Обеспечение информационной безопасности бизнеса
Шрифт:
профессор, доктор технических наук
Введение
В течение ряда лет мы наблюдаем, что в нашем обществе среди специалистов, так или иначе имеющих отношение к вопросам безопасности вообще и к вопросам информационной безопасности в частности, не снижается интерес к вопросам обеспечения информационной безопасности бизнеса.
Существует значительное число публикаций по различным аспектам безопасности (охрана, контроль доступа, физические аспекты безопасности, экономическая безопасность, информационная безопасность, охрана секретов, криптография, персональные данные, критические технологии, борьба с терроризмом, непрерывность бизнеса, катастрофоустойчивость, борьба с сетевыми
Следует также отметить, что общих подходов к проблеме, как правило, не формулируются, каждый рассматриваемый и анализируемый аспект отражает только профессиональные предпочтения специалистов.
В целом для ситуации характерен узкоспециализированный подход, взгляд на проблему сквозь призму профессиональных приверженностей, что никогда и нигде не способствовало пониманию вопроса и в конечном итоге — делу.
В этом многоголосии практическому специалисту, который реально занимается вопросами обеспечения безопасности собственной организации, достаточно сложно ориентироваться, найти ответы на возникающие вопросы, выработать правильный путь деятельности. Это подтверждают острота и накал дискуссий вспыхивающих практически по любому вопросу, как сейчас, например, по проблеме персональных данных.
Следует сказать, что наша страна в целом ориентируется на экономическую открытость, взаимодействие с западным бизнесом, нужна платформа для такого взаимодействия и в этом направлении сделаны настоящие революционные шаги — высшее руководство государства сформулировало задачу модернизации экономики. Один из практических шагов на этом пути — широкое использование зарубежных стандартов и лучших практик там, где до настоящего времени не удалось создать современных российских регламентов, стандартов и правил. С этой целью приняты соответствующие поправки в Федеральный закон «О техническом регулировании».
Остро встал вопрос трансграничного взаимодействия экономических субъектов, а также институтов государств. Для такого взаимодействия также нужны универсальные правила, понятные, приемлемые и одинаково применимые в странах, где находятся субъекты этих отношений.
На этом фоне безопасность, как специфическая отрасль знаний и еще более специфическая научная дисциплина, переживает исключительно динамичный этап развития.
Коротко напомним этапы ее развития.
На протяжении тысяч лет под обеспечением безопасности информации понималась исключительно задача обеспечения ее конфиденциальности. Были испробованы разные способы обеспечения конфиденциальности — от тайнописи и использования незнакомого иностранного языка для скрытия информации от недруга до отрезания языка носителю информации, что было, видимо, эффективно в условиях, когда письменностью владели единицы людей и онемевший носитель не мог передать никому свое знание секрета. В итоге конкуренции методов обеспечения конфиденциальности развилось и победило новое научное направление — криптография, в котором работали и работают выдающиеся математики как прошлого, так и современности. Это направление получило два толчка в XX веке — радио представило новую возможность передачи информации по «эфиру», и сразу возникла необходимость передавать по открытым «эфирным» каналам большие объемы конфиденциальной информации, а несколько позже появились вычислительные машины, сначала аналоговые, несколько позже электронные, которые сразу были использованы для решения двух задач: создание эффективных шифров и алгоритмов и их «взлом».
Широкое применение во время Второй мировой войны авиацией и флотом фашистской Германии шифровального оборудования — роторных шифровальных машин «Энигма», с одной стороны, и необходимость повышения эффективности боевых действий союзников на суше и операций по борьбе с фашистскими подводными лодками, представлявшими крайне серьезную угрозу, — с другой, породили новые направления в радиоразведке и технической защите информации.
Это была борьба за повышение качественных показателей систем дешифрования, пеленгации и радиоразведки,
Следующий толчок в развитии проблемы дало широкое внедрение в практическую жизнь средств вычислительной техники в 1960-1970-е гг. В это время сервисы информатизации, которые ранее были уделом узкого круга специалистов, стали доступны широким слоям обычных людей, в основном работникам фирм и организаций. От основного, военного направления в криптографии возникла боковая ветвь — гражданская криптография, направленная кроме основных традиционных целей на обеспечение целостности несекретной информации.
И наконец, в 1980-е гг. все существенно изменилось в связи с появлением персональных ЭВМ и чуть позже — возникновением сети Интернет.
В середине 1970-х гг. в связи с созданием крупных баз данных и переводом все больших объемов информационных ресурсов в цифровую форму в проблеме защиты информации наметился сдвиг от инженерного подхода к вопросам информатики в область управления доступом к вычислительным и информационным ресурсам, что нашло отражение в итоге в создании в США знаменитой «оранжевой книги», использованной впоследствии для разработки отечественных требований по защите информации в автоматизированных системах Гостехкомиссии СССР (позднее ГТК России, сейчас ФСТЭК).
Но потенциал этой идеи в силу ее статичности был достаточно быстро исчерпан, в середин 1990-х гг. «оранжевая книга» как отжившая идея была публично сожжена, а международными экспертами в области безопасности в примерно в одно время было сформировано два направления развития — создание технических стандартов по обеспечению безопасности продуктов информационных технологий под общим названием «Общие критерии» и создание семейства стандартов качества, а в последнее время — управления, под обобщенным названием «Стандарты аудита безопасности».
Стало очевидно, что «Общие критерии» не получили широкого распространения в силу ряда причин (ограниченность сферы применения, сложность и ограниченность используемых механизмов оценок), поэтому началась их активная доработка в направлении второй группы стандартов, а сама группа стандартов аудита обогатилась концепцией «риск-ориентированного подхода», что означало фундаментальные изменения в концептуальных взглядах на проблему безопасности в целом и сдвиг проблемы защиты информации, а если точнее — информационной безопасности в сферу управления сложными техническими системами и коллективами, как эксплуатационного персонала, так и пользователей.
В последнее время в теории и практике управления возникло еще одно направление — создание стандартов управления организациями, имеющее своей целью оптимизацию внутренней структуры организации для получения максимального результата от их деятельности (реинжинринг). Появились «Стандарты управления деятельностью организаций», которые рассматривают общие вопросы управления сложно организованными коллективами людей.
Но если говорить о безопасности как научной дисциплине, то, пожалуй, впервые за все время она подверглась анализу и глубоким разносторонним исследованиям, что, по-видимому, и послужило толчком для последних разработок на базе риск-ориентированных подходов.