Практикум по информационной безопасности: Учебно-методическое пособие, страница 2

Введение

Проблема обеспечения информационной безопасности (ИБ) корпоративных информационных сетей и систем (КИС) находится под пристальным вниманием практически всех средств массовой информации, а не только специализирующихся на компьютерной тематике. Актуальность ИБ для бизнеса не требует доказательств. Достаточно вспомнить трагические события 11 сентября 2001г. в США, когда десятки компаний в одночасье не только потеряли информационные активы, но всю ИТ инфраструктуру. Увы, далеко не все из них смогли возобновить свою деятельность.

Анализ публикаций показывает, что основное внимание сосредотачивается на обсуждении различных технологий и технических решений, способных защитить информационные активы и пользователей КИС от различных видов угроз нарушения ИБ. Значительно меньшее внимание уделяется вопросам и мерам организационного обеспечения защиты - стратегии и тактике защиты информации, политикам ИБ и концепции безопасности, планам защиты информационных ресурсов компании в различных ситуациях, включая критические, грозящие потерей бизнеса.

Отечественный бизнес, как и бизнес зарубежный, озабочен проблемой сохранения в целости информации, обеспечивающей основную деятельность (целостность информации). Принимаются меры к тому, чтобы критичные для бизнеса данные не стали доступны третьей стороне (конфиденциальность информации), чтобы в нужное время получить необходимую информацию для принятия решения или реализации важной для бизнеса функции (доступность информации). Однако только лишь общего представления и понимания того, что следует принимать меры по обеспечению конфиденциальности, доступности и целостности информации недостаточно. Ведь угрозы, следствием реализации которых станет реальное нарушение ИБ, влекущее финансовые и иные потери для компании или предприятия, носят вероятностный характер, а вот затраты на защиту информационных активов и ИТ инфраструктуры следует понести уже сейчас и они могут составить немалую сумму. Так стоит ли тратить деньги на обеспечение ИБ, как убедиться в том, что действительно требуется запрашиваемая на защиту сумма, как оценить, что вложенные в защиту информации и ИТ инфраструктуры средства действительно исключают или по крайней мере снижают до приемлемого уровня потери компании, если угрозы ИБ реализуются?


Если апеллировать к технологическим решениям обеспечения ИБ, то получить убедительных ответов на поставленные вопросы не удастся. Ведь с уровня управления бизнесом компании, уязвимости КИС не видны. Угрозы нарушения ИБ может быть и более прозрачны для бизнесмена (например, пожар, наводнение или отключение электроэнергии). Однако те угрозы, что «па слуху», - лишь малая часть того, что в состоянии серьезно осложнить ведение бизнеса и повлечь значительные убытки. Хочет того или нет современный руководитель бизнеса, но если он действительно озабочен проблемой безопасности своего бизнеса от нарушений ИБ, ему придется не только более глубоко разобраться в предмете, составляющем понятие ИБ, но и активно участвовать в создании системы защиты КИС. Желание получить мотивированные ответы на те вопросы, которые определяют по сути будет ли отдача от системы защиты адекватной понесенным затратам неизбежно потребует внедрения в практику компании методов, подходов и средств, которые позволяют оценить информационные риски в категориях «стоимость- эффективность» защиты.

Свершившимся фактом в современном мира является то, что ИТ технологии -действенный инструмент получения конкурентных преимущества при ведении бизнеса. В отношении же информационной безопасности топ-менеджментом часто высказывается мнение, что для бизнеса это еще один центр затрат. Насколько оно справедливо? Чтобы ответить на этот вопрос следует понять роль, которую играет ИБ в бизнесе компании - определить бизнес-задачу ИБ. Бизнес-задача ИТ - это автоматизация бизнеса, направленная на то, чтобы ускорить и упорядочить информационные потоки между функциональными уровнями и слоями управляющей системы предприятия или компании. Однако только этого требовать от КИС недостаточно. Предоставляемый руководству информационный сервис в виде информации для принятия решений должен быть не только требуемого качества. Управленческая информация должна точно отражать ситуацию данного момента времени, должна оказаться в нужное время и в нужном месте. Безусловно и то, что она не должна стать известной тем лицам, которым информация не предназначена.

Подчеркнем, что для принятия эффективного управленческого решения бизнес руководителю, прежде всего, требуется достоверная информация! Поэтому бизнес-задачу ИБ можно определить как предоставление достоверной информации для принятия управленческих решений, т.е. достижение такого состояния, когда обеспечивается доверие потребителя (руководителя бизнеса) к информационному сервису.