1.3 Эффективность и ущерб информационной безопасности объекта информатизации

Системный подход при комплексной защите информации позволяет учесть все важные аспекты, влияющие на эффективность обеспечения информационной безопасности ОИ, определить возможный совокупный ущерб при реализации угроз информационного характера и выделить зону ответственности КСЗИ за обеспечение ИБ на объекте информатизации. Продуктивное выполнение этих задач позволяет использование фактора риска – выстраивание и оценка соотношения «информационный риск – нанесённый ущерб».

Общепринятое понятие риска – возможное опасное событие. Ущерб – последствия от происшедшего опасного события. Из этого следует, что информационный риск – опасное для субъекта или объекта информатизации событие, при реализации которого наносится ущерб как для самой информационной сферы, так и, возможно, для информационно обслуживаемого объекта в целом [5].

Понятие риска непосредственно связано с понятием угроз. Угрозы порождают риски. При рассмотрении проблемы обеспечения информационной безопасности ОИ необходимо выделить две группы угроз информационного характера: угрозы информации и информационные угрозы.

Все угрозы, деструктивно влияющие на информацию, накапливаемую и обрабатываемую в информационной сфере ОИ, а так же на средства и службы реализации информационных технологий, являются угрозами информации.

В зависимости от сущности источников этих угроз, характера и способа их влияния на информацию угрозы целесообразно разделить на три группы.

Первая группа - группа техногенных и природных угроз информации, когда, практически, влияние на информацию осуществляется через угрозы в целом на объект информатизации, на инфраструктуру средств реализации информационных технологий, физически на сами средства реализации и носители информации.

Вторая группа – группа системных, функциональных и технологических угроз информации. Источником этой группы угроз являются принятые способы и методы работы с информацией, функциональные задачи АС, других комплексов автоматизации/информатизации, явно или скрытно имеющие ошибки или недостатки в информационной сфере, технологические и технические сбои и отказы в работе средств реализации информационных технологий и обеспечивающей инфраструктуры.

Третья группа – субъектные угрозы информации, источником которых, в конечном счёте, является человек (субъект), взаимодействующий с информационной сферой ОИ или интересующийся ею в определённых целях, осуществляющий эксплуатацию АС и средств реализации других информационных технологий, систем и средств обеспечивающей инфраструктуры.

Угрозы информации каждой из этих групп влияют на определённые качества (свойства) информации, если становятся реальными событиями.

Наличие субъектных угроз информации (третья группа) является причиной и необходимостью регулирования информационных отношений между субъектами или между субъектами и информационными объектами независимо от того, в какой среде эти отношения строятся: в форме традиционного разговорного или документального обмена, с применением технических средств, в автоматизированных системах и т.д. Это группа, угрозы которой направлены на нарушение установленных законодательно или иным путём норм, прав и полномочий владения и распоряжения имеющихся на ОИ информационных ресурсов. Нейтрализация угроз этой группы требует решения задачи защиты информации (обеспечение защищённости ИР: конфиденциальности, целостности и доступности – в рамках установленных норм, прав и полномочий). Так как в группе субъектных угроз источником угроз является человек, взаимодействующий с АС или другими компонентами информационной сферы ОИ, для решения задачи защиты информации требуется модель нарушителя защищённости информации, которая определяет, какие информационные активы, от кого и в какой степени необходимо защищать. Третья группа угроз - это область (зона) ответственности КСЗИ за информационную безопасность ОИ.

Вторая группа угроз влияет на такие свойства информации, как актуальность, полнота, достоверность, регламент своевременного предоставления и другие. Их нейтрализация должна быть обеспечена методологически, конструктивно и технически корректным проектированием и эксплуатацией самих АС и других локальных комплексов автоматизации/информации ОИ. То есть должна быть обеспечена высокая отказоустойчивость оборудования ИТИ и АС [21], а также информационная полнота и функциональная надёжность АС.

Угрозы первой группы соотносятся, прежде всего, с нарушением целостности самого объекта информатизации и его обеспечивающих инфраструктурных компонент, далее влияют в той или иной мере на все остальные свойства информации. Угрозы могут быть нейтрализованы путём создания инженерно-технической инфраструктуры гарантированной работоспособности для функционирования оборудования ИТИ и АС [X], а также за счёт катастрофоустойчивого построения инфраструктуры и технологии обработки информации в целом [14,18].

Однако функционирование АС и использование локальных информационных технологий – это обеспечивающие составляющие при выполнении основных работ, связанных с назначением объекта информатизации (организации). При этом информация АС (её содержание, регламент подачи и качество) может быть сама неэффективной, в ряде ситуаций небезопасной, так как её использование для принятия решений, управления, выполнения бизнес-процессов может привести к неприемлемым для организации, иногда разрушительным последствиям.

Таким образом, информационная сфера может быть источником угроз для потребителя. Эти угрозы относятся к информационным угрозам. Наличие информационных угроз, порождаемых функционирующей АС, требуют решения задачи безопасности информации для пользователя (обеспечение актуальности, полноты, достоверности, приемлемого нормативного регламента предоставления ит.д.). Следует отметить, что информационные угрозы могут исходить не только из внутренней информационной сферы ОИ (АС, локальные объектовые информационные технологии), но и от сугубо внешних источников (СМИ, носители информационно-психологического оружия и пр.). Но в нашем случае эти специфические источники информационных угроз не рассматриваются.

Угрозы информации и информационные угрозы являются угрозами информационной безопасности объекта информатизации, а состояние ОИ, при котором обеспечивается на должном уровне нейтрализация угроз информационного характера, отражает информационную безопасность ОИ.

Информационные риски, порождаемые угрозами информации, могут быть соизмеримы с целевыми рисками, связанными с основной деятельностью объекта информатизации (банковскими, предпринимательскими, управленческими, финансовыми и другими) [6]. А конечный ущерб от них включает в себя непосредственный ущерб в информационной сфере (необходимость восстановления информационных ресурсов, восстановления среды обработки, хранения и транспортировки информации, замены технических средств, обновление программного обеспечения и т.д.) и ущерб основной деятельности организации. Схема формирования конечного ущерба ОИ (организации) за счёт угроз информации и порождаемых ими информационных угроз и целевых рисков представлена на Рисунке 2.

Рисунок 2. - Схема формирования ущерба организации за счёт угроз информационной безопасности

Ещё раз подчеркнём, что область ответственности КСЗИ за информационную безопасность объекта информатизации определяется актуальными субъектными угрозами информации, которые порождают соответствующие информационные риски и информационные угрозы, провоцируют или напрямую порождают целевые риски организации, принося ущерб информационной сфере ОИ и основной деятельности организации.

Цель комплексной системы защиты информации (КСЗИ) - нейтрализация актуальных субъектных угроз информации в эксплуатируемых на объекте информатизации автоматизированных системах и в локальных объектовых информационных технологиях.