Обеспечение информационной безопасности бизнеса
Шрифт:
Анализ на признаки злоумышленной активности проводится для всех пространственно-временных областей деятельности, давших при оценке превышение предустановленных значений цели деятельности. Таким образом, практически все рисковые события (базовых рисков) организации могут иметь злоумышленную природу (с точки зрения ИБ). Отсюда следует, что практически все из них должны исследоваться безопасностью. Однако ясно, что информативность событий существенно разная. Учитывая, что анализ в большинстве случаев накопительный, т. е. размерность задачи большая, становится важным осуществлять
— предварительного анализа, позволяющего выявить наиболее информативные с точки зрения ИБ пространственно-временные области деятельности;
— на основе накопления и обобщения реальных практик, т. е. на основе моделей Деминга — Шухарта.
1.3.8. Предварительный анализ
Как видно, влияние рисков ИБ на базовые риски организаций имеет сложный нелинейный характер. Через риски ИБ для базовых рисков происходит консолидация внутренних и внешних риск факторов, что затрудняет оперативный анализ, создает неопределенность. Риски ИБ, реализуясь, искажают (модифицируют) тем или иным способом информационную сферу. Она, в свою очередь, один из источников (среда) факторов базовых рисков, т. е. некоторая сущность, осуществляющая «перенос» рисков ИБ в базовые риски.
Понятно, что увеличение в силу разных причин числа инцидентов ИБ приведет к увеличению (возникновению) инцидентов базовых рисков, при том что основные влияющие на них риск-факторы не изменились. Возникшее несоответствие есть неопределенность, и классическое реагирование на риск в этом случае будет вынуждено базироваться на противодействии неуправляемым и неизмеряемым внешним факторам, что почти невозможно. Именно поэтому и нужно исследовать, как это указано в задачах идентификации, возможное наличие составляющей безопасности.
По сути, предварительный анализ есть обратная задача идентификации, т. е. мы пытаемся ответить на вопрос о том, какие связи между реализовавшимися событиями ИБ и базовыми рисками и каков их характер. На этой основе априори выделяются критические пространственно-временные области деятельности. Эта неопределенность требует, часто тщательных и трудоемких, расследований, поэтому реальные инциденты ИБ (реализовавшиеся рисковые события) могут быть не закрыты длительное время. Поэтому чрезвычайно важно иметь «заготовки» — предварительно исследованные фрагменты причинно-следственных связей и отношений между вовлекаемыми субъектами и объектами анализа.
Важно также, с какой степенью подробности и достоверности документируются внутренние процессы информационной сферы. Предварительный анализ основывается на тех соображениях, что:
а) рисковое событие есть сочетание активизированных риск-факторов в одной и той же точке, в одно и то же время;
б) наносимый ущерб или наступающее негативное последствие также есть сочетание факторов, определяющих состояние информационной сферы (или бизнеса) и момент времени, когда рисковое событие наиболее опасно. Обычно это бывает на завершающей стадии реализации цели, особенно в случаях, когда произведенные инвестиции
В этом смысле все возникающие пространственно-временные соотношения и есть предмет анализа. Очевидно, что если поставить риск-факторы в зависимость так, что при активизации одного фактора другой, наоборот, нормализуется, то рискового события не произойдет. Это верно для случая, когда все риск-факторы управляемые, а нормализация приводит к нулевому значению оценки фактора. Если сущности а) и б) сдвинуты во времени так, что при максимальном значении а) наблюдается минимальное значение б), то наступающее рисковое событие не нанесет значимого ущерба.
Главная цель анализа — выявить пространственно-временные области деятельности, в которых объект в силу несовершенства своей информационной сферы, своих возможностей и своего поведения сам создает предпосылки (порождает и (или) активизирует факторы) к наступлению событий с потенциально большим ущербом. В таких случаях ущерб списать можно только на «самого себя». В идеале таких случаев не должно быть, они должны быть идентифицированы и устранены.
1.3.9. Накопление знаний
Можно, хотя и достаточно, условно выделить две формы знаний:
— информационное;
— эмпирическое.
Информационное знание получается нами либо умозрительно (на основе анализа и синтеза одних только информационных сущностей без эксперимента), либо вообще в готовом виде извне, например из специальных публикаций по интересующей нас проблеме или от учителя. В последнем случае знание отражает чужой опыт и должно быть принято нами на веру. При этом мы должны ответить на вопрос: если «у них» так было, то почему, в силу каких факторов и обстоятельств, «у нас» будет так же, — понимая при этом, что двух идентичных условий реализации процессов не может быть. Степень нашей уверенности в ответе на поставленный вопрос определяет характеристику такого знания, его силу.
В случае умозрительного моделирования интересующего нас процесса единственным основанием для уверенности может служить тот факт, что «мы уже так делали», хотя и для другого процесса, и с некоторой степенью точности получали полезный результат.
Достоинством информационного знания является то, что это «быстрое» и «дешевое» знание; недостатками — отсутствие исчерпывающих оснований для уверенности в адекватности этого знания интересующему нас процессу и проблемы с силой такого знания.
Эмпирическое знание, наоборот, основывается только на реальной фактуре, на том, что идентифицированные нами причинно-следственные связи и отношения между объектами и субъектами процесса реально происходили и нами наблюдались в объеме, достаточном для вывода о том, что наблюдаемое нами состояние процесса есть следствие (последствие), и в какой мере, тех или иных произошедших событий. Накопление эмпирических знаний формализуется в рамках модели Деминга — Шухарта, предполагающей определенный цикл шагов, собранных в схему непрерывных циклических улучшений.