CC BY
176Раздел 4. Теория и практика управления
УДК 005.931
ОСОБЕННОСТИ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА
СОВРЕМЕННОМ ЭТАПЕ
1 2 Ветрова Н.М., Гайсарова А.А.
1 ФГАОУ ВО КФУ им. В.И.Вернадского, Академия строительства и архитектуры
295943 г. Симферополь, ул. Киевская, 181, е-mail: xaoc.vetrova.03@mail.ru
2 Институт экономики и управления
295015, г. Симферополь, ул. Севастопольская, 21/4, e-mail: vip. gaysarova@mail.ru
Аннотация. На современном этапе нарастания конкуренции возросший уровень угроз экономическому состоянию субъектов хозяйствования в любом секторе экономики требует особого внимания. Одной из составляющих безопасности является информационная безопасность. В статье рассмотрены подходы менеджмента информационной безопасности на предприятии с учётом организационных, технологических, технических, правовых и экономических факторов. Уточнены теоретические основы менеджмента информационной безопасности на предприятии.
Ключевые слова менеджмент, информационная безопасность, угрозы, теоретические основы.
ВВЕДЕНИЕ
Обеспечение безопасности информации, циркулирующей на предприятии, а также между предприятиями и государственными учреждениями - одна из составных частей информационной безопасности государства, в частности, и национальной безопасности государства в целом [1]. Проблемы информационной безопасности становятся первостепенными с учетом следующих факторов:
- рост объемов функционирования персональных компьютеров в информационном пространстве, имеющем международную систему построения и контроля;
- наличие больших объемов информации, которая накапливается, хранится и обрабатывается при помощи компьютерной техники;
- возникновение и совершенствование программных средств и технологий, которые при встраивании в информационные системы не могут быть достаточно защищены;
- несовершенство международных стандартов и законодательной базы, обеспечивающих необходимый уровень защиты информации;
- создание единого информационного пространства, которое не обеспечивает достаточного уровня информационной безопасности.
Указанные факторы определяют формат и широту охвата угроз информационной безопасности на различных уровнях. Для минимизации данных угроз существует необходимость формирования современных теоретических и практических разработок по проблемам информационной безопасности и методологии защиты информации. Следовательно, развитие системы менеджмента информационной безопасности является актуальной научной задачей, решение которой осуществляется
и компетентными государственными структурами, и руководителями предприятий различных форм собственности.
АНАЛИЗ ПУБЛИКАЦИЙ, МАТЕРИАЛОВ
В последние годы решению проблем информационной безопасности посвящены работы школ ряда научных направлений - по разработке информационных технологий, программных продуктов, в том числе и защитного плана, по разработке компьютерного оборудования, по обоснованию правовых основ, а также по реализации организационно-управленческих систем, имеющих целью - обеспечение информационной безопасности бизнеса (для любой организации по масштабам, подчиненности, расположению). Известны работы Мельникова В.П.,
Клейменова С. А. [6], Степанова Е.А., Балдина К.В., Уткина В .Б. [15], Гафнер В .В. [3], Исаева Г.Н. [4], Тарасова А.В. [13], Петрова С.В., Слиньковой И.П. [7], Шаньгина В.Ф. [9], Кострова А.В. [10], Рудаковой О.С., Родиной Ю.В. [11], Абрамова М.А. [12] и других ученых. Следует отметить, что значительное число разработок имеет техническую направленность и вследствие этого реализуются специальным персоналом по информационному сопровождению бизнеса. Кроме того, несмотря на растущее внимание к исследованиям в области информационной безопасности, вопросы управления процессом обеспечения
информационной безопасности предприятий и организаций не получили всестороннего исследования.
ЦЕЛЬ И ПОСТАНОВКА ЗАДАЧИ ИССЛЕДОВАНИЙ
Целью статьи является конкретизация отдельных подходов менеджмента информационной безопасности на предприятии с учётом организационных, технологических, технических,
правовых и экономических факторов. Для достижения поставленной цели необходимо решить следующие задачи: проанализировать теоретические аспекты возможных угроз при потере коммерческой и технологической информации, а также рассмотреть положения комплекса менеджмента управления информационной безопасностью в текущей деятельности руководителя.
ОСНОВНАЯ ЧАСТЬ
Проблемы информационной безопасности (ИБ) связаны с необходимостью защиты формируемого массива всесторонней информации о различных аспектах хозяйствования, разглашение которого может привести к коммерческим потерям различного рода (включая имиджевые).
Конфиденциальная информация может быть как коммерческой, так и технологической и похищение или повреждение ее возможно различными способами. Важной проблемой при этом является осознание системы угроз, которые, формируются, нарастают, трансформируются. Именно система угроз и формирует причины развития менеджмента информационной безопасности.
В научных работах и по результатам исследований зафиксированных на практике угроз информационной безопасности выделяют группы внутренних и внешних, которые отражают особенности сферы деятельности, с одной стороны, и психологические установки человека относительно информационной безопасности в разных его позициях: как работника или как нарушителя.
В первом случае работник может быть угрозой для потери информации о месте своей работы не осознанно или без злого умысла. Отмечаются следующие угрозы не соблюдения мер безопасности при работе со съемными носителями:
- потеря работником съемных устройств после выноса за пределы организации;
- вынос работником информации для работы дома (при определенных условиях работник хочет оказаться вне работы, но должен выполнить задание и копирует массив): а) не задумываясь о возможных последствиях; б) нарушая процедуры безопасности, но будучи уверен, что не делает ничего предосудительного, опасного;
- внесение в базы данных через съемные носители вредоносных программ.
Возможна сотрудниками потеря информации также по речевому каналу утечки информации, когда работники ведут разговоры, содержащие служебную и конфиденциальную информацию, в местах, не имеющих специальных средств акустической защиты, а также на открытых площадках, находящихся внутри охраняемой территории. В этой схеме также работник может не понимать о возможных последствиях или, не рассматривая собственные действия как опасные
для безопасности предприятия, на котором он работает.
Оценивая названные угрозы
информационной безопасности, можно признать, что в основе формирования их лежат объективные физиологические и психологические
закономерности (механизмы) - человек часто не выполняет правила (в рассматриваемом случае относительно сохранения информации) в связи с тем, что их исполнение требует систематически выполнять предписанные повторяющиеся действия, операции, имеющие для человека при многократном повторении рутинный, сниженный по остроте восприятия характер. А если в процессе работы человек не выполнил требуемую процедуру и ничего не произошло (нет отрицательного результата, нет явного проявления недовольства со стороны контролирующих систем, нет нарушения собственно процесса работы), то возникает переоценка значения распоряжений по выполнению регламентов, формируется облеченное отношение к регламентам. И именно такое восприятие определяет психологическую установку работника к нарушениям нужных для регулятора действий - «я это делаю или не делаю, ничего ведь страшного не происходит, значит, ничего плохого я не совершаю». По отношению к менеджменту информационной безопасности, эта особенная трансформация установок работников создает угрозы в силу того, что сложно поддается контролю, поскольку лежит в плоскости внутренних оценок и мотивов и может быть преодолен лишь в результате специальных систем регулирования поведения (предупредительные разъяснительные меры, поощрение за строгое соблюдение правил и наказание при нарушении правил деятельности любого уровня опасности, выявление повторяемости нарушений и др.) и систематических комплексных проверок.
Но следует учитывать еще и другие схемы действий работника, которые снижают информационную безопасность:
- осуществление изменения специальных настроек системы защиты информации, чтобы получить доступ к защищенным элементам ресурсов в личных не криминальных целях. По оценкам специалистов «... .до 74% случаев заражения внутренних сетей в США определено именно такими действиями сотрудников» [11, с.62];
- использование приложений, которые не прошли процедуру оценки авторских прав и параметров, что может быть угрозой, содержание и результаты которой могут проявляться не сразу;
- осуществление пользования сетями и массивами данных вместе с людьми, которые не имеют права на допуск к ним или являющимися работниками организации, или не являющимися работниками этого предприятия, фирмы;
- невыполнение обязательных процедур защиты своего разрешенного допуска к информации
- пароли, имена находятся в свободном доступе на рабочем месте.
Также важным аспектом, формирующим угрозу информационной безопасности, следует признать недостаточную осведомленность работников по вопросам защиты информации -сотрудников должны обучить процедурам, обеспечивающим решение данного блока задач и при выборе форм и схем этих процедур целесообразно использование наиболее легко проводимым по шаговым программам. В таком случае можно быть уверенным в полном соблюдении их после обучения и регламентного закрепления.
Данная установка на облегчение защитных процедур является отражением выявленных в ходе исследований оценок работниками корпоративных мер по обеспечению информационной безопасности. Так, от 30 до 40% сотрудников компаний Франции, Великобритании, Германии, США считают, что меры защиты информации и секретов в компаниях имеют слишком сложные процедурные схемы, мешают выполнять свои обязанности, и они хотели бы их упростить [11]. Тогда, по их мнению, нарушений сотрудниками процедур по защите информации будет меньше.
Следует подчеркнуть, что рассматривая внутренние угрозы безопасности компании, нельзя исключать преступную направленность сбора конфиденциальной информации работником. В этом случае система менеджмента информационной безопасности должна обеспечивать выявление характеристик нанимаемых сотрудников, а также уже работающих сотрудников, которые могут отражать возможные схемы поведения относительно разглашения секретов. Такие задачи тесно переплетаются со сферой деятельности системы охраны, но требуют также технического сопровождения и управления процессом защиты информации.
Учитывая вышеприведенные аргументы, представляется возможность выделить следующие теоретические основы менеджмента
информационной безопасности предприятия (организации) (рис. 1).
С учетом сложившейся практики обеспечения информационной безопасности целесообразно выделить такие комплексные направления защиты, как правовая защита [5], организационная защита, инженерно-техническая защита. Управленческие решения, принимаемые в интересах информационной безопасности, должны носить стратегический и оперативный характер. Теоретически никогда нельзя исключить инцидент. Он возможен и в том виде, для которого отсутствуют стохастические закономерности в настоящем и в принципе их нельзя определить в будущем. Поэтому всегда нужен компромисс между технологией предупреждения информационных потерь, для которых известны детерминистические
и стохастические закономерности, с одной стороны, с другой страхованием - технологией устранения последствий непредвиденных информационных потерь.
Решение комплексной проблемы экономической безопасности требует привлечения специалистов по информационным технологиям (в процессе используются подходы различных теорий в части привлечения методологий, математического аппарата и области применения) и специалистов по менеджменту информационной безопасности. При этом для крупных субъектов хозяйствования эта схема применяется практически повсеместно, часто предусматривает использование собственных наработок или адаптацию существующих лицензированных систем. Обычно общий алгоритм решения проблемы разрабатывает
высококвалифицированный специалист,
объединяющий частные решения в единое системное решение на логико-экспертном уровне. А для мелких участников экономического процесса -целесообразно использование именно
лицензионных программных продуктов, в которых обеспечивается возможность автоматического контроля допускаемых действий с информацией о деятельности ввиду локальных объемов ее.
В работах, посвященных исследованиям положений теории менеджмента информационной безопасности, рассматривается логико-экспертный подход, основанный на учете опыта экспертов, который должен позволить разработать и реализовать систему обеспечения информационной безопасности [10]. Данный подход не противоречит существующему подходу теории управления -экспертный метод разработки управленческих решений, имеет положительные составляющие -управление осуществляется человеком, который строит отношения с объектом управления на основе имеющегося ранее накопленного уникального опыта. Но названный подход имеет негативные аспекты - при решении проблемы не практикуются построение математических моделей управления сложными комплексными объектами (по причинам отсутствия опыта, по субъективным установкам эксперта). В свою очередь, это ведет к невыполнимости оптимизации и, как следствие, к опасности больших экономических потерь. Следует учитывать методологические ограничения экспертного подхода к управлению безопасностью, который в технологии управления информационной безопасностью человеко-машинных систем не ограничивается оценкой качества подготовки пользователя.
Решение комплексной научной проблемы управления информационной безопасностью предприятия может быть достигнуто при использовании системного подхода. Системность опирается на положении о невозможности решения комплексной проблемы на базе одной какой-либо технологии, без учета системности объекта.
Системный подход реализует методологию управления, обеспечивающую структурный синтез локальных теорий, а также соответствующий математический аппарат, позволяющий разработать алгоритм управления по критериям эффективности и реализовать управление в виде наукоемкой технологии. При этом данный подход обеспечивает
При совершенствовании менеджмента информационной безопасности предлагается учитывать совокупность принципов управления, учитывающих особенности объекта
«информационная безопасность» - «необходимость предотвращения инцидентов» и «необходимость ослабления инцидентов» [14]. Решение данной проблемы в современном риск-менеджменте предлагается через увеличение затрат на информирование с целью сокращения уровня риска потери информации. При этом главное - обосновать оптимальное значение показателя риска потери информации и соответствующий ему минимум
функцию оптимизационного соединения локальных теорий в общий алгоритм управления безопасностью предприятия по критериям эффективности.
затрат на безопасность. Согласно теории вероятностей существуют стохастические закономерности совокупности однотипных явлений в условиях стохастической устойчивости, что означает периодическую повторяемость обстоятельств и причин появления информационных потерь. Следовательно, принятие данной модели возникновения события информационной потери подтверждает
неизбежность его появления в течение определенного промежутка времени. Особенностью работы руководителя при таком подходе является осознанное увеличение времени на выполнение
ТЕОРЕТИЧЕСКИЕ ОСНОВЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (МИБ)
Объект МИБ: система сбора, хранения, обработки комплекса информации о деятельности организации (предприятия), имеющая коммерческую ценность и влияющая на результаты деятельности
Причины развития МИБ: • внутренние: потери информации из-за некриминальных действий работников, допуск несанкционированный внутренних работников, то же - сторонних лиц, использование нештатных программных продуктов и др. • внешние: потери информации по криминальным схемам, техническими экономическими способами
Цель МИБ обеспечение устойчивой информационной безопасности предприятия (организации)
Функции МИБ - организация процесса обеспечения защиты ИБ, - управление службой ИБ, - планирование составляющих процесса ИБ, -формирование у сотрудников мотивации, обеспечивающей ИБ , - контроль за действием системы ИБ
Задачи МИБ:
¡.Задачи, определяемые состоянием внутренней среды организации 2. Задачи, определяемые внешней средой 3. Задачи, определяемые психологическими установкама
1.1. Обеспечить инженерно-техническое сопровождение информационных баз по ИБ 2.1. Обеспечение защиты информации от внешних инцидентов 3.1. Реализация предупредительных разъяснительных мер по регламентам ИБ
1.2. Обеспечить организационную систему формирования и защиты информации (в том числе - отбор кадров, схемы ротации работников) 2.2. Анализ нормативно-правовых механизмов информационной безопасности 3.2. Разработка поощрений за строгое соблюдение регламентов ИБ
1.3. Обеспечить рациональность регламентов защиты информации 2.3. Обеспечение сбалансированных действий подсистем ИБ в системе обеспечения экономической безопасности 3.3. Разработка санкций за не соблюдение регламентов ИБ
1.4. Совершенствование системы мотивации персонала к выполнению норм и требований безопасности
Рис. 1. Теоретические основы комплекса менеджмента информационной безопасности Источник: разработано авторами
своих функций: поиск решений, контроль задач информационной безопасности. И уместно соотнести эти установки руководителя с действием принципа управления Эйзенхауэра, в рамках которого руководитель должен принимать решение в зависимости от степени важности и срочности задач. Задачи «А» выполняются без промедления, задачи «Б» выполняются в предварительно установленные сроки, задачи «В» выполняются теми, кому руководитель их поручает, а остальными задачами пренебрегают. Вопросы информационной безопасности не могут быть ниже класса «Б», что определяется местом информационной
безопасности при определении уровня реальных потерь или возможностей в системе экономической деятельности.
Для реализации системного подхода обеспечения управления информационной безопасностью важной задачей должно стать соблюдение условия минимизации затрат на безопасность. Но при внедрении современных технологий и организационных мер обеспечения информационной безопасности основная их направленность состоит в недопущении потенциально возможных потерь. Следует отметить, что информационная безопасность обеспечивается комплексом мер, которые требуют затрат, определяющих практические возможности достижения этой цели. Уровень затрат и в этом случае требует осознания его достаточности, поскольку естественно влияет на сумму всех затрат и при необоснованном завышении может сказаться на конкурентоспособности предприятия. В условиях рыночной конкуренции предприятие может существовать только при условии обеспечения необходимой прибыли и уровня затрат на производство и реализацию продукции. В себестоимость входят и расходы на обеспечение безопасности, включая информационную безопасность.
ВЫВОДЫ
Совершенствование комплекса
менеджмента информационной безопасности предприятия (организации) должно строиться с учетом совокупности угроз ИБ, их сущности и источникам. Положения теории менеджмента информационной безопасности реализуют системный подход к информационной безопасности как составной части экономической безопасности предприятия. Важность решения задач обеспечения информационной безопасности связана с одной стороны с нарастанием конкурентных противостояний и поиском всех возможных информационных потоков для решения задач, стоящих перед организаторами деятельности, а с другой - со сложностью защиты информации в современном информационном пространстве, частью которого является каждый субъект хозяйствования.
В процессе управлении предприятием вопросы информационной безопасности должны быть в числе приоритетных.
ЛИТЕРАТУРА
1. Федеральный Закон № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации». [Электронный ресурс] - Режим доступа: http://base.garant.ru/12148555/
2. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». [Электронный ресурс] - Режим доступа: http://tehnorma.ru/gosttext/gost/gostdop 625.htm
3. Гафнер, В.В. Информационная безопасность: Учебное пособие [Текст] / В.В. Гафнер. - Ростов н/Д: Феникс, 2010. - 324 с.
4. Исаев, Г.Н. Информационные системы в экономике: Учебник для студентов вузов, обучающихся по специальностям «Финансы и кредит», «Бухгалт. учет, анализ и аудит». - 6-е изд. [Текст]. - М.: Издательство "Омега-Л", 2013. -462 с.
5. Ефимова, Л.Г. Информационное право [Текст] / Л.Г. Ефимова. - М.: Евразийский открытый институт, 2011. - 236 с.
6. Информационная безопасность и защита информации [Текст] / Мельников В.П., Клейменов С.А., Петраков А.М. Под ред. С. А. Клейменова. - М.: Издательство «Академия», 2008. - 336 с.
7. Петров, С.В. Информационная безопасность: Учебное пособие [Текст]/ С.В. Петров, И.П. Слинькова, В.В. Гафнер. - М.: АРТА, 2012. -296 с.
8. Хорошко, В.О. Методы управления информационной безопасностью / [В.О. Хорошко, Ю.Ю. Гончаренко, М.М. Дивизинюк, и др.]. -Севастополь: СНУЯЕтаП, 2010. - 328 с.
9. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие [Текст] / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 416 с.
10. Костров, А.В. Основы информационного менеджмента. [Текст] / А.В. Костров. - М.: Финансы и статистика, 2001. - 336 с.
11. Рудакова, О. С. Анализ угроз информационной безопасности кредитных организаций / О.С. Рудакова, Ю.В. Родина [Текст] // Национальные интересы: приоритеты и безопасность. -2009. - №23 (56) .- С. 61-67.
12. Абрамов, М.А. Стандарты в области информационной безопасности необходимы в управлении организацией [Текст] / М.А. Абрамов // Стандарты и качество. - 2011. - № 1 (883). - С. 42 -46.
13. Тарасов, А.В. Управление промышленным предприятием на основе формирования эффективной системы информационной
безопасности [Текст]: автореф. дис... канд. эконом, наук / А.В. Тарасов. - Орел: ОГТУ,2006. -24 с.
14. Тарасов, А. В. Политика информационной безопасности предприятия как основа управления информационной безопасностью [Текст] /
A.В. Тарасов // Современные аспекты экономики. -2006. -№ 17 (110). -С. 45-50.
15. Балдин, К.В. Информационные системы в экономике: Учебник [Текст] / К.В. Балдин,
B.Б. Уткин. - М.: Издательско-торговая корпорация «Дашков и Ко», 2006. - 395 с.
FEATURES OF MANAGEMENT INFORMATION SECURITY TODAY Vetrova N.M., Gaysarova A.A.
Annotation. At present, the growth of competition, the increased level of threats of economic entities in any sector requires special attention. One of the components of the security is the information security. The article discusses approaches information security management for the enterprise, taking into account organizational, technological, technical, legal and economic factors. Clarified the theoretical foundations of information security management in the enterprise.
Keywords: management, information security threats, the theoretical foundations.
