Предпосылки и основные направления развития менеджмента в сфере информационной безопасности

Отдельные процессы, процедуры, механизмы и инструменты защиты информации, используемые владельцами информационных ресурсов и информационных систем, могут быть направлены:

• на ограничение и разграничение доступа;
• информационное скрытие;
• введение избыточной информации и использование избыточных информационных систем (средств хранения, обработки и передачи информации);
• использование методов надежного хранения, преобразования и передачи информации;
• нормативно-административное побуждение и принуждение.

На практике современные технологии защиты информации основаны на различных базовых сервисах (таких, как аутентификация, обеспечение целостности, контроль доступа и др.), и используют различные механизмы обеспечения безопасности (такие, как шифрование, цифровые подписи, управление маршрутизацией и др.). Однако комплексность и массовость использования информационных технологий, их интеграция в повседневную деятельность предприятий, организаций, правительственных учреждений не позволяют решать задачи информационной безопасности только одними техническими средствами. Во всем комплексе деятельности по защите информации одно из наиболее важных мест занимает организационно-управленческая деятельность – организационное обеспечение информационной безопасности, которое представляет собой одно из четырех основных направлений работы в общей системе мер в сфере информационной безопасности, включающей в себя также разработку специализированного программного обеспечения, изготовление и использование специальных аппаратных средств и совершенствование криптографических (математических) методов защиты информации (см. рис. 1.3.).

увеличить изображение
Рис. 1.3. Структура деятельности в сфере информационной безопасности

Основными задачами организационно-управленческой деятельности (менеджмента) в сфере информационной безопасности являются:

• обеспечение комплексности всех решений, реализуемых в процессе обеспечения информационной безопасности;
• обеспечение непрерывности и целостности процессов информационной безопасности;
• решение методических задач, лежащих в основе эффективного управления информационной безопасностью, таких, как вопросы управления рисками, экономическое моделирование и т.п.;
• управление человеческими ресурсами и поведением персонала с учетом необходимости решения задач информационной безопасности.

Под комплексностью решения задач информационной безопасности подразумевается взаимоувязанное выявление всех значимых информационных объектов, а также существующих и потенциально возможных угроз. На основе этого анализа необходимо обеспечить исчерпывающе полное (комплексное) внедрение и применение средств защиты информации, которые в той или иной мере могли бы нейтрализовать все существенные угрозы на всех потенциально уязвимых участках прохождения информационных потоков в течение всех этапов жизненного цикла информационных систем и организационных процедур. Меры по нейтрализации рисков также должны быть реализованы в комплексе с другими механизмами, такими, как, например, страхование. Другими словами, задачей менеджмента является системное использование всех необходимых частных (узкоспециальных) технологий и решений для каждой конкретной ситуации таким образом, чтобы во всей системе мер по защите информационных ресурсов не осталось "узких мест" — уязвимых участков, через которые могут быть осуществлены нападения и в которых могут произойти непреднамеренные нарушения. Сложность такого рода задач связана с тем, что они предполагают по возможности исчерпывающий анализ как всех информационных ресурсов, так и всех возможных сценариев нападения на них и последующий подбор наиболее подходящих средств защиты.

Непрерывность процессов обеспечения информационной безопасности предполагает выделение необходимых ресурсов и организацию выполнения необходимых функций по защите информации в течение всего времени функционирования информационных систем и выполнения бизнес-функций (в том числе и в режиме "24х7х365" в тех случаях, когда это необходимо).

Разработка, совершенствование и поддержание в актуальном состоянии методических основ управления информационной безопасностью включает в себя, главным образом, применение общих для многих сфер менеджмента концепций и теорий – таких как, например, математические модели оценки рисков или теория инвестиционного анализа – применительно к ресурсам, используемым для обеспечения информационной безопасности, и информационным процессам.

Управление человеческими ресурсами в рамках управления информационной безопасностью включает в себя комплекс задач, охватывающий все основные аспекты деятельности людей: отбор и допуск персонала для работы с определенными информационными ресурсами, обучение, контроль правильности выполнения обязанностей, создание необходимых условий для работы и т.п.

При этом конкретная структура и состав всех основных задач управления и организации в сфере информационной безопасности, а также непосредственно используемые методы будут определяться как уровнем, на котором осуществляется управленческая и организационная деятельности, так и конкретными условиями, в которых функционируют информационные системы, нуждающиеся в защите. Настоящий курс основан на концепции разделения всего многообразия методов и задач организации и управления в сфере информационной безопасности на несколько основных уровней и дальнейшего представления организационно-управленческих методов для каждого из этих уровней.

Под организационным обеспечением и менеджментом в сфере информационной безопасности обычно принято понимать решение управленческих вопросов на уровне отдельных субъектов (предприятий, организаций) или групп таких субъектов (партнеров по бизнесу, организаций, которые совместно решают определенные задачи, требующие защиты информации).

Однако сложность и комплексность современных проблем в сфере информационной безопасности, глобализация информационных взаимодействий требуют более полного и широкого понимания организационной работы и менеджмента в этой области.

В частности, по мере глобализации информационных взаимодействий, усложнения программных и аппаратных средств обработки информации, проникновения информационных технологий в повседневную деятельность всех организаций и жизнь большинства людей появилась необходимость в специальных организационных и управленческих усилиях, направленных не на обеспечение защищенности отдельных информационных активов, а на поддержание различных элементов информационной инфраструктуры, которая в той или иной мере работает на обеспечение информационной безопасности определенных сообществ (заранее не определенного множества пользователей информационных систем и владельцев информационных ресурсов).

Таким образом, с развитием информационных технологий и интенсификацией информационного обмена организационная и управленческая работа в сфере информационной безопасности оказывается направленной не только на собственно защиту определенных информационных ресурсов, но и на более "глобальный" объект – создание и развитие безопасной информационной инфраструктуры (в разных смыслах этого термина и с учетом различных его аспектов). На практике такая инфраструктура может включать в себя:

• надежную инфраструктуру передачи информации и рынок услуг доступа к таким каналам связи;
• рынок программных и аппаратных средств, обеспечивающих защиту информации;
• систему подготовки, переподготовки и повышения квалификации специалистов в сфере информационной безопасности;
• общие правила использования информации, а также ее передачи, совместной эксплуатации информационных сетей (в том числе протоколы информационного обмена);
• систему обмена информацией и распространения знаний о существующих уязвимостях тех или иных информационных технологий, возможных угрозах информационной безопасности и способах их нейтрализации;
• законодательную и правоприменительную систему, обеспечивающую охрану имущественных и иных интересов всех участников информационного обмена
• и другие составляющие.

Потребность в целенаправленном развитии и поддержании такой инфраструктуры порождает необходимость в выработке специфичных организационных и управленческих приемов, как правило, не характерных для информационной безопасности в привычном ("узком") ее понимании.

Такое расширение сферы интересов менеджмента информационной безопасности объясняет причины, по которым необходимо разделять несколько относительно самостоятельных организационных уровней, характеризующихся специфическими задачами, подходами к решению этих задач и используемыми организационными методами.

• Уровень международных профессиональных объединений (как правило, неправительственных и некоммерческих), так или иначе связанных со сферой информационных технологий, телекоммуникаций и информационной безопасности.
• Уровень крупных компаний, работающих в сфере информационных технологий и в значительной мере определяющих (прямо или косвенно) состояние информационной безопасности в сообществе пользователей информационных систем, а также влияющих на безопасность различных элементов информационной инфраструктуры.
• Государственный уровень – уровень государственных и межправительственных организаций, так или иначе влияющих на жизнь общества, состояние правовой системы, развитие экономики и технологий.
• Уровень отдельных компаний (предприятий и организаций) – сообщество пользователей информационных систем, так или иначе заинтересованных в собственной информационной безопасности и обеспечивающих защиту имеющихся у них информационных ресурсов собственными силами.