Механизм управления экономической и информационной безопасностью.

под информационной безопасностью далее будем понимать состояние защищенности информационных ресурсов, технологий их формирования и использования, а также прав субъектов информационной деятельности. Здесь важно заметить следующее:

1. Объектом защиты становится не просто информация как некие сведения, а информационный ресурс, т.е. информация на материальных носителях (документы, базы данных, патенты, техническая документация и т.д.), право на доступ к которой юридически закреплено за ее собственником и им же регулируется

2. Информационная безопасность пользователей в отличие от физической обеспечивает защищенность их прав на доступ к ИР для удовлетворения своих информационных потребностей;

3. С точки зрения экономической целесообразности защищать следует лишь ту информацию, разглашение (утечка, потеря и т.д.) которой неизбежно приведет к материальному и моральному ущербу.

Важнейшими принципами обеспечения безопасности ИС являются[2]:

• Законность мероприятий по выявлению и предотвращению правонарушений в информационной сфере;
• Непрерывность реализации и совершенствования средств и методов контроля и защиты информационной системы;
• Экономическая целесообразность, т.е. сопоставимость возможного ущерба и затрат на обеспечение безопасности информации;
• Комплексность использования всего арсенала имеющихся средств защиты во всех подразделениях фирмы и на всех этапах информационного процесса.

Последнее дает наибольший эффект тогда, когда все используемые средства, методы и мероприятия объединены в единую управляемую систему информационной безопасности. В этом случае достигается полный охват объектов защиты (персонала, МТС информатизации и ИР) всей совокупностью форм противодействия и защиты на основе правовых, организационных и инженерно-технических мероприятий.

В зависимости от масштаба и вида деятельности коммерческой организации структура ее СИБ может быть разнообразной исходя из экономической целесообразности. Однако обязательными элементами, присутствующими в ее структуре и соответствующие основным направлениям защиты, должны быть следующие [3]:

1. Правовая защита - юридическая служба (юрист, патентовед, рацорг, оценщик интеллектуальной собственности т.п.), взаимодействующая с бухгалтерией и плановым тделом;

2. Организационная защита - службы охраны (комендант, контролеры, пожарные и т.п.) и режима (государственной, служебной тайны, конфиденциальной информации и т.п.), взаимодействующие с отделом кадров;

3. Инженерно-техническая защита - инженерно-техническая служба (операторы ЭВМ, связисты, криптографы, техники и т.п.), взаимодействующие с функциональными подразделениями фирмы.

Объединяющим и координирующим началом всей СИБ является ее начальник в ранге заместителя руководителя фирмы по безопасности, опирающийся в своих действиях на решения Совета безопасности, объединяющего начальников соответствующих служб и возглавляемого ответственным руководителем фирмы.

Функционально СИБ строится в виде перекрывающихся " концентрических" контуров защиты по отношению к внешним угрозам, в центре которых располагается объект защиты. При этом " внешним" контуром (большего " радиуса") является контур правовой защиты, обеспечивающий законность и правомерность как самого объекта, так и мер по его защите. Далее следует контур организационной защиты, обеспечивающий порядок доступа к объекту, который непосредственно защищается " внутренним" контуром инженерно-технической защиты путем контроля и предотвращения утечки, НСД, модификации и потери информации.

Такое построение СИБ позволяет существенно локализовать техническую защиту и сократить расходы на нее вследствие правовой " селекции" объектов защиты и организации ограниченного доступа к ним. Реализация процесса защиты информации в каждом из означенных контуров происходит примерно по следующим этапам:

1. Определение объекта защиты:

• права на защиту ИР;
• стоимостная оценка ИР и его основных элементов;
• длительность жизненного цикла ИР;
• траектория информационного процесса по функциональным подразделениям фирмы;

2. Выявление угроз:

• источников угроз (конкурентов, преступников, сотрудников и т.п.);
• целей угроз (ознакомление, модификация, уничтожение и т.п.);
• возможных каналов реализации угроз (разглашение, утечка, НСД и т.п.);

3. Определение необходимых мер защиты;

4. Оценка их эффективности и экономической целесообразности;

5. Реализация принятых мер с учетом выработанных критериев (приоритетов);

6. Доведение принятых мер до персонала (в части касающейся), контроль за их эффективностью и устранение (предотвращение) последствий угроз.

Описанный выше процесс, по сути, является процессом управления информационной безопасностью объекта и реализуется системой управления, включающей в себя помимо самого управляемого (защищаемого) объекта, средства контроля за его состоянием, механизм сравнения текущего состояния с требуемым и формирователь управляющих воздействий для локализации и предотвращения ущерба вследствие угроз. Критерием управления в данном случае целесообразно считать минимум информационного ущерба при минимальных затратах на ОБИ, а целью управления - обеспечение требуемого состояния объекта в смысле защищенности.

Разработка структуры системы управления информационной безопасностью СУИБ, как и любой другой системы управления, основывается на трех базовых принципах управления [4]:

1. Принцип разомкнутого управления. Заранее сформированные требования реализуются исполнительными органами СИБ, воздействуя на объект защиты. Достоинством является простота, а недостатком - низкая эффективность защиты, т.к. трудно заранее предугадать момент воздействия и вид угрозы;

2. Принцип компенсации. В контур управления оперативно вводится информация об обнаруженной угрозе, в результате чего исполнительные органы СИБ концентрируют свои усилия на локализации и противодействии конкретной угрозе. Достоинством является более высокая эффективность, а недостатками - трудность правильного обнаружения угрозы и невозможность устранения последствий внутренних угроз.

3. Принцип обратной связи. Обнаруживается не сама угроза, а реакция системы на нее и степень нанесенного ущерба. Достоинством является конкретность и точность отработки последствий угроз (экономическая целесообразность), включая и внутренние. Недостатком является запаздывание (инерционность) принимаемых мер, т.к. обнаруживается не предполагаемая угроза, а уже реакция на нее.