intro.htm ВВЕДЕНИЕ На современном этапе многие традиционные ресурсы человеческого прогресса утрачивают свое первостепенное значение. Информация становиться главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Хорошо налаженная информационная сеть призвана сыграть такую же роль в общественной жизни, какую в свое время сыграли электрофикация, телефонизация, радио и телевидение, вместе взятые. Информация не только влияет на ускорение развития науки, техники и различных отраслей народного хозяйства, но и играет огромную роль в процессах обеспечения охраны общественного порядка, сохранности собственности, общения между людьми и в других социальных областях. Воистину она первооснова всей деятельности людей, ибо в основе любого решения всегда лежит полученная и обработанная информация. Поэтому информация может быть использована особой категорией населения в преступных и других антигуманных целях. Она также может стать в руках ненадежных и эксцентричных людей грозным оружием в борьбе с конкурентом или при ведении войны компроматов. Отсюда очень актуальной является проблема обеспечения информационной безопасности деятельности государственного служащего и бизнесмена, предпринимателя и юриста, ведущего дела своих клиентов. Переход стран СНГ от планового хозяйствования к рыночному, возникновение многочисленных частных предприятий, снижение роли государственного регулирования в различных сферах экономической жизни — все это ведет к резкому усилению конкуренции между производителями товаров и услуг. Исторический опыт свидетельствует, что в целом конкуренция способствует развитию производительных сил и прогрессу общественных отношений. Однако лишь тогда, когда она осуществляется в цивилизованных формах. Именно в этом случае преимущество получает тот из соперников, чья стратегия направлена на повышение качества предлагаемых товаров и услуг, снижение цен на них, предоставление дополнительных льгот потребителям. В то же время противоборство между конкурентами может происходить с использованием нецивилизованных, недобросовестных и даже незаконных средств и методов. В таких ситуациях вперед вырывается не тот, кто лучше работает, кто больше заботится о потребителе, а наглый деляга или преступник. К сожалению, в настоящее время в странах СНГ и Балтии получили широкое распространение именно нецивилизованные формы конкурентной борьбы. Питательную почву для них создают специфические условия постсоветского экономического пространства: общая низкая культура предпринимательской деятельности, незавершенность процесса формирования рыночных отношений, отсутствие либо неэффективность многих законодательных и нормативных актов, экономическая нестабильность (инфляция, безработица, неплатежи), отсутствие разветвленной системы государственных органов и общественных организаций для борьбы с нецивилизованной, недобросовестной и незаконной конкуренцией. Основной принцип конкуренции со знаком «минус» заключается в стремлении укрепить свое положение за счет ослабления позиций конкурентов (вплоть до их полного вытеснения) либо за счет обмана потребителей, или путем сочетания того и другого. Нецивилизованная конкуренция осуществляется в форме экономического шпионажа, коррупции, лживой рекламы, компрометации отдельных сотрудников и фирм в целом, фальсификации и подделки продукции конкурентов, манипулирования с деловой отчетностью для получения различных финансовых выгод и, наконец, посредством прямого обмана, грабежа, нанесения материального ущерба, психологического и физического подавления (вплоть до убийства). Поговорим об экономическом шпионаже. Согласно оценкам американских экспертов, потери фирм и корпораций в США, обусловленные хищением конфиденциальной информации, составляли в 1989 году около 40 миллиардов долларов! Между тем, опрос российских предпринимателей, проведенный в 92 году московским центром по изучению проблем недобросовестной конкуренции, показал что только 37% из них понимают необходимость целенаправленной защиты своих коммерческих секретов. По данным опроса, проведенного Ernst&Young LLP, пренебрегающие защитой информации компании несут неисчислимые убытки от случайных ошибок, вирусов, а также вторжений внутренних и внешних хакеров. Ущерб, причиняемый кражами денег и оборудования, подсчитать нетрудно, но вот выразить в долларах потери, понесенные в связи с воровством коммерческих секретов, намеренным удалением или порчей данных и сбоями сети, практически невозможно. «В случае с компаниями-разработчиками ПО, их основным преимуществом являются исследования и разработка», — сказал Скотт Рэмзи, директор отдела защиты информации Ernst&Young. Если будет украдена написанная такой компанией программа, фирма расстанется не только со стоимостью проделанной работы. Нельзя не учитывать также «будущий доход и судебные издержки, которые пойдут на доказательство факта кражи». 54% из 1320 опрошенных заявили, что в течение последних двух лет были случаи, когда они несли убытки, связанные с пренебрежением защитой информации и восстановлением от сбоев. Если к двум вышеупомяну- тым причинам потерь добавить еще и компьютерные вирусы, то число пострадавших составит 78% опрошенных, причем три четверти из них не смогли оценить объема своих потерь. Результаты опроса показывают, что многие руководители не заботятся должным образом о безопасности своих компаний. В лучшем случае они знают об уязвимых местах, но ничего не предпринимают. Компаниям следует ввести у себя должность администратора по защите информации. «Угроза может возникнуть из-за незащищенного соединения с Internet, злоумышленных действий раздраженного чем-либо служащего, потери мобильного компьютера с ответственной информацией, промышленного шпионажа или простой небрежности. В США промышленный шпионаж преследуется законом, но в других странах — нет: мы заметили, что число «разведчиков», действующих из-за границы, увеличилось», — говорит Рэмзи. Основные причины убытков компаний, пренебрегающих защитой данных, выглядят следующим образом: • Убытки из-за ошибок, сделанных по-небрежности*—---65% • Вирусы**--------------------------- -----------------------------------63 % • Неработоспособность системы*** —————————-51% • Злоумышленные действия со стороны служащих компании ————————————————---------- 32% • Злоумышленные действия людей, не работающих в компании ——————————— 18% • Стихийные действия --------------------------------------------- 25% • Неизвестные причины ------------------------------------------- 15% • Промышленный шпионаж ———————————-------- 6% *В частности, это происходило из-за сбоев программы резервного копирования системы и случайного удаления файлов. **На совести служащих, загружающих из Internet зараженные файлы, и сотрудников, приносящих вирусы на дискетах. ***Намеренно или случайно отключенные сети. Целью данного пособия является познакомить читателей с основами информационной безопасности предпринимательской и юридической деятельности. По мнению экспертов, при полном рассекречивании информации коммерческой фирмы, они просуществуют: 52% — несколько часов, а 48% — несколько дней; банки 33% — несколько часов, 50% — несколько дней. Не менее серьезными будут последствия при потере информации юридической фирмой или должностным лицом правоохранительных органов. Таким образом, проблема защиты информации приобретает качественно новую значимость и требует применения надежных современных методов, и средств, учитывающих все особенности методов ее несанкционированного добывания. В настоящее время, несмотря на активно проводимые исследования, обобщенная теория безопасности информации пока не создана. Применяемые на практике подходы и средства нередко страдают существенными недостатками и не обладают объявленной надежностью. Поэтому лицам, имеющим дело с конфиденциальной информацией, что неизбежно в профессии юриста, необходимо обладать достаточной подготовкой и квалифицированно ориентироваться во всем спектре вопросов обеспечения информационной безопасности, понимая их комплексный и взаимообусловленный характер. Предлагаемый в настоящем пособии материал ориентирован, прежде всего, на практические задачи обеспечения безопасности информации и охватывает все основные стадии их решения от оценки угрозы до реализации собственных систем защиты, а также правовые аспекты информационной безопасности. Авторы не стремились изложить материал как полные знания, необходимые специалисту, что и невозможно в таком небольшом объеме, а главным образом через этот материал дать представление об основных направлениях и методах защиты информации, которые реально используются или могут быть использованы в ближайшее время. Надеемся, что бизнесмены, юристы да и просто люди, по разным причинам ставшие носителями коммерческих или других секретов, получат представление о реальных возможностях злоумышленников и мерах противодействия им.