УДК 004.056.5
Стратегия
информационной
безопасности
медиаорганизации
В.А. Бирюков, Н.С. Лихарев
Московский государственный университет печати имени Ивана Федорова 127550, Москва, ул. Прянишникова,2А e-mail: [email protected].
В статье рассматривается понятие «информационная безопасность», представлена статистика утечки информации, доказывается необходимость разработки и внедрения стратегии информационной безопасности медиаорганизации.
Ключевые слова: информация, стратегия, информационная безопасность, защита информации, медиаорганизация.
Широко распространенное в ХХ! веке понятие «информационная безопасность» подчеркивает важность информации в современном обществе и характеризует тот факт, что информационный ресурс является сегодня таким же богатством, как производственные и людские ресурсы и также необходим защите от различного рода злоупотреблений, посягательств и преступлений.
Высокая значимость и постоянно развивающиеся информационные технологии, высокие темпы роста парка средств вычислительной техники, вовлечение в процесс информационного взаимодействия, повышение уровня доверия к информационным системам, отношение к информации как к товару, концентрация больших объемов информации различного назначения и принадлежности на электронных носителей, количественные и качественные совершенствования способов доступа пользователей к информационным ресурсам, многообразие видов угроз и возможных каналов несанкционированного доступа к информации определяют высокую актуальность статьи.
15
Сущность защиты информации можно определить через ее предметную область, которая определяет виды, направления и соответствующие им способы, цели и задачи защиты информации. Существуют следующие виды защиты информации: правовая, техническая, криптографическая, физическая.
Целью защиты информации является заранее намеченный результат защиты информации. Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и несанкционированного и непреднамеренного воздействия на информацию.
С учетом характеристик безопасности информации, понятий, используемых в законодательстве, определение «защиты информации» (в широком смысле) может быт сформулировано следующим образом: защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее и включающая правовые, организационные и технические меры, обеспечивающие конфиденциальность, доступность и целостность защищаемой информации [1, 2].
В настоящее время медиаорганизации разрабатывают и утверждают маркетинговые, коммуникационные, бизнес-стратегии, но лишь малая часть медиаорганизаций разрабатывает стратегию информационной безопасности.
Подход к проблемам информационной безопасности необходимо начинать с выявления субъектов, заинтересованных в обеспечении [3]:
• своевременного доступа к необходимому массиву информации;
• конфиденциальности определенной части информации;
• достоверности информации;
• защиты части информации от незаконного ее тиражирования;
• разграничения ответственности за нарушения законных прав других субъектов информационных отношений и установленных правил обращения с информацией;
• возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации.
В 2014 г. по всему миру обнародовано (в СМИ и иных источниках) и зарегистрировано Аналитическим центром InfoWatch 1395 случаев утечки конфиденциальной информации, что на 22% превышает число утечек, зарегистрированных в 2013 г. [4].
Аналитический центр компании InfoWatch представляет глобальное исследование утечек конфиденциальной информации за 2014 год. По данным отчета, по сравнению с прошлым годом число утечек
16
информации в мире выросло на 22%, в России - на 73%. В 55% виновниками утечек информации были настоящие или бывшие сотрудники — 54% и 1% соответственно.
Велика доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации (4%). Более чем в 1% случаев зафиксирована вина руководителей организаций (топ-менеджмент, главы отделов и департаментов); пользователей с расширенными правами доступа к информации (системных администраторов). Доля утечек персональных и платежных данных в распределении утечек по типу информации выросла на 7% к данным 2013 г., составив 92% [4].
В распределении по характеру действий нарушителя в 81% случаев зафиксирована «классическая» утечка — потеря контроля над информацией; 7,8% зарегистрированных инцидентов классифицированы как нарушения, сопряженные с получением несанкционированного доступа к информации.
В Российской Федерации почти две третьих доли утечек происходят из небольших и средних организаций.
Интересно сопоставить картину утечек из небольших и средних организаций в нашей стране с общемировой статистикой. Так, если в целом по миру, доля организаций малого бизнеса составляет в общей картине утечек 39,2%, для России этот показатель равен 61,2%.
Большинство утечек в 2014 г. пришлось на три основных канала: Интернет (35%), бумажные документы (18%) и кража/потеря оборудования (16%). При этом умышленные утечки чаще всего происходят через Интернет, а случайные — в результате потери или кражи оборудования.
Чаще всего утечки фиксировались в коммерческих издательствах (25%), реже всего в муниципальных учреждениях (2%). При этом по объему скомпрометированных записей пальму первенства удерживает рекламные агентства — 41%, вдвое меньше данных утекло в коммерческих и государственных типографиях — 17%, ТВ и радио — 15%. Ситуация с защитой персональных данных в организациях далека от идеальной[4].
Большая часть утечек в среднем бизнесе пришлась на случайные. В 2014 году организации среднего размера заняли главенствующее положение в ряду «поставщиков» конфиденциальной информации. В этом аспекте особенно «отличились» интернет-сервисы издательств и рекламных агентств.
Сложность и масштабность современных информационных систем для бизнеса делают процесс обеспечения их безопасности далеко не простым, для этого как раз и необходима разработка стратегии и архитектуры управления информационными и операционными риска-
17
ми. Помимо этого необходимо анализировать существующую стратегию, внедрять и настраивать средства управления рисками согласно утвержденной стратегии, произвести миграцию на новые решения по обеспечению информационной безопасности, произвести оптимизацию уже внедренных средств защиты.
Стратегия - интегрированная модель действий, предназначенная для достижения целей медиаорганизации [2].
Стратегия информационной безопасности медиаорганизации это долгосрочное качественное определенное направление развития по защите информации, касающееся сферы, средств и формы ее деятельности, системы взаимоотношений внутри организации, а также позиции организации в окружающей среде, приводящее организацию к ее целям.
Разработка и внедрение специальных документов, составляющих стратегию информационной безопасности, как и любой другой проект в организации, имеющий значение для безопасности всей организации, в первую очередь должен быть предложен или поддержан руководителем организации. Руководство должно отвечать за отслеживание выполнения работ, выделения необходимых ресурсов, а так же за утверждение необходимой разработанной документации.
Планирование является одной из четырех важнейших функций менеджмента. Вопросами планирования и выработки стратегии информационной безопасности занимается высший менеджмент.
Планирование осуществляется на основе: поставленных целей, задач, определенных внутренних возможностей медиаорганизации, открывающихся рыночных возможностей и выявленных с их учетом управленческих возможностей медиаорганизации, а так же отбора целевых рынков [5].
Под стратегическим планированием информационной безопасности медиаорганизации понимают управленческий процесс разработки специфических стратегий, способствующих достижений целей организации в области защиты конфиденциальной и коммерческой информации на основе поддержания стратегического соответствия между ними, ее потенциальными возможностями и шансами в области менеджмента.
Процессы коммуникаций и принятия решений обеспечивают взаимосвязь и взаимозависимость всех управленческих функций. Этим достигается целостность управленческого процесса, что в значительной степени способствует ее эффективности.
Роль планирования в медиаорганизации трудно переоценить. Множество проведенных исследований убедительно говорят в пользу планирования. Все они свидетельствуют о наличии сильной корреляции между планированием и успехом организации.
18
Некоторые менеджеры различных медиаорганизаций заявляют, что они могут прекрасно обходиться без формального планирования, не затрачивая сил и времени на составление планов в письменной форме. При этом они обосновывают свою позицию стремительными изменениями, происходящими на рынке и в разработке новых технологий, которые перечеркивают все усилия по подготовке планов. Такой подход при наличии эффективных действий может привести к успеху. Однако неопределенная стратегия медиаорганизации в области информационной безопасности не только не гарантирует успех в будущем, но и ставит его под серьезное сомнение.
Формальное планирование может принести медиаорганизации немалую, а зачастую и существенную пользу. Оно способствует строгой координации усилий, предпринимаемых руководством, требует четкой постановки задач и политических установок, обеспечивает единство общей цели внутри медиаорганизации. Точное понимание целей медиаорганизации в разработки стратегии информационной безопасности помогает избрать наиболее подходящие направления действий. Формальное планирование значительно уменьшает риск принятия руководством неверного решения из-за недостоверности информации о сложившихся внутренних и внешних условиях. Оно служит базой для последующего контроля, а также содействует повышению готовности медиаорганизации к внезапным изменениям рыночной ситуации [6, 7].
Что касается тезиса о молниеносных изменениях на рынке и разработки новых технологий, и невозможностью в связи с этим спрогнозировать их воздействие на деятельность медиаорганизации, а следовательно, и бесполезностью формального планирования, тут можно возразить, сославшись на многочисленные исследования в этой области.
До недавнего времени преобладающий стиль управления базировался на принятии решений и контроле за их выполнением. На основе анализа текущей ситуации на рынке делались прогнозы вероятных тенденций, которые служили исходным пунктом для принятия стратегических решений.
Такой подход предусматривал сосредоточение всех функций по выработке стратегии информационной безопасности медиаорганизации в руках высшего руководства. В условиях безраздельного господства концепции предсказуемости изменений ситуации на рынке стратегическое планирование, по словам Р. Хэйса, было скорее картой, служившей для выбора путей, ведущих к той или иной цели, чем компасом, призванным помочь найти правильный ориентир в сложной обстановке [6].
Сегодня медиаорганизации, использующие такой стиль управления, оказались в трудном положении. Разработка стратегии где-
19
то наверху приводила к отрыву стратегических решении от действительности. Это вело к тому, что такие неуклонно начали сдавать позиции перед своими конкурентами, применявшими более гибкий подход к стратегическому управлению и повышению объема информации, которая подверглась утечки.
В основе этого нового подхода лежит опора на стратегическое мышление большинства. Тщательное изучение условий, в которых функционирует медиаорганизация, осознание общих задач, стоящих перед ним, порождает множество различных вариантов дальнейшего развития, на базе которых принимается один, сулящий наибольший эффект. Стратегический менеджмент, в отличие от традиционного планирования, - это удел исполнителей, то есть тех, кто не только занимается разработкой стратегии, но и ее реальным осуществлением [8, 9].
Некоторые сторонники этого подхода даже стали проповедовать отказ от составления стратегических планов вообще, рассматривая их как препятствие на пути стратегического мышления. Их основной аргумент состоит в том, что вся деятельность медиаорганизации по защите информации может оказаться в полной зависимости от решений, принимаемых где-то в высших эшелонах управления, вместо опоры на развитие собственной инициативы, для которой необходима интеллектуальная свобода.
Однако рассматриваемое стратегическое управление, выгодно отличается как от планирования, применявшегося в медиаорганизациях технократического типа, так и от подхода, объявляющего план пережитком прошлого. В его основе лежит параллельная разработка стратегий информационной безопасности на всех уровнях медиаорганизации при постоянном учете общей задачи организации. Затем все стратегии сводятся, и вырабатывается интегрированная стратегия. Вместе с тем чрезвычайное значение имеет постоянное наблюдение за ситуацией на рынке и в среде новых технологий, и оперативное внесение соответствующих изменений в план с тем, чтобы он все время был реалистичным.
Такой подход обеспечивает, с одной стороны, вовлечение в процесс стратегического управления исполнителей, непосредственно занимающихся реализацией намеченных стратегий, через участие в создании плана. А с другой стороны, медиаорганизация получает четкие ориентиры в своей деятельности, которые пересматриваются по мере необходимости в связи с изменением рыночной конъюнктуры и изменениями в цифровой среде.
На стадии разработки и внедрения стратегии информационной безопасности в цифровой среде и ее операционной поддержки необходимо учитывать:
• влияние географических особенностей, в которых действует организация;
20
• степень соответствия отраслевым стандартам;
• последствия за несоблюдением требований и политик информационной безопасности в организации;
• наличие надзорного органа в соответствии с действующей организационной структурой;
• обеспечение нужного уровня коммуникаций при внедрении стратегии;
• адаптацию восприятия стратегии информационной безопасности к организационной культуре;
• переход на разговор в терминах управления рисками.
Стратегия информационной безопасности позволяет руководителю организации:
• дать оценку текущему уровню информационной безопасности в организации;
• определить направления для дальнейшего развития;
• обеспечить согласованность всех действий со стратегией развития всей организацией;
• определить стратегические цели информационной безопасности и задачи для их достижения;
• рационально распределить инвестиции;
• обеспечить соответствие законодательству Российской Федерации и отраслевым стандартам в части информационной безопасности.
Стратегия информационной безопасности с максимальной точностью должна учитывать все текущие и будущие функциональные потребности современных цифровых систем и решать следующие задачи:
• обеспечение безопасности и противодействие атаки на основе стратегии;
• внедрение мер безопасности по всей сетевой инфраструктуре, включая маршрутизаторы, коммутаторы, точки беспроводного доступа, системы хранения;
• безопасные средства управления и формирования отчетов;
• аутентификацию и авторизацию пользователей и администраторов и доступа к критически важным сетевым ресурсам;
• обнаружение атак на критически важные сетевые ресурсы и подсети;
• поддержка новых приложений и сервисов.
Таким образом, разработка стратегии информационной безопасности медиаорганизации в ХХ! веке является важной и приоритетной задачей, так как при формирование основы обеспечения информационной безопасности, при определение направлений развития
21
информационной безопасности и приоритетности целей и задач, определение необходимых ресурсов, а так же определение показателей реализации стратегии получается структурированный и взаимосвязанный набор действий, нацеленных на улучшение в долгосрочном плане благополучие организации. А для того, чтобы обеспечение безопасности осуществлялось наиболее эффективно, медиаорганизация должна разработать стратегию не только позволяющую оценить текущий уровень защищенности, но и сформулировать оптимальную схему перехода к разработанной архитектуре информационной безопасности с учетом лучших международных практик и национального законодательства в области защиты информационных ресурсов.
Библиографический список
1. Казакова НА, Александрова А.В., Кондрашева Н.Н., Ку-рашова С.А. Стратегический менеджмент. - М.: НИЦ ИНФРА-М, 2013. -320 с.
2. Галатенко В.А. Основы информационной безопасности. -М.: ИНТУИТ.РУ «Интернет-Университет Информационных Технологий», 2014. - 560 с.
3. Бетелин В.Б, Галатенко В.А. Основы информационной безопасности. - М.: ИНТУИТ.РУ «Интернет-Университет Информационных Технологий», 2014. - 560 с.
4. Корпоративный портал компании InfoWatch [Электронный ресурс]. URL: http://www.infowatch.ru/ (дата обращения:
30.05.2015) .
5. Информационная безопасность [Электронный ресурс]. URL: http://www.securrity.ru (дата обращения: 30.05.2015).
6. Засурский Я.Н, Вартанова ЕЛ, Засурский И.И, Раскин А.В, Рихтер А.Г. Средства массовой информации постсоветской России. -М.: Аспект Пресс, 2002. - 303 с.
7. Домарев В.В. Защита информации и безопасность компьютерных систем. - М.: Просвещение, 2013. - 335 с.
8. Яковлев А.В, Андреев Э.В. Криптографическая защита информации. - М.: Юристъ, 2014. 421 с.
9 Корпоративный портал компании «ИТЕРАНЕТ» [Электронный ресурс]. URL: http://www.businessguardian.ru/ (датаобращения:
30.05.2015) .
22