумажных) носителях и электронных документах. Это могут быть официальные и неофициальные, статистические и другие документы в зависимости от возможности доступа к ним, их целостности и легитимности.

На практике используется и метод экспертных оценок, кото­рый позволяет учесть мнение специалистов по определенному кругу вопросов. Экспертами являются руководители организаций и подразделений, научные и практические работники, хорошо знающие исследуемую проблему в области обеспечения безо­пасности коммерческих структур. Экспертам могут быть заданы

Эксперимент позволяет подтвердить выдвинутую гипотезу и служит источником фактического материала, дает возможность перейти от гипотезы к теории, а от теории — к практике, к вы­работке научно обоснованных рекомендаций по предупрежде­нию утечки КЗИ. Эксперимент выступает, с одной стороны, как способ проверки, например, установленного в организации режима коммерческой тайны, а с другой — как инструмент, способствующий поиску новых правовых средств, направленных на обеспечение эффективности деятельности по охране конфи­денциальности КЗИ.

Общепризнанным является факт проникновения математики во многие отрасли знания, в том числе и гуманитарные. Мате­матические методы широко используются при исследовании социальных явлений. Высказанное К. Марксом положение о том, что «наука только тогда достигает совершенства, когда ей удается пользоваться математикой» ¹, не потеряло своей актуальности в современный период. В этой связи следует подчеркнуть, что криминологическая наука, например, обнаруживает тенденции к переходу от чисто качественного анализа к количественно-математическому. Это, впрочем, характерно сегодня, хотя и в меньшей степени, для других юридических наук, включая науки частного права. Математические формулы выражают не только количественные отношения действительности, но и улавливают качественную сторону объекта изучения. Математические методы могут быть использованы при разработке методик определения степени конфиденциальности информации, выявления ВКУ информации и изучения системы предупреждения нарушений в сфере обращения КЗИ, а также для обоснования расчетов, подтверждения тенденции развития того или иного явления. Математический аппарат может быть использован при про­ведении расчета данных о вероятности возникновения угроз организации, моделирования ВКУ КЗИ и решения других задач в рамках создания АСУРО работ, выполняемых в организации с использованием КЗИ.

Данные кибернетики как науки, исследующей различные системы живой природы и автоматические системы, созданные человеком, а также изучающей законы управления в любых системах, в том числе и социальных, могут быть использованы организациями для разработки комплексных систем защиты ин­формации. Перспективной в этом направлении является задача изучения возможностей использования кибернетических методов при выявлении угроз безопасности организации, планировании мер по охране КЗИ и других, которые использовались, например, при разработке АСУРО в советский период и экспертных систем в области информационных отношений.

Для изучения процесса перехода практического в теоретиче­ское в учебнике представлены частнонаучные методы, которые позволяют получить данные о регулировании и обеспечении охраны конфиденциальности информации в гражданском (тор­говом) обороте с использованием различных правовых средств, о существовании ВКУ КЗИ, причин и обстоятельств их обуслов­ливающих, а также об эффективности принимаемых предупре­дительных мер защиты информации. Наиболее характерными в этой группе являются следующие методы.

Письменный и устный опрос достаточно часто используется для сбора эмпирических материалов. Опрос как выборочный метод сбора социально-правовой информации в сфере обращения КЗИ может проводиться в виде анкетирования, представляющего со­бой сбор сведений об имеющихся недостатках в работе, которые связаны с корпоративным регулированием обращения КЗИ, фор­мированием договорных условий об охране конфиденциальности информации, принятием адекватных мер угрозам безопасности организации, а также мер по предупреждению нарушений в этой сфере. На практике используются различные формы сбора све­дений, в основном в виде устного опроса и заполнения анкет.

Анализ документов — один из широко используемых и эф­фективных методов, который применяется для сбора первичной информации о состоянии дел в сфере обращения КЗИ и охраны ее конфиденциальности. Документы анализируются на тради­ционных (бумажник) носителях и электронных документах. Это могут быть официальные и неофициальные, статистические и другие документы в зависимости от возможности доступа к ним, их целостности и легитимности.

На практике используется и метод экспертных оценок, кото­рый позволяет учесть мнение специалистов по определенному кругу вопросов. Экспертами являются руководители организаций и подразделений, научные и практические работники, хорошо знающие исследуемую проблему в области обеспечения безо­пасности коммерческих структур. Экспертам могут быть заданы

следующие вопросы: каково состояние охраны коммерческой тайны в организации; какова величина латентное™ (т.е. нерас­крытых, неизвестных администрации нарушений) в сфере обра­щения КЗИ, на каких направлениях деятельности организации могут существовать ВКУ КЗИ; каковы причины и условия, спо­собствующие совершению нарушений в этой сфере; какие меры следует предпринять для закрытия ВКУ КЗИ и др. Информация, полученная от экспертов, в основном носит не эмпирический, а концептуальный характер и является по этой причине менее детализированной.

Итак, каждый из рассмотренных методов выполняет свою определенную роль и не может быть абсолютизирован. Поэтому необходимо комплексное их использование. Следование этому требованию позволяет повысить уровень достоверности ре­зультатов изучения комплексной системы защиты информации в организации.

Контрольные вопросы

1. В чем заключается сущность комплексной системы защиты информации в организации?

2. Расскажите о существующих подходах к регулированию комплексной системы обеспечения безопасности организаций.

3. Сформулируйте цели, задачи и принципы обеспечения информационной безопасности организаций.

4. Перечислите направления деятельности по установлению режима коммерческой тайны и обеспечению информационной безопасности организации.

5. Какие обстоятельства определяют методологию изучения явлений и процессов в сфере обращения КЗИ и ее комплексной защиты?

6. Дайте общую характеристику методов, используемых для изучения комплексной системы защиты информации в органи­зации.

7. Расскажите об особенностях использования всеобщего философского метода познания явлений, происходящих в сфере обращения КЗИ.

8. Охарактеризуйте роль общенаучных и частнонаучных ме­тодов в изучении комплексной системы защиты информации в организации.

Глава2

Угрозы интересам коммерческой организации и основные параметры построения системы ее безопасности

§ 1. Характеристика угроз безопасности коммерческих организаций

Построение системы безопасности коммерческой организации требует учета существующих угроз ее интересам. В ст. 1 Закона РФ от 5 марта 1992 г. № 2446-1 «О безопасности» ¹ дается общее определение безопасности как состояния защищенности жиз­ненно важных интересов личности, общества и государства от внутренних и внешних угроз. Под жизненно важными интереса­ми организаций, как это следует из определения Закона, нужно понимать совокупность потребностей, удовлетворение которых надежно обеспечивает существование и создает возможности для их прогрессивного развития.

Информационная безопасность организаций является важ­нейшим звеном общей системы национальной безопасности Российской Федерации. В общих чертах ее можно определить как состояние защищенности имущественных и иных интересов организации в информационной сфере от внутренних и внешних угроз, реализация которых может причинить ей вред, и прежде всего материальный ущерб.

Коммерческая организация в процессе своего функциони­рования выступает объектом безопасности. Поэтому она сама определяет содержание, понятие и пределы своей безопасности, учитывая при этом возникающие возможные угрозы ее сущест­вования и развития. Безопасность организации проявляется через ее состояние, которое позволяет увеличивать доходы (получать прибыль), избежать неоправданных расходов, сохранить стабиль­ное и прогрессивное положение на рынке товаров (работ, услуг) или получить иную коммерческую выгоду.

Понятие информационной безопасности организаций нельзя сводить, как представляется, только к понятию безопасности информации. Как отмечал А. И. Алексснцев, «потеря носителя ин­формации, хищения носителя информации или отображенной в нем информации, несанкционированного уничтожения носителя информации... искажения информации, блокирования информа­ции, разглашения информации» , представляют собой нарушения целостности безопасности информации. Очевидно, что понятие информационной безопасности организации значительно шире и включает в себя не только нарушение статуса информации, но и множество других угроз внутреннего и внешнего харак­тера, оказывающих негативное воздействие на экономическую деятельность организации и определяющих в конечном итоге ее безопасность.

Отсюда важно проанализировать общие и конкретные (внеш­ние, внутренние) угрозы, оказывающие влияние на защиту иму­щественных интересов организаций с использованием правового института коммерческой тайны.