В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Одним из первых и наиболее важных шагов на пути к обеспечению информационной безопасности является выполнение инвентаризации информационных активов, а также идентификация и оптимизация потоков передачи информации и мест и способов ее хранения и обработки. Действительно, перед тем как приступить к защите, нужно понять, что защищать. Поэтому логично предположить, что в организации эти задачи должны выполняться именно подразделением, ответственным за защиту информации. Однако давайте проверим, насколько оптимально такое решение.
Обратимся к сравнению обеспечения информационной безопасности с обеспечением безопасности материальных ценностей, инвентаризацию которых производит отнюдь не подразделение, ответственное за физическую безопасность. Этим обычно занимается бухгалтерия. Сделано это неспроста – охранное подразделение не должно само ставить себе задачу, определяя перечень объектов, подлежащих защите. Теперь посмотрим, как обстоят дела с выполнением инвентаризации информации на практике. Для этого есть достаточное количество примеров, в том числе благодаря тому, что соответствующие требования содержатся в наиболее актуальных на данный момент стандартах информационной безопасности. Мы говорим о классическом активо-ориентированном подходе к анализу информационных рисков, поскольку иные подходы, а именно инциденто- и процессоориентированный, встречаются в российской практике пока еще крайне редко. Активо-ориентированный подход предполагает наличие в той или иной степени детализированного перечня информационных активов, формируемого в процессе их инвентаризации.
Собранная нами в ходе аудитов статистика показывает, что выполнение инвентаризации информационных активов нередко вызывает затруднения у специалистов по информационной безопасности. Эффективно работающий на практике реестр информационных активов представляет собой перечень видов информации, присутствующей в организации, то есть хранимой, обрабатываемой и передаваемой ее информационными системами и сотрудниками. Каждое наименование в перечне должно отвечать на вопрос: "Информация о чем?". Например, "Информация о планируемых сделках", "Информация о применяемых технологиях производства",
"Персональные данные клиентов" и т.д. При этом любая информация, присутствующая в организации, независимо от ее формы, местонахождения, степени конфиденциальности и других параметров, должна обязательно попадать под определение одного или нескольких наименований в перечне информационных активов.
Для создания такого перечня необходимо плотное сотрудничество с представителями всех направлений деятельности организации и серьезная аналитическая работа. Детализация перечня и количество позиций в нем зависят от размеров и потребностей организации. Существуют различные способы получения и представления таких перечней, выбираемые в зависимости от уровня зрелости процесса инвентаризации информационных активов. На начальном этапе подойдет обычный плоский список, а для более зрелых организаций удобнее будет использовать древовидный классификатор. Для крупных, территориально распределенных компаний, объем обрабатываемых данных в которых колоссален, применимо датацентричное представление структуры информационных активов. Способ такого представления информации описан в стандарте ISO 15926, разработанном для интеграции информационных потоков сложных бизнес-процессов, например таких, как добыча и переработка нефти.
Возможности по применению реестра информационных активов достаточно широки. В рамках обеспечения информационной безопасности его можно применять для выполнения анализа рисков и управления правами доступа. Кроме того, он может применяться при проектировании информационных систем, анализе и оптимизации бизнес-процессов, организации поиска необходимой информации.
Однако в большинстве проаудированных нами организаций на момент начала работ такой реестр либо отсутствовал, либо не был актуален и присутствовал лишь "для галочки". Кроме того, в перечне часто перемешиваются такие понятия, как информация, содержащие ее документы, обрабатывающие ее системы и серверы и даже помещения архивов. Вследствие допущения такого смешения понятий создаваемые перечни не могут эффективно применяться на практике и воспринимаются сотрудниками организации как очередная бюрократическая повинность.
К счастью, встречаются примеры качественного исполнения инвентаризации, доказывающие свою высокую эффективность.
В мире есть множество направлений деятельности, связанных с информацией. В рамках информационных технологий анализируются способы хранения, обработки и передачи информации, которые впоследствии могут быть частично или полностью автоматизированы. Для планирования затрат на рекламу производится изучение способов доведения необходимой информации до целевой аудитории. В целях информационного обеспечения бизнеса и проведения маркетинговых исследований осуществляется отбор и классификация источников информации, а сама информация оценивается по степени ее достоверности и актуальности. Вопросы анализа оборота информации с целью обеспечения информационной безопасности мы уже рассмотрели. Многие подразделения организации при решении своих прикладных задач выполняют различные действия, связанные с информацией.
Логичным будет предположение, что все эти "информационные вопросы" стоит объединить в отдельное направление – управление информацией, предоставляющее результаты своей деятельности нуждающимся в них подразделениям организации и внешним субъектам. Это позволило бы придать процессу анализа оборота информации и управления им большую системность, а также избавиться от дублирования многих функций и сократить затраты.
Возвращаясь к примеру с инвентаризацией материальных ценностей, можно сказать, что обязанности по инвентаризации информационных активов стоит возложить на подразделение, выполняющее функции управления информационными активами. Теперь нужно понять, что это за подразделение, и как следует организовать его работу.
Постановка вопроса авторами крайне актуальна. Действительно, информация стремительно становится сырьем, которое обрабатывается информационными системами, исполняющими информационные технологии. В результате такой обработки из информационного сырья, материалов получаются информационные продукты. Если материалы были качественные, а технологии не нарушались – получаются хорошие информационные продукты, приобретающие в силу использования правильных технологий статус документа, в данном случае электронного документа. При использовании плохих технологий получается спам.
Как в материальном мире технология – это последовательность операций обработки материала, так и в виртуальности – только операции информационные, а материал – сообщения в электронном виде, отражающие информацию о реальном мире. Технологию производства на заводе иногда нарушают – тогда получается не товар, а брак. Можно нарушить и информационную технологию – тоже ничего хорошего не получится.
Но технологию можно сделать такой, чтобы брак выпустить было невозможно. Может быть такой и информационная технология. В этом случае информационная технология обладает замечательным свойством сохранять последовательность операций, и ее можно назвать защищенной информационной технологией.
Информационное общество – это общество, в ВВП которого доля информационного производства (производства информационного продукта – электронных документов) заметна (то есть составляет по крайней мере 10–15%). Начиная строить информационное общество, мы должны ясно понимать, что является результатом этой деятельности, а что нет. Документооборот – да, услуги в электронном виде – да, торговля ксероксами – нет. Это другой срез общественных и экономических отношений, он касается не производства, а торговли, и его изучает традиционная экономика и статистика.
Впервые аналогию между материальным производством и производством информационным заметил и описал примерно 10 лет назад доктор технических наук Герман Тимофеевич Артамонов. Как видим, зерна дали всходы, и задумываться над этим феноменом начинает широкая научная общественность.
Я очень доволен началом обсуждения этого вопроса и буду ждать продолжения с нетерпением.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2011