Информационная безопасность: эффективный бизнес-процесс или неизбежные издержки?

Информационная безопасность: эффективный бизнес-процесс или неизбежные издержки?

Информационный ресурс перестал быть вспомогательной частью производства, он стал содержанием самого бизнеса. Очевидно, что решение задачи эффективного управления информацией будет включать и управление безопасностью информации.

Понимание информационной безопасности

Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. Далее под информационной безопасностью (ИБ) мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Таким образом, правильный с методологической точки зрения подход к проблемам ИБ начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
Из этого положения можно сделать вывод: трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов, может существенно различаться. Достаточно сопоставить режимные государственные организации и учебные заведения. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".
Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв вработе. Более того, для многих открытых организаций собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек. Согласно определению информационной безопасности, она зависит не только от
компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.
Обратим внимание, что в определении ИБ перед существительным "ущерб" стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет денежное выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.

Основные составляющие информационной безопасности

Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры. Поясним эти понятия:

• Доступность – это возможность за приемлемое время получить требуемую информационную услугу.
• Целостность - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
• Конфиденциальность – это защита от несанкционированного доступа к информации.

Информационные системы создаются для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.
Особенно ярко ведущая роль доступности проявляется в системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).
Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности
применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации.
Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в Украине на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.
Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?
Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных заведениях стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).
При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий – области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения, находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.

Информационная безопасность и бизнес-стратегия фирмы

Специалисты в области информационной безопасности лучше других понимают, что защита информационной инфраструктуры организации открывает новые деловые возможности, а имеющиеся бизнес-процессы при этом требуют меньше ресурсов для эффективной работы. Надежная защита информации позволяет вовлечь в бизнес новых партнеров. Чем выше уровень доверия, тем больший уровень доступа можно безопасно предоставлять внешним сторонам, таким как: клиенты, деловые партнеры, сотрудники и подрядчики. Это помогает расширить бизнес и одновременно упрощает выполнение операций, снижая затраты.
Однако классическое подразделение по ИБ, к сожалению, оторвано от реалий бизнеса и привязано сугубо к технологиям. Компании, в которых директора и руководители отделов по
ИБ имеют представление о бизнес-процессах и методологии управления проектами, можно пересчитать по пальцам. Кроме того, существует стереотип, что ИБ привязана только к информационным технологиям. Согласно статистике, в большинстве компаний ИБ привязана к ИТ, очень часто имеет общий с ИТ бюджет, топ-менеджмент компаний уверен, что ИБ -лишь подразделение ИТ.
Необходимо понимать, что в современном мире ИБ - это, в первую очередь, очень сильный менеджмент, очень четкое представление бизнес-стратегии компании и умение взаимодействовать со всеми ее подразделениями. Технологии - это лишь инструмент.
Без эффективного менеджмента и понимания бизнес-стратегии компании на подразделения ИБ будут смотреть как на подразделения, не приносящие доход. Управление ИБ на среднем уровне позволяет окупать расходы, а при хорошем менеджменте - приносить доход и делать бизнес еще эффективнее. Необходимо донести до топ-менеджеров, что подход, который рассматривает ИБ с точки зрения защиты, уже устарел. Сегодня речь идет о том, что ИБ позволяет расширять бизнес в глобальном масштабе независимо от размеров компании или ее расположения.
Рассмотрим два метода, которые позволят установить твердую связь между бизнес-процессами, бизнес-стратегией компании и информационной безопасностью.

Эффективное управление проектами

В разных организациях влияние ИБ на бизнес-процессы и бизнес-стратегию будет различным. В каждой компании - свои проекты. ИБ традиционно является частью ИТ-проектов. Однако целесообразно было бы включать руководителя отдела информационной безопасности в работу над любым бизнес-проектом компании. Причем под проектом может пониматься изменение бизнес-стратегии компании и, как следствие, изменение бизнес-процессов, внедрение новой технологии или новой маркетинговой кампании. При этом методология управления различными проектами будет общей.
Существует пять основных групп процессов в управлении проектом: разработка или инициация, планирование, выполнение, контроль и завершение. Специалисты по информационной безопасности могут и должны участвовать в каждом процессе. Стоит разделять "ИТ-проекты" (плюс проекты по ИБ) и "не ИТ-проекты".
В "ИТ-проектах" безопасность - одна из основных составляющих, другие подразделения, как правило, в них не участвуют. А подразделение по безопасности обычно не участвует в "не ИТ-проектах". Следовательно, чтобы увеличить эффективность всех проектов, надо произвести своеобразный обмен. Представители других подразделений должны участвовать в фазе инициации и контроля ИТ-проектов. Это поможет увеличить общую осведомленность и понимание в области ИБ. В свою очередь представитель отдела информационной безопасности должен быть включен в работу над "не ИТ-проектами". Это поможет ответить на вопросы: "Как организовать обмен информацией между клиентом и компанией?", "Как предотвратить утечку информации о клиенте?", "Как сделать так, чтобы о новой рекламной акции никто не узнал раньше времени?" и т.п.
Таким образом, подразделение ИБ окажется не только надежным защитником информационных ресурсов компании, но и активным участником бизнес-стратегии компании, при этом у других подразделений появится доверие и уважение к задачам безопасности, так как и они будут участвовать в их решении.

Взаимодействие с топ-менеджментом

Довольно сложно говорить о том, как установить взаимоотношения с топ-менеджментом организации, не зная ее структуры и истории. В компаниях, где безопасность информации имеет критичные для бизнеса функции, директор по безопасности практически всегда найдет общий язык с руководством организации. Но факт остается фактом: вне зависимости от организации, если руководство следит за соблюдением безопасности, обладает фундаментальными знаниями в области защиты информации и придает большое значение работе по направлению ИБ, выгода для компании и бизнеса будет максимальна. Сложнее всего и важнее всего убедить руководство в том, что надежная и безопасная оптимизация любых бизнес-процессов компании позволяет ей сфокусироваться на ключевых аспектах деятельности и вывести эффективность выполнения операций на новый уровень. Поэтому очень важно, чтобы представители ИБ участвовали в планировании и реализации бизнес-стратегии. Стратегия безопасности при этом должна быть целиком построена на задачах бизнес-стратегии компании. Когда безопасность ориентирована на бизнес, проблема инвестиций в безопасность решается сама собой. В первую очередь целесообразно заняться задачами бизнеса, во вторую - обратить внимание на типовые и призрачные угрозы ИБ вроде инсайдеров и т.п. Идеальной является ситуация, когда топ-менеджмент, да и рядовые сотрудники, начинают гордиться своим подразделением безопасности, говоря: "А вот в нашей компании информационная безопасность помогает нам в работе", и когда не соблюдать политику информационной безопасности становится просто дурным тоном. Поэтому обучение по направлению ИБ - одна из необходимых задач бизнеса. Важно, чтобы топ-менеджмент компании в результате мог ответить не только на вопрос "Как?", но и на вопрос "Зачем?".
Информационная безопасность - это прежде всего сильный менеджмент и грамотное управление. Подразделение информационной безопасности должно стать бизнес-единицей, направленной на увеличение эффективности и прибыльности бизнеса компании, а защита информации - оставаться лишь одной из функций подразделения. Результаты работы отдела информационной безопасности в развитии бизнеса компании станут лучшим доказательством надежности и правильности данного подхода к ИБ.