Влияние угрозы утечки информации на ее ценность

Размещено на http://www.allbest.ru/

ФГБОУ ВПО "Уральский государственный университет путей сообщения"

ВЛИЯНИЕ УГРОЗЫ УТЕЧКИ ИНФОРМАЦИИ НА ЕЕ ЦЕННОСТЬ

Ганженко Н.В.

Аннотация

Актуальность данной статьи обусловлена тем, что в современных условиях существует необходимость обоснования затрат на защиту информации.

В статье рассматривается понятие "информация" с точки зрения экономического подхода. Выделены категории информации, подлежащие защите. Описаны размеры ущерба в результате утечки информации.

Ключевые слова: информация, ценность информации, утечка информации.

В современном мире информация является одним из важнейших и стратегических ресурсов развития общества. Определения термина "информация" можно встретить в различных источниках. Из-за широты этого понятия нет строгого и универсального определения данного термина. Изначально "информация" - сведения об объектах и явлениях окружающей среды. В рамках современного развития информационного общества и экономики информацию принято считать особым видом продукта, который обладает свойствами товара как экономического объекта.

Товар как экономический объект - это всё то, что может удовлетворить потребность покупателя. Товар - это объект, который предлагается рынку с целью приобретения, использования или потребления.

Потребительские свойства информации определяются процессами сбора, обработки и представления в различных видах и формах сведений, при использовании которых потребитель с учетом его экономических, социальных, прочих возможностей и особенностей может с максимальным успехом достигать поставленные стратегические цели и решать тактические задачи.

Информация, как и любой товар, имеет жизненный цикл - время существования товара на рынке, которое включает в себя четыре основных фазы: создание, рост, зрелость и спад.

Продолжительность жизненного цикла в целом и его отдельных фаз зависит от самого товара и от конкретного рынка. По общему признаку сырьевые товары имеют более длительный жизненный цикл, готовые изделия имеют более короткий жизненный, а наиболее технически совершенные товары короткий (2-3 года).

Немаловажным свойством информации как товара является её полезность (ценность). Полезность определяется нуждами конкретных ее потребителей: человека, организации, государства. Самая ценная информация - объективная, полная, актуальная и достоверная. Достоверной считается та информация, которая отражает истинное положение дел. Такая информация дает ее владельцу определенные преимущества, и наоборот, недостоверная информация может нанести своему обладателю значительный материальный и моральный ущерб. Умышленно искаженную информацию принято называть дезинформацией.

Имеет смысл определять ценность информации как максимальную пользу, которую может принести данное количество информации, или как те максимальные потери, к которым приведет утрата данного количества информации. Из этого определения следует, что, во-первых, ценность информации должна быть неубывающей функцией количества информации и, во-вторых, ценность информации может различаться для того субъекта, который эту информацию добывает (желает извлечь пользу из полученных данных), и для того субъекта, кто ее защищает (желает предотвратить потери от утраты или искажения данных).

Наибольшей ценностью обладает информация конфиденциального характера и сведения, составляющие государственную тайну. Согласно российскому законодательству, государственной тайной являются сведения в области его военной, внешнеполитической, экономической, разведывательной и иной деятельности, распространение которых может нанести ущерб безопасности государства [1]. В Указе Президента РФ от 06.03.1997 № 188 (ред. от 23.09.2005) утвержден перечень сведений конфиденциального характера, где указаны шесть видов такой информации: персональные данные, коммерческая тайна, служебная тайна, тайна следствия и судопроизводства, профессиональная тайна, а также сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них [2]. Несомненно, несанкционированный доступ и распространение подобной информации может нанести большой ущерб как государству, так и организации. Поэтому законодательством предусмотрена уголовная и административная ответственность.

Защита информации, как комплекс правовых, организационных и технических мер, позволяет соблюсти конфиденциальность и ограничить несанкционированный доступ, копирование, распространение и иные неправомерные действия в отношении информации. Чем больше ценность информации, тем больше требований по ее защите. Для организации защиты информации, необходимы средства и усилия, в связи с этим необходимо соотносить ценность защищаемой информации и потери на организацию её защиты. информация товар затраты потребитель

По мере внедрения новых информационных технологий всё больше сведений хранится на электронных носителях, возрастает зависимость от информационных систем. Наиболее актуальными и значимыми оказываются угрозы, источником которых выступают пользователи системы, то есть сотрудники компаний. Такая тенденция подтверждается не только различными исследованиями крупнейших аудиторских компаний, но и отмечается в ежегодных докладах МВД России, посвященных правонарушениям в сфере информационной безопасности.

Согласно данным портала информационной безопасности Content Security степень опасности внутренних и внешних угроз такова:

· разглашение (излишняя болтливость сотрудников) - 32%;

· несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%;

· отсутствие в фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;

· традиционный обмен производственным опытом - 12%;

· бесконтрольное использование информационных систем - 10%;

· наличие предпосылок возникновения среди сотрудников конфликтных ситуаций, связанных с отсутствием высокой трудовой дисциплины, психологической несовместимостью, случайным подбором кадров, слабой работой кадров по сплочению коллектива - 8%.

По данным Аналитического центра InfoWatch в 2014 году по всему миру обнародовано и зарегистрировано 1395 случаев утечки конфиденциальной информации, что на 22% превышает число утечек, зарегистрированных в 2013 году. В 55% случаев виновными оказались сотрудники компаний, в 1% - высшие руководители организаций.

Россия заняла второе место по числу известных утечек. В исследуемый период зарегистрировано 167 случаев утечки конфиденциальной информации из российских компаний и государственных организаций. Количество утечек по сравнению с 2013 годом выросло на 73%.

Российская картина утечек стремительно приближается к американской. Многомиллионных утечек данных под воздействием внешних атак в России пока не зафиксировано. А вот мошенничество с чужими персональными данными в исполнении сотрудников банков, страховых компаний, салонов сотовой связи происходит чуть ли не ежедневно. Такие правонарушения стали нормой для нашей страны, хотя некоторое время назад казались экзотикой.

В качестве примера крупного денежного ущерба в результате утечки данных можно рассмотреть случай, произошедший в январе 2014 года в американском банке PNC Bank. Топ-менеджер банка фотографировала экран своего компьютера на мобильник незадолго до того, как поменяла работу и ушла к конкурентам. Система безопасности банка не позволила просто скопировать данные клиентов в электронном виде. По оценкам PNC Bank, ущерб от действий бывшего топ-менеджера составил $250 млн. Представители банка говорят как минимум о 15 крупных клиентах, которые ушли к конкуренту.

И это не единичный случай. Ежегодно различные организации терпят убытки от умышленных и случайных утечек информации в сумме на несколько миллиардов долларов. Помимо этого страдает репутация данных компаний.

К сожалению, достоверных исследований, которые показывали бы среднюю стоимость утечки информации в России, пока нет, однако можно ориентироваться на данные для других стран, которые вряд ли будут существенно отличаться от данных для России.

Так, согласно исследованиям Ponemon Institute, средняя стоимость утечки информации для фирм в Великобритании в 2008 г. составила 1,7 млн фунтов, то есть почти 80 миллионов рублей. Еще одна цифра: в среднем убытки при потере служебного ноутбука составляют почти 50 тыс. долларов - такие данные были получены после опроса представителей 29 организаций, которые пережили 138 отдельных случаев потери ноутбуков их постоянными или временными сотрудниками, пишет Руформатор со ссылкой на PCWorld. Такая сумма получена с помощью учета семи различных факторов: цены самого ноутбука, определения потерянных данных, экспертизы и расследования обстоятельств потери, сообщения об утечке данных и действий по смягчению последствий инцидента, потери интеллектуальной собственности, потери производительности, а также других юридических и нормативных затрат.

Эксперты также подсчитали, что чем быстрее компания реагирует на утрату компьютера, тем меньшие потери она несет. Если потерю ноутбука удалось обнаружить в тот же день, то затраты могут составить в среднем лишь 8 950 долларов. Спустя неделю они могут достичь уже 115 849 долларов.

Шифрование данных приводит к существенному снижению финансовых потерь при утрате компьютера. Так, если информация на жестком диске ноутбука была зашифрована, потеря обходится в 37 443 долларов, если нет, - то в 56 165 долларов.

Наконец, финансовые потери напрямую зависят от того, какую должность в компании занимает человек, потерявший компьютер или лишившийся его в результате кражи. Наибольшей ценностью обладает ноутбук не высшего должностного лица компании, а директора или менеджера. Потеря ноутбука топ-менеджером обходится в среднем в 28 449 долларов, но если его потеряли директор или менеджер, сумма возрастает до 60 781 долларов и 61 040 долларов соответственно.

Почему так важно оценить возможный ущерб от утечки информации? Прежде всего, это необходимо для того, чтобы понять, какую цену в действительности имеет конфиденциальная информация, которой обладает организация, а также оценить выгоду от внедрения средств защиты от утечек информации. Выгода, конечно же, есть, когда стоимость возможных утечек хотя бы в 2 раза превышает стоимость внедрения подобной системы.

Список используемой литературы

1. Закон РФ от 21 июля 1993 г. № 5485-I "О государственной тайне".

2. Указ Президента РФ от 06.03.1997 № 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера".

3. Роман Идов (Эксперт по информационной безопасности). Утечки информации: экономические эффекты // Библиотека управления. Корпоративный менеджмент. Дата публикации: 01.02.2011.

4. Магистерская диссертация на тему "Проектирование беспроводной сети Wi-Fi на основе стандарта 802.11n на примере офисного здания". Специальность: 6M070400 - Вычислительная техника и программное обеспечение. Магистрант: Сагинаев Тимур Саткенович, Алма-Аты, 2014г.

Размещено на Allbest.ru