Какой должна быть система информационной безопасности?

Давно задавался этим сложным вопросом. И вот, копаясь в своих старых документах обнаружил свое старое системное исследование на эту тему. В целом это неплохая коллекция мыслей на тему информационной безопасности с точки зрения гомеостатики, так что решил ее сделать общедоступной, для истории :)
Содержание исследования следующее:

1 Формулировка цели исследования

2 Применение гомеостатического подхода в исследовании

2.1 Гомеостатические принципы организации систем и гомеостатические методы управления системами.

2.2 Применение гомеостатического управления в технических системах.

3 Концептуальный анализ корпоративной информационной системы

3.1 Генезис корпоративной информационной системы, ее роль и место в корпорации.

3.2 Определение класса системы.

3.3 Анализ структуры и механизмов функционирования системы.

4 Концептуальный анализ стандартной системы информационной безопасности

4.1 Предпосылки создания системы, ее назначение и место в корпоративной информационной системе.

4.2 Модель информационной безопасности системы.

4.3 Принципы и закономерности обеспечения безопасности.

4.4 Структура и функционирование системы.

5 Проблематика

5.1 Первоначальная постановка проблемы.

5.2 Заинтересованные лица.

5.3 Выявление проблем в традиционном процессе управления информационной безопасностью

5.3.1 Идентификация защищаемых ресурсов, определение необходимости и степени защиты ресурсов.

5.3.2 Анализ защищенности.

5.3.3 Выбор первоочередных контрмер и оценка их эффективности.

5.4 Углубление в проблему.

6 Исследование сущности информационной безопасности

6.1.1 Понятие безопасности.

6.1.2 Информационная система – ядро современной системы управления.

6.1.3 Понятие информационной безопасности.

6.1.4 Информационная услуга, как открытое свойство информационной системы.

6.1.5 Исследование поведения информационной системы в контексте информационной безопасности.

7 Синтез архитектуры системы информационной безопасности

8 Заключение

9 Список использованных источников 

 Загрузить 

Как противостоять кибер-мошенничеству?

Собственно вопрос возник после посещения одной выставки и участия в круглом столе на тему кибер-мошенничества. Там в основном обсуждались случаи мошенничества в сетях операторов мобильной связи. Некий эксперт сделал пессимистичный вывод, что ничего с этим не поделаешь и так и должно и быть: сколько людей не учи так они и будут попадаться на уловки мошенников. Управление "К" оправдывалось отсутствием необходимого законодательства и сказало, что людям во-первых нужно иметь головы, а во-вторых мозг в этой голове. Из управления по образованию кто-то предложил расклеивать плакаты в общественных и учебных учреждениях. В общем вопрос фактически остался без ответа. Кстати, узнал о новом виде мошенничества: "Мы вас подключили к таким-то услугам, если вы не отправите сообщение с кодом на такой-то номер, то мы считаем что вы согласны".. даже я бы наверное купился :) Узнал, также что операторы связи получают с каждой операции 50%, то есть они заинтересованы ничего не делать в этом направлении.
В чем заключается мое предложение? По сути стоит задача скорейшего перевода угроз для населения (пользователей услуг мобильной связи) из разряда скрытых в разряд ожидаемых. Для этого нужно людей обучать. Как это сделать наиболее эффективно? Простая расклейка плакатов самая неэффективная мера, т.к. люди не будут их замечать и будут продолжать учиться на собственных ошибках. Для более быстрого обучения необходим учитель и его контакт с обучаемыми.
Необходимо создать систему нападения с целью обучения населения. Кто-то скажет: "парень выжил из ума, какое еще нападение?".. Но это единственный способ привести человека в неравновесное состояние, где он должен сделать выбор. При этом в информационной среде ущерб от неправильного выбора можно исключить или сделать минимальным. В итоге, если человек в ситуации "нападения" делает неправильный выбор, то уведомить его о существовании угрозы и методах противодействия.
Как это может выглядеть на практике? То же управление "К" может осуществлять мониторинг актуальных угроз. Если люди с какими-то начнут не справляться самостоятельно, то начать самостоятельно нападать на них с целью обучения. К примеру, массово разослать сообщение призывающее население "добровольно" отдать деньги, и, если, кто-то "отдаст" то уведомить его о неправильном поведении в данной ситуации и способах избежать ее в дальнейшем.
Это "иммунизация" населения если хотите. Только здесь вырабатывается не имунный ответ на вирусы, а ответ социальной среды. Раз уж скорость появления и реализации новых угроз в современной информационной среде превысила нашу скорость адаптации, то настало время искусственных методов адаптации!
Но тут уже возникают новые вопросы: каковы правовые основы для этого, кто будет делать и т.д. и т.п.

Чем отличается риск от неопределенности?

Различие риска и неопределенности восходит к началу века, к концепции Ф. Найта, рассматривавшего основы экономической теории. «Практическая разница между категориями риска и неопределенности состоит в том, что в первом случае распределение результатов в группе известно (что достигается путем априорных вычислений или изучения статистики предшествующего опыта), а во втором – нет. Это чаще всего вызвано невозможностью провести группировку случаев, так как рассматриваемые ситуации в значительной мере уникальны. Наилучший пример неопределенности связан с вынесением суждений или формированием мнений относительно будущего развития событий; именно эти мнения (а вовсе не научные знания) оказывают решающее влияние на наше поведение» – пишет он в своей классической работе . Простой математический пример. Пусть в урне находятся 10 шаров, 9 красных и один черный. Тогда риск вытянуть черный шар имеет вероятность 1/10. Если же мы не знаем, сколько и каких шаров в урне, то тогда мы находимся в состоянии неопределенности.

В сущности, одна из главных задач науки в области безопасности и риска состоит в том, чтобы обеспечить быстрое прохождение пути от неопределенности к риску, перевести угрозы из разряда скрытых в ожидаемые, избавить от необходимости действовать наугад, методом проб и ошибок. Это тем более важно, поскольку многими рисками можно разумно управлять, а неопределенностью – нет.

Взято с Малинецкий Г.Г. Управление риском. Риск, устойчивое развитие, синергетика. М., Наука, 2000

В какой форме предлагать бизнесу и внедрять решения по обеспечению ИБ?

Каждый бизнес имеет свою специфику и мотивацию, на одной чаше весов которой находятся выгоды, а на другой затраты. Бизнес хочет иметь систему управления способную противодействовать негативным воздействиям.
Кроме того, бизнес может находиться на разных этапах своего жизненного цикла – от идеи до крупной корпорации.

Реклама решений по ИБ в форме черных ящиков с точки зрения выгоды не вызывает доверия у лиц принимающих решения в области бизнеса. У бизнес-среды стоит задача выгодного преобразования инвестиционных ресурсов во блага. А часто, главной проблемой внедрения существующих предложений по ИБ является отсутствие формального результата для бизнеса.

Поэтому, по моему мнению, решения по обеспечению ИБ должны предлагаться либо в форме разделов инвестиционных проектов посвященных анализу рисков проекта для создания бизнеса, либо в форме отдельных конкретных инвестиционных проектов по развитию для уже работающего бизнеса.

Такие проекты не должны сводиться только к разовой оценке рисков и купле-продаже-внедрению коробочных решений, а должны иметь срок окупаемости и охватывать все фазы: от начального исследования до аудита результатов работы. При этом необходимо понимать, что задача определения экономической эффективности решений по ИБ является одной из главных и труднорешаемых вследствие косвенного характера выгоды. И формат проекта для этой задачи подходит как нельзя кстати.

Работающий бизнес может выбирать наиболее эффективные инвестиционные проекты в области ИБ на конкурсной основе с тождественными требованиями. Привлекаемые инвесторы могут учитывать при анализе предложенных проектов по созданию нового бизнеса требования по ИБ и делать соответствующий выбор.

Таким образом, существующие способы предложения и внедрения решений по ИБ необходимо дорабатывать с учетом опыта движения Project Management и спецификой темы информационной безопасности. То есть это должен быть отдельный тип проектов со своими стандартами и методологией управления.

Кто заинтересован в информационной безопасности?

Попытаемся рассмотреть с точки зрения некоторой организации кто заинтересован в повышении или понижении ее гипотетического уровня информационной безопасности.

Понятно, что существуют организации с различным размером, уровнем развития, культурой и спецификой, которые формируют IT-спрос в области информационной безопасности, и, соответственно, существует целый спектр компаний IT-предложения. Поэтому необходимо понимать субъективность данной попытки ответа :)

Итак, все эти организации "варятся в одной каше" - для обеспечения информационной безопасности. Определим следующих заинтересованных лиц:

• Администраторы безопасности организации
• Системные и сетевые администраторы организации
• Пользователи информационных систем организации
• Руководство организации
• Компании IT-предложения – разработчики, поставщики оборудования и программного обеспечения, компании-интеграторы
• Компании IT-предложения в области ИБ
• Вышестоящие и государственные регуляторы в области ИБ
• Конкуренты
• Все остальные

Администраторы безопасности это те, кого в первую очередь не удовлетворяет текущий уровень безопасности, обеспечиваемый существующей системой информационной безопасности в организации. Им с каждым днем становится все труднее контролировать безопасность, так как появляются все более сложные информационные системы, и все более сложные по реализации атаки на эти информационные системы. Отсутствие понимания и поддержки со стороны администраторов, пользователей и руководства порождают дополнительный виток проблем. Администраторы безопасности являются «заложниками» некоторых эксплуатируемых информационных систем, из-за их недоработок в области ИБ.

Системные и сетевые администраторы заинтересованы лишь в том, чтобы их системы "работали". Повышение уровня безопасности для них лишь означает дополнительную нагрузку – управление правами доступа, ведение справочников, слежение за активностью пользователей и работоспособностью систем, бюрократия и т.д.

Пользователи информационных систем заинтересованы в том, чтобы информационные системы, услугами которых они пользуются, предоставляли актуальную и достоверную информацию, работали без задержек, были удобными в работе. Для них повышение уровня безопасности означает также дополнительную нагрузку – запоминание паролей, соблюдение правил безопасной работы и т.д. Кроме того, ими будет потеряна некоторая степень свободы – возможно, действия, которые раньше для них были возможными, станут запрещены. Например, установка произвольного программного обеспечения.

Руководство организации как собственник или владелец информационных ресурсов, информационных систем и поддерживающей инфраструктуры заинтересовано в том, чтобы информационные системы бесперебойно и эффективно решали поставленные задачи. При этом повышение уровня безопасности для руководства означает дополнительные финансовые затраты, которые должны экономически оправдываться.

Компании IT-предложения:

Разработчиков информационных систем интересует кратковременная выгода – быстрее сделать, быстрей сбыть. Функциональные требования для них имеют больший приоритет, чем требования безопасности. В результате, в информационных системах отсутствуют встроенные механизмы безопасности, на которые бы могло опереться подразделение безопасности, и механизмы становятся наложенными, имеющие низкую эффективность. Повышение уровня безопасности, для них означает учет требований безопасности на этапе проектирования, их тестирование на всех этапах разработки, и решение проблем безопасности на стадии эксплуатации. То есть время выпуска рабочей системы затягивается, кроме того, необходимо осуществлять постоянную поддержку выпущенного программного продукта, на что также необходимы дополнительные ресурсы.

Поставщики оборудования и программного обеспечения, компании-интеграторы занимаются сбытом и внедрением оборудования и программного обеспечения, осуществляют их поддержку. Для них повышение уровня безопасности означает, что на стадии внедрения необходимо учитывать требования безопасности в проектах по внедрению, производить оценку среды эксплуатации, осуществлять пилотные проекты. А на стадии поддержки необходимо быстрее реагировать на запросы по обслуживанию, т.е. более активно взаимодействовать с производителями.

Компании IT-предложения в области ИБ занимаются проектированием, разработкой и внедрением наложенных средств защиты, а также собственно оценкой уровня безопасности организации. Очевидно, что они заинтересованы в возмездной оценке уровня безопасности организации и его повышении. И чем выше этот уровень необходимо поднять, тем больше данные компании выигрывают (зарабатывают).

Вышестоящие и государственные регуляторы в области ИБ обычно занимаются разработкой требований, распоряжений, стандартов и т.п. в области ИБ, а также контролем за их исполнением. При этом государственные регуляторы предъявляют особые требования к государственным организациям, а также контролируют компании IT-предложения в области ИБ. Регуляторы заинтересованы в повышении общего уровня безопасности за счет предъявления требований к нижестоящим организациям. Теоретически, выполнение требований регуляторов по определению должно приводить к повышению уровня безопасности в организации, но на практике такой уровень безопасности часто является "виртуальным". Так как цель повышения уровня безопасности подменяется целью соответствия нормативам регуляторов. Например, регуляторы обязывают государственные организации использовать сертифицированные средства защиты. Но необходимо понимать, что сертифицированные, не есть лучшие или более эффективные.

Для организаций-конкурентов повышение уровня безопасности означает уменьшение количества, либо пропускной способности разведывательных каналов информации, уменьшение ценности добытой информации. Для получения конкурентных преимуществ им потребуется больший объем ресурсов.

Всем остальным повышенный уровень безопасности создает дополнительные препятствия для его нарушения или требует дополнительных затрат для его поддержки.


Таким образом, повышение уровня безопасности привносит избыточность в работу заинтересованных лиц, тормозит их работу, заставляет нести дополнительные расходы и т.д., вследствие чего у всех них (кроме регуляторов и IT-предложения в сфере ИБ) складывается отношение сопротивления к повышению уровня безопасности, что создает значительные трудности в работе подразделений безопасности организации.

Что такое информация?

Вопрос трудный и многоаспектный.. и потому все его пропускают и начинают рассуждать о безопасности во всех ее проявлениях. Но на мой взляд такой подход заводит в тупик.

Тут я являюсь приверженцем динамической теории информации, которая построена на синергетике - науке о процессах самоорганизации. Информация там определяется как -

запомненный выбор одного варианта из нескольких возможных и равноправных.

Безусловно, понятие фундаментальное или низкоуровневое если хотите, и до его прикладного применения еще далеко. Но, универсальность тяготит.. и создает предпосылки для правильного понимания сущности информационной безопасности.

Данное понятие является конструктивным в области информационной безопасности, так как позволяет в рамках данной теории ввести и измерять не только количество информации, но и ее ценность и другие важные свойства которые обычно игнорируются. А это самое главное!
Однажды, воодушевленный данной теорией, создал простую модель информационной системы. Она позволяет немного ощутить сущность информации, понаблюдать за ней в динамике.

Конечно, сейчас это выглядит смешно для практического применения. Но, в будущем, имитационное моделирование с использованием данного подхода на больших вычислительных мощностях позволит творить чудеса в области информационной безопасности.

С праздником системных администраторов!

Так получилось, что мое первое сообщение пришлось на этот скромный праздник. Посему поздравляю всех причастных к администрированию IT систем, желаю здоровья им и "их демонам"!