Современная электронная библиотека ModernLib.Net

Популярные авторы


:: БСЭ
:: Желязны Роджер
:: Толстой Лев Николаевич
:: Joyce James
:: Раззаков Федор
:: Станюкович Константин Михайлович
:: Андерсон Пол Уильям
:: Чехов Антон Павлович
:: Ломер Кит
:: Сименон Жорж

Популярные книги


:: The Boarding House
:: Бурый волк
:: Пошехонская старина
:: Мальтийский сокол
:: Подземная Москва
:: Основание
:: Вторая книга Паралипоменон
:: Тварь в лунном свете
:: Дневник путешествия из Тоса (Тоса никки)
:: Как мы изобрели фотосинтезатор


Рефераты, дипломы, учебные пособия

 

Обеспечение информационной безопасности бизнеса

ModernLib.Net / В. В. Андрианов / Обеспечение информационной безопасности бизнеса - Чтение (Ознакомительный отрывок) (стр. 3)
Автор: В. В. Андрианов
Жанр:

 

 

Внешняя отчетность перед государственными органами (например, налоговая отчетность), регуляторами и другими организациями регулируется нормами правовой среды и, в некоторых случаях, договоренностями между организациями: партнерами по бизнесу, представителями одной отрасли и т. п. Основная проблема, связанная с внешней отчетностью – обеспечение ее соответствия требованиям законодательства или установленным правилам и договоренностям. Как правило, организации стремятся выполнить предлагаемые требования с минимальными затратами и с учетом используемых мер контроля со стороны организаций, которым отчеты готовятся. Если отсутствуют механизмы контроля, то не следует ожидать адекватного отображения действительного положения вещей в подотчетной организации. В этих случаях внешняя отчетность может быть инструментом информационного противоборства и способствовать получению преимуществ в бизнесе. Информационное воздействие состоит в формировании правдоподобных отчетных данных, не полностью или в искаженном виде отражающих внутреннее состояние и деятельность подотчетной организации. Особенно это касается отчетности для партнеров по бизнесу.

В нижней части рис. 4 приведен перечень видов информационных объектов. Совсем необязательно, чтобы любые объекты этих видов хранились в виде компьютерных баз данных или файлов. Это могут быть и бумажные документы, и даже просто договоренности между субъектами, например владельцами бизнеса, но все равно это остается информацией. Вопрос лишь в том, насколько эта информация приспособлена для автоматизированной обработки, какие следы остались на материальных носителях, имеет ли эта информация юридическую силу.

Отметим также, что информация разных видов, приведенных на рис. 4, не является статичной. Каким-то образом должна поддерживаться ее актуальность и адекватность материальному миру. Некоторые виды информации меняются медленно, например информация по персоналу. Другие, наоборот, постоянно изменяются, отслеживая состояние реальных объектов. Критичными для бизнеса являются изменчивые объекты, поскольку именно они – потенциальный источник неадекватностей, а также могут создавать риски разной природы и разной значимости для достижения целей деятельности.

Рассмотрим подробнее особенности отдельных компонентов информационной сферы.

<p>1.2.2. Правовая среда бизнеса и ее свойства</p>

Правовая среда бизнеса включает постановления правительства, законодательные и нормативные акты федерального уровня и уровня регуляторов, региональные законы и нормы, отраслевые стандарты и правила и прочие документы. Наличие обязательного к исполнению набора требований и правил, включая отчетность по нормам правовой среды, является своеобразной движущей силой, организующей и упорядочивающей бизнес, порой определяющей внутреннюю структуру организаций, некоторые виды деятельности и правила поведения участников бизнеса. Эта правовая среда также во многом определяет основу для внутренних нормативных документов организации.

Однако зачастую на уровне конкретной организации не удается избежать формального подхода к обеспечению соответствия законодательным актам. Деятельность, определяемая требованиями правовой среды, остается только на бумаге в виде планов и в большей или меньшей степени фиктивных отчетов, позволяющих удовлетворить потребности государственных проверяющих и регулирующих органов при получении лицензий и плановых проверках. Это может рассматриваться как элемент информационного противоборства и позволяет организации получить преимущество в бизнесе, уменьшая свои расходы на соответствующую инфраструктуру и вследствие этого не вполне соответствуя требованиям, отраженным в формально полученных лицензиях и сертификатах. Информационное воздействие состоит в предъявлении этих лицензий и сертификатов, навязывающих клиентам и другим участникам бизнеса неполную, искаженную, но правдоподобную информацию.

Важное негативное свойство правовой среды бизнеса – неполнота и противоречивость законодательной и нормативно-правовой базы. Это обеспечивает широкое поле деятельности по поиску возможностей и разработке схем для получения преимуществ в бизнесе, от незначительных, на первый взгляд, пунктов в договорных документах, влекущих за собой ущербы одной из сторон, которые трудно или невозможно предсказать (информационное противоборство), до разрушения целей других участников бизнеса и хищения чужих знаний через переманивание сотрудников.

Наконец, еще одно важное свойство – большой объем информации правовой среды, затрудняющий поиск решений, оптимальных с точки зрения успешности бизнеса и соответствия законодательству.

<p>1.2.3. Учредительная и лицензионная база организации</p>

Каждая организация в зависимости от ее формы собственности должна иметь набор учредительных документов. Состав и содержание этих документов определяются требованиями национального законодательства. При этом довольно значительная часть существенных для деятельности требований должна быть установлена (выбрана) самой организацией (ее собственниками) из предлагаемых законодательством возможностей. Эти документы должны быть зарегистрированы установленным порядком и постоянно актуализироваться при возможных изменениях. Де-факто деятельность организации может не совпадать с заранее декларированной, что может порождать коллизии. Поэтому на временные интервалы актуализации в законодательстве наложены ограничения, требующие дополнительной регистрации (перерегистрации) в установленный срок.

В случае если декларируется вид деятельности, подлежащей лицензированию, то такая лицензия должна быть получена в соответствующем органе заранее, до начала осуществления деятельности. Лицензия, как правило, выдается на определенный, достаточно короткий срок и должна возобновляться. Кроме того, она вообще может быть отозвана при выявлении, например, фактов реализации деятельности с нарушениями требований лицензии. При значительном количестве лицензий в организации она фактически постоянно будет вынуждена находиться в состоянии их актуализации, документировать и подготавливать необходимые активы и свои возможности для их анализа со стороны лицензирующей организации. Эта деятельность связана в широком смысле с комплаенс-риском (риском соответствия требованиям законодательства) для организации.

<p>1.2.4. Отражение материального мира</p>

Существенная часть информационной сферы, относящейся к информации бизнеса, является просто отражением материального мира. Внутри организации это описание ее активов, отношений и их типов, данные мониторинга бизнес-среды и собственной среды и др. Например, материальные и финансовые активы и их движение учтены в базах данных бухгалтерии и складов, персонал также учтен в базах данных бухгалтерии (зарплата, командировочные и др.) и отдела кадров (личные дела, графики отпусков, результаты оценок исполнительской деятельности и др.). Технические и программные средства, инструменты, используемые в информационных технологиях организации, учитываются, как правило, в базах данных конфигурационных единиц. Материальная ответственность работников за используемые в производстве средства и материалы также зафиксирована в соответствующих базах. Отношения работников зафиксированы в иерархической структуре организации (штатное расписание) и в виде функциональных обязанностей ролей и взаимодействий, определенных для реализуемых организацией технологических процессов, сервисов, услуг.

За пределами организации материальный мир включает описания товаров и услуг (продукции), необходимых для реализации ее бизнес-процессов, поставщиков продукции (исполнителей, подрядчиков), потребителей продукции, производимой самой организацией (заказчиков), и отношений с поставщиками и потребителями. Информация о товарах и услугах извлекается разными путями: с использованием каталогов и рекламных материалов поставщиков, из средств массовой информации, Интернета, от дилеров, агентов и других представителей поставщика, от торгующих организаций и т. п. Информация о производимой продукции размещается в аналогичных источниках. Отношения с поставщиками и потребителями закрепляются в соответствующих договорах.

С отображением материального мира в информации связаны две существенные проблемы:


– неточность отображения материального мира на информационный мир, следующая из принципиальной невозможности точного описания объектов материального мира;

– неизменность информационных объектов во времени, позволяющая говорить о том, что время, как естественная сущность, в информационном мире отсутствует и может поддерживаться только искусственным путем.


Любой информационный объект, представляющий материальный, в некотором смысле является моделью этого материального объекта, т. е. описывает лишь существенные для конкретной операции или транзакции свойства материального объекта. Таких описаний для разных целей может быть несколько. Соответственно, информационных объектов, представляющих материальный, также будет несколько, и храниться они, скорее всего, будут в разных местах. Сбор необходимых сведений о материальном объекте из совокупности информационных источников может представлять собой сложную задачу. Рассмотрим для примера информацию о корпоративном сервере.


– Информация о текущей конфигурации аппаратных средств сервера должна храниться в базе данных конфигурационных единиц организации (если такая существует), а также в базах учета материальных ценностей (активов), в бухгалтерских платежных документах, в договорах на выполнение пусконаладочных работ и прочих документах. Причем если конфигурация изменялась, например, оборудование докупалось, то, чтобы установить текущую конфигурацию, например, по бухгалтерским данным, надо восстановить историю закупок.


– Конфигурационные файлы с настройками операционной системы и приложений хранятся в дисковой памяти самого сервера. Эта информация также может быть продублирована у системных администраторов, обслуживающих сервер, если есть соответствующий регламент, в резервных копиях и других местах.

– Информация о фактически сделанных резервных копиях носителей и отдельных файлов хранится в регистрационных журналах сервера, т. е. на сервере, а также вместе с резервными копиями. Кроме этого, должно существовать действующее расписание резервного копирования и регламент, устанавливающий допустимые интервалы копирования.

– Информация о дежурном системном администраторе, обслуживающем сервер, может быть извлечена из графика дежурств, имеющегося в обслуживающем подразделении. Поскольку график дежурства может нарушаться по разным причинам, то, чтобы установить, кто фактически обслуживает сервер в настоящий момент или в другое интересующее время, скорее всего, потребуется брать справку в диспетчерской службе, обслуживающем подразделении или даже в отделе кадров или другой службе учета.

– Еще сложнее получить информацию о том, кто использовал сервер, т. е. был авторизован на нем, и какие имел права на доступ к его ресурсам.


Этот список может быть продолжен, но и перечисленного, на наш взгляд, достаточно, чтобы понять проблему и возможные сложности со сбором нужных данных, например, при необходимости провести расследование инцидента.

Все это усугубляется проблемами, связанными со временем. Первая проблема состоит в том, что информационный образ материального объекта или события есть моментальный снимок, отделенный (отчужденный) от объекта. Он не меняется с течением времени, в то время как объект естественным образом стареет и может подвергаться разного рода модификациям. В результате нарушается адекватность информационного образа самому объекту.

Вторая проблема со временем состоит в том, что, если описания некоторых событий или объектов не снабжены специальной информацией, так называемыми метками времени, то, как правило, восстановить последовательность событий или последовательность состояний объектов по их информационным представлениям невозможно. Например, в файловых системах операционных систем обычно предусмотрена регистрация времени последнего обращения к файлу и времени последней модификации. Чтобы учесть последовательно появляющиеся версии файла, а также кто и когда проводил модификацию и осуществлял доступ, необходимо использовать специальные системы. Это системы учета версий, используемые при разработке программного обеспечения, или специализированные системы регистрации событий (системы мониторинга), применяемые службами информационной безопасности.

Все перечисленные проблемы отражения реального мира в информацию фактически я разные стороны одной проблемы – обеспечения адекватности информационных образов реальным объектам и событиям материального мира. При этом важнейшим является вопрос организации информации. Используемые информационные структуры должны обеспечивать возможность сбора необходимых данных в заданные сроки и с необходимым качеством.

<p>1.2.5. Внутренняя нормативная база организации</p>

Внутренняя нормативная база организации имеет иерархическую структуру, вариант которой показан на рис. 5. Высокоуровневые документы определяют общую политику организации по разным вопросам. Положения, определенные в документах верхнего уровня, раскрываются и детализируются в ряде документов нижних уровней, воплощаясь в конкретные требования, регламенты и т. п. Самый нижний уровень документов – свидетельства выполненной деятельности – определяет возможности по контролю деятельности организации в целом, ее составных частей и персонала.

Рис. 5. Структура нормативной базы


В идеале нормативная база организации должна снимать все неопределенности, которые могут возникнуть в процессе какой-либо деятельности, реализуемой внутри организации, с определением возможных свидетельств выполненной работы и показателей, характеризующих ее качество. Однако это недостижимо хотя бы потому, что, как рассмотрено выше, не существует точного отображения материального мира в информационный. Хорошая и достаточно полная нормативная база организации делает бизнес упорядоченным и прозрачным, а деятельность детерминированной и хорошо контролируемой.

Любые неопределенности, т. е. слабо регламентированная деятельность, порождают риски возникновения потерь и других негативных последствий, из которых наиболее опасен конфликт интересов. Изменчивая внутренняя среда организации, плохо организованная, неадекватная информационная сфера, коллизии и противоречия, возникающие из слабо регламентированной, а следовательно, плохо контролируемой деятельности, приводят к тому, что персонал организации при определенных условиях может использовать порученные ему для управления активы для извлечения личной выгоды.

Когда деятельность осуществляется в области, где не установлены правила и отсутствуют регламенты, то можно либо замотивировать любые необходимые для нецелевого управления активами полномочия, либо просто выполнять любые действия с ними, мотивируя их впоследствии тем, что они были необходимы для выполнения заданной работы, за которую сотрудник отвечает. В этих случаях обнаружить, что персоналом были выполнены какие-то неправомерные действия, можно только по косвенным признакам и, как правило, с задержкой по времени. Предъявить какие-либо доказательства этих действий невозможно. Доказать, что у конкретного сотрудника был злой умысел, также нельзя. А поскольку потери все равно есть всегда, то понять, какая их часть была вызвана манипулированием (фальсификацией) информационными активами, а какая обусловлена естественной природой бизнеса и величиной его стохастичности, бывает трудно. Стохастическая составляющая бизнеса не может быть проверена, и очень плохо, если она большая в силу самой природы бизнеса.

Поскольку структура некоторой части внутренней нормативной базы организации во многом определяется правовой средой бизнеса, то еще один источник неопределенностей внутренней нормативной базы связан с неполнотой и противоречивостью правовой среды бизнеса.

Слабая внутренняя нормативная база, т. е. неполная и противоречивая, приводит к необходимости опираться на доверие персоналу. Высокий уровень изменчивости внутренней и внешней среды бизнеса, т. е. большая стохастическая составляющая самого бизнеса, также требует, чтобы собственник в большой степени полагался на доверие персоналу и партнерам по бизнесу.

<p>1.2.6. Информационная сфера – главный источник рисков бизнеса</p>

Рассмотренные аспекты бизнеса, связанные с информацией и информационной сферой, позволяют сделать вывод, что информационная сфера является одним из главных источников рисков бизнеса. Подведем итог и еще раз выделим основные свойства или факторы, способствующие появлению этих рисков.

Возрастающая сложность. В настоящее время наблюдается резкий рост количества факторов, влияющих на успешность бизнеса, и их пространственно-временная распределенность. Основной причиной этого роста является резкий рост количества субъектов экономической деятельности в мире, и в особенности в России. Количество связей растет квадратично. Как следствие, растет и информационный компонент бизнеса, поскольку для успешности бизнеса, не говоря даже о повышении его эффективности, необходимо учитывать все большее число факторов. Это приводит к необходимости создания информационной инфраструктуры с соответствующими техническими и программными средствами.

Сложность информационной сферы многократно усиливает действие других факторов риска и порождает уязвимости, вызванные дефицитом времени на обработку и осознание вариантов возможных решений, невозможностью проверки достоверности всех используемых данных. Дополнительные риски связаны с использованием и поддержанием информационной инфраструктуры, технических и программных средств обработки данных, компьютерных сетей и телекоммуникаций.

Неточность отображения материального мира в информационные образы (модели). С этим связана проблема обеспечения адекватности информационных моделей, участвующих в обработке данных и прогнозах, реальным объектам. Выше отмечались две проблемы:


– неточность отображения материального мира на информационный мирнеизменность информационных объектов во времени, порождающая со временем неадекватность информационного образа реальному объекту.


Поскольку действия над материальными объектами во все большей степени замещаются действиями над их описаниями (информационными образами), то неадекватность этих описаний приводит к коллизиям, из которых наиболее значимы два крайних случая:


– отсутствие информационного образа для реально существующего объекта, который мог бы быть использован в бизнесе;

– наличие информационного образа для объекта, реально не существующего.


Теоретическая возможность коллизий подобного рода порождает риск их искусственного создания (уничтожение данных об объекте, изъятие объекта), приводящего к ущербу и потерям. Однако и без злоумышленных действий неадекватность информационных образов (моделей) объектов самим материальным объектам создает значительные риски, особенно на этапах целеполагания и планирования. Поэтому обеспечение адекватности является самостоятельной задачей и не должно осуществляться стихийно, по фактам необходимости в использовании той или иной информации.

Конфликт интересов. Все более сложные образования из субъектов разного уровня и отношения, возникающие между ними, в условиях, что цели у всех них разные, создают в результате конфликт интересов. Острота этой проблемы увеличивается из-за резкого увеличения количества взаимодействий. Можно выделить два взаимосвязанных между собой уровня конфликта интересов:


– внутри организации (внутренний конфликт интересов);

– между организациями.


Внутренний конфликт интересов – один из главных источников риска и главная угроза бизнесу, поскольку в этом случае персонал организации и особенно субъекты ответственности и высший менеджмент используют в своих интересах активы организации, включая информацию, материальные и финансовые активы и другие ресурсы. При увеличении размеров организации конфликт интересов тоже резко усиливается просто из-за того, что очень много субъектов оказываются вовлеченными в процессы как внутри, так и снаружи организации.

Это не только объективное свойство любого бизнеса, но и основа механизма его самоуничтожения. Накопление избыточного ресурса в подразделениях больших организаций приводит к резкому снижению эффективности бизнеса. Использование этих избыточных активов для своих целей, не совпадающих с целями организации, и создание при помощи информационных воздействий, таких как искажение отчетности, ослабление контроля, маскировка причин неудач под естественную случайность и других, иллюзии, что бизнес реализуется нормально и эффективно, приводит в конце концов к потере управления, крупным неудачам, ущербам и ликвидации бизнеса. Искусственно создать условия, благоприятные для внутреннего конфликта интересов, и, как следствие, ухудшить бизнес может и информационная атака извне.

Конфликт интересов между организациями – это, как правило, конкуренция и борьба за общий ресурс, например клиентов. Острота проблемы конфликта интересов между организациями усугубляется при увеличении количества взаимодействий. Реализуя свой бизнес, приходится учитывать большое количество факторов, и здесь неизбежно возникает конфликт интересов.

Проблема доверия. Проблема доверия возникает там, где отсутствуют или существенно неполны механизмы контроля. Внутри организации – это проблема доверия собственников персоналу организации, и в первую очередь руководству и менеджменту верхнего уровня. Для тех видов бизнеса, где велика стохастическая составляющая и в силу этого контроль просто невозможен, остается полагаться на доверие. В других же случаях к необходимости полагаться на доверие приводит слабость внутренней нормативной базы и, как следствие, слабо регламентированная, а следовательно, плохо контролируемая деятельность.

Причина и необходимость полагаться на доверие и устные договоренности в отношениях между организациями следуют из неполноты и противоречивости законодательной и нормативно-правовой базы (правовой среды) бизнеса и, как следствие, невозможности контроля исполнения партнерами по бизнесу и конкурентами законодательно установленных правил.

Проблема доверия состоит в том, что если кто-то нарушит некие правила, то он получит большие преимущества. У партнеров по бизнесу и конкурентов в связи с этим возникают существенные риски потерь или даже ликвидации бизнеса. Очевидно, что в условиях возрастающей сложности, наличия и обострения конфликта интересов, неадекватности информационной сферы риски, связанные с доверием, возрастают, а преимущества, получаемые субъектом и организацией, нарушающими правила могут быть очень большими.

Проблема информационной безопасности состоит в том, чтобы организация могла использовать информационную сферу на всех этапах своего жизненного цикла в реализуемых ею видах бизнеса, в условиях угроз, связанных с перечисленными выше проблемами и особенностями. По сути это некие технологии, позволяющие эффективно использовать информационную сферу в условиях перечисленных проблем и особенностей. Информационная безопасность существует в рамках некоторых моделей, рассматриваемых ниже.

1.3. Модель информационной безопасности бизнеса

<p>1.3.1. Мотивация</p>

Российская и мировая практика регулирования информационной безопасности (ИБ) недавнего прошлого состояла из обязательных требований национальных уполномоченных органов, оформляемых в виде руководящих документов РД. Поэтому для топ-менеджмента и владельцев организаций существовала только одна проблема соответствия им (комплаенс) и только один способ ее решения – как с минимальными затратами выполнить предлагаемые требования. Для уполномоченных органов существовала своя проблема – как в силу невозможности охвата всех возможных видов деятельности и условий их реализации, а также существенных различий в целях деятельности предложить универсальный набор требований. Для этого проблема ИБ рассматривалась как самодостаточная сущность, инвариантная к деятельности, целям, условиям, а также существенно обуживалась в содержательности в угоду универсальности.

Оба подхода (организаций и регуляторов) неадекватны существующей реальности и представляют ее в существенно искаженном виде. Так, основные содержательные ограничения на деятельность по обеспечению ИБ связаны с традиционной моделью ИБ, предполагающей обязательное наличие злоумышленника, стремящегося нанести ущерб активам (информации), и, соответственно, ориентированной на защиту информации от действий такого субъекта (группы субъектов). При этом инциденты, связанные, например, со штатными изменениями прикладного софта, не могут быть отнесены к злоумышленнику. Их возможные причины – слабо развитый менеджмент и слабая технологическая база. Собственная неадекватность организации (менеджмента, процессов основной деятельности) сложившимся условиям вообще представляет собой очень мощный источник проблем, который игнорируется в силу невозможности его привязки к злоумышленнику.

Дальнейшая эволюция моделей ИБ была связана с усилением роли собственника (владельца) и сводилась к тому, что он сам выбирал (на свой страх и риск) из предложенного ему стандартного набора защитных мер те, которые ему необходимы, т. е. такие, которые, по его мнению, могут обеспечить приемлемый уровень безопасности. Это был существенный шаг вперед, так как он обеспечивал привязку ИБ к конкретному объекту с конкретными условиями его существования, частично разрешая противоречия, связанные с самодостаточностью проблемы ИБ. Однако конструктивного механизма для владельца предложить не удалось, кроме как создания каталога объектов с выбранными типовыми защитными мерами (профилей защиты). Сами профили создавались при этом экспертно-эвристическим методом. При этом какой все-таки риск принимал на себя владелец, оставалось неизвестным и определялось на практике.

Дальнейшая эволюция свелась к тезису о том, что ИБ может создавать (порождать) ущербы для целей деятельности и поэтому риски ИБ (которая оставалась самодостаточной) должны быть согласованы (увязаны) с рисками организации. Оставалось только указать, как их увязывать, и интегрировать систему менеджмента ИБ (СМИБ) в общекорпоративный менеджмент не как изолированную и независимую систему процессов, а как неотъемлемую, сильно связанную составную часть менеджмента. Этого не удалось сделать. Однако этот подход хорошо продвинул ряд оценочных категорий ИБ, включая риски ИБ.

Известны также прагматичные модели ИБ, основанные на оценке совокупной стоимости владения (применительно к ИБ) и «возврате» инвестиций в ИБ. В рамках этого подхода группа близких по целям и условиям деятельности организаций периодически производит оценку по направлениям реализации ИБ и формирует модель, состоящую из лучших практик по группе. Далее каждая из организаций в соответствии со своими отставаниями от лучших практик и своих условий (произошедших инцидентов) определяет направление и объем инвестиций. Эффективность инвестиций оценивается в следующем периоде по снижению ущербов от инцидентов, оказавшихся в области произведенных инвестиций и не повлекших поэтому больших ущербов.

Однако этот подход при многих своих достоинствах требует широкого обмена чувствительной информацией, а конфликт интересов участников обмена исключает создание сколько-нибудь качественных мер доверия, поэтому он не имеет широкого распространения.

Модель ИБ, предложенная в стандарте ЦБ РФ, еще более продвинула проблему как в части ее интеграции (связала с целями деятельности), так и в части расширения толкования сущности «злоумышленник». Под злоумышленником понимается лицо, способное вести противоборство с собственником и имеющее свою цель, которую он реализует, достигая контроля над активами организации.

Такой подход существенно расширяет виды и источники ущербов организации, попадающих в область рассмотрения ИБ, где их решение наиболее рационально. Он, однако, был во многом компромиссным подходом и настоятельно требует дальнейшего приближения проблем ИБ к конечному результату деятельности (производимому продукту). Нужна модель, которая реально помогает бизнесу, напрямую способствует его результативности и необходимому улучшению посредством создания и поддержания безопасной и доверенной информационной сферы, в том числе через борьбу со злоумышленником. Только такая модель может восприниматься бизнесом. Любая другая будет им отторгаться.

<p>1.3.2. Риски, рисковые события, ущербы и уязвимости. Полезные для построения моделей свойства</p>

Любая целенаправленная деятельность связана с неопределенностью конечного результата, порождающей риск. Риск реализуется через рисковые события, создающие ущерб целям деятельности. Рисковое событие есть следствие сложившегося неблагоприятного сочетания факторов риска, т. е. некоторых сущностей и (или) обстоятельств, являющихся существенными для проявления риска. Таким образом, фактор риска можно рассматривать как его параметр, принимающий нежелательное (неблагоприятное) значение, а рисковому событию соответствует некоторый набор таких параметров. Следовательно, говоря о риске, мы предполагаем как минимум, что наших знаний достаточно, во-первых, для идентификации риск-факторов, а во-вторых, для их измерений (оценки).

Легко заметить, что риск можно уменьшить, создав избыточность по всем задействованным сущностям. Однако его нельзя сделать нулевым, даже если создать бесконечно большую избыточность. Дело в том, что нельзя сформулировать цель на бесконечно большом интервале времени – в силу изменчивости среды она теряет смысл. Кроме того, составляющая риска, обусловленная изменчивостью условий реализации целей, является неуправляемым фактором.

Как только мы создаем избыточность, уменьшающую риск, мы одновременно уменьшаем эффективность деятельности. Последнее обстоятельство важно для бизнеса – одной из основных разновидностей процесса целенаправленной деятельности. Проблема установления рационального баланса между эффективностью и безопасностью есть главная проблема бизнеса. Это информационная проблема. Ее решение потребует знаний.

  • Страницы:
    1, 2, 3, 4, 5

    		•