Обеспечение информационной безопасности бизнеса Голдуев Н.
Предисловие А.А. Стрельцова
Среди множества проблем социально-экономического развития России в условиях формирования глобального постиндустриального общества заметное место занимает организация устойчивого функционирования и безопасности использования информационных систем и информационно-коммуникационных сетей, обеспечивающих экономическую деятельность. По мере усложнения информационной инфраструктуры бизнеса влияние данного фактора на результаты деятельности коммерческих организаций будет возрастать. Это наглядно видно на примере развития экономики США, для которых обеспечение компьютерной безопасности стало одним из национальных приоритетов XXI в.
Проблема обеспечения информационной безопасности бизнеса имеет много аспектов, но все они так или иначе объединены необходимостью стандартизации принимаемых решений – своеобразной платой за преодоление «проклятия размерности», порождаемого сложностью управляемых процессов.
Предлагаемая вниманию читателей книга «Обеспечение информационной безопасности бизнеса» посвящена рассмотрению стандартов обеспечения информационной безопасности коммерческой организации, представляющей собой основного субъекта экономики общества. В данном случае стандарты – это прежде всего система правил поведения лиц, участвующих в принятии и реализации решений по построению системы обеспечения информационной безопасности организации. С этой точки зрения стандарты являются важным элементом культуры постиндустриального общества, оказывающей непосредственное влияние на эффективность экономической деятельности не только организации, но и общества в целом. Установление стандартов поведения и следование им – важный показатель социальной зрелости общества и общей культуры его членов. Стандарты являются той основой культуры массового производства и потребления, без которой расширение специализации в осуществлении производственной деятельности и потребления ее продуктов, на которых наряду с частной инициативой базируется глобальная экономика мира, было бы невозможным.
Как показывает опыт, одной из наиболее сложных проблем обеспечения информационной безопасности является объяснение руководителю организации в доходчивой форме, чем именно занимается коллектив специалистов по информационной безопасности, почему на эту работу нужно тратить значительные финансовые и иные ресурсы, чего именно можно ожидать в результате этих затрат и как он лично может убедиться в том, что выделенные ресурсы не потрачены впустую. Подобные вопросы возникают не только на уровне руководства организации, но и на уровне многих руководителей федерального, регионального и местного масштаба. Предлагаемая вниманию читателей книга делает существенный шаг вперед в поиске ответов на эти вопросы.
Книга подготовлена авторским коллективом, члены которого обладают большим опытом практической работы по решению сложных проблем обеспечения информационной безопасности в различных сферах экономической деятельности.
Авторы предприняли попытку поставить и решить задачу развития стандартов обеспечения информационной безопасности применительно к деятельности коммерческой организации, увязать связанные с этим вопросы с бизнес-процессами, которые для любой коммерческой организации являются приоритетными. Предлагаемый авторами подход к стандартизации процессов обеспечения информационной безопасности организации базируется на результатах философского осмысления проблемы, ее сущности, а кроме того, на возможных проявлениях в реальной жизни и на разработке структурированных описаний (схем-моделей) стандартизируемых процессов.
Структурно работа состоит из четырех разделов основного материала и приложений.
В первом разделе на основе изучения роли и места информации в бизнес-процессах, а также анализа видов информации, в которых данные процессы проявляются (учредительная и лицензионная база организации, правовая сфера бизнеса, внутренняя нормативная база организации, внешняя и внутренняя отчетность, материальные и информационные активы и т. п.), разработана обобщенная схема – модель информационной безопасности бизнеса. Данная модель основана на анализе источников возникновения рисков снижения эффективности бизнеса, возникающих в информационной сфере организации.
На основе анализа известных схем – моделей осуществления менеджмента разработана схема – модель управления процессами обеспечения информационной безопасности организации или управления рисками нарушения ее информационной безопасности. Данная схема представлена во втором разделе. С учетом устоявшегося подхода к унификации описаний процессов менеджмента предложено стандартизованное описание системы менеджмента информационной безопасности организации, а также реализации ее отдельных составляющих (менеджмента рисков, инцидентов, активов, документов и т. п.).
Возможные методики оценки уровня информационной безопасности организации и примеры их использования рассмотрены в третьем разделе.
В четвертом разделе основное внимание сосредоточено на исследовании проблем противодействия «внутренним» угрозам информационной безопасности, исходящим от сотрудников организации. Предложена соответствующая модель угроз и рассмотрены возможные меры по противодействию этим угрозам.
В приложении приведены справочные материалы по архитектуре стандартов защиты информации и обеспечения информационной безопасности и др., а также изложены подходы к формированию нормативного обеспечения системы информационной безопасности организации.
Практическая значимость книги заключается в том, что в ней с единых методологических позиций рассмотрены проблемы формирования системы обеспечения информационной безопасности организации как упорядоченной совокупности нормативных, организационных и технических решений, позволяющих не только обеспечить противодействие угрозам нарушения информационной безопасности, но и повысить прозрачность процесса построения и функционирования таких систем.
Предложенные в книге выводы и рекомендации базируются на анализе конкретных нормативных и методических материалов, подкрепляются наглядными иллюстрациями и обладают значительным потенциалом дальнейшего развития.
Материалы книги будут полезны ученым и специалистам, занимающимся вопросами обеспечения информационной безопасности организаций, а также студентам, изучающим соответствующие учебные курсы.
А. А. Стрельцов,
профессор, заслуженный деятель науки Российской Федерации, доктор технических наук, доктор юридических наук
Предисловие С. П. Расторгуева
Проблема обеспечения информационной безопасности – вечная проблема, и она будет вечной до тех пор, пока под безопасностью мы будем понимать состояние или ощущение защищенности интересов (целей) организации в условиях угроз. Почему? Потому что состояние защищенности – это субъективное понятие. У волка оно одно, а у овцы – совсем другое. В случае же человека или социума все еще гораздо сложнее, и в общем случае никогда нельзя сказать, чем все это дело закончится, как в известной даосской притче про старика (http://pritchi.castle.by/ras-14-1.html): «Жил в одной деревне старик. Был он очень беден, но все императоры завидовали ему, потому что у него был прекрасный белый конь. Никто никогда не видел подобного коня, отличавшегося красотой, статью, силой… Ах, что за чудо был этот конь! И императоры предлагали хозяину за коня все, что только бы он пожелал! Но старик говорил: “Этот конь для меня не конь, он – личность, а как можно продать, скажите на милость, личность? Он – друг мне, а не собственность. Как же можно продать друга?! Невозможно!” И хотя бедность его не знала пределов, а соблазнов продать коня было немыслимое количество, он не делал этого.
И вот однажды утром, зайдя в стойло, он не обнаружил там коня. И собралась вся деревня, и все сказали хором: “Ты – глупец! Да мы все заранее знали, что в один прекрасный день этого коня украдут! При твоей-то бедности хранить такую драгоценность!.. Да лучше бы ты продал его! Да ты бы получил любые деньги, какие бы ни запросил, – на то и императоры, чтобы платить любую цену! А где теперь твой конь? Какое несчастье!”
Старик же сказал: “Ну-ну, не увлекайтесь! Скажите просто, что коня нет в стойле. Это – факт, все же остальное – суждения. Счастье, несчастье… Откуда вам это знать? Как вы можете судить?”
Люди сказали: “Не обманывай! Мы, конечно, не философы. Но и не настолько дураки, чтобы не видеть очевидного. Конь твой украден, что, конечно же, несчастье!” Старик ответил: “Вы – как хотите, а я буду придерживаться такого факта, что раз стойло пусто, то коня там нет. Другого же я ничего не знаю – счастье это или несчастье, потому что это всего лишь маленький эпизод. А кто знает, что будет потом?”
Люди смеялись. Они решили, что старик от несчастья просто рехнулся. Они всегда подозревали, что у него не все дома: другой бы давно продал коня и зажил как царь. А он и в старости оставался дровосеком: ходил в лес, рубил дрова, собирал хворост, продавал его и еле-еле сводил концы с концами, живя в бедности и нищете. Ну а теперь стало очевидным, что он – сумасшедший.
Но через пятнадцать дней конь неожиданно вернулся. Он не был украден, он сбежал в лес. И вернулся не один, но привел с собой дюжину диких лошадей. И снова собрались люди и сказали: “Да, старик, ты был прав! Это мы – глупцы! Да он и впрямь счастье! Прости нашу глупость милосердно!”
Старик ответил: “Да что вы, ей-богу! Ну вернулся конь. Ну лошадей привел – так что ж? Не судите! Счастье, несчастье – кто знает?! И это лишь маленький эпизод”…» и так далее… Таких маленьких эпизодов было очень много в жизни этого старика, как их много и у каждого из нас.
Поражение – это не всегда поражение. Оно только сейчас поражение, но благодаря ему приобретается мудрость, опыт и сноровка, которые становятся основой будущих побед. А обещанная мудрость – это разве поражение? Если мудрость – это плата за поражение, то что же тогда поражение? Теряется одно, приобретается совсем другое. Теряются материальные ценности, приобретается знание. Теряется время, приобретается поэтическое состояние души. Уходит забота, приходит радость.
В свете сказанного думается, что проблема безопасности, и информационной безопасности в частности, – вечная проблема, которая если и решается, то только на короткое мгновение, пока у субъекта соответствующее состояние души или, проще говоря, определенное состояние защищенности. Но из этого многопараметрического пространства, в котором единственным критерием, благословляющим на деятельность, является состояние субъекта, есть один правильный выход. Этот выход называется «сужение области исследования». Именно этим путем пошли авторы книги, назвав ее «Обеспечение информационной безопасности бизнеса». При таком подходе появляется способ измерить это самое мифическое состояние защищенности, которое теперь меряется совсем просто – скоростью изменения активов. В этой ситуации становится понятным, что такое ущерб и какими могут быть риски. Задача приобретает реальные очертания, и появляются вполне материальные критерии, которыми можно оперировать, используя классический инструментарий.
Вот только для случая информационной безопасности этот классический инструментарий уже несколько иной. А иной потому, что используется в других условиях. В условиях, когда человечество погрузилось в информационную эпоху и между человеком и человеком прочно встало техническое средство, способное генерировать, усиливать и блокировать любые информационные потоки. Более того, даже угрозы в этих условиях выглядят уже по-другому, их значимость смещается от угроз типа «украдут информацию» к угрозам «навяжут информацию». Потому что если информацию навяжут, то тем самым навяжут и внешнее скрытое управление.
Понятно, что состояние защищенности у человека, отдыхающего на пляже Сочи, и человека, защищенного броней танка, но который идет в атаку, разные. Хотя во втором случае сверху целый слой брони и поддержка огневой мощи.
Когда нет физических угроз, то и физическая защита не нужна, а вот информационная – нужна всегда. Поэтому совершенно правильно авторы акцентируют основное внимание на угрозах информационной безопасности. Ибо получение информации и на ее основе изменение знания – постоянный процесс. Если под знанием понимать совокупность сведений, выраженную в структуре системы и функциональных элементах этой структуры, то становится понятным, как определенные структурные модификации могут приводить систему чуть ли не к полному разрушению. И чем значимее информация для принятия решений, тем важнее грамотно построенная система обеспечения информационной безопасности, гарантирующая устойчивость развивающегося знания от угроз в информационной сфере.
Целью информационной угрозы является активизация действий, ответственных за нарушение привычного или запланированного режима функционирования, т. е. за вывод системы за пределы допустимого режима функционирования, либо отказ системы от определенных действий и / или ресурсов, необходимых для достижения собственных целей. Здесь и далее под допустимым режимом функционирования понимается такое функционирование информационной системы, которое обеспечено необходимыми материальными ресурсами для достижения поставленной цели. В информационную эпоху реализация угрозы в большинстве случаев осуществляется через искажение адекватности модели миру. Этой проблеме посвящено достаточно материалов данной книги, и это правильно. Система не всегда способна в реальном времени понять, является ли конкретное сообщение угрозой. Так, например, по сообщениям американской прессы, предупреждения о террористическом акте 11 сентября 2001 года были у спецслужб за несколько дней до трагедии, но им не придали нужного значения. Они не соответствовали той модели мира, которая именно в тот момент была доминирующей у аналитиков.
В свое время противник, окружив город и устраиваясь на ночлег, разжигал костры. В пределах видимости с крепостных стен у каждого костра располагалось по 5–7 воинов. А дальше, за пределами видимости, – по одному человеку у костра. Для «умных», умеющих считать и делать выводы, численность армии мгновенно увеличивалась в несколько раз. Получается, что всегда возможны ситуации, когда «умным» быть опасно, ибо во многом факт того, что сообщения нарушают адекватность модели мира, зависит от самого информационного субъекта, от созданной им модели мира, от его образа мира.
Любое живое существо всегда имеет несколько каналов получения информации, которые частично подстраховывают друг друга. Точно так же любая сложная социальная система: фирма, государство, – также имеет несколько независимых каналов сбора информации об окружающем мире и о самой себе. Определенный параллелизм присутствует и при обработке информации аналитическими центрами. И только в том случае, если результаты и рекомендации совпадают, система «может считать», что ее модель мира адекватна миру. Однако в случае серьезного целенаправленного информационного «продавливания» тех или иных идей, событий, сообщений происходит деформация уровня восприятия, и порой на самом деле мало значимый элемент искажает картину мира. В результате этого искажения в социуме активизируются соответствующие действия (алгоритмы), необходимые для их обработки. Поэтому вопросам принятия решений и уделяется все больше внимания при решении задач по обеспечению информационной безопасности, тем более в бизнесе.
При этом авторы, исследуя данную проблему, специально акцентируют внимание на следующем важном нюансе: не всегда следование нормативным требованиям (в частности, ИСО серии 9000) повышает эффективность бизнеса и защиты этого самого бизнеса. Порой эти требования увеличивают объемы отчетных формализованных материалов, за которыми может и ничего не стоять.
Мне же хотелось добавить к сказанному еще и то опасение, что если конкурент знает, чем вы пользуетесь (каким инструментом), что делаете (какие процессы) и как делаете (в рамках каких регламентов), то для него проще организовать скрытое управление вами.
В целом данная работа с достаточной полнотой охватывает заявленные проблемы. Здесь читатель найдет и существующие модели менеджмента (управления), применимые для обеспечения информационной безопасности бизнеса, и модели непрерывного совершенствования, и стандартизированные модели менеджмента, а также модели COSO, COBIT, ITIL. Достаточно интересный материал по контролю и аудиту, а также по измерению и оцениванию информационной безопасности бизнеса.
С. П. Расторгуев,
профессор, доктор технических наук
Введение
В течение ряда лет мы наблюдаем, что в нашем обществе среди специалистов, так или иначе имеющих отношение к вопросам безопасности вообще и к вопросам информационной безопасности в частности, не снижается интерес к вопросам обеспечения информационной безопасности бизнеса.
Существует значительное число публикаций по различным аспектам безопасности (охрана, контроль доступа, физические аспекты безопасности, экономическая безопасность, информационная безопасность, охрана секретов, криптография, персональные данные, критические технологии, борьба с терроризмом, непрерывность бизнеса, катастрофоустойчивость, борьба с сетевыми атаками), каждое из которых в большей или меньшей степени претендует на некую точку зрения или интерпретации этого сложного вопроса применительно к бизнесу.
Следует также отметить, что общих подходов к проблеме, как правило, не формулируются, каждый рассматриваемый и анализируемый аспект отражает только профессиональные предпочтения специалистов.
В целом для ситуации характерен узкоспециализированный подход, взгляд на проблему сквозь призму профессиональных приверженностей, что никогда и нигде не способствовало пониманию вопроса и в конечном итоге – делу.
В этом многоголосии практическому специалисту, который реально занимается вопросами обеспечения безопасности собственной организации, достаточно сложно ориентироваться, найти ответы на возникающие вопросы, выработать правильный путь деятельности. Это подтверждают острота и накал дискуссий вспыхивающих практически по любому вопросу, как сейчас, например, по проблеме персональных данных.
Следует сказать, что наша страна в целом ориентируется на экономическую открытость, взаимодействие с западным бизнесом, нужна платформа для такого взаимодействия и в этом направлении сделаны настоящие революционные шаги – высшее руководство государства сформулировало задачу модернизации экономики. Один из практических шагов на этом пути – широкое использование зарубежных стандартов и лучших практик там, где до настоящего времени не удалось создать современных российских регламентов, стандартов и правил. С этой целью приняты соответствующие поправки в Федеральный закон «О техническом регулировании».
Остро встал вопрос трансграничного взаимодействия экономических субъектов, а также институтов государств. Для такого взаимодействия также нужны универсальные правила, понятные, приемлемые и одинаково применимые в странах, где находятся субъекты этих отношений.
На этом фоне безопасность, как специфическая отрасль знаний и еще более специфическая научная дисциплина, переживает исключительно динамичный этап развития.
Коротко напомним этапы ее развития.
На протяжении тысяч лет под обеспечением безопасности информации понималась исключительно задача обеспечения ее конфиденциальности. Были испробованы разные способы обеспечения конфиденциальности – от тайнописи и использования незнакомого иностранного языка для скрытия информации от недруга до отрезания языка носителю информации, что было, видимо, эффективно в условиях, когда письменностью владели единицы людей и онемевший носитель не мог передать никому свое знание секрета. В итоге конкуренции методов обеспечения конфиденциальности развилось и победило новое научное направление – криптография, в котором работали и работают выдающиеся математики как прошлого, так и современности. Это направление получило два толчка в XX веке – радио представило новую возможность передачи информации по «эфиру», и сразу возникла необходимость передавать по открытым «эфирным» каналам большие объемы конфиденциальной информации, а несколько позже появились вычислительные машины, сначала аналоговые, несколько позже электронные, которые сразу были использованы для решения двух задач: создание эффективных шифров и алгоритмов и их «взлом».
Широкое применение во время Второй мировой войны авиацией и флотом фашистской Германии шифровального оборудования – роторных шифровальных машин «Энигма», с одной стороны, и необходимость повышения эффективности боевых действий союзников на суше и операций по борьбе с фашистскими подводными лодками, представлявшими крайне серьезную угрозу, – с другой, породили новые направления в радиоразведке и технической защите информации.
Это была борьба за повышение качественных показателей систем дешифрования, пеленгации и радиоразведки, в том числе и путем использования слабостей (уязвимостей) технического оборудования, как, например, попыток пеленгации германских лодок по излучениям гетеродинов их приемников, а с другой – борьба с побочными излучениями радиоприемников, позднее ЭВМ, паразитными высокочастотными генерациями усилителей, и наводками в цепи питания шифровальных машин. Первые опыты по исследованию побочных электромагнитных излучений электронного оборудования ставились еще в фашистской Германии во время войны. Таким образом, техническая защита информации как классическая техническая отрасль деятельности в составе перечисленных направлений сформировалась около 70 лет назад. Возраст солидный. При этом следует отметить, что в этой парадигме доминирует инженерный, «радиотехнический», строго детерминированный подход. В этой системе взглядов таких понятий, как «риск», «право субъекта на выбор приемлемых защитных мер под возникающую ответственность», «проактивные меры защиты», просто не существовало и не могло существовать.
Следующий толчок в развитии проблемы дало широкое внедрение в практическую жизнь средств вычислительной техники в 1960–1970-е гг. В это время сервисы информатизации, которые ранее были уделом узкого круга специалистов, стали доступны широким слоям обычных людей, в основном работникам фирм и организаций. От основного, военного направления в криптографии возникла боковая ветвь – гражданская криптография, направленная кроме основных традиционных целей на обеспечение целостности несекретной информации.
И наконец, в 1980-е гг. все существенно изменилось в связи с появлением персональных ЭВМ и чуть позже – возникновением сети Интернет.
В середине 1970-х гг. в связи с созданием крупных баз данных и переводом все больших объемов информационных ресурсов в цифровую форму в проблеме защиты информации наметился сдвиг от инженерного подхода к вопросам информатики в область управления доступом к вычислительным и информационным ресурсам, что нашло отражение в итоге в создании в США знаменитой «оранжевой книги», использованной впоследствии для разработки отечественных требований по защите информации в автоматизированных системах Гостехкомиссии СССР (позднее ГТК России, сейчас ФСТЭК).
Но потенциал этой идеи в силу ее статичности был достаточно быстро исчерпан, в середин 1990-х гг. «оранжевая книга» как отжившая идея была публично сожжена, а международными экспертами в области безопасности в примерно в одно время было сформировано два направления развития – создание технических стандартов по обеспечению безопасности продуктов информационных технологий под общим названием «Общие критерии» и создание семейства стандартов качества, а в последнее время – управления, под обобщенным названием «Стандарты аудита безопасности».
Стало очевидно, что «Общие критерии» не получили широкого распространения в силу ряда причин (ограниченность сферы применения, сложность и ограниченность используемых механизмов оценок), поэтому началась их активная доработка в направлении второй группы стандартов, а сама группа стандартов аудита обогатилась концепцией «риск-ориентированного подхода», что означало фундаментальные изменения в концептуальных взглядах на проблему безопасности в целом и сдвиг проблемы защиты информации, а если точнее – информационной безопасности в сферу управления сложными техническими системами и коллективами, как эксплуатационного персонала, так и пользователей.
В последнее время в теории и практике управления возникло еще одно направление – создание стандартов управления организациями, имеющее своей целью оптимизацию внутренней структуры организации для получения максимального результата от их деятельности (реинжинринг). Появились «Стандарты управления деятельностью организаций», которые рассматривают общие вопросы управления сложно организованными коллективами людей.
Но если говорить о безопасности как научной дисциплине, то, пожалуй, впервые за все время она подверглась анализу и глубоким разносторонним исследованиям, что, по-видимому, и послужило толчком для последних разработок на базе риск-ориентированных подходов.
Целесообразно напомнить основные выводы этих исследований.
Объект защиты, т. е. то, к чему прикладываются сервисы безопасности с целью придать этому объекту важное дополнительное, изначально отсутствующее свойство – защищенность (надежность, устойчивость), представляет собой в абсолютном числе случаев сложную систему. При этом в практической жизни мы, как правило, имеем дело со сложными системами, составленными в свою очередь не из простых элементов, а сложных систем. Таким образом, мы имеем дело со «сложными системами сложных систем».
Применительно к вопросам безопасности следует учитывать следующие свойства сложных систем:
– наиболее вероятный отклик сложной системы на единичное воздействие – хаотический;
– сложная система обладает новыми иными свойствами, нежели совокупность свойств элементов, составляющих эту систему;
– отклик сложной системы на воздействие является нелинейным и изменяется в зависимости от силы этого воздействия. Новые свойства системы при слабых воздействиях могут не проявляться, поэтому нельзя с уверенностью сказать, что свойства конкретной сложной системы полностью изучены и ее поведение под воздействием мощного воздействия предсказуемо.
Безопасность как самостоятельный объект исследования также имеет некоторые фундаментальные свойства:
– безопасность никогда не бывает абсолютной – всегда есть некий риск ее нарушения, таким образом, усилия по обеспечению безопасности реально сводятся к задаче понижения уровня риска до приемлемого уровня, не более;
– измерить уровень безопасности невозможно, можно лишь косвенно его оценить, измерив соответствующие показатели, характеризующие состояние безопасности системы; в связи с этим можно говорить только о вероятности наступления того или иного события и степени его последствий, т. е. использовать для оценок уровня безопасности рисковый подход;
– наступление рискового события в общем случае предотвратить невозможно, можно лишь понизить вероятность его наступления, т. е. добиться того, что такие события будут наступать реже;
– можно также понизить степень ущерба от наступления такого события, но при этом чем реже наступает рисковое событие, тем сильнее ущерб от них;
– при любом вмешательстве в систему в первую очередь страдает ее безопасность.
Оказалось, что для анализа свойств безопасности сложных систем, состоящих из технических компонент людей, взаимодействующих друг с другом, в полной мере могут быть применены некоторые социологические и психологические правила, выведенные на основе наблюдения за развитием процессов и событий:
• Закон Парето (универсальный закон неравенства), сформулированный итальянским экономистом и социологом Вильфредо Парето в 1897 г., более известный как шутливое выражение «20% немцев выпивает 80% пива», в соответствии с которым первые 20% усилий дают 80% результатов или 80% всех проблем порождаются человеком (персоналом) и лишь 20% приходится на долю технического оборудования (по оценкам специалистов, эта доля может доходить до соотношения 94:6%).
• Методологический принцип, получивший название по имени английского монаха-францисканца, философа-номиналиста Уильяма Оккама (Ockham, ок. 1285–1349), гласящий: «То, что можно объяснить посредством меньшего, не следует выражать посредством большего» (лат. Frustra fit per plura quod potest fieri per pauciora). В соответствии с ним при равной вероятности событий с различной степенью тяжести последствий, как правило, первым случается событие, степень тяжести последствий которого меньше. Из этого также следует, что злоумышленник, планируя атаку на ресурс, из всех возможных будет выбирать наиболее простой способ осуществления своих целей, а вирусы будут попадать в систему наиболее простым способом. Этот принцип следует дополнить следующим наблюдением: степень тяжести последствий растет обратно пропорционально частоте их возникновения.
• Правило связиста: связиста замечают только тогда, когда пропадает связь.
• Парадокс «крысиного короля», хорошо знакомый морякам: можно избавиться от крыс на корабле, заведя крысу – «крысоеда», но через некоторое время он даст потомство, бороться с которым будет еще сложнее. Таким образом, налицо эффект транспонирования проблемы в будущее, через точку инверсии.
Как уже отмечалось, аспектов обеспечения информационной безопасности бизнеса достаточно много, но в целом есть и ряд общих моментов, на которых следует коротко остановиться.
Ведение бизнеса всегда предполагает наличие некого первоначального капитала, актива, который вкладывается в некое «дело» с целью получения прибыли. Все остальное, не имеющее актива, к бизнесу не относится и не рассматривается.
Эффективность бизнеса тем выше, чем выше прибыль – это аксиома. На величину прибыли влияет несколько факторов, среди них выделяются наиболее существенные:
– величина внутренних издержек, в том числе на содержание коллектива и затрат на обеспечение безопасности в том числе. В результате задания неправильных требований по безопасности, величина издержек может стать настолько обременительной, что сделает бизнес не эффективным;
– качество управления собственным активом. Если кроме собственника актива или его представителя активом может управлять еще кто-то в собственных интересах, то актив может разворовываться, а бизнес – существенно ухудшаться. Пример перед глазами – хищение средств в карточных платежных системах и в системах дистанционного банковского обслуживания;
– качество работы коллектива, обеспечивающего бизнес;
– скорость реакции коллектива на внешние факторы, влияющие на бизнес, или на управляющие воздействия;
– стратегия и качество ведения самого бизнеса;
– выбранная стратегия управления рисками, в том числе экономическими рисками и рисками информационной безопасности.
Следует также отметить, что бизнес ведется, как правило, во враждебной среде, в условиях конкурентной борьбы, неблагоприятного законодательства, риска рейдерства, часто нескоординированной деятельности различных надзорных органов. Особое место в этом списке занимает криминал, стремящийся отнять или поставить под контроль прибыль от вложения активов. Наиболее в острой форме это появляется в банковском бизнесе, поскольку банки работают с самой сублимированной формой активов – деньгами, а атака на них наиболее результативна, потому что приносит быстрые и ощутимые результаты.
Поэтому все большее значение приобретает прогноз, то есть моделирование возможных рисковых ситуаций и разработка превентивных защитных мер, позволяющих избежать (отразить, уклониться) последствий от атак на бизнес или на среду, обеспечивающую использование активов, составляющих основной элемент бизнеса.
Также следует отметить, что среди всего набора угроз и рисков существует определенная иерархия, по силе воздействия и уровню катастрофичности для бизнеса угрозы серьезно различаются. Так, политические риски или риски несоответствия законодательству являются для бизнеса определяющими, так как способны вне зависимости, насколько качественно осуществляется работа по минимизации рисков информационной безопасности физически уничтожить бизнес (лишение лицензии, налоговые штрафы и т. д.). К сожалению, следует говорить и о рисках, возникавших и при взаимодействии с правоохранительными органами, например, когда в ходе расследования изымались оригиналы документов или сервера с базами данных, что неминуемо ведет к катастрофическим последствиям для организации.
С другой стороны, при абсолютно благоприятном внешнем политическом, законодательном и экономическом фоне, реализация рисков информационной безопасности может нанести субъекту бизнеса ущерб такого размера, от которого оправиться крайне сложно.
Таким образом, существует ряд рисков, включая риски информационной безопасности, ущерб от которых может быть неприемлем для субъекта бизнеса. В то же время некоторые общие риски политического, экономического и правового характера обладают «кумулятивным» эффектом и способны нанести системный ущерб, затрагивающий практически все сферы деятельности организации.
Что касается угроз информационной безопасности бизнеса, то их условно тоже можно разделить на две группы:
– традиционные угрозы безопасности информации, такие как нарушение конфиденциальности или неправомерное использование информации, реализуемые через новые механизмы, возникшие в результате использования информационных систем;
– новые угрозы, порожденные спецификой информационных систем – вирусы, сетевые атаки, нарушения функционирования и отказы разного рода, всевозможные нарушения персоналом установленных регламентов, инструкций и предписаний по эксплуатации и обслуживанию информационных систем.
Эти и другие вопросы авторы постарались рассмотреть в книге, предлагаемой вниманию читателя.
1
Философия информационной безопасности бизнеса
1.1. Бизнес и информация
1.1.1. Информационная сущность бизнеса
Информация является неотъемлемой частью бизнеса. Бизнес-процессы не могут существовать без информации и вне информации, хотя бы потому, что бизнес существует в рамках определенной правовой среды, определяемой совокупностью информационных объектов, таких как законодательные и нормативные акты, постановления правительства и другие подобные документы, и формирует отчетность по нормам этой правовой среды, т. е. порождает информацию определенного вида. Сущность бизнес-процесса представляется как процесс достижения некоторой совокупности целей (бизнес-целей) на основе управления активами. Информационной сущностью бизнеса и является этот процесс управления. Если правовое поле, отчетность, активы и возможные операции над ними во многом зависят от природы бизнеса, то процесс управления в большой степени инвариантен к ней.
Главная особенность управления в бизнесе, существенно отличающая его от некоторых других, например технических систем автоматического управления и регулирования, является большая задержка между моментом принятия решения и получаемым результатом, что иллюстрирует рис. 1. После принятия решений по управлению реализуется некий процесс бизнеса, протекающий в слабодетерминированной внешней среде, не все параметры которой контролируются организацией, осуществляющей бизнес. Таким образом, результат принятых решений наблюдается с задержкой и иногда весьма значительной. Поэтому важнейшей для бизнеса является способность предвидеть возникновение разного рода ситуаций (как благоприятных, так и неблагоприятных) в среде бизнеса и в самом бизнесе. Это чисто информационная задача, в основе которой лежит прогноз.
Рис. 1. Особенность управления в бизнесе
Когда задумывается и реализуется какой-либо процесс целенаправленной деятельности необходимо поставить и ответить на следующие вопросы.
• Будет ли достигнута цель в том виде, как предполагается?
• Достаточно ли в нашем распоряжении операционных возможностей, знаний (опыта), соответствует ли потребностям качество подготовки персонала и система менеджмента?
• Достаточно ли привлечено ресурсов для достижения поставленной цели?
• Достаточен ли интервал времени, устанавливаемый для достижения цели?
Из поставленных вопросов видно, что ответы на них требуют анализа различных информационных сущностей, описывающих в формализованном или неформализованном виде различные аспекты деятельности, отраженные в заданных вопросах. Ясно, что ответы на эти вопросы могут быть получены только в виде прогнозов, т. е. тоже в виде информационных сущностей. Очевидно также, что все вопросы взаимозависимы и, следовательно, ответы на них должны быть взаимоувязаны. Совокупная погрешность ответов на вопросы создает консолидированный риск достижения цели. Величина этого риска зависит еще и от того, насколько изменятся условия реализации цели в процессе ее достижения, и от характера этих изменений.
1.1.2. Информационные характеристики бизнеса
Необходимые для прогноза данные: все прошлое и будущее, включая любые формулировки целей и планы их реализации, вся среда бизнеса и вообще материальный мир – существуют в виде описаний, т. е. в виде информации. Чем больше интервал времени T и связанный с ним прогноз (см. рис. 1), тем лучше должен быть организован бизнес. Но тем труднее сделать точный прогноз, и тем более качественная информация для него требуется. Информационное поле бизнеса или его информационная сфера образуется из:
– правовой среды (законодательных и нормативных актов, постановлений правительства и прочих документов);
– отчетности по нормам правовой среды;
– специфичной информации бизнеса.
Эта последняя информация наиболее динамична и включает:
– субъекты, объекты и процессы бизнеса, представленные в информационном виде;
– нормативную, организационно-распорядительную и иную документационную базу организации;
– данные мониторинга бизнес-среды и собственной среды;
– аналитические данные (обзоры) и прогнозы состояния внешних и внутренних факторов влияния;
– накопленные и обобщенные практики (знания);
– стратегические и оперативные планы организации и решения по ним.
Качество информации, используемой для прогноза при принятии решений, определяется не только количеством используемых данных, но и (в наибольшей степени) тем, как эти данные систематизированы и обобщены, насколько адекватно используемые понятия, теоретические построения и представления отражают материальный мир и среду бизнеса и организации. Поэтому надо говорить не просто о данных или информации, а о знаниях, помогающих рационально организовывать деятельность организации по достижению поставленных целей и решать различные проблемы, возникающие в процессе этой деятельности. Следовательно, главная проблема бизнеса в информационной сфере – проблема накопления хорошего знания, являющегося единственной гарантией точности прогноза.
Основные требования к качеству информации и знаний иллюстрирует рис. 2. Данные нижнего уровня пирамиды управления, накапливаясь и подвергаясь систематизации и обобщению, должны превращаться в отфильтрованную полезную информацию, а затем накапливаться в виде знаний и использоваться на всех уровнях иерархии управления.
С точки зрения возможностей по накоплению знаний можно выделить информационно опасные виды бизнеса. Признаки, позволяющие отнести бизнес к информационно опасному виду:
– бизнес, требующий долговременных инвестиций: здесь требуется очень долговременный прогноз, который сделать практически невозможно, ситуация усугубляется, если инвестиции делаются в новое, слабо исследованное направление;
– бизнес, реализующийся в сильно изменчивой среде: основная сложность организации такого бизнеса состоит в накоплении знаний, как следствие точный прогноз становится невозможен;
– краткосрочный (однократный) бизнес, требующий быстрого накопления знаний: организаторы бизнеса, как правило, надеются на «удачу» и часто проигрывают;
– абсолютно новый вид бизнеса: накопление знаний происходит в процессе развертывания бизнеса, осуществляемого путем инвестиций мелкими порциями, при этом часто оказывается необходимой модификация первоначально поставленной цели;
– бизнес «реального » времени – условия (среда) изменяются одновременно с возвратом инвестиций: знания невозможно накопить вообще.
В настоящее время наблюдается существенное повышение роли информатики в бизнесе, что обусловлено информационными характеристиками современного бизнеса. Информационная составляющая бизнеса постоянно растет, и рост ускоряется. Прежде всего это резкий рост факторов, влияющих на успешность бизнеса, и их пространственно-временная распределенность. Стремление организаций учесть максимальное число таких факторов в условиях сокращения времени на принятие решений, приводящего к необходимости быстрой обработки большого количества информации, требует использования соответствующих технических средств, компьютерных сетей и телекоммуникаций. Эти потребности и стремление к снижению издержек все больше перемещают бизнес из материального мира в информационный. Но одновременно при сокращении времени на принятие решений затрудняется проверка достоверности информации, на которой эти решения должны быть основаны. Необходимость повышения точности прогноза и принимаемых решений сопровождается неполнотой, неточностью и несвоевременностью получаемых и используемых для него данных.
Рис. 2. Качество информации определяет качество и эффективность управления
1.1.3. Уязвимости процессов накопления знаний (самообучения)
Сам по себе процесс получения и накопления информационного знания, или процесс самообучения, внутреннее свойство любого бизнеса. Проблема в том, что этот процесс уязвим. Его уязвимость во многом определяется свойствами и особенностями информационной сферы, подробно рассмотренными в следующем разделе. Отчасти эти особенности проистекают из свойств информации как таковой: невозможность создания точного информационного образа материального мира, неизменность информационных объектов во времени, приводящая к возникающей неадекватности описаний реальным (стареющим) объектам, противоречивость и неполнота нормативно-правовой базы и т. п. Чрезвычайно существенный фактор – низкая информационная культура использования информационной сферы. Чтобы обеспечить необходимые свойства и качество информации, надо прикладывать соответствующие усилия. Если информационную сферу бизнеса или организации специально не организовывать, придавая ей определенную структуру и наделяя необходимыми полезными свойствами, то она превращается в шум. В ней возникают разрывы, всякие коллизии, она заполняется мусором, неактуальными сведениями, что и означает «низкая информационная культура». Неадекватные, неправильные и бесполезные знания не позволят делать точные прогнозы, принимать правильные решения, и бизнес придет в упадок. Таким образом, «стихийное» самообучение и накопление знаний необходимо соответствующим образом направлять и организовывать, реализуя в информационной сфере комплекс мер, способствующий тому, чтобы она была адекватная, качественная и обладала свойствами, полезными для бизнеса и организации.
Другие уязвимости процесса самообучения вызваны особенностями осуществления любого бизнеса и тем конфликтом интересов, который проистекает из этих особенностей. Рассмотрим подробнее, причем будем идти не от уязвимостей, а от того, каким образом бизнес или организация могут получить преимущества для себя, поскольку это основная цель бизнеса и организации при накоплении и обобщении знаний. Решающее значение для получения преимуществ в бизнесе имеет точный прогноз, осуществляемый на основе этих знаний.
Менеджмент организации обычно требует как можно более точного и продолжительного прогноза. Возникает вопрос: насколько точным и долговременным должен быть прогноз реально? Эти характеристики зависят от вида и природы бизнеса и величины участвующих в деле активов (см. признаки информационно опасного бизнеса). Но на практике, чтобы получить преимущество, достаточно иметь лучший и более продолжительный прогноз, чем у других участников бизнеса. Чтобы получить преимущество, есть три способа, обычно используемых в сочетании друг с другом.
Во-первых, необходимо обеспечить более эффективное обучение и накопление знаний. Условиями быстрой сходимости и эффективность процесса накопления знаний (обучения) является полный доступ к:
– исходной информации, используемой для накопления знаний, всех субъектов, участвующих в бизнесе организации;
– уже накопленным знаниям, опыту и частично обработанной информации.
Во-вторых, преимущество можно получить, мешая другим организациям (как конкурентам, так и союзникам) и субъектам получать нужные знания путем соответствующих информационных воздействий. Здесь в основном два пути.
Навязать заведомо ложную либо существенно неполную, искаженную, но во всех случаях правдоподобную информацию. Чем ее больше, тем лучше, поскольку в этом случае облегчается прогноз поведения противоборствующей стороны. Неправильные прогноз и целеполагание, выполненные противоборствующей стороной и основанные на известной нам (навязанной) ложной информации, снимут часть неопределенностей в прогнозе для своего бизнеса и организации.
Скрыть свой опыт. Накопление знаний противоборствующей стороной требует информации, и чем больше ее получат противоборствующие субъекты, тем лучше они смогут построить свой прогноз. Отсюда следует необходимость минимизировать выходящую за пределы организации информацию, и в первую очередь должна быть минимизирована информация о целях.
Это не что иное, как один из элементов информационного противоборства. Основная его опасность в том, что он наиболее эффективно действует именно на систему управления – основную сущность бизнеса. Это та область, где информационная атака может существовать самостоятельно, а не как вспомогательное средство для атак в других базисах (экономических, финансовых, юридических и т. п.).
Отметим, что классическое информационное противоборство не предполагает наличия каких-либо правил, ограничивающих действия сторон. Однако бизнес-сообщество должно иметь (и, как правило, имеет) свои «правила игры», определяющие некоторую этику поведения, т. е. что можно, а что нельзя. Основой таких правил может служить, например, общая корпоративная цель у кредитных организаций, в отрасли и т. п. Другой пример – введение ограничений на возможность разрушения чужих целей. Маскирующая информация только должна скрывать свои цели (подобно ограничениям на рекламу товаров). Законодательная база в нашей стране слабо регулирует эту область.
В-третьих, получить преимущество можно, используя чужие (украденные) знания. Теоретически чужие знания могли бы быть полезны в двух аспектах:
– для прогноза состояния противоборствующего субъекта;
– для использования в своей деятельности.
Располагая общедоступной информацией и зная методы, методики, алгоритмы ее использования и обработки можно с достаточной точностью предсказать будущее поведение субъекта бизнеса (организации). Этот аспект использования чужих знаний не вызывает особых сомнений, и полезность получения информации о чужом опыте неоспорима.
Что касается использования чужих знаний в своей деятельности, то этот вопрос весьма спорен. Многочисленные примеры, в том числе исторические, свидетельствуют, что воспользоваться чужими знаниями в своей деятельности не удается. Это обусловлено тем, что знания – сильно структурированная информация, которая может правильно интерпретироваться и эффективно использоваться только соответствующей инфраструктурой (включая «мозги» субъектов, работающих в организации). Чтобы воспользоваться чужими знаниями надо «украсть» (или купить) всю инфраструктуру. Если вместо этого создавать свою (под чужие знания), то будет упущено время, противодействующая сторона уйдет вперед и получит преимущество в бизнесе.
Теперь остается поставить себя на место конкурента, который также желает получить для себя преимущества, и получим основные уязвимости процесса самообучения.
Во-первых, полный доступ к информации, знаниям и опыту организации, обеспечивающий эффективное самообучение, сам по себе является одновременно уязвимостью. Реально во всех организациях внутренняя информация, хотя бы неформально, категорируется по степени важности и ограничениям в доступе и доступ к чувствительной информации как-то регулируется. Вторая уязвимость, связанная с эффективностью, – уже обсуждавшаяся общая информационная культура работы с информационной сферой организации. Чтобы персонал организации мог своевременно получить доступ к нужной ему адекватной и точной информации, она должна быть соответствующим образом организована.
Во-вторых, перед принятием решений по крупным бизнес-проектам велик риск создания и навязывания конкурентами потоков ложной и маскирующей информации, возможно, по нескольким независимым каналам. Эта угроза усугубляется специально созданным (конкурентами же) дефицитом времени или другими условиями (например, атакой на доступность серверов с базами данных), не позволяющими проверить достоверность этой информации или затрудняющими эту проверку. Отметим, что активность конкурентов, скорее всего, нельзя будет назвать злоумышленной, они просто пытаются взять свое, реализовать свой бизнес, о существовании вашей организации и ее участии в бизнесе они даже могут и не знать.
В-третьих, всегда есть риск, что данные, принадлежащие организации, будут похищены или она будет поставлена в условия, когда будет вынуждена хотя бы частично их предоставить, например, участвуя в конкурсах и тендерах на выполнение проектов. Защититься от использования ваших знаний конкурентами в своей деятельности, включая противодействие утечке через переманивание персонала, можно за счет децентрализации знаний. Защититься от использования вашей информации в других целях значительно сложнее. Как правило, это инсайдерская информация. Наиболее опасны менеджеры высшего уровня, владеющие большим объемом особо ценной информации. В любом случае угроза хищения данных тем больше, чем более доступна чувствительная для организации информация. Таким образом, есть противоречие с эффективностью накопления знаний, где важно, чтобы знания были всем одинаково доступны.
Низкий ресурсный порог информационных воздействий, а также то, что информация ничего не стоит до момента ее использования, существенно понижают психологический порог субъектов и усиливают их склонность к нарушениям (несоблюдению правил) в информационном мире. Это усугубляет ситуацию и увеличивает риск реализации угроз хищения и информационного противоборства.
1.1.4. Определение информационной безопасности
Постепенное осознание факта, что информационное воздействие на бизнес-процесс (на управление им) может быть эффективнее, чем материальное или финансовое воздействие, а также низкий ресурсный порог таких воздействий превращают информационное противоборство в главный инструмент выживания и конкурентной борьбы. А это, в свою очередь, выводит на первый план роль информационной безопасности, которая должна быть неразрывна с бизнесом.
Под информационной безопасностью (ИБ) организации понимается состояние защищенности интересов (целей) организации в условиях угроз в информационной сфере.
Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений. Рассмотрим основные свойства информационной сферы, важные с точки зрения ИБ.
1.2. Материальные и нематериальные (информационные) аспекты бизнеса
1.2.1. Общая структура информационной сферы. Связь с материальным миром
Реальное управление активами организации в процессе реализации любого бизнеса осуществляется менеджментом на информационном уровне. Любые операции с материальными активами, как правило, сопровождаются параллельно выполняемыми операциями с их информационными описаниями или представлениями. Например, для основных средств организации при их приобретении такими представлениями являются товарные накладные, внутренние документы на оприходование, карточки учета основных средств, договоры на выполнение пусконаладочных работ, акты ввода в эксплуатацию основных средств и т. д.
Операции с материальными активами сопровождаются, как правило, финансовыми операциями, которые также отображаются на информационную сферу. Для нашего примера это оплата стоимости основного средства его продавцу или производителю по выставленным счетам, счета-фактуры, сопровождающие поставку изделия, с информацией для учета налога на добавленную стоимость, расчеты по договорам выполнения пусконаладочных работ и т. п. Эти операции выполняются с участием банковской системы, где также остаются информационные следы операций в виде информации о выполненных проводках.
Если материальные объекты всегда имеют в среде организации свой информационный образ, то у некоторых информационных объектов в материальном мире эквивалента нет. Это отношения между субъектами и отношения между субъектами и объектами материального мира. Например, таковым является право субъекта на объект – некоторая информационная сущность (правоустанавливающий документ), которая всеми признается. Предъявив эту информационную сущность, субъект может заполучить себе материальный объект.
Параллельное существование, движение и взаимодействие объектов в реальном (материальном) и информационном мире иллюстрируется моделью на рис. 3. Часть транзакций с объектами может происходить в материальном виде, а часть – в информационном. Частично это управление, а частично – транзакции с описаниями материальных объектов. При этом действия над материальными объектами сопровождаются, а в некоторых случаях заменяются, действиями над их описаниями. Например, одной из процедур может быть предъявление права на материальный актив в виде информационного объекта (правоустанавливающего документа), описывающего отношения владения между информационными представлениями объекта и субъекта. Материальный объект в этом случае никак не участвует в операции, он не подвергается никаким изменениям, может не перемещаться в пространстве, более того, может вообще не существовать в материальном мире, для выполнения операции достаточно иметь только его информационный образ.
Рис. 3. Взаимодействие материального и информационного миров
Понятно, что целенаправленная деятельность будет нормально осуществляться в том случае, если реальный мир и информационный мир адекватны друг другу. Однако полного их соответствия друг другу нельзя достичь даже теоретически, так как в реальном мире объект зависим от времени, он «стареет», подвергается изменениям, в то время как его описание, полученное в какой-то момент времени, остается далее неизменным. В этой связи могут возникать либо искусственно создаваться различного рода коллизии. Например, реально объект существует, а его информационные следы отсутствуют. В этом случае он может быть «безболезненно» нештатно изъят из системы «реальный информационный мир» и использован в других целях. Наоборот, наличие «избыточного» информационного образа приведет в конце концов к возможности или необходимости штатного изъятия реального объекта, которого на самом деле нет, что в свою очередь создаст дефицит ресурса, не позволит достичь поставленной цели.
Риск возникновения подобных коллизий есть свойство информационной сферы. Главный источник этого риска – сам бизнес, особенно если он большой и территориально распределенный. Наиболее вероятная угроза, связанная с реализацией рисковых событий, приводящих к коллизиям, – конфликт интересов внутри организации. Персонал организации и особенно субъекты ответственности, менеджеры верхнего и среднего уровней, имея цели, отличные от целей организации, могут использовать ее активы (информацию, материальные активы, ресурсы) в своих интересах.
Конкретная реализация таких угроз потребует, чтобы бизнес стал слабо детерминированным, что затруднило бы его проверку. Стохастическая составляющая бизнеса не может быть проверена, и очень плохо, если она большая в силу самой природы бизнеса. Наиболее легко придать бизнесу стохастический характер именно в информационной сфере, замаскировав информационные воздействия под естественную случайность. Целью информационных воздействий является в первую очередь ослабление контроля за счет создания иллюзии, что бизнес-процесс идет нормально и эффективно. Наиболее характерные примеры: искажение отчетности и лоббирование при принятии решений. В обоих случаях результатом, как правило, являются необоснованное увеличение (раздувание) активов и выделение («выколачивание») для «своего» подразделения организации избыточного ресурса. Избыточные активы и ресурс затем используются в своих интересах. Это всем известная схема превращения информации в материальную выгоду. Ущерб от конфликта интересов может значительно превосходить потери от злоумышленных действий, и, что страшнее, конфликт интересов реально приводит к потере управления.
Тенденции современного мира таковы, что бизнес, стремясь уменьшить издержки за счет ускорения процессов, все больше уходит в информационный мир, действия над материальными объектами во все большей степени замещаются действиями над их описаниями, т. е. над информацией. Эта тенденция и есть главный источник проблем информационной безопасности, поскольку в результате не только становятся возможными атаки с очень низким ресурсным и психологическим порогом их осуществления, но даже при отсутствии злоумышленных действий просто негативные свойства самой информационной сферы начинают отрицательно воздействовать на бизнес и приводить к серьезным потерям.
Говоря о свойствах информационной сферы, необходимо детализировать состав информационных объектов, входящих в нее. Для этого рассмотрим фрагмент структуры информационной сферы организации, показанный на рис. 4, где приведены наиболее характерные для современных организаций составные части:
– правовая среда бизнеса, находящаяся, как правило, за рамками конечных пользователей, предприятий и организаций;
– учредительная и лицензионная база организации (предприятия);
– специфичная информация бизнеса, которая, в свою очередь, может быть классифицирована на несколько видов, наиболее важные из них показаны в нижней части рис. 4.
Информационной основой деятельности менеджмента (см. рис. 4) является внутренняя отчетность организации и накопленные знания – аналитика и модели, систематизирующие и обобщающие информацию, необходимую для прогноза и принятия решения. Основная задача внутренней отчетности – предоставить руководству и менеджменту сжатую и своевременную информацию для быстрого и успешного принятия решений. Одновременно решается задача контроля в организации, начиная с контроля того, достигаются ли высокоуровневые, стратегические цели (бизнес-цели), и заканчивая контролем выполнения оперативно-тактических задач и контролем качества производимых продуктов.
Входные информационные потоки (информация о состоянии, предполагаемые последствия деятельности в виде прогнозов) превращаются менеджментом в управляющую информацию: оперативную – планы, распоряжения; стратегическую – цели, концепции, политики. Отношения субъект / субъект и субъект / объект, включая управление, обозначены на рисунке 4 синими линиями.
Рис. 4. Структура информационной сферы организации
Внешняя отчетность перед государственными органами (например, налоговая отчетность), регуляторами и другими организациями регулируется нормами правовой среды и, в некоторых случаях, договоренностями между организациями: партнерами по бизнесу, представителями одной отрасли и т. п. Основная проблема, связанная с внешней отчетностью – обеспечение ее соответствия требованиям законодательства или установленным правилам и договоренностям. Как правило, организации стремятся выполнить предлагаемые требования с минимальными затратами и с учетом используемых мер контроля со стороны организаций, которым отчеты готовятся. Если отсутствуют механизмы контроля, то не следует ожидать адекватного отображения действительного положения вещей в подотчетной организации. В этих случаях внешняя отчетность может быть инструментом информационного противоборства и способствовать получению преимуществ в бизнесе. Информационное воздействие состоит в формировании правдоподобных отчетных данных, не полностью или в искаженном виде отражающих внутреннее состояние и деятельность подотчетной организации. Особенно это касается отчетности для партнеров по бизнесу.
В нижней части рис. 4 приведен перечень видов информационных объектов. Совсем необязательно, чтобы любые объекты этих видов хранились в виде компьютерных баз данных или файлов. Это могут быть и бумажные документы, и даже просто договоренности между субъектами, например владельцами бизнеса, но все равно это остается информацией. Вопрос лишь в том, насколько эта информация приспособлена для автоматизированной обработки, какие следы остались на материальных носителях, имеет ли эта информация юридическую силу.
Отметим также, что информация разных видов, приведенных на рис. 4, не является статичной. Каким-то образом должна поддерживаться ее актуальность и адекватность материальному миру. Некоторые виды информации меняются медленно, например информация по персоналу. Другие, наоборот, постоянно изменяются, отслеживая состояние реальных объектов. Критичными для бизнеса являются изменчивые объекты, поскольку именно они – потенциальный источник неадекватностей, а также могут создавать риски разной природы и разной значимости для достижения целей деятельности.
Рассмотрим подробнее особенности отдельных компонентов информационной сферы.
1.2.2. Правовая среда бизнеса и ее свойства
Правовая среда бизнеса включает постановления правительства, законодательные и нормативные акты федерального уровня и уровня регуляторов, региональные законы и нормы, отраслевые стандарты и правила и прочие документы. Наличие обязательного к исполнению набора требований и правил, включая отчетность по нормам правовой среды, является своеобразной движущей силой, организующей и упорядочивающей бизнес, порой определяющей внутреннюю структуру организаций, некоторые виды деятельности и правила поведения участников бизнеса. Эта правовая среда также во многом определяет основу для внутренних нормативных документов организации.
Однако зачастую на уровне конкретной организации не удается избежать формального подхода к обеспечению соответствия законодательным актам. Деятельность, определяемая требованиями правовой среды, остается только на бумаге в виде планов и в большей или меньшей степени фиктивных отчетов, позволяющих удовлетворить потребности государственных проверяющих и регулирующих органов при получении лицензий и плановых проверках. Это может рассматриваться как элемент информационного противоборства и позволяет организации получить преимущество в бизнесе, уменьшая свои расходы на соответствующую инфраструктуру и вследствие этого не вполне соответствуя требованиям, отраженным в формально полученных лицензиях и сертификатах. Информационное воздействие состоит в предъявлении этих лицензий и сертификатов, навязывающих клиентам и другим участникам бизнеса неполную, искаженную, но правдоподобную информацию.
Важное негативное свойство правовой среды бизнеса – неполнота и противоречивость законодательной и нормативно-правовой базы. Это обеспечивает широкое поле деятельности по поиску возможностей и разработке схем для получения преимуществ в бизнесе, от незначительных, на первый взгляд, пунктов в договорных документах, влекущих за собой ущербы одной из сторон, которые трудно или невозможно предсказать (информационное противоборство), до разрушения целей других участников бизнеса и хищения чужих знаний через переманивание сотрудников.
Наконец, еще одно важное свойство – большой объем информации правовой среды, затрудняющий поиск решений, оптимальных с точки зрения успешности бизнеса и соответствия законодательству.
1.2.3. Учредительная и лицензионная база организации
Каждая организация в зависимости от ее формы собственности должна иметь набор учредительных документов. Состав и содержание этих документов определяются требованиями национального законодательства. При этом довольно значительная часть существенных для деятельности требований должна быть установлена (выбрана) самой организацией (ее собственниками) из предлагаемых законодательством возможностей. Эти документы должны быть зарегистрированы установленным порядком и постоянно актуализироваться при возможных изменениях. Де-факто деятельность организации может не совпадать с заранее декларированной, что может порождать коллизии. Поэтому на временные интервалы актуализации в законодательстве наложены ограничения, требующие дополнительной регистрации (перерегистрации) в установленный срок.
В случае если декларируется вид деятельности, подлежащей лицензированию, то такая лицензия должна быть получена в соответствующем органе заранее, до начала осуществления деятельности. Лицензия, как правило, выдается на определенный, достаточно короткий срок и должна возобновляться. Кроме того, она вообще может быть отозвана при выявлении, например, фактов реализации деятельности с нарушениями требований лицензии. При значительном количестве лицензий в организации она фактически постоянно будет вынуждена находиться в состоянии их актуализации, документировать и подготавливать необходимые активы и свои возможности для их анализа со стороны лицензирующей организации. Эта деятельность связана в широком смысле с комплаенс-риском (риском соответствия требованиям законодательства) для организации.
1.2.4. Отражение материального мира
Существенная часть информационной сферы, относящейся к информации бизнеса, является просто отражением материального мира. Внутри организации это описание ее активов, отношений и их типов, данные мониторинга бизнес-среды и собственной среды и др. Например, материальные и финансовые активы и их движение учтены в базах данных бухгалтерии и складов, персонал также учтен в базах данных бухгалтерии (зарплата, командировочные и др.) и отдела кадров (личные дела, графики отпусков, результаты оценок исполнительской деятельности и др.). Технические и программные средства, инструменты, используемые в информационных технологиях организации, учитываются, как правило, в базах данных конфигурационных единиц. Материальная ответственность работников за используемые в производстве средства и материалы также зафиксирована в соответствующих базах. Отношения работников зафиксированы в иерархической структуре организации (штатное расписание) и в виде функциональных обязанностей ролей и взаимодействий, определенных для реализуемых организацией технологических процессов, сервисов, услуг.
За пределами организации материальный мир включает описания товаров и услуг (продукции), необходимых для реализации ее бизнес-процессов, поставщиков продукции (исполнителей, подрядчиков), потребителей продукции, производимой самой организацией (заказчиков), и отношений с поставщиками и потребителями. Информация о товарах и услугах извлекается разными путями: с использованием каталогов и рекламных материалов поставщиков, из средств массовой информации, Интернета, от дилеров, агентов и других представителей поставщика, от торгующих организаций и т. п. Информация о производимой продукции размещается в аналогичных источниках. Отношения с поставщиками и потребителями закрепляются в соответствующих договорах.
С отображением материального мира в информации связаны две существенные проблемы:
– неточность отображения материального мира на информационный мир, следующая из принципиальной невозможности точного описания объектов материального мира;
– неизменность информационных объектов во времени, позволяющая говорить о том, что время, как естественная сущность, в информационном мире отсутствует и может поддерживаться только искусственным путем.
Любой информационный объект, представляющий материальный, в некотором смысле является моделью этого материального объекта, т. е. описывает лишь существенные для конкретной операции или транзакции свойства материального объекта. Таких описаний для разных целей может быть несколько. Соответственно, информационных объектов, представляющих материальный, также будет несколько, и храниться они, скорее всего, будут в разных местах. Сбор необходимых сведений о материальном объекте из совокупности информационных источников может представлять собой сложную задачу. Рассмотрим для примера информацию о корпоративном сервере.
– Информация о текущей конфигурации аппаратных средств сервера должна храниться в базе данных конфигурационных единиц организации (если такая существует), а также в базах учета материальных ценностей (активов), в бухгалтерских платежных документах, в договорах на выполнение пусконаладочных работ и прочих документах. Причем если конфигурация изменялась, например, оборудование докупалось, то, чтобы установить текущую конфигурацию, например, по бухгалтерским данным, надо восстановить историю закупок.
– Конфигурационные файлы с настройками операционной системы и приложений хранятся в дисковой памяти самого сервера. Эта информация также может быть продублирована у системных администраторов, обслуживающих сервер, если есть соответствующий регламент, в резервных копиях и других местах.
– Информация о фактически сделанных резервных копиях носителей и отдельных файлов хранится в регистрационных журналах сервера, т. е. на сервере, а также вместе с резервными копиями. Кроме этого, должно существовать действующее расписание резервного копирования и регламент, устанавливающий допустимые интервалы копирования.
– Информация о дежурном системном администраторе, обслуживающем сервер, может быть извлечена из графика дежурств, имеющегося в обслуживающем подразделении. Поскольку график дежурства может нарушаться по разным причинам, то, чтобы установить, кто фактически обслуживает сервер в настоящий момент или в другое интересующее время, скорее всего, потребуется брать справку в диспетчерской службе, обслуживающем подразделении или даже в отделе кадров или другой службе учета.
– Еще сложнее получить информацию о том, кто использовал сервер, т. е. был авторизован на нем, и какие имел права на доступ к его ресурсам.
Этот список может быть продолжен, но и перечисленного, на наш взгляд, достаточно, чтобы понять проблему и возможные сложности со сбором нужных данных, например, при необходимости провести расследование инцидента.
Все это усугубляется проблемами, связанными со временем. Первая проблема состоит в том, что информационный образ материального объекта или события есть моментальный снимок, отделенный (отчужденный) от объекта. Он не меняется с течением времени, в то время как объект естественным образом стареет и может подвергаться разного рода модификациям. В результате нарушается адекватность информационного образа самому объекту.
Вторая проблема со временем состоит в том, что, если описания некоторых событий или объектов не снабжены специальной информацией, так называемыми метками времени, то, как правило, восстановить последовательность событий или последовательность состояний объектов по их информационным представлениям невозможно. Например, в файловых системах операционных систем обычно предусмотрена регистрация времени последнего обращения к файлу и времени последней модификации. Чтобы учесть последовательно появляющиеся версии файла, а также кто и когда проводил модификацию и осуществлял доступ, необходимо использовать специальные системы. Это системы учета версий, используемые при разработке программного обеспечения, или специализированные системы регистрации событий (системы мониторинга), применяемые службами информационной безопасности.