Менеджмент в сфере информационной безопасности

Менеджмент в сфере информационной безопасности

2-е издание, исправленное

Анисимов А.А.

Национальный Открытый Университет “ИНТУИТ”
2016

2

УДК [004.056.5:005](100)(07)
ББК 62
А67
Менеджмент в сфере информационной безопасности / Анисимов А.А. - M.: Национальный Открытый
Университет “ИНТУИТ”, 2016 (Основы информационных технологий)
ISBN 978-5-9963-0237-6

В учебном курсе приводится детальный обзор вопросов менеджмента в сфере информационной
безопасности на различных организационных уровнях. Управление информационной безопасностью
представлено как комплексная дисциплина, охватывающая не только отдельные предприятия, но
также государственные и международные структуры. При этом значительная часть курса посвящена
практическим вопросам организации и управления информационной безопасностью на уровне
предприятий – владельцев информационных ресурсов.
Многие вопросы рассматриваются как с точки зрения современных автоматизированных
информационных технологий, так и с точки зрения общих принципов, не зависящих от степени
использования средств автоматизации. В качестве основы для данного учебного пособия были
использованы современные стандарты и методические разработки различных компаний,
некоммерческих организаций и государственных структур, а также обобщение имеющихся сведений
об их практической деятельности и общем состоянии дел в сфере информационной безопасности.

(c) ООО “ИНТУИТ.РУ”, 2009-2016
(c) Анисимов А.А., 2009-2016

3

Предпосылки и основные направления развития менеджмента в
сфере информационной безопасности

В лекции перечисляются цели, задачи, предпосылки и направления организационной и
управленческой работы в сфере информационной безопасности. Объясняется общая
структура курса.

Под понятием “информационная безопасность” принято иметь в виду состояние
(уровень) защищенности информационных ресурсов – информационных объектов и
информационных систем – от негативных воздействий (как случайных, так и
осуществляемых преднамеренно), которые могут нанести ущерб самой информации и
средствам ее передачи и обработки, а, следовательно, отрицательно отразиться на
владельцах информационных ресурсов, государстве, обществе и других участниках
процессов информационного обмена. Большинство современных информационных
ресурсов, а также информационных систем практически не могут рассматриваться в
отрыве от комплекса элементов (факторов), связанных с обеспечением
информационной безопасности: угроз для информационных ресурсов, различных
средств и мер защиты, барьеров для проникновения, а также уязвимостей в системах
защиты информации. Таким образом, под информационной безопасностью в более
общем виде следует понимать совокупность средств, методов и процессов (процедур),
обеспечивающих защиту информационных активов и, следовательно, гарантирующих
сохранение эффективности и практической полезности как технической
инфраструктуры информационных систем, так и сведений, которые в таких системах
хранятся и обрабатываются. Понятие информационной безопасности неразрывно
связано с рисками для информационных ресурсов, под которыми (рисками)
понимается возможность (вероятность) нанесения ущерба информационным ресурсам,
снижения уровня их защищенности. Риски могут иметь различную природу и
характеристики; одной из основных классификаций рисков для информационной
безопасности (так же, как и многих других рисков в экономике и управлении) является
их разделение:

на системные риски – неуправляемые риски, связанные с той средой и
технической инфраструктурой, в которой функционируют информационные
системы;
операционные риски – как правило, управляемые риски, связанные с
особенностями использования определенных информационных систем, их
технической реализации, применяемыми алгоритмами, аппаратными средствами и
т.п.

В качестве методической основы для детализированного анализа рисков в
практической работе может быть использован ГОСТ Р 51275-99 “Защита информации.
Объект информатизации. Факторы, воздействующие на информацию. Общие
положения”.

Все негативные воздействия на информационные активы, защиту от которых
(воздействий) предполагает информационная безопасность, могут быть разделены на
три основных вида:

4

нарушение конфиденциальности информации;
разрушение (утеря, необратимое изменение) информации;
недоступность информационных ресурсов – возникновение ситуаций, когда
пользователи (все или их часть) на некоторый период времени теряют
возможность доступа к необходимым данным (или информационным системам).

Непосредственным источником рисков и негативных воздействий являются угрозы,
под которыми понимаются потенциальные или реально возможные действия по
отношению к информационным ресурсам, нарушающие информационную
безопасность. Выделяется множество типов угроз и множество критериев для
классификации угроз информационной безопасности. Одним из основных таких
критериев является расположение источника нарушений к информационным ресурсам,
в отношении которых осуществляется негативное воздействие. В соответствии с этим
критерием нарушения могут быть разделены:

на обусловленные внутренними факторами (персоналом предприятия, работой
собственных информационных систем);
обусловленные внешними факторами (злоумышленниками, не имеющими
непосредственного отношения к компании – владельцу информационных активов,
природными факторами и т.п.).

Другим важным критерием является наличие намерений осуществить нарушение. В
соответствии с ним выделяют:

целенаправленные воздействия (могут быть осуществлены как собственным
персоналом, так и внешними противниками);
случайные воздействия (ошибки пользователей и администраторов, сбои и
случайные нарушения в работе оборудования, непредвиденные воздействия
природных факторов).

Также можно выделить следующие классификации угроз:

по объектам (персонал, материальные и финансовые средства, информация);
по величине ущерба (предельный, значительный, незначительный);
по вероятности возникновения (весьма вероятные, вероятные, маловероятные);
по типу ущерба (моральный, материальный)
и некоторые другие [32].

На практике основными наиболее распространенными способами нарушения
информационной безопасности являются:

получение несанкционированного доступа (в том числе и путем превышения прав
при санкционированной работе с информационными системами) к определенным
сведениям или массивам данных, распространение которых ограничено, с целью
их изучения, копирования, распространения, незаконного использования и т.п.;
несанкционированное использование информационных ресурсов (ресурсов
вычислительных и телекоммуникационных систем) с целью получения выгоды

5

или нанесения ущерба (как тем системам, которые незаконно используются, так и
третьим лицам);
несанкционированная злонамеренная модификация (изменение) данных;
кража денежных средств в электронных платежных системах и системах “клиент-
банк”, а также кража бездокументарных ценных бумаг и иные формы незаконного
присвоения имущественных прав;
вывод из строя (полный или частичный) программных и аппаратных средств
обработки, передачи и хранения информации;
осуществление атак типа “отказ в обслуживании” – DoS (в частности, в
отношении серверов в сети Интернет);
распространение вирусов и других вредоносных программ, осуществляющих
различные негативные воздействия.

Современная практика использования информационных систем характеризуется
большим количеством и постоянным ростом числа нарушений информационной
безопасности. Одним из важных факторов этого является постоянно растущая
доступность современных информационных технологий для преступников, а также
постоянно растущая привлекательность информационных систем как потенциальных
объектов нападения. Также важным обстоятельством является постоянное усложнение
и рост разнообразия используемых информационных систем и, в частности,
программных продуктов. Так, например, объем (и, соответственно, сложность) одной
из наиболее распространенных операционных систем – Microsoft Windows –
увеличился с примерно 4 миллионов строк программного кода в 1992 году (Windows
NT) до более чем 35 миллионов строк в 2000 году (Windows 2000). С учетом того, что в
среднем каждая тысяча строк программного кода может содержать от 5 до 15
ошибок1), появление все большего числа различных уязвимостей, создающих угрозы
для информационной безопасности, становится практически неизбежным.

Результатом этого является постоянный рост количества различных нарушений,
связанных с информационной безопасностью. Число сообщений о различных
инцидентах в сфере защиты информации, полученных одним только “Центром
реагирования на инциденты, связанные с информационной безопасностью” при
университете Карнеги-Меллон (CERT), в период с 1999 по 2003 годы увеличилось
более чем в 14 раз2), а число получаемых ежегодно сообщений о выявленных
уязвимостях в различных информационных системах – примерно в 10 раз (эти данные
представлены на рис. 1.1 и 1.2).

6

Рис. 1.1.  Число сообщений о происшествиях, связанных с нарушениями
информационной безопасности, которые поступили в CERT/CC

Рис. 1.2.  Число сообщений о выявленных уязвимостях в информационных системах,
поступивших в CERT/CC

Таким образом, все перечисленные обстоятельства: рост многообразия возможных
нарушений, увеличение их количества, увеличение сложности информационных
технологий, постоянно возрастающая доступность компьютеров и
телекоммуникационных средств для преступников – объясняют рост потребности
владельцев информационных ресурсов (предприятий, организаций, государственных
ведомств) в реализации систематических, всеобъемлющих мер по обеспечению
информационной безопасности.

Отдельные процессы, процедуры, механизмы и инструменты защиты информации,
используемые владельцами информационных ресурсов и информационных систем,
могут быть направлены:

7

на ограничение и разграничение доступа;
информационное скрытие;
введение избыточной информации и использование избыточных информационных
систем (средств хранения, обработки и передачи информации);
использование методов надежного хранения, преобразования и передачи
информации;
нормативно-административное побуждение и принуждение.

На практике современные технологии защиты информации основаны на различных
базовых сервисах (таких, как аутентификация, обеспечение целостности, контроль
доступа и др.), и используют различные механизмы обеспечения безопасности (такие,
как шифрование, цифровые подписи, управление маршрутизацией и др.). Однако
комплексность и массовость использования информационных технологий, их
интеграция в повседневную деятельность предприятий, организаций,
правительственных учреждений не позволяют решать задачи информационной
безопасности только одними техническими средствами. Во всем комплексе
деятельности по защите информации одно из наиболее важных мест занимает
организационно-управленческая деятельность – организационное обеспечение
информационной безопасности, которое представляет собой одно из четырех основных
направлений работы в общей системе мер в сфере информационной безопасности,
включающей в себя также разработку специализированного программного
обеспечения, изготовление и использование специальных аппаратных средств и
совершенствование криптографических (математических) методов защиты
информации (см. рис. 1.3.).

Рис. 1.3.  Структура деятельности в сфере информационной безопасности

Основными задачами организационно-управленческой деятельности (менеджмента) в
сфере информационной безопасности являются:

обеспечение комплексности всех решений, реализуемых в процессе обеспечения
информационной безопасности;
обеспечение непрерывности и целостности процессов информационной
безопасности;
решение методических задач, лежащих в основе эффективного управления
информационной безопасностью, таких, как вопросы управления рисками,
экономическое моделирование и т.п.;

8

управление человеческими ресурсами и поведением персонала с учетом
необходимости решения задач информационной безопасности.

Под комплексностью решения задач информационной безопасности подразумевается
взаимоувязанное выявление всех значимых информационных объектов, а также
существующих и потенциально возможных угроз. На основе этого анализа необходимо
обеспечить исчерпывающе полное (комплексное) внедрение и применение средств
защиты информации, которые в той или иной мере могли бы нейтрализовать все
существенные угрозы на всех потенциально уязвимых участках прохождения
информационных потоков в течение всех этапов жизненного цикла информационных
систем и организационных процедур. Меры по нейтрализации рисков также должны
быть реализованы в комплексе с другими механизмами, такими, как, например,
страхование. Другими словами, задачей менеджмента является системное
использование всех необходимых частных (узкоспециальных) технологий и решений
для каждой конкретной ситуации таким образом, чтобы во всей системе мер по защите
информационных ресурсов не осталось “узких мест” — уязвимых участков, через
которые могут быть осуществлены нападения и в которых могут произойти
непреднамеренные нарушения. Сложность такого рода задач связана с тем, что они
предполагают по возможности исчерпывающий анализ как всех информационных
ресурсов, так и всех возможных сценариев нападения на них и последующий подбор
наиболее подходящих средств защиты.

Непрерывность процессов обеспечения информационной безопасности предполагает
выделение необходимых ресурсов и организацию выполнения необходимых функций
по защите информации в течение всего времени функционирования информационных
систем и выполнения бизнес-функций (в том числе и в режиме “24х7х365” в тех
случаях, когда это необходимо).

Разработка, совершенствование и поддержание в актуальном состоянии методических
основ управления информационной безопасностью включает в себя, главным образом,
применение общих для многих сфер менеджмента концепций и теорий – таких как,
например, математические модели оценки рисков или теория инвестиционного анализа
– применительно к ресурсам, используемым для обеспечения информационной
безопасности, и информационным процессам.

Управление человеческими ресурсами в рамках управления информационной
безопасностью включает в себя комплекс задач, охватывающий все основные аспекты
деятельности людей: отбор и допуск персонала для работы с определенными
информационными ресурсами, обучение, контроль правильности выполнения
обязанностей, создание необходимых условий для работы и т.п.

При этом конкретная структура и состав всех основных задач управления и
организации в сфере информационной безопасности, а также непосредственно
используемые методы будут определяться как уровнем, на котором осуществляется
управленческая и организационная деятельности, так и конкретными условиями, в
которых функционируют информационные системы, нуждающиеся в защите.
Настоящий курс основан на концепции разделения всего многообразия методов и задач
организации и управления в сфере информационной безопасности на несколько

9

основных уровней и дальнейшего представления организационно-управленческих
методов для каждого из этих уровней.

Под организационным обеспечением и менеджментом в сфере информационной
безопасности обычно принято понимать решение управленческих вопросов на уровне
отдельных субъектов (предприятий, организаций) или групп таких субъектов
(партнеров по бизнесу, организаций, которые совместно решают определенные задачи,
требующие защиты информации).

Однако сложность и комплексность современных проблем в сфере информационной
безопасности, глобализация информационных взаимодействий требуют более полного
и широкого понимания организационной работы и менеджмента в этой области.

В частности, по мере глобализации информационных взаимодействий, усложнения
программных и аппаратных средств обработки информации, проникновения
информационных технологий в повседневную деятельность всех организаций и жизнь
большинства людей появилась необходимость в специальных организационных и
управленческих усилиях, направленных не на обеспечение защищенности отдельных
информационных активов, а на поддержание различных элементов информационной
инфраструктуры, которая в той или иной мере работает на обеспечение
информационной безопасности определенных сообществ (заранее не определенного
множества пользователей информационных систем и владельцев информационных
ресурсов).

Таким образом, с развитием информационных технологий и интенсификацией
информационного обмена организационная и управленческая работа в сфере
информационной безопасности оказывается направленной не только на собственно
защиту определенных информационных ресурсов, но и на более “глобальный” объект –
создание и развитие безопасной информационной инфраструктуры (в разных смыслах
этого термина и с учетом различных его аспектов). На практике такая инфраструктура
может включать в себя:

надежную инфраструктуру передачи информации и рынок услуг доступа к таким
каналам связи;
рынок программных и аппаратных средств, обеспечивающих защиту информации;
систему подготовки, переподготовки и повышения квалификации специалистов в
сфере информационной безопасности;
общие правила использования информации, а также ее передачи, совместной
эксплуатации информационных сетей (в том числе протоколы информационного
обмена);
систему обмена информацией и распространения знаний о существующих
уязвимостях тех или иных информационных технологий, возможных угрозах
информационной безопасности и способах их нейтрализации;
законодательную и правоприменительную систему, обеспечивающую охрану
имущественных и иных интересов всех участников информационного обмена
и другие составляющие.

Потребность в целенаправленном развитии и поддержании такой инфраструктуры

10