4. Информационная безопасность устойчивости развития

объектов (по результатам оценки состояние вопроса)

Оценка состояния вопроса по проблеме обеспечения ИБ экологически опасных и экономически важных производств в свете требований действующих нормативно-правовых документов [ 71,72,73] показала следующее.

Помимо отмеченных в [9] недостатков по проблеме (противоречивость и несовершенство документов; отставание отечественного образования, науки, техники и технологий информатизации) вызывает тревогу отсутствие Политики ИБ компаний. В документе [2] внимание акцентируется на следующих обстоятельствах.

1. «Несмотря на усилившееся внимание к данному вопросу, большинство руководителей организаций по-прежнему имеют не совсем четкое представление о том, что же такое политика ИБ, из чего она состоит и для чего предназначена». Тому способствует «отсутствие до последнего времени (в России и за рубежом) специализированных стандартов и методических рекомендаций по составу и структуре документов, составляющих политику ИБ. Это создало огромное поле для творчества специалистов, занимающихся разработкой документов, в результате чего стали появляться комбинированные документы (инструкции), содержащие положения разного типа документов (политик, процедур, инструкций, стандартов)».

2. «Появилась необходимость уточнить определения, связанные с термином «политика», которые встречаются в международных и российских стандартах по ИБ [3-5].

«политика информационной безопасности представляет собой совокупность документов и практик, отражающих позицию и требования руководства организации и регламентирующих её деятельность по защите информации».

Согласно [2], «под совокупностью документов понимается их многоуровневая система, которая отражает содержание принятой Политики информационной безопасности компании и позволяет обеспечить более гибкий подход к содержанию каждого документа в зависимости от его назначения, аудитории, периодичности его пересмотра и изменения».

3. «Организация, в которой отсутствует такая Политика, похожа на государство, в котором есть полиция, но нет законов, а вместо них используются неформальные соглашения» [2]. Начинают появляться угрозы нарушения ИБ компании, связанные с влиянием человеческого, природного и др. факторов. Такие угрозы могут носить характер, как злонамеренных действий, так и добросовестных заблуждений, в том числе безразличное отношение к проблеме. «Пойманных нарушителей нельзя обвинить, потому что формально не определено, что можно делать, а что нельзя из-за отсутствия основного инструмента управления деятельностью граждан. Именно так все обстоит в настоящее время в большинстве организаций. Технические специалисты «пробивают» бюджеты и приобретают множество самых разнообразных защитных систем (аналог полиции), руководствуясь при этом различными соображениями, в то время как эти средства должны быть лишь технической основой для контроля и реализации требований, заложенных в политике ИБ компании. Такой подход, в конечном счете, приводит к тому, что количество и сложность систем защиты информации растут, а их эффективность остается на невысоком уровне. В результате у руководителей организаций возникает ряд вопросов, ответом на которые должны стать документы, составляющие политику ИБ организации».

Далее в [2] приводятся рекомендации по формированию четырехуровневой системы документов по Политике информационной безопасности компании (ИБК).

А. Документы 1-го уровня – это Общая политика ИБК или иначе её Концепция. Она должна включать:

• определение понятия ИБК, основных целей и области действия;

• стратегические подходы и принципы обеспечения ИБК;

• отраслевые и законодательные требования, относящиеся к компании;

• определение основных ролей и ответственности по обеспечению ИБК;

• подходы организации к проведению мероприятий по анализу и обработке рисков ИБК;

• ссылки на другие документы, содержащие более детальные разъяснения положений политики ИБ (частные политики ИБК);

• санкции в случае нарушения требований политики.

В. Документы 2-го уровня – это Частные политики ИБК и Корпоративные стандарты, которые должны отвечать требованиям Доктрины и др. нормативно-правовых документов по проблеме в заданном контексте, аспектах и условиях.

Корпоративные стандарты выдвигают требования к определенным операциям, защитным системам, принятым в компании практикам.

С. Документы 3-го уровня – это процедуры и инструкции.

Процедуры представляют собой документированное описание процесса, относящегося к той или иной области ИБК, в том числе её реагирования на инциденты. Инструкции в свою очередь дополняют процедуры детальным описанием каждого шага по выполнению той или иной задачи и могут предназначаться как техническому персоналу, так и рядовым пользователям».

D. Документы 4-го уровня – это разного рода рабочие формы, журналы, заявки, протоколы и другие формы документов, используемые в рамках выполнения тех или иных процедур и являющиеся отражением (и подтверждением) выполнения той или иной деятельности.

Разработка и внедрение документов, составляющих Политику ИБК, как и любой другой проект, имеющий общеорганизационное значение, должен быть санкционирован и поддержан руководством. Оно должно отвечать за отслеживание выполнения работ, выделение необходимых ресурсов (людских, денежных и пр.), а также за утверждение разработанных документов.

Непосредственно самой разработкой, как правило, занимается либо специально созданная для этой цели группа внутри организации, либо приглашенная консалтинговая организация. И у того, и у другого подхода есть свои достоинства и недостатки.

Например. Команда, созданная из собственных сотрудников, обладает более четким пониманием бизнеса, принципов ведения работы и внутренней культуры, чем любой внешний консультант. Однако, такая группа должна включать целый ряд специалистов, таких, как аналитики ИБ, IT-инженеры, руководители среднего звена, юристы, технические писатели и др. Собрать такую команду под силу далеко не всем компаниям. Эти люди должны обладать точным пониманием того, для чего и главное как создаются документы, составляющие политику информационной безопасности, что, скорее всего, потребует проведения дополнительного обучения.

Внешней консалтинговой организации потребуется больше времени для того, чтобы вникнуть в суть бизнеса организации, ее потребности, законодательные и договорные обязательства и другие особенности, но в то же самое время у этой организации уже есть готовая команда, выполнившая ни один проект по созданию документов, а значит, работа по непосредственной разработке документов пройдет более оперативно. Очевидно, что в этом случае растут угрозы нарушения ИБК из-за влияния человеческого фактора, т.е. возможности появления злоумышленников как в консалтинговой организации, так и в самой компании из числа её сотрудников, в том числе взаимодействующих с названной организацией. Истина как всегда расположена посередине. Если разработка документов собственными силами представляется слишком трудоемкой работой, то наиболее эффективным подходом будет привлечение консалтинговой организации для первоначальной разработки документов, а уже их внедрение, обкатку и возможную доработку осуществлять собственными силами или опять же с привлечением специалистов все той же консалтинговой организации.

В результате приходим к выводу.

В интересах обеспечения требований действующих НПД по проблеме целесообразно в составе облика экологически опасных и экономически важных объектов предусмотреть систему их ИБ. Она предназначается для управления циклами ИИПЗ объекта от угроз нарушения его ИБ с негативными последствиями в интересах формирования траектории устойчивого развития объекта в реально складывающейся и прогнозируемой обстановке ХХI века [61-67].

В процессе постановки и решения такой задачи необходимо учитывать, что на современном этапе названная система сама будет подвергаться атакам с помощью информационного оружия. К последнему относятся хищения, разрушение и модификация информации, которая необходима нападающей стороне для рефлексивного управления в выгодном для неё направлении намерениями и действиями конкурирующих сторон. Такая информация содержится в системах управления объектами, циркулирует в открытых и закрытых каналах связи, а также телекоммуникационных системах.

Предпрогнозные исследования состояния вопроса по НМО ИБК показал. В свете требований действующих НПД в заданном контексте, аспектах и условиях накоплена следующая база знаний и ресурса по проблеме.

1. Стратегические направления развития теории и практики безопасного и устойчивого развития объектов как функция его информационного обеспечения при наличии угроз нарушения их ИБ в условиях информационного конфликта между договаривающимися сторонами.

Формирование такой теории и практики направлено на устранение недостатков тектоцентрической и холической парадигм в интересах достижения генеральной цели развития мирового сообщества на основе координации усилий его членов по цели, месту, времени, диапазону условий и ППС. Теория базируется на принципе максимальной приемлемости накопленной базы знаний и ресурса по проблеме, их дальнейшем совершенствовании и развитии в рассматриваемом контексте, аспектах и условиях ХХI века. Здесь основополагающими и перспективными являются работы следующих отечественных авторов:

Вернадского В.И. - основоположника теории ноосферы и ноосферогенеза;

Ерёмина А.Л. Ноогенез и теория интеллекта (Электронная гуманитарная библиотека. www.gumfak.ru);

Саркисяна С.А., Лисичкина В.А., Минаева Э.С.и др. Теория прогнозирования и принятия решений;

Бестужева-Лада И.В., Лисицына Ю.П. и др. Рабочая книга по прогнозированию;

Полякова В.В. Мировой рынок: вопросы прогнозирования;

Борисовича В.И. Прогнозирование и планирование экономики.

2. Формируются научные школы по проблеме в рассматриваемом контексте, аспектах и условиях, в том числе:

- Остапенко А.Г. и Остапенко Г.А. (докторская диссертация, ДСП, г.Воронеж, 2010 год) по специальности методы и системы защиты информации;

- Скрыля С.В. по проблеме распознавания и оценки угроз ИБ территориальным сегментам Интегрированной мультисервисной телекоммуникационной системы органов внутренних дел;

- Поповой Л.Г. по проблеме безопасного и устойчивого развития объектов защиты, их систем информационной безопасности в заданном контексте, аспектах и условиях ХХI века.

Фактически созданы основы для решения проблемы обеспечения ИБ приоритетных ОЗ в интересах решения первоочередных задач по проблеме в заданном контексте, аспектах и условиях.

Однако, до сих пор остается целый ряд специфичных интегральных и локальных проблем, а также первоочередных задач по их разрешению в реально складывающейся и прогнозируемой обстановке ХХI века. Это объясняется как недостаточной разработанностью НМО и НПО Программы исследований по проблеме. Главная причина тому – несовершенство как математического моделирования процесса взаимосвязанного развития внешней и внутренней среды рассматриваемых объектов, так и обеспечения автоматизации Программы исследований по проблеме на основе Единого алгоритма и Единой шкалы оценки состояний защищённости ОЗ от угроз нарушения его ИБ с негативными последствиями.

В свете сказанного основными стратегическими направлениями исследований по теме должны стать:

- обоснование парадигмы (концепция, принципы, методология) ИБ систем управления циклами ИИПЗ ОЗ в заданном контексте, аспектах и условиях [50,51];

- разработка системы моделей взаимосвязанного развития внешней и внутренней среды объектов, координат и измерительных шкал для оценки состояний устойчивости, как функции реально получаемой меры информации о намерениях и действиях договаривающихся сторон [49,50,51,57]. При этом необходимо учитывать влияние человеческого, природного и других факторов на реально складывающуюся и прогнозируемую Геополитическую, др. обстановку на международном, межстрановом, внутристрановом и корпоративном уровнях;

- создание и развитие основ теории глобальной оптимизации способов и средств достижения интегральной цели развития мирового сообщества в свете Повестки дня на ХХI век ООН;

- совершенствование и дальнейшее развитие накопленной базы знаний и ресурса по автоматизации процессов управления циклами ИИПЗ безопасности и устойчивости развития в реально складывающейся и прогнозируемой Геополитической, др. обстановке;

- предложения по совершенствованию НПД по проблеме в рассматриваемом контексте, аспектах и условиях в интересах создания эффективных механизмов государственного и адекватного ему корпоративного регулирования разрешения исследуемых проблем в свете требований Государственной информационной политики и Доктрины ИБ РФ.

На современном этапе всё большее распространение получают работы отечественных и зарубежных авторов по автоматизации исследований управленческих процессов в интересах обеспечения устойчивости развития ОЗ. Их внимание концентрируется на совершенствовании и дальнейшем развитии накопленной базы знаний и ресурса по обеспечению ИБ ОЗ в условиях идеологической, информационно-психологической и кибернетической войны между договаривающимися сторонами. Методология таких исследований базируется на [49,83,85,87-89]:

- моделировании и прогнозировании взаимосвязанного развития внешней и внутренней среды ОЗ, их СИБ;

- мониторинге и контроллинге состояния этих сред;

- диагностике устойчивости развития объектов, её экспертизе на соответствие требуемой;

- выявлении диспропорций между необходимым, потенциально возможным и реально достижимым состоянием устойчивости в условиях неопределённости ситуации, ограниченного ресурса и наличия угроз нарушения ИБ ОЗ, их СИБ с негативными последствиями;

- анализе степени опасности таких угроз для устойчивости развития объектов, позволяющем выявить допустимые, критические и неприемлемые последствия;

- синтезе методов и систем защиты информации, адаптивных и близких к оптимальным по ситуации и результатам в реально складывающейся и прогнозируемой Геополитической, др. обстановке ХХI века;

- управленческом консультировании ЛПР по перечисленным выше вопросам с комментариями о последствиях альтернативных вариантов управленческих решений и рекомендациями по адекватной реакции на угрозы нарушения ИБ ОЗ, их СИБ с негативными последствиями.

Возможность автоматизации решения выше перечисленных задач на основе накопленной базы знаний ресурса в этом вопросе можно установить на основе изучения результатов исследования по проблеме следующих авторов.

Фрейдина Е.В. Исследование систем управления. В ней рассматриваются: структурные модели управления, основы формализации систем управления, параметры оценки, диагностика управления организацией. Работа носит фундаментальный характер, содержит: классификатор проблем исследования, структурное и логическое моделирование систем управления, параметрическое исследование их устойчивости с учётом влияния человеческого фактора и состояния внешней среды; экспериментирование в управлении организациями (тестирование, диагностика, само исследование как объект управления, организация НИР, управление их проектами).

Бажин И.И. Информационные системы менеджмента. Автор рассматривает новые инструменты и принципы работы менеджеров, практику применения новых технологий в контексте:

-функции и алгоритмы управления, менеджмент как процесс принятия решений в информационной среде, методы решения проблем;

-математические и стохастические модели в менеджменте, анализ как этап принятия решений, стратегия и методы поиска оптимальных решений;

-компьютерные модели в оптимальном управлении, организация информационных потоков в базах данных;

Грабауров В.А. Информационные технологии для менеджеров. Автор концентрирует своё внимание на:

-поддержке принятия решений (Decosion Support System) и исполнительной информационной системе (Executive Support System), переработке руды данных (Data Mining);

-искусственном интеллекте (Artificial Intelligence), экспертных системах (Expert Systems), нейронных сетях (Neural Networks), виртуальной реальности (Virtual Reality), системе поддержки работы группы (Group Support Systems), географической информационной системе (Geographical Information Systems);

-организации, информационных системах и менеджерах (стратегическая роль и первоочередные задачи, роль информационных технологий), примерах анализа данных о рынке и о положении фирмы (статистические пакеты Statistics, Stat graphics), составлении бизнес–плана (пакет Project Expert), преобразование отсталого предприятия в передовое с помощью Case - технологий и стандартов IDEF;

-современном подходе к качеству (всеобщее управление качеством Total Quality Management, международный стандарт качества ISO 9000 и информационные системы ISO в США);

-менеджер и фирма в информационном обществе (системы поддержки индивидуальной работы и работы команд, программы Microsoft Meeting, Lotus Sametims, поиска информации в Интернете;

-менеджеры и информационные системы в принятии решений, индивидуальные и групповые модели, процесс коммуникаций и эффективность управления, психологические аспекты работы команды, обучение на основе деловых компьютерных игр (игра Дельта).

Черемных С.В - и др. Структурный анализ IDEF-технологии. Приводится сведения о семействе стандартов IDEF технологий. Они образуют совокупность моделей и методик для класса информационных систем менеджмента (MIS) организационного типа, которые поддерживаются адекватными средствами автоматизации. Стандарты применяются в CASE – средствах в интересах описания различных свойств, например автоматизации и количественного описания параметров проектов. Акцентируется внимание на:

-моделировании бизнеса по методологии SADT (в том числе для описания поведения компаний); методологии описания бизнес-процессов (требования к описанию, синтаксис и семантика описания и функционального моделирования с учётом взаимосвязей между стандартами), структурном анализе потоков данных (DFD);

-структурном анализе потоков данных (назначение, синтаксис и семантика, построение потоков данных; стоимостном анализе и имитационном моделировании;

-программном обеспечении IDEF – моделирования с помощью руководства для пользователя Platinum BP win/.

Приводятся примеры использования IDEF – технологий (налогообложение, управленческий учёт, аудиторская деятельность) и приложения: семейство стандартов IDEF, нотация моделирования, программное средство моделирования Design/IDEF, структурный и объектно-ориентированный подход, реинжиниринг.

Ползунова Н.Н., Краев В.Н. Исследование систем управления. В работе внимание сосредоточено на формировании проблемного поля организации, управленческом консультировании, диагностическом инструментарии для решения проблемных ситуаций предприятия, диагностике системы управления ассортиментом выпускаемой продукции.

Майоров С.И. Информационный бизнес: коммерческое распространение и маркетинг. В работе приводятся сведения о:

-технологии коммерческого распространения информации, международном и отечественном рынках интерактивных услуг;

-программе информационного маркетинга и его особенностях при осуществлении различными субъектами (производителями БД, интерактивными службами); взаимоотношениях между субъектами маркетинга и пользователями АБД;

-анализе продукта и рынка, формировании цен на интерактивные услуги и рекламно-пропагандистской деятельности;

-контроле за выполнением программы маркетинга (использование АБД, прибыльность, стратегический контроль).

Ефремов В.С. Стратегическое планирование в бизнес – системах. Приводится исходный код программ «Эксперт» в интересах формирования структуры пространства стратегических позиций фирмы на основе применения системы решающих функций для оценки условий бизнеса с учётом результатов аудита параметров условий бизнеса, проведенного консалтинговой фирмой.

Саркисян С.А., Лисичкин В.А., Минаев Э.С.и др. Теория прогнозирования и принятия решений. Рассмотрена возможность создания Автоматизированной системы прогнозирования развития науки, техники и технологий (АСПНТ) применительно к отрасли народного хозяйства страны в советский период. Акцент сделан на систему показателей: вероятность достижения целей как функция меры получаемой исходной информации – ценность управленческих решений по адекватной реакции на вызовы извне и изнутри (т.е. приемлемости последствий таких решений) – полезность таких решений с точки зрения возможностей достижения конечной (генеральной) цели хозяйствующего субъекта – их приоритетность с точки зрения (критерий): необходимо – потенциально возможно – реально достижимо ПРИ допустимом, критическом. неприемлемом информационном риске и его последствиях.

Кроме того, следует оценить состояние вопроса о возможностях отечественных автоматизированных изобретающих машин требуемого целевого и функционального назначения (школа Альтшулера). Сопоставить их с возможностями моделирования и проектирования с помощью CASE на основе IDEF технологий. Уточнить результаты с учётом последних достижений и наметившихся тенденций дальнейшего развития таких технологий.

Общие выводы. Накопленную базу знаний и ресурса по проблеме математического моделирования и автоматизации процесса исследований на моделях целесообразно принять за основу (аналог, прототип) для решения задач управления циклами информационной и интеллектуальной поддержки устойчивого развития ОЗ по ситуации и результатам в реально складывающейся и прогнозируемой обстановке ХХI века. Перечисленные задачи должны решаться в контексте:

Цель – ситуация – проблема – решение – побочные эффекты – меры по их предупреждению и ликвидации негативных последствий;

Действие – противодействие – ответные меры и т.д.