В. Андрианов - Обеспечение информационной безопасности бизнеса
С другой стороны, при абсолютно благоприятном внешнем политическом, законодательном и экономическом фоне, реализация рисков информационной безопасности может нанести субъекту бизнеса ущерб такого размера, от которого оправиться крайне сложно.
Таким образом, существует ряд рисков, включая риски информационной безопасности, ущерб от которых может быть неприемлем для субъекта бизнеса. В то же время некоторые общие риски политического, экономического и правового характера обладают «кумулятивным» эффектом и способны нанести системный ущерб, затрагивающий практически все сферы деятельности организации.
Что касается угроз информационной безопасности бизнеса, то их условно тоже можно разделить на две группы:
— традиционные угрозы безопасности информации, такие как нарушение конфиденциальности или неправомерное использование информации, реализуемые через новые механизмы, возникшие в результате использования информационных систем;
— новые угрозы, порожденные спецификой информационных систем — вирусы, сетевые атаки, нарушения функционирования и отказы разного рода, всевозможные нарушения персоналом установленных регламентов, инструкций и предписаний по эксплуатации и обслуживанию информационных систем.
Эти и другие вопросы авторы постарались рассмотреть в книге, предлагаемой вниманию читателя.
1. Философия информационной безопасности бизнеса
1.1. Бизнес и информация
1.1.1. Информационная сущность бизнеса
Информация является неотъемлемой частью бизнеса. Бизнес-процессы не могут существовать без информации и вне информации, хотя бы потому, что бизнес существует в рамках определенной правовой среды, определяемой совокупностью информационных объектов, таких как законодательные и нормативные акты, постановления правительства и другие подобные документы, и формирует отчетность по нормам этой правовой среды, т. е. порождает информацию определенного вида. Сущность бизнес-процесса представляется как процесс достижения некоторой совокупности целей (бизнес-целей) на основе управления активами. Информационной сущностью бизнеса и является этот процесс управления. Если правовое поле, отчетность, активы и возможные операции над ними во многом зависят от природы бизнеса, то процесс управления в большой степени инвариантен к ней.
Главная особенность управления в бизнесе, существенно отличающая его от некоторых других, например технических систем автоматического управления и регулирования, является большая задержка между моментом принятия решения и получаемым результатом, что иллюстрирует рис. 1. После принятия решений по управлению реализуется некий процесс бизнеса, протекающий в слабодетерминированной внешней среде, не все параметры которой контролируются организацией, осуществляющей бизнес. Таким образом, результат принятых решений наблюдается с задержкой и иногда весьма значительной. Поэтому важнейшей для бизнеса является способность предвидеть возникновение разного рода ситуаций (как благоприятных, так и неблагоприятных) в среде бизнеса и в самом бизнесе. Это чисто информационная задача, в основе которой лежит прогноз.
Когда задумывается и реализуется какой-либо процесс целенаправленной деятельности необходимо поставить и ответить на следующие вопросы.
• Будет ли достигнута цель в том виде, как предполагается?
• Достаточно ли в нашем распоряжении операционных возможностей, знаний (опыта), соответствует ли потребностям качество подготовки персонала и система менеджмента?
• Достаточно ли привлечено ресурсов для достижения поставленной цели?
• Достаточен ли интервал времени, устанавливаемый для достижения цели?
Из поставленных вопросов видно, что ответы на них требуют анализа различных информационных сущностей, описывающих в формализованном или неформализованном виде различные аспекты деятельности, отраженные в заданных вопросах. Ясно, что ответы на эти вопросы могут быть получены только в виде прогнозов, т. е. тоже в виде информационных сущностей. Очевидно также, что все вопросы взаимозависимы и, следовательно, ответы на них должны быть взаимоувязаны. Совокупная погрешность ответов на вопросы создает консолидированный риск достижения цели. Величина этого риска зависит еще и от того, насколько изменятся условия реализации цели в процессе ее достижения, и от характера этих изменений.
1.1.2. Информационные характеристики бизнеса
Необходимые для прогноза данные: все прошлое и будущее, включая любые формулировки целей и планы их реализации, вся среда бизнеса и вообще материальный мир — существуют в виде описаний, т. е. в виде информации. Чем больше интервал времени T и связанный с ним прогноз (см. рис. 1), тем лучше должен быть организован бизнес. Но тем труднее сделать точный прогноз, и тем более качественная информация для него требуется. Информационное поле бизнеса или его информационная сфера образуется из:
— правовой среды (законодательных и нормативных актов, постановлений правительства и прочих документов);
— отчетности по нормам правовой среды;
— специфичной информации бизнеса.
Эта последняя информация наиболее динамична и включает:
— субъекты, объекты и процессы бизнеса, представленные в информационном виде;
— нормативную, организационно-распорядительную и иную документационную базу организации;
— данные мониторинга бизнес-среды и собственной среды;
— аналитические данные (обзоры) и прогнозы состояния внешних и внутренних факторов влияния;
— накопленные и обобщенные практики (знания);
— стратегические и оперативные планы организации и решения по ним.
Качество информации, используемой для прогноза при принятии решений, определяется не только количеством используемых данных, но и (в наибольшей степени) тем, как эти данные систематизированы и обобщены, насколько адекватно используемые понятия, теоретические построения и представления отражают материальный мир и среду бизнеса и организации. Поэтому надо говорить не просто о данных или информации, а о знаниях, помогающих рационально организовывать деятельность организации по достижению поставленных целей и решать различные проблемы, возникающие в процессе этой деятельности. Следовательно, главная проблема бизнеса в информационной сфере — проблема накопления хорошего знания, являющегося единственной гарантией точности прогноза.