Как правило, представления потребителя о безопасности информационных технологий в конечном счете сводятся в основном к времени простоя информационной системы, а точнее к времени ее восстановления. При этом ему приходится учитывать все возможные причины сбоев. В результате, явно или неявно, расходы предприятий на информационные технологии всегда включают и расходы на обеспечение их безопасности. Следует отметить, что применяемые в каждом конкретном случае средства (и соответствующие расходы) адекватны риску: чем больше предполагаемые потери предприятия от простоя той или иной информационной системы, тем дороже обходятся превентивные меры безопасности.

Поэтому необходимо количественно оценить риски простоев при потере (полной/частичной) информации и при сбоях работы системы.

Сотрудники ОДС ООО «КРГ» осуществляют оперативное управление газоснабжением потребителей, осуществляя ежеминутную непрерывную работу по сбору и обработке информации по реализации газа. У ООО «КРГ» заключено порядка 500 договоров на подачу газа другим промышленным и частным предприятиям, а также договора с населением. Соответственно, простой в работе предприятия из-за сбоев в системе может принести ущерб около 100 тыс. руб. в день, начиная со второго дня простоя, а процесс восстановления работоспособного состояния порядка 5 тыс. руб. в день.

Следует учесть информацию конфиденциального характера (данные по объектам газопровода, их технические характеристики, персональные данные потребителей и т. д.), разглашение которой может в еще большей степени увеличить ущерб в связи с возможными последствиями. В лучшем случае будут предъявлены иски от предприятий-потребителей на суммы в среднем 10 тыс. руб. о разглашении данных, являющихся их коммерческой тайной, а отсюда ущерб репутации и негативное общественное мнение. Потеря доверия клиентов является очень серьезным убытком для любого предприятия. Но нельзя исключить и самые глобальные последствия, возможные при разглашении данных ввиду неспокойного положения в стране, связанного с террористическими актами. В результате ущерб может вылиться в очень большую сумму из учета восстановления последствий.

Будем рассматривать только затраты, связанные со сбоями в работе системы и её восстановлении, а также возможные предъявленные иски от предприятий-потребителей.

Для обеспечения защиты системы от сбоев необходимо выявить возможные точи отказа:

Рабочая станция диспетчера (поскольку отказ в работе машин начальника ОДС, администратора системы и генерального директора не так критичны относительно выполнения основного бизнес-процесса);

Сервер;

Коммуникации.

Утечка информации может произойти:

Использование съемных носителей.

Вирусы.

Выход в Интернет без поддержания требуемого уровня безопасности.

Использование нелицензионного ПО.

Примерная сумма ущерба при простоях за 2 дня может составить:

100 тыс. руб. (упущенная выгода) + 10 тыс. руб. (работа по восстановление системы) = 110 тыс. руб.

Примерная сумма ущерба при предъявлении исков на разглашение информации от 50 предприятий потребителей:

10 тыс. руб.*50 = 500 тыс. руб.

Процедуры информационной безопасности

Законодательные меры (ЗМ)

При создании политики безопасности необходимо учитывать положения Конституции, Уголовного, Процессуального, Гражданского и Трудового кодексов и других законов. Поэтому целесообразно выделить те государственные законы, указы и постановления, под которые попадает разрабатываемая система.

Конфиденциальность информации.

Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья11;

Перечень сведений конфиденциального характера [2];

Уголовный кодекс РФ [3], Статья138, Статья183;

Создание и защита программ и БД.

Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья16, Статья17, Статья19;

Закон РФ «О правовой охране программ для электронных вычислительных машин и баз данных» [4].

Защита информации и информационных ресурсов.

Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья3, Статья4, Статья8, Статья20, Статья21, Статья22.

Разграничение прав доступа к информации.

Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья12, Статья15.

Защита от несанкционированного доступа.

Уголовный кодекс РФ [3], Статья272;

Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья6, Статья10;

Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации [5];

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации [6];

Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации [7].

Персональные данные.

Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья11, Статья14;

Уголовный кодекс РФ [3], Статья137, Статья155;

Конституция РФ [8], Глава 2.

Трудовой кодекс РФ [9], Глава 14.

Вирусы. Их создание, использование и распространение.

Уголовный кодекс РФ [3], Статья273.

Документирование информации.

Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья5.

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Уголовный кодекс РФ [3], Статья274.