лееееее. Тема 4. Тема Особенности менеджмента в области профессиональной деятельности
Скачать 157.66 Kb.
|
Тема 4. Особенности менеджмента в области профессиональной деятельности 1:вопрос. Предпосылки и основные направления развития менеджмента в сфере информационной безопасности Отдельные процессы, процедуры, механизмы и инструменты защиты информации, используемые владельцами информационных ресурсов и информационных систем, могут быть направлены: на ограничение и разграничение доступа; информационное скрытие; введение избыточной информации и использование избыточных информационных систем (средств хранения, обработки и передачи информации); использование методов надежного хранения, преобразования и передачи информации; нормативно-административное побуждение и принуждение. На практике современные технологии защиты информации основаны на различных базовых сервисах (таких, как аутентификация, обеспечение целостности, контроль доступа и др.), и используют различные механизмы обеспечения безопасности (такие, как шифрование, цифровые подписи, управление маршрутизацией и др.). Однако комплексность и массовость использования информационных технологий, их интеграция в повседневную деятельность предприятий, организаций, правительственных учреждений не позволяют решать задачи информационной безопасности только одними техническими средствами. Во всем комплексе деятельности по защите информации одно из наиболее важных мест занимает организационно-управленческая деятельность – организационное обеспечение информационной безопасности, которое представляет собой одно из четырех основных направлений работы в общей системе мер в сфере информационной безопасности, включающей в себя также разработку специализированного программного обеспечения, изготовление и использование специальных аппаратных средств и совершенствование криптографических (математических) методов защиты информации (см. рис. 1.3.). Рис. 1.3. Структура деятельности в сфере информационной безопасности Основными задачами организационно-управленческой деятельности (менеджмента) в сфере информационной безопасности являются: обеспечение комплексности всех решений, реализуемых в процессе обеспечения информационной безопасности; обеспечение непрерывности и целостности процессов информационной безопасности; решение методических задач, лежащих в основе эффективного управления информационной безопасностью, таких, как вопросы управления рисками, экономическое моделирование и т.п.; управление человеческими ресурсами и поведением персонала с учетом необходимости решения задач информационной безопасности. Под комплексностью решения задач информационной безопасности подразумевается взаимоувязанное выявление всех значимых информационных объектов, а также существующих и потенциально возможных угроз. На основе этого анализа необходимо обеспечить исчерпывающе полное (комплексное) внедрение и применение средств защиты информации, которые в той или иной мере могли бы нейтрализовать все существенные угрозы на всех потенциально уязвимых участках прохождения информационных потоков в течение всех этапов жизненного цикла информационных систем и организационных процедур. Меры по нейтрализации рисков также должны быть реализованы в комплексе с другими механизмами, такими, как, например, страхование. Другими словами, задачей менеджмента является системное использование всех необходимых частных (узкоспециальных) технологий и решений для каждой конкретной ситуации таким образом, чтобы во всей системе мер по защите информационных ресурсов не осталось "узких мест" — уязвимых участков, через которые могут быть осуществлены нападения и в которых могут произойти непреднамеренные нарушения. Сложность такого рода задач связана с тем, что они предполагают по возможности исчерпывающий анализ как всех информационных ресурсов, так и всех возможных сценариев нападения на них и последующий подбор наиболее подходящих средств защиты. Непрерывность процессов обеспечения информационной безопасности предполагает выделение необходимых ресурсов и организацию выполнения необходимых функций по защите информации в течение всего времени функционирования информационных систем и выполнения бизнес-функций (в том числе и в режиме "24х7х365" в тех случаях, когда это необходимо). Разработка, совершенствование и поддержание в актуальном состоянии методических основ управления информационной безопасностьювключает в себя, главным образом, применение общих для многих сфер менеджмента концепций и теорий – таких как, например, математические модели оценки рисков или теория инвестиционного анализа – применительно к ресурсам, используемым для обеспечения информационной безопасности, и информационным процессам. Управление человеческими ресурсами в рамках управления информационной безопасностью включает в себя комплекс задач, охватывающий все основные аспекты деятельности людей: отбор и допуск персонала для работы с определенными информационными ресурсами, обучение, контроль правильности выполнения обязанностей, создание необходимых условий для работы и т.п. При этом конкретная структура и состав всех основных задач управления и организации в сфере информационной безопасности, а также непосредственно используемые методы будут определяться как уровнем, на котором осуществляется управленческая и организационная деятельности, так и конкретными условиями, в которых функционируют информационные системы, нуждающиеся в защите. Настоящий курс основан на концепции разделения всего многообразия методов и задач организации и управления в сфере информационной безопасности на несколько основных уровней и дальнейшего представления организационно-управленческих методов для каждого из этих уровней. Под организационным обеспечением и менеджментом в сфере информационной безопасности обычно принято понимать решение управленческих вопросов на уровне отдельных субъектов (предприятий, организаций) или групп таких субъектов (партнеров по бизнесу, организаций, которые совместно решают определенные задачи, требующие защиты информации). Однако сложность и комплексность современных проблем в сфере информационной безопасности, глобализация информационных взаимодействий требуют более полного и широкого понимания организационной работы и менеджмента в этой области. В частности, по мере глобализации информационных взаимодействий, усложнения программных и аппаратных средств обработки информации, проникновения информационных технологий в повседневную деятельность всех организаций и жизнь большинства людей появилась необходимость в специальных организационных и управленческих усилиях, направленных не на обеспечение защищенности отдельных информационных активов, а на поддержание различных элементов информационной инфраструктуры, которая в той или иной мере работает на обеспечение информационной безопасности определенных сообществ (заранее не определенного множества пользователей информационных систем и владельцев информационных ресурсов). Таким образом, с развитием информационных технологий и интенсификацией информационного обмена организационная и управленческая работа в сфере информационной безопасности оказывается направленной не только на собственно защиту определенных информационных ресурсов, но и на более "глобальный" объект – создание и развитие безопасной информационной инфраструктуры (в разных смыслах этого термина и с учетом различных его аспектов). На практике такая инфраструктура может включать в себя: надежную инфраструктуру передачи информации и рынок услуг доступа к таким каналам связи; рынок программных и аппаратных средств, обеспечивающих защиту информации; систему подготовки, переподготовки и повышения квалификации специалистов в сфере информационной безопасности; общие правила использования информации, а также ее передачи, совместной эксплуатации информационных сетей (в том числе протоколы информационного обмена); систему обмена информацией и распространения знаний о существующих уязвимостях тех или иных информационных технологий, возможных угрозах информационной безопасности и способах их нейтрализации; законодательную и правоприменительную систему, обеспечивающую охрану имущественных и иных интересов всех участников информационного обмена и другие составляющие. Потребность в целенаправленном развитии и поддержании такой инфраструктуры порождает необходимость в выработке специфичных организационных и управленческих приемов, как правило, не характерных для информационной безопасности в привычном ("узком") ее понимании. Такое расширение сферы интересов менеджмента информационной безопасности объясняет причины, по которым необходимо разделять несколько относительно самостоятельных организационных уровней, характеризующихся специфическими задачами, подходами к решению этих задач и используемыми организационными методами. Уровень международных профессиональных объединений (как правило, неправительственных и некоммерческих), так или иначе связанных со сферой информационных технологий, телекоммуникаций и информационной безопасности. Уровень крупных компаний, работающих в сфере информационных технологий и в значительной мере определяющих (прямо или косвенно) состояние информационной безопасности в сообществе пользователей информационных систем, а также влияющих на безопасность различных элементов информационной инфраструктуры. Государственный уровень – уровень государственных и межправительственных организаций, так или иначе влияющих на жизнь общества, состояние правовой системы, развитие экономики и технологий. Уровень отдельных компаний (предприятий и организаций) – сообщество пользователей информационных систем, так или иначе заинтересованных в собственной информационной безопасности и обеспечивающих защиту имеющихся у них информационных ресурсов собственными силами. Также отдельно можно выделить дополнительный промежуточный уровень, включающий в себя консалтинговые и внедренческие компании, учебные центры (включая также сообщество специалистов, занимающихся консультациями, внедрениями и обучением в индивидуальном порядке), работающие в сфере информационной безопасности и действующие как связующее звено между различными организационными уровнями, а также представляющие интересы различных участников информационного взаимодействия. Все эти составляющие образуют своеобразную организационную иерархию, представленную на рис. 1.4. [40]. Рис. 1.4. Иерархия уровней организационной работы в сфере информационной безопасности Следует понимать, что субъекты, находящиеся на верхних ступенях данной иерархии (в частности, государственные органы, крупные IT-корпорации), выступают не только как владельцы собственных информационных ресурсов, требующих защиты, но и как субъекты, которые воздействуют на инфраструктуру, лежащую в основе обмена и хранения информации, а также на общественно-экономические отношения, влияющие на информационную безопасность. И тот факт, что такие субъекты сами уделяют значительное внимание защите собственных ресурсов (вкладывают существенные средства в обеспечение информационной безопасности, инициируют новые разработки для собственных нужд, используют наиболее передовые технологии в этой сфере и т.п.), не должен отвлекать внимание от того обстоятельства, что эти субъекты фактически создают инфраструктуру для повседневной деятельности множества компаний, организаций, людей, профессиональных и бизнес-сообществ и используют для этого организационные методы и приемы, которые существенно отличаются по своей природе от методов, характерных для работы по обеспечению информационной безопасности отдельных субъектов и защите отдельных информационных активов. Итак, необходимость самостоятельного рассмотрения субъектов, относящихся к верхнему уровню, с точки зрения организационного обеспечения информационной безопасности обусловлена тем, что в связи со своей особой ("инфраструктурной") ролью в системе общественных отношений и информационного обмена эти субъекты используют специфичные методы организационно-управленческой работы. При этом, как правило, параллельно с применением таких специфичных методов они используют и методы, характерные для субъектов нижнего уровня представленной иерархии, т.к. являются владельцами собственных информационных ресурсов. Представленное разделение на уровни должно быть основой для более целенаправленного развития системы менеджмента и налаживания взаимосвязей между различными уровнями организационной работы. Важность выделения и самостоятельного рассмотрения верхних уровней управленческой работы обусловлена тем, что целенаправленное осознание организационных вопросов, специфичных для верхних уровней иерархии, и их решение позволит более эффективно решать задачи развития национальных и региональных экономик в целом и отдельных отраслей (телекоммуникации, финансовые услуги и т.п.), а не только решать задачи отдельных субъектов, участвующих в информационном обмене. Рис. 1.5. Взаимосвязи уровней организации информационной безопасности Основные особенности организационной работы на каждом из перечисленных уровней организации представлены в Таблице 1.1.
Таблица 1.1, а также рисунок 1.5 наглядно демонстрируют причины, по которым каждый из уровней организационной работы в сфере информационной безопасности нуждается в индивидуальном подходе и применении специфичных методов организации и управления. В соответствии с этим разделением и строится структура настоящего курса — она включает в себя рассмотрение основных форм и приемов организации работы по обеспечению информационной безопасности на основных перечисленных уровнях: на уровне международных профессиональных организаций и бизнес-сообществ; на уровне крупных поставщиков технических (программных и аппаратных) средств обработки и передачи информации, имеющих влияние на состояние информационной безопасности большого числа предприятий, организаций и индивидуальных пользователей; на уровне государственных органов (в частности, правительств отдельных стран); на уровне отдельных предприятий, учреждений и организаций, являющихся непосредственными владельцами и пользователями информационных ресурсов. Также рассматриваются вопросы работы специализированных компаний (консалтинговых, технологических, страховых), предоставляющих различные услуги, которые связаны с обеспечением информационной безопасности. |