Основной классификацией угроз является их деление на внешние и внутренние

К внешним угрозам относится широкий круг негативных воздействий. Первая группа угроз исходит от нормативных актов, принимаемых руководством страны, и подзаконных актов, издаваемых различными ведомствами (Центральный банк РФ, Министерство по налогам и сборам и др.), которые иногда противоречат законам и друг другу, однако все равно подлежат исполнению. Вторая группа внешних угроз вытекает из невыполнения партнерами, заказчиками, поставщиками, клиентами своих обя­зательств по оплате контрактов, поставке товаров и т.п. В этом случае ущерб возникает из-за неправильного прогноза всех возможных последствий того или иного мероприятия. Третья группа угроз обусловлена внутренними конфликтами в коллективе или среди руководства экономической структуры либо преступными наводками со стороны персонала (часто со стороны охраны). С учетом реальности данных угроз, следует привлекать службы безопасности к решению кадровых вопросов.

К внутренним угрозам безопасности негосударственных объектов экономики относятся: противоправные и иные негативные действия кадровых сотрудников объектов; нарушения установленного режима сохранности сведений, составляющих коммерческую тайну; нарушения порядка использования технических средств; иные нарушения порядка и правил соблюдения режима безопасности на объекте, создающие предпосылки для реализации преступными элементами своих целей и возникновения чрезвычайных происшествий.

3. Защита компьютерных систем от преднамеренных или случайных программных воздействий стала в настоящее время осознанной необходимостью. Обеспечить надежную защиту от компьютерных вирусов, «троянских коней», логических «бомб» и т. п. угроз информационной безопасности становится все труднее и дороже.

Анализ уже раскрытых преступлений, с одной стороны, показывает две особенности: во-первых, их совершают, как правило, мастера своего дела и люди с незапятнанной репутацией, хорошо владеющие тонкостями информационных технологий, во-вторых, при этом используется метод мистификации, маскировки под запросы других «легальных» пользователей, незаконного подключения к аппаратуре и линиям связи.

Систему обеспечения безопасности автоматизированной информации можно разбить на следующие подсистемы: компьютерную безопасность, которая обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности связанных с ним ресурсов; безопасность данных, которая достигается защитой от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашений; безопасность программного обеспечения, представляющая собой прикладные программы и средства, осуществляющие безопасную обработку данных в системе; безопасность коммуникаций, которая обеспечивается посредством аутентификации телекоммуникаций зачет принятия мер по предотвращению предоставления неавторизованным лицам критической информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.

Специалисты делят угрозы информационным системам предприятия на два типа: целевые и нецелевые. К первым относится сознательная деятельность различных злоумышленников, в корыстных целях стремящихся украсть или повредить информационную базу предприятия. Второй тип - угрозы, напоминающие стихийные бедствия: вирусы, спам и другие массово распространяемые вредоносные программы, а также собственно стихийные бедствия (землетрясения, наводнения, пожары и т. д.).

Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.

Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.

Порядок защиты информации, составляющей коммерческую тайну, предусматривает самое широкое применение различных видов нормативных документов разного уровня и происхождения: право конфиденциальности и право на защиту коммерческой тайны (патентование, использование норм авторского права, применение норм обязательного права); нормативные акты, регламентирующие соблюдение информационной безопасности на предприятии; положение о коммерческой тайне; инструкция по соблюдению сотрудниками предприятия режима конфиденциальности; разделы устава предприятия, регламентирующие защиту коммерческой тайны; положение о специальном совете предприятия по вопросам защиты коммерческой тайны; соглашение о неразглашении коммерческой тайны.

Для того чтобы требовать от сотрудников, партнеров выполнения обязательства о неразглашении коммерческой тайны, необходимо соблюсти ряд условий: обладатель коммерческой тайны должен определить перечень сведений, утвержденный администрацией компании, относящихся к коммерческой тайне; сотрудник, имеющий доступ к таким сведениям, должен быть ознакомлен с таким перечнем, что и подтвердить своей подписью; сотруднику должны быть разъяснены особенности режима коммерческой тайны и ответственности за ее разглашение. Данная информация, как правило, содержится в положении о коммерческой тайне, утверждаемом администрацией компании. Факт ознакомления работника с этим положением, как и с указанным выше перечнем сведений, должен быть подтвержден документально; трудовой или гражданско-правовой договор (например, договор подряда) с лицом, имеющим доступ к коммерческой тайне, должен содержать положение, содержащее обязательство о неразглашении коммерческой тайны.

Перечень сведений, составляющих коммерческую тайну, определяется руководством предприятия. Перечень сведений, которые не могут составлять коммерческую тайну, определяется правительством Российской Федерации.

Коммерческую тайну могут составлять сведения: незапатентованные научно-технические разработки; базы данных и программы для ЭВМ, созданные работниками организации; информация о потенциальных покупателях и поставщиках и пр.