"Человек - самое уязвимое место в системе безопасности.."

Стратегии защиты информации

Общее

Стратегия — это руководящая установка рассчитанная на перспективу при реализации определенного вида деятельности. Сама суть организации защиты информации должна быть определенна на поиск самого оптимального компромисса между нуждами в защите и нужными ресурсами для этой защиты.

Потребности в защите определяются объемами и важностью защищаемой информации, а также условиями при использовании, хранении и ее обработки. Размер ресурсов на защиту информации по сути ограничен конкретным пределом или определяется условием конкретного достижения уровня защиты. При первом варианте защита должна организовываться так, что бы при выделенных ресурсах была реализована максимальная защита. В втором варианте нужный уровень защиты реализуется при минимальном уровне расходов ресурсов. Постановка задача — главный критерий при реализации защиты информации. Есть две проблемы мешающих корректно поставить задачу на защиту информации.

Первая — Алгоритмы защиты находятся в рамках большого числа случайных и тяжело предсказуемых параметров (поведение злоумышленника, природные катаклизмы и тд).

Вторая — Среди всех направлений защиты, большую часть занимает именно организационная защита, которая связанная с действиями человека.

Стратегию защиты определяют двумя критериями: нужный уровень защиты и свобода действия при работы защиты. Первый критерий отлично выражается в множестве угроз, которые влияют на защищаемую информационную систему:

  • от самых опасных и известных угроз
  • от потенциальных угроз

Второй критерий определяет степень свободы доступу и изменениям процессов защиты. Выделяют следующие градации свободы относительно стратегии защиты:

  • Нулевое вмешательство в информационную систему
  • Разрешается приостановка процесса работы информационной системы для установки/изменения механизмов защиты
  • На первый план выносят реализацию механизмов защиты, а на второй уже работоспособность системы

Канадский специалист в сфере стратегического управления г. Мицберг предложил определение стратегии в рамках системы «5-P» по его мнению имеет:

  • План — намеченных в деталях с контролируемыми действиями на определенные период с преследующими целями
  • Тактический ход — является собой кратковременную стратегию, имеющий ограниченные цели и работают с целью обмануть противника
  • Модель поведения — спонтанная неосознанная не имеющих конкретных целей
  • позиция по отношению к другим
  • перспектива

Способность предприятия реализовывать личную стратегию делает ее более гибкой и устойчивой, что разрешает предприятию быстро адаптироваться к новым тенденциям.

Специалист Б. Карлоф описывает факторы, которые влияют на стратегию любого предприятия:

  • Миссия — отражает философия предприятия
  • Конкурентные преимущества — те направления, где предприятие преуспело или хочет преуспеть
  • Характер продукта, рынки и границы
  • организационные факторы — где есть структура, внутренние процессы и тд
  • располагаемые ресурсы
  • Рост предприятия, инновации, потенциал и тд

На стратегический выбор влияет риск, на который готово идти предприятие, опыт и время. Особенности стратегических решений по степени регламентированости относят к контурным (большая свобода исполнителям), а по степени обязательности следования основным установкам — директивным.

По функциональному назначению множество решений бывают организационные или спонтанные относительно конкретных действий или ситуаций. Стратегия являет собой набор взаимосвязанных решений, соединенных одной целью, согласованных между собой по времени и ресурсам. Такие решения определяют направления и приоритеты в направления развития. Практика показала следующие требования с стратегическим решениям:

  • Логичность — понятная стратегия для всех сотрудников предприятия
  • Реальность — стратегия отвечающая реалиям на предприятию в техническом, экономическом и других направлениях
  • Своевременность — создание решений которые не разрешает упустить выгоду
  • Совместимость
  • Сохранения свободы тактических ходов
  • Учет явных и скрытых последствий при реализации стратегии

Выделяют три варианта стратегий защиты при развитии предприятия:

  • оборонительная — защита от известных угроз, без существенного влияния на информационную систему
  • Наступательная — защита от всех потенциальных угроз при сильном взаимодействии с информационной системой
  • Упреждающая — реализация информационной системы, где угрозы не имели бы условий для реализации