Темы диссертаций по экономике » Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда

Экономические основы теории проектирования систем защиты информации тема диссертации по экономике, полный текст автореферата

Ученая степень кандидат экономических наук
Автор Абамазова, Мария Эдуардовна
Место защиты Москва
Год 1997
Шифр ВАК РФ 08.00.05
Диссертация

Диссертация: содержание автор диссертационного исследования: кандидат экономических наук , Абамазова, Мария Эдуардовна

ВВЕДЕНИЕ.

1. ФОРМАЛЬНОЕ И НЕФОРМАЛЬНОЕ ОПИСАНИЕ ПРОСТРАНСТВА ^ИНФОРМАЦИОННЫХ УГРОЗ.

1.1 Понятия информации, стоимости информации и пространства информационных угроз.

1.2 Методы статистического описания угроз.

1.3 Экономическая модель информационных угроз.

1.4 Классификация и примеры информационных угроз.

1.5 Зависимые ( совместные ) угрозы, особенности их формального описания.

2. ПРОТИВОДЕЙСТВИЯ ИНФОРМАЦИОННЫМ УГРОЗАМ, ИХ ФУНКЦИОНАЛЬНЫЕ И ЭКОНОМИЧЕСКИЕ ХАРАКТЕРИСТИКИ.

2.1 Понятие противодействия. k 2.2 Классификация противодействий с использованием программно -аппаратных средств.

2.3 Понятие эффективности (надёжности) противодействий.

2.4 Функционально - экономическое описание противодействий.

2.5 Примеры противодействий информационным угрозам.

3. СИСТЕМА ИНФОРМАЦИОННОЙ ЗАЩИТЫ КАК МЕХАНИЗМ ПРОТИВОДЕЙСТВИЯ ИНФОРМАЦИОННЫМ УГРОЗАМ.

3.1 Основные функции и свойства системы информационной защиты.

3.2 Эффективность и рентабельность защиты. Асимптотические оценки.

3.3 Экономическая концепция информационной безопасности.

4. ДЕКОМПОЗИЦИЯ СИСТЕМ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ. м 4.1 Зона защиты как базовый элемент структурной декомпозиции. яЬ 4.2 Классификация зон информационной защиты по их значимости.

Ш 4.3 Оптимизация ресурсов. Выбор средств защиты одной зоны. щ 4.4 Пример использования методики выбора.

5. КОМПОЗИЦИЯ СИСТЕМ ИНФОРМАЦИОННОЙ ЗАЩИТЫ КАК ОСНОВА ИХ ПРОЕКТИРОВАНИЯ.

5.1 Классификация структурных вариантов систем защиты информации.

5.2 Оценивание свойств системы независимых зон.

5.3 Структурная и ресурсная оптимизация, их особенности.

5.4 Понятие интегрированных систем безопасности.

6. ЧАСТИЧНАЯ АВТОМАТИЗАЦИЯ ПРОЦЕССА ПРОЕКТИРОВАНИЯ. НЕОБХОДИМОСТЬ И ВОЗМОЖНОСТЬ.

6.1 Проектирование как многошаговая процедура последовательных действий поиска, сравнения и выбора.

6.2 Уровни частичной автоматизации.

6.3 Минимальное программное обеспечение и его версия.

6.4 Пример использования минимального программного обеспечения.,.,.,.,

Диссертация: введение по экономике, на тему "Экономические основы теории проектирования систем защиты информации"

Реформа экономики в России, перевод её на рыночную основу дали точок к активизации ряда процессов, оказывающих негативное влияние на жизнь нашего общества в целом и развитие предпринимательства, в частности. Наиболее заметно наращивание криминогенного потенциала, проявляющегося не только в насильственных формах присвоения чужой собственности, но и различных посягательствах на коммерческую тайну [1].

В бывшей Советской России коммерческая тайна была официальна отменена положением о рабочем контроле принятом ВЦИК в ноябре 1917г. Тогда же была введена распределительная экономическая система и государственная защита служебной информации и государственной тайны [21.

С возрождением рыночной экономики вопрос о коммерческой тайне вновь встал на повестку дня. Дав гарантию прав предпринимателей на коммерческую тайну, государство ограничило, однако, свою роль в её защите выпуском специальных правовых документов [3-6]. В таких условиях предприниматели были вынуждены сами обеспечивать свою информационную безопасность. С этой целью они активно используют опыт бывших работников правоохранительных органов, расширяют обмен мнениями специалистов индустрии безопасности, организовывают собственные службы экономической и информационной безопасности, стимулируют развитие научных взглядов на проблему защиты интересов бизнеса.

Частным результатом этих действий явилось появление новых специальных периодических изданий [7-11] и книг [12-25], посвященных анализу систем защиты информации. При этом чётко проявили себя два альтернативных подхода к проблеме.

В большинстве случаев авторы используют затратные схемы защиты информации, когда предполагают те или иные организационные и инженерно-технические средства защиты информации, не принимая во внимание их стоймости, не делая при этом сопоставлений по показателю затраты - ущерб - качество. Эти схемы часто оказываются правильными, особенно в случаях защиты интересов крупного бизнеса.

Тем не менее, сформировалось и другое мнение о том, что решающим фактором в защите коммерческой тайны дожна стать экономика, сопоставление затрат на безопасность и прогнозируемых ущербов от хищений конфиденциальной информации [12-24]. Экономический подход дожен доминировать и при решении отраслевых вопросов, выбора отдельных, частных средств и методов противодействия информационным угрозам.

Привлекательность экономического решения проблемы защиты информации обусловлена большими потенциальными возможностями экономических методов анализа, базирующихся, в частности, на статистических моделях воздействий и методах численного оценивания системных реакций, возможностями математического анализа и синтеза простых и сложных систем различного функционального назначения [29-32].

Сдерживающим фактором при этом является отсутствие на практике необходимых исходных данных, в частности, статистики угроз для конкретного объекта защиты, общепринятой шкалы значимости (ценности) информации, нормативных категорий уровней защиты и пр.

Тем не менее, именно это направление было выбрано в качестве предметной области диссертационных исследований.

Развивая тему дипломного проекта [34], соискатель взял за основу экономические критерии, базирующиеся на сопоставлении ущербов от угроз и затрат на безопасность. Цель сопоставлений - определить уровни рациональных общих и частных ассигнований на безопасность; решить методами статистического и экономического анализа основные задачи видовой и структурной оптимизации; найти, используя гипотезу об экономической сущности угроз, практические правила выбора средств информационной защиты.

Особое значение при выборе методов научных исследований придавалось асимптотическим приближениям. Основная цель при этом - выявить общие, закономерные связи между свойствами объекта, системной безопасности и экономическими затратами. Предполагалось, что такой путь позволит получить аналитические зависимости для необходимых экономических оценок и создаст основу соответствующим методикам проектирования.

Строго говоря, асимптотические приближения справедливы только для предельных условий, в частности, условий большого бизнеса. Однако, предполагалось найти такие которые, имеют достаточно широкие границы, чтобы служить основой решения задач защиты среднего и малого предпринимательства.

Все основные положения теории предполагалось проверить на конкретных примерах, используя для этого данные каталогов по современным средствам нападение и защиты отечественных и зарубежных фирм, реализующих продукцию на рынке индустрии безопасности [43-481.

Самостоятельная цель исследований состояла в разработке предложений по автоматизированному проектированию систем информационной защиты. Предложения касались в основном лузкой части проектирования - многомерного выбора и оптимизации средств защиты.

Указанные цели исследований определили характер работы и её научную новизну, получивших своё отражение в открытой печати - статьях в журнале Системы безопасности за 1995,1996,1997 гг.

Практическая полезность работы проявилось в частности в том, что её рекомендации были учтены при разработке концепции информационной защиты крупного коммерческого объекта в пос. Черноголовка Московской области.

Структурно работа состоит из введения, 6 разделов основного текста, заключения, приложения и перечня использованной литературы более из 50 наименований.

При подготовке материалов и окончательной редакции диссертации автору оказали поддержку и помощь многие специалисты. Особую благодарность он выражает своему научному руководителю, академику Шилину Ю.И за целевую, экономическую постановку проблемы, помощь в интерпретации научных результатов и практических выводов по работе.

Р&ЪУ/ГЬТАТЫ рАБОТЬ! БЫШ ОПУБЛИКОВАНЫ В QWPb/rm'j пе рм оа и t/ecacCi пей а ту - журнале С и спемы Безопасности d. СтДтьР*, &ежомпогии,щ> и позиция си/сте/у е=> о па с носл ду " - М: Журнал,, С^стел/ь/ ^езопА-c^ocri/ 'V^

2. Статья Д ^OHCi&ntittjz && г опасности; э-ыелоНнрс&Ак

НСсТЬ g/UaJtTh! И MHQPOi>y>'e>*CtJtQ<& Г7Р0ТМ^РОЗ^/Ч" А/- журнал Д те /гь/ оплай ости " aS^j /996/?

СТАТЬЯ Д Ctpaxo&AMUQ КАК ФУ А/К и иJ

ЯеЗ СЮАёИOCTL-f - Af; pfyP&W г, СИа l&^fb/ &<г30ПАНСс.Т^ аJ996P

Ц Стт&# f* &AQKUруюшме и отрежАющ>&е. яротя&сл&истьия /Л" ЯСУРА/АА Д темь/ е-е^опАНиюсГи, f /99 в л

Диссертация: заключение по теме "Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда", Абамазова, Мария Эдуардовна

Проектирование высокоэффективных и высокорентабельных систем защиты информации сопряжено с достаточно большим числом рутинных операций по вычислению и сравнению между собой ранговых коэффициентов, отбора наибольших по величине из них с учетом ограничительных условий на ассигнования. При этом нельзя исключить ошибки и неточности даже в случае самой простой по структуре системы-системы из независимых зон защиты.

Использование современных вычислительных средств дает несомненные преимущества проектированию как на стадии учета и формирования исходных (первичных и вторичных) данных, так и в особенности на стадии ресурсной и структурной оптимизации системы.

На данном этапе можно, однако, говорить только о частичной автоматизации, решении тех задач, которые подготовлены методически.

Частичная автоматизация возможна, в частности, при ресурсно-видовой оптимизации систем информационной защиты независимых зон, при выборе необходимых инженерно-технических средств защиты.

Предложена и обсуждена авторская версия минимального програмного обеспечения.

ЗАКЛЮЧЕНИЕ

В основу диссертационной работы была заложена глубокая убежденность автора в том, что проблему защиты интересов частного предпринимательства необходимо решать экономическими методами, изучая экономические связи между защищаемой информацией, угрозами и свойствами объекта защиты, сравнивая затраты на безопасность и возможные ущербы от реализации угроз.

Этот путь потребовал от автора разработать и обосновать экономическую модель системы информационной защиты как механизма противодействия информационным угрозам, где определяющими показателями являются эффективность и рентабельность защиты. На основе этой модели были созданы методики экономико-вероятностного описания угроз, количественного оценивания экономических рисков, оптимизации ресурсов, выбора инженерно-технических средств защиты и др.

В качестве аналитической основы исследований были использованы хорошо развитые методы статистического (вероятностного) анализа и синтеза. Особое внимание было уделено асимптотическим приближениям, что в конечном итоге позволило оценить экономические связи между воздействиями и свойствами объекта защиты.

Все основные научные результаты получены впервые. В ходе выпонения диссертационной работы была создана научно-обоснованная методическая база эскизного проектирования систем информационной безопасности с возможностью его частичной автоматизации. Были созданы, в частности, и защищаются методики: оценивания общей эффективности и рентабельности защиты как функции вложенных ассигнований; оценивания опасности информационных угроз; оптимального ( с экономической точки зрения) выбора средств защиты; оптимального распределения ресурсов во всем пространстве угроз и др.

Методики были учтены при разработке концепции безопасности Московской городской телефонной сети (МГТС) и использованы при разработке концепции информационной защиты коммерческого объекта пос. Черноголовка Московской области.

Следует признать, что в рамках данной диссертационной работы проблему информационной защиты удалось решить пока частично. Сложность и новизна задач не позволили автору решить вопросы оптимальной композиции зон защиты с частичным и поным пересечением, декомпозиции и композиции части пространства угроз, связанной со служащими и клиентами. В постановочном плане затронута проблема интегрированных и корпоративных систем защиты.

Однако, автор убежден, что эти и другие вопросы дожны решаться на основе экономической концептуальной модели, и что данная работа будет содействовать их теоретическому и практическому продвижению.

Диссертация: библиография по экономике, кандидат экономических наук , Абамазова, Мария Эдуардовна, Москва

1. Догосрочный прогноз развития криминальной ситуации в Российской Федерации М, ВНИИ МВД России, 1996г.

2. Лысов А., Остапенко А. Промышленный шпионаж в России: методы и средства С. Петербург, Лаборатория ППШ , 1994г.

3. Закон РФ от 21 июня 1993г. О государственной тайне.

4. Закон РФ от 20 февраля 1995г. Об информации, информатизации и защите информации.

5. Закон РФ от марта 1992г. О безопасности.

6. Абамазов Э.И. Методы и инженерно-технические средства противодействия информационным угрозам М.: компания Гротек, 1997г.

7. Ярочкин В., Халяпин Д. Основы защиты информации. Служба безопасности предприятий М.: ИПКИР , 1993г.

8. Ярочкин В., Халяпин Д. Основы защиты информации М.: ИПКИР, 1994г.

9. Соловьев Э. Коммерческая тайна и ее защита М.: Главбух, 1995г.

10. Стрельченко М. Обеспечение информационной безопасности банков -М.: ИПКИР, 1995г.

11. Гавриш В. Практическое пособие по защите коммерческой тайны -Симферополь, изд-во Таврида, 1994г.

12. Спесивцев А и др. Защита информации в персональных ЭВМ М.: Радио и связь, МГ Вести, 1992г.

13. Расторгуев С. Программные методы защиты информации в компьютерных сетях М.: изд-во Яхтсмен, 1993г.

14. Барсуков В. и др. Интегральная безопасность М.: ИРЦ Газпром, 1994г.

15. Мироничев С. Коммерческая разведка и контрразведка или промышленный шпионаж в России и методы борьбы с ним- М.: изд-во Дружок, 1995г.22. Защита данных в сетях ЭВМ М.: ВНИИМ, 1995г.

16. Гайкович В., Першин А. Безопасность электронных банковских систем М : компания л Единая Европа, 1994г.

17. Шепитько Г. Теоретические и организационно-технические основы системного проектирования централизованной охраны объектов М.: изд-во Русское слово, 1995г.

18. Ярочкин В. Предприниматель и безопасность М.: изд-во Ось-89, 1994г.

19. Хоуман Л. л Современные методы защиты информации изд-во Сов. радио, 1980г.

20. P.Hichson л Industrial connter espionage London, Inst, of Directa, 1968г.28. л Euro News Security, № 1-2 ФРГ: Д-40811, Mettman, 1996r.

21. Банда И. Основы линейного программирования М.: изд-во Радио и связь, 1987г.

22. Щедрин М., Кархов А. Математические методы программирования в экономике М.: Статистика, 1979г.

23. Вагнер Г. Основы исследования операций Т1, 1972г., Т2,1973г., ТЗ,1973г.- М.: МИР.

24. Шилин Н. НТП управления в материально-техническом снабжении -М.: изд-во Экономика, 1983г.

25. Алексеенко В., Сокольский Б. Системы защиты коммерческих объектов- М.: Технические средства защиты, 1992г.

26. Абамазова М.Э. Дипломный проект Проектирование систем защиты коммерческой информации (на примере малого предприятия) М.: библиотека МГАПИ, 1995г.

27. Михайлов Г., Чаплыгин В. Экономическая безопасность предприятия: защита коммерческой тайны М.: Аналитик-экспресс, 1991г.

28. Хэмминг Теория кодирования и теория информации М.: изд-во Радио и связь, 1983г.

29. Шеннон К. Математическая теория связи в книге Работы по теории информации кибернетике - М.: ИЛ, 1963г.

30. Иванова Т., Пухова Г. Вычислительная математика и программирование- М.: Просвещение, 1970г.

31. Липкин И. Основы статистической радиотехники, теории информации и кодирования М.: Сов. радио, 1978г.

32. Тейлор Э. Введение в теорию ошибок М.: Мир, 1985г.

33. Сосулин Н., Фишман М. Теория последовательных решений и ее применения М.: Радио и связь, 1985г.

34. Справочник по теории вероятностей и математической статистике Киев: Воениздат, 1979г.

35. Расторгуев С. Инфицирование как способ защиты жизни. Вирусы биологические, социальные, психические, компьютерные М.: изд-во агенства Яхтсмен, 1996г.

36. Сюнтюренко О. Зарубежный рынок средств защиты информации в компьютерных и телекоммуникационных системах М.: ИПКИР, 1994г.

37. Мизрохи С. лTurbo Pascal и объектно-ориентированное программирование М.: Финансы и статистика, 1992г.

38. Каталог специальных технических средств компании РК Elektronic (ФРГ)- 1993г.

39. Каталоги специальных технических средств компаний CCS, ASSA (США)- 1995г.

40. Каталог специальных технических средств компании STG (Англия), 1995г.

41. Каталоги и рекламные проспекты российских фирм Ново, Прогрес-стех, Гротек, л Knowledge Express, лSmirab Electronic-1996г.

42. С-ттья Д Д-екомпозиция и ко/v nozuLpua систем' Сезсюло^сст'1 И* журшл,, Сиаяны вез опасности j i99Sr

43. СтатьяД ^QHu^nUrUP &~езопАснсс7и эь/есниостя> ЗАЩИТЫ '' й* ммопо p/Bep&tce прспгьолеба&ме УГРОЗАМ'- И: журим u Смете мы &еъспАснссти*f

44. S&* СТАТЬ? ц СТРАУС ЬАМме. ФУнё^и^ аистень/ ьезояж/юсть''

45. М" Журнал /г (lucreмы безспА^мсечи лз, /9967-. S3* СТАТЬЯБлокирующее- мопег>еж+ои^ие пРОГ воле **спы*$ М* ЖУРЛАА Д С&&те*ю/ б'езОПА^РОСгрг^ /906*

Похожие диссертации