Главная страница
Навигация по странице:

  • Ключевые слова

  • 1. Введение

  • 2. Управление информационной безопасностью

  • 3. Применение закона У.Р. Эшби для оценки эффективности управления

  • 4. Априорное и апостериорное управление

  • 5. Заключение

  • Alexander BARANOV

  • Key words

  • А. П. Баранов доктор физикоматематических наук, Заместитель Генерального директора фгуп Главный научноисследовательский вычислительный центр фнс россии


    Скачать 111.79 Kb.
    НазваниеА. П. Баранов доктор физикоматематических наук, Заместитель Генерального директора фгуп Главный научноисследовательский вычислительный центр фнс россии
    Дата13.04.2023
    Размер111.79 Kb.
    Формат файлаpdf
    Имя файлаsovremennoe-sostoyanie-filosofii-upravleniya-informatsionnoy-bez.pdf
    ТипСтатья
    #1060483

    7
    БИЗНЕС-ИНФОРМАТИКА №2(28)–2014 г.
    СОВРЕМЕННОЕ СОСТОЯНИЕ ФИЛОСОФИИ
    УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ
    БЕЗОПАСНОСТЬЮ
    А.П. Баранов
    доктор физико-математических наук, Заместитель Генерального директора
    ФГУП «Главный научно-исследовательский вычислительный центр ФНС России»
    Адрес: 125373, г. Москва, Походный проезд, вл. 3, стр. 1
    E-mail: baranov.ap@yandex.ru
    Статья посвящена разработке философской концепции понятия «эффективность управления
    информационной безопасностью». Основой концепции является представление информации как содержания
    отображения взаимодействующих систем. Данный подход позволяет рассматривать с единых позиций
    вопросы обеспечения защиты информации для технических, компьютерных, а также общественно-
    политических систем. Ключевым моментом концепции является формулирование целей взаимодействия
    систем, которые для разных сторон взаимодействия могут быть принципиально различными.
    Понятие управления информационной безопасностью предлагается интерпретировать как управление
    состоянием достаточности обеспечения движения информации, возникающей при взаимодействии
    систем. Такое определение является частным случаем традиционного понятия управления системой,
    если в качестве системы рассматривать взаимодействующие объекты, осуществляющие процесс
    отображения.
    Предлагаемый подход расширяет традиционный взгляд на управление информационной безопасностью,
    содержащийся в стандартах различных российских и международных организаций. Стандартный подход
    оказывается частным случаем, основанным на оценках рисков или выполнении рекомендаций регуляторов.
    В свою очередь, к оценке эффективности процесса управления информационной безопасностью, как и в общем
    случае оценки эффективности управления системой, оказывается применимым закон У.Эшби.
    На основе этого подхода выявляются возможности повышения эффективности управляющей системы
    для оперативного управления. Рассматривается пример функционирования портала госуслуг как
    взаимодействующих систем государственного органа и населения. Делается вывод о слабой
    информационной защищенности системы населения при осуществлении взаимоотображений
    государственного органа и общества. Как вариант повышения эффективности управления предлагается
    использовать потенциал саморегулируемых организаций.
    Ключевые слова: философия, отражение, информация, безопасность взаимодействия, информационная безопасность, эффективность управления, закон У.Р. Эшби, регуляторы, саморегулируемые организации.
    ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ТЕХНОЛОГИИ В БИЗНЕСЕ

    8
    БИЗНЕС-ИНФОРМАТИКА №2(28)–2014 г.
    ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ТЕХНОЛОГИИ В БИЗНЕСЕ
    1. Введение
    Р
    азвитие информационных технологий в со- временном мире сопровождается повышени- ем значения и роли защиты информации на всех этапах ее существования. Объемы исследова- ний и затраты, направляемые на разработку мето- дов защиты, увеличиваются вместе с расширени- ем областей применения компьютерной техники.
    Становясь неотъемлемой частью производствен- ных, хозяйственных и общественных функций, информационные технологии зачастую оказывают решающее влияние на функционирование жизнен- но важных процессов существования государств, включая критические технологии [1].
    Предметом применения компьютерной техники является информация, которую, в частности, тре- буется защищать, поэтому понятие «информаци- онная безопасность» необходимо соотнести со всей совокупностью аспектов безопасности функцио- нирования общественно-экономических и техни- ческих систем.
    Мы будем придерживаться принципа вторично- сти термина «информационная безопасность» по отношению к понятию общей безопасности си- стемы. Аналогично, управление информационной безопасностью будем рассматривать как частный случай управления системой. При этом сразу воз- никают два вопроса: что такое «безопасность» и что мы понимаем под термином «информация».
    В настоящее время в литературе сформулирован ряд определений понятия «информация» ([2; 3; 4] и др.). Мы будем основываться на представлении ин- формации как содержания отражения взаимодей- ствующих систем. Причиной выбора такого под- хода является, во-первых, возможность вывести из него другие, косвенные признаки, характеризую- щие понятие информации, во-вторых, этот подход не противоречит другим определениям.
    Используя материалистическое понимание взаи- модействия и моделирования систем [5], можно с любой степенью подробности описать современ- ные общественные и технические процессы [6].
    Применение формальной теории систем для мо- делирования процессов с целью дальнейшей опти- мизации результатов взаимодействия в зависимо- сти от целей существования и функционирования отдельных систем стало насущной и естественной практикой анализа и прогнозирования развития ситуаций. В настоящей работе мы не будем рассма- тривать методы теории систем, ограничимся лишь философским содержанием взаимодействия и от- ражения, непосредственно приводящим к понятию информации.
    Отражение двух взаимодействующих систем за- ключается в том или ином воспроизведении одной системой (называемой отражающей) другого объ- екта или системы (называемых отражаемыми).
    Свойства отражения и характер его проявления зависят от целей взаимодействия систем, их само- реализации, а также среды, разделяющей системы, если таковая имеется.
    Таким образом, мы сразу отмечаем, что отраже- ние носит направленный характер: от отражаемого объекта к отражающему.
    Будем исходить из определения информации как содержания отражения и направления ее движения от отражаемого объекта к отражающему. Поскольку содержание отражения зависит от цели взаимодей- ствия, то и содержание, а также направление движе- ния информации определяется этой целью. Следова- тельно, информация существует только в движении, и это заключение, на первый взгляд, противоречит
    «здравому смыслу», когда речь идет о хранении ин- формации на материальных носителях – книгах, дисках и пр. Однако, «противоречие» легко устра- няется при рассмотрении основных форм движения информации, которые будут нам полезны, когда в дальнейшем мы будем исследовать понятие безопас- ности информации в той или иной форме движения.
    Различают четыре основные формы движения информации [7]:
    1. Восприятие (или использование) информации отражающей системой, направленное на измене- ние внутреннего содержания отражающей системы путем воспроизводства содержания отражаемого объекта.
    2. Передача и предоставление информации от одного объекта к другому через определенную про- межуточную среду, в ходе взаимодействия разне- сенных в пространстве систем.
    3. Хранение информации отражаемой системой с целью ее дальнейшего предоставления некоторой, возможно, и не точно известной, отражающей си- стеме. Хранение можно рассматривать как переда- чу информации во времени.
    4. Переработка и порождение информации от- ражающей системой с целью предоставления ре- зультата переработки или порождения другой отра- жающей системе, когда бывшая ранее отражающей система станет отражаемой.

    9
    БИЗНЕС-ИНФОРМАТИКА №2(28)–2014 г.
    ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ТЕХНОЛОГИИ В БИЗНЕСЕ
    Мы добавили к этим традиционным формам дви- жения информации еще одну:
    5. Добыча (разведка) информации, которая воз- никает в случае, если отражаемая система в ходе взаимодействия либо препятствует, либо контро- лирует объемы и характер своего передаваемого со- держания отражающей системе.
    2. Управление
    информационной безопасностью
    Рассмотрим содержание понятия «безопас- ность», имея в виду различные формы движения информации. Прежде всего, отметим, что каждая из перечисленных форм движения соответствует своим целям взаимодействия систем, причем цели взаимодействия отражаемых и отражающих систем в общем случае различны.
    Общее определение безопасности процесса, си- стемы или взаимодействия систем сформулируем как состояние обеспечения целевой функции су- ществования указанных объектов. Такое определе- ние, по крайней мере, не противоречит принятому определенной группой философов [8; 9]. Тогда ло- гично определить информационную безопасность как состояние обеспечения движения информации в процессе отражения систем, соответствующего цели взаимодействия. Очевидно, что при двухстороннем взаимодействии информационная безопасность об- щей системы, включающая в себя две взаимодейству- ющие системы, будет объединением двух отдельных состояний информационной безопасности. Понятно также, что безопасность движения информации будет различна для различных форм движения.
    Сформулируем теперь определение понятия управления информационной безопасностью. Под термином «управление системой, процессом, со- стоянием» будем понимать совокупность воздей- ствий на указанные объекты для достижения наи- лучшей реализации поставленной цели.
    В частном случае управления информационной безопасностью объектом регулирования или управ- ления является состояние достаточной обеспечен- ности движения информации, необходимого для взаимодействия систем. Однако, даже в случае одного и того же типа и характера взаимодействия задачи управления могут быть различны. Напри- мер, при передаче информации, содержащей го- сударственную тайну, важнейшим аспектом может быть обеспечение конфиденциальности; при пере- даче аутентификационной, или командной, ин- формации главной задачей может являться целост- ность и достоверность и т.д.
    В свою очередь, несмотря на наличие объекта регулирования или управления в виде состояния, непосредственные воздействия возможны на от- дельные части системы взаимодействия. Таким об- разом, управляющие воздействия для достижения цели обеспечения состояния информационной безопасности могут быть отнесены на отражающие или отражаемые системы, а также на сам процесс их взаимодействия.
    Рассмотрим более подробно со сформулирован- ных позиций содержание состояния информаци- онной безопасности, а затем и управление этим состоянием. Характеристики состояния определя- ются требованием к обеспечению процесса взаи- модействия и соответствующей форме движения информации. Например, при хранении договоров купли-продажи недвижимости требуется обеспе- чить конфиденциальность персональных данных, неизменность документов, доступность к ним толь- ко определенных лиц, а также нотариальную (юри- дическую) значимость, из которой вытекает невоз- можность аннулирования сделки ее участниками.
    Указанные требования должны выполняться в со- ответствии с Законом № 125-ФЗ от 22.10.2004 года
    «Об архивном деле в Российской Федерации» при временном хранении в государственных органах или муниципальных образованиях в течение 75 лет. За- тем документы передаются на постоянное хранение, где также должен быть обеспечен необходимый уро- вень состояния информационной безопасности.
    Состояние информационной безопасности в об- щем виде традиционно характеризуется свойствами конфиденциальности, целостности и доступности.
    При этом легко привести примеры ситуаций, когда необходимо выполнение любого из подмножеств этого множества свойств.
    Мы отметили выше, что состояние информацион- ной безопасности может быть отнесено к отдельным субъектам взаимодействия и быть различным для от- ражающей системы и отражаемого объекта. В при- мере с хранением договоров купли-продажи основ- ные требования предъявляются к процессу хранения у объекта отражения. К отражающей системе, запра- шивающей информацию о сделке купли-продажи, требования оказываются проще, необходима только строгая аутентификация запроса. Вместе с тем, если информация передается по каналу связи, то возни- кает целый комплекс требований по обеспечению

    10
    БИЗНЕС-ИНФОРМАТИКА №2(28)–2014 г.
    надежности аутентификации запроса и конфиден- циальности передачи ответа.
    Управляющие воздействия на систему имеют раз- личия, проистекающие из многообразия состояний информационной безопасности по отношению к отражаемой или отражающей системам, а также целям взаимодействия и формам движения инфор- мации. Эти воздействия можно разделить на два больших класса:
    1. Выполнение регламентных требований регуля- торов.
    2. Выработка оптимальных методов обеспечения выполнения цели взаимодействия на основе оцен- ки рисков для отражающей и отражаемой систем.
    Первый подход обязателен для государственных структур. Зачастую он приводит к необходимости весьма больших затрат, однако способствует пере- несению ответственности при нарушении целей взаимодействия на регулятора.
    Второй подход оптимизирует затраты, однако требует весьма тщательного анализа процесса отра- жения при взаимодействии, что не всегда возможно при создании, например, больших компьютерных систем в силу низкого качества проектной докумен- тации или отсутствия контакта с разработчиком.
    Следует отметить, что возможность реализации второго подхода при создании государственных систем с 2013 года разрешается и регламентируется
    Приказом №17 ФСТЭК РФ от 12.02.2013 г., а также
    Приказом №21 ФСТЭК РФ от 18.02.2013 г.
    Таким образом, мы видим, что вариаций мето- дов управления информационной безопасностью взаимодействия систем весьма много. Рассмотрим один из возможных методов оценки эффективно- сти управления.
    3. Применение закона У.Р. Эшби
    для оценки эффективности управления
    Закон необходимого разнообразия У.Р.Эшби [10] утверждает, что информационная емкость или раз- нообразие (
    Rz) состояний регулятора должны быть не меньше, чем разнообразие возмущений (
    Rv), сопро- вождающих существование управляемой системы.
    Другими словами, если
    Rz = |Mz
    | – мощность ко- нечного множества
    Mz дискретных состояний регу- лятора, равная числу различных элементов множе- ства состояний регулятора, а
    Rv = | Mv | – мощность множества
    Mv внешних или внутренних воздей- ствий на регулируемый объект, то для эффектив- ной работы регулятора необходимо, чтобы хотя бы
    |
    Mz | было больше или равно |
    Mv |.
    У.Р. Эшби использовал понятие «разнообразие», которое можно по-разному интерпретировать в случае континуальных (неконечных) множеств
    Mz и
    Mv. Мы не будем развивать здесь направления применения закона Эшби для разных типов мно- жеств управления. Оказывается, что даже для дис- кретных множеств
    Mz и Mv можно получить инте- ресные следствия.
    Следствие1. Любой нетривиальный регулятор с минимальным разнообразием
    Rz , большем или равном 2, может управлять возмущениями любого конечного разнообразия.
    Доказательство. Пусть Rz = 2, а Rv = 2
    n
    , где
    n – произвольное фиксированное число,
    n > 1. Произ- ведение
    n – множеств Mz имеет размерность n и мощность 2
    n
    Следовательно, на каждое возмущение из
    Mv могут быть образованы цепочки реакций длины
    n.
    Таким образом, за счет удлинения времени реак- ции в
    n раз регулятор может соответствовать закону
    Эшби. Множество
    Mz фактически характеризует компетентность регулятора.
    Вывод. Малокомпетентный регулятор может быть эффективным за счет уменьшения скорости реак- ции или увеличения времени реагирования на воз- действие.
    Следствие2. Если Rz > Rv, то это еще не гаранти- рует эффективности управления.
    Действительно, построим пример неэффектив- ного управления, удовлетворяющего условиям
    Следствия 2. Пусть
    Rv = 2, а Rz – произвольное конечное или бесконечное число. Однако, все эле- менты
    Rz не оказывают влияния на управляемую систему, то есть не управляют ею. Тогда фактиче- ски все элементы из
    Rz эквивалентны одному эле- менту, заключающемуся в отсутствии управления.
    Обозначим его через
    Mz(1). Таким образом, по от- ношению к понятию управления все элементы
    Mz тождественны, и по отношению к управлению ре- альная мощность управляющего множества равна 1, то есть для |
    Mz(1)
    | = 1 <
    Rv. Следовательно, такое управление не может быть эффективным.
    Таким образом, мы видим, что оценка эффектив- ности управления зависит не только от мощности управляющего множества, но и от факторизации этого множества по отношению к воздействию на систему.
    ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ТЕХНОЛОГИИ В БИЗНЕСЕ

    11
    БИЗНЕС-ИНФОРМАТИКА №2(28)–2014 г.
    В системе управления средствами защиты инфор- мации возмущающие воздействия состоят в фак- торах нарушения условий взаимодействия систем, определяющих, в свою очередь, требования к безо- пасности осуществления отражения как к отражаю- щей системе, так и к отражаемому объекту. Объем так называемого алфавита (вариантов) нарушений достаточно велик, в чем можно убедиться, рассмо- трев перечень угроз для персональных данных, раз- работанный регуляторами – ФСБ РФ и ФСТЭК РФ.
    Цепочки же нарушений тем более создают большое пространство воздействий, то есть множество
    Mv имеет большое значение
    Rv. Таким образом, для того, чтобы адекватно и своевременно реагировать на возмущения (нарушения), множество управляю- щих воздействий обеспечения информационной безопасности также должно быть, по закону Эшби, достаточно развитым:
    Rz больше или равно Rv.
    Все приведенное выше относится к непосред- ственному, так сказать, оперативному управлению системой безопасности или системой защиты ин- формации. Следующим уровнем управления явля- ется управление информационной безопасностью в целом как при создании системы, так и при ее экс- плуатации. Другими словами, управление состояни- ем отражения при взаимодействии двух или более систем с целью обеспечения надлежащего инфор- мационного содержания отражения, отвечающего целевому предназначению отражения. Информаци- онное содержание отражения заключается в реали- зации движения информации в форме, требуемой целью взаимодействия. Следовательно, управление информационной безопасностью (УИБ) взаимодей- ствия систем осуществляется в целях обеспечения заданной формы движения информации, а требова- ния к форме определяются целью отражения.
    4. Априорное и апостериорное управление
    Из предложенного понимания содержания УИБ вытекают два вида воздействия на процесс взаи- модействия систем – априорное и апостериорное.
    Априорное воздействие или управление заключа- ется в формировании спектра условий и мер, обе- спечивающих требуемый уровень взаимодействия при организации и дальнейшей реализации про- цесса отражения. Апостериорное УИБ заключается в коррекции условий реализации процесса по ито- гам уже осуществляемого отображения. Апостери- орное УИБ почти всегда дешевле реализовать, но оно, как правило, осуществляется после завершения инцидентов нарушений. Реализация локализации и компенсации потерь от произошедших инцидентов нарушения информационной безопасности может иметь дополнительную цену, и тогда решение о при- менении апостериорного метода УИБ следует при- нимать на основе оценки соответствующих рисков.
    Априорное УИБ обеспечивает требуемый уровень взаимодействия, но, как правило, приводит к осу- ществлению весьма дорогостоящих мер, цена кото- рых может определяться как стоимостью оборудова- ния или реализации условий, так и ограничениями, накладываемыми на процесс взаимодействия, сужая его возможности по реализации отражения. Особен- ность априорного УИБ заключается в безусловном выполнении требований государственных органов и может реализовываться как комплекс мер по итогам разработки модели угроз информационной безопас- ности на основе рекомендаций регуляторов. Указан- ные рекомендации охватывают актуальное множе- ство угроз, зачастую избыточных, для конкретных систем. Проекция широкого спектра угроз на кон- кретную систему и обоснование незначительности их отдельных составляющих для защищаемого от- ражения является непростой задачей. Поэтому в ряде случаев разработчики мер защиты идут по пути стандартного выполнения требований регуляторов, что приводит к существенному удорожанию проек- тов защиты информации.
    В случае использования оценок рисков и приме- нения мер, приводящих к блокированию непри- емлемых угроз, реальный уровень безопасности повышается и обеспечивает надлежащий характер взаимодействия. Особенностью подобного подхода является возложение ответственности за обеспече- ние информационной безопасности полностью на разработчика системы.
    Как при прямом выполнении административ- ных регламентов, так и при использовании оценок рисков происходит воздействие на организацию отражения систем, что и составляет содержание управления состоянием информационной безопас- ности взаимодействия. Некоторая попытка систе- матизации действий при реализации УИБ изложена в стандартах ISO/IEC 27000-27006 и ICO/IEC 13335.
    Перевод указанных документов на русский язык со- держится в ГОСТ РИСО/МЭК 27001-27006 и ГОСТ
    Р МЭК 13335, имеющих рекомендательный к ис- полнению характер.
    Описанная схема понимания УИБ взаимодействия применима к техническим, включая компьютерные, к общественным, а также к смешанным системам.
    ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ТЕХНОЛОГИИ В БИЗНЕСЕ

    12
    БИЗНЕС-ИНФОРМАТИКА №2(28)–2014 г.
    Если применение вышеизложенного подхода к создаваемым или эксплуатируемым компью- терным системам не вызывает противоречий со сложившейся практикой обеспечения информа- ционной безопасности, то рассмотрение взаи- модействия общественных систем под «техни- ческим» углом зрения составляет определенную
    «новеллу».
    Остановимся на варианте УИБ взаимодействия системы «Портал госуслуг (ПГУ)» и отдельных граждан. Очевидно, что взаимодействие и отраже- ние здесь имеют двухсторонний характер. С одной стороны, ПГУ получает запросы, предложения и пожелания от граждан, то есть отражает в опреде- ленной степени значительную часть населения. В этом отражении ПГУ и государственные органи- зации, взаимодействующие с ПГУ, изменяют свое содержание, отражая запросы общества. ПГУ – отражающая система, граждане – отражаемая система. С другой стороны, граждане получают требующиеся им сведения о деятельности госу- дарственных органов и определенный вид услуг, отражающих через ПГУ деятельность государства.
    В этом взаимодействии и соответствующем отра- жении отражаемая система – ПГУ, а отражающая система – граждане. И в том, и в другом взаимо- действии обе стороны, являющиеся отражающи- ми и отражаемыми, подвергаются внутреннему изменению, используя содержание отражения – информацию, движущуюся от ПГУ к гражданам и обратно. Цель взаимодействия ПГУ и граждан отражена в Законе №210-ФЗ «Об организации предоставления государственных и муниципаль- ных услуг» от 27.07.2010 г., глава 5 (далее – Закон
    №210).
    Закон №210 формулирует требования со сто- роны государства к ПГУ по выполнению функ- ций взаимодействия как отражаемой, так и от- ражающей стороны. Требований к гражданам, осуществляющим взаимодействие с ПГУ, найти в Законе №210 не удалось. Таким образом, если мы рассматриваем УИБ-системы «ПГУ – гражда- не» только на основании Закона №210, то будем вынуждены сконцентрироваться на обеспечении информационной безопасности ПГУ. Информа- ционная безопасность граждан в этом взаимодей- ствии остается задачей самих граждан, без ши- роко доступных для реализации инструкций по использованию ими средств защиты информации, адаптированных к технологии и особенностям функционирования ПГУ. Между тем, во взаимо- действии граждан с ПГУ присутствует весь спектр угроз, перечисленных, например, в Приказе ФСБ
    №795 от 27.12.2011 г. Выбор гражданами адекват- ных мер защиты собственной информации весьма затруднен в силу отсутствия специальных знаний в этой области среди основной части общества.
    Подводя итог, мы можем констатировать, что в системе «ПГУ – граждане» УИБ носит односто- ронний характер, что не способствует развитию системы в целом и является явным сдерживаю- щим фактором в предоставлении через ПГУ юри- дических значимых, то есть принимаемых в суде, документов и услуг.
    В целом, регулирование различных сторон взаи- модействия элементов государства и общества воз- ложено на более чем 20 государственных органов.
    Наблюдается дальнейший рост числа регуляторов.
    Такую тенденцию можно объяснить стремлени- ем системы «Государство – Общество» улучшить управление, то есть в соответствии с Законом У.Р.
    Эшби увеличить
    Rz – мощность множества управ- ляющих воздействий в быстро развивающейся области – информатизации всех сторон жизни, а именно, в увеличивающемся множестве вариан- тов воздействий
    Mv, Rv = |Mv |. Напомним, что со- гласно закону У.Р. Эшби,
    Rz должно быть больше, чем
    Rv . Однако, такой путь развития ведет либо к увеличению госаппарата, либо к увеличению вре- мени реакции государства на вызовы общества.
    5. Заключение
    Выявленные проблемы могут быть решены либо за счет кардинального и непрерывного повышения квалификации сотрудников органов управления, либо за счет передачи части функций регулирова- ния самому обществу, путем стимулирования дея- тельности саморегулируемых организаций и при- знания регуляторами их необходимости. Последнее становится возможным в силу формирования в со- временной России значительной группы высоко- квалифицированных специалистов в различных областях обеспечения информационной безопас- ности. Привлечение широкого круга специалистов значительно, в десятки раз, увеличивает значение величины
    Rz и позволяет обеспечить выполнение закона У.Р.Эшби. Принципиально, подобный под- ход может обеспечить уменьшение рутинной на- грузки на специалистов госаппарата, сняв с них часть несвойственных административным сотруд- никам экспертных инженерно-технических функ- ций.
    ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ТЕХНОЛОГИИ В БИЗНЕСЕ

    13
    БИЗНЕС-ИНФОРМАТИКА №2(28)–2014 г.
    Литература
    1. Указ Президента РФ от 15.01.2013 г. №31c «О создании государственной системы обнаружения, пред- упреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской
    Федерации» // Собрание законодательства Российской Федерации, 2013. № 3. Ст. 178.
    2. Переслегин С.Б. Новые карты будущего или Анти-Рэнд. М.: Аст, 2009. 701 с.
    3. Урсул А.Д. Отражение и информация. М.: Мысль, 1973. 232 с.
    4. Гуревич И.М., Урсул А.Д. Информация – всеобщее свойство материи. Характеристики, оценки, огра- ничения, следствия. М.: Либроком, 2012. 312 с.
    5. История русской философии / Маслин М.А. и [др.] М.: КДУ, 2008. 640 с.
    6. Бусленко Н.П. Моделирование сложных систем. М.: Наука, 1978. 400 с.
    7. Рябов О.А. Моделирование процессов и систем: Учебное пособие. Красноярск, 2008. 122 с.
    8. Смирнов С.Н. Диалектика отражения и взаимодействия в эволюции материи. М.: Наука, 1974. 382 с.
    9. Рыбалкин Н.Н. Философия безопасности: Учебное пособие. М.: МПСИ, 2006. 296 с.
    10.
    Романович А.Л., Урсул А.Д. Устойчивое будущее (глобализация, безопасность, ноосферогенез).
    М.: Жизнь, 2006. 512 с.
    11. Эшби У.Р. Введение в кибернетику. М.: ЕЕ Медиа, 2012. 425с.
    ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ТЕХНОЛОГИИ В БИЗНЕСЕ

    14
    BUSINESS INFORMATICS №2(28)–2014
    CURRENT STATE OF INFORMATION SECURITY
    MANAGEMENT PHILOSOPHY
    Alexander BARANOV
    Deputy CEO, Federal State Unitary Enterprise «Main Research Computing Center (GNIVC)
    of Federal Tax Service of Russia»
    Address: property 3, bdg. 1, Pohodnyi proezd, Moscow, 125373, Russian Federation
    E-mail: baranov.ap@yandex.ru
    Key words: philosophy, reflection, information, security of interaction, information security, management efficiency,
    W.R. Ashby law, regulators, self-regulated organizations.
    References
    1. President of Russian Federation (2013) Ukaz
    «O sozdanii gosudarstvennoj sistemy obnaruzhenija, preduprezhdenija i likvidacii posledstvij
    komp’juternyh atak na informacionnye resursy Rossijskoj Federacii» [Executive Order «On establishment of government system of detection, prevention and liquidation of consequences of computer attacks targeting on information resources of Russian Federation»], January 15,
    2013, No. 31c. Collection of Legislation of Russian Federation, 2013, no. 3, art. 178. (in Russian)
    2. Pereslegin S.B. (2009)
    Novye karty budushhego ili Anti-Rjend [New maps of future or Anti-Rand]. Moscow: Ast. (in Russian)
    3.
    Ursul A.D. (1973) Otrazhenie i informacija [Reflection and information]. Moscow: Mysl’. (in Russian)
    4. Gurevich I.M., Ursul A.D. (2012)
    Informacija – vseobshhee svojstvo materii. Harakteristiki, ocenki, ogranichenija, sledstvija [Information – the common feature of matter. Characteristics, estimations, limitations, consequences]. Moscow: Librokom. (in Russian)
    5. Maslin M.A. et al (2008)
    Istorija russkoj filosofii [History of Russian philosophy]. Moscow: KDU. (in Russian)
    6. Buslenko N.P. (1978)
    Modelirovanie slozhnyh sistem [Complex systems modeling]. Moscow: Nauka. (in Russian)
    7. Rjabov O.A. (2008)
    Modelirovanie processov i sistem [Processes and systems modeling]. Krasnojarsk. (in Russian)
    8. Smirnov S.N. (1974)
    Dialektika otrazhenija i vzaimodejstvija v jevoljucii materii [Reflection and interaction dialectics in evolution of matter].
    Moscow: Nauka. (in Russian)
    9. Rybalkin
    N.N.
    Filosofija bezopasnosti [Philosophy of security]. Moscow: MPSI (in Russian), 2006.
    10. Romanovich A.L., Ursul A.D. (2006)
    Ustojchivoe budushhee (globalizacija, bezopasnost’, noosferogenez) [Stable future (globalization, security, noospherogenesis)]. Moscow: Zhizn’. (in Russian)
    11. Ashby W.R. (2012)
    Vvedenie v kibernetiku [An introduction to cybernetics]. Moscow: EE Media. (in Russian)
    The paper elaborates a philosophical vision of the
    «information security management efficiency» concept. The
    concept is based on presentation of information as content of
    interacting systems’ reflection. This approach allows considering
    from a unified point of view the issues of information
    protection for technical, computer, social and political systems.
    The key point of the concept is formulation of systems’ interaction
    goals that may by profoundly different for different parts of the
    interaction.
    The concept of information security management is proposed
    to be interpreted as management of the state of sufficiency of
    ensuring of information transfer that occurs during interaction
    of the systems. This definition is a special case of the traditional
    concept of system management, if the system is considered as a
    set of interacting objects performing the reflection process.
    The approach expands the traditional view on informa-
    tion security management presented in the standards of
    various Russian and international organizations. The common
    approach appears to be a special case based on risk assessment
    or statutory regulations. In turn, the W.R. Ashby’s law appears
    to be applicable for evaluation of the information security
    management process, as a particular case of the system
    management process.
    The approach allows discovering new possibilities to
    improve managing system efficiency for operative level of
    management. An example of the Portal for Government Services
    as government agency’s systems interaction with citizens is
    discussed. The conclusion about weak information protection
    of the people’s system in the process of mutual reflection of a
    government agency and society has been drawn. As a possible
    way to increase management effectiveness it is recommended to
    employ the potential of the self-regulatory organizations.
    INFORMATION SYSTEMS AND TECHNOLOGIES IN BUSINESS


    написать администратору сайта