Возникла необходимость создания единой, многоуровневой иерархической общероссийской системы обеспечения информационной безопасности, в которой действуют единые правовые нормы и механизмы защиты информационных ресурсов, информационно-телекоммуникационной инфраструктуры и информационных прав граждан. Разработка методологии и методов построения и эффективного функционирования этой системы составляет стержень нового направления в обеспечении ИБ, которое получило наименование "Управление информационной безопасностью".

Управление информационной безопасностью (Information Security Management) является той областью, необходимость теоретического осмысления которой стала очевидна совсем недавно. Первые исследования в этой области начались в конце 1980-х годов, а к концу 1990-х годов появились первые национальные и международные стандарты (ISO/IEC 17799). Однако факт появления стандартов не означает, что в области управления информационной безопасностью решены все проблемы. Напротив, задачи управления ИБ усложняются с каждым днем по мере все более интенсивного использования информационных компьютерных технологий практически во всех сферах человеческой деятельности.

Всего несколько лет назад, говоря об управлении ИБ, имели в виду лишь уровень крупной организации. Сегодня речь идет об управлении безопасностью региональных и национальных информационных инфраструктур (НИИ). Следует отметить, что с появлением массовых пользователей и стремительным развитием интернета информационные угрозы НИИ становятся все более вероятными, а последствия их реализации все более грозными. Поэтому создание указанной выше общероссийской системы обеспечения ИБ как специализированной инфраструктуры защиты информации в НИИ становится все более необходимым. Эта инфраструктура должна стать неотъемлемой и органичной частью НИИ, а не быть просто дополнением к ней. Ее главной задачей должна стать защита критически важных сегментов и объектов НИИ. Должны быть определены критерии выделения и классификации критически важных объектов информационной инфраструктуры и научно обоснован необходимый уровень защиты объектов каждого класса.

Решение этой актуальной задачи требует не только более глубокого и современного понимания проблематики управления информационной безопасностью в целом, но и обобщения уже накопленного опыта и решения ряда методологических и практических задач управления ИБ.

Первоочередной проблемой представляется разработка методологии адекватной оценки рисков информационных угроз. Без такой оценки невозможно ответить на ключевые вопросы: с чего следует начинать построение системы защиты информации, какие ресурсы и системы надо защищать от информационных угроз и какие контрмеры следует считать необходимыми и достаточными при существующих рисках. Другая важнейшая проблема – организация мониторинга информационных угроз и принимаемых контрмер. Подходы и методики решения указанных задач составляют, по нашему мнению, важную составляющую проблематики управления информационной безопасностью.

Как справедливо отмечает С.А. Тарасов¹ , у России есть вполне реальная возможность учиться на опыте других стран, своевременно корректировать законодательную базу обеспечения ИБ, увязывать реальные возможности информационной отрасли с требованиями законодательства в области ИБ.

В настоящем тематическом номере журнала представлены результаты исследований в области управления информационной безопасностью, проведенные, в основном, в Институте системного анализа РАН в 2001-2002 гг.

Ссылки

¹ Информационная безопасность в современном информационном пространстве / С.А. Тарасов // 4-я Всероссийская конференция "Информационная безопасность России в условиях глобального информационного общества": Материалы конф. / 4-я Всероссийская конференция "Инфофорум-4", Москва, 24 июня 2002. – М.: Редакция журнала "Бизнес + Безопасность", 2002. – С. 24-27.

Черешкин Дмитрий Семенович - заведующий лабораторией Института системного анализа РАН.