В свое время противник, окружив город и устраиваясь на ночлег, разжигал костры. В пределах видимости с крепостных стен у каждого костра располагалось по 5–7 воинов. А дальше, за пределами видимости, — по одному человеку у костра. Для «умных», умеющих считать и делать выводы, численность армии мгновенно увеличивалась в несколько раз. Получается, что всегда возможны ситуации, когда «умным» быть опасно, ибо во многом факт того, что сообщения нарушают адекватность модели мира, зависит от самого информационного субъекта, от созданной им модели мира, от его образа мира.
Любое живое существо всегда имеет несколько каналов получения информации, которые частично подстраховывают друг друга. Точно так же любая сложная социальная система: фирма, государство, — также имеет несколько независимых каналов сбора информации об окружающем мире и о самой себе. Определенный параллелизм присутствует и при обработке информации аналитическими центрами. И только в том случае, если результаты и рекомендации совпадают, система «может считать», что ее модель мира адекватна миру. Однако в случае серьезного целенаправленного информационного «продавливания» тех или иных идей, событий, сообщений происходит деформация уровня восприятия, и порой на самом деле мало значимый элемент искажает картину мира. В результате этого искажения в социуме активизируются соответствующие действия (алгоритмы), необходимые для их обработки. Поэтому вопросам принятия решений и уделяется все больше внимания при решении задач по обеспечению информационной безопасности, тем более в бизнесе.
При этом авторы, исследуя данную проблему, специально акцентируют внимание на следующем важном нюансе: не всегда следование нормативным требованиям (в частности, ИСО серии 9000) повышает эффективность бизнеса и защиты этого самого бизнеса. Порой эти требования увеличивают объемы отчетных формализованных материалов, за которыми может и ничего не стоять.
Мне же хотелось добавить к сказанному еще и то опасение, что если конкурент знает, чем вы пользуетесь (каким инструментом), что делаете (какие процессы) и как делаете (в рамках каких регламентов), то для него проще организовать скрытое управление вами.
В целом данная работа с достаточной полнотой охватывает заявленные проблемы. Здесь читатель найдет и существующие модели менеджмента (управления), применимые для обеспечения информационной безопасности бизнеса, и модели непрерывного совершенствования, и стандартизированные модели менеджмента, а также модели COSO, COBIT, ITIL. Достаточно интересный материал по контролю и аудиту, а также по измерению и оцениванию информационной безопасности бизнеса.
С. П. Расторгуев,
профессор, доктор технических наук
Введение
В течение ряда лет мы наблюдаем, что в нашем обществе среди специалистов, так или иначе имеющих отношение к вопросам безопасности вообще и к вопросам информационной безопасности в частности, не снижается интерес к вопросам обеспечения информационной безопасности бизнеса.
Существует значительное число публикаций по различным аспектам безопасности (охрана, контроль доступа, физические аспекты безопасности, экономическая безопасность, информационная безопасность, охрана секретов, криптография, персональные данные, критические технологии, борьба с терроризмом, непрерывность бизнеса, катастрофоустойчивость, борьба с сетевыми атаками), каждое из которых в большей или меньшей степени претендует на некую точку зрения или интерпретации этого сложного вопроса применительно к бизнесу.
Следует также отметить, что общих подходов к проблеме, как правило, не формулируются, каждый рассматриваемый и анализируемый аспект отражает только профессиональные предпочтения специалистов.
В целом для ситуации характерен узкоспециализированный подход, взгляд на проблему сквозь призму профессиональных приверженностей, что никогда и нигде не способствовало пониманию вопроса и в конечном итоге — делу.
В этом многоголосии практическому специалисту, который реально занимается вопросами обеспечения безопасности собственной организации, достаточно сложно ориентироваться, найти ответы на возникающие вопросы, выработать правильный путь деятельности. Это подтверждают острота и накал дискуссий вспыхивающих практически по любому вопросу, как сейчас, например, по проблеме персональных данных.