Содержание к диссертации
Введение
Глава 1. Место и роль системы оценки рискозащищенности информационных активов в системе управления деятельностью предприятия
1.1. Исследование сущности информационных активов хозяйствующих субъектов
1.2. Место системы защиты информационных активов в системе управления деятельностью предприятия
1.3. Анализ основных угроз информационным активам хозяйствующих субъектов
Выводы 51
Глава 2. Методические подходы к оценке информационных рисков хозяйствующих субъектов
2.1. Анализ современных методических подходов к обеспечению защищенности информационных активов хозяйствующих субъектов
2.2. Исследование особенностей организационного направления в сфере обеспечения рискозащищенности информационных активов предприятия
2.3. Сравнительный анализ методических подходов и инструментария для оценки информационных рисков хозяйствующих субъектов
Выводы 89
Глава 3. Разработка методики оценки информационных рисков хозяйствующего субъекта
3.1. Разрабо гка методики оценки информационных рисков хозяйствующих субъектов
3.2. Апробация методики оценки информационных рисков предприятия 121
3.3. Методические подходы к оценке затрат на обеспечение защищенноста информационных активов хозяйствующего субъекта
Выводы 146
Заключение 148
Библиографический список использованной литературы 152
Приложения
- Место системы защиты информационных активов в системе управления деятельностью предприятия
- Анализ основных угроз информационным активам хозяйствующих субъектов
- Исследование особенностей организационного направления в сфере обеспечения рискозащищенности информационных активов предприятия
- Апробация методики оценки информационных рисков предприятия
Введение к работе
Актуальность темы исследования. В стремительно меняющейся деловой среде одним из важных условий успеха в любом бизнесе сегодня становится способность руководителей предвидеть, оценивать, минимизировать и устранять возможные риски. Информационная защищенность является одним из важнейших аспектов общей безопасности хозяйствующих субъектов. Это обусловлено тем, что в современном деловом мире идет экспоненциальный существенный прирост количества информации, превращение информации в неотъемлемый и ценный актив хозяйствующих субъектов, а возрастающая зависимость деятельности предприятий от информационных систем и технологий приводит к тому, что хозяйствующие субъекты становятся уязвимыми по отношению к угрозам различного рода.
Все чаще реализуются такие угрозы хозяйствующим субъектам как мошенничество, вредительство, промышленный шпионаж, компьютерные взломы, заражения компьютерных информационных систем вредоносными программами и др. Поэтому информационные активы предприятий, подобно любым другим активам, нуждаются в сохранности. Основными источниками угроз ценной корпоративной информации являются внутренние угрозы, связанные с нарушением правил защиты информационных активов, исходящие от персонала хозяйствующего субъекта. Результаты отечественных и зарубежных исследований показывают, что доля этих угроз составляет 60-80% от всех угроз.
В практической деятельности специалистами отмечаются колоссальные проблемы, связанные с организационным направлением по достижению рис-козащищенности информации хозяйствующих субъектов. Имеющиеся проблемы связывают с отсутствием адекватной политики по обеспечению безопасности информационных активов, несоблюдением установленных правил, недостатком квалифицированных кадров. Анализируя место и роль организационного направления в сфере обеспечения безопасности информации, необходимо отметить, что в общем объеме мероприятий по достижению информационной защищенности предприятий законодательные меры составляют 5%, физические меры -15%, технические - 25-30%, организационные меры - 50%. Учитывая, что оценка информационных рисков представляет собой одно из главных направлений достижения рискозащищенности хозяйствующего субъекта, на современном этапе развития экономики возникает необходимость в совершенствовании существующих методических подходов к оценке информационных рисков хозяйствующих субъектов.
Таким образом, можно утверждать, что разработка и решение теоретических и практических проблем оценки информационных рисков хозяйствующих субъектов является актуальной научной проблемой.
Степень разработанности проблемы. Первоначально предметом исследования экономической науки было влияние информации на общественное развитие. Среди отечественных и зарубежных ученых, занимавшихся исследованиями в этом направлении, выделяются работы В.Л. Тамбовцева, Е.Г. Ясина,
И. Николова, Д. Белла, Дж. Мартина, Дж. Миллера, П. Страссмана, А. Тоф-флера, Ф. Хайека, К. Эрроу и других.
Методологической основой исследования вопросов, связанных с применением комплекса средств, мероприятий в сфере оценки рискозащищенности информационных активов хозяйствующих субъектов, послужили результаты, изложенные в трудах отечественных исследователей А.И. Алексенцева, В.А. Галатен-ко, А.И. Доронина, И.К. Корнеева, А.А. Малюк, СП. Расторгуева, СВ. Симонова, Е.А. Степанова, А.В. Петракова, СА. Петренко, Ю.С Уфимцева, А.А. Фатьянова, Б. Халяпина, В.И. Ярочкина и других.
В области оценки информационных рисков наибольшую известность приобрели международные и национальные стандарты, а также инструментарий -ISO 17799, ISO 15408, ISO 27001, ISO 13335, BS 7799, NIST, BSI, SAC, COSO, COBIT, Software Tool, MethodWare, Risk Advisor, MARION (CLUSIF, Франция), RA2 art of risk, Callio Secura 17799, CRAMM, RiskWatch, COBRA, ГРИФ, АванГард и др.
Вместе с тем, необходимо отметить, что, несмотря на возрастающий интерес, проведение исследований, появление разработок в сфере оценки и управления информационной безопасностью на современном этапе в России сложилась противоречивая ситуация в данной области. Это связано, с одной стороны, с достаточно детальным изучением и проработанностью вопросов технической и программно-аппаратной защиты информационных систем и крупными финансовыми вложениями в технические средства защиты. С другой стороны, декларируя в исследованиях значимость организационного направления в защите информационных активов хозяйствующего субъекта, в нормативно-методической литературе и на практике отсутствуют четкие рекомендации и методические разработки по совершенствованию данной деятельности в условиях конкурентной борьбы, неустойчивости экономики, и других факторов динамически изменяющейся среды хозяйствующего субъекта. Это определило цель и задачи проведенного исследования.
Цель диссертационного исследования заключается в развитии теоретических основ и разработке методических положений по оценке информационных рисков хозяйствующих субъектов.
Объектом исследования выступают информационные риски хозяйствующих субъектов.
Предметом исследования являются научно-методические аспекты оценки информационных рисков хозяйствующих субъектов.
Для реализации поставленной цели поставлены следующие задачи:
уточнить понятие «информационные активы» как основной характеристики системы оценки информационных рисков хозяйствующего субъекта;
определить место, роль, специфику системы оценки информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия;
оценить существующие методические подходы к оценке информационных рисков для выявления возможностей совершенствования данной деятельности;
выявить особенности организационного направления в деятельности по защите информационных активов и определение их влияния на создание и развитие системы защиты информационных активов хозяйствующего субъекта;
разработать методические положения по совершенствованию деятельности в сфере оценки информационных рисков хозяйствующих субъектов;
сформировать методический подход к оценке эффективности деятельности по защите информационных активов предприятия.
Теоретической базой исследования являются труды зарубежных и отечественных ученых, посвященные проблеме рискозащищенности информационных активов хозяйствующих субъектов; материалы научных конференций в данной области. Исследование основывается на положениях экономики, организации и управления деятельностью предприятий.
Методологической основой исследования являются методы научного познания: системный и ситуационный подход, экономические и статистические методы исследования, метод экспертных оценок.
Информационной базой исследования являются статистические данные отечественных и зарубежных информационных агентств, информация, содержащаяся в отечественной и зарубежной литературе и периодических изданиях, законодательные акты, нормативно-правовые документы, стандарты по оценке и управлению информационной безопасностью.
Основные результаты, полученные в процессе исследования:
Обоснована роль информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия. В результате определения места, роли и специфики системы оценки информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия создана структурная модель системы информационной защищенности хозяйствующего субъекта.
Оценены существующие методические подходы к оценке информационных рисков и определены основные тенденции развития систем информационной рискозащищенности хозяйствующих субъектов: противоречие в сфере обеспечения информационной безопасности, связанное с развитием и совершенствованием технической и программно-аппаратной защиты информации и недостаточным осознанием сущности, роли и изученности организационного направления защиты информационных активов; возрастающая тенденция внутренних угроз, исходящих от персонала.
Выявлены особенности и проблемы организационного направления в деятельности по защите информационных активов, заключающиеся в отсутствии квалифицированных кадров, несоблюдении установленных правил по обеспечению безопасности информационных активов, отсутствии методик по оценке надежности персонала, допущенного до ценных информационных ресурсов предприятия.
Разработан методический подход к оценке защищенности информационных активов хозяйствующего субъекта на основе учета информационных рисков. Предложена многофакторная модель оценки информационных рисков предприятия и методика определения степени надежности персонала, как составная часть методики оценки информационных рисков хозяйствующего субъекта.
Определены основные направления по применению защитных мероприятий с целью увеличения рискозащищенности информационных активов предприятия. Обоснованы их необходимость и преимущества по сравнению с существующими методиками. Сформирован методический подход к оценке эффективности деятельности по защите информационных активов предприятия.
Обоснованность и достоверность полученных выводов и результатов подтверждается использованием значительного числа исследований отечественных и зарубежных авторов - специалистов в области оценки и управления информационными рисками хозяйствующих субъектов, а также результатов исследований по проблемам внутренних угроз информационным активам хозяйствующих субъектов, подтверждается внедрением полученных результатов в деятельность предприятий региона и в учебный процесс.
Элементы научной новизны заключаются в следующем:
Уточнено определение понятия «информационные активы предприятия». Отличие предлагаемого понятия от известных заключается в том, что в состав информационных активов предприятия необходимо включать ценные информационные ресурсы собственника, способные приносить экономическую выгоду. В данных ресурсах реализованы знания, умения и навыки персонала, полученные в ходе выполнения служебных обязанностей с использованием информационных технологий.
Предложен подход к моделированию взаимосвязей между составляющими элементами системы информационной защищенности хозяйствующего субъекта на основе многофакторной модели оценки рисков информационной безопасности.
Усовершенствована методика экономической оценки информационных рисков хозяйствующих субъектов в части определения затрат на информационную безопасность за счет влияния дополнительных затрат на обеспечение рискозащищенности информационных активов.
Теоретическая и практическая значимость исследования заключается в развитии основных положений теории оценки рискозащищенности информационных активов хозяйствующих субъектов за счет систематизации и доведения их идей до методической проработанности. Практическая значимость исследования заключается в возможности выбора методики оценки информационных рисков хозяйствующих субъектов, оценки уровня затрат на обеспечение информационной защищенности предприятий с использованием методов
и средств защиты информационных активов, оптимальных по эффективности и адекватных текущим целям и задачам деятельности хозяйствующих субъектов.
Апробация результатов исследования. Основные теоретические и практические положения диссертации были апробированы на научных семинарах и научно-практических конференциях в 2005-2008 гг. в Байкальском государственном университете экономики и права, Иркутском государственном университете путей сообщений, Сибирском институте права, экономики и управления.
Основные результаты и рекомендации автора использованы на предприятиях Иркутской области при осуществлении работы по обеспечению сохранности информационных активов - в Управляющей компании «ЕВРААС» и в Управлении Россельхознадзора по Иркутской области.
Отдельные результаты исследования используются автором в процессе преподавания дисциплин: «Организационная защита информации», «Комплексные системы защиты информации на предприятии», «Экономика защиты информации» в Сибирском институте права, экономики и управления. Отдельные положения исследования применены автором при разработке учебной программы для слушателей Центра информационной безопасности в Иркутском государственном университете.
Основные положения диссертации, отражены автором в 14 научных публикациях объемом 20,63 пл.
Место системы защиты информационных активов в системе управления деятельностью предприятия
Нормальное функционирование и развитие сферы предпринимательства в экономике любой страны требует наличия определённых условий, обеспечивающих эти процессы. Одним из важнейших условий выступает безопасность предпринимательства, поскольку предпринимательская деятельность сопряжена с рисками различного характера, среди которых выделяются такие виды риска как управленческий, экономический, информационный, финансовый, кредитный, инвестиционный, криминальный, социально-политический, техногенный и другие, причинами возникновения которых всегда являются неопределенности.
Безопасность многоаспектна и разнопланова. Рассмотрение различных точек зрения на термин «безопасность» свидетельствует о том, что это понятие рассматривается и как философская категория, которая «не является чем-то предметным, материальным, и выступает некой абстрактной формой выражения жизнеспособности и жизнестойкости конкретного мира», и как состояние социальной системы, и с точки зрения синергетического подхода [131]. Однако в последнее время наиболее широкое распространение получило понятие безопасности, которое приводится в Федеральном законе РФ от 5 марта 1992 года «О безопасности» и рассматривается как «состояние защищённости жизненно важных интересов личности, общества и государства от внутренних и внешних угроз» [3].
Анализ различных точек зрения, каждая из которых со своих позиций раскрывает природу безопасности, позволяет автору выделить в них наиболее существенные, базовые элементы [3, 56, 131]. Во-первых, большая часть авторов безопасность рассматривают как способность объекта, явления, процесса сохранить свою сущность и основные характеристики в условиях разрушающего воздействия извне или в самом объекте, явлении, процессе. Также не следует забывать об одной из важнейших функций безопасности — превентивной, заключающейся в снижении, ослаблении, устранении и предупреждении различных видов угроз. Во-вторых, безопасность рассматривается как системная категория, она — свойство системы, построенной на принципах устойчивости, целостности, саморегуляции. Безопасность призвана защитить каждое из этих свойств системы, так как разрушительное воздействие на любое их этих свойств может привести к гибели системы в целом. В-третьих, под безопасностью понимается решающее условие жизнедеятельности личности, общества, государства, что позволяет им сохранять и умножать материальные и духовные ценности. В-четвертых, базовым элементом рассмотренных определений безопасности выступает угроза как реальный признак опасности. Причем угроза и борьба с ней являются сущностью любой безопасности. Автор считает, что всегда следует помнить то, что безопасность - это не только наука, которую надо изучать, не только мастерство, секреты которого надо постигать, но это и культура, которую надо воспитывать. В качестве объекта данного исследования выступают хозяйствующие субъекты в процессе нарушения, восстановления и поддержания защищенности их информационных активов. Защищенность информационных активов хозяйствующих субъектов может рассматривается как информационная безопасность предприятий. Под информационной безопасностью понимается «состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства» [8]. Наряду с термином «информационная безопасность» широко применяется термин «защита информации». Защита информации — это не отдельный процесс, который осуществляется сам по себе, это, прежде всего деятельность, включающая в себя как сам процесс, так и цели, средства и результат, поэтому защиту информации следует рассматривать как деятельность по предотвращению утраты и утечки конфиденциальной информации и утраты защищаемой открытой информации. В отечественном государственном стандарте ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» защита информации рассматривается как деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию [15, 23]. В свою очередь, к защищаемой информации относится информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации, коим может являться государство, юридическое лицо, группа физических лиц, отдельное физическое лицо. Безопасность информации рассматривается как «состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами» [12]. Таким образом, автором отмечается, что, если защита информации характеризует деятельность по созданию условий, обеспечивающих необходимую защищенность информационных активов, то информационная безопасность отражает достигнутое состояние такой защищенности.
Защита информации базируется на проявлении такого свойства информации как уязвимость, т.е. ее доступность для дестабилизирующих воздействий. Дестабилизирующие воздействия, называемые угрозами, нарушают установленный статус документированной информации, который проявляется в нарушении следующих параметров информации: физической сохранности, логической структуры, содержания, конфиденциальности, доступности для правомочных пользователей информации.
Следует отметить, что под угрозой информационным активам понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных [108]. Дестабилизирующие воздействия на информационные активы могут быть случайными или преднамеренными. К видам дестабилизирующих информационных воздействий относятся: копирование, записывание, передача, съем, уничтожение информации, заражение программ обработки информации вирусами, нарушение технологии обработки и хранения информации, вывод из строя и нарушение режима работы технических средств, физическое воздействие на носитель информации и т.д. Автором классифицированы основные формы проявления угроз безопасности ценных информационных активов организации следующим образом: 1) несанкционированный (незаконный, неразрешенный) доступ злоумыш ленника или постороннего лица к документированной информации и как ре зультат - овладение информацией и противоправное ее использование или совершение иных действий (каналы несанкционированного доступа к документи рованной информации будут рассмотрены ниже); 2) уграта информации (может заключаться в хищении носителя информации, потере носителя информации, несанкционированном уничтожении (разрушении) носителя информации, искажении информации (несанкционированном изменении, подделке, модификации, фальсификации), блокировании информации для правомочных пользователей; 3) утечка (разглашение, раскрытие, распространение) конфиденциальной информации, представляющая неправомерный выход информации за пределы защищаемой зоны ее функционирования (или круга лиц, имеющих право работать с ней), который привел к получению (ознакомлению) этой информации лицами, не имеющими к ней санкционированного доступа (независимо от того, работают или нет такие лица на данном предприятии). Кроме того, следует согласиться с классической расстановкой приоритетов информационной безопасности, характерной для экономических субъектов, которая заключается в обеспечении целостности, доступности, и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры (персонал, системы электро-, водо- и теплоснабжения, средства коммуникаций) [45]. Доступность означает возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее достоверность, защищенность от разрушения и несанкционированного изменения. Конфиденциальность — это защита от несанкционированного доступа к информации. Считается, что это самый проработанный в нашей стране аспект информационной безопасности. Но, к сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается на серьезные трудности.
В настоящем исследовании автором рассматриваются информационные активы как элемент экономической системы оценки информационных рисков и управления информационной безопасностью хозяйствующих субъектов. Подход к объектам исследования как к системам выражает одну из главных особенностей современного научного познания. Для определения места и роли системы управления информационной безопасностью (далее — СУИБ) в составе системы управления предприятием, а также выявления особенностей влияния СУИБ на организацию производства и управления предприятием, рассмотрим предприятие с позиций системного подхода.
Анализ основных угроз информационным активам хозяйствующих субъектов
Анализ состояния дел в сфере защищенности информационных активов хозяйствующих субъектов показывает, что в настоящее время уже сложилась вполне сформировавшаяся структура защиты информационных активов. И, тем не менее, злоумышленные действия над информационными активами предприятий не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Практика показывает, что для борьбы с этой тенденцией необходима целенаправленная организация процесса защиты информационных активов предприятия.
Несмотря на возрастающий интерес, проведение исследований, появление разработок в сфере оценки информационной защищенностью на данный момент в России сложилась противоречивая ситуация в данной области. Она связана, с одной стороны, с достаточно детальным изучением и проработанностыо вопросов технической и программно-аппаратной защиты информационных систем и крупными финансовыми вложениями в технические средства защиты (по аналитическим материалам издания «Бизнес» объем всего российского рынка информационной безопасности в 2007 году составил $170 млн.). С другой стороны, реально отмечая колоссальные проблемы, связанные с организационной защитой информации, затрачивается на решение этих проблем всего лишь 2% от этой суммы.
Дело в том, что, адекватное понимание ситуации имеется далеко не во всех компаниях. К сожалению, многие подходы к обеспечению информационной защищенности, зафиксированные в различных стандартах, руководящих документах, рассматривают в основном технические аспекты, которые на данном этапе являются наиболее изученными и популярными. Эти стандарты достаточно детальные и конкретные, однако другие вопросы выпадают из поля зрения существующих в России нормативных документов. Например, очень важно постоянно осуществлять контроль за тем, как функционирует система в целом, включая персонал. Условно говоря, совершенно недостаточно только приобретение и установка технических средств в нужных местах. Всю систему нужно грамотно эксплуатировать: поддерживать, администрировать, контролировать, а это достаточно сложная работа, которая может занимать по разным оценкам 60-80% всей деятельности по обеспечению информационной безопасности.
Стоит отметить, что в последнее время ситуация стала меняться. Так, в стандарте «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения» в концептуальной схеме обеспечения ИБ во главу угла поставлена модель противоборства собственника информации и злоумышленника, причем сразу же делаются основные акценты: «Наибольшими возможностями для нанесения ущерба организации ... обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника (ов) внутри организации» [18]. По результатам исследования международной компании «Эрнст энд Янг», одного из признанных лидеров в сфере аудита информационной безопасности, основные тревожные симптомы, отмеченные в сфере обеспечения ИБ следующие: 1) скорость изменений и растущая слоэ/сность рисков названы в числе главных препятствий на пути обеспечения ИБ. 60% респондентов ожидают, что будут увеличиваться значения финансовых, операционных и репутационных рисков. Так, в условиях экономической нестабильности и возрастающего обмена информацией возрастают риски вторжения в информационные системы предприятий, возникает возможность нанесения вреда информационным системам со стороны недовольных сотрудников, появляется повышенная вероятность мошенничества. Поэтому политика и работа в сфере информационной безопасности должна охватывать все сегменты деятельности предприятия, а не только информационные технологии; 2) учащаются сбои в работе жизненно важных систем компаний, в том числе информационных систем. Несмотря на это, только у 53% компаний существуют планы поддержания непрерывной деятельности; 3) 66% опрошенных отмечают недостаточную информированность сотрудников в качестве препятствия на пути построения эффективной системы безопасности, при этом менее 50% организаций внедряют программы обучения и информирования сотрудников; 4) отсутствие квалифицированных кадров в самой компании составляет проблему более чем для 50% организаций [84]. Поэтому, рассматривая источники угроз информационным активам предприятия, их можно классифицировать как объективные и субъективные события, явления, факторы, действия и обстоятельства, содержащие опасность для ценной информации. К объективным источникам относятся экстремальные ситуации, несовершенство технических средств и др. Субъективные источники связаны с человеческим фактором и включают: - неквалифицированный или безответственный персонал; - сотрудников предприятия, пытающихся удовлетворить личные коммерческие интересы за его счет; - сотрудников, зависимых от внешних воздействий, обиженных на руководство предприятия и т.д.; - партнеров и контрагентов, экономическое состояние которых может создать угрозу нанесения ущерба предприятию; - криминальные структуры, стремящиеся приобрести влияние на предприятие; - недобросовестных конкурентов; - лиц, вынашивающих противоправные и иные деструктивные намерения в отношении объекта экономики (психически неполноценные люди, посторонние лица, посетители, организации и отдельные лица, специализирующиеся на проведении промышленного шпионажа); - спецслужбы иностранных государств, ставящие своей целью добывание экономической и научно-технической информации, а также осуществляющие подрывные акции в отношении российских хозяйствующих субъектов; - других злоумышленников различного рода.
Исследование особенностей организационного направления в сфере обеспечения рискозащищенности информационных активов предприятия
Исследуя возможности организационного направления защиты информационных активов как одного из основных в системе управления рискозащи-щенностью информационных активов хозяйствующего субъекта, необходимо отметить, что в общем плане организационные мероприятия предусматривают проведение следующих действий [128]: - создание и совершенствование системы управления информационной безопасностью; - подбор, проверка персонала; - аналитическая деятельность по выявлению возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников; - предотвращение несанкционированного доступа к информационным активам, реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами; - контроль за выполнением требований по защите информации.
Автору трудно полностью согласиться с таким мнением, что «организационные мероприятия - это мероприятия ограничительного характера, сводящиеся в основном к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер» [128].
Одна из важнейших ролей в вопросах защиты информационных ресурсов компании находится в сфере принятия организационных решений, а это должны быть достаточно квалифицированные, взвешенные, продуманные решения и действия. Процесс принятия решений является центральным пунктом управления. Поэтому автор считает, что от эффективности реализации «простейших организационных мер» по защите информации зависит в целом информационная и иная защищенность предприятия. Организационное направление в области обеспечения защищенности информационных активов предприятия включает следующие основные аспекты (рис. 2.2): 1) работу с персоналом; 2) организацию режима и охраны; 3) информационно-аналитическую деятельность по выявлению внутренних и внешних угроз деятельности предприятия, анализ и управление степеныо информационных рисков; 4) работу с документированной информацией; 5) регламентацию использования технических средств информационной безопасности.
Далее, рассмотрим и проанализируем некоторые аспекты организационного направления в отдельности, так как любой из них оказывает существенное влияние на оценку рискозащищенности и управление безопасностью информационных активов. Когда речь заходит о безопасности предприятия, то, какого бы ее аспекта мы не касались, всегда в итоге приходим к надежности конкретного работника. Вопреки распространенному мнению о том, что основную опасность для компании представляют внешние нарушители, действующие в сети Интернет, так называемые хакеры, реальная угроза современной компании исходит от внутренних нарушителей (инсайдеров). По многочисленным исследованиям около 70-80% всех нарушений в корпоративной среде приходится на их долю. Согласно отчету «Global Business Security Index Report 2006», публикуемому компанией IBM ежегодно, именно внутренние угрозы, исходящие от собственных сотрудников компаний, будут являться одной из самых опасных угроз в будущем [57, 135].
Анализируя риски возникновения угроз, персонал необходимо рассматривать, с одной стороны, как самостоятельный объект защиты от различных угроз, таких, как: прямое переманивание конкурентами ведущих руководителей и специалистов организации; вербовка сотрудников предприятия конкурирующими и криминальными структурами, в отдельных случаях — правоохранительными органами; шантаж или прямые угрозы в адрес конкретных сотрудников с целью склонения их к совершению различных должностных нарушений.
С другой стороны, персонал может сам выступать в роли субъекта многочисленных угроз безопасности предприятия, реализуемых в форме: разглашения конфиденциальных сведений сотрудниками предприятия (умышленного - как форма коррупции или прямого саботажа и неумышленного - вследствие низкой ответственности сотрудников); саботажа (например, в форме сознательного уничтожения или искажения информации); прямого хищения денежных средств и ценных сведений; хищения конфиденциальной информации с использованием компьютерных технологий. Персонал организации - состав его сотрудников, работающих по найму и имеющих трудовые взаимоотношения с работодателем, оформленные трудовым договором или контрактом - обладает определенными качественными характеристиками и является той основой, на которой строится эффективная деятельность хозяйствующего субъекта. По мнению автора, наличие у персонала положительных личностных качеств минимизирует риски возникновения внутренних угроз информационным активам, значительно повышает состояние защищенности предприятия. Наряду с положительными личностными качествами необходимо отметить негативные черты, увлечения и пристрастия сотрудников: алчность, мстительность, эмоциональная неустойчивость, наркотики, алкоголь, азартные игры и другие, значительно увеличивающие риски возникновения угроз.
Подобрать персонал с абсолютным набором положительных качеств непросто, однако стремиться к этому необходимо и весь инструментарий для этого есть. Управление персоналом является одним из важнейших аспектов менеджмента, конкретная ответственность за управление персоналом на средних и крупных предприятиях возлагается на сотрудников отделов кадров, однако очень важно, чтобы все руководители, в том числе занимающиеся вопросами информационной безопасности, знали и понимали способы и методы управления персоналом. Одним из самых важных направлений деятельности по управлению персоналом является подбор кадров, так как от квалификации, заинтересованности и надежности работников напрямую зависит будущее предприятия.
В международной практике зарубежных стран широко известны две модели оценки кадров - японская и американская. В японской системе оценки персонала при найме производится тщательная и всесторонняя оценка кандидата с целью отбора из имеющихся кандидатур наиболее надежного человека с достаточным интеллектуальным потенциалом и высокими моральными качествами, основное внимание обращается на его личные качества и способности: исполнительность, сообразительность, ответственное отношение к порученным заданиям, умение находить общий язык с разными людьми, способность к обучению. После приема на работу уже идет овладение конкретными профессиональными навыками в соответствии с принятыми в организации программами развития персонала, рассчитанными на формирование квалифицированных и разносторонних по профилю работников, которые будут трудиться на предприятии в течение длительного времени.
Учитывая высокую мобильность рабочей силы, открытость организации для пополнения потребности в кадрах за счет внешнего рынка труда, в американской системе оценки персонала первостепенными являются требования должности, на которую целенаправленно подбирается сотрудник. Основное внимание уделяется специализации, уровню профессионального образования, имеющимся навыкам, опыту, отдельным дополнительным требованиям, вытекающим из специфики рабочего места — умению водить автомобиль, знать определенные компьютерные программы, владеть иностранным языком и др. То есть наблюдается стремление подыскать готового специалиста, отвечающего конкретным требованиям, упор делается на профессиональные и деловые качества, а оценка личных качеств играет второстепенную роль.
Для принятых в организацию сотрудников действует система оценки, ориентирующая на высокую трудовую отдачу и дальнейший профессиональный рост. Следует отметить, что при приеме сотрудников на ответственные должности, например, связанные с конфиденциальной информацией, досконально изучаются окружение кандидатов, прошлое, семья и др.; помимо простого анкетирования, проводится ряд тестов на профессиональную пригодность; определяются положительные и отрицательные черты характера, иногда проводится графологическая экспертиза.
Апробация методики оценки информационных рисков предприятия
Методические разработки апробированы автором в нескольких компаниях разного профиля деятельности (сфера машиностроения, сфера оказания охранных услуг, научно-исследовательская деятельность). Адаптивность предлагаемой автором методики заключается в том, что она применяется с учетом специфических особенностей деятельности хозяйствующего субъекта.
Апробация автором методических разработок и полученные в ее ходе результаты иллюстрируются далее на примере применения в одной из коммерческих организаций, специализирующейся на деятельности по оказанию услуг в сфере радиоохраны (назовем ее организация А). Проблема в области информационной безопасности данной организации состояла в том, что служба безопасности конкурирующей фирмы открыто собирала интересующую информацию об экономическом состоянии организации А, технических и программных средствах, специалистах, их материальном, социальном обеспечении. Собрав нужную информацию, высококлассным специалистам, разработавшим уникальный программный продукт, являвшийся конкурентным преимуществом организации А, было сделано выгодное предложение и они согласились перейти в конкурирующую фирму.
В связи с этим, из-за утраты специализированного программного продукта и перехода двух высококлассных программистов на аналогичные должности в конкурирующую фирму, с внедрением и усовершенствованием там уникальных программных разработок, ранее созданных и полностью оплаченных организацией, значительной потере реальных и потенциальных клиентов, компания понесла прямой ущерб, а также упущенную выгоду в сумме свыше 3 млн рублей. Эта сумма оказалась весьма существенной и чуть не привела предприятие к банкротству.
Детальное изучение данной ситуации привело автора к выводу, что указанному выше факту способствовала незащищенность информационных активов. В частности, в организации отсутствовали такие важные элементы организационной системы защиты информации, как разграничение информации на общедоступную и информацию ограниченного пользования, отсутствие режимных мер при работе с ценной информацией. В организации не велась аналитическая работа по добыванию информации о конкурентах. Отсутствовал анализ угроз и рисков информационной защищенности компании, в связи с чем, не были известны намерения конкурентов, их устремления, техническая, технологическая оснащенность, квалификация специалистов, их финансовое состояние. Работа с кадрами, их подбор и расстановка проходила, в основном, по принципу знакомства, однако, дальнейшее изучение, контроль за служебной и неслужебной деятельностью не велся вовсе.
В результате усиления конкуренции в данном рыночном сегменте руководству организации необходимо было перестроиться, просчитать риски, понести определенные затраты на информационную безопасность. Этого сделано не было, поэтому нарушение состояния защищенности информационных активов компании пагубно сказалось на результатах ее предпринимательской деятельности.
В вышеупомянутой компании была полностью применена методика оценки и управления безопасностью информационных активов с учетом рисков. В данном разделе исследования подробно рассмотрены и отражены не все этапы методики, а лишь наиболее существенные для дальнейшего проведения оценки эффективности затрат на обеспечение безопасности информационных активов.
Поскольку автор считает, что конечным элементом защиты (также как и элементом оценки ущерба от реализации угроз) являются информационные активы, то алгоритм оценки рисков должен исходить от самих информационных активов. Поэтому на втором этапе внедрения методики в результате интервьюирования и анкетирования управленческого персонала была составлена информационная карта каждого подразделения (Приложение 2), используемая для идентификации и классификации информационных активов компании.
Аудит информационной безопасности проводился в Управляющей компании «ЕВРААС» (г. Иркутск) по трем наиболее ценным активам: сервера, программа «1С», интернет-каналы и система электронной почты, которые анализировались с точки зрения степени воздействия угроз безопасности (перечень основных угроз в Приложении 3), затем строилась модель нарушителя и других источников нарушения безопасности. Поэтому, кроме классификации информационных активов на данном этапе оценивалось наличие уязвимостей в информационной системе.
Взаимосвязи, существующие между активами, были учтены для дальнейшего построения модели информационной системы организации с точки зрения информационной защищенности. В результате реализации всех этапов и получения комплексной оценки рисков (расчета показателя возможных потерь в результате проявления угроз), на выходе сформирована модель информационной системы с точки зрения информационной безопасности с учетом реального состояния системы безопасности информационных активов, включающая в себя: -описание и схему организационной структуры компании; -описание структуры информационных активов и информационных 124 потоков; -объекты обработки и хранения ценной информации; - группы пользователей и виды доступа к информации; -описание и схему размещения используемых каналов связи, комплекса программно-технических средств, схему подключения к сетям и т.п., - виды угроз; - средства защиты; - наличие уязвимостей в информационной системе.
Степень информационной защищенности определяется не только средствами и способами защиты, но и особенностями построения корпоративной информационной системы. В зависимости от архитектуры систем обработки информации, способов ее хранения и передачи, можно говорить о возможных точках (каналах) доступа к информации, которые представляют собой уязвимости и требуют применения мероприятий и средств недопущения нежелательных воздействий на информацию.
Поскольку главный принцип управления информационными рисками заключается в выявлении и оценке рисков прежде, чем они проявятся, то модель, связывающая потенциальные угрозы с частотой их возникновения, совместно со статистикой рисков и потерь, дает возможность прогнозировать тенденции рисков. Механизм выявления, анализа и моделирования взаимосвязей между составляющими системы информационной безопасности позволяет повысить эффективность управления рисками информационных активов [31, 132].
Далее определялась вероятность реализации и частота каждого вида угрозы информационной защищенности компании в течение года, с учетом имеющейся небольшой статистики по отдельным видам угроз и на основе метода экспертных оценок. Для этого была использована таблица 3.1. «Преобразование вероятности реализации угрозы к ежегодной частоте».
Затем была определена ценность информационных активов путем оценки степени возможного нанесения ущерба организации при неправомерном использовании рассматриваемой информации (т.е. в случае нарушения его конфиденциальности, целостности или доступности), как с точки зрения ассоциированных с ней возможных финансовых потерь, затрат на ликвидацию последствий, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д.
Для экспертной оценки возможного ущерба от реализации угроз использовались следующие категории: стоимость приобретения, замены или восстановления работоспособности компьютеров, сетей и другой техники; упущенная прибыль; ущерб от разглашения конфиденциальной информации; судебные издержки; потеря производительности труда, потери, связанные с простоем и выходом из строя оборудования. Если для информационного ресурса имелись особенные требования к конфиденциальности, то его оценка производилась по той же схеме, то есть в стоимостном выражении.