BzBook.ru

Обеспечение информационной безопасности бизнеса

Предисловие С. П. Расторгуева

Проблема обеспечения информационной безопасности — вечная проблема, и она будет вечной до тех пор, пока под безопасностью мы будем понимать состояние или ощущение защищенности интересов (целей) организации в условиях угроз. Почему? Потому что состояние защищенности — это субъективное понятие. У волка оно одно, а у овцы — совсем другое. В случае же человека или социума все еще гораздо сложнее, и в общем случае никогда нельзя сказать, чем все это дело закончится, как в известной даосской притче про старика (http://pritchi.castle.by/ras-14-1.html): «Жил в одной деревне старик. Был он очень беден, но все императоры завидовали ему, потому что у него был прекрасный белый конь. Никто никогда не видел подобного коня, отличавшегося красотой, статью, силой… Ах, что за чудо был этот конь! И императоры предлагали хозяину за коня всё, что только бы он пожелал! Но старик говорил: “Этот конь для меня не конь, он — личность, а как можно продать, скажите на милость, личность? Он — друг мне, а не собственность. Как же можно продать друга?! Невозможно!” И хотя бедность его не знала пределов, а соблазнов продать коня было немыслимое количество, он не делал этого.

И вот однажды утром, зайдя в стойло, он не обнаружил там коня. И собралась вся деревня, и все сказали хором: “Ты — глупец! Да мы все заранее знали, что в один прекрасный день этого коня украдут! При твоей-то бедности хранить такую драгоценность!.. Да лучше бы ты продал его! Да ты бы получил любые деньги, какие бы ни запросил, — на то и императоры, чтобы платить любую цену! А где теперь твой конь? Какое несчастье!”

Старик же сказал: “Ну-ну, не увлекайтесь! Скажите просто, что коня нет в стойле. Это — факт, все же остальное — суждения. Счастье, несчастье… Откуда вам это знать? Как вы можете судить?”

Люди сказали: “Не обманывай! Мы, конечно, не философы. Но и не настолько дураки, чтобы не видеть очевидного. Конь твой украден, что, конечно же, несчастье!” Старик ответил: “Вы — как хотите, а я буду придерживаться такого факта, что раз стойло пусто, то коня там нет. Другого же я ничего не знаю — счастье это или несчастье, потому что это всего лишь маленький эпизод. А кто знает, что будет потом?”

Люди смеялись. Они решили, что старик от несчастья просто рехнулся. Они всегда подозревали, что у него не все дома: другой бы давно продал коня и зажил как царь. А он и в старости оставался дровосеком: ходил в лес, рубил дрова, собирал хворост, продавал его и еле-еле сводил концы с концами, живя в бедности и нищете. Ну а теперь стало очевидным, что он — сумасшедший.

Но через пятнадцать дней конь неожиданно вернулся. Он не был украден, он сбежал в лес. И вернулся не один, но привел с собой дюжину диких лошадей. И снова собрались люди и сказали: “Да, старик, ты был прав! Это мы — глупцы! Да он и впрямь счастье! Прости нашу глупость милосердно!”

Старик ответил: “Да что вы, ей-богу! Ну вернулся конь. Ну лошадей привел — так что ж? Не судите! Счастье, несчастье — кто знает?! И это лишь маленький эпизод”…» и так далее… Таких маленьких эпизодов было очень много в жизни этого старика, как их много и у каждого из нас.

Поражение — это не всегда поражение. Оно только сейчас поражение, но благодаря ему приобретается мудрость, опыт и сноровка, которые становятся основой будущих побед. А обещанная мудрость — это разве поражение? Если мудрость — это плата за поражение, то что же тогда поражение? Теряется одно, приобретается совсем другое. Теряются материальные ценности, приобретается знание. Теряется время, приобретается поэтическое состояние души. Уходит забота, приходит радость.

В свете сказанного думается, что проблема безопасности, и информационной безопасности в частности, — вечная проблема, которая если и решается, то только на короткое мгновение, пока у субъекта соответствующее состояние души или, проще говоря, определенное состояние защищенности. Но из этого многопараметрического пространства, в котором единственным критерием, благословляющим на деятельность, является состояние субъекта, есть один правильный выход. Этот выход называется «сужение области исследования». Именно этим путем пошли авторы книги, назвав ее «Обеспечение информационной безопасности бизнеса». При таком подходе появляется способ измерить это самое мифическое состояние защищенности, которое теперь меряется совсем просто — скоростью изменения активов. В этой ситуации становится понятным, что такое ущерб и какими могут быть риски. Задача приобретает реальные очертания, и появляются вполне материальные критерии, которыми можно оперировать, используя классический инструментарий.

Вот только для случая информационной безопасности этот классический инструментарий уже несколько иной. А иной потому, что используется в других условиях. В условиях, когда человечество погрузилось в информационную эпоху и между человеком и человеком прочно встало техническое средство, способное генерировать, усиливать и блокировать любые информационные потоки. Более того, даже угрозы в этих условиях выглядят уже по-другому, их значимость смещается от угроз типа «украдут информацию» к угрозам «навяжут информацию». Потому что если информацию навяжут, то тем самым навяжут и внешнее скрытое управление.

Понятно, что состояние защищенности у человека, отдыхающего на пляже Сочи, и человека, защищенного броней танка, но который идет в атаку, разные. Хотя во втором случае сверху целый слой брони и поддержка огневой мощи.

Когда нет физических угроз, то и физическая защита не нужна, а вот информационная — нужна всегда. Поэтому совершенно правильно авторы акцентируют основное внимание на угрозах информационной безопасности. Ибо получение информации и на ее основе изменение знания — постоянный процесс. Если под знанием понимать совокупность сведений, выраженную в структуре системы и функциональных элементах этой структуры, то становится понятным, как определенные структурные модификации могут приводить систему чуть ли не к полному разрушению. И чем значимее информация для принятия решений, тем важнее грамотно построенная система обеспечения информационной безопасности, гарантирующая устойчивость развивающегося знания от угроз в информационной сфере.

Целью информационной угрозы является активизация действий, ответственных за нарушение привычного или запланированного режима функционирования, т. е. за вывод системы за пределы допустимого режима функционирования, либо отказ системы от определенных действий и / или ресурсов, необходимых для достижения собственных целей. Здесь и далее под допустимым режимом функционирования понимается такое функционирование информационной системы, которое обеспечено необходимыми материальными ресурсами для достижения поставленной цели. В информационную эпоху реализация угрозы в большинстве случаев осуществляется через искажение адекватности модели миру. Этой проблеме посвящено достаточно материалов данной книги, и это правильно. Система не всегда способна в реальном времени понять, является ли конкретное сообщение угрозой. Так, например, по сообщениям американской прессы, предупреждения о террористическом акте 11 сентября 2001 года были у спецслужб за несколько дней до трагедии, но им не придали нужного значения. Они не соответствовали той модели мира, которая именно в тот момент была доминирующей у аналитиков.

В свое время противник, окружив город и устраиваясь на ночлег, разжигал костры. В пределах видимости с крепостных стен у каждого костра располагалось по 5–7 воинов. А дальше, за пределами видимости, — по одному человеку у костра. Для «умных», умеющих считать и делать выводы, численность армии мгновенно увеличивалась в несколько раз. Получается, что всегда возможны ситуации, когда «умным» быть опасно, ибо во многом факт того, что сообщения нарушают адекватность модели мира, зависит от самого информационного субъекта, от созданной им модели мира, от его образа мира.

Любое живое существо всегда имеет несколько каналов получения информации, которые частично подстраховывают друг друга. Точно так же любая сложная социальная система: фирма, государство, — также имеет несколько независимых каналов сбора информации об окружающем мире и о самой себе. Определенный параллелизм присутствует и при обработке информации аналитическими центрами. И только в том случае, если результаты и рекомендации совпадают, система «может считать», что ее модель мира адекватна миру. Однако в случае серьезного целенаправленного информационного «продавливания» тех или иных идей, событий, сообщений происходит деформация уровня восприятия, и порой на самом деле мало значимый элемент искажает картину мира. В результате этого искажения в социуме активизируются соответствующие действия (алгоритмы), необходимые для их обработки. Поэтому вопросам принятия решений и уделяется все больше внимания при решении задач по обеспечению информационной безопасности, тем более в бизнесе.

При этом авторы, исследуя данную проблему, специально акцентируют внимание на следующем важном нюансе: не всегда следование нормативным требованиям (в частности, ИСО серии 9000) повышает эффективность бизнеса и защиты этого самого бизнеса. Порой эти требования увеличивают объемы отчетных формализованных материалов, за которыми может и ничего не стоять.

Мне же хотелось добавить к сказанному еще и то опасение, что если конкурент знает, чем вы пользуетесь (каким инструментом), что делаете (какие процессы) и как делаете (в рамках каких регламентов), то для него проще организовать скрытое управление вами.

В целом данная работа с достаточной полнотой охватывает заявленные проблемы. Здесь читатель найдет и существующие модели менеджмента (управления), применимые для обеспечения информационной безопасности бизнеса, и модели непрерывного совершенствования, и стандартизированные модели менеджмента, а также модели COSO, COBIT, ITIL. Достаточно интересный материал по контролю и аудиту, а также по измерению и оцениванию информационной безопасности бизнеса.

С. П. Расторгуев,

профессор, доктор технических наук