УДК 004.056.

Стратегия
информационной
безопасности
медиаорганизации

В.А. Бирюков, Н.С. Лихарев

Московский государственный университет печати имени Ивана Федорова
127550, Москва, ул. Прянишникова,2А
e!mail: biryuko@yandex.ru.

В статье рассматривается понятие «информационная безо!

пасность», представлена статистика утечки информации,
доказывается необходимость разработки и внедрения стра!
тегии информационной безопасности медиаорганизации.
Ключевые слова: информация, стратегия, информацион!
ная безопасность, защита информации, медиаорганизация.

Широко распространенное в ХХI веке понятие «информаци!

онная безопасность» подчеркивает важность информации в современ!
ном обществе и характеризует тот факт, что информационный ресурс
является сегодня таким же богатством, как производственные и людс!
кие ресурсы и также необходим защите от различного рода злоупотреб!
лений, посягательств и преступлений.
Высокая значимость и постоянно развивающиеся информа!
ционные технологии, высокие темпы роста парка средств вычислитель!
ной техники, вовлечение в процесс информационного взаимодействия,
повышение уровня доверия к информационным системам, отношение
к информации как к товару, концентрация больших объемов информа!
ции различного назначения и принадлежности на электронных носите!
лей, количественные и качественные совершенствования способов дос!
тупа пользователей к информационным ресурсам, многообразие видов
угроз и возможных каналов несанкционированного доступа к инфор!
мации определяют высокую актуальность статьи.

15
 Сущность защиты информации можно определить через ее
предметную область, которая определяет виды, направления и соот!
ветствующие им способы, цели и задачи защиты информации. Суще!
ствуют следующие виды защиты информации: правовая, техническая,
криптографическая, физическая.
Целью защиты информации является заранее намеченный
результат защиты информации. Результатом защиты информации мо!
жет быть предотвращение ущерба обладателю информации из!за воз!
можной утечки информации и несанкционированного и непреднаме!
ренного воздействия на информацию.
С учетом характеристик безопасности информации, поня!
тий, используемых в законодательстве, определение «защиты инфор!
мации» (в широком смысле) может быт сформулировано следующим
образом: защита информации — деятельность, направленная на пре!
дотвращение утечки защищаемой информации, несанкционированных
и непреднамеренных воздействий на нее и включающая правовые, орга!
низационные и технические меры, обеспечивающие конфиденциаль!
ность, доступность и целостность защищаемой информации [1, 2].
В настоящее время медиаорганизации разрабатывают и ут!
верждают маркетинговые, коммуникационные, бизнес!стратегии, но
лишь малая часть медиаорганизаций разрабатывает стратегию инфор!
мационной безопасности.
Подход к проблемам информационной безопасности необ!
ходимо начинать с выявления субъектов, заинтересованных в обеспе!
чении [3]:
• своевременного доступа к необходимому массиву инфор!
мации;
• конфиденциальности определенной части информации;
• достоверности информации;
• защиты части информации от незаконного ее тиражирова!
ния;
• разграничения ответственности за нарушения законных прав
других субъектов информационных отношений и установ!
ленных правил обращения с информацией;
• возможности осуществления непрерывного контроля и уп!
равления процессами обработки и передачи информации.
В 2014 г. по всему миру обнародовано (в СМИ и иных источ!
никах) и зарегистрировано Аналитическим центром InfoWatch 1395 слу!
чаев утечки конфиденциальной информации, что на 22% превышает
число утечек, зарегистрированных в 2013 г. [4].
Аналитический центр компании InfoWatch представляет гло!
бальное исследование утечек конфиденциальной информации за 2014
год. По данным отчета, по сравнению с прошлым годом число утечек

16
информации в мире выросло на 22%, в России — на 73%. В 55% винов!
никами утечек информации были настоящие или бывшие сотрудники —
54% и 1% соответственно.
Велика доля утечек, случившихся на стороне подрядчиков,
чей персонал имел легитимный доступ к охраняемой информации (4%).
Более чем в 1% случаев зафиксирована вина руководителей организа!
ций (топ!менеджмент, главы отделов и департаментов); пользовате!
лей с расширенными правами доступа к информации (системных адми!
нистраторов). Доля утечек персональных и платежных данных в
распределении утечек по типу информации выросла на 7% к данным
2013 г., составив 92% [4].
В распределении по характеру действий нарушителя в 81%
случаев зафиксирована «классическая» утечка — потеря контроля над
информацией; 7,8% зарегистрированных инцидентов классифициро!
ваны как нарушения, сопряженные с получением несанкционирован!
ного доступа к информации.
В Российской Федерации почти две третьих доли утечек про!
исходят из небольших и средних организаций.
Интересно сопоставить картину утечек из небольших и сред!
них организаций в нашей стране с общемировой статистикой. Так, если в
целом по миру, доля организаций малого бизнеса составляет в общей
картине утечек 39,2%, для России этот показатель равен 61,2%.
Большинство утечек в 2014 г. пришлось на три основных ка!
нала: Интернет (35%), бумажные документы (18%) и кража/потеря
оборудования (16%). При этом умышленные утечки чаще всего проис!
ходят через Интернет, а случайные — в результате потери или кражи
оборудования.
Чаще всего утечки фиксировались в коммерческих издатель!
ствах (25%), реже всего в муниципальных учреждениях (2%). При этом
по объему скомпрометированных записей пальму первенства удержи!
вает рекламные агентства — 41%, вдвое меньше данных утекло в ком!
мерческих и государственных типографиях — 17%, ТВ и радио — 15%.
Ситуация с защитой персональных данных в организациях далека от
идеальной[4].
Большая часть утечек в среднем бизнесе пришлась на слу!
чайные. В 2014 году организации среднего размера заняли главенству!
ющее положение в ряду «поставщиков» конфиденциальной информа!
ции. В этом аспекте особенно «отличились» интернет!сервисы
издательств и рекламных агентств.
Сложность и масштабность современных информационных
систем для бизнеса делают процесс обеспечения их безопасности дале!
ко не простым, для этого как раз и необходима разработка стратегии и
архитектуры управления информационными и операционными риска!

17
ми. Помимо этого необходимо анализировать существующую страте!
гию, внедрять и настраивать средства управления рисками согласно ут!
вержденной стратегии, произвести миграцию на новые решения по обес!
печению информационной безопасности, произвести оптимизацию уже
внедренных средств защиты.
Стратегия — интегрированная модель действий, предназна!
ченная для достижения целей медиаорганизации [2].
Стратегия информационной безопасности медиаорганиза!
ции это долгосрочное качественное определенное направление разви!
тия по защите информации, касающееся сферы, средств и формы ее де!
ятельности, системы взаимоотношений внутри организации, а также
позиции организации в окружающей среде, приводящее организацию к
ее целям.
Разработка и внедрение специальных документов, состав!
ляющих стратегию информационной безопасности, как и любой другой
проект в организации, имеющий значение для безопасности всей орга!
низации, в первую очередь должен быть предложен или поддержан
руководителем организации. Руководство должно отвечать за отсле!
живание выполнения работ, выделения необходимых ресурсов, а так
же за утверждение необходимой разработанной документации.
Планирование является одной из четырех важнейших функ!
ций менеджмента. Вопросами планирования и выработки стратегии
информационной безопасности занимается высший менеджмент.
Планирование осуществляется на основе: поставленных це!
лей, задач, определенных внутренних возможностей медиаорганиза!
ции, открывающихся рыночных возможностей и выявленных с их уче!
том управленческих возможностей медиаорганизации, а так же отбора
целевых рынков [5].
Под стратегическим планированием информационной бе!
зопасности медиаорганизации понимают управленческий процесс раз!
работки специфических стратегий, способствующих достижений целей
организации в области защиты конфиденциальной и коммерческой
информации на основе поддержания стратегического соответствия меж!
ду ними, ее потенциальными возможностями и шансами в области ме!
неджмента.
Процессы коммуникаций и принятия решений обеспечива!
ют взаимосвязь и взаимозависимость всех управленческих функций.
Этим достигается целостность управленческого процесса, что в значи!
тельной степени способствует ее эффективности.
Роль планирования в медиаорганизации трудно переоце!
нить. Множество проведенных исследований убедительно говорят в
пользу планирования. Все они свидетельствуют о наличии сильной кор!
реляции между планированием и успехом организации.

18
 Некоторые менеджеры различных медиаорганизаций заяв!
ляют, что они могут прекрасно обходиться без формального планиро!
вания, не затрачивая сил и времени на составление планов в письмен!
ной форме. При этом они обосновывают свою позицию стремительными
изменениями, происходящими на рынке и в разработке новых техноло!
гий, которые перечеркивают все усилия по подготовке планов. Такой
подход при наличии эффективных действий может привести к успеху.
Однако неопределенная стратегия медиаорганизации в области инфор!
мационной безопасности не только не гарантирует успех в будущем, но
и ставит его под серьезное сомнение.
Формальное планирование может принести медиаоргани!
зации немалую, а зачастую и существенную пользу. Оно способствует
строгой координации усилий, предпринимаемых руководством, требу!
ет четкой постановки задач и политических установок, обеспечивает
единство общей цели внутри медиаорганизации. Точное понимание
целей медиаорганизации в разработки стратегии информационной бе!
зопасности помогает избрать наиболее подходящие направления дей!
ствий. Формальное планирование значительно уменьшает риск приня!
тия руководством неверного решения из!за недостоверности
информации о сложившихся внутренних и внешних условиях. Оно слу!
жит базой для последующего контроля, а также содействует повыше!
нию готовности медиаорганизации к внезапным изменениям рыночной
ситуации [6, 7].
Что касается тезиса о молниеносных изменениях на рынке и
разработки новых технологий, и невозможностью в связи с этим спрогно!
зировать их воздействие на деятельность медиаорганизации, а следова!
тельно, и бесполезностью формального планирования, тут можно воз!
разить, сославшись на многочисленные исследования в этой области.
До недавнего времени преобладающий стиль управления
базировался на принятии решений и контроле за их выполнением. На
основе анализа текущей ситуации на рынке делались прогнозы вероят!
ных тенденций, которые служили исходным пунктом для принятия стра!
тегических решений.
Такой подход предусматривал сосредоточение всех функ!
ций по выработке стратегии информационной безопасности медиаор!
ганизации в руках высшего руководства. В условиях безраздельного
господства концепции предсказуемости изменений ситуации на рынке
стратегическое планирование, по словам Р. Хэйса, было скорее картой,
служившей для выбора путей, ведущих к той или иной цели, чем компа!
сом, призванным помочь найти правильный ориентир в сложной об!
становке [6].
Сегодня медиаорганизации, использующие такой стиль уп!
равления, оказались в трудном положении. Разработка стратегии где!

19
то наверху приводила к отрыву стратегических решений от действитель!
ности. Это вело к тому, что такие неуклонно начали сдавать позиции
перед своими конкурентами, применявшими более гибкий подход к
стратегическому управлению и повышению объема информации, кото!
рая подверглась утечки.
В основе этого нового подхода лежит опора на стратегичес!
кое мышление большинства. Тщательное изучение условий, в которых
функционирует медиаорганизация, осознание общих задач, стоящих
перед ним, порождает множество различных вариантов дальнейшего
развития, на базе которых принимается один, сулящий наибольший
эффект. Стратегический менеджмент, в отличие от традиционного пла!
нирования, — это удел исполнителей, то есть тех, кто не только занима!
ется разработкой стратегии, но и ее реальным осуществлением [8, 9].
Некоторые сторонники этого подхода даже стали пропове!
довать отказ от составления стратегических планов вообще, рассматри!
вая их как препятствие на пути стратегического мышления. Их основной
аргумент состоит в том, что вся деятельность медиаорганизации по за!
щите информации может оказаться в полной зависимости от решений,
принимаемых где!то в высших эшелонах управления, вместо опоры на
развитие собственной инициативы, для которой необходима интеллек!
туальная свобода.
Однако рассматриваемое стратегическое управление, выгод!
но отличается как от планирования, применявшегося в медиаорганиза!
циях технократического типа, так и от подхода, объявляющего план пе!
режитком прошлого. В его основе лежит параллельная разработка
стратегий информационной безопасности на всех уровнях медиаорга!
низации при постоянном учете общей задачи организации. Затем все
стратегии сводятся, и вырабатывается интегрированная стратегия. Вме!
сте с тем чрезвычайное значение имеет постоянное наблюдение за ситу!
ацией на рынке и в среде новых технологий, и оперативное внесение
соответствующих изменений в план с тем, чтобы он все время был реа!
листичным.
Такой подход обеспечивает, с одной стороны, вовлечение в
процесс стратегического управления исполнителей, непосредственно
занимающихся реализацией намеченных стратегий, через участие в со!
здании плана. А с другой стороны, медиаорганизация получает четкие
ориентиры в своей деятельности, которые пересматриваются по мере
необходимости в связи с изменением рыночной конъюнктуры и изме!
нениями в цифровой среде.
На стадии разработки и внедрения стратегии информацион!
ной безопасности в цифровой среде и ее операционной поддержки не!
обходимо учитывать:
• влияние географических особенностей, в которых действу!
ет организация;

20
 • степень соответствия отраслевым стандартам;
• последствия за несоблюдением требований и политик ин!
формационной безопасности в организации;
• наличие надзорного органа в соответствии с действующей
организационной структурой;
• обеспечение нужного уровня коммуникаций при внедре!
нии стратегии;
• адаптацию восприятия стратегии информационной безо!
пасности к организационной культуре;
• переход на разговор в терминах управления рисками.
Стратегия информационной безопасности позволяет руко!
водителю организации:
• дать оценку текущему уровню информационной безопас!
ности в организации;
• определить направления для дальнейшего развития;
• обеспечить согласованность всех действий со стратегией
развития всей организацией;
• определить стратегические цели информационной безопас!
ности и задачи для их достижения;
• рационально распределить инвестиции;
• обеспечить соответствие законодательству Российской Фе!
дерации и отраслевым стандартам в части информацион!
ной безопасности.
Стратегия информационной безопасности с максимальной
точностью должна учитывать все текущие и будущие функциональ!
ные потребности современных цифровых систем и решать следующие
задачи:
• обеспечение безопасности и противодействие атаки на ос!
нове стратегии;
• внедрение мер безопасности по всей сетевой инфраструк!
туре, включая маршрутизаторы, коммутаторы, точки бес!
проводного доступа, системы хранения;
• безопасные средства управления и формирования отчетов;
• аутентификацию и авторизацию пользователей и админис!
траторов и доступа к критически важным сетевым ресур!
сам;
• обнаружение атак на критически важные сетевые ресурсы и
подсети;
• поддержка новых приложений и сервисов.
Таким образом, разработка стратегии информационной бе!
зопасности медиаорганизации в ХХI веке является важной и приоритет!
ной задачей, так как при формирование основы обеспечения информа!
ционной безопасности, при определение направлений развития

21
информационной безопасности и приоритетности целей и задач, опре!
деление необходимых ресурсов, а так же определение показателей ре!
ализации стратегии получается структурированный и взаимосвязанный
набор действий, нацеленных на улучшение в долгосрочном плане бла!
гополучие организации. А для того, чтобы обеспечение безопасности
осуществлялось наиболее эффективно, медиаорганизация должна раз!
работать стратегию не только позволяющую оценить текущий уровень
защищенности, но и сформулировать оптимальную схему перехода к
разработанной архитектуре информационной безопасности с учетом
лучших международных практик и национального законодательства в
области защиты информационных ресурсов.
Библиографический список
1. Казакова Н.А., Александрова А.В., Кондрашева Н.Н., Ку!
рашова С.А. Стратегический менеджмент. — М.: НИЦ ИНФРА!М, 2013. —
320 c.
2. Галатенко В.А. Основы информационной безопасности. —
М.: ИНТУИТ.РУ «Интернет!Университет Информационных Технологий»,
2014. — 560 с.
3. Бетелин В.Б., Галатенко В.А. Основы информационной бе!
зопасности. — М.: ИНТУИТ.РУ «Интернет!Университет Информацион!
ных Технологий», 2014. — 560 с.
4. Корпоративный портал компании InfoWatch
[Электронный ресурс]. URL: http://www.infowatch.ru/ (дата обращения:
30.05.2015).
5. Информационная безопасность [Электронный ресурс].
URL: http://www.securrity.ru (дата обращения: 30.05.2015).
6. Засурский Я.Н., Вартанова Е.Л., Засурский И.И., Раскин А.В.,
Рихтер А.Г. Средства массовой информации постсоветской России. —
М.: Аспект Пресс, 2002. — 303 с.
7. Домарев В.В. Защита информации и безопасность компь!
ютерных систем. — М.: Просвещение, 2013. — 335 с.
8. Яковлев А.В., Андреев Э.В. Криптографическая защита
информации. — М.: Юристъ, 2014. 421 с.
9 Корпоративный портал компании «ИТЕРАНЕТ» [Электрон!
ный ресурс]. URL: http://www.businessguardian.ru/ (датаобращения:
30.05.2015).

22