Обеспечение информационной безопасности бизнеса
Шрифт:
Теперь остается поставить себя на место конкурента, который также желает получить для себя преимущества, и получим основные уязвимости процесса самообучения.
Во-первых, полный доступ к информации, знаниям и опыту организации, обеспечивающий эффективное самообучение, сам по себе является одновременно уязвимостью. Реально во всех организациях внутренняя информация, хотя бы неформально, категорируется по степени важности и ограничениям в доступе и доступ к чувствительной информации как-то регулируется. Вторая уязвимость, связанная с эффективностью, — уже обсуждавшаяся общая информационная культура работы с информационной сферой организации. Чтобы персонал организации мог своевременно получить доступ к нужной ему адекватной и точной информации, она
Во-вторых, перед принятием решений по крупным бизнес-проектам велик риск создания и навязывания конкурентами потоков ложной и маскирующей информации, возможно, по нескольким независимым каналам. Эта угроза усугубляется специально созданным (конкурентами же) дефицитом времени или другими условиями (например, атакой на доступность серверов с базами данных), не позволяющими проверить достоверность этой информации или затрудняющими эту проверку. Отметим, что активность конкурентов, скорее всего, нельзя будет назвать злоумышленной, они просто пытаются взять свое, реализовать свой бизнес, о существовании вашей организации и ее участии в бизнесе они даже могут и не знать.
В-третьих, всегда есть риск, что данные, принадлежащие организации, будут похищены или она будет поставлена в условия, когда будет вынуждена хотя бы частично их предоставить, например, участвуя в конкурсах и тендерах на выполнение проектов. Защититься от использования ваших знаний конкурентами в своей деятельности, включая противодействие утечке через переманивание персонала, можно за счет децентрализации знаний. Защититься от использования вашей информации в других целях значительно сложнее. Как правило, это инсайдерская информация. Наиболее опасны менеджеры высшего уровня, владеющие большим объемом особо ценной информации. В любом случае угроза хищения данных тем больше, чем более доступна чувствительная для организации информация. Таким образом, есть противоречие с эффективностью накопления знаний, где важно, чтобы знания были всем одинаково доступны.
Низкий ресурсный порог информационных воздействий, а также то, что информация ничего не стоит до момента ее использования, существенно понижают психологический порог субъектов и усиливают их склонность к нарушениям (несоблюдению правил) в информационном мире. Это усугубляет ситуацию и увеличивает риск реализации угроз хищения и информационного противоборства.
1.1.4. Определение информационной безопасности
Постепенное осознание факта, что информационное воздействие на бизнес-процесс (на управление им) может быть эффективнее, чем материальное или финансовое воздействие, а также низкий ресурсный порог таких воздействий превращают информационное противоборство в главный инструмент выживания и конкурентной борьбы. А это, в свою очередь, выводит на первый план роль информационной безопасности, которая должна быть неразрывна с бизнесом.
Под информационной безопасностью (ИБ) организации понимается состояние защищенности интересов (целей) организации в условиях угроз в информационной сфере.
Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений. Рассмотрим основные свойства информационной сферы, важные с точки зрения ИБ.
1.2. Материальные и нематериальные (информационные) аспекты бизнеса
1.2.1. Общая структура информационной сферы. Связь с материальным миром
Реальное управление активами организации в процессе реализации любого бизнеса осуществляется менеджментом на информационном уровне. Любые операции с материальными активами, как правило, сопровождаются параллельно выполняемыми операциями с их информационными описаниями или представлениями.
Операции с материальными активами сопровождаются, как правило, финансовыми операциями, которые также отображаются на информационную сферу. Для нашего примера это оплата стоимости основного средства его продавцу или производителю по выставленным счетам, счета-фактуры, сопровождающие поставку изделия, с информацией для учета налога на добавленную стоимость, расчеты по договорам выполнения пусконаладочных работ и т. п. Эти операции выполняются с участием банковской системы, где также остаются информационные следы операций в виде информации о выполненных проводках.
Если материальные объекты всегда имеют в среде организации свой информационный образ, то у некоторых информационных объектов в материальном мире эквивалента нет. Это отношения между субъектами и отношения между субъектами и объектами материального мира. Например, таковым является право субъекта на объект — некоторая информационная сущность (правоустанавливающий документ), которая всеми признается. Предъявив эту информационную сущность, субъект может заполучить себе материальный объект.
Параллельное существование, движение и взаимодействие объектов в реальном (материальном) и информационном мире иллюстрируется моделью на рис. 3. Часть транзакций с объектами может происходить в материальном виде, а часть — в информационном. Частично это управление, а частично — транзакции с описаниями материальных объектов. При этом действия над материальными объектами сопровождаются, а в некоторых случаях заменяются, действиями над их описаниями. Например, одной из процедур может быть предъявление права на материальный актив в виде информационного объекта (правоустанавливающего документа), описывающего отношения владения между информационными представлениями объекта и субъекта. Материальный объект в этом случае никак не участвует в операции, он не подвергается никаким изменениям, может не перемещаться в пространстве, более того, может вообще не существовать в материальном мире, для выполнения операции достаточно иметь только его информационный образ.
Понятно, что целенаправленная деятельность будет нормально осуществляться в том случае, если реальный мир и информационный мир адекватны друг другу. Однако полного их соответствия друг другу нельзя достичь даже теоретически, так как в реальном мире объект зависим от времени, он «стареет», подвергается изменениям, в то время как его описание, полученное в какой-то момент времени, остается далее неизменным. В этой связи могут возникать либо искусственно создаваться различного рода коллизии. Например, реально объект существует, а его информационные следы отсутствуют. В этом случае он может быть «безболезненно» нештатно изъят из системы «реальный информационный мир» и использован в других целях. Наоборот, наличие «избыточного» информационного образа приведет в конце концов к возможности или необходимости штатного изъятия реального объекта, которого на самом деле нет, что в свою очередь создаст дефицит ресурса, не позволит достичь поставленной цели.
Риск возникновения подобных коллизий есть свойство информационной сферы. Главный источник этого риска — сам бизнес, особенно если он большой и территориально распределенный. Наиболее вероятная угроза, связанная с реализацией рисковых событий, приводящих к коллизиям, — конфликт интересов внутри организации. Персонал организации и особенно субъекты ответственности, менеджеры верхнего и среднего уровней, имея цели, отличные от целей организации, могут использовать ее активы (информацию, материальные активы, ресурсы) в своих интересах.