CC BY
6DOI 10.47576/2949-1886_2023_2_91 УДК 338:004
Ольберг Полина Алексеевна,
студент, Поволжский государственный университет телекоммуникаций и информатики, г. Самара, Россия, e-mail: polinaolberg@gmail.com
Дубровский Даниил Александрович,
студент, Поволжский государственный университет телекоммуникаций и информатики, г. Самара, Россия, e-mail: danil.dubrovskiy2001@gmail.com
Иваев Марат Исхакович,
старший преподаватель кафедры цифровой экономики, Поволжский государственный университет телекоммуникаций и информатики, г. Самара, Россия, e-mail: ivaevmarat@yandex.ru
УПРАВЛЕНИЕ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ:
ЭКОНОМИЧЕСКИЕ
ПРОБЛЕМЫ И НАПРАВЛЕНИЯ
ИССЛЕДОВАНИЙ
В статье рассматриваются проблемы управления информационной безопасностью. Отмечается, что за последнее десятилетие управление безопасностью информационных систем стало сложной задачей. Полагаться исключительно на технический или управленческий контроль недостаточно. Нужен многогранный подход. Приводятся примеры сбоев в информационной безопасности. Отмечается необходимость разработки новой теории через изучение эталонных дисциплин.
Ключевые слова: управление безопасностью; методы исследования; желаемые свойства теорий.
UDC 338:004
Olberg Polina Alekseevna,
student, Volga State University of Telecommunications and Informatics, Samara, Russia, e-mail: polinaolberg@gmail. com
Dubrovsky Daniil Alexandrovich,
student, Volga Region State University of Telecommunications and Informatics, Samara, Russia, e-mail: danil.dubrovskiy2001@gmail.com
Ivaev Marat Iskhakovich,
Senior Lecturer, Department of Digital Economy, Volga State University of Telecommunications and Informatics Samara, Russia, e-mail: ivaevmarat@yandex.ru
INFORMATION SECURITY MANAGEMENT: ECONOMIC ISSUES AND RESEARCH DIRECTIONS
The article deals with the problems of information security management. It is noted that over the past decade, managing the security of information systems has become a difficult task. Relying solely on technical or managerial control is not enough. A multifaceted approach is needed. Examples of failures in information security are given. The necessity of developing a new theory through the study of reference disciplines is noted.
Keywords: security management; research methods; desired properties of theories.
Исторически сложилось так, что управление информационной безопасностью в основном основывалось на технических мерах контроля; однако исследования показали, что большинство сбоев происходит из-за нарушений контроля доверенным персоналом. Это говорит о том, что управление информационной безопасностью может быть адекватно обеспечено только в том случае, если акцент выходит за рамки технического контроля и включает бизнес-процессы и организационные вопросы. Управление информационной безопасностью в первую очередь зависит от решения стратегических, тактических и операционных вопросов, связанных с планированием, анализом, проектированием, внедрением и обслуживанием программы информационной безопасности организации. Некоторые из наиболее важных вопросов включают оценку активов, аудит, обеспечение непрерывности бизнеса [1; 2].
Управление информационной безопасностью - это процесс управления людьми, политиками и программами с целью обеспечения непрерывности операций при сохранении стратегического соответствия миссии организации. В идеале деятельность по управлению информационной безопасностью должна определяться целями, чтобы никакие ресурсы не расходовались на безопасность без четкого документированного понимания того, как она поддерживает миссию организации.
Исторически управление информационной безопасностью решалось исключительно путем установления технических и физических средств контроля. Однако растущее использование, ценность и зависимость от компьютеризированных систем для поддержки реальных операций повысили важность включения процессов и организационных вопросов в управление рисками безопасности. Управление рисками информационной безопасности - процесс, используемый для определения оптимальной стратегии защиты при ограниченном бюджете на безопасность, превратился в обязательную функцию в организациях, которые обеспокоены своей способностью смягчать последствия нарушения информационной безопасности. Такие нарушения называются инцидентами. Анализ рисков, первый шаг процесса управления
рисками, требует идентификации и документирования важнейших организационных ресурсов (например, информации, людей, процессов и технологий) среди огромного количества общих информационных ресурсов, которые используются для поддержки миссии организации. Определение критичности не является тривиальным. Оно требует оценки ценности ресурса для организации на основе того, как он поддерживает стратегические цели организации. Масштаб и сложность организации, взаимозависимость между ресурсами и динамичный характер использования ресурсов значительно усложняют определение стоимости. Однако точная оценка ресурсов имеет важное значение, поскольку напрямую влияет на качество решений, принимаемых при управлении рисками. Оценка в сочетании с оценкой угроз, уязви-мостей и вероятности (в единицу времени) их пересечения используется для определения потенциального ущерба ресурсу с учетом состояния возможностей безопасности организации.
В совокупности надлежащее повседневное и стратегическое управление операциями по обеспечению информационной безопасности является одним из важнейших факторов успеха в достижении целей организации, определяет циклический пятиэтапный процесс для концептуализации процесса управления информационной безопасностью: проверка, защита, обнаружение, реакция и отражение.
Этап проверки требует идентификации, оценки и присвоения права собственности на информационные активы, критически важные для организации; этап защиты - назначения мер контроля для защиты важных информационных активов, соразмерных их стоимости; этап обнаружения - разработки надежных средств обнаружения, чтобы гарантировать своевременное обнаружение любого нарушения в организации; фаза реагирования - чтобы организация разработала ресурсы и возможности для быстрого реагирования, сдерживания, расследования и устранения нарушений. Обеспечение организационной безопасности требует рассмотрения всех пяти этапов. Пренебрежение любой из пяти фаз может подвергнуть организацию чрезмерным потерям, когда она неизбежно сталкивается с информационным
инцидентом. К сожалению, как будет показано в следующем разделе, организации не знают, предпочитают не делать или не способны реализовать эти этапы эффективным и действенным образом.
Проанализируем примеры ошибок в управлении безопасностью информационных систем.
Рассмотрим гипотетический сценарий, демонстрирующий последствия, которые могут возникнуть, если аспекты документирования управления информационной безопасностью не реализованы должным образом. В этом сценарии есть организация, производящая бытовые приборы. Один из элементов производства требует периодической доставки продукции между объектами, расположенными в разных частях страны, наземным транспортом. Начальник подразделения логистики использует программу управления логистикой, которая хранит маршруты и графики поставок в базе данных, подключенной к сети. Локальная база данных перегружена, поэтому системный администратор решает переместить базу данных логистики на сервер базы данных, расположенный в другом организационном подразделении, не документируя изменения. Как это часто бывает, доступ к сети предоставляется партнеру по работе для облегчения обмена информацией о несвязанной операции. К сожалению, партнер не применяет строгих политик контроля доступа к сети. В результате злоумышленник взламывает систему партнера и использует ее как канал для получения доступа к серверу базы данных, содержащему маршруты и расписания поставок, и взлому. Через некоторое время инцидент обнаруживается, и доступ злоумышленника к базе данных прекращается.
Группа реагирования на инциденты отправляется для расследования нарушения. Находит причину нарушения и начинает исправлять систему. Ключевой обязанностью IRT является уведомление организаций, информация которых хранится в системе, о том, что их информация могла быть скомпрометирована. Проблема заключается в том, что не существует явной документации, которая идентифицирует всех владельцев информации, хранит информацию в базе данных. В течение следующих нескольких дней IRT восстанавливает список владель-
цев информации, чтобы уведомить их о нарушении и получить представление о потере из-за недоступности системы во время исправления. Прежде чем IRT успевает завершить расследование и уведомить пострадавшие стороны, одна из поставок, расписание которой было указано в базе данных, попадает в засаду, что приводит к значительной потере продукции.
Хотя представленный сценарий является гипотетическим, он раскрывает последствия, которые могут возникнуть в результате несоблюдения строгого процесса управления изменениями, недостаточного ограничения доступа к партнерам и неспособности должным образом защитить критически важные информационные ресурсы. Этот пример иллюстрирует ущерб, который может возникнуть в результате утечки информации, и демонстрирует возможности для улучшения управления информационной безопасностью. В данном случае, если бы существовал механизм для документирования информационных зависимостей и обеспечения того, чтобы все потребители информации, которые критически зависели от информации, были немедленно уведомлены в случае нарушения, начальник изменил бы маршрут поставки и предотвратил бы ограбление.
Во многих случаях существуют проверенные политики, процедуры и практики, которые могут значительно уменьшить или устранить риски. Однако, организации часто безразличны, неспособны или просто предпочитают не применять необходимые защитные меры. Причины, по которым организациям не удается реализовать такие меры, когда они доступны, представляются чрезвычайно сложными и требуют серьезного исследования. Для обоснования необходимых видов исследований требуется более глубокое понимание проблем управления информационной безопасностью.
Управление информационной безопасностью сталкивается с тремя основными проблемами. Сосредоточение внимания на них поможет в определении и решении многих проблем в управлении информационной безопасностью.
1. Безопасность как последующая мысль.
Проблема информационной безопасности, рассматриваемая как запоздалая, восходит к эпохе контрольных списков. После
того как система была внедрена, было нормой следовать контрольному списку, чтобы определить, остались ли незакрытыми какие-либо из «дыр» в безопасности. Несмотря на то что сообщество информационной безопасности признало неадекватность контрольных списков как средства решения про -блем безопасности, культура контрольных списков тем не менее возобладала. Отсутствие признания важности учета безопасности при разработке систем и продуктов привело к тому, что бюджетные ассигнования на безопасность были незначительными или вовсе отсутствовали. В результате, если и существует какая-либо безопасность, она, как правило, «прикручена», а не «запечена». Культура контрольных списков в эпоху анализа рисков, возможно, оказала наибольшую медвежью услугу сообществам, занимающимся информационными системами и информационной безопасностью. Цель анализа риска всегда определялась как произведение вероятности возникновения событий и их стоимости. Чтобы анализ рисков был полезным, важно определить активы, которые необходимо защитить, поскольку любой расчет вероятности возникновения негативного события осуществляется в данном контексте. Однако культура контрольных списков вынуждает определять и классифицировать критичность активов на основе некоторого заранее определенного списка. В то же время классификация активов в значительной степени определяется поставщиком без учета контекста использования. Здравый смысл теории вероятностей говорит нам, что вероятность возникновения событий может быть точно рассчитана только при наличии данных о возникновении таких событий в прошлом. Однако преобладающая культура контрольных списков запрещает это делать. Контрольные списки также широко используются при оценке информационной безопасности. Хотя простота использования и удобство развертывания средств контроля, перечисленных в контрольных списках, не может быть оспорена, существуют опасения по поводу отсутствия учета контекста и бизнес-процессов, в рамках которых применяются контрольные листы. Очевидно, что необходимо выйти за рамки контрольных списков и определить требования информационной безопасности с точки зрения того,
что может потребоваться организации. Это поможет рассматривать информационную безопасность как фактор, способствующий развитию бизнеса, а не как требование, которое необходимо выполнять.
2. Двойственность развития и информационная безопасность.
Двойственность разработки - это явление, при котором проектирование систем и безопасности осуществляется параллельно, а не комплексно. В основном это происходит, когда разработчики систем не учитывают требования безопасности в начале процесса разработки. Двойственность разработки можно преодолеть, если учитывать соображения безопасности на этапе логического проектирования разработки систем [8]. Реальным лекарством от двойственности развития является правильность системной спецификации. В идеальном мире правильно заданная система должна точно моделировать реальный мир. Таким образом, анализ требований является, возможно, самым важным этапом разработки систем, который обеспечивает исходные данные для системных спецификаций. Обычно программисты склонны писать код на основе требований. Вот тут и появляются проблемы. Хотя может иметь смысл принять полный набор требований для разработки системы, существует значительный семантический пробел. Поэтому целесообразно разработать требования к политике безопасности, основанные на требованиях пользователя. Это будет первым шагом в формальном определении спецификации безопасности высокого уровня. Формальная спецификация наряду с надлежащими соображениями удобства использования способствует фактическому проектированию системы. Наконец, фактический код написан. Следуя такому последовательному подходу, можно преодолеть двойственность развития. Любое невыполнение этого требования приводит к семантическому разрыву, который влияет на общую правильность спецификации и, следовательно, на безопасность системы. Корректность спецификации системы является важным свойством информационной безопасности. Это предотвращает проникновение двойственности разработки в проектирование систем. При определении систем синтаксическая область (логическая структура программы)
должна удовлетворять семантической области (абстракция реальности).
3. Атеоретическая природа методов и средств информационной безопасности.
Теория - это логическое объяснение взаимодействий набора явлений, которые способны предсказывать будущие события или наблюдения того же рода. За последние несколько десятилетий область управления информационной безопасностью пострадала из-за отсутствия теоретических концепций. Хотя многие исследователи предложили интересные идеи, до сих пор не существует общепризнанных принципов, определяющих «хорошее» управление информационной безопасностью. Существует множество факторов, которые в совокупности затрудняют любые исследовательские усилия. Во-первых, организации так же уникальны, как и люди. Как следствие, результаты, собранные и обобщенные в одной организации в данной области, не всегда хорошо переносятся в другие области или для других организаций. Во-вторых, организации - это динамичные образования. Этот факт часто может подорвать или сделать недействительной архитектуру безопасности, если она не адаптивна. Наконец, лучшие политики, процедуры и практики не будут иметь никакой ценности, если им не следовать. Многие организации разработали отличные руководства, но не проводят периодическую проверку их реализации и оперативного использования. Еще хуже, когда последствия совершения нарушения политики не применяются, что аналогично тому, что полиция никогда не патрулирует шоссе для скоростных автомобилей. Когда это происходит, организация может ошибочно полагать, что она защищена, в то время как ее интеллектуальная собственность, коммерческая тайна и другие активы уязвимы и могут быть скомпрометированы. Эти факторы препятствовали тому, чтобы исследования безопасности информационных систем были кумулятивными. Лучшие политики, процедуры и методы не будут иметь никакой ценности, если им не следовать. Многие организации разработали отличные руководства, но не проводят периодическую проверку их реализации и оперативного использования. Эти проблемы предоставляют исследователям значительное количество возможностей оставить свой след в расту-
щем потоке исследований в области управления информационной безопасностью.
Управление информационной безопасностью как подраздел дисциплины информационных систем все еще находится в зачаточном состоянии. Практики и ученые требуют более глубокого понимания проблем, связанных с информационной безопасностью и действиями по обеспечению безопасности. Таким образом, у исследователей есть огромные возможности для того, чтобы оказать значительное влияние на эту область. Постоянно исследуется взаимосвязь между практиками управления рисками информационной безопасности и другими областями управления рисками внутри фирмы или управления рисками в масштабах всего предприятия. Например, должна ли существовать связь между действиями по управлению рисками, связанными с информацией, и финансовыми или юридическими рисками? Учитывая растущую роль государственного и федерального законодательства в отношении потери конфиденциальных данных в организациях, необходимость согласования процессов управления юридическими и информационными рисками кажется очевидной. Однако, по-видимому, в организационной теории мало что могло бы охарактеризовать эти отношения. На практике кажется, что очень немногие фирмы позиционируют процессы информационной безопасности и гарантии как часть общей деятельности по управлению рисками предприятия. Идеален он или нет - вопрос открытый. Безусловно, подход к информационной безопасности, основанный на управлении рисками, предусматривает характеристику выгод или выгод от использования конфиденциальных данных и информации для принятия решений. Однако для того, чтобы лучше сбалансировать это уравнение риска и вознаграждения, нам необходимо лучше понять природу сопутствующих рисков и действий, предпринимаемых для управления этими рисками. Несколько исследователей пытались изучить сам процесс оценки риска, особенно с точки зрения общих проблем, с которыми сталкиваются менеджеры при подходе к процессу и его выполнении. Отношение, технологии, поведение и другие явления включаются в рассматриваемые риски и виды деятельно-
сти. Чтобы в полной мере оценить эти риски и управление ими, нам необходимо сделать шаг назад и тщательно изучить теории, доступные в рамках базовых дисциплин экономики, стратегического управления, организационного поведения, психологии и других потенциальных источников для применения к проблеме управления безопасностью.
При проведении исследований в этой области могут применяться и применялись различные методологии. Среди прочего, к ним относятся аналитика, эмпирические исследования, лабораторные эксперименты и моделирование. Кроме того, по-прежнему существует острая потребность в уточнении и обобщении теории. Растет число аналитических работ сообщества по экономике информационных систем [9; 3; 4]. Эти работы жизненно важны, поскольку они пытаются связать финансовые вопросы фирмы с темами, связанными с безопасностью. Эти документы важны не только для понимания экономических явлений, связанных с информационной безопасностью в организациях, но и для мотивации корпоративного финансирования текущих исследований. Необходимо провести дополнительные аналитические исследования в отношении количественного анализа управленческих моделей. Поддержка принятия решений с точки зрения статистического анализа, машинного обучения и эвристика жизненно важны для современных менеджеров, работающих в динамичной и сложной среде.
Хэмилл и его коллеги применили подход, основанный на ценностном мышлении [5, с. 463-484], для оценки стратегий обеспечения информации. Генетические алгоритмы использовались для сопоставления уязвимо-стей программного обеспечения с конкретными профилями технологий безопасности [6, с. 592-603]. Также был опробован подход управления рисками к инвестициям в безопасность [7, с. 1-16]. Безусловно, необходима дальнейшая эмпирическая работа. Необходимы глубокие полевые исследования, хотя они трудны, дороги и требуют много времени. Другая возможность заключается во включении «неочевидных» источников данных.
Рассмотрим желательные свойства теорий информационной безопасности.
Любая выявленная или сформулированная теория должна соответствовать следующим критериям:
1. Последовательность. Непротиворечивость относится к свойству, при котором в модели выполняются все предпосылки. То есть модель доказывает, что теория непротиворечива. Обычно любой произвольной модели теории достаточно, чтобы доказать ее непротиворечивость. Однако на практике имеет смысл найти более естественные модели теории, а это означает, что мы исследуем различные модели и оцениваем, соответствуют ли они ментальным моделям теории. Это помогает защититься от не столь очевидных несоответствий.
2. Надежность. Любая теория имеет предположения, основанные на предметной области. Одной из основных проблем при разработке теории является определение допущений, которые необходимо включить. Это требует глубокого понимания области.
3. Фальсифицируемость. Теория научна только в том случае, если ее можно опровергнуть. Поэтому попытка состоит в том, чтобы найти модель (или структуру), в которой определения верны, а предположения (или теорема) ложны.
4. Выполнимость / непредвиденные обстоятельства. Понятие выполнимости - это то, где модели или рамки верны для определений и предположений. В таких случаях эмпирические утверждения могут быть либо подтверждены, либо опровергнуты.
5. Объяснение опыта. Теория информационной безопасности не должна быть просто мнением о том, как безопасность может существовать в организации. Это должна быть попытка сформулировать смысл своего существования. Это может быть сделано путем экспликации содержания некоторых очень определенных переживаний. Такие переживания, очевидно, должны быть логически классифицированы и интерпретированы. Аргументация такой теории не была бы произвольной, но ее обоснованность основывалась бы на совокупности опыта. Такая теория должна вызывать или предполагать возникновение параллельных переживаний, что во многих отношениях было бы эмпирическим. Если теория не может идентифицировать какое-либо объяснение опыта, то в лучшем случае ее можно признать нере-
левантной или отвергнуть. Внимательное рассмотрение этих критериев способствует систематическому развитию теории, помогающей в объяснении и предсказании явлений. Такая теория необходима для информационной безопасности.
Таким образом, современные организации сильно зависят от своих компьютеризированных информационных систем для своих повседневных операций низкого уровня, процесса принятия стратегических решений высокого уровня и всех административных функций между этими двумя. Учитывая эту зависимость, организации становятся все более уязвимыми для атак через свои сети и информационные системы. Надлежащее управление информационной безопасностью стало очень важным соображением. К проблемам управления относятся:
1) обеспечение безопасности после того, как система была разработана, в результате чего в целом система стала менее безопасной;
2) параллельное проектирование систем безопасности и информационных систем;
3) отсутствие теорий в разработке решений этих проблем.
Это отождествление обеспечивает благодатную почву для разработки и проверки новых теорий. Мы предложили различные эталонные дисциплины для этой разработки. Среди прочего, к ним относятся экономика, теория игр, стратегическое управление, психология, социология и криминология. Методологии исследования для разработки и проверки теорий могут широко варьироваться - от этнографических методов до различных типов экспериментов. Наиболее важным соображением при разработке теорий является то, что они должны объяснять по крайней мере один, а предпочтительно совокупность подобных опытов в этой области. Это требует глубокого понимания реальных проблем управления безопасностью с последующей их классификацией, категоризацией и атрибуцией. Возможности для исследований в области безопасности информационных систем будут продолжать расти по мере роста нашей зависимости от информационных технологий.
Список литературы
1. Тиханычев О. В. Прогнозирование при управлении динамическими системами // Программные продукты и системы. 2017. Т. 30. № 1.
2. Баранова Е. К., Бабаш А. В. Информационная безопасность и защита информации : учеб. пособие. М. : Риор, 2018.
3. Gal-Or E., Ghose A. The Economic Incentives for Sharing Security Information // Information Systems Research. 2005. No. 16(2).
4. Cavusoglu H. B., Mishra, Raghunathan S. The Value of Intrusion Detection Systems in Information Technology Security Architecture // Information Systems Research. 2005. No. 16(1).
5. Hamill J. T., Deckro R. F. Kloeber J. M. Evaluating Information Assurance Strategies // Decision Support Systems. 2005. No. 39(3).
6. Gupta M., Rees J., Chaturvedi A. and Chi J. Matching Information Security Vulnerabilities to Organizational Security Profiles: A Genetic Algorithm Approach // Decision Support Systems. 2006. No. 41(3).
7. Yue W. T., Cakanyildirim M., Ryu Y. U., Liu D. Network Externalities, Layered Protection and IT Security Risk Management // Decision Support Systems. 2007. No. 44(1).
8. Baskerville R. Designing Information Systems Security. New York, 1988.
9. August T., Tunca T. I. Network Software Security and User Incentives // Management Science. 2006. No. 52(11).
References
1. Tikhanychev O. V. Forecasting in the management of dynamic systems. Software products and systems. 2017. Vol. 30. No. 1.
2. Baranova E. K., Babash A.V. Information security and information protection: textbook. manual. Moscow: Rior, 2018.
3. Gal-Or E., Ghoz A. Economic incentives for the exchange of security information. Research of information systems. 2005. № 16(2).
4. Cavusoglu H. B., Mishra, Raghunathan S. The significance of intrusion detection systems in the security architecture of information technologies. Research of information systems. 2005. № 16(1).
5. Hamill J. T., Dekro R. F., Klober J. M. Evaluation of information security strategies. Decision support systems. 2005. № 39(3).
6. Gupta M., Rees J., Chaturvedi A. and Chi J. Comparison of information security vulnerabilities with organizational security profiles: an approach using a genetic algorithm. Decision support systems. 2006. № 41(3).
7. Yue U. T., Kakaniildirim M., Ryu Yu. U., Liu D. Network externalities, multilevel protection and IT security risk management. Decision support systems. 2007. № 44(1).
8. Baskerville R. Designing the security of information systems. New York, 1988.
9. August T., Tunka T. I. Network software security and user stimulation. Science of Management. 2006. № 52(11).
