Как уже отмечалось, аспектов обеспечения информационной безопасности бизнеса достаточно много, но в целом есть и ряд общих моментов, на которых следует коротко остановиться.
Ведение бизнеса всегда предполагает наличие некого первоначального капитала, актива, который вкладывается в некое «дело» с целью получения прибыли. Все остальное, не имеющее актива, к бизнесу не относится и не рассматривается.
Эффективность бизнеса тем выше, чем выше прибыль – это аксиома. На величину прибыли влияет несколько факторов, среди них выделяются наиболее существенные:
– величина внутренних издержек, в том числе на содержание коллектива и затрат на обеспечение безопасности в том числе. В результате задания неправильных требований по безопасности, величина издержек может стать настолько обременительной, что сделает бизнес не эффективным;
– качество управления собственным активом. Если кроме собственника актива или его представителя активом может управлять еще кто-то в собственных интересах, то актив может разворовываться, а бизнес – существенно ухудшаться. Пример перед глазами – хищение средств в карточных платежных системах и в системах дистанционного банковского обслуживания;
– качество работы коллектива, обеспечивающего бизнес;
– скорость реакции коллектива на внешние факторы, влияющие на бизнес, или на управляющие воздействия;
– стратегия и качество ведения самого бизнеса;
– выбранная стратегия управления рисками, в том числе экономическими рисками и рисками информационной безопасности.
Следует также отметить, что бизнес ведется, как правило, во враждебной среде, в условиях конкурентной борьбы, неблагоприятного законодательства, риска рейдерства, часто нескоординированной деятельности различных надзорных органов. Особое место в этом списке занимает криминал, стремящийся отнять или поставить под контроль прибыль от вложения активов. Наиболее в острой форме это появляется в банковском бизнесе, поскольку банки работают с самой сублимированной формой активов – деньгами, а атака на них наиболее результативна, потому что приносит быстрые и ощутимые результаты.
Поэтому все большее значение приобретает прогноз, то есть моделирование возможных рисковых ситуаций и разработка превентивных защитных мер, позволяющих избежать (отразить, уклониться) последствий от атак на бизнес или на среду, обеспечивающую использование активов, составляющих основной элемент бизнеса.
Также следует отметить, что среди всего набора угроз и рисков существует определенная иерархия, по силе воздействия и уровню катастрофичности для бизнеса угрозы серьезно различаются. Так, политические риски или риски несоответствия законодательству являются для бизнеса определяющими, так как способны вне зависимости, насколько качественно осуществляется работа по минимизации рисков информационной безопасности физически уничтожить бизнес (лишение лицензии, налоговые штрафы и т. д.). К сожалению, следует говорить и о рисках, возникавших и при взаимодействии с правоохранительными органами, например, когда в ходе расследования изымались оригиналы документов или сервера с базами данных, что неминуемо ведет к катастрофическим последствиям для организации.
С другой стороны, при абсолютно благоприятном внешнем политическом, законодательном и экономическом фоне, реализация рисков информационной безопасности может нанести субъекту бизнеса ущерб такого размера, от которого оправиться крайне сложно.
Таким образом, существует ряд рисков, включая риски информационной безопасности, ущерб от которых может быть неприемлем для субъекта бизнеса. В то же время некоторые общие риски политического, экономического и правового характера обладают «кумулятивным» эффектом и способны нанести системный ущерб, затрагивающий практически все сферы деятельности организации.
Что касается угроз информационной безопасности бизнеса, то их условно тоже можно разделить на две группы:
– традиционные угрозы безопасности информации, такие как нарушение конфиденциальности или неправомерное использование информации, реализуемые через новые механизмы, возникшие в результате использования информационных систем;
– новые угрозы, порожденные спецификой информационных систем – вирусы, сетевые атаки, нарушения функционирования и отказы разного рода, всевозможные нарушения персоналом установленных регламентов, инструкций и предписаний по эксплуатации и обслуживанию информационных систем.
Эти и другие вопросы авторы постарались рассмотреть в книге, предлагаемой вниманию читателя.
1
Философия информационной безопасности бизнеса
1.1. Бизнес и информация
1.1.1. Информационная сущность бизнеса
Информация является неотъемлемой частью бизнеса. Бизнес-процессы не могут существовать без информации и вне информации, хотя бы потому, что бизнес существует в рамках определенной правовой среды, определяемой совокупностью информационных объектов, таких как законодательные и нормативные акты, постановления правительства и другие подобные документы, и формирует отчетность по нормам этой правовой среды, т. е. порождает информацию определенного вида. Сущность бизнес-процесса представляется как процесс достижения некоторой совокупности целей (бизнес-целей) на основе управления активами. Информационной сущностью бизнеса и является этот процесс управления. Если правовое поле, отчетность, активы и возможные операции над ними во многом зависят от природы бизнеса, то процесс управления в большой степени инвариантен к ней.
Главная особенность управления в бизнесе, существенно отличающая его от некоторых других, например технических систем автоматического управления и регулирования, является большая задержка между моментом принятия решения и получаемым результатом, что иллюстрирует рис. 1. После принятия решений по управлению реализуется некий процесс бизнеса, протекающий в слабодетерминированной внешней среде, не все параметры которой контролируются организацией, осуществляющей бизнес. Таким образом, результат принятых решений наблюдается с задержкой и иногда весьма значительной. Поэтому важнейшей для бизнеса является способность предвидеть возникновение разного рода ситуаций (как благоприятных, так и неблагоприятных) в среде бизнеса и в самом бизнесе. Это чисто информационная задача, в основе которой лежит прогноз.
Рис. 1. Особенность управления в бизнесе
Когда задумывается и реализуется какой-либо процесс целенаправленной деятельности необходимо поставить и ответить на следующие вопросы.
• Будет ли достигнута цель в том виде, как предполагается?
• Достаточно ли в нашем распоряжении операционных возможностей, знаний (опыта), соответствует ли потребностям качество подготовки персонала и система менеджмента?
• Достаточно ли привлечено ресурсов для достижения поставленной цели?
• Достаточен ли интервал времени, устанавливаемый для достижения цели?
Из поставленных вопросов видно, что ответы на них требуют анализа различных информационных сущностей, описывающих в формализованном или неформализованном виде различные аспекты деятельности, отраженные в заданных вопросах. Ясно, что ответы на эти вопросы могут быть получены только в виде прогнозов, т. е. тоже в виде информационных сущностей. Очевидно также, что все вопросы взаимозависимы и, следовательно, ответы на них должны быть взаимоувязаны. Совокупная погрешность ответов на вопросы создает консолидированный риск достижения цели. Величина этого риска зависит еще и от того, насколько изменятся условия реализации цели в процессе ее достижения, и от характера этих изменений.
1.1.2. Информационные характеристики бизнеса
Необходимые для прогноза данные: все прошлое и будущее, включая любые формулировки целей и планы их реализации, вся среда бизнеса и вообще материальный мир – существуют в виде описаний, т. е. в виде информации. Чем больше интервал времени T и связанный с ним прогноз (см. рис. 1), тем лучше должен быть организован бизнес. Но тем труднее сделать точный прогноз, и тем более качественная информация для него требуется. Информационное поле бизнеса или его информационная сфера образуется из:
– правовой среды (законодательных и нормативных актов, постановлений правительства и прочих документов);
– отчетности по нормам правовой среды;
– специфичной информации бизнеса.
Эта последняя информация наиболее динамична и включает:
– субъекты, объекты и процессы бизнеса, представленные в информационном виде;
– нормативную, организационно-распорядительную и иную документационную базу организации;
– данные мониторинга бизнес-среды и собственной среды;
– аналитические данные (обзоры) и прогнозы состояния внешних и внутренних факторов влияния;
– накопленные и обобщенные практики (знания);
– стратегические и оперативные планы организации и решения по ним.
Качество информации, используемой для прогноза при принятии решений, определяется не только количеством используемых данных, но и (в наибольшей степени) тем, как эти данные систематизированы и обобщены, насколько адекватно используемые понятия, теоретические построения и представления отражают материальный мир и среду бизнеса и организации. Поэтому надо говорить не просто о данных или информации, а о знаниях, помогающих рационально организовывать деятельность организации по достижению поставленных целей и решать различные проблемы, возникающие в процессе этой деятельности. Следовательно, главная проблема бизнеса в информационной сфере – проблема накопления хорошего знания, являющегося единственной гарантией точности прогноза.
Основные требования к качеству информации и знаний иллюстрирует рис. 2. Данные нижнего уровня пирамиды управления, накапливаясь и подвергаясь систематизации и обобщению, должны превращаться в отфильтрованную полезную информацию, а затем накапливаться в виде знаний и использоваться на всех уровнях иерархии управления.
С точки зрения возможностей по накоплению знаний можно выделить информационно опасные виды бизнеса. Признаки, позволяющие отнести бизнес к информационно опасному виду:
– бизнес, требующий долговременных инвестиций: здесь требуется очень долговременный прогноз, который сделать практически невозможно, ситуация усугубляется, если инвестиции делаются в новое, слабо исследованное направление;
– бизнес, реализующийся в сильно изменчивой среде: основная сложность организации такого бизнеса состоит в накоплении знаний, как следствие точный прогноз становится невозможен;
– краткосрочный (однократный) бизнес, требующий быстрого накопления знаний: организаторы бизнеса, как правило, надеются на «удачу» и часто проигрывают;
– абсолютно новый вид бизнеса: накопление знаний происходит в процессе развертывания бизнеса, осуществляемого путем инвестиций мелкими порциями, при этом часто оказывается необходимой модификация первоначально поставленной цели;
– бизнес «реального » времени – условия (среда) изменяются одновременно с возвратом инвестиций: знания невозможно накопить вообще.
В настоящее время наблюдается существенное повышение роли информатики в бизнесе, что обусловлено информационными характеристиками современного бизнеса. Информационная составляющая бизнеса постоянно растет, и рост ускоряется. Прежде всего это резкий рост факторов, влияющих на успешность бизнеса, и их пространственно-временная распределенность. Стремление организаций учесть максимальное число таких факторов в условиях сокращения времени на принятие решений, приводящего к необходимости быстрой обработки большого количества информации, требует использования соответствующих технических средств, компьютерных сетей и телекоммуникаций. Эти потребности и стремление к снижению издержек все больше перемещают бизнес из материального мира в информационный. Но одновременно при сокращении времени на принятие решений затрудняется проверка достоверности информации, на которой эти решения должны быть основаны. Необходимость повышения точности прогноза и принимаемых решений сопровождается неполнотой, неточностью и несвоевременностью получаемых и используемых для него данных.
Рис. 2. Качество информации определяет качество и эффективность управления
1.1.3. Уязвимости процессов накопления знаний (самообучения)
Сам по себе процесс получения и накопления информационного знания, или процесс самообучения, внутреннее свойство любого бизнеса. Проблема в том, что этот процесс уязвим. Его уязвимость во многом определяется свойствами и особенностями информационной сферы, подробно рассмотренными в следующем разделе. Отчасти эти особенности проистекают из свойств информации как таковой: невозможность создания точного информационного образа материального мира, неизменность информационных объектов во времени, приводящая к возникающей неадекватности описаний реальным (стареющим) объектам, противоречивость и неполнота нормативно-правовой базы и т. п. Чрезвычайно существенный фактор – низкая информационная культура использования информационной сферы. Чтобы обеспечить необходимые свойства и качество информации, надо прикладывать соответствующие усилия. Если информационную сферу бизнеса или организации специально не организовывать, придавая ей определенную структуру и наделяя необходимыми полезными свойствами, то она превращается в шум. В ней возникают разрывы, всякие коллизии, она заполняется мусором, неактуальными сведениями, что и означает «низкая информационная культура». Неадекватные, неправильные и бесполезные знания не позволят делать точные прогнозы, принимать правильные решения, и бизнес придет в упадок. Таким образом, «стихийное» самообучение и накопление знаний необходимо соответствующим образом направлять и организовывать, реализуя в информационной сфере комплекс мер, способствующий тому, чтобы она была адекватная, качественная и обладала свойствами, полезными для бизнеса и организации.
Другие уязвимости процесса самообучения вызваны особенностями осуществления любого бизнеса и тем конфликтом интересов, который проистекает из этих особенностей. Рассмотрим подробнее, причем будем идти не от уязвимостей, а от того, каким образом бизнес или организация могут получить преимущества для себя, поскольку это основная цель бизнеса и организации при накоплении и обобщении знаний. Решающее значение для получения преимуществ в бизнесе имеет точный прогноз, осуществляемый на основе этих знаний.
Менеджмент организации обычно требует как можно более точного и продолжительного прогноза. Возникает вопрос: насколько точным и долговременным должен быть прогноз реально? Эти характеристики зависят от вида и природы бизнеса и величины участвующих в деле активов (см. признаки информационно опасного бизнеса). Но на практике, чтобы получить преимущество, достаточно иметь лучший и более продолжительный прогноз, чем у других участников бизнеса. Чтобы получить преимущество, есть три способа, обычно используемых в сочетании друг с другом.