— сложная система обладает новыми иными свойствами, нежели совокупность свойств элементов, составляющих эту систему;
— отклик сложной системы на воздействие является нелинейным и изменяется в зависимости от силы этого воздействия. Новые свойства системы при слабых воздействиях могут не проявляться, поэтому нельзя с уверенностью сказать, что свойства конкретной сложной системы полностью изучены и ее поведение под воздействием мощного воздействия предсказуемо.
Безопасность как самостоятельный объект исследования также имеет некоторые фундаментальные свойства:
— безопасность никогда не бывает абсолютной — всегда есть некий риск ее нарушения, таким образом, усилия по обеспечению безопасности реально сводятся к задаче понижения уровня риска до приемлемого уровня, не более;
— измерить уровень безопасности невозможно, можно лишь косвенно его оценить, измерив соответствующие показатели, характеризующие состояние безопасности системы; в связи с этим можно говорить только о вероятности наступления того или иного события и степени его последствий, т. е. использовать для оценок уровня безопасности рисковый подход;
— наступление рискового события в общем случае предотвратить невозможно, можно лишь понизить вероятность его наступления, т. е. добиться того, что такие события будут наступать реже;
— можно также понизить степень ущерба от наступления такого события, но при этом чем реже наступает рисковое событие, тем сильнее ущерб от них;
— при любом вмешательстве в систему в первую очередь страдает ее безопасность.
Оказалось, что для анализа свойств безопасности сложных систем, состоящих из технических компонент людей, взаимодействующих друг с другом, в полной мере могут быть применены некоторые социологические и психологические правила, выведенные на основе наблюдения за развитием процессов и событий:
• Закон Парето (универсальный закон неравенства), сформулированный итальянским экономистом и социологом Вильфредо Парето в 1897 г., более известный как шутливое выражение «20 % немцев выпивает 80 % пива», в соответствии с которым первые 20 % усилий дают 80 % результатов или 80 % всех проблем порождаются человеком (персоналом) и лишь 20 % приходится на долю технического оборудования (по оценкам специалистов, эта доля может доходить до соотношения 94:6 %).
• Методологический принцип, получивший название по имени английского монаха-францисканца, философа-номиналиста Уильяма Оккама (Ockham, ок. 1285–1349), гласящий: «То, что можно объяснить посредством меньшего, не следует выражать посредством большего» (лат. Frustra fit per plura quod potest fieri per pauciora). В соответствии с ним при равной вероятности событий с различной степенью тяжести последствий, как правило, первым случается событие, степень тяжести последствий которого меньше. Из этого также следует, что злоумышленник, планируя атаку на ресурс, из всех возможных будет выбирать наиболее простой способ осуществления своих целей, а вирусы будут попадать в систему наиболее простым способом. Этот принцип следует дополнить следующим наблюдением: степень тяжести последствий растет обратно пропорционально частоте их возникновения.
• Правило связиста: связиста замечают только тогда, когда пропадает связь.
• Парадокс «крысиного короля», хорошо знакомый морякам: можно избавиться от крыс на корабле, заведя крысу — «крысоеда», но через некоторое время он даст потомство, бороться с которым будет еще сложнее. Таким образом, налицо эффект транспонирования проблемы в будущее, через точку инверсии.
Как уже отмечалось, аспектов обеспечения информационной безопасности бизнеса достаточно много, но в целом есть и ряд общих моментов, на которых следует коротко остановиться.
Ведение бизнеса всегда предполагает наличие некого первоначального капитала, актива, который вкладывается в некое «дело» с целью получения прибыли. Все остальное, не имеющее актива, к бизнесу не относится и не рассматривается.
Эффективность бизнеса тем выше, чем выше прибыль — это аксиома. На величину прибыли влияет несколько факторов, среди них выделяются наиболее существенные:
— величина внутренних издержек, в том числе на содержание коллектива и затрат на обеспечение безопасности в том числе. В результате задания неправильных требований по безопасности, величина издержек может стать настолько обременительной, что сделает бизнес не эффективным;
— качество управления собственным активом. Если кроме собственника актива или его представителя активом может управлять еще кто-то в собственных интересах, то актив может разворовываться, а бизнес — существенно ухудшаться. Пример перед глазами — хищение средств в карточных платежных системах и в системах дистанционного банковского обслуживания;
— качество работы коллектива, обеспечивающего бизнес;
— скорость реакции коллектива на внешние факторы, влияющие на бизнес, или на управляющие воздействия;
— стратегия и качество ведения самого бизнеса;
— выбранная стратегия управления рисками, в том числе экономическими рисками и рисками информационной безопасности.
Следует также отметить, что бизнес ведется, как правило, во враждебной среде, в условиях конкурентной борьбы, неблагоприятного законодательства, риска рейдерства, часто нескоординированной деятельности различных надзорных органов. Особое место в этом списке занимает криминал, стремящийся отнять или поставить под контроль прибыль от вложения активов. Наиболее в острой форме это появляется в банковском бизнесе, поскольку банки работают с самой сублимированной формой активов — деньгами, а атака на них наиболее результативна, потому что приносит быстрые и ощутимые результаты.
Поэтому все большее значение приобретает прогноз, то есть моделирование возможных рисковых ситуаций и разработка превентивных защитных мер, позволяющих избежать (отразить, уклониться) последствий от атак на бизнес или на среду, обеспечивающую использование активов, составляющих основной элемент бизнеса.
Также следует отметить, что среди всего набора угроз и рисков существует определенная иерархия, по силе воздействия и уровню катастрофичности для бизнеса угрозы серьезно различаются. Так, политические риски или риски несоответствия законодательству являются для бизнеса определяющими, так как способны вне зависимости, насколько качественно осуществляется работа по минимизации рисков информационной безопасности физически уничтожить бизнес (лишение лицензии, налоговые штрафы и т. д.). К сожалению, следует говорить и о рисках, возникавших и при взаимодействии с правоохранительными органами, например, когда в ходе расследования изымались оригиналы документов или сервера с базами данных, что неминуемо ведет к катастрофическим последствиям для организации.