На основе анализа известных схем – моделей осуществления менеджмента разработана схема – модель управления процессами обеспечения информационной безопасности организации или управления рисками нарушения ее информационной безопасности. Данная схема представлена во втором разделе. С учетом устоявшегося подхода к унификации описаний процессов менеджмента предложено стандартизованное описание системы менеджмента информационной безопасности организации, а также реализации ее отдельных составляющих (менеджмента рисков, инцидентов, активов, документов и т. п.).
Возможные методики оценки уровня информационной безопасности организации и примеры их использования рассмотрены в третьем разделе.
В четвертом разделе основное внимание сосредоточено на исследовании проблем противодействия «внутренним» угрозам информационной безопасности, исходящим от сотрудников организации. Предложена соответствующая модель угроз и рассмотрены возможные меры по противодействию этим угрозам.
В приложении приведены справочные материалы по архитектуре стандартов защиты информации и обеспечения информационной безопасности и др., а также изложены подходы к формированию нормативного обеспечения системы информационной безопасности организации.
Практическая значимость книги заключается в том, что в ней с единых методологических позиций рассмотрены проблемы формирования системы обеспечения информационной безопасности организации как упорядоченной совокупности нормативных, организационных и технических решений, позволяющих не только обеспечить противодействие угрозам нарушения информационной безопасности, но и повысить прозрачность процесса построения и функционирования таких систем.
Предложенные в книге выводы и рекомендации базируются на анализе конкретных нормативных и методических материалов, подкрепляются наглядными иллюстрациями и обладают значительным потенциалом дальнейшего развития.
Материалы книги будут полезны ученым и специалистам, занимающимся вопросами обеспечения информационной безопасности организаций, а также студентам, изучающим соответствующие учебные курсы.
А. А. Стрельцов,
профессор, заслуженный деятель науки Российской Федерации, доктор технических наук, доктор юридических наук
Предисловие С. П. Расторгуева
Проблема обеспечения информационной безопасности – вечная проблема, и она будет вечной до тех пор, пока под безопасностью мы будем понимать состояние или ощущение защищенности интересов (целей) организации в условиях угроз. Почему? Потому что состояние защищенности – это субъективное понятие. У волка оно одно, а у овцы – совсем другое. В случае же человека или социума все еще гораздо сложнее, и в общем случае никогда нельзя сказать, чем все это дело закончится, как в известной даосской притче про старика (http://pritchi.castle.by/ras-14-1.html): «Жил в одной деревне старик. Был он очень беден, но все императоры завидовали ему, потому что у него был прекрасный белый конь. Никто никогда не видел подобного коня, отличавшегося красотой, статью, силой… Ах, что за чудо был этот конь! И императоры предлагали хозяину за коня все, что только бы он пожелал! Но старик говорил: “Этот конь для меня не конь, он – личность, а как можно продать, скажите на милость, личность? Он – друг мне, а не собственность. Как же можно продать друга?! Невозможно!” И хотя бедность его не знала пределов, а соблазнов продать коня было немыслимое количество, он не делал этого.
И вот однажды утром, зайдя в стойло, он не обнаружил там коня. И собралась вся деревня, и все сказали хором: “Ты – глупец! Да мы все заранее знали, что в один прекрасный день этого коня украдут! При твоей-то бедности хранить такую драгоценность!.. Да лучше бы ты продал его! Да ты бы получил любые деньги, какие бы ни запросил, – на то и императоры, чтобы платить любую цену! А где теперь твой конь? Какое несчастье!”