Собствениците, пазителите и потребителите на информация са длъжни последователно и безкомпромисно да спазват възприетите от организацията политики, правила, процедури и стандарти за информационна сигурност.

Увод

През последните години новите модели на общуване, в които активно се намесиха средствата за масова комуникация, въведоха едно ново понятие за същността и съдържанието на обществения живот - информационно общество. Основното, което е характерно за него е че разкрива нов вид връзки между хората и между институциите, връзки, базирани на споделянето на информация *(1).

Информацията е стратегически актив *(2). Както всички други организационни активи тя е ценност и следователно трябва да бъде добре защитена. Това е особено важно в днешната сложна и динамично променяща се среда, в която информацията е изложена на множество разнообразни заплахи. Сигурността и защитата на информацията са фундаментални понятия, около които се изгражда цялата концепция за постигане на конкурентно предимство.

Информацията съществува в много форми. Тя може да бъде напечатана или написана върху хартия, запомнена по електронен път, предадена по пощата или с използване на електронни средства, показана на микрофилми или предадена по време на разговор. Каквато и форма да приеме информацията, тя винаги трябва да бъде защитена,

Посредник в общуването на хората станаха компютрите и средствата за мо билна връзка (Интернет, мобилни телефони, факсове и т.н.). Отношенията, които се създават в този вид общуване, са по-гъвкави, по-динамични, по-бързи, с по-малко ограничения във времето, пространството и начина на изразяване. Промяната в механизмите на обмен на информация трансформира традиционния тип общество в общество от нов тип, с по-голямо разнообразие от взаимоотношения и нов начин на създаване и натрупване на богатство *(3).

Като резултат от увеличения брой връзки нараства необходимостта от повече и по-точни критерии при персонификацията на лицата, които установяват (или с които се установява) контакт. През последните няколко години начините на из ползване на компютрите претърпяха драстична промяна. Съвременните технологии направиха възможно свързването чрез Интернет на компютри от всяка точка на земното кълбо в обща мрежа. В резултат на обвързването на човешките дейности с тези технологии се получиха много допълнителни предимства, но едновременно с това се появиха много непознати и неизследвани до този момент рискове *(4)и заплахи *(5). Всичко това формира нова уязвимост *(6)на социалните организации, която превръща гарантирането на сигурността и защитата на информацията в тяхна ключова компетенция *(7).

Анализът на съвременните социални отношения показва, че с нарастване мащабите на обмен на информацията както между отделните структури на дадена социална организация *(8), така и между партньорите в дадена сфера на обществена активност ще нарастват рисковете, свързани с опазване доброто име и репутация на организациите, а така също рисковете, имащи непосредствено отношение към тяхната стабилност.

Голяма част от специалистите, работещи по поддържане на автоматизираните информационни системи *(9), считат, че с развитието на процесите по обмена на информация може да се очаква нарастване на рисковете от срив и несанкциониран достъп до конфиденциална информация. Предизвиква тревога фактът, че голяма част от организациите нямат разработен план за действие в извънредни ситуации, в резултат на което при срив на информационната система сроковете за нейното възстановяване могат да се разминат, както с надеждите на ръководството, така и с очакванията на потребители, подизпълнители и партньори.

Макар в последно време на въпросите, свързани с информационната сигурност, да се обръща все по-сериозно внимание, практиката показва, че реалните действия по управление на информационните рискове много често са непоследователни и недостатъчни. В резултат на такова отношение много ръководители на организации прекалено късно откриват, че икономическите резултати от инвестициите в сферата на информационните технологии са далеч от очакваните поради неадекватни действия, съчетани с: подценяване на проблемите на информационната сигурност при работата и обучението на персонала; неподготвеност за работа с външни лица; липса на процедури за тестване и инструментална проверка за устойчивост, скритост, оперативност и надеждност на информационните системи. Тази неподготвеност за работа в конкурентна и даже враждебна среда поставя на дневен ред решаването на актуален и значим проблем за гарантиране на информационната сигурност и защитата на информацията. (Фиг. 1)

 

Фиг. 1: Концепция за сигурност и защита на информацията

Поводът за написването на настоящия труд е нарастващата потребност от учебници по информационна сигурност, отговарящи на определени изисквания за задочна или дистанционна форми на обучение. Тяхната специфика се определя от възможността за самостоятелна подготовка, която предоставят на обучавания.

Мисията му е да представи на читателя структурирано знание и съвременна методология за ефективно поведение в сложни ситуации, които да послужат за придобиване на нова квалификация чрез разширяване на професионалните знания и умения.

Обект на разглеждане по-долу са знанията за информационната сигурност, и защитата на информацията, необходими за изпълнение на служебните функции и длъжностни задължения, на всички нива на организационните йерархии в социалните организации.

Предмет на разглеждането е частта от знанията, която е необходимо да бъде усвоена за придобиване на нова квалификация, както следва:

• Същността, съдържанието, основните понятия, закони и характеристики на информационната сигурност и защитата на информацията в социалните организации.
• Еволюцията на възгледите, идеите, моделите и теориите в тази област.
• Авангардният опит, добрите практики и примерите за висококачествени и ефективни изпълнения.
• Методите и инструментите за гарантиране на информационната сигурност и защитата на информацията в условия на висока априорна неопределеност, значителен дефицит на време и ресурси и висока динамика на процесите в организациите и в стратегическото обкръжение.
• Библиографията, която може да се използва за самостоятелна работа.
• Речникът на по-важните термини, с които се работи в изданието и в научната област, която се обсъжда в него.

Целта на разработката и публикуването на настоящата работа е: да се подпомогне разширяването на професионалната квалификация' чрез актуализиране на притежаваните знания, умения и способности.

Задачите, които се решават за постигането на тази цел, са:

1. Актуализиране на възгледа на обучаваните за информационната сигурност и защитата на информацията.
2. Запознаване с теорията и практиката на информационната сигурност и ч защитата на информацията като базов актив на социалните организации.
3. Даване на актуални знания за добрите практики в тази сфера и модерния инструментариум.

Решаването на тези задачи се постига от обучаваните чрез:

• самостоятелна работа с учебното съдържание;
• консултации и събеседвания с автора на настоящето пособие;
• посещение на отделни, самостоятелни, тематични, авторски лекции на автора на учебното пособие за подпомагане на първоначалното запознаване с учебното съдържание и облекчаване на схващането на основните идеи, концепции, теории и модели, изложени в него;
• самостоятелна работа с допълнителна литература по учебните теми.

Очакваният резултат от решаването на формулираните задачи е усвояване на знания, формиране на умения, развиване на способности и придобиване на експертна компетентност, необходими за изпълнение на служебните функции по гарантиране на информационната сигурност и защитата на информацията в социалните организации, както следва:

1. Знания за: състоянието, характеристиките и тенденциите на развитие на методите и технологиите за гарантиране на информационната сигурност и защитата на информацията.

2. Умения за:

• търсене, намиране и използване на новите постижения в тази сфера; откриване, определяне и посочване на нови практики и модели;
• оценка, анализ и управление на информационната сигурност и защитата на информацията в социални организации;
• бързо и адекватно реагиране на промените, конфликтите и кризите в информационното пространство;
• разграничаване, идентифициране и посочване на подходящи организационни и управленски мерки за трансформиране на организациите, в съответствие с възникналите ситуации, заплахи и рискове в информационното пространство.

3. Способности за:

• концептуално мислене в сферата на гарантирането на информационната сигурност и защитата на информацията ;
• вземане на стратегически решения в тази област;
• успешно реагиране на нови ситуации и нетрадиционни заплахи;
• целенасочено действие в информационната сфера;
• анализ и изработка на оперативна концепция, системен проект и изисквания за разработка и внедряване на система за информационната сигурност и защитата на информацията в социалните организации.

4. Експертна компетентност в областта на информационната сигурност и защитата на информацията, включваща усвоените знания, формираните умения, развитите способности, личните позиции, отношения и ценностни ориентири, осигуряващи ефективно поведение.

Работната хипотеза, при допускането на която е разработен настоящият труд, е, че след критичен анализ на наличното знание за информационната сигурност и защитата на информацията, в процеса на обратния синтез на учебно съдържание ще се интегрира и изравни даваната на обучаваните квалификация така, че да се формират желаните компетенции, умения и способности.

Целта на изравняването *(2) е да се приведе даваната квалификация (знания, умения и способности) в съответствие с намеренията, очакванията и изискванията на потребителя.

Целта на интеграцията *(3) е да осигури: специфично формулиране и подреждане на даваните знания, придобити умения и развити способности така, че:

• приложенията им да са винаги инвариантни към промените и ситуациите в околната среда и постоянни във времето, с което се осигурява надеждността и устойчивостта на изпълнението на служебните задължения;
• използването им да е наблюдаемо и управляемо по всяко време, във всички работни процеси, в цялата сфера на дейност на служителите и ръководителите, с което се осигурява процеса на самообучение и личностно развитие;
• комуникацията им да е унифицирана и стандартизирана, с което се гарантира ефективно организационно взаимодействие.

Намеренията и очакванията на автора са, че с разработката и използването на ново учебно съдържание в областта на информационната сигурност и защитата на информацията ще се създадат необходимите предпоставки за ефективно обучение и изграждане на нова, разработена според изискванията на потребителя, квалификация, отговаряща на нарастващите изисквания за качество и ефективност (Фиг. 2). То трябва да послужи за постигане на висока конкурентоспособност, качество и ефективност на изпълнение на служебните задължения и на получените резултати (Фиг. 3).

 

Фиг. 3: Нива на квалификация и развиване на способности

Съдържанието е подредено съгласно логическата взаимосвързаност на представените в него знания. То е съкратено, сбито изложение на същността и съдържанието на концепцията, методите и подходите за гарантиране на информационната сигурност и защитата на информацията, представено с отделни текстове на автора и с редица оригинални текстове на работещи в тази област авторитетни учени и специалисти, които са подбрани и надлежно цитирани в изложението, от гледна точка на:

• тяхната относимост към програмите и тематичните планове по учебните дисциплини, преподавани в Академията на МВР и във Военна академия „Г. С. Раковски".
• тяхната актуалност, значимост и приложна стойност за професионалното развитие на обучаваните.
• тяхната относимост защитата на националната сигурност, противодействието на престъпността и опазването на обществения ред.

Структурата на съдържанието е взаимосвързана съвкупност от тематично обособени модули, всеки от които е разбит на теми.

Темите са развити като самостоятелно разглеждане на даден проблем, при което са сведени до минимум цитиранията и препратките към останалите части на книгата. Това дава възможност за селективно запознаване с материала според читателския интерес към една или друга тема. Темите са избрани и включени в съответния модул чрез оценка на тяхната актуалност, значимост, приложна и познавателна стойност, новост и относимост. Подреждането им осигурява последователност, непрекъснатост, адитивност, приемственост, адаптивност и мултипликативност на процеса на усвояване на знанията от обучаваните, с цел - постигане на по-ефикасно развитие на техните компетенции.

Методологията на съставянето на представеното съдържание включва:

• Отчитане на изискванията на съответните Квалификационни характеристики, приети от Академичните съвети на Академията на МВР И Военна академия "Г.С. Раковски"
• Привеждане в съответствие с учебните програми и тематичните планове на едноименните учебни дисциплини и техните компетенции, преподавани в Академията на МВР и Военна академия "Г.С. Раковски" от 1996 г. до днес.
• Анализ и критична оценка на издадените по тази тематика монографии, учебници, пособия, студии, статии и научни доклади.
• Отчитане на натрупания от автора многогодишен опит от преподаване на учебната дисциплина „Информационна сигурност" в Академията на МВР и Военна академия "Г.С. Раковски" от 1996 г. до днес.
• Изучаване и използване на опита и традициите за подготовката на кадри за работа с автоматизирани информационни системи и мрежи в областта на националната сигурност и отбраната на такива авторитетни учебни заведения като Националния университет по отбраната на САЩ - гр. Вашингтон, Генералщабния колеж на сухопътните сили на САЩ - гр. Карлайл - САЩ, Факултета по държавна администрация към Московския държавен университет, Женевския център за изследвания в областта на политиката за сигурност, Холандската военна академия и др.
• Провеждане на лични срещи и беседи с редица видни учени и специалисти в тази област и прякото му участие в Работната група за развитие на учебните програми към Консорциума на военните академии и научно изследователски институти, които създадоха редица възможности за плодотворен обмен на идеи и научно-методически материали и изясняване на същността, целите и структурата на пакета знания, формиращ концепцията за написването на настоящия труд.
• Наблюдения и критична оценка на резултатите от приложните реализации на теорията и практиката на гарантирането на информационната сигурност и защитата на информацията.
• Консултации и активно участие с публикации в научни конференции, семинари по тази тематика.
• Последователно преминаване от концептуални теоретични знания към прагматични приложни модели и управленски практики.

Без претенции за завършеност и изчерпателност, настоящата работа е един опит да бъде представена съвременната теория на информационната сигурност и защитата на информацията на работещите в тази област специалисти. Със своята управленска насоченост, критичен подход и тематична балансираност тя е създадена, за да послужи за първоначално запознаване и постепенно навлизане в тази важна област на знанието. Тя има всички необходими качества за използването й като учебник за самостоятелна подготовка за придобиване на необходимата квалификация за изпълнение на служебните функциите и длъжностните задължения на всички нива в министерствата, агенциите и всички публични организации. Също така тя може да се използва от всички работещи в областта на информационната сигурност и защитата на информацията специалисти, докторанти и студенти.