Название: Экономика Крыма № 3 (40)`2012 - Научно‐практический журнал

Жанр: Экономика

Рейтинг:

Просмотров: 975

Страница: | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 73 | 74 | 75 | 76 | 77 | 78 |



ІНФОРМАЦІЙНА БЕЗПЕКА НА ПІДПРИЄМСТВАХ МАЛОГО БІЗНЕСУ

Підприємницька діяльність тісно пов’язана з отриманням, накопиченням, зберіганням, обробкою та використанням інформації. Втрата певної інформації може привести підприємця навіть до банкрутства. Разом з тим захисту підлягає не вся інформація, а тільки та, що має цінність для підприємця [1]. При цьому досвід ведення приватного бізнесу напряму впливає на прийняття рішення про захист інформації.

На сучасному етапі розвитку підприємництва конкурентна боротьба неможлива без захисту власної інформації й отримання інформації про конкурентів. Підприємництво й конкуренція взаємно пов’язані, а це означає, що підприємець повинен бути захисником своїх секретів, та в той же час здобувати, купувати чужі секрети, що також захищаються [2]. Така парадоксальна ситуація наявна сьогодні і в малому бізнесі. Для захисту інформаційних потоків підприємцю варто використовувати усі можливі правові й спеціальні заходи.

Внаслідок швидкого розвитку й широкого використання інформаційних технологій й систем при веденні бізнесу, керівники малих підприємств більш серйозно розглядають питання, що пов’язані із забезпеченням інформаційної безпеки, як одним із важливіших напрямів діяльності фірми нарівні із закупівлями, управлінням матеріальними потоками, плануванням виробництва тощо. Заходи, що вживаються для реалізації цього напряму, й бюджет, який виділяється для цього, повинні постійно переглядатись відповідно до наявних потреб й можливостей компанії [3].

Сучасні малі підприємства застосовують інформаційні технології для удосконалення методів роботи, що як наслідок викликає зміни організаційної структури підприємства, розробку нового організаційного зв’язку, який раніше був неможливим. Тому інформаційні технології є досить перспективним та ефективним напрямом для капіталовкладень та потребують захисту й забезпечення надійності роботи. Принципову схема розбудови та взаємодії основних елементів інформаційної

системи організації наведено на рис. 1:

Витік інформації із інформаційної системи організації – одна з головних проблем малого бізнесу. В якості причин цього процесу слід виділити:

крадіжка інформації конкурентами;

розголос інформації співробітниками що звільнилися або яких звільнили;

«економія» коштів на захист власної інформаційної системи;

втрата інформації через слабке володіння комп’ютером, недостатність теоретичних професійних знань в роботі з комп’ютером;

 

відсутність «захисту», не кажучи вже про декілька його ступенів.

Рис. 1. Інформаційна система організації

Виходячи з вищевикладеного, підприємець має чітко регламентувати доступ до інформації співробітників. При звільненні перевірити цілісність бази даних та змінити паролі.

Підприємці малого бізнесу знають про проблему, але як її вирішити та варто чи її вирішувати, поки що не визначилися. Це може свідчити про їх низьку професійну компетентність в роботі з інформацією.

Знання теорії проблематики захисту інформації дозволить підприємцям правильно організувати її охорону. Для цього кожен підприємець має визначити, яка інформація повинна

становити комерційну таємницю та узаконити її у «Переліку відомостей, що складають комерційну

таємницю підприємства». До «Переліку» може входити інформація технологічного характеру: конструкторська документація; аналіз технологічних випробувань продукції; «ноу-хау», авторські права й патенти; конструкційні характеристики виробів; унікальні вимірювальні комплекси та прилади, устаткування, обладнання, що використовується на підприємстві.

Практика свідчить, що комерційну таємницю може та повинна мати також така інформація: відомості про укладені контракти та ті, що плануються; відомості про постачальників, реальних та потенційних клієнтах; обзори ринку; маркетингові дослідження, які здійснені спеціалістами фірми; інформація про конфіденційні перемовини.

Частіш за все захист інформації сприймається як забезпечення безперервності внутрішніх бізнес-процесів й безпека обміну даними з клієнтами при використанні інформаційних систем.

З точки зору загроз малий бізнес не суттєво відрізняється від крупного, й вірогідність витоку

конфіденційної інформації з невеликої компанії така ж, як і з крупного підприємства. Одначе вартість витоку для малого бізнесу може бути більше, ніж для «гіганта»: що для крупної компанії велика неприємність, то для невеличкої може значити закриття бізнесу взагалі.

Малим фірмам, як і крупним підприємствам, є що захищати:

Майже 100% потребують захисту персональних даних.

Більш ніж 70% хотіли б забезпечити безпеку клієнтських баз даних.

Більш ніж 60% занепокоєні цілісністю даних про фінансовий стан компанії.

Ще 50% – за бізнес-плани компанії.

Захист від витоку інформації для малого бізнесу життєво не менш важливий, ніж для крупних підприємств.

Українські компанії сегменту малого бізнесу, як правило, не мають в штаті виділеного офіцера інформаційної безпеки чи служби інформаційної безпеки. Частіше за все процедури, що регламентують ці питання, відсутні. Рішення про покупку продуктів щодо інформаційної безпеки приймають  ІТ-менеджери  чи   самі   директори  компаній.  При  цьому  96%  суб’єктів  малого

 

підприємництва обізнані  щодо проблеми витоку  конфіденційної інформації та про існуючі для вирішення цієї проблеми засоби захисту.

Варто зауважити, що на відміну від великих фірм, малий бізнес не володіє достатніми фінансовими можливостями для того, щоб самостійно забезпечити повний захист своєї комерційної інформації. Малим компаніям потрібна, перш за все, доступна за ціною, легка у бюджетному обґрунтуванні система захисту інформації. Нажаль на сьогоднішній день поки що нема кому зробити таку пропозицію, яка була б адекватна попиту, й зайняти вільну ринкову нішу.

Які ж засоби інформаційної безпеки використовуються малими підприємствами. За даними аналітичної агенції «B2B Research» виявилось, що:

100% компаній малого бізнесу користуються антивірусним захистом;

90% обмежують доступ співробітників до файлів й права співробітників на встановлення програм на робочих машинах;

більш ніж 70% компаній обмежують права користувачів на копіювання інформації;

близько 20% використовують багатофункціональний інтегрований захист.

У більшості випадків підприємці не мають розуміння про те, що представляє собою спеціалізований засіб захисту від витоків та як саме він захищає конфіденційні данні від витоку.

Цікавим є той факт, що при досить слабкому розумінні саме спеціалізованих систем, ІТ- менеджери компаній бачать безсумнівні вигоди від їх провадження, а саме:

спрощення роботи відповідальних за ІБ співробітників,

моніторинг ситуації з інформаційною безпекою в компанії,

відсутність інцидентів чи можливість швидкого реагування на них.

Основними факторами, що підштовхують компанії малого бізнесу до придбання інтегрованих рішень захисту інформації, є зростання ризиків та економічне обґрунтування покупки, а також

необхідність захисту персональних даних.

Забезпечення інформаційної безпеки – одна з головних задач сучасного малого підприємства. Загрозу можуть представляти не лише технічні збої, але й неузгодженість даних різних облікових систем, що зустрічається чи не у кожній другій компанії, а також необмежений доступ співробітників до інформації. Ключовим у зазначеній проблемі є виявлення й мінімізація інформаційних ризиків [4].

Інформаційні ризики – це небезпека виникнення збитків в наслідок застосування компанією інформаційних технологій. Інакше кажучи, інформаційні ризики пов’язані із створенням, передачею, збереженням та використанням інформації за допомогою електронних носіїв чи інших засобів зв’язку.

Інформаційні ризики можна розділити на дві категорії:

Ризики, які викликані витоком інформації й використанням її конкурентами чи співробітниками з метою, що може нашкодити бізнесу.

Ризики технічних збоїв роботи каналів передачі інформації, що може призвести до збитків.

Робота щодо мінімізації таких ризиків полягає у попередженні несанкціонованого доступу до даних, а також аварій та збоїв обладнання. Процес мінімізації інформаційних ризиків слід розглядати комплексно: спочатку виявляються можливі проблеми, а потім визначається, якими чином їх можна вирішити. Для цього створюються карти ризиків, здійснюється збір експертних думок тощо.

Виявити найбільш критичні інформаційні ризики можна, якщо відповісти на наступні питання:

чи здатна компанія контролювати доступ до інформаційних систем, у яких формується й зберігається фінансова звітність;

чи забезпечені клієнти компанії необхідною інформаційною підтримкою, тобто чи можуть вони у потрібну мить додзвонитися до компанії чи зв’язатися електронною поштою;

чи зможе компанія у стислий термін інтегрувати наявні технології роботи з інформацією в системи підприємства, що є об’єктом злиття чи придбання;

чи забезпечений захист інтелектуальної власності компанії та її клієнтів;

чи має компанія чіткий алгоритм дій у критичній ситуації (у випадку збоїв у роботі комп’ютерних мереж чи вірусної атаки);

чи відповідає спосіб роботи інформаційних систем загальним задачам компанії.

Точно визначити можливу шкоду від більшості інформаційних ризиків доволі складно, але оцінити їх можливо. Витрати на відновлення роботи інформаційної мережі компанії складаються із заробітної плати IT-спеціаліста за період наладки мережі чи усунення збою, операційних витрат,

пов’язаних  із  зупинкою  роботи  підприємства,  а  також  із  середнього  прибутку,  який  фірма

недоотримає за цей час [5].

 

Як свідчить досвід багатьох українських компаній сегменту малого бізнесу, найбільш успішні стратегії попередження інформаційних ризиків базуються на трьох основних правилах:

Доступ співробітників до інформаційних систем та документам компанії повинен бути різним залежно від важливості та конфіденційності змісту документу.

Компанія повинна контролювати доступ до інформації й забезпечувати захист уразливих місць інформаційних систем.

Інформаційні системи, від яких напряму залежить діяльність компанії (стратегічно важливі канали зв’язку, архіви документів, комп’ютерна мережа), повинні працювати безперебійно навіть у випадку кризової ситуації.

Робота щодо мінімізації інформаційних ризиків розділяється на організаційну й технічну.

Організаційні заходи пов’язані із обмеженням доступу до даних. Для цього вся інформація класифікується на загальнодоступну, для службового користування й секретну. Крім цього, зміст інформаційних потоків можна розділити за призначенням:

данні, що циркулюють всередині робочої групи (за певним проектом);

данні, які призначені для виконавців та керівників підрозділів;

плани стратегічного розвитку.

В результаті утворюється матриця інформаційних потоків, кожному рівню якої відповідає певний рівень доступу.

Ґрунтуючись на зазначених регламентах, кожний керівник малого підприємства може сформувати для своїх підлеглих посадові інструкції й призначає відповідальних за дотримання інформаційної безпеки.

Технічна робота щодо забезпечення інформаційної безпеки полягає у дублюванні важливих функцій, від яких залежить цілісність та збереження інформації, неперервність роботи компанії. З

метою мінімізації ризику збоїв, варто використовувати техніку від надійних виробників. Витрати на неї окупуються, бо збиток від простою інформаційних систем за декілька годин багаторазово перевищує їх вартість, а втрата інформації може взагалі паралізувати роботу підприємства.

Забезпечення інформаційної безпеки – це, перш за все, питання ефективності витрачених коштів, враховуючи це, витрати на захист інформації не повинні перевищувати суми можливих

збитків [6].

Оскільки будь які витрати на попередження ризиків повинні бути обґрунтованими, необхідно обов’язково розраховувати їх економічну ефективність.

З метою забезпечення необхідного захисту від інформаційних ризиків та контролю безпеки варто здійснити такі заходи:

Визначити коло осіб, що відповідатимуть за інформаційну безпеку, створити нормативні документи, в яких будуть описані дії персоналу компанії, що направлені на попередження IT-ризиків, а також забезпечити резервування потужностей для роботи у критичній ситуації.

Розробити єдині стандарти інформаційних систем в межах організації, тобто перейти до єдиних звітних форм, а також єдиним правилам розрахунку показників, що будуть застосовуватися у

всіх програмних продуктах компанії, які використовуватимуться для цієї мети.

Класифікувати данні за ступенем конфіденційності та обмежити права доступу до них.

Відслідковувати те, щоб будь які документи, що обертаються всередині організації, створювалися за допомогою систем, централізовано встановлених на комп’ютерах. Установка інших програм повинна санкціонуватися, інакше ризик збоїв та вірусних атак різко зросте.

Впровадити засоби контролю, що дозволять відслідковувати стан усіх корпоративних систем: у випадку несанкціонованого доступу система повинна автоматично заборонити вхід чи сигналізувати про небезпеку, щоб персонал міг вжити заходів.

Разом з тим, необхідно підготуватися до наслідків можливих кризових ситуацій та описати дії компанії щодо виходу з кризи. Для цього слід:

проаналізувати сценарії проникнення сторонніх осіб чи таких, що не мають відповідних повноважень, співробітників компанії до внутрішньої інформаційної мережі, а також здійснити учбові заходи з метою відпрацювання моделі поведінки співробітників, що відповідальні за інформаційну безпеку, в кризових ситуаціях;

розробити варіанти вирішення проблем, пов’язаних з кадрами, включи вихід із складу компанії ключових співробітників;

підготувати запасні інформаційні потужності, а також резервні мережі зв’язку.

 

Якщо бізнес компанії у багатьох випадках залежить від стану її інформаційних мереж, необхідно назначити відповідального за розробку, впровадження та контроль виконання корпоративних правил, що направлені на зниження інформаційних ризиків.

Обов’язковою умовою успішного ризик-менеджменту в галузі інформаційних технологій є його безперервність. Тому оцінка інформаційних ризиків, а також розробка та оновлення планів щодо їх мінімізації повинні здійснюватися з певною періодичністю. Така робота щодо забезпечення інформаційної безпеки повинна бути комплексною та продуманою.

Література

Касперская Н. Защита от утечек информации в малом бизнесе / Н. Касперская. [Електронний ресурс].

Режим доступу: http://www.rae.ru

Аппенянский А.И. Человек и бизнес. Повышение психологической надежности. / А.И. Аппенянский.

– М.: Барс, 2005. – 228 с.

Смольков Г.В. Предпринимательство и риск: опыт и проблемы / Г.В. Смольков, М.И. Левітан //

Социально-политический журнал. – 2008. – №7. – С. 101-108.

Мишель М. Управление информационными рисками / М. Мишель // Финансовый директор. – 2010. –

№ 7. – С. 37-48.

Терентьев С. Оценка защищенности информационных ресурсов / С. Терентьєв. [Електронний ресурс].

Режим доступу: http://www.daily.sec.ru.

Белоус Ю. Организация безопасности хозяйствующих субъектов / Ю. Білоус, С. Витновская //

Ведомости СПб. – 2006 – № 62 (1589). – С. 52-68.

338.1   Бакало Н.В., к.е.н., доцент,

Полтавський національний технічний університет імені Юрія Кондратюка



Страница: | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | 60 | 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 | 71 | 72 | 73 | 74 | 75 | 76 | 77 | 78 |

Оцените книгу: 1 2 3 4 5

Добавление комментария: