Темы диссертаций по экономике » Математические и инструментальные методы экономики

Методы обеспечения информационной безопасности предприятия тема диссертации по экономике, полный текст автореферата

Автореферат

Ученая степень	кандидат экономических наук
Автор	Саввин, Андрей Сергеевич
Место защиты	Москва
Год	2005
Шифр ВАК РФ	08.00.13

Диссертация

Автореферат диссертации по теме "Методы обеспечения информационной безопасности предприятия"

На правах рукописи

САВВИН АНДРЕЙ СЕРГЕЕВИЧ

Методы обеспечения информационной безопасности предприятия

Специальность 08.00.13 - Математические и инструментальные методы экономики

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата экономических наук

Москва 2003

Работа выпонена на кафедре Информационных технологий Российской экономической академии им. Г.В. Плеханова

Научный руководитель - доктор экономических наук, профессор

Наумов Валерий Васильевич

Официальные оппоненты: доктор экономических наук, профессор

Матюшок Владимир Михайлович

кандидат технических наук, доцент Герасимов Николай Александрович

Ведущая организация - Всероссийский заочный финансово-

экономический институт

Защита состоится 29 декабря 2005 г. в час. на заседании диссертационного совета Д 212.196.01 по присуждению ученой степени кандидата экономических наук в Российской экономической академии им. Г.В. Плеханова по адресу: 115998, Москва, Стремянный переулок, 36.

С диссертацией можно ознакомиться в библиотеке РЭА им. Г.В. Плеханова. Автореферат разослан 29 ноября 2005 г.

Ученый секретарь диссертационного совета к.э.н., доцент

Серов Г.Д.

Mi-ч г imзо

1. ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы диссертации определяется обострением проблем информационной безопасности (ИБ) даже в условиях интенсивного совершенствования технологий и инструментов защиты данных. Об этом свидетельствует беспрецедентный рост нарушений информационной безопасности и усиливающаяся тяжесть их последствий. Общее число нарушений в мире ежегодно увеличивается более чем на 100%. В России, по статистике правоохранительных органов, число выявленных преступлений только в сфере компьютерной информации возрастает ежегодно в среднем в 3-4 раза. Статистика свидетельствует также, что если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится. 93% компаний, лишившихся доступа к собственной информации на срок более 10 дней, покидают бизнес, причем половина из них заявляет о своей несостоятельности немедленно.

Перечень угроз информационной безопасности, нарушений, преступлений настолько обширный, что требует научной систематизации и специального изучения с целью оценки связанных с ними рисков и разработки мероприятий по их предупреждению.

Исследования свидетельствуют о том, что основной причиной проблем предприятий в области защиты информации является отсутствие продуманной и утвержденной политики обеспечения информационной безопасности, базирующейся на организационных, технических, экономических решениях с последующим контролем их реализации и оценкой эффективности.

Все это предопределяет необходимость разработки научно обоснованных методов обеспечения информационной безопасности предприятий, учитывающих позитивный практический опыт российских и зарубежных предприятий в этой области.

Степень разработанности проблемы. Проблемы информационной безопасности предприятий рассматривались в работах многих отечественных исследователей и специалистов: Лукацкого A.B., Баутова А., Симонова С., Кононова А., Ловцова Д., Васильева А., Волоткина А., Давлетханова М., Конева И., Беляева А., Маношкина А., Мельникова В., Трайнева В., Петренко С., Садердинова А., Уфимцева Ю., Шпака В., а также иностранных авторов Р. Уитти, A.M. Уихайт, С. Норткатт, Ж. Брассар и др. Вместе с тем проведенные исследования

обеспечения информационной безопасности, в то вре ы какБМКДМвШЭДгь этай про-

блемы предполагает разработку для ее решения более современных и адекватных методов. Все это и предопределило цели и задачи диссертации.

Цель диссертации состоит в разработке методов обеспечения информационной безопасности предприятия, позволяющих снизить его информационные риски.

Поставленная цель обусловила следующие задачи диссертации:

разработать концепцию информационной безопасности предприятия;

выявить перечень информационных ресурсов, нарушение целостности или конфиденциальности которых приведет к нанесению наибольшего ущерба предприятию; идентифицировать наиболее значимые модели нарушителей и угроз информационным ресурсам предприятий;

систематизировать информационные риски, разработать методы оценки и подходы к управлению ими;

Х разработать агоритм оценки остаточных информационных рисков на предприятии;

разработать блок-схему агоритма оценки затрат на управление информационной безопасностью и расчета их экономической эффективности;

оценить информационные риски малых предприятий, занимающихся НИОКР в российских условиях.

Объектом исследования выступает система информационной безопасности предприятия.

Предметом исследования в диссертации являются инструментальные и экономические методы обеспечения информационной безопасности, направленные на снижение информационных рисков и оптимизацию затрат предприятия на защиту информации.

Методологической и теоретической основой диссертации явились труды отечественных и зарубежных специалистов в области экономической безопасности, инвестиций, бюджетирования, статистики, теории рисков, информатизации управленческих и экономических процессов. В ходе работы над диссертацией автор использовал информацию, отражающую содержание законов, законодательных актов и нормативных актов, постановлений Правительства РФ, регулирующих защиту информации, международные стандарты по информационной безопасности.

Теоретическая значимость диссертационного исследования состоит в развитии методологии разработки системы информационной безопасности на предприятиях, основанной на концепции риск-анализа.

Практическая значимость диссертации определяется тем, что ее научные результаты позволяют повысить степень защиты информации на предприятиях путем использования предложенных автором методов, агоритмов и практических процедур при формировании системы информационной безопасности, направленной на снижение информационных рисков.

Научная новизна диссертации заключается в разработке методов и средств обеспечения информационной безопасности предприятия, направленных на выявление и оценку угроз конфиденциальности информации, планирование и расчет информационных рисков, экономическое обоснование целесообразности затрат на информационную безопасность.

Наиболее существенные результаты, полученные автором, состоят в следующем:

уточнено понятие информационной безопасности, составлена классификация видов информации по пяти критериям, которая выступает в качестве базы при оценке и планировании информационных рисков;

предложена концепция информационной безопасности предприятия, состоящая из следующих элементов: объекты, цели и задачи защиты информации; источники угроз; принципы построения системы информационной безопасности; мероприятия по обеспечению информационной безопасности; политика информационной безопасности;

разработан агоритм оценки информационных рисков, позволяющий определить состав информационных ресурсов предприятия, их ценность, уязвимость, оценить ожидаемые потери от реализации угроз;

составлена матрица бальной оценки ценности информационного ресурса, в основе которой лежат четыре уровня конфиденциальности, целостности и доступности защищаемой информации;

разработана матрица бальной оценки уязвимости информационного ресурса, инициируемой пятью источниками (сотрудниками, бывшими сотрудниками, конкурентами, преступниками, хакерами);

предложена модель возможных внутренних и внешних нарушителей информационной безопасности предприятия с учетом их признаков: категории, мотивации квалификации, возможностей;

разработана процедура оценки информационных рисков в среде СУБД MS Access, включающая в себя следующие этапы: инвентаризация и категорирование информационных ресурсов предприятия; определение уровней конфиденциальности, целостности и доступности информации и расчет уровня риска для каждого информационного ресурса;

предложен план мероприятий по снижению информационных рисков предприятия (инженерно-технических, организационных, правовых), включающий перечень контрмер нейтрализации угроз, реализация которых позволяет обеспечить оптимальный уровень затрат на информационную безопасность;

разработаны рекомендации по расчету экономической эффективности затрат на информационную безопасность предприятия;

составлена блок-схема агоритма расчета экономической эффективности и формирования бюджета расходов на информационную безопасность.

Апробация работы. Основные теоретические положения и результаты диссертации доложены, обсуждены и одобрены на заседаниях кафедры Информационных технологий РЭА им. Г.В. Плеханова, на международных научных конференциях Плехановские чтения (Москва, РЭА, 2002 г.), Молодежь и экономика (Ярославль (Военный финансово-экономический университет, 2002 г.), Свет науки молодой (Ярославский государственный университет, 2004 г.), Инновационное развитие экономики: теория и практика (Ярославский государственный университет, 2005 г.). Основные результаты исследования успешно применяются в практической деятельности ОАО Московское монтажное управление специализированное, ЗАО Доркомтехника.

Публикации. Основные положения диссертации отражены в 8 опубликованных работах общим объемом 2,4 п.л.

Логика и структура исследования. Логика исследования определяет структуру работы, которая состоит из введения, трех глав, заключения, списка литературы и 10 приложений. Диссертация содержит 152 страницы текста, 12 таблиц и 25 рисунков. Список использованной литературы включает 109 наименований.

-72. ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

В соответствии с поставленными задачами в диссертационном исследовании рассматриваются следующие группы проблем.

Первая группа проблем связана с исследованием концептуальных основ информационной безопасности предприятий.

Термин линформационная безопасность можно рассматривать как в широком, так и в узком смысле. Широкое понятие интерпретируется неоднозначно. Так, например, официальные документы определяют ее как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств. Автор полагает, что эта формулировка не совсем точно отражает сущность понятия линформационная безопасность, и поэтому предлагает ее уточнить. В диссертации информационная безопасность в качестве объекта исследования рассматривается как состояние информационной системы, в котором она может противостоять воздействию внутренних и внешних угроз, не инициируя их возникновение для элементов системы и внешней среды. Из этого определения следует, что основой обеспечения информационной безопасности является решение трех взаимоувязанных проблем: защиты информации, находящейся в системе, от влияния внутренних и внешних угроз; защиты информации от информационных угроз; проблема защиты внешней среды от угроз со стороны находящейся в системе информации.

В работе отмечено, что защита от информационных угроз требует скорее не технических решений, а, в значительной степени, решений организационного, правового характера, а также разработки научно обоснованных методологических подходов к управлению информационной безопасностью. При этом актуальность проблем информационной безопасности возрастает с формированием информационно! о общества как общемировой формы хозяйственной организации, новой стадии общественной эволюции. Эта зависимость обусловлена переходом угроз информационной безопасности и информационных рисков на более высокий, глобальный уровень, соответствующий основным чертам информационного общества. Термин линформационное общество и его концепция, появившиеся в начале 60-х гг. прошлого века, почти одновременно в США и Японии в работах Ф. Махлупа и Т. Умесао, трансформировались в 70-80-е гг. в новые, но близкие по значению определения современного общества - лобщество знаний (лknowledge society) или лобщество, основанное на знаниях (лknowledge-based society).

Экономико-технологические проявления информационного общества выражаются, во-первых, в беспрецедентном по масштабам и темпам развития рынка информационных услуг и стремительном росте спроса на продукцию данной отрасли; во-вторых, в активной переориентации многих национальных экономик на использование инновационных информационных продуктов; в-третьих, во всеобщем охвате и обеспечении максимальной доступности информационных продуктов, ресурсов, услуг.

В работе обосновано положение о том, что информация отличается многообразием форм и видов, которые систематизированы по предложенным пяти критериям (рис. 1). Эта классификация лежит в основе оценки и планирования информационных рис-

Рис. 1 Классификация видов информации

Исследуя основные характеристики информации (доступность, целостность, конфиденциальность и достоверность), автор уделил особое внимание рассмотрению конфиденциальности, нарушение которой есть главный источник возникновения угроз информационной безопасности. В связи с этим, определены основные причины утраты конфиденциальности информации (рис. 2).

Конфиденциальная информация

РАЗГЛАШЕНИЕ

Несанкционированный доступ

Г Способы р

Способы утечки

предоставление

Способы проникновения

материально-вещественные

в изуаль но-опгичес кн е

электромагнитные

сотрудничество

выведывание

Рис. 2 Причины потери конфиденциальности информации

Условиями, способствующими неправомерному завладению конфиденциальной информацией, принято считать: подкуп, ботливость сотрудников, отсутствие контроля, отсутствие трудовой дисциплины, плохую работу кадровых служб при найме работников, психологическую несовместимость, низкую заработную плату и т.п. (рис. 3).

использование о конфликты в

информационных колективе ботливость

систем \ 8% г сотрудников

10% \ / / 32%

обмен опытом -Г^^^^ЯЯ ^^^Нб

12% "ПБ^н^НР

не выпонение / \ в подкуп

требований ИБ^ V сотрудников

14% 24%

Рис. 3 Условия, способствующие потере конфиденциальности информации'

1 \vww.cnews ги

Исследование состояния информационной безопасности российских предприятий позволило установить следующие ключевые причины недостаточности ее уровня:

нормативно-правовая база обеспечения информационной безопасности не охватывает всего круга проблем в этой области, а по отдельным вопросам носит противоречивый характер;

ограничено финансирование работ по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти. Соответственно не обеспечивается в необходимых объемах производство сертифицированных средств защиты информации, включая отечественные защищенные операционные системы и прикладные программные средства;

недостаточна проработка межуровневых проблем информационной безопасности, отсутствует необходимая координация деятельности федеральных и региональных органов государственной власти, государственных и негосударственных организаций в этой области;

остро ощущается нехватка грамотных обученных специалистов в данной сфере.

Исследование теоретических аспектов обеспечения информационной безопасности предприятия включает рассмотрение угроз как основополагающего понятия, практическая реализация которых будет изучена в последующих главах диссертации. Вероятность угроз возрастает с развитием и усложнением информационных ресурсов и информационных систем. Результатом этих угроз могут быть утечка информации, разглашение, искажение (модификация), уничтожение и т.д. На основе имеющейся статистики можно составить следующую типовую структуру угроз информационной безопасности предприятия: внешние угрозы - 17%, угрозы со стороны случайных лиц -1%, внутренние угрозы (от персонала компаний) - 82%. Учитывая решающее значение внутренних угроз информационной безопасности для российских предприятий и основываясь на анализе динамики их структуры за 2002-2003 гг., автор выявил следующие тенденции:

1) по-прежнему самый высокий вес занимают установки и использование нерег-ламентированного программного обеспечения;

2) существенно возросло количество случаев использования сотрудниками оборудования и информационных ресурсов в личных целях;

3) увеличилась доля таких нарушений как хищение, раскрытие, повреждение информации;

4) на 7% снизилось число инцидентов, связанных с установкой и использованием нерегламентированного оборудования вследствие ужесточения контроля со стороны администрации.

По результатам анализа практики обеспечения информационной безопасности и источников угроз в работе сделан вывод о том, что для их решения необходимы:

категорирование информации на служебную или коммерческую тайну;

прогнозирование и своевременное выявление угроз безопаспости, причин и условий, способствующих нанесению финансового, материального и морального ущерба;

создание условий деятельности с наименьшим риском реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

создание механизма и условий для эффективного реагирования на угрозы информационной безопасности на основе использования правовых, организационных и технических средств.

Вторая группа проблем посвящена разработке методологии создания системы информационной безопасности предприятия.

В диссертации разработана Концепция информационной безопасности предприятия (рис. 4), которая включает систематизированное изложение целей, задач, принципов формирования и внедрения комплекса мер по обеспечению информационной безо-

Рис. 4 Концепция ИБ предприятия

Концепция служит основой для создания политики обеспечения ИБ на предприятии; координации деятельности структурных подразделений компании по обеспечению ИБ; принятия решений и проведения мероприятий, направленных на предотвращение, выявление и устранение последствий различных угроз ИБ; поиска новых решений, направленных на совершенствование обеспечения ИБ.

Концепция базируется на возможности использования предприятием современных информационных систем: системы различных технических средств обработки и передачи информации; единые базы данных для информации различного назначения и уровня конфиденциальности; системы доступа к информационным ресурсам пользователей разных категорий и обслуживающего персонала; каналы взаимодействия с глобальной сетью. Основу концепции составляют ключевые положения теории рисков, в частности, принцип ALARA (as low as reasonable), предполагающий, что деятельность по снижению уровня рисков дожна согласовываться с разумными реальными возможностями предприятия.

Автор пришел к выводу о том, что инструментами реализации концепции являются: категорирование информационных ресурсов предприятия; регламентация действий сотрудников; подготовка лиц, ответственных за обеспечение и соблюдение ИБ; строгое выпонение и знание сотрудниками свода правил и требований по обеспечению ИБ; использование программно-технических средств защиты информации; правовая и физическая защита; постоянный контроль и анализ эффективности, необходимости используемой системы защиты и принимаемых мер.

В контексте разработки и реализации методов обеспечения информационной безопасности предприятия в диссертации предложена процедура оценки информационных рисков предприятия, включающая определение состава информационных ресурсов, их ценности, уязвимостей, оценку ожидаемых потерь от реализации угроз (рис. 5).

В диссертации в соответствии с разработанной процедурой осуществлены следующие этапы исследования.

1. Проведены инвентаризация и категорирование информационных ресурсов предприятия IR (Information Resources) на основе анкетирования специалистов и руководителей (анкеты разработаны автором).

2. Определены четыре уровня конфиденциальности, целостности и доступности информации и проставлены бальные оценки информационных ресурсов.

-133. Составлена матрица бальной оценки ценности информационных ресурсов AV (Asset Value).

Рис. 5 Процедура оценки информационных рисков

4. Составлен перечень наиболее значимых для предприятия информационных ресурсов: IR1 - техническая информация, IR2 - информация о клиентах и поставщиках. IR3 - информация о новых проектах, бизнес-планах, ноу-хау.

5. Разработка модель возможных нарушителей с учетом заинтересованных категорий лиц, их мотивацией, квалификацией и возможностями. Составлены наиболее вероятные модели нарушителей.

6. Определены основные пути реализации угроз ИБ на предприятии (табл. 1).

7. Проведены идентификация угроз Т по наиболее значимым информационным ресурсам, сопоставление с возможными моделями нарушителей.

8. Присвоены бальные оценки ценности ресурса AV и уязвимости ресурса EF (Exposure Factor) к угрозе на основании консультаций и собеседований с руководителями и ведущими специалистами ряда коммерческих предприятий, имеющих полный цикл от создания до реализации продукции: маркетинг - идея - НИОКР - производство - продажа. Аналогичным образом осуществлена оценка вероятности ARO (Annual Rate of Occurrence) реализации угроз.

Идентификация угроз информационным ресурсам

№ п/п Угроза Код угрозы

1 Заражение компьютера вирусами Т1

2 Внедрение вредоносных программ (программных закладок, троянских коней и т.п.) для скрытого несанкционированного доступа к информационным ресурсам Т2

3 Ошибки ввода информации тз

4 Несанкционированное изменение информации Т4

5 Порча или разрушение элементов информационной системы Т5

6 Уничтожение информационных ресурсов Т6

7 Утеря различных носителей информации с конфиденциальными данными Т7

8 Кража носителей информации Т8

9 Несанкционированное копирование, чтение информации Т9

9. Рассчитаны итоговые ожидаемые потери от конкретной угрозы за определенный период, т.е. уровень риска для конкретного информационного ресурса. Для этого исчислено произведение бальных оценок стоимости информационного ресурса на уязвимость ресурса угрозам и на вероятность реализации этих угроз:

ALE = AV х EF х ARO , где (1)

ALE (Annual Loss Exposure) - итоговые ожидаемые потери от конкретной угрозы за определенный период времени;

AV (Asset Value) - бальные оценки стоимости информационного ресурса;

EF (Exposure Factor) - бальные оценки уязвимости информационного ресурса;

ARO (Annual Rate of Occurrence) - вероятность реализации угрозы.

10. Расчеты информационных рисков произведены в среде СУБД MS Access 2002. Расчеты показали, что максимальные и наиболее вероятные угрозы в виде несанкционированного копирования, чтения информации характерны для всех трех основных информационных ресурсов исследуемого предприятия - техническая информация (ресурс IR1), информация о клиентах и поставщиках (ресурс IR2), информация о новых проектах, бизнес-планах, НОУ-ХАУ (ресурс IR3). Идентичной для этих трех информационных ресурсов оказалась построенная модель нарушителя - конкуренты через нелояльных сотрудников (II х Е2). Результаты расчёта исходных рисков (табл. 2) обусловливают необходимость разработки плана мероприятий по снижению информационных рисков по основным информационным ресурсам IR1,1R2, IR3.

Оценка рисков причинения ущерба информационным ресурсам 1Я1-1ЯЗ от различных нарушителей

№ п/п Код 114 м Механизм реализации Угроза Модель нарушителя & АЯО А1С

1 1К1 6 сотрудники компании Т1 11 3 3 54

2 1Я1 6 конкуренты через сотрудников Т1 11 хЕ2 9 2 108

3 Ш 6 конкуренты через хакеров Т1 Е2хЕ4 9 1 54

4 1К1 6 конкуренты через сотрудников 12 11 хЕ2 9 2 108

5 ш 6 конкуренты через хакеров Т2 Е2хЕ4 9 1 54

6 №1 6 сотрудники компании ТЗ 11 3 3 54

7 ш 6 конкуренты через сотрудников Т4 11 хЕ2 9 1 54

в 1Я1 6 конкуренты через хакеров Т4 Е2хЕ4 9 1 54

9 №1 б сотрудники компании Т5 11 3 2 36

10 Ш.1 6 конкуренты через сотрудников Т5 11 хЬ2 6 2 72

11 пи 6 конкуренты через преступников Т5 Е2хЕЗ 9 1 54

12 1Я1 6 сотрудники компании Т6 11 3 3 54

13 ш 6 конкуренты через сотрудников Т6 11 хЕ2 9 2 108

14 1Я1 6 конкуренты через хакеров Т6 Е2хЕ4 9 1 54

15 1Я1 6 сотрудники компании Т7 11 3 3 54

16 1Я1 6 конкуренты через преступников Т8 Е2хЕЗ 9 1 54

17 1Я1 6 сотрудники компании Т9 II 3 3 54

18 1Я1 6 конкуренты через сотрудников Т9 11 х Е2 9 3 162

19 1Я1 6 конкуренты через хакеров Т9 Е2 х Е4 9 1 54

20 1Я2 7 сотрудники компании Т1 11 3 3 63

21 1Я2 7 конкуренты через сотрудников Т1 11 хЕ2 9 1 63

22 1Я2 7 конкуренты через хакеров Т1 Е2хЕ4 9 1 63

23 1Я2 7 конкуренты через сотрудников Т2 И хЬ2 9 2 126

24 Ш 7 конкуренты через хакеров Т2 Е2хЕ4 9 1 63

25 1Я2 7 сотрудники компании ТЗ И 3 3 63

26 1Я2 7 конкуренты через сотрудников Т4 11 хЕ2 9 1 63

27 1Я2 7 конкуренты через хакеров Т4 Е2хЕ4 9 1 63

28 Ш 7 сотрудники компании Т5 11 3 2 42

29 1Я2 7 конкуренты через сотрудников Т5 11хЕ2 6 2 84

30 Ш 7 конкуренты через преступников Т5 Е2 х ЕЗ 9 1 63

31 1Я2 7 сотрудники компании Т6 11 3 3 63

32 1Я2 7 конкуренты через сотрудников Т6 11 х Е2 9 2 126

33 Ш 7 конкуренты через хакеров Т6 Е2хЕ4 9 1 63

34 1Я2 7 сотрудники компании Т7 II 3 3 63

35 1Я2 7 конкуренты через преступников Т8 Е2хЕЗ 9 1 63

36 1Я2 7 сотрудники компании Т9 11 3 3 63

37 да 7 конкуренты через сотрудников Т9 11 хЕ2 9 3 189

38 1Я2 7 конкуренты через хакеров Т9 Е2 х Е4 9 1 63

39 1ЯЗ 9 сотрудники компании Т1 11 3 2 54

40 ни 9 конкуренты через сотрудников Т1 11 хЕ2 9 2 162

41 пи 9 конкуренты через хакеров Т1 Е2хЕ4 9 2 162

42 1ЯЗ 9 конкуренты через сотрудников Т2 11 хЕ2 9 2 162

43 пи 9 конкуренты через хакеров Т2 Е2 х Е4 9 1 81

44 1ЯЗ 9 сотрудники компании ТЗ 11 3 3 81

45 пи 9 конкуренты через сотрудников Т4 11 хЕ2 9 1 81

46 пи 9 конкуренты через хакеров Т4 Е2хЕ4 9 1 81

47 1ЯЗ 9 сотрудники компании Т5 II 3 2 54

48 1ЯЗ 9 конкуренты через сотрудников Т5 11 х Е2 6 2 108

49 1ЯЗ 9 конкуренты через преступников Т5 Е2хЕЗ 9 1 81

50 тз 9 сотрудники компании Т6 II 3 3 81

51 1ЯЗ 9 конкуренты через сотрудников Т6 11 хЕ2 9 2 162

52 пи 9 конкуренты через хакеров Т6 Ь2 х Е4 9 1 81

53 1ЯЗ 9 сотрудники компании Т7 11 3 3 81

54 тз 9 конкуренты через преступников Т8 Е2 х ЕЗ 9 1 81

55 пи 9 сотрудники компании 'Г9 11 3 3 81

56 ли Р конкуренты через сотрудников Т9 11 хЕ2 9 3 243

С целью минимизации возможности нарушения информационной безопасности в диссертации разработан план мероприятий по снижению информационных рисков (комплекс контрмер по нейтрализации угроз) (рис. 6). Он включает меры правового, организационного характера и программно-технические средства защиты, направленные на предотвращение различных типов угроз.

создает

^ НАРУШИТЕЛЬ^

Рис 6 Схема формирования плана мероприятий по снижению информационных рисков

На основе результатов обследования предприятий в диссертации был сделан аргументированный выбор контрмер из представленного множества, реализация которых позволит обеспечить снижение уровня затрат на поддержание достаточной защищенности информационных ресурсов. Большинство из них относится к инженерно-техническому обеспечению ИБ: использование антивирусного ПО с обновлением, внедрение идентификации, введение пароля, внедрение разграничения доступа, использование шифрования конфиденциальной информации, использование межсетевого экранирования, средств бесперебойного питания. Часть мероприятий связана с организацией ИБ: подбор кадров, работа с кадрами, регламентация допуска к работам, организация хранения и использования носителей с конфиденциальной информацией. Всего два мероприятия носят правовой характер: патентование и использование лицензионного программного обеспечения.

Результаты расчетов показали, что уровень рисков, остающихся после внедрения мероприятий, не превышает фонового уровня. В табл. 3 показана последовательность снижения самых высоких исходных рисков.

Планирование остаточных рисков

№ Код IR Угроза Модель нарушителя Комплекс контрмер Исходный риск Остаточный риск Снижение риска, %

AV EF ARO ALE AVn EFn AROn ALEn

56 тз Т9 11 хЕ2 S18 9 9 3 243 9 3 3 81 67

37 IR2 Т9 11 хЕ2 S18 7 9 3 189 7 3 3 63 67

51 1R3 Тб II хЕ2 S13 9 9 2 162 9 6 2 108 33

18 IR1 Т9 И хЕ2 S23 6 9 3 162 4 6 3 72 56

40 IR3 Т1 11 хЕ2 S2 9 9 2 162 9 3 2 54 67

41 IR3 Т1 Е2хЕ4 S3 9 9 2 162 9 б 2 108 33

42 1R3 Т2 II хЕ2 S4 9 9 2 162 9 б 2 108 33

32 m Тб 11 хЕ2 SI3 7 9 2 126 7 6 2 84 33

23 т IR2 Т2 11 хЕ2 S4 7 9 2 126 7 6 2 84 33

1 W | В I В 4 6 2 48 56

1 V I В 1 в 4 3 2 24 78

1 1 a 1 1 1 в 4 6 2 48 56

48 1R3 Т5 11 хЕ2 S10 9 6 2 108 9 3 2 54 50

29 IR2 Т5 11 хЕ2 S10 7 6 2 84 7 3 2 42 50

50 IR3 Тб И S12 9 3 3 81 9 1 3 27 67

54 1R3 Т8 Е2 х ЕЗ S16 9 9 1 81 9 6 1 54 33

55 IR3 Т9 11 S17 9 3 3 81 9 2 3 54 33

53 IR3 Т7 И S15 9 3 3 81 9 1 3 27 67

43 IR3 Т2 Е2 х Е4 S5 9 9 1 81 9 6 1 54 33

44 IR3 ТЗ 11 S6 9 3 3 81 9 2 3 54 33

46 IR3 Т4 Е2 х Е4 S8 9 9 1 81 9 6 1 54 33

57 IR3 Т9 Е2 х Е4 S19 9 9 1 81 9 б 1 54 33

52 IR3 Тб Е2 х Е4 S14 9 9 1 81 9 6 1 54 33

49 IR3 Т5 Е2 х ЕЗ SI 1 9 9 1 81 9 4 1 36 56

45 IR3 Т4 11 х Е2 S7 9 9 l 81 9 6 1 54 33

10 IR1 Т5 11 хЕ2 S10 б 6 2 72 4 3 2 24 67

34 IR2 Т7 И S15 7 3 3 63 7 1 3 21 67

Третья группа проблем посвящена экономическому обоснованию затрат предприятия на информационную безопасность, определению их экономического эффекта и составлению бюджета информационной безопасности предприятия.

Решение этих задач предопределило необходимость установить экономическую природу расходов предприятия на ИБ, т.е. определить, инвестиции это или затраты. В широком смысле термин линвестировать означает: расстаться с деньгами сегодня, чтобы получить большую их сумму в будущем. Исследовав взгляды разных авторов на экономическую сущность инвестиций, автор сформулировал собственное мнение: инвестициями являются любые вложения средств, приносящие доход на вложенный капитал и (или) социальный эффекг. Осуществляемые предприятием расходы на разработку проектов защиты информации, закупку необходимых элементов безопасности и эксплуатацию систем защиты для владельца информации позволяют уберечься от еще больших потерь, вызванных нарушениями конфиденциальности.

Эффективное экономическое решение предприятия в части финансирования информационной безопасности сводится к расчету объема затрат на ИБ, которые дожны обеспечить уменьшение финансовых потерь в случае реализации угроз.

В диссертации разработан комбинированный метод составления бюджета расходов на ИБ, который предполагает применение бенчмарков для постатейной разбивки бюджета на: расходы на программное обеспечение; расходы на оборудование (аппаратное обеспечение); операционные расходы; административные расходы; расходы на покрытие убытков от простоев (рис. 7).

Автор предложил показатели, позволяющие оценить экономическую эффективность затрат на ИБ. Рекомендуется экономический эффект от реализации мероприятий по повышению уровня ИБ (в годовом исчислении) определять из выражения:

Эффект = Экономия - Расходы на ИБ , (2)

где Расходы на ИБ - это годовой бюджет ИБ, тыс. руб.;

Экономия - это снижение экономического ущерба, которое возможно за счет уменьшения суммарных остаточных рисков:

Экономия = У х (1 - -) ^ (3)

где и А1Еп - суммарные исходные и остаточные риски от угроз;

У - ущерб от реализации угроз, тыс. руб.

Наибольшую сложность представляет оценка величины возможного ущерба, который предложено определять с помощью статистического, экспертного или расчет-но-аналитического методов.

К примеру, проведенный анализ убытков фирмы Доркомтехника за три последних года от фактических нарушений ИБ на основе использования статистического метода выявил реальный ежегодный ущерб У 1,0 мн. руб. Существенная доля его связана с кадровыми ошибками, отсутствием постоянного действенного контроля за персоналом, недостатками в области мотивации персонала, т.е. неэффективным менеджментом.

Используя формулу (2), критерий целесообразности расходования денежных средств на ИБ, можно представить в виде следующего неравенства:

Риск. , ,

У х (1--Ч) - Расходы на ИБ>0 . (4)

Проведенное исследование позволило разработать блок-схему агоритма расчета экономической эффективности и формирования бюджета расходов (рис. 7). Агоритм включает шесть основных этапов.

Этап 1. Определение затрат на ИБ путем бенчмаркинга (косвенное калькулирование')

1. Исходными данными для расчета принимаются прогнозное значение объёма реализации (ОР) предприятия в расчётном году, а также бенчмарки, известные для похожих по виду бизнеса предприятий, показывающие процент ИТ-бюджета от объёма реализации - БМ^, долю расходов на ИБ в ИТ-бюджете - БМДб и бенчмарки постатейного распределения ИБ-бюджета БМДт1... БМэт5.

1.1. Вычисление объема ИТ-бюджета 3,Д в размере от 0,5 до 2% от объема реализации (годового оборота) в расчетном году.

1.2. Вычисление ИБ-бюджета Зи6 в размере от 7,5 до 21 % от ИТ-бюджета.

1.3. Постатейная разбивка ИБ-бюджета на: 3Дв1 - расходы на ПО, Зи62 - расходы на оборудование (аппаратное обеспечение), Зи63 - операционные расходы, Зи64 - административные расходы, 3Дб5 - расходы на простои.

1.4. Суммирование постатейных расходов.

' 1 Прогнозирование объбма реализации в расчетном гаду, ОР, ИТ-бенммарюв БМт - 0.5 2,0%. ИБ-бенчмарное БМиб = 7,5 21%, бенчмаркоа статей бюджета ИБ БМст1, БМст2 БМсг5

11 Зит = ОР * ВМат

1 2 Зиб з Зит * ВМиб

1 3 Разбивка Зиб по бюджетным статьям Зиб1=Зи6*БМст1 итд

I 1 4 3бм=3*б1 +3иб2+ +3иб5

4 Планирование контрмер Э угрозам Т уУ

Рис 7 Блок-схема агоритма расчета экономической эффективности и формирования бюджета ИБ

Этап 2. Расчет исходных рисков

2. Анализ имеющихся на предприятии информационных ресурсов IR, их инвентаризация и категорирование, а также изучение угроз Т этим ресурсам и оценка механизма их реализации.

2.1. Бальная оценка ценности информационных ресурсов AV, их уязвимости EF и вероятности угроз ARO .

2.2. - 2.3. Расчет суммарных исходных рисков Рисх осуществляется путем суммирования единичных рисков ALE, рассчитанных для различных случаев угроз Т информационным ресурсам IR со стороны внутренних I и внешних Е нарушителей, а также их комбинаций I х R.

Этап 3. Определение исходного ущерба

3. Статистический анализ нарушений на предприятии за последние несколько лет с их финансовой оценкой.

3.1. Определение величины реальных экономических потерь (ущерба Уисх), соответствующих суммарной бальной оценке Рисх.

Этап 4. Расчёт остаточных рисков

4. Планирование контрмер S угрозам Т на основе анализа исходных рисков. При этом каждая контрмера содержит оригинальный состав мероприятий, из части которых на данном этапе формируется план мероприятий по ИБ.

4.1. Вычисление суммарных фоновых рисков РфоД (производится по аналогии с исходными рисками после формирования комплексов контрмер S).

4.2. Формирование плана мероприятий по обеспечению ИБ осуществляется на основе принятых контрмер S .

Этап 5. Прямое калькулирование затрат по статьям ИБ-бюджета

5. Исходными данными для финансовой оценки мероприятий по ИБ служат рыночные цены на программное обеспечение, компьютеры и их комплектующие, периферийные устройства, услуги по техническому сопровождению программно-аппаратных комплексов, услуги агентств по подбору кадров, текущий уровень расценок на лицензирование, патентование и т.д.

5.1. - 5.3. Каждому пункту принятого плана мероприятий дается финансовая оценка, осуществляется постатейное калькулирование и сравнение с аналогичными суммами, рассчитанными на 1-м этапе. Если фактическое калькулирование дает ре-

зультаты, которые не превышают по статьям итогов проведенного бюджетного планирования в процессе бенчмаркинга, то исчисленное значение затрат па ИБ принимается. Если нет, то следует пошагово пересмотреть в сторону увеличения приведённые на этапе 1 бенчмарки, либо вернуться на этап 4 и пересмотреть в сторону увеличения остаточные риски, откорректировав соответствующим образом перечень мероприятий по ИБ. Причём к этапу 4 следует переходить в первую очередь, что на блок-схеме показано стрекой нет 1, а затем обращаться к этапу 1 - стрека нет 2. И так до тех пор, пока фактические калькуляционные данные не удовлетворят условия, указанные в п. 5.3 схемы на рис. 7.

Этап 6. Расчёт экономической эффективности и принятие бюджета ИБ

6.1. Расчёт затрат на ИБ как суммы статей бюджета ИБ.

6.2. Расчёт экономического эффекта Э по формуле:

6.3. Если Э > 0 , то ИБ бюджет является экономически обоснованным и может быть утвержден руководством предприятия. Если Э < 0 , то продожаем итерации, возвращаясь последовательно к 4-му и 1-му этапам до выпонения критерия целесообразности Э > О В случае необходимости можно вернуться к пересмотру анализа ущерба на 3-ий этап (показано пунктирной стрекой на блок-схеме).

6.4. Утверждение плана мероприятий по обеспечению ИБ в расчётном году.

6.5. Принятие руководством предприятия годового бюджета ИБ (как правило, для малых предприятий либо в составе общего бюджета, либо в составе бюджета информационных технологий) по согласованию с акционерами или учредителями.

В заключении систематизированы основные результаты исследования и сформулированы вытекающие из них выводы.

Основные положения диссертации опубликованы в следующих научных работах.

1. Саввин А.С. Проблемы обеспечения информационной безопасности страны.// Пятнадцатые Международные Плехановские чтения. М.: Изд-во Рос. экон. акад., 2002. 0,1 п.л.

2. Саввин А.С Некоторые аспекты интернет-экономики.//Тезисы докладов VI межрегиональной научной конференции Молодежь и экономика, том II, 17-18 апреля 2002 г. Ярославль: ЯФВФЭУ, 2002. 0,1 п.л. 0,2 пл.

-233- Саввин A.C. Информационная безопасность в финансовой сфере//Материалы ХГ научно-практической конференции ИнЭП. Краснодар, Институт экономики, права и естественных специальностей, 2003.0,3 п.л.

4. Саввин A.C. "Новая экономика" в России.// Экономика и технология: Межвузовский сборник научных трудов. Вып. 14. М.: Изд-во Рос. экон. акад., 2002. 0,3 п.л.

5. Саввин A.C. Возрастающая роль электронных информационных технологий в развитии финансовых рынков.//Современные аспекты экономики, 2002, 11(24). 0,4 п.л.

6. Саввин A.C. Обзор рынка информационных технологий .//Тезисы докладов международной научной конференции аспирантов и соискателей Свет науки молодой. Ярославль, Ярославский государственный университет им. П.Г. Демидова. 2004. 0,3 п.л.

7. Саввин A.C. Концепция информационной безопасности предприятия.// Современные аспекты экономики, 2005, №12 (79). 0,5 п.л.

8. Саввин A.C. Методика оценки и планирования информационных рисков предприятия.// Тезисы докладов VI международной научно-практической конференции Инновационное развитие экономики: теория и практика Ярославль, Ярославский государственный университет им. П.Г. Демидова, 2005. 0,3 п.л.

Отпечатано в типографии Российской экономической академии им. Г.В. Плеханова Заказ № 161 Тираж 100 экз.

i i i I

РНБ Русский фонд

2006-4 28719

Диссертация: содержание автор диссертационного исследования: кандидат экономических наук , Саввин, Андрей Сергеевич

Введение.

ГЛАВА 1. КОНЦЕПТУАЛЬНЫЕ ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

1.1. Теоретическое обоснование информационной безопасности в эпоху информационного общества.

1.2. Задачи и уровни обеспечения информационной безопасности.

1.3. Угрозы информационной безопасности.

ГЛАВА 2. РАЗРАБОТКА МЕТОДИЧЕСКИХ ОСНОВ СИСТЕМЫ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ.

2.1. Концепция информационной безопасности предприятия.

2.2. Оценка и планирование информационных рисков предприятия.

Х 2.3. Формирование плана мероприятий по снижению информационных рисков.

ГЛАВА 3. ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ЗАТРАТ НА

ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ.

3.1. Методические подходы к оценке затрат на информационную безопасность и определению их эффективности.

3.2. Расчет затрат на информационную безопасность и оценка их эффективности.

Диссертация: введение по экономике, на тему "Методы обеспечения информационной безопасности предприятия"

Актуальность темы диссертации определяется обострением проблем информационной безопасности (ИБ) даже в условиях интенсивного совершенствования технологий и инструментов защиты данных. Об этом свидетельствует беспрецедентный рост нарушений информационной безопасности и усиливающаяся тяжесть их последствий. Общее число нарушений в мире ежегодно увеличивается более чем на 100%. В России, по статистике правоохранительных органов, число выявленных преступлений только в сфере компьютерной информации возрастает ежегодно в среднем в 3-4 раза. Статистика свидетельствует также, что если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится.1 93% компаний, лишившихся доступа к собственной информации на срок более 10 дней, покидают бизнес, причем половина из них заявляет о своей несостоятельности немедленно.2

Перечень угроз информационной безопасности, нарушений, преступлений настолько обширный, что требует научной систематизации и специального изучения с целью оценки связанных с ними рисков и разработки мероприятий по их предупреждению.

Исследования свидетельствуют о том, что основной причиной проблем предприятий в области защиты информации является отсутствие продуманной и утвержденной политики обеспечения информационной безопасности, базирующейся на организационных, технических, экономических решениях с последующим контролем их реализации и оценкой эффективности.

Все это предопределяет необходимость разработки научно обоснованных методов обеспечения информационной безопасности предприятий, учитывающих по

1 Баутов А. Эффективность защиты информации/Юткрытые системы, 2003, № 7-8.

2 Ездаков А., Макарова О. Как защитить информацию//Сети, 1997, № 8. зитивный практический опыт российских и зарубежных предприятий в этой области.

Степень разработанности проблемы. Проблемы информационной безопасности предприятий рассматривались в работах многих отечественных исследователей и специалистов: Лукацкого А.В., Баутова А., Симонова С., Кононова А., Ловцова Д., Васильева А., Волоткина А., Давлетханова М., Конева И., Беляева А., Манош-кина А., Мельникова В., Трайнева В., Петренко С., Садердинова А., Уфимцева Ю., Шпака В., а также иностранных авторов Р. Уитти, A.M. Уихайт, С. Норткатт, Ж. Брассар и др.

Вместе с тем проведенные исследования касаются лишь отдельных аспектов обеспечения информационной безопасности, в то время как комплексность этой проблемы предполагает разработку для ее решения более современных и адекватных методов. Все это и предопределило цели и задачи диссертации.

Цель диссертации состоит в разработке методов обеспечения информационной безопасности предприятия, позволяющих снизить его информационные риски.

Поставленная цель обусловила следующие задачи диссертации: разработать концепцию информационной безопасности предприятия; выявить перечень информационных ресурсов, нарушение целостности или конфиденциальности которых приведет к нанесению наибольшего ущерба предприятию; идентифицировать наиболее значимые модели нарушителей и угроз информационным ресурсам предприятий; систематизировать информационные риски, разработать методы оценки и подходы к управлению ими; разработать агоритм оценки остаточных информационных рисков на предприятии; разработать блок-схему агоритма оценки затрат на управление информационной безопасностью и расчета их экономической эффективности; оценить информационные риски малых предприятий, занимающихся НИ-ОКР в российских условиях.

Объектом исследования выступает система информационной безопасности предприятия.

Предметом исследования в диссертации являются инструментальные и экономические методы обеспечения информационной безопасности, направленные на снижение информационных рисков и оптимизацию затрат предприятия на защиту информации.

Методологической и теоретической основой диссертации явились труды отечественных и зарубежных специалистов в области экономической безопасности, инвестиций, бюджетирования, статистики, теории рисков, информатизации управленческих и экономических процессов. В ходе работы над диссертацией автор использовал информацию, отражающую содержание законов, законодательных актов и нормативных актов, постановлений Правительства РФ, регулирующих защиту информации, международные стандарты по информационной безопасности.

Теоретическая значимость диссертационного исследования состоит в развитии методологии разработки системы информационной безопасности на предприятиях, основанной на концепции риск-анализа.

Практическая значимость диссертации определяется тем, что ее научные результаты позволяют повысить степень защиты информации на предприятиях путем использования предложенных автором методов, агоритмов и практических процедур при формировании системы информационной безопасности, направленной на снижение информационных рисков.

Научная новизна диссертации заключается в разработке методов и средств обеспечения информационной безопасности предприятия, направленных на выявление и оценку угроз конфиденциальности информации, планирование и расчет информационных рисков, экономическое обоснование целесообразности затрат на информационную безопасность.

Наиболее существенные результаты, полученные автором, состоят в следующем: уточнено понятие информационной безопасности, составлена классификация видов информации по пяти критериям, которая выступает в качестве базы при оценке и планировании информационных рисков; предложена концепция информационной безопасности предприятия, состоящая из следующих элементов: объекты, цели и задачи защиты информации; источники угроз; принципы построения системы информационной безопасности; мероприятия по обеспечению информационной безопасности; политика информационной безопасности; разработан агоритм оценки информационных рисков, позволяющий определить состав информационных ресурсов предприятия, их ценность, уязвимость, оценить ожидаемые потери от реализации угроз; составлена матрица бальной оценки ценности информационного ресурса, в основе которой лежат четыре уровня конфиденциальности, целостности и доступности защищаемой информации; разработана матрица бальной оценки уязвимости информационного ресурса, инициируемой пятью источниками (сотрудниками, бывшими сотрудниками, конкурентами, преступниками, хакерами); предложена модель возможных внутренних и внешних нарушителей информационной безопасности предприятия с учетом их признаков: категории, мотивации, квалификации, возможностей; разработана процедура оценки информационных рисков в среде СУБД MS Access, включающая в себя следующие этапы: инвентаризация и категорирование информационных ресурсов предприятия; определение уровней конфиденциальности, целостности и доступности информации и расчет уровня риска для каждого информационного ресурса; предложен план мероприятий по снижению информационных рисков предприятия (инженерно-технических, организационных, правовых), включающий перечень контрмер нейтрализации угроз, реализация которых позволяет обеспечить оптимальный уровень затрат на информационную безопасность; разработаны рекомендации по расчету экономической эффективности затрат на информационную безопасность предприятия; составлена блок-схема агоритма расчета экономической эффективности и формирования бюджета расходов на информационную безопасность.

Апробация работы. Основные теоретические положения и результаты диссертации доложены, обсуждены и одобрены на заседаниях кафедры Информационных технологий РЭА им. Г.В. Плеханова, на международных научных конференциях Плехановские чтения (Москва, РЭА, 2002 г.), Молодежь и экономика (Ярославль (Военный финансово-экономический университет, 2002 г.), Свет науки молодой (Ярославский государственный университет, 2004 г.), Инновационное развитие экономики: теория и практика (Ярославский государственный университет, 2005 г.). Основные результаты исследования успешно применяются в практической деятельности ОАО Московское монтажное управление специализированное, ЗАО Доркомтехника.

Публикации. Основные положения диссертации отражены в 8 опубликованных работах общим объемом 2,4 п.л.

Логика и структура исследования. Логика исследования определяет структуру работы, которая состоит из введения, трех глав, заключения, списка литературы и 10 приложений. Диссертация содержит 152 страницы текста, 12 таблиц и 25 рисунков. Список использованной литературы включает 109 наименований.

Диссертация: заключение по теме "Математические и инструментальные методы экономики", Саввин, Андрей Сергеевич

ЗАКЛЮЧЕНИЕ

Проведенное исследование позволило сделать следующие выводы и сформулировать рекомендации.

1. Показано, что экономико-технологические проявления информационного общества выражаются, во-первых, в беспрецедентном по масштабам и темпам развитии рынка информационных услуг и стремительном росте спроса на продукцию данной отрасли; во-вторых, в активной переориентации национальных экономик и бизнес-структур на использование инновационных информационных продуктов; в-третьих, во всеобщем охвате и обеспечении максимальной доступности информационных продуктов, ресурсов, услуг.

2. Установлено, что основной причиной проблем предприятий в области защиты информации является отсутствие продуманной утвержденной политики обеспечения информационной безопасности, которая включала бы организационные, технические, финансовые решения с последующим контролем их реализации и оценкой эффективности.

3. Предложена уточненная формулировка понятия информационной безопасности, в поной мере отражающая интересы предприятий. Информационная безопасность представляет собой состояние информационной системы, в котором она может противостоять воздействию внутренних и внешних угроз, не инициируя их возникновение для элементов системы и внешней среды. Из этого определения следует, что основой обеспечения информационной безопасности является решение трех взаимоувязанных проблем: защиты информации, находящейся в системе, от влияния внутренних и внешних угроз; защиты информации от информационных угроз; проблема защиты внешней среды от угроз со стороны находящейся в системе информации.

4. Обобщены типологии информации и предложена классификация видов информации по следующим критериям: форма собственности, способ доступа, сфера применения, способ организации хранения и использования, вид носителя.

5. Выявлены три главные причины, приводящие к утрате конфиденциальности информации - разглашение, утечка, несанкционированный доступ, каждая из которых имеет специфические способы реализации.

6. Сформулировано определение политики информационной безопасности предприятия как совокупности документированных управленческих решений, целью которых является обеспечение защиты информации и связанных с ней ресурсов.

7. Выявлены следующие ключевые причины недостаточного развития системы информационной безопасности в РФ: нормативно-правовая база обеспечения информационной безопасности не охватывает всего круга проблем в этой области, а по отдельным вопросам носит противоречивый характер; ограничено финансирование работ по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти. Соответственно не обеспечивается в необходимых объемах производство сертифицированных средств защиты информации, включая отечественные защищенные операционные системы и прикладные программные средства; недостаточна проработка региональных проблем информационной безопасности, отсутствует необходимая координация деятельности федеральных и региональных органов государственной власти, государственных и негосударственных организаций в этой области; остро ощущается нехватка грамотных обученных специалистов в данной области.

8. На основе классификации угроз информационной безопасности по четырем критериям (источник угроз, характер нанесенного ущерба, вероятность появления, причины возникновения) и анализа статистики составлена следующая типовая структура угроз информационной безопасности предприятия: внешние угрозы -17%, угрозы со стороны случайных лиц - 1%, внутренние угрозы (от персонала компаний) - 82%.

9. Анализ динамики структуры внутренних угроз ИБ российских предприятий за 2002-2003 гг. позволил выявить следующие тенденции:

1) по-прежнему самый высокий вес занимают установка и использование нерегламентированного ПО;

2) существенно возросла доля случаев использования сотрудниками оборудования и информационных ресурсов в личных целях;

3) увеличилась доля таких нарушений как хищение, раскрытие, повреждение информации;

4) На 7% снизилось число инцидентов, связанных с установкой и использованием нерегламентированного оборудования вследствие ужесточения контроля со стороны администрации.

10. Обобщение международной и российской практики в области управления информационной безопасностью предприятий позволило заключить, что для ее обеспечения необходимы: категорирование информации на служебную или коммерческую тайну; прогнозирование и своевременное выявление угроз безопасности, причин и условий, способствующих нанесению финансового, материального и морального ущерба; создание условий деятельности с наименьшим риском реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба; создание механизма и условий для эффективного реагирования на угрозы информационной безопасности на основе правовых, организационных и технических средств.

11. Предложена Концепция информационной безопасности предприятия, которая представляет собой системный подход к проблеме обеспечения безопасности информационных ресурсов, включает систематизированное изложение целей, задач, принципов проектирования и внедрения комплекса мер по обеспечению ИБ на предприятии.

12. Предложена процедура оценки информационных рисков предприятия, предназначенная для исследования состава информационных ресурсов, функционирующих в автоматизированной системе предприятия, определения их ценности, уязвимостей, оценке ожидаемых потерь. Данная процедура является основой для формирования комплекса мер по противодействию возможным угрозам информационным ресурсам.

13. Проведены инвентаризация и категорирование информационных ресурсов предприятия IR на основе анкетирования специалистов и руководителей (анкеты разработаны автором).

14. Определены четыре уровня конфиденциальности, целостности и доступности информации и проставлены бальные оценки информационных ресурсов.

15. Составлена матрица бальной оценки ценности информационных ресурсов

16. Составлен перечень наиболее значимых для предприятия информационных ресурсов, среди которых выделяются: IR1 - техническая информация, IR2 -информация о клиентах и поставщиках, IR3 - информация о новых проектах, бизнес-планах, ноу-хау.

17. Сформирована модель возможных нарушителей с учетом заинтересованных категорий лиц, их мотивацией, квалификацией и возможностями. Составлены наиболее вероятные модели нарушителей.

18. Определены основные пути реализации угроз ИБ на предприятии.

19. Проведены идентификация угроз Т по наиболее значимым информационных ресурсам, сопоставление с возможными моделями нарушителей.

20. Присвоены бальные оценки ценности информационного ресурса и уязвимости ресурса к угрозе на основании консультаций и собеседований с руководителями и ведущими специалистами ряда коммерческих предприятий, имеющих полный цикл от создания до реализации продукции: маркетинг - идея -НИОКР - производство - продажа (или отдельные его элементы). Аналогичным образом осуществлена оценка вероятности реализации угроз.

21. Рассчитаны итоговые ожидаемые потери от конкретной угрозы за определенный период, т.е. уровень риска для конкретного информационного ресурса.

22. Расчеты информационных рисков произведены в среде СУБД MS Access 2002. Они показали, что максимальные и наиболее вероятные угрозы в виде несанкционированного копирования, чтения информации характерны для всех трех основных информационных ресурсов. Идентична также модель нарушителя -конкуренты через нелояльных сотрудников.

23. С целью минимизации возможности нарушения информационной безопасности в диссертации разработан план мероприятий (комплекс мер) по снижению информационных рисков и повышению эффективности системы ИБ. Он включает меры правового, организационного характера и программно-технические средства защиты, направленные на предотвращение различных типов угроз.

24. Осуществлено планирование остаточных рисков с целью формализации потенциального экономического эффекта, которое дало возможность рассчитать экономическую эффективность затрат компании на проведение мероприятий для обеспечения информационной безопасности, включенных в план мероприятий для нашего предприятия.

25. На основе анализа мероприятий, которые широко распространены на практике и применяются в различных сочетаниях на обследованных автором предприятиях, разработан комплекс контрмер угрозам. Сделан аргументированный выбор из представленного множества тех контрмер, реализация которых позволит обеспечить оптимальный уровень затрат для поддержания достаточной защищенности информационных ресурсов.

26. На основе изучения современных концепций управления бизнесом выявлены следующие источники роста стоимости компании: информационные ресурсы (в частности, программное обеспечение) как вид нематериальных активов; корпоративные информационные системы с соответствующими составными элементами; аппаратное обеспечение как материальный актив, т.е. часть имущества компании; накопленные знания, умения и навыки ИТ-специалистов, т.е. интелектуальный капитал компании; эффективная система информационной безопасности.

27. Обоснован тезис о том, что расходы на разработку проектов защиты информации, закупку необходимых элементов безопасности и эксплуатацию систем защиты для владельца информации есть ни что иное, как материализованный экономический ущерб. Осуществляя эти затраты, пользователь старается уберечься от еще больших потерь, вызванных нарушениями конфиденциальности информации.

28. Разработаны методические рекомендации по использованию комбинированного метода составления ИБ-бюджета, который предполагает на первом этапе бюджетного проектирования применение бенчмарков для постатейной разбивки бюджета.

Х 29. Разработана адекватная условиям любого малого предприятия методика определения целесообразности и экономической эффективности затрат на ИБ.

30. Разработана методика расчета экономической эффективности затрат на ИБ, включающая в том числе блок-схему агоритма расчета экономической эффективности и формирования бюджета расходов на ИБ.

Диссертация: библиография по экономике, кандидат экономических наук , Саввин, Андрей Сергеевич, Москва

1. Нормативные документы

2. Конституция Российской Федерации (принята 2 декабря 1993 г.)

3. Закон РФ Об информации, информатизации и защите информации № 24-ФЗ от 20.02.95 г.

4. Закон РФ О государственной тайне № 5485 от 21.07.93 г.

5. Закон РФ О правовой охране программ для электронных вычислительных машин и баз данных № 3523-1 от 23.09.92 г.

6. Закон РФ Об участии в международном информационном обмене от 04.07.1996 г. №85-ФЗ.

7. Доктрина информационной безопасности РФ. Утверждена Президентом РФ 9.09.2000 г. №Пр-1895.

8. Концепция государственной информационной политики Российской Федерации. Одобрена на заседании Комитета Госдумы по информационной политике и связи 15 октября 1998 г.

9. ГОСТ Р 51624-2000 Автоматизированные системы в защищенном испонении.

10. ГОСТ 51583 Порядок создания автоматизированных систем в защищенном испонении.

11. ISO 18028 IT Network Security (ИТ сетевая безопасность).

12. ISO 17944 Framework for security in financial systems (Основа безопасности в финансовом секторе).

13. ISO 17799 Code of practice for information security management (Свод правил для управления информационной безопасностью)

14. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

15. ИСО/МЭК 15408-99 Критерии оценки безопасности информационных технологий.

16. Монографии, учебно-методическая литература

17. Алексеева И.Ю., Авчаров И.В., Вотрин Д.С. , Стрельцов А.А. и др. Информационные вызовы национальной и международной безопасности./Под общей ред. А.В. Федорова и В.Н. Цыгичко. М.: ПИР-Центр, 2001.

18. Анализ типовых нарушений безопасности в сетях / Норткан С., Купер М., Фирноу М. и др. Пер. с англ. под ред. А.А. Чекаткова. М.: Вильяме, 2001.

19. Анин Б.Ю. Защита компьютерной информации. СПб.: BHV-Санкт-Петербург, 2000.

20. Аскеров Т.М. Защита информации и информационная безопасность. Учеб. пособие. Под ред. К.И. Курбакова. М.: Рос.экон.акад., 2001.

21. Бабаш А.В. Криптография: Учеб. пособие. / Бабаш А.В., Шанкин Г.П. М.: СОЛОН-Р, 2002.

22. Байбурин В.Б., Бровкова М.Б., Пластун И.Л. и др. Введение в защиту информации. Учеб. пособие. М.: ФОРУМ-ИНФРА-М, 2004.

23. Баутов А.Н. Программно-методическое обеспечение Расчет рисков и вычисление оптимальных затрат на систему защиты информации от несанкционированных действий и сохранение конфиденциальности информационных ресурсов. М., 2001.

24. Баяндин Н.И. Технологии безопасности бизнеса. М.: Юристь, 2002.

25. Беззубцев О.А. Лицензирование и сертификация в области защиты информации: Учеб. пособие / Беззубцев О.А., Ковалев А.Н. М., 1996.

26. Бланк И.А. Инвестиционный менеджмент. Киев, 1995.Х 25. Бочаров В.В. Финансово-кредитные методы регулирования рынка инвестиций. М., 1993.

27. Буянов В.П., Кирсанов К.А., Михайлов Л.А. Управление рисками (риско-логия). М.: Экзамен, 2002.

28. Васильев А.И. Система национальной безопасности РФ (конституционно-правовой анализ).//Автореферат диссертации на соискание ученой степени доктора экономических наук. Санкт-Петербургский Университет МВД РФ. СПб., 1999.

29. Волоткин А.В., Маношкин А.П. Информационная безопасность. М.: НТЦ ФИОРД-ИНФО, 2002.

30. Галатенко В.А. Интернет-университет информационных технологий ИН-ТУИТ.ру.

31. Галатенко В.А. Информационная безопасность: практический подход / Под ред. Бетелина В.Б.; Рос. акад. наук. НИИ систем, исслед. М.: Наука, 1998.

32. Гаценко О.Ю. Защита информации. Основы организационного управления. СПб.: Изд. Дом Сентябрь, 2001.

33. Голиусов А.А., Дубровин А.С., Лавлинский В.А. и др. Методические основы проектирования программных систем защиты информации. Воронеж: ВИРЭ, 2002.

34. Дубровин А.С., Макаров О.Ю., Рогозин Е.А. и др. Методы и средства автоматизированного управления подсистемой контроля целостности в системах защиты информации. Монография. Воронеж: Воронежский гос. ун-т, 2003.

35. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учеб. пособие для вузов. М.: Логос, 2001.

36. Зегжда Д.П. Основы безопасности информационных систем / Зегжда Д.П., Ивашко A.M. М.: Горячая линия-Телеком, 2000.

37. Информационное общество. Информационные войны. Информационное управление. Информационная безопасность. СПб.: СПб ун-т, 1999.

38. Кирсанов К.А. Информационная безопасность: Учеб. пособие / Кирсанов К.А., Малявина А.В., Попов Н.В. М.: МАЭП, 2000.

39. Кныш М.И., Перекатов Б.А., Тютиков Ю.П. Стратегическое планирование инвестиционной деятельности. СПб., 1998.Х 39. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. С

40. Пб.: БХВ-Петербург, 2003.

41. Копылов В.А. Информационное право. Учебник. М., Юристь, 2002.

42. Левин М. Хакинг и фрикинг: Методы, атаки, секреты, взлом и защита. М.: Оверлей, 2000.

43. Липсиц И.В., Коссов В.В. Инвестиционный проект. М., 1996.

44. Ловцов Д.А. Информационная безопасность больших эргатических систем: концептуальные аспекты. М., 1998.

45. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство. СПб.: Фонд Университет, 2000.

46. Лукацкий А.В. Краткий токовый словарь по информационной безопасности. М., 2000.

47. Лукацкий А.В. Обнаружение атак: Пракг. рукводство. СПб.: БХВ-Петербург, 2001.

48. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. М.: Горячая линия Телеком, 2004.

49. Мельников В.П., Клейменов С.А., Петраков A.M. М.: Академия, 2005.

50. Панкратьев В.В. Корпоративная безопасность. Методическое пособие по спецкурсу. М., 2005.

51. Партыка Т.Л., Попов И.И. Информационная безопасность. М.: ИД Форум, 2002.

52. Петраков А.В. Основы практической защиты информации. М.: Радио и связь, 2000.

53. Петровский А.И. Хакинг, крэкинг и фрикинг: Секреты, описания атак, взлом и защита. М.: Солон-Р, 2001.

54. Почепцов Г.Г. Информационные войны. М.: Рефл-бук, 2001.

55. Приходько А .Я. Информационная безопасность в событиях и фактах. М.: Синтег, 2001.

56. Проскурин В.Г. Защита в операционных системах: Програм.-аппарат. средства обеспечения информ. безопасности: Учеб. пособие / Проскурин В.Г., Кру-тов С.В., Мацкевич И.В. М.: Радио и связь, 2000.

57. Садердинов А.А., Трайнев В.А., Федулов А.А. Информационная безопасность предприятия. М.: Дашков и К, 2004.

58. Семкин С.Н. Основы информационной безопасности объектов обработки информации: Науч.-практ. пособие / Семкин С.Н., Семкин А.Н. М., 2000.

59. Скембрей Д. Секреты хакеров. Безопасность сетей готовые решения: Пер. с англ. / Скембрей Д., Мак-Клар С., Курц Д. - 2-е изд. М.: Вильяме, 2001.

60. Соколов А.В. Методы информационной защиты объектов и компьютерных сетей / Соколов А.В., Степанюк О.М. СПб.: Полигон; М.: ACT, 2000.

61. Стрельцов А.А. Обеспечение информационной безопасности России. Под ред. В.А. Садовничего и В.П. Шерстюка М.: МЦНМО, 2002.

62. Теоретические основы информатики и информационная безопасность. Под ред. В.А. Минаева, В.Н. Саблина. М.: Радио и связь, 2000.

63. Технические методы и средства защиты информации / Максимов Ю.Н., Сонников В.Г., Петров В.Г. и др. СПб: Полигон, 2000.

64. Торокин А.А. Инженерно-техническая защита информации: Учебное пособие. М.: Гелиос АРВ, 2005.

65. Устинов Г.Н. Основы информационной безопасности систем и сетей передачи данных. М.: Синтег, 2000.

66. Уфимцев Ю.С., Ерофеев Е.А. Информационная безопасность России. М., Экзамен, 2003.

67. Шарп У.Ф., Александер Г.Дж., Бэйли Д.В. Инвестиции. М.: ИНФРА-М,1997.

68. Шумский А.А., Шелупанов А.А. Системный анализ в защите информации: Учебное пособие. М.: Гелиос АРВ, 2005.

69. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. М.: Могачева, 2001.

70. Ярочкин В.И. Безопасность информационных систем / Попеч. совет пра-воохран. органов. М.: Ось-89, 1996.

71. Ярочкин В.И. Информационная безопасность. Учебник для вузов. М., Фонд Мир, 2003.Х Статьи

72. Баутов А. Экономический взгляд на проблемы информационной безопасности. //Открытые системы, 2002, № 2.

73. Козлов В. Критерии информационной безопасности и поддерживающие их стандарты: состояние и тенденции. Стандарты в проектах современных информационных систем. Сборник трудов П-й Всероссийской практической конференции. Москва, 27-28 марта 2002 года.

74. Воков Д. Части и целое.//Открытые системы, 2004, № 10.

75. Демин В. Безопасность в виртуальном пространстве // Безопасность. Достоверность. Информация, 2002, № 2.77. Журнал Сети, 2004, №9.

76. Иноземцев В. Парадоксы постиндустриальной экономики (инвестиции, производительность и хозяйственный рост в 90-е годы).//МэиМО, 2000, №3.

77. Информатизация и информационная безопасность правоохранительных органов. XI Международная научная конференция 21-22.05.2002. Сборник трудов. М.: Академия управления МВД, 2002.

78. Как подготовиться к выбору корпоративной информационной системы //Финансовый директор, 2002, № 3.

79. Керимов В.Э. Профилактика и предупреждение преступлений в сфере компьютерной информации / Керимов В.Э., Керимов В.В. // "Черные дыры" в Российском законодательстве, 2002, № 1.

80. Кононов А. Страхование нового века. Как повысить безопасность информационной инфраструктуры. М.: Connect, 12,2001.

81. Хмелев JI. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции Безопасность информационных технологий, Пенза, июнь 2001.

82. Махинов Д.В., Рогозин Д.А., Савченко А.В. Комплексная оценка угроз качеству функционирования эргатических информационно-управляющих сис-тем//Телекоммуникации, 2002, № 1.

83. Мещеряков В.А. Криминалистическая классификация преступлений в сфере компьютерной информации.// Конфидент, 1999, №4-5.

84. Минаев В., Карпычев В. Экономические аспекты информационной безо* пасности//Вестник связи International, 2003, № 8.

85. Петренко С.А., Терехова Е.М. Оценка затрат на защиту информа-ции.//3ащита информации, 2005, № 1.

86. Провоторов В. Агенты конкурента на вашем предприятии // Безопасность. Достоверность. Информация, 2002, № 3.

87. Вихорев С., Кобцев Р. Как определить источники угроз.// Открытые системы, 2002, № 7-8.

88. Симонов С. Технологии и инструментарий для управления рисками./ZJet Info, 2003, №2.

89. Стратегия компании в области информационных технологий//Финансовый директор, 2003, № 7.1. Прочие источники

90. Математический энциклопедический словарь./Под ред. Ю.В. Прохорова. М.: Изд-во Большая российская энциклопедия, 1995.

91. Ожегов С.И. Словарь русского языка, 20-е издание. М.: Рус. яз, 1988.1. Зарубежные источники94. 2003 Industry Survey Information Security, October 2003.

92. Anne Marie Willhite. Systems Engineering at MITRE Risk Management, Rl, MP96Booool20, September, 1998; Risk Matrix.

93. Managing the Threat of Denial-of-Service Attacks, CERT- Coordination Center, October 2003.

94. R. Witty, J. Dubiel, J. Girard, J. Graff, A, Hallawell ets. The Price of Information Security. Gartner Research, Strategic Analysis Report, K-l 1-6534, June, 2001.

Похожие диссертации

• Развитие интеграционных процессов в аграрном секторе экономики
• Логистика товарных запасов оптового предприятия в условиях неопределенности рынка
• Развитие методов регионального управления на основе когнитивного подхода
• Управление логистическим обслуживанием в розничной торговле
• Методы обеспечения экономической безопасности предприятия в условиях информационной экономики