Информационное обеспечение управленческих решений и информационная безопасность

Отбор нужной информации.

     Одна  из важных проблем, связанных с новой  технологией ИУС, - это легкость, с которой можно выдавать чрезмерное количество информации. А избыток  информации также затрудняет процесс  принятия решения, как и ее недостаток. Погребенный под грудой несущественных фактов, руководитель или может просмотреть  важную информацию, или не сможет достаточно быстро установить ее для современного принятия решения. Следовательно, хорошо проектированная ИУС избирательно снабжает руководителя информацией  лишь того типа, которая необходима для его деятельности. По возможности, информацию необходимо как можно плотнее “сжимать”, чтобы ускорить процесс ее накопления.

     Необработанная  информация, вводимая в компьютерную информационную систему, называемую базой  данных, должна быть организованна  так, чтобы ее можно было извлечь  в пригодном виде. Разные управляющие  имеют разную потребность в информации в разное время. Чтобы помочь им эффективно использовать аппаратное оснащение  системы, были разработаны разнообразные  пакеты программного обеспечения.

3. Стратегия информационной безопасности и её цели

    Проанализировав достаточно большое количество литературы, я не нашел четкого определения  ИБ, поэтому сформулировал своё –  информационная безопасность это комплекс мер по обеспечению безопасности информационных активов предприятия. Самое главное в этом определении это то, что ИБ можно обеспечить только в случае комплексного подхода. Разрешение каких-то отдельных вопросов (технических или организационных) не решит проблему ИБ в целом, а вот как раз этого главного принципа большинство сегодняшних руководителей не понимают и вследствие чего являются жертвами злоумышленников.

    Стратегия – средство достижения желаемых результатов. Комбинация из запланированных действий и быстрых решений по адаптации  фирмы к новым возможностям получения  конкурентных преимуществ и новым  угрозам ослабления её конкурентных позиций. То есть стратегию информационной безопасности (СИБ) нужно определять с учетом быстрого реагирования на новые угрозы и возможности.

Среди целей ИБ главными можно выделить следующие:

    Конфиденциальность – обеспечение информацией только тех людей, которые уполномочены для получения такого доступа.

 Хранение  и просмотр ценной информации  только теми людьми, кто по  своим служебным обязанностям  и полномочиям предназначен для  этого. 

    Целостность – поддержание целостности ценной и секретной информации означает, что она защищена от неправомочной модификации. Существуют множество типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные. Главная цель информационной политики безопасности должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом.

    Пригодность – обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.

1. Разработка и внедрение эффективных политик информационной безопасности

    Не  секрет, что дела с обеспечением ИБ в большинстве российских компаний обстоят не лучшим образом. Общение  со специалистами и результаты статистических исследований только укрепляют это  мнение. Большинство организаций  регулярно терпят убытки, связанные  с нарушением ИБ, не способны оценить  ущерб или хотя бы обнаружить многие из этих нарушений. Тем более не идет речь о реализации в современных  российских организациях полноценной  процедуры управления рисками ИБ. Большинство специалистов-практиков  даже не берутся за эту "непосильную" задачу, предпочитая руководствоваться  при решении проблем ИБ исключительно  собственным опытом и интуицией. Убытки от нарушений ИБ могут выражаться в утечке конфиденциальной информации, потере рабочего времени на восстановление данных, ликвидацию последствий вирусных атак и т.п. Убытки могут также  выражаться и вполне конкретными "круглыми суммами", например, когда речь идет о мошенничестве в финансовой сфере с использованием компьютерных систем. Политики безопасности (ПБ) лежат в основе организационных мер защиты информации. От их эффективности в наибольшей степени зависит успешность любых мероприятий по обеспечению ИБ. Часто приходится сталкиваться с неоднозначностью понимания термина "политика безопасности". В современной практике обеспечения ИБ термин "политика безопасности" может употребляться как в широком, так и в узком смысле слова. В широком смысле, ПБ определяется как система документированных управленческих решений по обеспечению ИБ организации. В узком смысле под ПБ обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения ИБ. Примерами таких документов могут служить "Политика управления паролями", "Политика управления доступом к ресурсам корпоративной сети", "Политика обеспечения ИБ при взаимодействии с сетью Интернет" и т.п. Использование нескольких специализированных нормативных документов обычно является предпочтительней создания "Общего руководства по обеспечению ИБ организации". Например, в компании Cisco Systems, Inc. стараются, чтобы размер ПБ не превышал 2 страниц. В редких случаях размер ПБ может достигать 4-5 страниц. Содержательная часть типовой русскоязычной ПБ обычно не превышает 7 страниц. Этот подход, однако, не противоречит и созданию объемных Руководств, Положений и Концепций по обеспечению ИБ, содержащих ссылки на множество специализированных ПБ и увязывающих их в единую систему организационных мер по защите информации. Далее речь пойдет о существующих подходах к разработке эффективных ПБ, без которых невозможно создание комплексной системы обеспечения ИБ организации и разработки стратегии ИБ. Как будет показано, эффективность ПБ определяется качеством самого документа, который должен соответствовать текущему положению дел в организации и учитывать основные принципы обеспечения ИБ, изложенные ниже, а также правильностью и законченностью процесса внедрения.

2. Факторы, определяющие эффективность политики безопасности

    Эффективные ПБ определяют необходимый и достаточный  набор требований безопасности, позволяющих  уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное  влияние на производительность труда, учитывают особенности бизнес-процессов  организации, поддерживаются руководством, позитивно воспринимаются и исполняются  сотрудниками организации.

    При разработке ПБ, которая "не рухнет под  своим собственным весом", следует  учитывать факторы, влияющие на успешность применения мер обеспечения безопасности.

    Безопасность  препятствует прогрессу.

    Меры  безопасности накладывают ограничения  на действия пользователей и администраторов  ИС и в общем случае приводят к  снижению производительности труда. Безопасность является затратной статьей для  организации, как и любая другая форма страхования рисков.

    Человеческая  природа всегда порождает желание  получения большего количества информации, упрощения доступа к ней и  уменьшения времени реакции системы. Любые меры безопасности в определенной степени препятствуют осуществлению  этих естественных желаний.

    Представьте себе ситуацию ожидания переключения сигнала светофора. Очевидно, что  светофор предназначен для обеспечения  безопасности дорожного движения, однако если движение по пересекаемой дороге отсутствует, то это ожидание выглядит утомительной тратой времени. Человеческое терпение имеет предел и если светофор долго не переключается, то у многих возникает желание проехать на красный.

В конце  концов, светофор может быть неисправен, либо дальнейшее ожидание является неприемлемым.

    Аналогично, каждый пользователь ИС обладает ограниченным запасом терпения, в отношении  следования правилам политики безопасности, достигнув которого он перестает  эти правила выполнять, решив, что  это явно не в его интересах (не в интересах дела).

    Политики, не учитывающие влияния, которое  они оказывают на производительность труда пользователей и на бизнес-процессы, в лучшем случае могут привести к  ложному чувству защищенности. В  худшем случае такие политики создают  дополнительные бреши в системе  защиты, когда "кто-то начинает двигаться  на красный свет".

    Следует учитывать и минимизировать влияние  ПБ на производственный процесс, соблюдая принцип разумной достаточности.

    Навыки  безопасного поведения  приобретаются в  процессе обучения.

    В отличие, скажем, от инстинкта самосохранения, обеспечение ИБ не является инстинктивным  поведением. Это функции более  высокого уровня, требующие обучения и периодического поддержания.

    Процедуры обеспечения безопасности обычно не являются интуитивными. Без соответствующего обучения пользователи ИС могут и  не осознавать ценность информационных ресурсов, риски и размеры возможного ущерба. Пользователь, не имеющий представления  о критичности информационных ресурсов (или причинах, по которым их следует  защищать), скорее всего, будет считать  соответствующую политику неразумной. Даже некоторые навыки самосохранения требуют обучения. (Дети сначала  не знают о том, что перед тем, как переходить через дорогу, надо посмотреть сначала налево, а потом  – направо). В отличие от инстинктивного, это пример сознательного поведения.

    Руководство организации также следует просвещать по вопросам, касающимся ценности информационных ресурсов, ассоциированным с ними рисков и соответствующих политик  безопасности. Если руководство не знакомо с политикой безопасности или с ее обоснованием, не приходится рассчитывать на его поддержку. Конечно, руководству не требуется знать  технических деталей обеспечения  ИБ и конкретных правил, предписываемых политиками. Достаточно сфокусировать  его внимание на возможных последствиях нарушений безопасности и связанных  с ними потерях для организации.

    Следует проводить непрерывную работу по обучению сотрудников и повышению  осведомленности руководства организации  в вопросах обеспечения ИБ.

    Нарушения политики безопасности являются неизбежными

    В крупных организациях в ИТ-процессы вовлечено большое количество людей, для большинства из которых требования ПБ отнюдь не являются очевидными. Чем  сложнее пользователям ИС приспособиться к установленной политике, тем  менее вероятной является ее работоспособность. На начальном этапе требования ПБ наверняка будут нарушаться, да и  в будущем полностью избежать этого не удастся.

    Необходимо  осуществлять непрерывный контроль выполнения правил ПБ как на этапе  ее внедрения, так и в дальнейшем, фиксировать нарушения и разбираться  в их причинах.

    Одной из основных форм этого контроля является регулярное проведение как внутреннего, так и внешнего аудита безопасности.

    Чтобы оставаться эффективной, политика безопасности обязана совершенствоваться

    Даже  если вам удалось разработать  и внедрить эффективную политику безопасности, работа на этом не заканчивается. Обеспечение ИБ – непрерывный  процесс. Технологии стремительно изменяются, существующие системы устаревают, а  многие процедуры со временем теряют эффективность. Политики безопасности должны непрерывно совершенствоваться для того, чтобы оставаться эффективными.

    Работоспособность и эффективность существующих политик  должны регулярно проверяться. Устаревшие политики должны пересматриваться. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Заключение

     Ускорение научно-технического прогресса предъявляет  все более высокие требования к информационному обеспечению  органов управления. Эффективность  этого вида деятельности, ставящего  своей целью подготовку и обоснование  управленческих решений, во многом предопределяет эффективность управления в целом. Начав со справочно-информационной работы, подразделения информирования руководящих работников перешли  к серьезному анализу и обобщению  информации, выработали методологию  и технологию обработки информационных материалов. Сейчас эти подразделения  выполняют функции квалифицированных  консультантов, помогают руководителям  сформировать новые варианты, обосновать или опровергнуть имеющиеся аргументы, осуществлять поиск различных решений.

     Повышение эффективности использования информационных систем достигается путем сквозного  построения и совместимости информационных систем, что позволяет устранить  дублирование и обеспечить многократное использование информации, установить определенные интеграционные связи, повысить степень использования информации.

     Информационное  обеспечение предполагает: распространение  информации, то есть представление  пользователям информации, необходимой  для решения управленческих, научно-производственных и других вопросов, возникающих в  процессе деятельности; создание наиболее благоприятных условий для эффективного распространения информации.