Информационная безопасность бизнес-процессов кредитной организации в условиях проведения информационных операций

Введение

В настоящее время соперничество между политическими, экономическими, общественными и другими структурами вышло на качественно новый уровень ввиду постоянно увеличивающихся темпов информатизации всех сфер деятельности человечества. Специфика информации как ресурса создает возможность для использования специальных форм, средств и способов воздействия на информационный ресурс с целью получения превосходства в требуемой области деятельности.

Вместе с тем, анализируя накопленный опыт таких стран, как Соединенные Штаты Америки и Израиль, нельзя не отметить наметившийся переход от спонтанной организации и проведению информационных воздействий на объекты информационной сферы к четко отлаженному механизму ведения информационной борьбы, основанном на системном подходе. Данный тезис позволяет утверждать о появлении целой индустрии т.н. «информационных операций» [10].

Безопасность кредитной организации

Современная кредитная организация не может более существовать вне глобальной информационной сферы, которая представляет собой сеть международного информационного обмена «Интернет», так как это лишает кредитную организацию конкурентных преимуществ по сравнению с другими организациями. Однако поставленные на конвейер технические средства и технологии проведения информационных операций, в совокупности с относительно низкой суммарной стоимостью данных средств и технологий, снижающимися требованиями к профессиональной подготовке исполнителей, становятся едва ли не главной угрозой устойчивому функционированию бизнес-процессов кредитных организаций, которые рассматриваются, прежде всего, как управляющие процессы. Следует констатировать, что в свете вышеуказанных обстоятельств применение традиционных методов и средств защиты информации представляется недостаточным. В связи с этим существенно повышается роль обеспечения информационной безопасности бизнеса и его составляющих.

Настоящая статья посвящена вопросам, связанным с анализом специфики негативных информационных воздействий, реализуемых в ходе проведения информационных операций, целью которых является изменение состояния бизнес-процессов
кредитных организаций. Также в статье предлагается подход к повышению информационной безопасности бизнес-процессов кредитных организаций путем разработки модели нейтрализации негативных информационных воздействий на бизнес-процессы кредитных организаций.

В кредитной организации в ходе осуществления целей своей деятельности (например, при выполнении банковской операции) протекают различные процессы, которые носят управляющий информационный характер, т.е. связаны с получением, обработкой, хранением, передачей информации. Поэтому кредитную организацию следует рассматривать как особый информационный объект со своей топологией. Применяя положения теории систем, опишем типовую кредитную организацию как организованную совокупность элементов структуры, связей и отношений между элементами структуры [3, 8]:

• структура: социальные связи, телекоммуникационные каналы связи;
• программы: прикладное программное обеспечение, системное программное обеспечение, системы управления базами данных;
• ресурсы (активы): время, сооружения, оборудование, деньги, персонал;
• механизмы управления: социальные связи и отношения между владельцами бизнеса, топ-менеджментом и персоналом, бизнес-процессы.

Под бизнес-процессом в контексте данной работы понимается управляющий процесс, проводимый человеком с использованием средств автоматизации его деятельности, реализующий связанный набор повторяемых действий (функций) по созданию конечного продукта (услуги), имеющего ценность для клиента либо самой кредитной организации.

Сущность бизнес-процесса представляется как процесс достижения некоторой совокупности целей, или бизнес-целей на основе управления активами. В зависимости от выполняемых функций бизнес-процессы можно классифицировать на основные, вспомогательные и обеспечивающие.

Информационные объекты воздействуют друг на друга в информационной сфере, которая в соответствии с утвержденной Доктриной информационной безопасности Российской Федерации представляет собой «совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений».

Выделяются основные типы взаимодействия информационных объектов с другими объектами информационной сферы: согласованное, индифферентное, конфликтное. В общем случае при конфликтном взаимодействии субъект непосредственно (необязательно явно или с обратной связью, т.е. скрытно) влияет на объект, в случае информационного воздействия субъект при помощи информации запускает управляющие информационные процессы в информационном объекте, приводящие в конечном итоге к изменению как состояния информационного объекта, так и его поведения в целом [2].

Так как сетевая инфраструктура кредитных организаций складывается из информационно-телекоммуникационных систем, модель взаимодействия конфликтующих систем также можно рассматривать с позиций эталонной модели взаимодействия открытых систем ISO/OSI [6].

На состояние и функционирование информационных объектов в информационной сфере оказывают влияние различные условия и факторы. Субъект, проводя оценку совокупности данных условий и факторов информационной сферы, иначе – информационной обстановки, решает насколько информационная обстановка опасна или безопасна. Информационная опасность признается в случае выявления новых источников информационных угроз информационному объекту, либо обострением направленных от существующих источников угроз объекту в информационной сфере. Информационная угроза понимается как намерение или возможность субъекта управления (источника) нанести информационному объекту вред, заключающийся в [3]:

• утрате элементов структуры;
• нарушении связей между элементами;
• нарушении программ и функций;
• потери информационным объектом способности к развитию;
• прекращении деятельности объекта.

Целью обеспечения информационной безопасности кредитной организации является создание и поддержание условий эффективного управления активами с помощью бизнес-процессов, учитывая основные требования к управлению (подконтрольность, своевременность, непрерывность, оперативность, скрытность). Дополнительно информационную безопасность кредитной организации можно трактовать как «безопасность самой кредитной организации и протекающих в ней бизнес-процессов», так и «безопасность от других кредитных организаций и протекающих в них бизнес-процессов» [1].

Комплекс негативных информационных воздействий наряду со способами их реализации через  уязвимости информационного объекта представляет собой информационную операцию – совокупность взаимосвязанных действий информационного характера, направленных на решение поставленной задачи по перепрограммированию, блокированию, генерации информационных процессов как в технической, так и в гуманитарной сферах [7].

Анализ текущих технических средств и технологий, применяемых в информационных операциях в рамках информационной сферы сети «Интернет», показал разделение на следующие основные направления [7]:

• разведка (конкурентная, Competitive Intelligence, CI);
• проведение информационных операций;
• планирование информационных операций, управление процессом проведения информационных операций, оценка эффективности результатов проведения информационных операций.

Конкурентная разведка (англ. Competitive Intelligence, CI) – сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности кредитной организации, проводимые в рамках закона и с соблюдением этических норм (в отличие от промышленного шпионажа).

В качестве принципов CI в данном контексте следует различать:

• принцип неиспользования трудоемких методов;
• принцип отказа от дорогостоящих методов;
• принцип отказа от порицаемых методов.

Характерные особенности информационной операции представляют собой следующее [4]:

• скрытность, существенно затрудняющая определение момента начала реализации информационного воздействия и источника этого воздействия;
• управляемость, обеспечивающая осуществление негативного информационного воздействия на объект в установленное время и в определенных масштабах;
• универсальность, обеспечивающая возможность воздействия на информационные объекты по различным направлениям;
• невысокая стоимость создания в совокупности с высокой эффективностью применения.

Результатом проведения информационной операции по отношению к определенному информационному объекту является информационное поражение последнего, применительно к кредитным организациям – невозможность или существенное затруднение управления бизнес-активами и нарушение функционирования бизнес-процессов.

Отметим, что классическое информационное противоборство не предполагает наличия каких-либо правил, ограничивающих действия сторон.

Однако бизнес-сообщество должно определить «корпоративную» этику поведения [11]. Условия современной рыночной экономики предполагают наличие свободной конкуренции хозяйствующих субъектов. В целях защиты прав хозяйствующих субъектов от недобросовестной конкуренции и монопольной деятельности на уровне государства приняты нормативно-правовые акты, в частности, Федеральный закон от 26.07.2006 №135-ФЗ «О защите конкуренции», однако существующая нормативная база не в полной мере регулирует отношения организаций различных форм собственности, особенно в информационной сфере.

Анализ условий и факторов, оказывающих влияние на информационную безопасность бизнес-процессов и состояние нейтрализации угроз необходимо начать с оценки актуальных угроз информационной безопасности бизнес-процессов кредитных организаций, анализа практики нейтрализации угроз информационной безопасности бизнес-процессов кредитных организаций, анализа нормативно-правовых основ обеспечения информационной безопасности бизнес-процессов.

В рамках развития методов и моделей нейтрализации информационных воздействий на бизнес-процессы кредитных организаций следует сосредоточить усилия на совершенствовании понятийного аппарата обеспечения информационной безопасности бизнес-процессов с последующей непосредственной разработкой новых моделей нейтрализации негативных информационных воздействий.

Нейтрализация негативного информационного воздействия – комплекс мер, направленных на выявление и исключение негативного информационного воздействия (в рамках предупреждения воздействий), восстановление системы (т.е. нейтрализация негативных последствий информационного воздействия) и устранение источника негативного информационного воздействия (нейтрализация источника негативного информационного воздействия в рамках активного противодействия).

Нейтрализация негативного информационного воздействия подразумевает использование средств и реализацию приемов, направленных на исключение негативного информационного воздействия, восстановление бизнес-процесса кредитной организации и ликвидацию источника негативного информационного воздействия.

Основными проблемными вопросами нейтрализации негативных информационных воздействий на бизнес-процессы кредитных организаций в условиях информационного противоборства являются:

• проблема нейтрализации источника негативных информационных воздействий;
• проблема восстановления устойчивости функционирования бизнес-процесса;
• проблема опережающей защиты бизнес-процесса;
• проблема возможного осуществления информационно-психологического воздействия на лицо, принимающее решение и ответственное за функционирование бизнес-процесса.

Для того, что модель нейтрализации негативных информационных воздействий адекватно отображала информационную обстановку по отношению к бизнес-процессам кредитной организации и представляла полную картину для лица, принимающего решение, необходимо построить такую классификационную модель угроз информационной безопасности бизнес-процессов, которая будет учитывать специфику функционирования кредитной организации как информационного объекта. Отправной точкой создания новой классификационной схемы угроз информационной безопасности бизнес-процессов может стать следующий набор классов угроз информационному объекту [3]:

• угрозы программам информационного объекта: внедрение вредоносных программ в информационную инфраструктуру кредитной организации, нарушение технологии обработки программ [9];
• угрозы ресурсам информационного объекта: некорректное использование ресурсов, недостаток или избыток ресурсов, уничтожение ресурсов кредитной организации;
• угрозы структурам информационного объекта: внедрение деструктивных элементов, в том числе, элементов, реализующих недекларированные возможности; произвольное расширение или сокращение структуры; уничтожение, повреждение эффективных элементов;
• угрозы технологиям управления информационного объекта: рассогласование взаимодействия между элементами.

Рекомендации по нейтрализации негативных информационных воздействий в интересах бизнес-процессов кредитных организаций представляют собой научно-практические предложения по совершенствованию мер по нейтрализации негативных информационных воздействий на бизнес-процессы, развитие нормативных основ применения организационно-технических мер в рамках информационного противоборства в условиях экономической конкуренции, алгоритмы проведения оценки уровня безопасности бизнес-процессов с внедрением мер по нейтрализации негативных информационных воздействий.

Заключение

Таким образом, для обеспечения информационной безопасности бизнес-процессов необходимо сосредотачиваться на всех трех ее компонентах:

• обеспечении безопасности информации, обеспечении информационно-технической безопасности,
• обеспечении информационно-психологической безопасности.

Современные и перспективные реализации негативных информационных воздействий на бизнес-процессы формируют собой актуальный вызов традиционным методам и моделям защиты информации и требуют качественно новых решений для противодействия.

Перспективы дальнейшего исследования заключаются в достижении цели по повышению информационной безопасности бизнес-процессов кредитных организаций. Для этого необходимо решить ряд задач, в числе которых [5]:

• исследование условий и факторов, оказывающих влияние на информационной безопасности бизнес-процессов и состояние нейтрализации угроз;
• анализ и развитие методов и моделей нейтрализации негативных информационных воздействий на бизнес-процессы кредитных организаций;
• разработка и обоснование мер по нейтрализации негативных информационных воздействий в интересах бизнес-процессов кредитных организаций, а также научно-технических рекомендаций руководителям кредитных организаций по применению разработанных мер;
• разработка и обоснование математического аппарата оценки эффективности реализации модели нейтрализации негативных информационных воздействий на бизнес-процессы;
• оценка эффективности предлагаемых мер по нейтрализации негативных информационных воздействий на бизнес-процессы кредитных организаций.

ЛИТЕРАТУРА

1. Атаманов Г.А., Атаманов Е.Г. О банковской безопасности и безопасности банков // Право и безопасность. 2013. № 1-2(44). С. 79-85.
2. Дедков В.К., Баранов В.П. «Улучшение состояния системы» как форма скрытой атаки посредством запуска «критических технологий» // Труды международного симпозиума «Надежность и качество». 2011. Т. 2. С. 26-28.
3. Дербин Е.А. Информационная безопасность союзного государства как основа его обороноспособности в условиях непрямых действий противника // Вестник Академии военных наук №2(27). – М.: АВН, 2009. С. 31-38.
4. Шибанов С.В. Обзор современных методов интеграции данных в информационных системах / Шибанов С.В., Яровая М.В., Шашков Б.Д., Кочегаров И.И., Трусов В.А., Гришко А.К. // Труды международного симпозиума Надежность и качество. 2010. Т. I. С. 292-295.
5. Макаренко С.И., Чукляев И.И. Терминологический базис в области информационного противоборства // Вопросы кибербезопасности. № 1(2). 2014. С. 13-21.
6. Макеев С.А. Вопросы обеспечения информационной безопасности бизнес-процессов в условиях экономической конкуренции // «Безопасные информационные технологии». Сборник трудов Четвертой всероссийской научно-технической конференции / под. ред. Матвеева В.А., – М.: НИИ радиоэлектроники и лазерной техники, 2013. С. 83-85.
7. Паршуткин А.В. Концептуальная модель взаимодействия конфликтующих информационных и телекоммуникационных систем // Вопросы кибербезопасности. № 5(8). 2014. С. 2-6.
8. Расторгуев С.П., Литвиненко М.В. Информационные операции в сети Интернет / Под общ. ред. А.Б. Михайловского. – М.: АНО ЦСОиП, 2014. – 128 с.
9. Щербань А.Б., Сидорова Ю.С. Идентификационно-структурный анализ сложных систем // Труды международного симпозиума «Надежность и качество». 2014. Т. 1. С. 149-151.
10. Стюхин В.В. САПР в расчёте и оценке показателей надёжности радиотехнических систем / Стюхин В.В., Кочегаров И.И., Трусов В.А. // Труды международного симпозиума Надежность и качество. 2013. Т. 1. С. 287-289.
11. Марков А.С., Фадин А.А. Организационно-технические проблемы защиты от целевых вредоносных программ типа Stuxnet // Вопросы кибербезопасности. 2013. № 1 (1). С. 28-36.
12. Зубарев И.В., Жидков И.В., Кадушкин И.В. Кибербезопасность автоматизированных систем управления военного назначения // Вопросы кибербезопасности. 2013. № 1 (1). С. 10-16.
13. Марков А.С., Цирлов В.Л. Руководящие указания по кибербезопасности в контексте ISO 27032 // Вопросы кибербезопасности. 2014. № 1 (2). С. 28-35.
14. Шишкин В.В., Юрков Н.К., Мусин Н.Ж. Методика обеспечения информационной безопасности // Надежность и качество сложных систем. 2013. № 4. С. 9-13.
15. Калашников А.О. Пример использования теоретико-игрового подхода в задачах обеспечения кибербезопасности информационных систем // Вопросы кибербезопасности. 2014. № 1 (2). С. 49-54.