Контроль обеспечения информационной безопасности хозяйствующего субъекта и разработка рекомендаций по повышению эффективности системы защиты информации предприятия

ВВЕДЕНИЕ
     Информационные ресурсы большинства компаний являются одними из наиболее ценных ресурсов. По этой причине коммерческая, конфиденциальная информация и персональные данные должны быть надежно защищены от неправомерного использования, но в то же время легко доступны субъектам, участвующим в обработке данной информации или использующим ее в процессе выполнения возложенных задач. Использование для этого специальных средств способствует устойчивости бизнеса компании и его жизнеспособности. Обеспечение информационной безопасности предприятия предназначено для снижения вероятности наступления угроз и рисков. При построении системы безопасности особое внимание уделяется предотвращению материального и финансового ущерба. 
     Предприятие может эффективно функционировать только при обеспечении полной безопасности. Актуальность темы выпускной квалификационной работы подтверждает тот факт, что обеспечение информационной безопасности является одним из ключевых элементов защиты предприятия, необходимых для стабильного и продуктивного ведения деятельности.
     Проблемы информационной безопасности предприятий рассматривались в работах многих отечественных исследователей и специалистов: Лукацкого А.В., Баутова А., Симонова С, Кононова А., Ловцова Д., Васильева А., Волоткина А., Давлетханова М., Конева И., Беляева А., Маношкина А., Мельникова В., Трайнева В., Петренко С, Садердинова А., Уфимцева Ю., Шпака В., а также иностранных авторов Р. Уитти, A.M. Уилхайт, С. Норткатт, Ж. Брассар и др. Вместе с тем проведенные исследования касаются лишь отдельных аспектов обеспечения информационной безопасности, в то время как актуальность этой проблемы предполагает разработку для ее решения более современных и адекватных методов и механизмов. Все это и предопределило цели и задачи исследования.
     Целью исследования является обобщение существующей практики внешнего контроля обеспечения информационной безопасности хозяйствующего субъекта и разработка рекомендаций по повышению эффективности системы защиты информации предприятия (на примере ООО «Альмадор», Адвокатский кабинет №2070). 
     Задачами выпускной квалификационной работы являются:
     1) провести обзор существующих научных взглядов на проблему информационной безопасности с учетом теоретических принципов экономической безопасности;
     2) систематизировать и классифицировать возможные группы риска и угрозы информационной безопасности предприятия;
     3) выявить особенности адвокатской деятельности на примере Адвокатский кабинет №2070;
     4) дать оценку финансово-экономического состояния ООО «Нест Техно»;
     5) проанализировать систему внешнего контроля и правового обеспечения информационной безопасности бизнеса в Российской Федерации; 
     6) сформулировать практические рекомендации, направленные на повышение уровня информационной безопасности в исследуемой организации.
     Объектом исследования является внешний контроль в системе обеспечения информационной безопасности предприятия на примере ООО «Альмадор», Адвокатский кабинет №2070.
     Предметом исследования является механизмы и процедуры внешнего контроля в системе обеспечения информационной безопасности в ООО «Альмадор» и Адвокатский кабинет №2070.
     При написании выпускной квалификационной работы применены следующие методы исследования: экономико-статистический, монографический, анализа и наблюдения, балансовый.
     Источниками информации послужили: учебники, учебные пособия, нормативно-правовые акты РФ, документация предприятия (ООО «Альмадор»), электронные ресурсы.
     Практическая значимость исследования определяется в том, что результаты исследования могут быть использованы руководством ООО «Альмадор» и Адвокатский кабинет №2070 при формировании системы обеспечения информационной безопасности.
     Выпускная квалификационная работа состоит из введения, трех глав, заключения, библиографического списка и приложений.


    1. Теоретические аспекты информационной деятельности хозяйствующего субъекта
     1.1 Информационная безопасность хозяйствующего субъекта
     С середины XX в. «информация», как категория, начинает проникать в науки, не связанные с математикой. В настоящее время понятие «информация» является общенаучным и широко используется во всех общественных сферах деятельности человека: в науке, технике, культуре, социологии, а также на обыденном уровне. Общепринято считать, что термин «информация» образован от латинского слова «informatio», в переводе означающее разъяснение, изложение, истолкование, осведомление, представление, понятие, осведомление и просвещение [12, 24, 32]. 
     В теории информации и информатике «информация» рассматривается как «отражение реального, материального, предметного мира, выражаемое в сигналах и знаках», «последовательность сигналов, передаваемых от передатчика к приемнику, накопляемых в запоминающем устройстве, обрабатываемых и выдаваемых в виде готовых результатов», «известия, сообщения, сведения, адекватно отражающие объективную действительность и позволяющие узнать что-то новое, ранее неизвестное, или подтвердить известное в целях принятия правильного решения».
     Информация – это сведения о лицах, предметах, фактах, событиях и процессах. Для эффективного решения задач защиты информации целесообразно в качестве объекта защиты выбирать информацию ограниченного доступа. Информацию ограниченного доступа можно подразделить на конфиденциальную информацию и государственную таи?ну. Конфиденциальная информация – доверительная, не подлежащая огласке информация, доступ к которои? ограничивается в соответствии с законодательством. Конфиденциальность информации определяет и доверяет посторонним лицам владелец этои? информации. [33, c.24-27]. К конфиденциальнои? информации относятся сведения, составляющие таи?ну частнои? жизни, профессиональную, служебную, коммерческую таи?ну. 
     В отличие от конфиденциальнои? информации государственная таи?на определяется государством через соответствующие государственные органы, получение и разглашение этои? информации строго регламентировано нормативными актами, информация имеет гриф секретности. Содержание государственнои? таи?ны находит свое законодательное закрепление в Законе РФ «О государственнои? таи?не». Государственная таи?на – защищаемые государством сведения в области его военнои?, внешнеполитическои?, экономическои?, разведывательнои?, контрразведывательнои? и оперативно-розыскнои? деятельности, распространение которых может нанести ущерб безопасности России?скои? Федерации [27, c.141].
     На сегодняшний день сфера информационной безопасности являет собой целостный комплекс мероприятий в равной степени как технического, так и организационного характера. Разнообразие способов взаимодействия с данными, повсеместное внедрение компьютерных систем и программных комплексов – все это открывает множество возможностей для несанкционированного доступа к данным. Едва ли в наше время найдется организация, занимающая уверенные позиции в своей сфере, которая бы не использовала в своей деятельности достижения современной информатики. Вследствие вышесказанного, защита данных от несанкционированного доступа становится одной из важнейших задач – как для современного бизнеса, так и для государственных структур. Очевидно, что в процессе разработки системы информационной безопасности не могут быть учтены все возможные факторы риска и способы атаки. 
     Стоит отметить что в научной литературе нет однозначного определения категории «безопасность». Так, в наиболее общем толковании безопасность рассматривается, как состояние защищенности личности, общества, государства и среды жизнедеятельности от внутренних и внешних угроз или опасностей [64]. 
     Понятие безопасности тесно связано с такими понятиями как угроза, опасность, вред, ущерб, риск, которые согласно теории управления можно разделить на внешние и внутренние. Существует множество трактовок термина «безопасность».
     Безопасность - свойство системы противостоять внешним или внутренним дестабилизирующим факторам, следствием воздействия которых могут быть нежелательные ее состояния или поведение. [66]
     Безопасность - условия, в которых находится объект, когда действие внешних и внутренних факторов не влечёт действий, считающихся отрицательными по отношению к данному объекту в соответствии с существующими на данном этапе потребностями, знаниями и представлениями. [67]
     В рамках нашего исследования будем исходить из определения безопасности как совокупности организационных действий руководства хозяйствующего субъекта на изменение внешней и внутренней среды функционирования, обуславливающие различного рода угрозы целостности, самостоятельности и эффективности финансово-хозяйственной деятельности. Причем все источники опасности можно классифицировать по сферам возникновения, среди которых стоит выделить «опасности со стороны социальной среды». 
     Для обеспечения безопасности организации необходимо иметь концепцию организационной безопасности, то есть целостное и системное понимание, видение и представление путей устранения опасностей, которые угрожают организации; обнаружения способов ликвидации опасностей. Отсутствие концептуальных представлений о безопасности организации – основная причина ее нежизнеспособности [4, c.201].
     Система безопасности предприятия представляет собой отграниченное множество взаимосвязанных элементов, обеспечивающих безопасность предприятия и достижение им целей бизнеса. Составными элементами такой системы являются объект и субъект безопасности, механизм управления безопасностью, а также стратегические действия по управлению безопасностью.
     Объектом безопасности выступает все то, на что направлены усилия по обеспечению безопасности, в том числе различные виды деятельности предприятия (производственная, коммерческая, снабженческая, управленческая и др.); имущество и ресурсы предприятия (финансовые, материально-технические, информационные, интеллектуальные и др.); персонал фирмы, ее руководителей, акционеров, различные структурные подразделения, службы, партнеров, сотрудников, владеющих информацией, составляющей коммерческую тайну, и т.д [14, c.11].
     Субъектами безопасности предприятия являются те лица, подразделения, службы, органы, ведомства, учреждения, которые непосредственно занимаются обеспечением безопасности бизнеса. Поскольку деятельность по обеспечению безопасности предприятия многоаспектна, эту задачу невозможно решить с помощью одного-двух органов. Как правило, к субъектам безопасности предприятия относятся многие органы, которые можно классифицировать по различным признакам [13, c.35-38].
     Система безопасности предприятия строится на ряде принципов, которые представлены на рисунке 1.

Рис. 1. Принципы системы безопасности хозяйствующего субъекта
     Система безопасности предприятия сможет решать стоящие перед ней задачи только тогда, когда будет действовать, т.е. ее неотъемлемым составным элементом являются практические действия по обеспечению безопасности бизнеса. Таким образом, в результате рассмотрения системы экономической безопасности предприятия можно сделать следующий вывод: служба безопасности предприятия призвана на основе эффективного использования корпоративных ресурсов создать условия для достижения целей бизнеса, своевременно обнаружить и максимально ослабить воздействие различного рода опасностей и угроз в условиях конкуренции и хозяйственного риска. [48, c.38-42].
     В национальном стандарте РФ [81] введено понятие информационной безопасности организации как состояние защищенности интересов организации в условиях угроз в информационной сфере.
     Таким образом, информационная безопасность предприятия представляет собой состояние защищенности жизненно важных интересов личности, общества, государства в информационнои? сфере от внешних и внутренних угроз, обеспечивающее ее формирование, использование и развитие. [16, c.26]
     Факторы информационной безопасности будут решающими при организации высокоскоростного движения и построении интеллектуальных центров и систем ситуационного управления, особенно с учетом исходящих из киберпространства угроз и потенциальной подверженности информационной инфраструктуры компьютерным атакам [148, 198, 199, 200, 206, 238]. Конкретизируем это определение информационной безопасности применительно к предпринимательской деятельности будем понимать состояние защищенности информационных активов - информации и информационной инфраструктуры, других информационных активов, при котором обеспечивается приемлемый риск нанесения ущерба в условиях проявления внешних и внутренних, случайных и преднамеренных угроз. Отметим общие факторы и тенденции последних лет, обостряющие проблему обеспечения информационной безопасности: 
     1. Двойственная эволюция идеологического движения в киберпространстве – хактивизма: развитие данного явления как социального протестного движения, и, в то же время, постепенное превращение в киберпреступность. 
     2. Принятие доктрин кибервойны и создание кибервойск в США, НАТО, рядом европейских государств, Китаем. Информация становится оружием массового поражения. 
     3. Переход от атак, нацеленных на массовое заражение компьютеров пользователей, к прицельным (целенаправленным) компьютерным атакам (Stuxnet, Flame, Duqu, Gauss, Red October, NetTraveler) на системы управления технологическими процессами критически важных объектов (вывод из строя энергосистем, объектов ядерной промышленности, других объектов жизнеобеспечения, кражи банковских активов и т.п.). 
     Об остроте проблем информационной безопасности и защиты информации, ярко выраженной тенденции роста компьютерных атак и неправомерных действий в информационной сфере и вызванного ими ущерба свидетельствуют также следующие тенденции последних лет: 
     - рекордное обнаружение новых уязвимостей; 
     - галопирующий рост вирусной активности; 
     - усложнение и увеличение количества и разновидностей вредоносных программ, распространяемых через Интернет-сайты и другие. 
     Учитывая рост числа целенаправленных компьютерных атак на ряд крупных транснациональных корпораций и государственных учреждений, а также на большое количество небольших компаний, которые представляют растущую угрозу, отметим кратко особенности целенаправленной компьютерной атаки [151, 198 – 200]. Ее цель - дезорганизация и перехват управления критически важными промышленными объектами и автоматизированными системами управления технологическими процессами (АСУ ТП). Источники угроз: высокопрофессиональные организованные сообщества (злоумышленные действия хакеров и кибервойск). Особенности реализации атаки: тщательное (возможно, долговременное) изучение объекта и его АСУ ТП, использование уникальных средств для проведения компьютерной атаки; компьютерная атака ориентирована: не столько на данные, сколько на информационную инфраструктуру и исполнительные устройства; не столько на конфиденциальность информации, сколько на ее целостность и доступность; скоротечность компьютерной атаки (реальный масштаб времени, малое время жизни информации). 
     В условиях глобальной конкуренции важным условием устойчивой деятельности любого экономического субъекта является обеспечение безопасности информационной инфраструктуры (ИИ) от компьютерных атак. Распределенный характер ИИ, использование различных, в том числе беспроводных каналов связи, подключение к сети Интернет, наличие корпоративных и внешних связей усиливают возможности по реализации компьютерных атак на ИИ предприятия как со стороны внутренних, так и со стороны внешних нарушителей. Эти факторы определяют необходимость создания полномасштабной системы защиты информационной инфраструктуры бизнеса от компьютерных атак и инцидентов информационной безопасности, развития систем риск-ориентированного и ситуационного управления информационной безопасностью
     Под защищенностью понимается совокупность правовых, научно- технических, специальных, организационных мер, направленных на своевременное выявление, предупреждение и пресечение неправомерного получения и распространения защищаемои? информации, осуществляемых органами законодательнои?, исполнительнои? и судебнои? власти, общественными и иными организациями и объединениями, гражданами, принимающими участие в обеспечении информационнои? безопасности в соответствии с законодательством, регламентирующим отношения в информационнои? сфере. [34, c.26]
     Информационная безопасность в современных условиях приобретает все большую актуальность и значимость, является одним из приоритетных направлении? обеспечения национальнои? безопасности России, а также международнои? безопасности.
     Информационная безопасность призвана защитить те сферы бизнеса, которые тесно связаны с информацией. В век информационных технологий информация – важнейший актив любой компании. Важной информацией для предприятия могут быть данные о покупателях и поставщиках, управленческие и бухгалтерские документы, деловая переписка и общение, персональные данные сотрудников, информация о технологиях и ноу-хау, и многое другое. Информационная безопасность не сводится исключительно к защите информации. Субъект информационных отношений может пострадать не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в обслуживании клиентов. [56]
     Для защиты информационной безопасности в первую очередь необходимо определить каналы утечки информации и средства их контроля, а, при необходимости, и перекрытия. Важнейшим инструментом в этом является аудит информационной безопасности. Аудит позволит выявить каналы утечки, оценить их критичность и вероятность утечки по ним. [28, c.5].
     Для обеспечения информационной безопасности необходимо соблюдать ряд принципов, которые приведены на рисунке 2. 
     

     Рис. 2. Принципы построения системы информационной безопасности
     Стоит отметить, что наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в целостный механизм – систему информационной безопасности. Только в этом случае появляются системные свойства, не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования. [26, c.56]
     Для обеспечения защиты информации используются следующие методы защиты:
     1. обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения или копирования носителей информации); 
     2. объединение всех используемых в КС средств в целостный механизм защиты информации. ограничение физического доступа к объектам КС и реализация режимных мер; 
     3. ограничение возможности перехвата информации; 
     4. разграничение доступа к информационным ресурсам и процессам КС (установка правил разграничения доступа, шифрование информации при ее хранении и передаче, обнаружение и уничтожение аппаратных и программных закладок); 
     5. резервное копирование наиболее важных с точки зрения утраты массивов документов;
     6. профилактика заражения компьютерными вирусами. [53, c.32]
     Потеря конфиденциальной информации или коммерческой тайны путем взлома компьютерных систем либо мошенничества влияет на все виды безопасности предприятия. Это может привести к потере финансовых ресурсов хозяйствующего субъекта или к потере информации вовсе. [31, c.37]


     1.2 Понятие информационных угроз и их виды
     С начала ХХI века проблемы, связанные с защитой информации приобретают главенствующее значение в общей системе обеспечения экономической безопасности хозяйствующего субъекта, что обусловлено не только развитием самих информационных технологий, но и широким внедрением автоматизированных информационных систем (АИС) в экономику. Причем современные АИС, несмотря на свою организационно-технологическую сложность, характеризуются и значительной степенью незащищенности всех компонентов, что обусловлено возможностью внешнего воздействия на каждый из них. 
     Стоит отметить, что, несмотря на дорогостоящие разработки и внедряемые мероприятия, направленные на обеспечение безопасности ежегодно увеличиваются потери бизнеса вследствие кибератак, в силу чего представляется необходимым определение возможных угроз безопасности информации, а также идентификация возможных каналов несанкционированного доступа к конфиденциальной информации и каналов ее утечки. 
     Существует множество определений термина «угроза». Так в наиболее широком понимании угроза представляет собой возможность, опасность возникновения чего-либо неприятного, тяжелого [74]. Угроза - это совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности [73].
     В уголовном праве угроза - это намерение нанести физический, материальный или иной вред отдельному лицу или общественным интересам, выраженное словесно, письменно, действиями либо другим способом. [75]
     Под угрозой безопасности информации хозяйствующего субъекта следует понимать совокупность действий и/или событий, которые могут стать причиной разрушения, искажения или несанкционированного использования информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. 
     Информационная безопасность призвана защитить те сферы бизнеса, которые тесно связаны с информацией. В век информационных технологий информация – важнейший актив любой компании. Важной информацией для предприятия могут быть данные о покупателях и поставщиках, управленческие и бухгалтерские документы, деловая переписка и общение, персональные данные сотрудников, информация о технологиях и ноу-хау, и многое другое.
     При этом в случае потери ценности информации в процессе ее хранения и/или распространения, то реализуется угроза нарушения конфиденциальности информации. Угроза целостности информации реализуется в свою очередь, если информация изменяется или уничтожается с потерей ее ценности. Если информация вовремя не поступает легальному пользователю, то ценность ее уменьшается и со временем полностью обесценивается, тем самым угроза оперативности использования или доступности информации. Таким образом, можно сделать вывод, что, реализация угроз информационной безопасности заключается в нарушении конфиденциальности, целостности и доступности информации. 
     Злоумышленник может ознакомиться с конфиденциальной информацией, модифицировать ее, или даже уничтожить, а также ограничить или блокировать доступ легального пользователя к информации. При этом злоумышленником может быть как сотрудник организации, так и постороннее лицо. Но, кроме этого, ценность информации может уменьшиться ввиду случайных, неумышленных ошибок персонала, а также различных природных явлений. 
     Классификацию угроз можно представить в виде таблицы 1. [19 с.328]
     Таблица 1 – Виды угроз информационной безопасности предприятия
Угрозы

Внешние
Внутренние
Естественные
Преднамеренные
Развитие технологий


Непреднамеренные
Стихийные бедствия
1. Отказ техники
2. Технические сбои
Искусственные
Преднамеренные
1.Разработка ПО   2.Угроза целостности           3.Отказ в обслуживании
1.Угроза раскрытия (нарушение конфиденциальности)
2.Угроза целостности                   3.Отказ в обслуживании

Непреднам
еренные
1.Политические факторы
2. Социальные факторы
Ошибки ПО
     Стоит отметить, что в современном обществе наиболее распространенными угрозами информационной безопасности являются умышленные угрозы, которые все чаще становятся основнои? причинои? и движущеи? силои? преступлении? и правонарушении? в сфере экономических преступлений. 
     В то же время средства вычислительнои? техники, встраиваясь в систему отношении? по поддержанию информационнои? безопасности, оказывают на них определенное воздеи?ствие. В отдельных случаях персональные компьютеры функционируют как источники повышеннои? опасности, и тогда нарушение установленных правил их эксплуатации может привести к нарушению информационнои? безопасности [39, c.48]. 
     Классификация умышленных угроз безопасности информации приведена на рисунке 3.

     Рис. 3. Классификация умышленных угроз безопасности информации
     Информационная защищенность является одним из важнейших аспектов общей безопасности хозяйствующих субъектов. 
     Все чаще реализуются такие угрозы хозяйствующим субъектам как мошенничество, вредительство, промышленный шпионаж, компьютерные взломы, заражения компьютерных информационных систем вредоносными программами и др. Поэтому информационные активы предприятий, подобно любым другим активам, нуждаются в сохранности. 
     Для защиты информационной безопасности в первую очередь необходимо определить каналы утечки информации и средства их контроля, а, при необходимости, и перекрытия. Важнейшим инструментом в этом является аудит информационной безопасности. Аудит позволит выявить каналы утечки, оценить их критичность и вероятность утечки по ним [28 с.110].
     Основными источниками угроз ценной корпоративной информации являются внутренние угрозы, связанные с нарушением правил защиты информационных активов, исходящие от персонала хозяйствующего субъекта [17, c.62].
     Угрозами безопасности информации являются: хищение информации; уничтожение информации; искажение информации; нарушение доступности информации; навязывание ложной информации [62].
     Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и вне ее - внешние источники [71].
     Все источники угроз безопасности информации можно разделить на три основные группы:
     1. Обусловленные действиями субъекта (антропогенные источники угроз). 
     Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры [55, c.47]. Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:
     * криминальные структуры;
     * потенциальные преступники и хакеры;
     * недобросовестные партнеры;
     * технический персонал поставщиков телематических услуг;
     * представители надзорных организаций и аварийных служб;
     * представители силовых структур.
     К внутренним источникам относятся:
     * основной персонал (пользователи, программисты, разработчики);
     * представители службы защиты информации;
     * вспомогательный персонал (уборщики, охрана);
     * технический персонал (жизнеобеспечение, эксплуатация) [59].
     Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации [72].
     2. Обусловленные техническими средствами (техногенные источники угрозы).
     Эта группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако, последствия, вызванные такой деятельностью, вышли из-под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление. Технические средства, являющиеся источниками потенциальных угроз безопасности информации так же могут быть внешними:
     * средства связи;
     * сети инженерных коммуникации (водоснабжения, канализации);
     * транспорт.
     и внутренними:
     * некачественные технические средства обработки информации;
     * некачественные программные средства обработки информации;
     * вспомогательные средства (охраны, сигнализации, телефонии);
     * другие технические средства, применяемые в учреждении; [57]
     3. Обусловленные стихийными источниками.
     Данная группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить, или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда [51].
     Стихийные источники потенциальных угроз информационной безопасности как правило являются внешними по отношению к защищаемому объекту и под ними понимаются прежде всего природные катаклизмы и другие форс-мажорные обстоятельства
     
     
     1.3 Риски информационной безопасности хозяйствующего субъекта 
     Риск - это возможность возникновения неблагоприятной ситуации или неудачного исхода производственно-хозяйственной или какой-либо другой деятельности [60].
     Основные характеристики рисков:
     1. Экономическая природа. Риск характеризуется как экономическая категория, занимая определённое место в системе экономических понятий, связанных с осуществлением хозяйственного процесса предприятия. Он проявляется в сфере экономической деятельности предприятия, прямо связан с формированием его прибыли и часто характеризуется возможными экономическими последствиями в процессе осуществления финансово-хозяйственной деятельности.
     2. Объективность проявления. Риск является объективным явлением в деятельности предприятия, т.е. сопровождает всё и все направления его деятельности. 
     3. Вероятность возникновения. Она проявляется в том, что рисковое событие может произойти, а может и не произойти в процессе осуществления финансово-хозяйственной деятельности предприятия. 
     4. Неопределённость последствий. Последствия осуществления финансово-хозяйственной операции зависят от вида риска и могут колебаться в довольно значительном диапазоне. 
     5. Ожидаемая неблагоприятность последствий. 
     6. Субъективность оценки. Она определяется различным уровнем полноты и достоверности информационной базы, квалификации финансовых менеджеров, их опыта в сфере риск-менеджмента и другими факторами [63].
     В процессе своей деятельности предприниматели сталкиваются с совокупностью различных видов риска, отличающиеся между собой по месту и времени возникновения, совокупности внешних и внутренних факторов [46, c.259].
Таблица 2 - Виды рисков экономической безопасности предприятия
Виды рисков
Источники рисков
Технические риски
1. Недостатки технологии, неправильный выбор оборудования.
2. Некачественные сырье, материалы, оборудование
3. Несоблюдение технологических режимов и правил техники безопасности
4. Аварии, несчастные случаи, пожар, взрыв
Кадровые риски
1. Намеренный подкуп, переманивание сотрудников, кража секретов, конкурентная разведка, дискредитация компании
2. Противоправные действия работников предприятия
Информационные риски
1. Утечка информации
2. Риски технических сбоев работы каналов передачи информации
Финансовые риски
1.Непредвиденная инфляция
2.Ошибочная финансовая политика
3. Колебание курса валют
4. Повышение налогов
Маркетинговые риски
1. Ошибочное определение объемов спроса и предложения
2. Недостатки в структуре производства
3. Ошибочный выбор рынков сбыта
4. Недостатки системы сбыта
     Кадровые риски - риски потерь, связанные с возможными ошибками сотрудников, неисполнением установленных должностных функций, профессиональной некомпетентностью, мошенничеством. 
     Технические риски - риски, причинами реализации которых являются непредсказуемое и неконтролируемое функционирование технических систем [61].
     Информационный риск появляется при неправильной организации информационных потоков внутри предприятия, неверных сведениях, как поступивших на предприятие, так и вышедших за его пределы по вине персонала. Сюда же надо отнести разглашение сведений, представляющих особую важность или угрожающих экономической безопасности фирмы.
     Финансовый риск связан с возможностью невыполнения фирмой своих финансовых обязательств. Основными причинами финансового риска являются: обесценивание инвестиционно-финансового портфеля вследствие изменения валютных курсов, неосуществления платежей.
     Маркетинговый риск - риск недополучения выручки в результате не достижения планового объема продаж или снижения цены реализации относительно запланированной [52].
     Риск информационной безопасности представляет собой возможность нарушения информационной безопасности с негативными последствиями. Основными рисками информационной безопасности являются:
     * риск утечки конфиденциальной информации
     * риск потери или недоступности важных данных
     * риск использования неполной или искаженной информации
     * риск распространения во внешней среде информации, угрожающей репутации организации [45, c.35].
   Обработка риска — процесс выбора и осуществления мер по модификации риска.
   Для обработки риска возможны четыре варианта:
     1. Предотвращение риска: рассмотрение способов устранения угрозы или уязвимости, или изменения процесса или деятельности таким образом, чтобы угроза к ним больше не была применима. Когда идентифицированные риски считаются слишком высокими, может быть принято решение о полном прекращении или отказе от планируемой или существующей деятельности.
     2. Перенос риска: перенос риска на третью сторону, которая может взять на себя риск, как, например, страховые компании, или через передачу функций поставщикам сетевых решений или службам управления безопасностью, аутсорсинг. Перенос риска может создавать новые риски или модифицировать существующие идентифицированные риски, поэтому может быть необходима дополнительная обработка риска.
     3. Снижение риска: применение соответствующих средств контроля для снижения риска (в терминах снижения уязвимостей или возможных последствий). В целом каждое средство контроля может обеспечивать один или несколько из следующих видов защиты: предупреждение, сдерживание, обнаружение, снижение, восстановление, исправление, мониторинг и информированность.
     4. Принятие риска: принятие решения в отношении всего оставшегося риска. Организация должна прийти к решению о принятии риска на основе .......................