Концепция взаимодействия уровней обеспечения информационной безопасности как основа проведения защитных мероприятий, или принципы “безопасной десятки”

Автор: Баластрова К.Н.

Северо-Кавказский Федеральный Университет, Институт информационных технологий и телекоммуникаций, г. Ставрополь

Современная реальность, характеризующаяся устойчивой тенденцией к созданию единого глобального информационного поля, превратила информацию в важнейший социально-экономический ресурс, представляющий собой не только ключевой фактор эффективности всех сфер человеческой деятельности, но и основу интеграции мирового общества. Всеобъемлющее влияние, абсолютность использования и универсальность информационных потоков обуславливают высшую потребительскую ценность и стремление обеспечить его сохранность.

Известно, что принципиальное отличие информации и способах ее хранения, субъективность и неотъемлемый фактор привязки к интеллектуальному источнику информации – человеку. Именно поэтому человеческий фактор был и остается основным в обеспечении конфиденциальности, целостности и доступности информации.

Основные процессы взаимодействия информации, а именно средств и методов ее защиты, с персоналом производственно-экономической структуры, в рамках которой проще всего рассматривать вышеуказанное взаимодействие, протекают на так называемом административном уровне информационной безопасности.

Главная цель, определяющая функционирование уровня, осуществление целеполагания. Здесь формируется стратегический план по проведению мероприятий защиты информации, определяются необходимые ресурсы, осуществляется контроль исполнения плана.

При составлении плана мероприятий, необходимо удовлетворить иногда достаточно противоречивые цели: максимизировать доступ к информации о продуктах собственной деятельности потенциальных покупателей и минимизировать вероятность потерь, искажений данных и несанкционированного доступа. Но, как ни печально, практика показывает, что в 90 % случаев соблюсти баланс между этими целями не представляется возможным. Итогом становится выбор одного из двух вариантов: либо сделать информацию организации доступной потенциальным клиентам на достаточном уровне, рискуя и снижая показатели конфиденциальности, либо же ограничить доступ к данным настолько, что риски станут минимальными, но, тем самым, сделав затруднительной возможность потенциальных клиентов оценить необходимость сотрудничества с организацией.

Трудоемкость осуществления выбора политики информационной безопасности на предприятии, субъективность принятия решений, сделали проблему защиты информации от несанкционированного доступа особенно острой. Согласно многократным статистическим исследованиям, в России практически нет ни одной сети, абсолютно защищенной от различных видов преступного вмешательства. Проблема, пожалуй, заключается в том, что абсолютно полная картина знаний о способах и методах преступности подобного рода по-прежнему принадлежит злоумышленникам, хотя исследования ведутся в весьма ускоренном темпе, и, близка ситуация, когда проблема защиты информации будет близка к состоянию абсолютного решения.

Но пока этого не произошло, необходимо принимать меры предосторожности и соблюдать некоторые правила.

На мой взгляд, концептуальная сторона вопроса лежит в необходимости более полного взаимодействия административного уровня обеспечения защиты информации и уровня физической защиты. Если административный уровень характеризуется общим видением проблематики, возможностью долгосрочного планирования мероприятий и выбором курса политики безопасности, то физический – наиболее близкий к практической стороне вопроса. Именно на физическом уровне происходят наиболее тесные контакты между владельцами информации (ее защитниками) и преступниками информационной сферы. Факт необходимости взаимодействия этих уровней неоспорим. Основа взаимодействия – единение теории и практики в разработке защитных мероприятий.

Ответственность за указанное взаимодействие целиком и полностью лежит на плечах персонала производственно-хозяйственной структуры, будь то международная корпорация или фирма-представительница малого бизнеса. В процессе исследования нами были выделены принципы, которые необходимо учитывать, рассматривая проблему взаимодействия уровней обеспечения информационной безопасности. Мы предложили условное обозначение – «безопасная десятка».

1. Принцип доверия

Данный принцип наиболее проблематичен в формализации, и, как следствие, исполнении. Мероприятий по обеспечению защиты информации множество, но большая часть их связана с личным получением абсолютного доступа к данным предприятия непосредственным сотрудником-исполнителем. В этом случае, практически невозможно полностью контролировать процесс установки защит. Следовательно, неоценимую важность приобретает доверие к исполнителю защитных работ.

2. Принцип выбора

Трудоемкий процесс выбора пронизывает все уровни обеспечения безопасности информации и способствует взаимосвязям между этими уровнями: выбор стратегии политики безопасности, выбор тактики осуществления защиты сведений, выбор методов и способов, и т.д. От выбора наиболее полно зависит то, насколько безопасной будет обработка информации внутри предприятия и ее предоставление потенциальному клиенту.

3. Принцип ответственности

Гарантия должного и правильного исполнения мер по защите информации не может быть стопроцентной. Но с налаженной системой фиксации исполнителей защитных работ и четко прописанной ответственностью за неисполнение или халатное отношение к работе, эта гарантия возрастает.

4. Принцип мотивации

Принцип является противоположным предыдущему. Так как взаимодействие административного уровня и уровня непосредственной защиты осуществляются через персонал и в его лице, то целесообразна разработка системы поощрений за добросовестное исполнение обязанностей и успехи в достижении безопасности сведений.

5. Принцип оценки

Оценка процессов, протекающих в связи с защитой информации, принцип, направленный не на персонал, а на техническую сторону проблемы, является одним из важнейших аспектов формализации данной сферы. Выработка критериев, анализ происходящих событий, динамика изменений, анализ тенденций – все это позволяет понять, насколько верно была выбрана стратегия обеспечения безопасности информации.

6. Принцип оптимизации

Необходимо разрешение противоречия между максимизацией доступа к информационным ресурсам предприятий и минимизации рисков, связанных с несанкционированным доступом. Приход к оптимуму политикой безопасности каждого предприятия избирается самостоятельно на стадии формирования систем защиты, под влиянием субъективных представлений административного руководства.

7. Принцип обучения

Область знаний в сфере безопасности информации является одной из наиболее активно развивающихся областей науки. Именно поэтому, в соответствии с постоянно двигающимися вперед исследованиями и разработками, и, с учетом роста мастерства злоумышленников, необходимо производит обучение и переподготовку персонала, ответственного за обеспечение безопасности.

8. Принцип автоматизации

В целях устранения рутинных работ и облегчения проверки проведения мероприятий по защите информации, необходимо максимально автоматизировать работу в данном направлении.

9. Принцип контроля

Наличие контроля над каждым уровнем обеспечения информационной безопасности обуславливает эффективность работ, выполняемых на этих уровнях, и является дополнительной стимуляцией для персонала, осуществляющего работы.

10. Принцип контакта

Контакт является обобщающим для указанных ранее принципов. Взаимодействие между административным уровнем обеспечения безопасности информации и уровнем непосредственной защиты должно осуществляться посредством контроля, оценок, обучения, положительных и отрицательных стимулирующих воздействий.

Рисунок 1 – Принципы «безопасной десятки». Процентная оценка уровня развития

Для оценки практического применения собственной концепции, нами было проведено исследование на базе малых и средних предприятий г. Ставрополя. На рисунке 1 представлены данные социологического опроса персонала, так или иначе имеющего отношение к работам по обеспечению информационной безопасности, таких предприятий как ООО «Сервис+», ЗАО «Шпаковскрайгаз», ООО «Трудовой Отряд» и т.д.

Данные показывают, что доверие к «обеспечителям» информационной безопасности находится на достаточно высоком уровне (15 % от общего процентного числа меры воздействия), что является принципиальным отличием от западных компаний, где принцип доверия имеет место быть лишь в отдельных компаниях, причем, уровень его проявлений довольно низок.

Принцип выбора, контроля и мотивации приблизительно равнозначны (13 %). Сравнительно высокий показатель говорит о наличии стойкой тенденции к достижению сбалансированного отношения между контролем административного уровня и отдачей персонала непосредственной защиты, имеющего стойкую мотивацию к исполнению обязанностей. Это подтверждается относительно устойчивой системой ответственности (12 %). В рамках предприятий присутствует четкое представление о принятых санкциях в случае нарушений.

Стоит обратить внимание на то, что уровень присутствия принципа оценки (9%) сравнительно невысок, что подчеркивает указанную мной проблему отсутствия формализованного подхода к рассмотрению взаимодействия уровней обеспечения информационной безопасности. В отличие от западных компаний, еще не выявлены четкие критерии оценки данного взаимодействия, что так же является причиной слабой автоматизации (5 %). Остается невысоким и наличие обучения и контакта. Равнозначные 6 % говорят об уклонении внимания от этих аспектов в пользу технической стороны вопроса.

Подводя итоги можно отметить, что тренд современности, уверенно отклоняющийся в сторону взаимодействия административного и непосредственно исполнительского уровней обеспечения информационной безопасности, доминирования борьбы с рисками над борьбой с последствиями, уже в ближайшем будущем способно обеспечить необходимый и достаточный уровень информационной безопасности, если данный процесс будет подкреплен поддержанием устойчивых контактных связей и системы обучения персонала.