Читать книгу «Обеспечение информационной безопасности бизнеса» онлайн полностью📖 — В. В. Андрианова — MyBook.
image

1.3. Модель информационной безопасности бизнеса

1.3.1. Мотивация

Российская и мировая практика регулирования информационной безопасности (ИБ) недавнего прошлого состояла из обязательных требований национальных уполномоченных органов, оформляемых в виде руководящих документов РД. Поэтому для топ-менеджмента и владельцев организаций существовала только одна проблема соответствия им (комплаенс) и только один способ ее решения – как с минимальными затратами выполнить предлагаемые требования. Для уполномоченных органов существовала своя проблема – как в силу невозможности охвата всех возможных видов деятельности и условий их реализации, а также существенных различий в целях деятельности предложить универсальный набор требований. Для этого проблема ИБ рассматривалась как самодостаточная сущность, инвариантная к деятельности, целям, условиям, а также существенно обуживалась в содержательности в угоду универсальности.

Оба подхода (организаций и регуляторов) неадекватны существующей реальности и представляют ее в существенно искаженном виде. Так, основные содержательные ограничения на деятельность по обеспечению ИБ связаны с традиционной моделью ИБ, предполагающей обязательное наличие злоумышленника, стремящегося нанести ущерб активам (информации), и, соответственно, ориентированной на защиту информации от действий такого субъекта (группы субъектов). При этом инциденты, связанные, например, со штатными изменениями прикладного софта, не могут быть отнесены к злоумышленнику. Их возможные причины – слабо развитый менеджмент и слабая технологическая база. Собственная неадекватность организации (менеджмента, процессов основной деятельности) сложившимся условиям вообще представляет собой очень мощный источник проблем, который игнорируется в силу невозможности его привязки к злоумышленнику.

Дальнейшая эволюция моделей ИБ была связана с усилением роли собственника (владельца) и сводилась к тому, что он сам выбирал (на свой страх и риск) из предложенного ему стандартного набора защитных мер те, которые ему необходимы, т. е. такие, которые, по его мнению, могут обеспечить приемлемый уровень безопасности. Это был существенный шаг вперед, так как он обеспечивал привязку ИБ к конкретному объекту с конкретными условиями его существования, частично разрешая противоречия, связанные с самодостаточностью проблемы ИБ. Однако конструктивного механизма для владельца предложить не удалось, кроме как создания каталога объектов с выбранными типовыми защитными мерами (профилей защиты). Сами профили создавались при этом экспертно-эвристическим методом. При этом какой все-таки риск принимал на себя владелец, оставалось неизвестным и определялось на практике.

Дальнейшая эволюция свелась к тезису о том, что ИБ может создавать (порождать) ущербы для целей деятельности и поэтому риски ИБ (которая оставалась самодостаточной) должны быть согласованы (увязаны) с рисками организации. Оставалось только указать, как их увязывать, и интегрировать систему менеджмента ИБ (СМИБ) в общекорпоративный менеджмент не как изолированную и независимую систему процессов, а как неотъемлемую, сильно связанную составную часть менеджмента. Этого не удалось сделать. Однако этот подход хорошо продвинул ряд оценочных категорий ИБ, включая риски ИБ.

Известны также прагматичные модели ИБ, основанные на оценке совокупной стоимости владения (применительно к ИБ) и «возврате» инвестиций в ИБ. В рамках этого подхода группа близких по целям и условиям деятельности организаций периодически производит оценку по направлениям реализации ИБ и формирует модель, состоящую из лучших практик по группе. Далее каждая из организаций в соответствии со своими отставаниями от лучших практик и своих условий (произошедших инцидентов) определяет направление и объем инвестиций. Эффективность инвестиций оценивается в следующем периоде по снижению ущербов от инцидентов, оказавшихся в области произведенных инвестиций и не повлекших поэтому больших ущербов.

Однако этот подход при многих своих достоинствах требует широкого обмена чувствительной информацией, а конфликт интересов участников обмена исключает создание сколько-нибудь качественных мер доверия, поэтому он не имеет широкого распространения.

Модель ИБ, предложенная в стандарте ЦБ РФ, еще более продвинула проблему как в части ее интеграции (связала с целями деятельности), так и в части расширения толкования сущности «злоумышленник». Под злоумышленником понимается лицо, способное вести противоборство с собственником и имеющее свою цель, которую он реализует, достигая контроля над активами организации.

Такой подход существенно расширяет виды и источники ущербов организации, попадающих в область рассмотрения ИБ, где их решение наиболее рационально. Он, однако, был во многом компромиссным подходом и настоятельно требует дальнейшего приближения проблем ИБ к конечному результату деятельности (производимому продукту). Нужна модель, которая реально помогает бизнесу, напрямую способствует его результативности и необходимому улучшению посредством создания и поддержания безопасной и доверенной информационной сферы, в том числе через борьбу со злоумышленником. Только такая модель может восприниматься бизнесом. Любая другая будет им отторгаться.

1.3.2. Риски, рисковые события, ущербы и уязвимости. Полезные для построения моделей свойства

Любая целенаправленная деятельность связана с неопределенностью конечного результата, порождающей риск. Риск реализуется через рисковые события, создающие ущерб целям деятельности. Рисковое событие есть следствие сложившегося неблагоприятного сочетания факторов риска, т. е. некоторых сущностей и (или) обстоятельств, являющихся существенными для проявления риска. Таким образом, фактор риска можно рассматривать как его параметр, принимающий нежелательное (неблагоприятное) значение, а рисковому событию соответствует некоторый набор таких параметров. Следовательно, говоря о риске, мы предполагаем как минимум, что наших знаний достаточно, во-первых, для идентификации риск-факторов, а во-вторых, для их измерений (оценки).

Легко заметить, что риск можно уменьшить, создав избыточность по всем задействованным сущностям. Однако его нельзя сделать нулевым, даже если создать бесконечно большую избыточность. Дело в том, что нельзя сформулировать цель на бесконечно большом интервале времени – в силу изменчивости среды она теряет смысл. Кроме того, составляющая риска, обусловленная изменчивостью условий реализации целей, является неуправляемым фактором.

Как только мы создаем избыточность, уменьшающую риск, мы одновременно уменьшаем эффективность деятельности. Последнее обстоятельство важно для бизнеса – одной из основных разновидностей процесса целенаправленной деятельности. Проблема установления рационального баланса между эффективностью и безопасностью есть главная проблема бизнеса. Это информационная проблема. Ее решение потребует знаний.

Таким образом, первичным является вопрос о способности накапливать и обобщать знание и понижать тем самым степень неопределенности результатов деятельности. Накопление знаний – эволюционный многоаспектный процесс обобщения своего и чужого опыта в конкретных условиях деятельности. Последовательно развивая и усиливая свое знание, мы сначала научимся идентифицировать происходящие изменения в системе влияющих факторов; затем, сопоставляя их с наступившими последствиями, мы научимся их (факторы) оценивать; потом, пытаясь избежать негативных последствий, мы научимся правильно (адекватно) реагировать на изменения риск-факторов. И наконец, на основе анализа причинно-следственных связей и отношений между состояниями процесса целенаправленной деятельности и достигаемыми результатами идентифицировать новые факторы влияния.

В связи с этим для нас состоянием процесса целенаправленной деятельности будет состояние уже идентифицированных факторов риска. Иные состояния, находящиеся ниже «уровня видимости», не могут быть нами учтены. Для идентифицированных факторов часть состояний будет нами различаться, но пока в связи с невозможностью еще их оценивания будет временно игнорироваться и направляться для обобщения в процедуру накопления знаний.

Процесс целенаправленной деятельности может менять свое состояние, и смена состояния является событием. Это, однако, не рисковое событие, которое наступает, только когда все обуславливающие его риск-факторы принимают «неблагоприятные» значения и приводят к ущербу. Поэтому реально рисковому событию предшествует временной ряд простых событий, связанных с изменением значений риск-факторов. Эти события могут интерпретироваться как рисковые события, зависящие от изменившихся факторов, но не способные нанести ущерб. Часто их различают, называя рисковое событие, повлекшее ущерб, инцидентом.

Разные факторы обладают разной степенью изменчивости, есть быстро изменяющие состояние, есть медленно. В случае, когда группа медленно изменяющихся факторов установилась в неблагоприятное состояние, можно говорить о том, что в процессе целенаправленной деятельности сложилась рисковая ситуация. Выделение рисковых ситуаций практически существенно упрощает процедуры анализа и оценки рисков и принятие решений по ним. Примерами рисковых ситуаций могут быть ситуации, связанные с персоналом (невозможно быстро переобучить или заменить персонал на более компетентный); с операционной средой (невозможно одномоментно сменить большой объем компьютеров) и т. д.

Природа рисков такова, что одно и то же рисковое событие может порождать разные по видам и величине ущербы. Как это уже было указано, ущербы характеризуются неопределенностью и зависимостью от факторов, определяющих состояние процесса целенаправленной деятельности. Можно указать на практически полную аналогию величины возникающего ущерба с рисковыми событиями с точки зрения его возникновения, анализа и оценки. Однако ущерб рассматривается как условная сущность (при условии, что рисковое событие произошло), а влияние выделенных факторов величины ущерба рассматривается на практике с учетом естественной способности процесса противостоять рисковым событиям. Такое свойство процесса называется защищенностью или обратной ей сущностью уязвимостью (более распространено) процесса к рисковым событиям определенного вида.

Другой особенностью представления ущерба факторной моделью является то, что описывается потенциально возможный ущерб. Реальный ущерб определяется парой «потенциально возможный ущерб, уязвимость». Уязвимость, таким образом, может быть определена на практике по соотношению возможного ущерба и реального ущерба. При этом если потенциальный ущерб большой, а реальный маленький, то уязвимость мала, и, наоборот, если реальный ущерб близок к возможному, то уязвимость большая.

Риск-ориентированный подход к целенаправленной деятельности существенно трансформирует понятие «злоумышленник». Оно расширяется, поскольку наличие «злого умысла» уже не является основным признаком деятельности субъекта, приводящей к инциденту. Для организации важно и опасно, когда деятельность субъекта (ов) вне зависимости от его (их) намерений порождает (увеличивает) риск для ее целей. Это обстоятельство является основой для своевременной идентификации рисковых событий. Наличие умысла в действиях субъекта может быть установлено в дальнейшем в ходе расследований, и это является важным с точки зрения правильного (адекватного) реагирования на возникающую проблему.

Понятно, что речь идет только о субъекте, действующем в области внутренних (управляемых) факторов риска. Если субъект действует в стохастической области бизнеса (в области внешних неуправляемых факторов), то возникновение связанных с его деятельностью рисковых событий неизбежно, и контроль (оценка) деятельности такого субъекта возможен только по еe конечному результату.

Противодействовать возникновению рисковых событий – значит своевременно их идентифицировать и осуществлять компенсационные воздействия на риск-факторы, в том числе и на постоянной основе с помощью защитных мер. При этом основная задача – не допустить одновременного действия критического сочетания риск-факторов.

1
...
...
11