Экономические основы теории проектирования систем защиты информации тема диссертации по экономике, полный текст автореферата
Ученая степень | кандидат экономических наук |
Автор | Абамазова, Мария Эдуардовна |
Место защиты | Москва |
Год | 1997 |
Шифр ВАК РФ | 08.00.05 |
Диссертация: содержание автор диссертационного исследования: кандидат экономических наук , Абамазова, Мария Эдуардовна
ВВЕДЕНИЕ.
1. ФОРМАЛЬНОЕ И НЕФОРМАЛЬНОЕ ОПИСАНИЕ ПРОСТРАНСТВА ^ИНФОРМАЦИОННЫХ УГРОЗ.
1.1 Понятия информации, стоимости информации и пространства информационных угроз.
1.2 Методы статистического описания угроз.
1.3 Экономическая модель информационных угроз.
1.4 Классификация и примеры информационных угроз.
1.5 Зависимые ( совместные ) угрозы, особенности их формального описания.
2. ПРОТИВОДЕЙСТВИЯ ИНФОРМАЦИОННЫМ УГРОЗАМ, ИХ ФУНКЦИОНАЛЬНЫЕ И ЭКОНОМИЧЕСКИЕ ХАРАКТЕРИСТИКИ.
2.1 Понятие противодействия. k 2.2 Классификация противодействий с использованием программно -аппаратных средств.
2.3 Понятие эффективности (надёжности) противодействий.
2.4 Функционально - экономическое описание противодействий.
2.5 Примеры противодействий информационным угрозам.
3. СИСТЕМА ИНФОРМАЦИОННОЙ ЗАЩИТЫ КАК МЕХАНИЗМ ПРОТИВОДЕЙСТВИЯ ИНФОРМАЦИОННЫМ УГРОЗАМ.
3.1 Основные функции и свойства системы информационной защиты.
3.2 Эффективность и рентабельность защиты. Асимптотические оценки.
3.3 Экономическая концепция информационной безопасности.
4. ДЕКОМПОЗИЦИЯ СИСТЕМ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ. м 4.1 Зона защиты как базовый элемент структурной декомпозиции. яЬ 4.2 Классификация зон информационной защиты по их значимости.
Ш 4.3 Оптимизация ресурсов. Выбор средств защиты одной зоны. щ 4.4 Пример использования методики выбора.
5. КОМПОЗИЦИЯ СИСТЕМ ИНФОРМАЦИОННОЙ ЗАЩИТЫ КАК ОСНОВА ИХ ПРОЕКТИРОВАНИЯ.
5.1 Классификация структурных вариантов систем защиты информации.
5.2 Оценивание свойств системы независимых зон.
5.3 Структурная и ресурсная оптимизация, их особенности.
5.4 Понятие интегрированных систем безопасности.
6. ЧАСТИЧНАЯ АВТОМАТИЗАЦИЯ ПРОЦЕССА ПРОЕКТИРОВАНИЯ. НЕОБХОДИМОСТЬ И ВОЗМОЖНОСТЬ.
6.1 Проектирование как многошаговая процедура последовательных действий поиска, сравнения и выбора.
6.2 Уровни частичной автоматизации.
6.3 Минимальное программное обеспечение и его версия.
6.4 Пример использования минимального программного обеспечения.,.,.,.,
Диссертация: введение по экономике, на тему "Экономические основы теории проектирования систем защиты информации"
Реформа экономики в России, перевод её на рыночную основу дали точок к активизации ряда процессов, оказывающих негативное влияние на жизнь нашего общества в целом и развитие предпринимательства, в частности. Наиболее заметно наращивание криминогенного потенциала, проявляющегося не только в насильственных формах присвоения чужой собственности, но и различных посягательствах на коммерческую тайну [1].
В бывшей Советской России коммерческая тайна была официальна отменена положением о рабочем контроле принятом ВЦИК в ноябре 1917г. Тогда же была введена распределительная экономическая система и государственная защита служебной информации и государственной тайны [21.
С возрождением рыночной экономики вопрос о коммерческой тайне вновь встал на повестку дня. Дав гарантию прав предпринимателей на коммерческую тайну, государство ограничило, однако, свою роль в её защите выпуском специальных правовых документов [3-6]. В таких условиях предприниматели были вынуждены сами обеспечивать свою информационную безопасность. С этой целью они активно используют опыт бывших работников правоохранительных органов, расширяют обмен мнениями специалистов индустрии безопасности, организовывают собственные службы экономической и информационной безопасности, стимулируют развитие научных взглядов на проблему защиты интересов бизнеса.
Частным результатом этих действий явилось появление новых специальных периодических изданий [7-11] и книг [12-25], посвященных анализу систем защиты информации. При этом чётко проявили себя два альтернативных подхода к проблеме.
В большинстве случаев авторы используют затратные схемы защиты информации, когда предполагают те или иные организационные и инженерно-технические средства защиты информации, не принимая во внимание их стоймости, не делая при этом сопоставлений по показателю затраты - ущерб - качество. Эти схемы часто оказываются правильными, особенно в случаях защиты интересов крупного бизнеса.
Тем не менее, сформировалось и другое мнение о том, что решающим фактором в защите коммерческой тайны дожна стать экономика, сопоставление затрат на безопасность и прогнозируемых ущербов от хищений конфиденциальной информации [12-24]. Экономический подход дожен доминировать и при решении отраслевых вопросов, выбора отдельных, частных средств и методов противодействия информационным угрозам.
Привлекательность экономического решения проблемы защиты информации обусловлена большими потенциальными возможностями экономических методов анализа, базирующихся, в частности, на статистических моделях воздействий и методах численного оценивания системных реакций, возможностями математического анализа и синтеза простых и сложных систем различного функционального назначения [29-32].
Сдерживающим фактором при этом является отсутствие на практике необходимых исходных данных, в частности, статистики угроз для конкретного объекта защиты, общепринятой шкалы значимости (ценности) информации, нормативных категорий уровней защиты и пр.
Тем не менее, именно это направление было выбрано в качестве предметной области диссертационных исследований.
Развивая тему дипломного проекта [34], соискатель взял за основу экономические критерии, базирующиеся на сопоставлении ущербов от угроз и затрат на безопасность. Цель сопоставлений - определить уровни рациональных общих и частных ассигнований на безопасность; решить методами статистического и экономического анализа основные задачи видовой и структурной оптимизации; найти, используя гипотезу об экономической сущности угроз, практические правила выбора средств информационной защиты.
Особое значение при выборе методов научных исследований придавалось асимптотическим приближениям. Основная цель при этом - выявить общие, закономерные связи между свойствами объекта, системной безопасности и экономическими затратами. Предполагалось, что такой путь позволит получить аналитические зависимости для необходимых экономических оценок и создаст основу соответствующим методикам проектирования.
Строго говоря, асимптотические приближения справедливы только для предельных условий, в частности, условий большого бизнеса. Однако, предполагалось найти такие которые, имеют достаточно широкие границы, чтобы служить основой решения задач защиты среднего и малого предпринимательства.
Все основные положения теории предполагалось проверить на конкретных примерах, используя для этого данные каталогов по современным средствам нападение и защиты отечественных и зарубежных фирм, реализующих продукцию на рынке индустрии безопасности [43-481.
Самостоятельная цель исследований состояла в разработке предложений по автоматизированному проектированию систем информационной защиты. Предложения касались в основном лузкой части проектирования - многомерного выбора и оптимизации средств защиты.
Указанные цели исследований определили характер работы и её научную новизну, получивших своё отражение в открытой печати - статьях в журнале Системы безопасности за 1995,1996,1997 гг.
Практическая полезность работы проявилось в частности в том, что её рекомендации были учтены при разработке концепции информационной защиты крупного коммерческого объекта в пос. Черноголовка Московской области.
Структурно работа состоит из введения, 6 разделов основного текста, заключения, приложения и перечня использованной литературы более из 50 наименований.
При подготовке материалов и окончательной редакции диссертации автору оказали поддержку и помощь многие специалисты. Особую благодарность он выражает своему научному руководителю, академику Шилину Ю.И за целевую, экономическую постановку проблемы, помощь в интерпретации научных результатов и практических выводов по работе.
Р&ЪУ/ГЬТАТЫ рАБОТЬ! БЫШ ОПУБЛИКОВАНЫ В QWPb/rm'j пе рм оа и t/ecacCi пей а ту - журнале С и спемы Безопасности d. СтДтьР*, &ежомпогии,щ> и позиция си/сте/у е=> о па с носл ду " - М: Журнал,, С^стел/ь/ ^езопА-c^ocri/ 'V^
2. Статья Д ^OHCi&ntittjz && г опасности; э-ыелоНнрс&Ак
НСсТЬ g/UaJtTh! И MHQPOi>y>'e>*CtJtQ<& Г7Р0ТМ^РОЗ^/Ч" А/- журнал Д те /гь/ оплай ости " aS^j /996/?
СТАТЬЯ Д Ctpaxo&AMUQ КАК ФУ А/К и иJ
ЯеЗ СЮАёИOCTL-f - Af; pfyP&W г, СИа l&^fb/ &<г30ПАНСс.Т^ аJ996P
Ц Стт&# f* &AQKUруюшме и отрежАющ>&е. яротя&сл&истьия /Л" ЯСУРА/АА Д темь/ е-е^опАНиюсГи, f /99 в л
Диссертация: заключение по теме "Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда", Абамазова, Мария Эдуардовна
Проектирование высокоэффективных и высокорентабельных систем защиты информации сопряжено с достаточно большим числом рутинных операций по вычислению и сравнению между собой ранговых коэффициентов, отбора наибольших по величине из них с учетом ограничительных условий на ассигнования. При этом нельзя исключить ошибки и неточности даже в случае самой простой по структуре системы-системы из независимых зон защиты.
Использование современных вычислительных средств дает несомненные преимущества проектированию как на стадии учета и формирования исходных (первичных и вторичных) данных, так и в особенности на стадии ресурсной и структурной оптимизации системы.
На данном этапе можно, однако, говорить только о частичной автоматизации, решении тех задач, которые подготовлены методически.
Частичная автоматизация возможна, в частности, при ресурсно-видовой оптимизации систем информационной защиты независимых зон, при выборе необходимых инженерно-технических средств защиты.
Предложена и обсуждена авторская версия минимального програмного обеспечения.
ЗАКЛЮЧЕНИЕ
В основу диссертационной работы была заложена глубокая убежденность автора в том, что проблему защиты интересов частного предпринимательства необходимо решать экономическими методами, изучая экономические связи между защищаемой информацией, угрозами и свойствами объекта защиты, сравнивая затраты на безопасность и возможные ущербы от реализации угроз.
Этот путь потребовал от автора разработать и обосновать экономическую модель системы информационной защиты как механизма противодействия информационным угрозам, где определяющими показателями являются эффективность и рентабельность защиты. На основе этой модели были созданы методики экономико-вероятностного описания угроз, количественного оценивания экономических рисков, оптимизации ресурсов, выбора инженерно-технических средств защиты и др.
В качестве аналитической основы исследований были использованы хорошо развитые методы статистического (вероятностного) анализа и синтеза. Особое внимание было уделено асимптотическим приближениям, что в конечном итоге позволило оценить экономические связи между воздействиями и свойствами объекта защиты.
Все основные научные результаты получены впервые. В ходе выпонения диссертационной работы была создана научно-обоснованная методическая база эскизного проектирования систем информационной безопасности с возможностью его частичной автоматизации. Были созданы, в частности, и защищаются методики: оценивания общей эффективности и рентабельности защиты как функции вложенных ассигнований; оценивания опасности информационных угроз; оптимального ( с экономической точки зрения) выбора средств защиты; оптимального распределения ресурсов во всем пространстве угроз и др.
Методики были учтены при разработке концепции безопасности Московской городской телефонной сети (МГТС) и использованы при разработке концепции информационной защиты коммерческого объекта пос. Черноголовка Московской области.
Следует признать, что в рамках данной диссертационной работы проблему информационной защиты удалось решить пока частично. Сложность и новизна задач не позволили автору решить вопросы оптимальной композиции зон защиты с частичным и поным пересечением, декомпозиции и композиции части пространства угроз, связанной со служащими и клиентами. В постановочном плане затронута проблема интегрированных и корпоративных систем защиты.
Однако, автор убежден, что эти и другие вопросы дожны решаться на основе экономической концептуальной модели, и что данная работа будет содействовать их теоретическому и практическому продвижению.
Диссертация: библиография по экономике, кандидат экономических наук , Абамазова, Мария Эдуардовна, Москва
1. Догосрочный прогноз развития криминальной ситуации в Российской Федерации М, ВНИИ МВД России, 1996г.
2. Лысов А., Остапенко А. Промышленный шпионаж в России: методы и средства С. Петербург, Лаборатория ППШ , 1994г.
3. Закон РФ от 21 июня 1993г. О государственной тайне.
4. Закон РФ от 20 февраля 1995г. Об информации, информатизации и защите информации.
5. Закон РФ от марта 1992г. О безопасности.
6. Абамазов Э.И. Методы и инженерно-технические средства противодействия информационным угрозам М.: компания Гротек, 1997г.
7. Ярочкин В., Халяпин Д. Основы защиты информации. Служба безопасности предприятий М.: ИПКИР , 1993г.
8. Ярочкин В., Халяпин Д. Основы защиты информации М.: ИПКИР, 1994г.
9. Соловьев Э. Коммерческая тайна и ее защита М.: Главбух, 1995г.
10. Стрельченко М. Обеспечение информационной безопасности банков -М.: ИПКИР, 1995г.
11. Гавриш В. Практическое пособие по защите коммерческой тайны -Симферополь, изд-во Таврида, 1994г.
12. Спесивцев А и др. Защита информации в персональных ЭВМ М.: Радио и связь, МГ Вести, 1992г.
13. Расторгуев С. Программные методы защиты информации в компьютерных сетях М.: изд-во Яхтсмен, 1993г.
14. Барсуков В. и др. Интегральная безопасность М.: ИРЦ Газпром, 1994г.
15. Мироничев С. Коммерческая разведка и контрразведка или промышленный шпионаж в России и методы борьбы с ним- М.: изд-во Дружок, 1995г.22. Защита данных в сетях ЭВМ М.: ВНИИМ, 1995г.
16. Гайкович В., Першин А. Безопасность электронных банковских систем М : компания л Единая Европа, 1994г.
17. Шепитько Г. Теоретические и организационно-технические основы системного проектирования централизованной охраны объектов М.: изд-во Русское слово, 1995г.
18. Ярочкин В. Предприниматель и безопасность М.: изд-во Ось-89, 1994г.
19. Хоуман Л. л Современные методы защиты информации изд-во Сов. радио, 1980г.
20. P.Hichson л Industrial connter espionage London, Inst, of Directa, 1968г.28. л Euro News Security, № 1-2 ФРГ: Д-40811, Mettman, 1996r.
21. Банда И. Основы линейного программирования М.: изд-во Радио и связь, 1987г.
22. Щедрин М., Кархов А. Математические методы программирования в экономике М.: Статистика, 1979г.
23. Вагнер Г. Основы исследования операций Т1, 1972г., Т2,1973г., ТЗ,1973г.- М.: МИР.
24. Шилин Н. НТП управления в материально-техническом снабжении -М.: изд-во Экономика, 1983г.
25. Алексеенко В., Сокольский Б. Системы защиты коммерческих объектов- М.: Технические средства защиты, 1992г.
26. Абамазова М.Э. Дипломный проект Проектирование систем защиты коммерческой информации (на примере малого предприятия) М.: библиотека МГАПИ, 1995г.
27. Михайлов Г., Чаплыгин В. Экономическая безопасность предприятия: защита коммерческой тайны М.: Аналитик-экспресс, 1991г.
28. Хэмминг Теория кодирования и теория информации М.: изд-во Радио и связь, 1983г.
29. Шеннон К. Математическая теория связи в книге Работы по теории информации кибернетике - М.: ИЛ, 1963г.
30. Иванова Т., Пухова Г. Вычислительная математика и программирование- М.: Просвещение, 1970г.
31. Липкин И. Основы статистической радиотехники, теории информации и кодирования М.: Сов. радио, 1978г.
32. Тейлор Э. Введение в теорию ошибок М.: Мир, 1985г.
33. Сосулин Н., Фишман М. Теория последовательных решений и ее применения М.: Радио и связь, 1985г.
34. Справочник по теории вероятностей и математической статистике Киев: Воениздат, 1979г.
35. Расторгуев С. Инфицирование как способ защиты жизни. Вирусы биологические, социальные, психические, компьютерные М.: изд-во агенства Яхтсмен, 1996г.
36. Сюнтюренко О. Зарубежный рынок средств защиты информации в компьютерных и телекоммуникационных системах М.: ИПКИР, 1994г.
37. Мизрохи С. лTurbo Pascal и объектно-ориентированное программирование М.: Финансы и статистика, 1992г.
38. Каталог специальных технических средств компании РК Elektronic (ФРГ)- 1993г.
39. Каталоги специальных технических средств компаний CCS, ASSA (США)- 1995г.
40. Каталог специальных технических средств компании STG (Англия), 1995г.
41. Каталоги и рекламные проспекты российских фирм Ново, Прогрес-стех, Гротек, л Knowledge Express, лSmirab Electronic-1996г.
42. С-ттья Д Д-екомпозиция и ко/v nozuLpua систем' Сезсюло^сст'1 И* журшл,, Сиаяны вез опасности j i99Sr
43. СтатьяД ^QHu^nUrUP &~езопАснсс7и эь/есниостя> ЗАЩИТЫ '' й* ммопо p/Bep&tce прспгьолеба&ме УГРОЗАМ'- И: журим u Смете мы &еъспАснссти*f
44. S&* СТАТЬ? ц СТРАУС ЬАМме. ФУнё^и^ аистень/ ьезояж/юсть''
45. М" Журнал /г (lucreмы безспА^мсечи лз, /9967-. S3* СТАТЬЯБлокирующее- мопег>еж+ои^ие пРОГ воле **спы*$ М* ЖУРЛАА Д С&&те*ю/ б'езОПА^РОСгрг^ /906*
Похожие диссертации
- Стратегия конкурентоспособного, устойчивого и безопасного развития региона
- Обоснование системы рационального использования древесных ресурсов
- Развитие регионального предпринимательства на примере Северо-Западного федерального округа
- Влияние института бенчмаркинга на повышение конкурентоспособности организаций
- Комплексная методика оптимизации затрат на создание корпоративной системы защиты информации