Обеспечение информационной безопасности бизнеса - Н. Голдуев
- Категория: Компьютеры и Интернет / Прочая околокомпьтерная литература
- Название: Обеспечение информационной безопасности бизнеса
- Автор: Н. Голдуев
- Возрастные ограничения: Внимание (18+) книга может содержать контент только для совершеннолетних
Шрифт:
Интервал:
Закладка:
В.В. Андрианов, С.Л. Зефиров, В.Б. Голованов, Н.А. Голдуев
Обеспечение информационной безопасности бизнеса
Под общей редакцией А.П. Курило
Все права защищены. Никакая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, а также запись в память ЭВМ для частного или публичного использования, без письменного разрешения владельца авторских прав. По вопросу организации доступа к электронной библиотеке издательства обращайтесь по адресу [email protected]
Предисловие А.А. Стрельцова
Среди множества проблем социально-экономического развития России в условиях формирования глобального постиндустриального общества заметное место занимает организация устойчивого функционирования и безопасности использования информационных систем и информационно-коммуникационных сетей, обеспечивающих экономическую деятельность. По мере усложнения информационной инфраструктуры бизнеса влияние данного фактора на результаты деятельности коммерческих организаций будет возрастать. Это наглядно видно на примере развития экономики США, для которых обеспечение компьютерной безопасности стало одним из национальных приоритетов XXI в.
Проблема обеспечения информационной безопасности бизнеса имеет много аспектов, но все они так или иначе объединены необходимостью стандартизации принимаемых решений – своеобразной платой за преодоление «проклятия размерности», порождаемого сложностью управляемых процессов.
Предлагаемая вниманию читателей книга «Обеспечение информационной безопасности бизнеса» посвящена рассмотрению стандартов обеспечения информационной безопасности коммерческой организации, представляющей собой основного субъекта экономики общества. В данном случае стандарты – это прежде всего система правил поведения лиц, участвующих в принятии и реализации решений по построению системы обеспечения информационной безопасности организации. С этой точки зрения стандарты являются важным элементом культуры постиндустриального общества, оказывающей непосредственное влияние на эффективность экономической деятельности не только организации, но и общества в целом. Установление стандартов поведения и следование им – важный показатель социальной зрелости общества и общей культуры его членов. Стандарты являются той основой культуры массового производства и потребления, без которой расширение специализации в осуществлении производственной деятельности и потребления ее продуктов, на которых наряду с частной инициативой базируется глобальная экономика мира, было бы невозможным.
Как показывает опыт, одной из наиболее сложных проблем обеспечения информационной безопасности является объяснение руководителю организации в доходчивой форме, чем именно занимается коллектив специалистов по информационной безопасности, почему на эту работу нужно тратить значительные финансовые и иные ресурсы, чего именно можно ожидать в результате этих затрат и как он лично может убедиться в том, что выделенные ресурсы не потрачены впустую. Подобные вопросы возникают не только на уровне руководства организации, но и на уровне многих руководителей федерального, регионального и местного масштаба. Предлагаемая вниманию читателей книга делает существенный шаг вперед в поиске ответов на эти вопросы.
Книга подготовлена авторским коллективом, члены которого обладают большим опытом практической работы по решению сложных проблем обеспечения информационной безопасности в различных сферах экономической деятельности.
Авторы предприняли попытку поставить и решить задачу развития стандартов обеспечения информационной безопасности применительно к деятельности коммерческой организации, увязать связанные с этим вопросы с бизнес-процессами, которые для любой коммерческой организации являются приоритетными. Предлагаемый авторами подход к стандартизации процессов обеспечения информационной безопасности организации базируется на результатах философского осмысления проблемы, ее сущности, а кроме того, на возможных проявлениях в реальной жизни и на разработке структурированных описаний (схем-моделей) стандартизируемых процессов.
Структурно работа состоит из четырех разделов основного материала и приложений.
В первом разделе на основе изучения роли и места информации в бизнес-процессах, а также анализа видов информации, в которых данные процессы проявляются (учредительная и лицензионная база организации, правовая сфера бизнеса, внутренняя нормативная база организации, внешняя и внутренняя отчетность, материальные и информационные активы и т. п.), разработана обобщенная схема – модель информационной безопасности бизнеса. Данная модель основана на анализе источников возникновения рисков снижения эффективности бизнеса, возникающих в информационной сфере организации.
На основе анализа известных схем – моделей осуществления менеджмента разработана схема – модель управления процессами обеспечения информационной безопасности организации или управления рисками нарушения ее информационной безопасности. Данная схема представлена во втором разделе. С учетом устоявшегося подхода к унификации описаний процессов менеджмента предложено стандартизованное описание системы менеджмента информационной безопасности организации, а также реализации ее отдельных составляющих (менеджмента рисков, инцидентов, активов, документов и т. п.).
Возможные методики оценки уровня информационной безопасности организации и примеры их использования рассмотрены в третьем разделе.
В четвертом разделе основное внимание сосредоточено на исследовании проблем противодействия «внутренним» угрозам информационной безопасности, исходящим от сотрудников организации. Предложена соответствующая модель угроз и рассмотрены возможные меры по противодействию этим угрозам.
В приложении приведены справочные материалы по архитектуре стандартов защиты информации и обеспечения информационной безопасности и др., а также изложены подходы к формированию нормативного обеспечения системы информационной безопасности организации.
Практическая значимость книги заключается в том, что в ней с единых методологических позиций рассмотрены проблемы формирования системы обеспечения информационной безопасности организации как упорядоченной совокупности нормативных, организационных и технических решений, позволяющих не только обеспечить противодействие угрозам нарушения информационной безопасности, но и повысить прозрачность процесса построения и функционирования таких систем.
Предложенные в книге выводы и рекомендации базируются на анализе конкретных нормативных и методических материалов, подкрепляются наглядными иллюстрациями и обладают значительным потенциалом дальнейшего развития.
Материалы книги будут полезны ученым и специалистам, занимающимся вопросами обеспечения информационной безопасности организаций, а также студентам, изучающим соответствующие учебные курсы.
А. А. Стрельцов,
профессор, заслуженный деятель науки Российской Федерации, доктор технических наук, доктор юридических наук
Предисловие С. П. Расторгуева
Проблема обеспечения информационной безопасности – вечная проблема, и она будет вечной до тех пор, пока под безопасностью мы будем понимать состояние или ощущение защищенности интересов (целей) организации в условиях угроз. Почему? Потому что состояние защищенности – это субъективное понятие. У волка оно одно, а у овцы – совсем другое. В случае же человека или социума все еще гораздо сложнее, и в общем случае никогда нельзя сказать, чем все это дело закончится, как в известной даосской притче про старика (http://pritchi.castle.by/ras-14-1.html): «Жил в одной деревне старик. Был он очень беден, но все императоры завидовали ему, потому что у него был прекрасный белый конь. Никто никогда не видел подобного коня, отличавшегося красотой, статью, силой… Ах, что за чудо был этот конь! И императоры предлагали хозяину за коня все, что только бы он пожелал! Но старик говорил: “Этот конь для меня не конь, он – личность, а как можно продать, скажите на милость, личность? Он – друг мне, а не собственность. Как же можно продать друга?! Невозможно!” И хотя бедность его не знала пределов, а соблазнов продать коня было немыслимое количество, он не делал этого.
И вот однажды утром, зайдя в стойло, он не обнаружил там коня. И собралась вся деревня, и все сказали хором: “Ты – глупец! Да мы все заранее знали, что в один прекрасный день этого коня украдут! При твоей-то бедности хранить такую драгоценность!.. Да лучше бы ты продал его! Да ты бы получил любые деньги, какие бы ни запросил, – на то и императоры, чтобы платить любую цену! А где теперь твой конь? Какое несчастье!”