Также следует отметить, что среди всего набора угроз и рисков существует определенная иерархия, по силе воздействия и уровню катастрофичности для бизнеса угрозы серьезно различаются. Так, политические риски или риски несоответствия законодательству являются для бизнеса определяющими, так как способны вне зависимости, насколько качественно осуществляется работа по минимизации рисков информационной безопасности физически уничтожить бизнес (лишение лицензии, налоговые штрафы и т. д.). К сожалению, следует говорить и о рисках, возникавших и при взаимодействии с правоохранительными органами, например, когда в ходе расследования изымались оригиналы документов или сервера с базами данных, что неминуемо ведет к катастрофическим последствиям для организации.
С другой стороны, при абсолютно благоприятном внешнем политическом, законодательном и экономическом фоне, реализация рисков информационной безопасности может нанести субъекту бизнеса ущерб такого размера, от которого оправиться крайне сложно.
Таким образом, существует ряд рисков, включая риски информационной безопасности, ущерб от которых может быть неприемлем для субъекта бизнеса. В то же время некоторые общие риски политического, экономического и правового характера обладают «кумулятивным» эффектом и способны нанести системный ущерб, затрагивающий практически все сферы деятельности организации.
Что касается угроз информационной безопасности бизнеса, то их условно тоже можно разделить на две группы:
— традиционные угрозы безопасности информации, такие как нарушение конфиденциальности или неправомерное использование информации, реализуемые через новые механизмы, возникшие в результате использования информационных систем;
— новые угрозы, порожденные спецификой информационных систем — вирусы, сетевые атаки, нарушения функционирования и отказы разного рода, всевозможные нарушения персоналом установленных регламентов, инструкций и предписаний по эксплуатации и обслуживанию информационных систем.
Эти и другие вопросы авторы постарались рассмотреть в книге, предлагаемой вниманию читателя.
1. Философия информационной безопасности бизнеса
1.1. Бизнес и информация
1.1.1. Информационная сущность бизнеса
Информация является неотъемлемой частью бизнеса. Бизнес-процессы не могут существовать без информации и вне информации, хотя бы потому, что бизнес существует в рамках определенной правовой среды, определяемой совокупностью информационных объектов, таких как законодательные и нормативные акты, постановления правительства и другие подобные документы, и формирует отчетность по нормам этой правовой среды, т. е. порождает информацию определенного вида. Сущность бизнес-процесса представляется как процесс достижения некоторой совокупности целей (бизнес-целей) на основе управления активами. Информационной сущностью бизнеса и является этот процесс управления. Если правовое поле, отчетность, активы и возможные операции над ними во многом зависят от природы бизнеса, то процесс управления в большой степени инвариантен к ней.
Главная особенность управления в бизнесе, существенно отличающая его от некоторых других, например технических систем автоматического управления и регулирования, является большая задержка между моментом принятия решения и получаемым результатом, что иллюстрирует рис. 1. После принятия решений по управлению реализуется некий процесс бизнеса, протекающий в слабодетерминированной внешней среде, не все параметры которой контролируются организацией, осуществляющей бизнес. Таким образом, результат принятых решений наблюдается с задержкой и иногда весьма значительной. Поэтому важнейшей для бизнеса является способность предвидеть возникновение разного рода ситуаций (как благоприятных, так и неблагоприятных) в среде бизнеса и в самом бизнесе. Это чисто информационная задача, в основе которой лежит прогноз.
Когда задумывается и реализуется какой-либо процесс целенаправленной деятельности необходимо поставить и ответить на следующие вопросы.
• Будет ли достигнута цель в том виде, как предполагается?
• Достаточно ли в нашем распоряжении операционных возможностей, знаний (опыта), соответствует ли потребностям качество подготовки персонала и система менеджмента?