Читаем Обеспечение информационной безопасности бизнеса полностью

Стало очевидно, что «Общие критерии» не получили широкого распространения в силу ряда причин (ограниченность сферы применения, сложность и ограниченность используемых механизмов оценок), поэтому началась их активная доработка в направлении второй группы стандартов, а сама группа стандартов аудита обогатилась концепцией «риск-ориентированного подхода», что означало фундаментальные изменения в концептуальных взглядах на проблему безопасности в целом и сдвиг проблемы защиты информации, а если точнее — информационной безопасности в сферу управления сложными техническими системами и коллективами, как эксплуатационного персонала, так и пользователей.

В последнее время в теории и практике управления возникло еще одно направление — создание стандартов управления организациями, имеющее своей целью оптимизацию внутренней структуры организации для получения максимального результата от их деятельности (реинжинринг). Появились «Стандарты управления деятельностью организаций», которые рассматривают общие вопросы управления сложно организованными коллективами людей.

Но если говорить о безопасности как научной дисциплине, то, пожалуй, впервые за все время она подверглась анализу и глубоким разносторонним исследованиям, что, по-видимому, и послужило толчком для последних разработок на базе риск-ориентированных подходов.

Целесообразно напомнить основные выводы этих исследований.

Объект защиты, т. е. то, к чему прикладываются сервисы безопасности с целью придать этому объекту важное дополнительное, изначально отсутствующее свойство — защищенность (надежность, устойчивость), представляет собой в абсолютном числе случаев сложную систему. При этом в практической жизни мы, как правило, имеем дело со сложными системами, составленными в свою очередь не из простых элементов, а сложных систем. Таким образом, мы имеем дело со «сложными системами сложных систем».

Применительно к вопросам безопасности следует учитывать следующие свойства сложных систем:

— наиболее вероятный отклик сложной системы на единичное воздействие — хаотический;

— сложная система обладает новыми иными свойствами, нежели совокупность свойств элементов, составляющих эту систему;

— отклик сложной системы на воздействие является нелинейным и изменяется в зависимости от силы этого воздействия. Новые свойства системы при слабых воздействиях могут не проявляться, поэтому нельзя с уверенностью сказать, что свойства конкретной сложной системы полностью изучены и ее поведение под воздействием мощного воздействия предсказуемо.

Безопасность как самостоятельный объект исследования также имеет некоторые фундаментальные свойства:

— безопасность никогда не бывает абсолютной — всегда есть некий риск ее нарушения, таким образом, усилия по обеспечению безопасности реально сводятся к задаче понижения уровня риска до приемлемого уровня, не более;

— измерить уровень безопасности невозможно, можно лишь косвенно его оценить, измерив соответствующие показатели, характеризующие состояние безопасности системы; в связи с этим можно говорить только о вероятности наступления того или иного события и степени его последствий, т. е. использовать для оценок уровня безопасности рисковый подход;

— наступление рискового события в общем случае предотвратить невозможно, можно лишь понизить вероятность его наступления, т. е. добиться того, что такие события будут наступать реже;

— можно также понизить степень ущерба от наступления такого события, но при этом чем реже наступает рисковое событие, тем сильнее ущерб от них;

— при любом вмешательстве в систему в первую очередь страдает ее безопасность.

Оказалось, что для анализа свойств безопасности сложных систем, состоящих из технических компонент людей, взаимодействующих друг с другом, в полной мере могут быть применены некоторые социологические и психологические правила, выведенные на основе наблюдения за развитием процессов и событий:

• Закон Парето (универсальный закон неравенства), сформулированный итальянским экономистом и социологом Вильфредо Парето в 1897 г., более известный как шутливое выражение «20 % немцев выпивает 80 % пива», в соответствии с которым первые 20 % усилий дают 80 % результатов или 80 % всех проблем порождаются человеком (персоналом) и лишь 20 % приходится на долю технического оборудования (по оценкам специалистов, эта доля может доходить до соотношения 94:6 %).