Как правило, объектами анализа и решения задач
по обеспечению информационной безопасности являются компоненты (средства
и информационные технологии) автоматизированных информационных систем
(АИС), автоматизированных систем управления (АСУ), телекоммуникационных
систем (ТКС), а также информационные ресурсы (ИР), накапливаемые
и обрабатываемые этими компьютерными системами.
Тем не менее, с точки зрения целостного рассмотрения любой организационной
структуры независимо от её функционального предназначения (предпринимательство,
производство, банковское дело, управление и т.д.) на предмет решения
проблемы информационной безопасности, требуется гораздо более сложная
компонентная картина объекта.
В литературе встречаются попытки найти обобщающий термин для именования
такого рода объектов: социотехническая система, объект информатизации
или автоматизации и т.д. Нам же кажется, что вполне достаточно пользоваться
термином "организация" как самостоятельного объекта конкретного
вида деятельности. При этом, во-первых, делается акцент на основное
предназначение объекта, во-вторых, когда речь идёт об обеспечении
информационной безопасности очевидно необходимо рассмотрение всей
информационной сферы и влияния информационных процессов на основную
деятельность объекта.
Для организации можно выделить, по крайней мере, два аспекта её
информационного проявления: внутриобъектовая информационная
деятельность и внешнее информационное проявление объекта (Рис.
1).
Внутриобъектовая информационная деятельность обеспечивается и реализуется
такими компонентами как автоматизированные процессы и АСУ, АИС,
ТКС, ИР, информационная поддержка (в том числе в виде технологий
работы с традиционными документами на бумажных носителях), информационно
- аналитическая поддержка.
Понятие внутриобъектовой информационной деятельности, в принципе,
вполне тождественно понятию информационной системы организации (ИС)
в широком смысле, когда она объединяет все виды информационной деятельности
(компьютерные и телекоммуникационные системы, традиционное делопроизводство,
внешняя информационно-аналитическая поддержка и т.д.).
Внешнее информационное проявление объекта может быть штатным (внешнее
штатное информационное взаимодействие - сообщения через ТКС и потоки
традиционных документов) и побочным (электромагнитные излучения
и наводки, спецтехника, несанкционированная передача сведений за
счёт человеческого фактора).
Рассматривая организацию
как объект целостного решения проблемы информационной безопасности,
необходимо выявить все виды угроз информационного характера, которые
могут деструктивно повлиять на её деятельность. И в этом случае, на
наш взгляд, продуктивно вернуться к той классификации, которую в своё
время предложил профессор Герасименко В.А., а именно выделить два
основных класса: угрозы информации и информационные угрозы.
Смысл в этом очевиден.
При этом мы будем руководствоваться также более широким пониманием
информационной безопасности организации, как это предлагает Стрельцов
А.А. ("Обеспечение информационной безопасности России", МЦНО, 2002):
Информационная безопасность - невозможность нанесения
вреда свойствам объекта безопасности, обуславливаемым информацией
(независимо от вида её формального отображения и времени жизни)
и информационной инфраструктурой. В нашем случае в качестве "объекта
безопасности" выступает организация, фирма.
Все угрозы, деструктивно влияющие на собранную организацией, хранимую
и обрабатываемую информацию, которая и составляет её информационные
ресурсы, а также на средства и службы реализации информационных технологий,
то есть на информационную систему (ИС) организации требуют решения
задачи защиты информации. Они составляют множество угроз информации.
Однако информационная деятельность на объекте не является самоцелью,
а только обеспечивающей частью основной деятельности организации.
Сама информация, входящая в ИР организации, её содержание, регламент
подачи и качество, может быть небезопасной для потребителя (руководители,
службы, пользователи, объекты управления в АСУ и т.д.), так как на
её основании принимаются решения организационно-производственного
характера, осуществляется управление процессами. Следовательно, информационная
сфера может быть источником угроз для организации, и эти угрозы относятся
к информационным угрозам. Наличие информационных угроз требует решения
задачи безопасности информации.
Система информационной безопасности - совокупность
средств и мер по обеспечению защищённости информации в ИС и минимизации
информационных угроз для объекта безопасности со стороны информационной
сферы.
Защищённость информации оценивается показателями (в соответствии с
"Критериями оценки безопасности информационной технологии", принятыми
европейскими странами в 1991 году и введёнными в отечественную методологию
проектирования систем защиты информации - документы Государственной
технической комиссии):
конфиденциальность - защита от несанкционированного доступа (получения)
информации;
целостность - защита от несанкционированного изменения или разрушения
информации и программно-технической среды ИС;
доступность - защита от несанкционированного сокрытия информации.
Минимизация информационных угроз оценивается общепринятыми показателями
ИС (являются показателями качества технологии информационного обслуживания
и функционирования ИС в целом):
актуальность - обеспечение адекватного отображения состояния объектов
предметной области в данных и документах информационных ресурсов ИС
в любой момент времени;
полнота представления - обеспечение максимальной возможности описания
процессов, событий и ситуаций с помощью данных и документов информационных
ресурсов ИС;
достоверность - степень соответствия сведений в памяти компьютерных
средств, в документах или сообщениях реальному состоянию отображаемых
ими объектов предметной области;
своевременность подачи (получения) - своевременное удовлетворение
информационных потребностей руководства и служащих ГК;
ценность - свойство информации ИС, определяемое
её пригодностью к практическому использованию в различных областях
деятельности организации.
В соответствии с этими предпосылками и сложившейся методологией
проектирования ИС защищённость информации обеспечивается подсистемой
защиты ИС (средства, меры, мероприятия, технологии), минимизация
информационных угроз обеспечивается за счёт создания эффективных
информационных ресурсов и технологий ИС и эффективной внешней информационно-аналитической
поддержкой.
Угрозы информации могут исходить, в основном, из внешнего окружения
организации (современное понятие информационной войны), но источником
их может быть и внутриобъектовая информационная сфера. Информационные
угрозы, в основном, порождаются несовершенством внутриобъектовой
информационной сферы, включая технологии информационно-аналитической
поддержки за счет внешних информационных ресурсов, но могут быть
и целенаправленные внешние источники информационных угроз.
Одним из основных методологических вопросов в проблеме информационной
безопасности является оценка качества защищённости информации и
безопасности её в смысле минимизации угроз деятельности организации.
В настоящее время у нас в стране, да и за рубежом, применяется,
в основном, функционально-классификационный подход к оценке качества
систем защиты информации (СЗИ). Он заключается в том, что при определённой
конфиденциальности информации защищаемый объект относится к соответствующему
классу и считается защищённым, если в системе защиты реализован
набор конкретных функций защиты. Как определиться с оценкой в части
нормативных подходов и актов качества обеспечения безопасности информации
для организации, пока вопрос остаётся открытым.
В развитие его решения предлагается, с одной стороны, использовать
объективную понятийную связь между угрозами информационного характера
и рисками, с другой стороны, ориентировать оценку качества защищённости
и безопасности на конечные потери самой организации.
В различных приложениях используются различные интерпретации понятия
риска. Так, например, в статистике "риск - вероятность события,
которое может вызвать отклонение от ожидаемых тенденций". При выполнении
коммерческих операций "риск - возможность ущерба от события, которое
изменяет исходную ситуацию". А в общепринятом употреблении "риск
- возможное опасное событие".
Таким образом, риск - возможное опасное событие, ущерб - последствия
от происшедшего опасного (негативного) события. Понятия "риск" и
"ущерб" имеют смысл только в отношении какого-то конкретного объекта
или субъекта.
Из этого очевидного понимания сути рисков можно определиться с понятием
информационных рисков, приемлемым для наших целей. Информационный
риск - это опасное для объекта или субъекта событие в информационной
сфере, при реализации (свершении) которого наносится ущерб как для
самой информационной сферы, так и, возможно, для организации в целом.
Вероятность события может быть одним из оценочных характеристик
информационного риска, но как показывает практика, рассчитать его
аналитически или корректно определить статистически - почти невыполнимая
задача. Поэтому чаще всего его определяют экспертным путём как некий
коэффициент псевдовероятности.
Естественно в деятельности организации возможны как информационные
риски, так и риски другой природы (предпринимательские, банковские,
инвестиционные и т.д.). И те, и другие могут существенно или незначительно
влиять на результаты деятельности организации. В нашем случае важно
определить взаимосвязь информационных рисков с другими рисками.
И в этой схеме возможна следующая технология.
Существует множество информационных рисков. Каждый риск (Rи) из
данного множества отождествляется с конкретной угрозой информации
(УИ), для которых определяется возможное событие, однозначно соответствующее
информационному риску - С (Rи). Если это событие произойдёт, то
последствия оцениваются в двух аспектах.
Во-первых, произойдут деструктивные действия в самой информационной
среде и в информационных ресурсах, что повлечёт за собой соответствующий
непосредственный ущерб в информационной сфере (разрушение, потеря
данных, затраты на восстановление среды и данных, на замену компонентов
среды и пр.) - У' (Rи).
Во-вторых, в зависимости от вида деструктивных действий возможно
порождение информационной угрозы (ИУ), отождествляемой с рисками
в основной деятельности - Rд (Rи). Информационная угроза может также
возникнуть за счёт внешних воздействий при внешней информационно-аналитической
поддержки организации. То есть возникает информационная угроза (ИУ) для основной деятельности, которая может привести к реализации события
С [Rд(Rи)], соответствующего риску для основной деятельности - Rд
(Rи), а, следовательно, к некоторому ущербу при основной деятельности
организации - У [Rд (Rи)].
Совокупность прямого ущерба для информационной
среды и ущерба по основной деятельности является в целом возможным
ущербом для организации от конкретного информационного риска:
У (Rи) = У' (Rи) + У [Rд (Rи)]
Такая технология позволяет построить структурную
модель ущерба организации за счёт информационных рисков (Рис. 2).
В модели определено место расчётных функций для оценки ущерба. Одновременно
модель раскрывает влияние информационных рисков на деятельность
организации.
Предлагаемый подход позволяет определиться в решении ряда прикладных
вопросов, связанных с развитием методологии информационной безопасности.
В частности:
1. Определяет место информационно-аналитического обеспечения управления
предпринимательскими (и другими) рисками как части обеспечения информационной
безопасности, связанной с понятием информационных угроз.
2. Предлагает предпосылки для создания комплексной структуры и функциональных
обязанностей службы информационной безопасности в организации.
3. Позволяет перейти к проработке подходов по оценке качества защищённости
информации и её безопасности не по функционально-классификационному
признаку, как это делается сейчас, а путём построения имитационных
моделей с расчётными компонентами и ориентацией на возможные конечные
потери организации от информационных рисков.
4. Уточняет подходы по оценочным технологиям для страховых компаний
в части страхования информационных рисков.
