Основные проблемы создания и использования информационных систем (информационных ресурсов) организации

Понятие «безопасность» весьма широко и многообразно и покрывает самые разные сферы деятельности, начиная с экономической безопасности и заканчивая вопросами физической защиты персонала и охраны зданий и сооружений. Среди комплекса направлений деятельности присутствует и группа задач, связанная с обеспечением безопасности информационных ресурсов организации и относимая, в соответствии с устоявшейся практикой, к понятию «информационная безопасность» [1].

Информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Информационная безопасность организации — состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие [2].

Информационная безопасность является одним из необходимых аспектов ведения бизнеса в условиях агрессивной рыночной экономики.

В современном деловом мире происходит процесс миграции материальных активов в сторону информационных. По мере развития организации усложняется ее информационная система, основной задачей которой является обеспечение максимальной эффективности ведения бизнеса в постоянно меняющихся условиях конкуренции на рынке.

Рассматривая информацию как товар, можно сказать, что нанесение ущерба информации в целом приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и, как следствие, владелец технологии, а может быть и автор, потеряют часть рынка и т.д. С другой стороны, информация является субъектом управления, и ее изменение может привести к катастрофическим последствиям в объекте управления.

Согласно ГОСТу 350922-96, защита информации - это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. С целью всесторонней защиты информационных ресурсов на предприятиях или в госучреждениях создается комплексная система информационной безопасности [3].

Одним из обобщенных параметров, характеризующих устойчивость ИТ-инфраструктуры, является показатель «живучести», включающий в качестве компонентов безопасность, надежность и доступность. Под «живучестью» следует подразумевать способность инфраструктуры достигать поставленной цели постоянным (непрерывным) способом в условиях атак, сбоев и аварий. Целью же является устойчивость и процветающая деятельность организации в целом.

Естественно, достижение эффекта только в одном из компонентов (в том числе, и в безопасности информационных систем) не даст руководству необходимых гарантий того, что ИТ-инфраструктура, а потому и сама организация будет функционировать надлежащим образом.

Как следствие, исключительную практичность приобретает вопрос о методах и критериях оценки безопасности информационных систем. Система оценок должна носить интегральный характер, так как руководство организации по сути дела интересует не столько конкретный уровень безопасности в частных технологических вопросах, сколько общий уровень качества функционирования самой организации, обеспечиваемый, в том числе, и уровнем безопасности информационных систем.

С практической точки зрения этот вопрос — самый тяжелый. Имеющиеся подходы к проблеме создания инструментов и методик оценки интегрального уровня ИТ-безопасности организации весьма противоречивы. Тем не менее, перечислим существующие подходы.

• Использование стандартов и норм аудита финансовых организаций, включая аудит их информационных систем и аудит безопасности этих систем. Важнейшей особенностью используемых в этой сфере подходов является комплексность оценки всех сторон деятельности организации, каким-либо образом влияющих на риски безопасности. В силу ясного осознания сложности описания аудируемого объекта, в методиках этой категории применяется механизм качественного описания результатов проверки и мягкая рейтинговая система их оценки. Наиболее распространенный рейтинговый стандарт проверки информационных технологий — американский URSIT (Uniform Rating System for Information Technology).Представляется, что этот подход наиболее объективен, однако он принят только в финансовом секторе и не находит применения вне него.
• Проведение аудита ИТ-инфраструктуры организации по стандарту безопасности компьютерных систем ISO 17799. Пока известно лишь о первых, весьма ограниченных попытках применения этого метода, поэтому о практическом опыте говорить рано. Между тем разработчики стандарта заявляют, что после проведения подобного аудита информационная система организации становится «прозрачнее» для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. К сожалению, официально введение данного стандарта в России даже не рассматривается — возможно потому, что его комплексный характер и более широкая и приближенная к жизни модель угроз не соответствует рамкам полномочий ведомств, осуществляющих государственное регулирование в этой сфере.
• Применение для оценки защищенности информационных систем стандартов ISO 15408 «Открытые критерии». В этих стандартах детально проработаны вопросы разработки информационных систем с учетом требований и гарантий их безопасности. Вместе с тем авторами стандарта сделаны серьезные ограничения, которые фактически не позволяют использовать его в качестве универсального инструмента комплексной оценки безопасности и жестко ограничивают область его применения только вопросами безопасности информационных систем. Стандарт не затрагивает административных и правовых вопросов обеспечения безопасности и далеко не полностью учитывает роль легального пользователя во всей совокупности проблем обеспечения безопасности.В настоящее время ведется работа по введению в России этого стандарта как государственного (с некоторыми временными ограничениями по его вводу в действие), что само по себе можно только приветствовать. Однако в силу органически заложенных в стандарте ограничений он не слишком подходит для целей комплексной оценки интегрального уровня безопасности организации.
• Использование для оценки защищенности информационных систем частных методик и критериев, предназначенных для оценки криптографической стойкости алгоритмов шифрования и защищенности информации от утечки по техническим каналам. При этом происходит фактическая подмена модели угроз, в центре которой стоят проблемы борьбы с легальным пользователем системы (он, как уже упоминалось, и является основным источником проблем), моделью соответствующих ведомств, в центре которых стоят субъекты несанкционированного доступа.

При таком подходе фактически одни и те же вопросы в организации подвергаются различным проверкам по различным методикам, по итогам которых выносятся определенные суждения об уровне безопасности отдельных подсистем. Руководство как было, так и остается в некотором неведении в отношении того, насколько правильно организована работа, достаточен ли уровень безопасности, не обесценились ли вложения в эту сферу, или, напротив, не слишком ли много средств расходуется на безопасность.

Применительно к целям руководства, которое объективно заинтересованно в обеспечении устойчивого и эффективного функционирования организации, безопасность является обеспечивающей основные задачи функцией, проявляясь при этом на всех уровнях функционирования организации и оказывая прямое воздействие на ее деятельность в целом. С этой точки зрения важнейшим свойством безопасности в обеспечении интересов организации в целом оказывается возможность обеспечения ее прозрачности и контролируемости. Это необходимо учитывать при разработке политики безопасности информационных систем.

Под прозрачностью здесь следует понимать возможность получения объективной и целостной информации на всех уровнях организации в ограниченные сроки без создания конфликтной ситуации. Под контролируемостью понимают возможность получения в ограниченные сроки объективной оценки результатов решений, принимаемых на данном уровне организации, и внесения соответствующих изменений в действия сотрудников и подразделений в целях получения желаемого результата.

Реализация этих свойств позволяет руководству организации: