Тема 3 . Стандарты финансово -экономической безопасности предприятия

3.1 Стандарты безопасности предприятия

Государственные стандарты Украины ( ДСТУ ) - это нормативные документы , действующие на территории Украины и используются всеми предприятиями независимо от формы собственности и подчинения , гражданами- субъектами предпринимательской деятельности , министерствами ( ведомствами ) , органами государственной власти , на деятельность которых распространяется действие стандартов . ДСТУ для любого государства мира является национальным стандартом Украины , который утверждается Госстандартом Украины . ДСТУ имеют межотраслевое использования и вводятся преимущественно на продукцию массового или серийного производства , на нормы , правила , требования , термины и понятия , обозначения и другие объекты , регламентирование которых необходимо для оптимального качества продукции , а также для единства и взаимосвязи различных отраслей науки , техники , производства и культуры .

Государственные стандарты Украины содержат обязательные и рекомендуемые требования . К обязательным относятся :

• требования , обеспечивающие безопасность продукции для жизни , здоровья , имущества граждан , ее совместимость и взаимозаменяемость , охрану окружающей природной среды и требования методов испытаний этих показателей ;

• требования техники безопасности и гигиены труда со ссылкой на соответствующие нормы и правила ;

• метрологические нормы , правила , требования и положения , обеспечивающие достоверность и единство измерений ;

• положения, обеспечивающие техническое единство при разработке , изготовления , эксплуатации ( применения) продукции .

Обязательные требования ДС предприятия подлежат безусловному исполнению органами государственной исполнительной власти , всеми предприятиями и гражданами- субъектами предпринимательской деятельности , на деятельность которых распространяется действие стандартов .

Рекомендуемые требования ДС предприятия являются обязательными для выполнения , если :

• это предусмотрено действующими актами законодательства ;

• эти требования включены в договора на разработку , изготовление и поставку продукции ;

• производителем ( поставщиком) продукции документально заявлено о соответствии продукции этим стандартам.

Отраслевые стандарты Украины ( ГСТУ ) разрабатывают на продукцию , услуги в случае отсутствия ДСТУ , или по необходимости установления требований , которые превышают или дополняют требования государственных стандартов . Требования ГСТУ не должны противоречить обязательным требованиям ДСТУ . ГСТУ являются обязательными для всех предприятий и организаций данной отрасли , а также для предприятий и организаций других отраслей ( заказчиков) , использующих или применяют продукцию этой отрасли.

Стандарты научно - технических и инженерных обществ (союзов ) Украина ( СТТУ ) разрабатывают по необходимости распространения и внедрения систематизированных , обобщенных результатов фундаментальных и прикладных исследований , полученных в определенных областях знаний и сферах профессиональных интересов . Требования СТТУ не должны противоречить обязательным требованиям ДСТУ и ГСТУ .

Предприятия применяют СТТУ добровольно , а отдельные граждане - субъекты предпринимательской деятельности , если считают целесообразным использовать новые передовые средства , технологии , методы и другие требования , которые содержатся в этих стандартах . Использование СТТУ для изготовления продукции возможно только с согласия заказчика или потребителя этой продукции , что закреплено договором или иным соглашением .

Технические условия ( ТУ) - нормативный документ , который разрабатывают для установления требований , регулирующих отношения между поставщиком ( разработчиком , производителем ) и потребителем (заказчиком ) продукции , для которой отсутствуют государственные или отраслевые стандарты ( или по необходимости конкретизации требований указанных документов). ТУ утверждают на продукцию, находящуюся на стадии освоения и производится небольшими партиями. ТУ разрабатываются на один или несколько конкретных изделий , материалов , веществ , услугу или группу услуг. Вводят ТУ в действие на короткие сроки , срок их действия ограничен или устанавливается по согласованию с заказчиком. Предприятия используют ТУ независимо от формы собственности и подчиненности , граждане - субъекты хозяйствования - по договорным обязательствам или лицензиями на право изготовления и реализации продукции (оказания услуг) .

Стандарты предприятий ( ​​СТП) разрабатываются на продукцию (процесс , работу , услугу) , которую производят и применяют ( предоставляют) только на конкретном предприятии . СТП не должны противоречить обязательным требованиям ДСТУ и ГСТУ . Объектами СТП есть составляющие продукции , технологическая оснастка и инструмент , технологические процессы , услуги , которые оказывают на определенном предприятии , процессы организации и управления производством . СТП - основной организационно - методический документ в действующих на предприятиях системах управления качеством продукции . Как СТП могут использоваться международные , региональные и национальные стандарты других стран на основании международных соглашений о сотрудничестве .

Кодексы установившейся практики разрабатывают на оборудование , конструкции , технические системы , которые отличаются конструктивным исполнением. В кодексах установившейся практики отмечают правила и методы решения задач по координации работ по стандартизации и метрологии , а также реализации определенных требований технических регламентов или стандартов .

Технический регламент - это новый вид нормативного документа , который создан с целью разграничения законодательно регулируемой и нерегулируемой сферы использования нормативных документов . В одновременно принятом Законе Украины " О подтверждении соответствия" от 17.05.2001 № 2406 -III такой документ назван технический регламент по подтверждению соответствия и ему предоставлен статус правительственного нормативно - правового акта. Здесь установлено , что этот ТР должен содержать : описание видов продукции, подлежащей обязательному подтверждению соответствия , требования к такой продукции , которые имеют ограждать людей , животных , растения , имущество и окружающую среду ; процедуры подтверждения соответствия таким требованиям. Итак технический регламент - это закон Украины или нормативно - правовой акт , принятый Кабинетом Министров Украины , в котором определены характеристики продукции или связанные с ней процессы или способы производства , а также требования к услугам , включая соответствующие положения , соблюдение которых является обязательным . Он может также содержать требования к терминологии , обозначениям, упаковке , маркировке и этикетированию , которые применяются к определенной продукции , процессу или методу производства .

В зависимости от специфики объекта стандартизации , назначения , состава и содержания требований, установленных к нему , для различных категорий нормативных документов по стандартизации разрабатывают стандарты следующих видов:

• основополагающие ;

• на продукцию , услуги ;

• на процессы ;

• методы контроля ( испытаний , измерений , анализа)

Основополагающие стандарты устанавливают организационно - методические и общетехнические положения для определенной области стандартизации , а также термины и определения , общетехнические требования , нормы и правила, обеспечивающие упорядоченность , совместимость , взаимосвязь и взаимосогласованности различных видов технической и производственной деятельности при разработке , изготовления , транспортировки и утилизации продукции , безопасность продукции , охране окружающей среды .

Стандарты на продукцию , услуги устанавливают требования к группам однородной или определенной продукции , услуги , которые обеспечивают ее соответствие своему назначению . В них приводятся технические требования к качеству продукции (услуг ) при их изготовлении, поставке и использовании ; определяются правила приема , способы контроля и испытания , требования к упаковке, маркировке , транспортировке, хранению продукции или качества предоставленных услуг.

Стандарты на процессы устанавливают основные требования к последовательности и методов ( средств , режимов , норм) выполнения различных работ (операций ) в процессах , используемых в различных видах деятельности и обеспечивающих соответствие процесса его назначения.

Стандарты на методы контроля ( испытаний , измерений , анализа ) регламентируют последовательность (операций ) , способы (правила , режимы , нормы ) и технические средства их выполнения для различных видов и объектов контроля продукции , процессов , услуг. В них приводятся унифицированные методы контроля качества , основанных на достижениях современной науки и техники.

По международным стандартам , то в Украине они начали использоваться с 1989 г. С 1996 г. в Украине действуют международные стандарты 9000, которые охватывают системы обеспечения качества , с 1 января 1998 г. - стандарты И8О 14000 , которые охватывают сферу окружающей среды , с 1 Июль 1998 - европейские стандарты 45000 , регулирующих деятельность в области оценки соответствия. В конце 2002 г. вступили в силу национальные стандарты , созданные на основе международных стандартов серии И8О 9000 новой версии. Введен ряд стандартов серии 14000 и других серий. На конец 2006 г. в Украине утвержден 17 технических регламентов по подтверждению соответствия , основанные на европейских директивах « нового подхода» и в которых установлены обязательные требования по безопасности к определенным видам продукции (строительные изделия , медицинские изделия , взрывчатые материалы гражданского назначения , оборудование и системы защиты , предназначенные для применения во взрывоопасной атмосфере , прогулочные суда и проч . ) .

3.2 . Стандарты безопасности информационных технологий предприятия

Безопасность ( information security ) - состояние информации , при котором обеспечивается сохранение определенных политикой безопасности свойств информации.

Общие информационные процессы происходят в автоматизированных системах обработки данных :

• информационно - справочное обеспечение ;

• информационное обеспечение задач ;

• обслуживание информационных баз.

     Классификация видов информации:

• статистическая информация;

• массовая информация;

• информация о деятельности государственных органов власти и органов местного самоуправления ;

• правовая информация ;

• информация о личности ;

• информация справочно - энциклопедического характера ;

• социологическая информация .

По степени важности информацию можно разделить на :

1 ) жизненно важная незаменимая информация , наличие которой необходимо для функционирования системы ;

2 ) важная информация - информация, которая может быть заменена или восстановлена ​​, но процесс ее восстановления тяжелый и связан с большими затратами ;

3 ) полезная информация - информация , которую трудно восстановить , однако система может достаточно эффективно функционировать и без нее ;

4 ) несущественна информация - информация , без которой система продолжает существовать.

Показатели , характеризующие информацию как ресурс это .

1.Важливисть - это обобщенный показатель , характеризующий значимость информации с точки зрения задач , для которых она используется , а также с точки зрения организации ее обработки. Оценка может осуществляться :

• важности самих задач для данной деятельности ;

• степени важности информации для эффективного выполнения соответствующих задач ;

• уровнем затрат при нежелательных изменениях информации;

• уровнем затрат на восстановление нарушений информации.

Следует отметить , что для некоторых видов информации важность можно достаточно точно оценивать по так называемому коэффициентом важности , вычисления которого осуществляется на основе математических , лингвистических или неформально - эвристических моделей;

2 . Полнота - это показатель, характеризующий степень достаточности информации для решения соответствующей задачи . Для количественного выражения этого показателя также известны формальные и неформальные модели вычисления коэффициента полноты .

3 . Адекватность - это степень соответствия информации реальному положению тех объектов , которые она отражает . Адекватность зависит от объективности генерирования информации об объекте , а также от продолжительности времени между моментом генерирования и моментом оценки адекватности. Отметим , что для оценки адекватности также известны формальные и неформальные подходы , которые позволяют получить ее количественные оценки;

3 . Релевантность - это показатель, характеризующий соответствие ее потребностям задачи , которая решается . Известный коэффициент релевантности - это отношение объема релевантной информации к общему ее объема .

4 . Толерантность - показатель, характеризующий удобство восприятия и использования информации в процессе решения соответствующей задачи . Это понятие является очень широким , неопределенным и субъективным , а следовательно , формальных методов его оценки пока нет.

Показателями, характеризующими информацию как объект является :

1 ) способ или система кодирования информации , то есть эффективность кодирования ;

2 ) объем кодов , отражающих данную информацию.

Ообливости информации как объекта собственности заключаются в следующем.

1 . Информация как объект права собственности может копироваться ( тиражироваться ) с помощью материального носителя. Материальный объект права собственности , как известно , копировать невозможно (по крайней мере пока). Действительно , если рассмотреть две одинаковые вещи ( одежда , автомобиль и т.п. ) , то они состоят из одинаковых структур , но все же они разные ( чем подробнее их рассматривать , тем больше они будут различаться ) . Между тем информация при копировании остается той же , это то же знания.

2 . Информация как объект права собственности легко перемещается к другому субъекту права собственности без очевидного (по крайней мере заметного ) нарушение права собственности на информацию. Перемещение же материального объекта от одного субъекта (без его согласия ) к другому неизбежно влечет потерю первоначальным субъектом права собственности на этот объект , то есть происходит очевидное нарушение его права собственности .

3 . Опасность копирования и перемещения информации усугубляется тем , что она , как правило , отчуждаемая от владельца , то есть сохраняется и обрабатывается в сфере доступности большого числа субъектов , которые не являются субъектами права собственности на эту информацию (автоматизированные системы , сети ЭВМ и т . п.). Кроме отмеченных особенностей информации как объекта собственности в другом , пожалуй , она ничем не отличается от традиционных объектов права собственности .

Информация как коммерческая тайна. Под коммерческой тайной предприятия понимаются сведения , не являющиеся государственными секретами и связанные с производством , технологией , управлением , финансами и другой деятельностью предприятия , разглашение ( передача , утечка) которых может нанести ущерб его интересам .

К проблемам защиты информации можно отнести . Наивысшая степень автоматизации , к которому стремится современное общество , ставит его в зависимость от степени безопасности используемых им информационных технологий , с которыми связаны благополучие и даже жизнь множества людей .

Причины роста потребностей в защите информации. Информация стала настолько важной , что она превратилась в ценный товар , так как связана с возможностью испытывать материальных, финансовых , моральных убытков .

Увеличение объемов информации, накапливаемой , хранимой и обрабатываемой с помощью ЭВМ и других средств вычислительной техники (СВТ ) . При этом речь идет не только и не столько о резком и буквальное увеличение самих объемов , но и о расширении арсенала методов , способов и возможностей ее сосредоточения и хранения. Фактически , проникнув в достаточно мощную базу данных , можно получить информацию буквально обо всем на свете. Особенно расширились возможности подобного рода с возникновением глобальной сети Internet.

3.3 . Законодательные акты и нормативные документы по защите информации

К главным законодательных актов и нормативных документов по обеспечению экономической безопасности и защиты информации можно всего отнести .

законы :

1 . Закон Украины « Об информации » от 02.09.92 .

2 . Закон Украины « О защите информации в автоматизированных системах » от 05.07.94

3 . Закон Украины «О государственной тайне » от 21.01.94

4 . Закон Украины « О научно - технической информации» от ​​25.06.93

5 . Закон Украины « О Национальной программе информатизации » от 04.02.98 ;

Закон Украины «О Концепции Национальной программы информатизации » от 04.02.98

6 . Закон Украины « О защите персональных данных» от 01.06.2010 № 2297- VI

                                              

Постановления КМУ :

1 . Постановление Кабинета министров Украины «Об утверждении Правил обеспечения защиты информации в информационных , телекоммуникационных и информационно - телекоммуникационных системах » от 29.03.2006 № 373

2 . Постановление Кабинета министров Украины «Об утверждении Инструкции о порядке учета , хранения и использования документов , дел , изданий и других материальных носителей информации , содержащих служебную информацию » от 27 ноября 1998 г. № 1893

3 . Нормативные документы в области технической защиты информации (НД ТЗИ) [ 1] и государственные стандарты Украины ( ДСТУ ) по созданию и функционирования КСЗИ :

4 . НД ТЗИ 3.7-003-05 Порядок проведения работ по созданию комплексной системы защиты информации в информационно - телекоммуникационной системе

5 . Государственный стандарт Украины . Защита информации. Техническая защита информации. Порядок проведения работ . ДСТУ 3396.1-96

6 . НД ТЗИ 1.4-001-2000 Типовое положение о службе защиты информации в автоматизированной системе

7 . НД ТЗИ 2.5-004-99 Критерии оценки защищенности информации в компьютерных системах от несанкционированного доступа

8 . НД ТЗИ 2.5-005-99 Классификация автоматизированных систем и стандартные функциональные профили защищенности обрабатываемой информации от несанкционированного доступа

9 . НД ТЗИ 2.5-008-02 Требования по защите конфиденциальной информации от несанкционированного доступа при обработке в автоматизированных системах класса 2

10 . НД ТЗИ 2.5-010-03 Требования к защите информации WEB -страницы от несанкционированного доступа

11 . НД ТЗИ 3.7-001-99 Методические указания по разработке технического задания на создание комплексной системы защиты информации в автоматизированной системе

12 . НД ТЗИ 3.6-001-2000 Техническая защита информации. Компьютерные системы . Порядок создания, внедрения , сопровождения и модернизации средств технической защиты информации от несанкционированного доступа

13 . Автоматизированные системы. Требования к содержанию документов РД 50-34.698

14 . Техническое задание на создание автоматизированной системы. ГОСТ 34.602-89

15 . НД ТЗИ 1.1-002-99 Общие положения по защите информации в компьютерных системах от несанкционированного доступа

Отраслевые стандарты:

1 . Национальный банк Украины

2 . ГСТУ СУИБ 1.0/ISO/IEC 27001:2010 Информационные технологии . Методы защиты . Система управления информационной безопасностью. Требования . ( ISO / IEC 27001:2005 , MOD )

3 . ГСТУ СУИБ 2.0/ISO/IEC 27002:2010 Информационные технологии . Методы защиты . Правила для управления информационной безопасностью. ( ISO / IEC 27002:2005 , MOD )