Предисловие С. П. Расторгуева
Предисловие С. П. Расторгуева
Проблема обеспечения информационной безопасности — вечная проблема, и она будет вечной до тех пор, пока под безопасностью мы будем понимать состояние или ощущение защищенности интересов (целей) организации в условиях угроз. Почему? Потому что состояние защищенности — это субъективное понятие. У волка оно одно, а у овцы — совсем другое. В случае же человека или социума все еще гораздо сложнее, и в общем случае никогда нельзя сказать, чем все это дело закончится, как в известной даосской притче про старика (http://pritchi.castle.by/ras-14-1.html): «Жил в одной деревне старик. Был он очень беден, но все императоры завидовали ему, потому что у него был прекрасный белый конь. Никто никогда не видел подобного коня, отличавшегося красотой, статью, силой… Ах, что за чудо был этот конь! И императоры предлагали хозяину за коня всё, что только бы он пожелал! Но старик говорил: “Этот конь для меня не конь, он — личность, а как можно продать, скажите на милость, личность? Он — друг мне, а не собственность. Как же можно продать друга?! Невозможно!” И хотя бедность его не знала пределов, а соблазнов продать коня было немыслимое количество, он не делал этого.
И вот однажды утром, зайдя в стойло, он не обнаружил там коня. И собралась вся деревня, и все сказали хором: “Ты — глупец! Да мы все заранее знали, что в один прекрасный день этого коня украдут! При твоей-то бедности хранить такую драгоценность!.. Да лучше бы ты продал его! Да ты бы получил любые деньги, какие бы ни запросил, — на то и императоры, чтобы платить любую цену! А где теперь твой конь? Какое несчастье!”
Старик же сказал: “Ну-ну, не увлекайтесь! Скажите просто, что коня нет в стойле. Это — факт, все же остальное — суждения. Счастье, несчастье… Откуда вам это знать? Как вы можете судить?”
Люди сказали: “Не обманывай! Мы, конечно, не философы. Но и не настолько дураки, чтобы не видеть очевидного. Конь твой украден, что, конечно же, несчастье!” Старик ответил: “Вы — как хотите, а я буду придерживаться такого факта, что раз стойло пусто, то коня там нет. Другого же я ничего не знаю — счастье это или несчастье, потому что это всего лишь маленький эпизод. А кто знает, что будет потом?”
Люди смеялись. Они решили, что старик от несчастья просто рехнулся. Они всегда подозревали, что у него не все дома: другой бы давно продал коня и зажил как царь. А он и в старости оставался дровосеком: ходил в лес, рубил дрова, собирал хворост, продавал его и еле-еле сводил концы с концами, живя в бедности и нищете. Ну а теперь стало очевидным, что он — сумасшедший.
Но через пятнадцать дней конь неожиданно вернулся. Он не был украден, он сбежал в лес. И вернулся не один, но привел с собой дюжину диких лошадей. И снова собрались люди и сказали: “Да, старик, ты был прав! Это мы — глупцы! Да он и впрямь счастье! Прости нашу глупость милосердно!”
Старик ответил: “Да что вы, ей-богу! Ну вернулся конь. Ну лошадей привел — так что ж? Не судите! Счастье, несчастье — кто знает?! И это лишь маленький эпизод”…» и так далее… Таких маленьких эпизодов было очень много в жизни этого старика, как их много и у каждого из нас.
Поражение — это не всегда поражение. Оно только сейчас поражение, но благодаря ему приобретается мудрость, опыт и сноровка, которые становятся основой будущих побед. А обещанная мудрость — это разве поражение? Если мудрость — это плата за поражение, то что же тогда поражение? Теряется одно, приобретается совсем другое. Теряются материальные ценности, приобретается знание. Теряется время, приобретается поэтическое состояние души. Уходит забота, приходит радость.
В свете сказанного думается, что проблема безопасности, и информационной безопасности в частности, — вечная проблема, которая если и решается, то только на короткое мгновение, пока у субъекта соответствующее состояние души или, проще говоря, определенное состояние защищенности. Но из этого многопараметрического пространства, в котором единственным критерием, благословляющим на деятельность, является состояние субъекта, есть один правильный выход. Этот выход называется «сужение области исследования». Именно этим путем пошли авторы книги, назвав ее «Обеспечение информационной безопасности бизнеса». При таком подходе появляется способ измерить это самое мифическое состояние защищенности, которое теперь меряется совсем просто — скоростью изменения активов. В этой ситуации становится понятным, что такое ущерб и какими могут быть риски. Задача приобретает реальные очертания, и появляются вполне материальные критерии, которыми можно оперировать, используя классический инструментарий.
Вот только для случая информационной безопасности этот классический инструментарий уже несколько иной. А иной потому, что используется в других условиях. В условиях, когда человечество погрузилось в информационную эпоху и между человеком и человеком прочно встало техническое средство, способное генерировать, усиливать и блокировать любые информационные потоки. Более того, даже угрозы в этих условиях выглядят уже по-другому, их значимость смещается от угроз типа «украдут информацию» к угрозам «навяжут информацию». Потому что если информацию навяжут, то тем самым навяжут и внешнее скрытое управление.
Понятно, что состояние защищенности у человека, отдыхающего на пляже Сочи, и человека, защищенного броней танка, но который идет в атаку, разные. Хотя во втором случае сверху целый слой брони и поддержка огневой мощи.
Когда нет физических угроз, то и физическая защита не нужна, а вот информационная — нужна всегда. Поэтому совершенно правильно авторы акцентируют основное внимание на угрозах информационной безопасности. Ибо получение информации и на ее основе изменение знания — постоянный процесс. Если под знанием понимать совокупность сведений, выраженную в структуре системы и функциональных элементах этой структуры, то становится понятным, как определенные структурные модификации могут приводить систему чуть ли не к полному разрушению. И чем значимее информация для принятия решений, тем важнее грамотно построенная система обеспечения информационной безопасности, гарантирующая устойчивость развивающегося знания от угроз в информационной сфере.
Целью информационной угрозы является активизация действий, ответственных за нарушение привычного или запланированного режима функционирования, т. е. за вывод системы за пределы допустимого режима функционирования, либо отказ системы от определенных действий и / или ресурсов, необходимых для достижения собственных целей. Здесь и далее под допустимым режимом функционирования понимается такое функционирование информационной системы, которое обеспечено необходимыми материальными ресурсами для достижения поставленной цели. В информационную эпоху реализация угрозы в большинстве случаев осуществляется через искажение адекватности модели миру. Этой проблеме посвящено достаточно материалов данной книги, и это правильно. Система не всегда способна в реальном времени понять, является ли конкретное сообщение угрозой. Так, например, по сообщениям американской прессы, предупреждения о террористическом акте 11 сентября 2001 года были у спецслужб за несколько дней до трагедии, но им не придали нужного значения. Они не соответствовали той модели мира, которая именно в тот момент была доминирующей у аналитиков.
В свое время противник, окружив город и устраиваясь на ночлег, разжигал костры. В пределах видимости с крепостных стен у каждого костра располагалось по 5–7 воинов. А дальше, за пределами видимости, — по одному человеку у костра. Для «умных», умеющих считать и делать выводы, численность армии мгновенно увеличивалась в несколько раз. Получается, что всегда возможны ситуации, когда «умным» быть опасно, ибо во многом факт того, что сообщения нарушают адекватность модели мира, зависит от самого информационного субъекта, от созданной им модели мира, от его образа мира.
Любое живое существо всегда имеет несколько каналов получения информации, которые частично подстраховывают друг друга. Точно так же любая сложная социальная система: фирма, государство, — также имеет несколько независимых каналов сбора информации об окружающем мире и о самой себе. Определенный параллелизм присутствует и при обработке информации аналитическими центрами. И только в том случае, если результаты и рекомендации совпадают, система «может считать», что ее модель мира адекватна миру. Однако в случае серьезного целенаправленного информационного «продавливания» тех или иных идей, событий, сообщений происходит деформация уровня восприятия, и порой на самом деле мало значимый элемент искажает картину мира. В результате этого искажения в социуме активизируются соответствующие действия (алгоритмы), необходимые для их обработки. Поэтому вопросам принятия решений и уделяется все больше внимания при решении задач по обеспечению информационной безопасности, тем более в бизнесе.
При этом авторы, исследуя данную проблему, специально акцентируют внимание на следующем важном нюансе: не всегда следование нормативным требованиям (в частности, ИСО серии 9000) повышает эффективность бизнеса и защиты этого самого бизнеса. Порой эти требования увеличивают объемы отчетных формализованных материалов, за которыми может и ничего не стоять.
Мне же хотелось добавить к сказанному еще и то опасение, что если конкурент знает, чем вы пользуетесь (каким инструментом), что делаете (какие процессы) и как делаете (в рамках каких регламентов), то для него проще организовать скрытое управление вами.
В целом данная работа с достаточной полнотой охватывает заявленные проблемы. Здесь читатель найдет и существующие модели менеджмента (управления), применимые для обеспечения информационной безопасности бизнеса, и модели непрерывного совершенствования, и стандартизированные модели менеджмента, а также модели COSO, COBIT, ITIL. Достаточно интересный материал по контролю и аудиту, а также по измерению и оцениванию информационной безопасности бизнеса.
С. П. Расторгуев,
профессор, доктор технических наук
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Предисловие
Предисловие Последовательно развивая мысли, знакомые читателям еще по «Алхимии финансов», в новой книге Джордж Сорос дает объяснение причинам возникновения бумов и спадов на финансовых рынках в свете теории рефлексивности, а также подробное пошаговое описание
Предисловие
Предисловие Учебник написан в соответствии с требованиями, предъявляемыми к качеству подготовки специалистов со средним профессиональным образованием (базовый уровень). Такие требования определены Государственным образовательным стандартом и новой программой курса
Предисловие
Предисловие С момента опубликования в 1989 г. книга «Иной путь» стала бестселлером сначала в Латинской Америке, а после перевода на английский язык и в Соединенных Штатах. Но если книга и произвела какое-то воздействие, оно скорее измеряется не объемом продаж; важнее, что
Предисловие
Предисловие Книга, которую ты держишь в руках, перевернет твое сознание. Идеи, поднимаемые в ней, не новы. Сильвио Гезель, немецкий экономист, сформулировал, их уже более ста лет тому назад. Сейчас пришло время для широкой дискуссии о них во всех хижинах и дворцах мира.
Предисловие
Предисловие Осуществление государством макроэкономических реформ создало условия для повышения активности всех субъектов рыночной экономики путем изменения политики цен, стимулирования банковской деятельности, развития ранка ценных бумаг и т. п. На первый план
Предисловие:
Предисловие: Эта книга – для космополитов и глобалистов, интересующихся причинами и истоками мирового финансового кризиса, который зародился за океаном, но очень быстро охватил почти все страны и континенты. Возможно, данная книга – это робкая попытка автора создать
Предисловие
Предисловие Новая книга доктора экономических наук П.П. Яковлева, в которой в блестящей форме исследуется траектория развития аргентинской экономики, по ряду причин должна привлечь внимание читателей и в России, и в Аргентине. В 2010 г. исполняется 200 лет Майской революции,
Предисловие
Предисловие Один из ужасов современности, о котором только недавно заговорили во всеуслышание с высоких трибун, — это милицейский произвол. Причем касается он абсолютно всех граждан, в том числе и предпринимателей, о чем говорилось даже в знаменитой речи
Предисловие
Предисловие Летом 2008 года один из руководителей российского правительства на представительном международном форуме заявил о том, что современная Россия осуществляет модернизацию, никого не догоняя и догонять не собираясь. И объяснил это тем, что в отечественной
Предисловие
Предисловие В предлагаемом читателю издании собраны в основном уже опубликованные работы 1998–2004 годов (некоторые из них написаны в соавторстве). Делаю я это впервые — до сих пор публиковал только заново написанное. Побудили меня к этому следующие обстоятельства. В 2002
Предисловие
Предисловие Мощный рост исследований и практики в области связей с общественностью привел к необходимости создания подробного и в то же время достаточно краткого руководства, посвященного данному предмету. Знание основных понятий и техник связей с общественностью
Предисловие
Предисловие Компаниям нужно искать клиентов, и наоборот. В этом и состоит проблема маркетинга, которой уже более 100 лет. Есть много способов ее решения разной степени эффективности: звонки, электронные письма, печатная реклама и другие методы, связывающие потребителей и
Предисловие
Предисловие «Обиван Кеноби, – говорит сэр Алек Гиннесс в первом фильме “Звездные войны”, – вот имя, которого мне не доводилось слышать очень долго».Это можно повторить применительно к ряду компаний, послуживших примерами для первого издания книги «Преодоление
Предисловие
Предисловие Одна из самых сложных задач, которые стоят перед любым преподавателем, – необходимость показать своим подопечным практическую полезность сухой теории, абстрактных принципов и правил. Вспомните свои школьные годы. На уроках математики и физики мы изучали