Обеспечение информационной безопасности предпринимательства как фактор повышения его конкурентоспособности тема диссертации по экономике, полный текст автореферата
Автореферат
| Ученая степень | кандидат экономических наук |
| Автор | Тюнина, Наталья Олеговна |
| Место защиты | Москва |
| Год | 2003 |
| Шифр ВАК РФ | 08.00.05 |
Диссертация
Автореферат диссертации по теме "Обеспечение информационной безопасности предпринимательства как фактор повышения его конкурентоспособности"
На правах рукописи
Тюнина Наталья Олеговна
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИНИМАТЕЛЬСТВА КАК ФАКТОР ПОВЫШЕНИЯ ЕГО КОНКУРЕНТОСПОСОБНОСТИ
Специальность 08.00.05. Экономика и управление народным хозяйством (предпринимательство)
АВТОРЕФЕРАТ
диссертации на соискание ученой степени кандидата экономических наук
МОСКВА 2003
Диссертация выпонена на кафедре Общего менеджмента и статистики фирм Московского государственного университета экономики, статистики,
информатики.
Научный руководитель:
доктор экономических наук, профессор Орехов Сергей Александрович
Официальные оппоненты:
доктор экономических наук, профессор Алавердов Ашот Робертович
кандидат экономических наук Верин Вадим Валериевич
Ведущая организация:
Академия экономической безопасности МВД РФ
Защита состоится 18 декабря 2003 г. в 14-00 часов на заседании диссертационного Совета К 212.151.03 в Московском государственном университете экономики, статистики и информатики по адресу: 119501, г. Москва, ул. Нежинская, д.7.
С диссертацией можно ознакомиться в библиотеке Московского государственного университета экономики, статистики и информатики.
Автореферат разослан _ 2003 г.
Ученый секретарь диссертационного совета
Грачева Е.А.
/ ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность темы исследования. Предпринимательство, как сравнительно молодой негосударственный сектор отечественной экономики уже оказывает существенное влияние на экономику и политику государства, определяет развитие многих современных технологий, перспективы создания новых рабочих мест, увеличения налоговых поступлений в бюджет. Как показывает мировой опыт, чем больше возможностей для расширения своей деятельности у класса предпринимателей, тем более высокими являются темпы развития национальной экономики, укрепление позиций государства на мировом конкурентном рынке. Конкуренция ведет к лучшему использованию знаний и достижений. Большая часть достигнутых человеческих благ получена именно путем состязания с целью завоевания конкурентных преимуществ. Конкуренция не может функционировать среди людей, лишенных предпринимательского духа1.
Значение для страны хозяйствующих субъектов различных форм собственности определяет соответствующие требования к обеспечению безопасности их деятельности, проведению методологических и конкретно эмпирических исследований по данной проблематике. Без осмысления механизма обеспечения безопасности функционирования субъектов предпринимательской деятельности (объектов защиты) невозможно в целом разработать концепцию защиты экономической безопасности Российской Федерации.
Прослеживается четкая связь между понятиями конкурентоспособность и безопасность. К примеру, в США, которые по уровню конкурентоспособности занимают первое место в мире, в 1994 г. администрацией Президента была принята Стратегия национальной
' Фатхутдинов P.A. Конкурентоспособность: экономика, стратегия, управление. - М.: ИНФРА-М. - 2000. -с.14. _ _
РОС. НАЦИОНАЛЬНАЯ I БИБЛИОТЕКА I С. Петербург yj. }
3 '. *> ffwm
безопасности США, в которой первый из семи разделов посвящен повышению конкурентоспособности. Идея повышения
конкурентоспособности России была включена в Концепцию национальной безопасности Российской Федерации в редакции от 10 января 2000г. В Концепции отмечается, что Государство дожно содействовать развитию предпринимательства во всех сферах народного хозяйства, где это способствует росту общественного благосостояния, прогрессу науки и образования, духовному и нравственному развитию общества, защите прав потребителей, создавать условия для безопасной предпринимательской деятельности.
Главной целью экономической безопасности предприятия как субъекта предпринимательской деятельности является обеспечение его устойчивого и максимально эффективного функционирования на конкурентном рынке в настоящее время и накапливание достаточного потенциала для развития и роста в будущем.
Обеспечение экономической безопасности предпринимательства - это
постоянный процесс реализации составляющих безопасности,
заключающихся в достижении достаточной финансовой устойчивости и
независимости предприятия, поддержании технологической
конкурентоспособности, формировании высокого технического потенциала.
Однако следует отметить, что на настоящем этапе стремительного развития
информационных технологий выше перечисленные составляющие
экономической безопасности могут быть не эффективны при недостаточном
обеспечении сохранности информационной среды предпринимательской
деятельности. На сегодняшний день информация и бизнес являются
взаимосвязанными понятиями, успешный бизнес предполагает владение
информацией о рыночной конъюнктуре, финансовом положении
конкурентов, их планах, новейших разработках, тенденциях развития в
конкретных областях науки и производства, а также эффективную защиту >? 1 % 11 ' Х (* I
собственных информационных ресурсов субъектов предпринимательской деятельности.
Практика деятельности хозяйствующих субъектов повседневно свидетельствует об их повышенной, по сравнению с государственными структурами, уязвимости от противоправных и иных нарушающих нормальную жизнедеятельность посягательств недобросовестных конкурентов, преступных обществ, а также отдельных лиц с целью раскрытия коммерческой тайны. Поэтому обеспечение информационной безопасности своей деятельности становится жизненно важной потребностью, одним из базовых принципов функционирования субъектов предпринимательской деятельности.
Решение вышеназванной проблемы защиты предпринимательских интересов однозначно достигается формированием политики защиты конфиденциальной информации и построением собственной системы информационной безопасности хозяйствующего субъекта.
Вопросам промышленного шпионажа, сохранности коммерческой тайны и функционирования служб безопасности субъектов предпринимательской деятельности посвящены труды А.И.Алексеева, Р.М.Гасанова, В.С.Горячева, А.В.Жукова, Ю.Ф.Каторина В.И.Ярочкина, Ж.Бережье, А.Вольфа, К.Савки, Р.Минна и ряда других ученых и практиков.
Анализ литературы показал, что комплексная разработка концептуального аспекта обеспечения информационной безопасности субъектов предпринимательской деятельности на фундаментальном уровне еще не осуществлялась. Недостаточное научное и методическое обоснование, а также слабая практическая проработка положений по формированию политики и системы информационной безопасности данных субъектов обусловили выбор темы исследования, определили цель, структуру и содержание настоящей работы.
Цель и задачи исследования. Целью диссертационного исследования является разработка методов поддержания конкурентоспособности
хозяйствующих субъектов за счет обеспечения защиты предпринимательской деятельности на основе реализации принципов информационной безопасности бизнеса.
Цель исследования предполагает постановку следующих задач: проведение анализа основных направлений повышения конкурентоспособности предпринимательской деятельности в аспекте информационной защиты бизнеса;
исследование основных тенденций развития современных ситуационных подходов к обеспечению информационной безопасности российских и зарубежных субъектов предпринимательской деятельности;
анализ угроз безопасности предпринимательской деятельности в результате раскрытия коммерческой тайны и потери конкурентных преимуществ хозяйствующего субъекта; и на этой основе:
исследовать основные категории конфиденциальной информации хозяйствующих субъектов;
выявить и обобщить качественные и количественные подходы к анализу информационных рисков предпринимательской деятельности;
провести анализ существующего на сегодняшний день инструментария в области анализа и управления информационными рисками;
осуществить исследование современных методик расчета экономической эффективности применения систем информационной защиты субъектов предпринимательской деятельности;
разработать аппарат описания оценки экономической эффективности системы информационной безопасности по критерию лэффективность-стоимость;
разработать модели изучения и исследования поведения системы защиты информации на основе методологии сценарного анализа и прогнозирования;
исследовать и обобщить основные положения политики информационной безопасности и меры ее реализации на субъекте предпринимательской деятельности, разработать формальную модель построения политики информационной безопасности;
разработать структурную модель построения службы безопасности хозяйствующего субъекта;
определить роль мониторинга информационной безопасности в системе политики информационной безопасности субъекта предпринимательской деятельности.
Предмет и объект исследования. Предметом исследований являются правовые, организационно-административные, технологические и экономические процессы функционирования системы информационной безопасности субъектов предпринимательской деятельности. В качестве объекта исследования выступает информационная система хозяйствующего субъекта.
Методика исследования. В процессе исследования проанализированы и использованы достижения отечественных и зарубежных специалистов по вопросам теории и практики организации защиты конфиденциальной информации и обеспечения безопасности информационных процессов субъектов предпринимательской деятельности, а также нормативно-правовые и руководящие документы, статистические данные, материалы периодической печати, материалы компаний по указанным вопросам и их критическое осмысление.
Теоретическую и методологическую основу исследования составляет системный подход в сочетании с методологией структурного анализа сложных систем, методы системного анализа и стратегического прогнозирования, элементы логического моделирования и сценарного анализа.
При решении поставленных задач применяся текстовый редактор MS Word, табличный процессор MS Excel, редактор диаграмм Microsoft Graph, редактор формул Microsoft Equation 3.0.
Научная новизна диссертации. В диссертации поставлена и решена новая актуальная задача по разработке и обоснованию теоретических положений, реализации практических рекомендаций по укреплению конкурентоспособности хозяйствующих субъектов различных форм собственности путем построения системы информационной безопасности данных субъектов на основе реализации политики информационной безопасности.
Научную новизну содержат следующие положения и результаты исследования:
Х На основе анализа мировых тенденций развития бизнеса сделан вывод о роли информационной безопасности предпринимательской деятельности как приоритетном направлении повышения ее конкурентоспособности на современном этапе развития экономики;
Х Разработана методика определения рисков информационных систем субъектов предпринимательской деятельности в ситуациях, когда невозможно воспользоваться количественными характеристиками для расчета величины риска. Суть методики заключается в определении посредством экспертных оценок зависимости значения риска от определенных факторов - вероятности наступления события и ущерба от наступления данного события;
Х Разработана модель управления информационными рисками на основе агоритма, отражающего последовательность и взаимодействие этапов оценки рисков и выбора защитных регуляторов;
Х Сформулирован методический подход к определению затрат при расчете эффективности применения системы информационной безопасности на основе сравнения показателей стоимости совокупных потенциальных
потерь информации без использования системы информационной безопасности и показателя стоимости реальных потерь при ее использовании;
Х Разработан подход к построению методологии сценарного прогнозирования и анализа поведения системы информационной безопасности при возникновении различных угроз информационной среде субъекта предпринимательской деятельности, в основу которого положено выделение ключевых моментов развития ситуации посягательства на защищаемый объект и разработка качественно различных вариантов отражения атаки, а также анализ и оценка каждого из полученных вариантов и возможных последствий его реализации.
Теоретическая и практическая значимость. Настоящая диссертационная работа является результатом исследования практического материала деятельности хозяйствующих субъектов в области информационной защиты бизнеса, анализа публикаций и систематизации данных по данной проблеме.
Теоретическая и практическая значимость диссертационной работы определяется актуальностью поставленной цели и соответствующих ей задач, достигнутым уровнем разработанности проблематики, применением аналитического и модельного подхода к определению направления совершенствования систем информационной защиты путем формирования политики информационной безопасности субъектов предпринимательской деятельности, что призвано углубить практические и научные наработки в данной области и способствовать формированию новой парадигмы создания благоприятных условий и поддержке функционирования предпринимательства, повышению его конкурентоспособности.
Результаты проведенного исследования, выводы и предлагаемые решения могут быть использованы хозяйствующими субъектами различных форм собственности с целью обеспечения собственной информационной
безопасности, а также фирмами и организациями, занимающимися разработкой и внедрением систем информационной безопасности.
Разработанные в диссертации принципы и подходы к построению системы информационной безопасности позволяют:
Х сформировать грамотную стратегию обеспечения собственной информационной безопасности субъектов предпринимательской деятельности, исходя из детального анализа направлений их деятельности и комплексных требований защиты;
Х повысить скорость и качество принятия управленческих решений в области информационной защиты;
Х реализовать эффективную корпоративную политику информационной безопасности;
Х сформировать собственные службы защиты информации. Обобщения, выводы и основные положения диссертации могут быть
также использованы в обучении студентов и подготовке специалистов в области информационной безопасности.
Апробация и реализация результатов исследования.
Основные выводы и рекомендации диссертационной работы использовались при разработке и корректировке системы информационной безопасности НИИ АВТОМАТИЧЕСКОЙ АППАРАТУРЫ им. Академика В.С.Семинихина (ФГУП НИИ АА), ЗАО НТФ КРИПТОН НИИ АА, ЗАО Центр защиты информации ГАММА, ООО ИК Сибинтек, что подтверждается соответствующими документами.
Предложенная в работе схема формализации сценариев поведения системы информационной безопасности положена в основу разработки ЗАО Центр защиты информации ГАММА интерактивной системы анализа защиты информации. В настоящее время программный продукт находится в стадии пилотного проекта.
Некоторые из теоретических и методологических положений диссертации докладывались и получили положительную оценку на Межвузовском научном семинаре Организационно-управленческие проблемы трансформации Российской экономики, Москва, 2002 год.
Публикации. Основные положения диссертации отражены в 6 работах общим объемом 1.5 п.л.
Структура работы. Диссертация состоит из введения, трех глав, заключения, списка использованных источников и 12 приложений.
Содержание. ВВЕДЕНИЕ
ГЛАВА 1. РОЛЬ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ ЗАЩИТЫ В ПОВЫШЕНИИ КОНКУРЕНТОСПОСОБНОСТИ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ
1.1.Защита информационной среды предпринимательства как приоритетное
направление повышения его конкурентоспособности 1,2.Современные тенденции в области информационной защиты предпринимательства
1.3 .Сущность и классификация признаков угроз конфиденциальности для обеспечения конкурентных преимуществ субъектов предпринимательской деятельности
ГЛАВА 2. МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ СОЗДАНИЯ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СУБЪЕКТОВ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ
2.1 .Адаптация методологических подходов при анализе информационных
рисков в современном отечественном бизнесе 2.2.Разработка методологии расчета показателей экономической эффективности системы информационной безопасности субъектов предпринимательской деятельности 2.3 .Применение методологии сценарного анализа в прогнозировании поведения системы информационной безопасности субъекта предпринимательской деятельности
ГЛАВА 3. РАЗРАБОТКА ПОЛИТИКИ СУБЪЕКТА ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
3.1.Основные положения политики информационной безопасности субъекта предпринимательской деятельности
3.2.Разработка мер реализации политики информационной безопасности субъекта предпринимательской деятельности путем создания службы защиты информации З.З.Определение роли мониторинга системы информационной безопасности и его значение в формировании политики информационной безопасности субъекта предпринимательской деятельности
ЗАКЛЮЧЕНИЕ СПИСОК ЛИТЕРАТУРЫ ПРИЛОЖЕНИЯ
ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ Во введении обосновывается актуальность темы, формулируются цель, задачи исследования, выявляется научная новизна, теоретическая и практическая значимость.
В первой главе Роль обеспечения информационной защиты в повышении конкурентоспособности предпринимательской деятельности обобщен и систематизирован круг проблем, относящихся к обеспечению информационной безопасности предпринимательской деятельности. Проведенный анализ показал, что обеспечение конкурентоспособности хозяйствующего субъекта зависит от наличия и сохранения его конкурентных преимуществ. Идея, что коммерческая информация является тем самым деловым капиталом, дающим конкурентное преимущество на рынке, представляет собой первооснову организации защиты коммерческой тайны субъекта предпринимательской деятельности. Организация защиты информационных ресурсов хозяйствующих субъектов различных форм собственности решается построением системы информационной безопасности данных субъектов. Причем только комплексный подход к обеспечению информационной безопасности, предполагающий рациональное сочетание правовых, программно-технических и организационных мер, способен эффективно решить данную проблему. По данным аналитических исследований выявлено, что удельный вес каждого из перечисленных компонентов соответственно составляет:
Правовые методы - 60%;
Программно-технические - 30%;
Организационные методы - 10%.
Из приведенных цифр наглядно видно, что правовые методы занимают лидирующее место по своей значимости, и именно поэтому правовое обеспечение рассматривается как приоритетное направление в политике обеспечения информационной безопасности предпринимательства. Доказательством этому служит утверждение в сентябре 2000 г. Доктрины информационной безопасности Российской Федерации, которая особо подчеркивает жизненную важность вопросов защиты информации для государства, в плане его конкурентоспособности на мировом рынке, общества и предпринимательской сферы в частности.
В процессе проведенного исследования автором сделан вывод, что разработка грамотной стратегии обеспечения информационной безопасности субъектов предпринимательской деятельности является одной из ключевых задач обеспечения их конкурентоспособности как на национальном, так и на мировом рынках.
На основе динамики роста российского рынка информационной безопасности (рис.1, табл.1), проведенного анализа основных тенденций развития мирового рынка информационной безопасности и сравнения отечественного и зарубежного опыта автором сделан вывод о необходмости внедрения стратегии адаптации к российским условиям и применении на практике методик международных стандартов, а также использовании внутренних корпоративных методик и разработок, позволяющих вывести на качественно новый уровень эффективность информационной безопасности российского бизнеса, повысить его конкурентоспособность.
Оценка динамики роста рынка информационной безопасности в России, $ мн
Рис. 1. Динамика рынка информационной безопасности.
Таблица 1.
Динамика основных направлений информационной безопасности
Доля рынка Прогнозируемый ежегодный рост рынка
Продукты и решения 80% 50%
Консатинговые услуги в области ИБ 20% 100-150%
Автором проанализированы понятия конфиденциальной информации, ее основных категорий и коммерческой тайны субъектов предпринимательской деятельности. Исследованы сущность и признаки угроз информационным ресурсам хозяйствующих субъектов, а также причины потери конфиденциальной информации (рис.2), что позволило сделать вывод о необходимости построения политики информационной безопасности субъектов предпринимательской деятельности на основе комплексного подхода, учитывающего многообразие потенциальных угроз информации, назначение объекта защиты, его размеров, условий размещения и характера деятельности.
Ошибки персонала (55%) Нечестные сотрудники (10%)
Обиженные сотрудники (9%)
Внешние нападения (2%) ; Вирусы (4%)
Проблемы физической защиты (стихийные бедствия, |___отключение электропитания) (20%) ___ _
Рис.2. Распределение потерь информации по различным причинам
Вторая глава Методологические основы создания системы информационной безопасности субъектов предпринимательской деятельности посвящена исследованию, анализу и разработке основных методологических подходов к построению системы информационной безопасности хозяйствующих субъектов, среди которых анализ и оценка рисков информационных ресурсов играют ведущую роль.
В процессе исследования выявлено, что в зависимости от уровня жесткости требований к режиму информационной безопасности субъекта предпринимательской деятельности, возможны два варианта проведения анализа рисков:
Базовый вариант (если ценность защищаемых ресурсов с точки зрения организации не является чрезмерно высокой);
полный вариант (в случае повышенных требований в области информационной безопасности).
Проведен подробный анализ существующих на сегодняшний день программных продуктов анализа информационных рисков: от простейших, ориентированных на базовый уровень безопасности, до сложных, позволяющих провести полный анализ рисков и выбрать комплекс контрмер
требуемой эффективности, подробно рассмотрен наиболее прогрессивный на сегодняшний день метод анализа и контроля рисков - СЯАММ-метод, основанный на концепции анализа рисков информационных систем, включающий в себя идентификацию и вычисление уровней рисков на основе оценок, присвоенных как самим информационным ресурсам, так и угрозам и уязвимостям ресурсов информационной системы. Также рассмотрены основные подходы к оценке информационных рисков, наиболее часто используемым в практике российских субъектов предпринимательской деятельности. Основным этапом рассмотренного анализа является вычисление рисков. В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки". Общая идея выражается следующей формулой:
РИСК = Р1фДДс,ДестДнЯ * УЩЕРБ (1)
Исходя из того, что вероятность происшествия зависит от уровней (вероятностей) угроз и уязвимостей:
^происшествии ~ Ругрозы * Руятимости (2)
Соответственно, из формулы (1), риск можно определить следующим образом:
Ругрозы * Руизвимости * УЩЕРБ (3)
Но на практике часто возникают ситуации, когда метрическая операция умножения не определена, так как переменные являются качественными величинами. Поэтому в процессе исследования зарубежных и отечественных подходов к оценке рисков информационных систем автором была предложена и апробирована методика определения рисков данных систем, исходя из формализованных качественных показателей определяющих факторов, позволяющая оценить степень риска в ситуациях, когда невозможно воспользоваться традиционными методиками, использующими количественные характеристики для расчета величины риска. Также была разработана модель процесса управления рисками (рис.3), суть которой заключается в оценке рисков и выборе эффективных и экономичных
защитных регуляторов, даны общие рекомендации по применению комбинированного подхода к различным методикам определения рисков.
Рис.3. Модель управления рисками
t После проведения анализа рисков информационных ресурсов и выбора
i защитных регуляторов необходимо оценить экономический эффект от
применения этих мер. Поэтому в диссертации проводится подробный анализ ' различных методологий расчета экономической эффективности системы
информационной безопасности субъекта предпринимательской деятельности.
Как правило, рассмотренные подходы к расчету экономической эффективности строятся на количественной оценке угроз по однородному критерию, например, по совокупному критерию экономической безопасности в рамках информационной защиты Кэб, измеряемому в тех же стоимостных единицах, что и затраты на реализацию принимаемых мер для ликвидации последствий или предотвращению инцидента.
Кэ6 = tk:d, (4)
где Кэб - совокупный критерий экономической безопасности в рамках информационной защиты;
k - значение частных критериев оценки информационной безопасности по основным ее функциональным составляющим;
(1; - удельный вес -ой функциональной составляющей информационной безопасности;
1 - количество функциональных составляющих информационной безопасности предприятия (=1,2...п).
Частные критерии оценки экономической безопасности к, могут быть рассчитаны:
к; = СУ;/3; (5)
где СУ; Ч совокупный ущерб по -ой функциональной составляющей информационной безопасности предприятия;
3; Ч суммарные затраты на реализацию мер по предотвращению ущербов по -ой функциональной составляющей информационной безопасности.
Однако, не все факторы, влияющие на показатели, детерминированы и имеют количественные измерители. Поэтому другой подход можно условно назвать неэкономическим, поскольку при оценке преимуществ, которые дает применение системы информационной защиты, используются неэкономические показатели. В рамках анализа различных методологий расчета экономической эффективности системы защиты информации автором сделан вывод, что разумным компромиссом, подразумевающим необходимость учета экономического (финансового) и, так называемого, неэкономического качественного аспекта в критерии эффективности применения системы информационной защиты, следует считать формализацию показателей эффективности в координатах затраты преимущества. Автором предложен методологический подход к формализации данных показателей, значения которых неравноценны, а единицы измерения несовместимы. Зная значение интегрального преимущества П; по Ьму варианту защиты и совокупные траты 3; для реализации данного варианта, можно для каждого варианта В, рассчитать отношение, характеризующее значение преимущества на единицу затрат:
В!-ПА (6)
где В; - значение критерия преимущества информационной безопасности по -му варианту защиты;
П| - значение интегрального преимущества по 1-му варианту защиты; 3; - совокупные затраты для реализации
Автором разработана и апробирована методика определения затрат при расчете эффективности применения системы информационной безопасности на коммерческом предприятии на основе расчета показателя лэффективность-стоимость, что позволило конкретно оценить практические результаты от функционирования данной системы.
Кэ-с= (Сб/сиб._ СсДб.)/ (Зк + Зп + 30 (7)
где Кэ_с - показатель лэффективность-стоимость;
Сб/сиб. - стоимость совокупных потенциальных потерь без использования системы информационной безопасности; ССиб. Ч стоимость реальных потерь при использовании системы информационной безопасности;
Зк - капитальные затраты на создание и внедрение системы информационной безопасности;
Зп - постоянные затраты на эксплуатацию и поддержку системы информационной безопасности;
3Д - вероятная величина затрат на восстановление нормальной работоспособности информационных ресурсов.
Прогнозирование динамики развития информационных рисков субъектов предпринимательской деятельности с учетом оценки внутренних и внешних угроз, выпоненное на основе анализа уязвимостей и сравнительного анализа лэффективность-стоимость различных вариантов защиты, позволяет выбрать адекватные контрмеры, оценить уровень остаточных рисков, построить объектно-ориентированные модели системы информационной защиты, а также вести контроль выпонения требований по организации режима информационной безопасности хозяйствующего субъекта. Поэтому в диссертационной работе разработан подход к методологии построения сценарного анализа и прогнозирования поведения системы информационной безопасности при возникновении различных угроз информационной среде субъекта, предложен агоритм разработки сценариев,
проанализированы зарубежные и отечественные программные продукты, используемые при сценарном прогнозировании, классифицированы различные модели потенциальных нарушителей информационной безопасности. На основе обобщений и формализации исследованных отдельных подходов определена методология построения сценарного анализа поведения информационных систем, которая легла в основу программного продукта, находящегося в настоящее время в стадии пилотного проекта.
В третьей главе диссертации Разработка политики субъекта предпринимательской деятельности в области информационной безопасности исследованы основные положения политики информационной безопасности хозяйствующего субъекта, которая дожна лежать в основе разработки комплексной и эффективной системы обеспечения безопасности предпринимательства в аспекте защиты его коммерческих интересов.
Политика информационной безопасности включает описание философии безопасности, цели комплексной защиты, ее задачи, принципы деятельности, а также стратегию и тактику защиты. Применение методологий оценки рисков, показателей эффективности системы информационной безопасности субъекта предпринимательской деятельности и разработки сценариев анализа и прогнозирования поведения данной системы являются основополагающим этапом при построении политики информационной безопасности.
В рамках главных вопросов политики информационной безопасности:
- Что защищать?
- От кого защищать?
- Как защищать?
рассмотрены и классифицированы основные информационные ресурсы хозяйствующего субъекта (объекта защиты), информационные угрозы деятельности данного объекта, определено понятие системы информационной защиты, как комплекса средств и деятельности на их
основе, направленной на выявление, отражение и ликвидацию различных видов угроз информационной безопасности объектов защиты.
Политика информационной безопасности предполагает разработку специальных мер организационного и технического характера, среди которых особое место занимает создание службы собственной информационной защиты. В диссертационной работе предложена и апробирована модель организации отделов службы информационной защиты, созданием которой и завершается построение системы информационной безопасности субъекта предпринимательской деятельности (рис.4).
Кризисная группа
Рис.4. Примерная структура службы информационной безопасности.
Выделен ряд этапов, рекомендуемых при создании службы защиты информации, описаны функции отдельных подразделений и обоснована необходимость создания кризисной группы для принятия решений при чрезвычайных обстоятельствах.
При построении политики информационной безопасности руководитель хозяйствующего субъекта и начальник службы защиты информации дожны очень тщательно анализировать полный набор угроз, глубокое знание и
Информационно-аналитический отдел
Инженерно-техничеасй отдел
Отдел собственной инф безопасности
Отдел обеспечения режима и физической охраны
Отдел экономической и инф безопасности
Юрист-эксперт, юрист-консультант
ОТДЕЛЫ СЛУЖБЫ ЗАЩИТЫ ИНФОРМАЦИИ
своевременное выявление которых позволит службе защиты информации превентивно их блокировать.
Накопленный в мире опыт в области безопасности показывает, что:
Х Анализ угроз и разработка политики информационной безопасности не дожны быть одноразовыми актами. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных форм, методов, способов и путей создания, совершенствования и развития системы информационной безопасности, непрерывном управлении ей, контроле, выявлении ее слабых мест и ликвидации недостатков;
Х Информационная безопасность может быть обеспечена лишь при комплексном использовании всего арсенала сил и средств во всех структурных элементах системы, то есть использовании комплексной системы информационной безопасности;
Х Никакая комплексная система информационной безопасности не может обеспечить требуемый уровень безопасности без надлежащей подготовки персонала организации и пользователей и соблюдения ими всех установленных правил, направленных на обеспечение информационной безопасности.
На основе проведенного исследования выявлены роль и место мониторинга состояния реализованной системы защиты в формировании политики информационной безопасности хозяйствующего субъекта (рис.5), проведение которого носит постоянный циклический характер и позволяет оценить текущее состояние безопасности на соответствие предъявленным требованиям политики информационной безопасности, выявить существующие бреши в информационной защищенности субъекта предпринимательской деятельности и дать рекомендации по их исправлению.
Регулярный мониторинг системы информационной безопасности хозяйствующего субъекта является одним из обязательных условий
сохранения адекватного уровня информационной безопасности предпринимательской деятельности.
Рис.5. Роль и место мониторинга в формировании политики информационной безопасности
На основе результатов мониторинга разрабатываются и внедряются г новые решения в рамках информационной системы хозяйствующего
субъекта. Это находит свое отражение в доработанном новом варианте . политики информационной безопасности субъекта предпринимательской
деятельности.
В заключении диссертационной работы изложены результаты проведенного исследования, сформулированы основные выводы и даны ^ рекомендации для практических действий.
Основные положения диссертационной работы опубликованы в 6 статьях общим объемом 1.5 п.л.
1.Тюнина Н.О. Основы формирования политики безопасности в коммерческой фирме как субъекте предпринимательской деятельности. //
! Организационно-управленческие проблемы трансформации Российской
экономики. Сб. тр. Межвузовского науч. семинара. Под ред. С.Д. Ильенковой - М.:ИНИОН РАН, 2002. - 0,2 п.л.
2.Тюнина Н.О. Анализ причин потерь информации в предпринимательской сфере на основе сбора статистических данных. //
ИМ*5 2 9
Теория и практика статистического анализа. Сб. науч. тр. - М.: МЭСИ -
3.Тюнина Н.О. Применение метода сценарного анали: исследовании поведения системы информационной безопасности коммерческого предприятия. // Инструментальные методы и средства информационно-аналитических систем. Сб.науч.тр. - М.: МЭСИ, 2003. -0,3 п.л.
4.Тюнина И.О. Роль аудита в формировании политики безопасности хозяйствующего субъекта. // Проблемы совершенствования обеспечения управления. Межвузовский сб.науч.тр. Под ред. С.Д. Ильенковой -М.:ИНИОН РАН, 2002. - 0,2 п.л.
5.Тюнина Н.О. Применение методологии определения затрат при оценке эффективности экономической безопасности субъектов предпринимательской деятельности. // Инструментальные методы и средства информационно-аналитических систем. Сб. науч. тр. - М.: МЭСИ, 2003. - 0,3 п.л.
6.Тюнина Н.О. Разработка мер реализации политики безопасности хозяйствующего субъекта // Проблемы совершенствования обеспечения управления. Межвузовский сб.науч.тр. Под ред. С.Д. Ильенковой -М.:ИНИОН РАН, 2002. - 0,3 п.л.
Лицензия Р № 020563 от 07.07.97 Подписано к печати 6.11. 2003
Формат издания 60x84/16 Бум. офсетная № 1 Печать офсетная Печ.л. 1,5 Уч.-изд.л. 1,4 Тираж 100 экз. Заказ № 1661 _
Типография издательства МЭСИ. 119501, Москва, Нежинская ул., 7
Диссертация: содержание автор диссертационного исследования: кандидат экономических наук , Тюнина, Наталья Олеговна
ВВЕДЕНИЕ.
ГЛАВА 1. РОЛЬ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ ЗАЩИТЫ В ПОВЫШЕНИИ КОНКУРЕНТОСПОСОБНОСТИ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ.
1.1.Защита информационной среды предпринимательства как приоритетное направление повышения его конкурентоспособности.
1.2.Современные тенденции в области информационной защиты предпринимательства.
1.3.Сущность и классификация признаков угроз конфиденциальности для обеспечения конкурентных преимуществ субъектов предпринимательской деятельности.
ГЛАВА 2. МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ СОЗДАНИЯ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СУБЪЕКТОВ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ.
2.1 .Адаптация методологических подходов при анализе информационных рисков в современном отечественном бизнесе.
2.2.Разработка методологии расчета показателей экономической эффективности системы информационной безопасности субъектов предпринимательской деятельности.
2.3 .Применение методологии сценарного анализа в прогнозировании поведения системы информационной безопасности субъекта предпринимательской деятельности.
ГЛАВА 3. РАЗРАБОТКА ПОЛИТИКИ СУБЪЕКТА ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ.
3.1.Основные положения политики информационной безопасности субъекта предпринимательской деятельности.
3.2.Разработка мер реализации политики информационной безопасности субъекта предпринимательской деятельности путем создания службы защиты информации.
3.3.Определение роли мониторинга системы информационной безопасности и его значение в формировании политики информационной безопасности субъекта предпринимательской деятельности.
Диссертация: введение по экономике, на тему "Обеспечение информационной безопасности предпринимательства как фактор повышения его конкурентоспособности"
Современная российская экономика в качестве основной характеристики имеет активное формирование и развитие рыночных отношений и институтов. Ключевую роль в этом процессе играет предпринимательство. Как показывает мировой опыт, чем больше возможностей для расширения своей деятельности у класса предпринимателей, тем более высокими являются темпы развития национальной экономики, укрепление позиций государства на мировом конкурентном рынке. В этих условиях весьма значительным фактором является jk* обеспечение благоприятных условий развития предпринимательской деятельности в стране, повышение конкурентоспособности хозяйствующих субъектов.
Конкуренция ведет к лучшему использованию знаний и достижений. Большая часть достигнутых человеческих благ получена именно путем состязания с целью завоевания конкурентных преимуществ. Конкуренция не может функционировать среди людей, лишенных предпринимательского духа Щ [105, с.14].
Реалии российской экономической жизни таковы, что предприниматели в своей практической деятельности стакиваются не только с экономическими, организационными, правовыми трудностями в процессе создания своего дела и его развития, но и негативным воздействием некоторых субъектов, зачастую носящим противоправный характер, с недобросовестной конкуренцией. Это в свою очередь, обуславливает необходимость поддержания достаточного уровня ^ экономической безопасности предпринимательства с целью сохранения и повышения конкурентоспособности на внутреннем и мировом рынках, разработки критериев такой безопасности в настоящем актуальном и перспективном аспектах.
Значение для страны субъектов предпринимательской деятельности определяет соответствующие требования к обеспечению безопасности их деятельности, проведению методологических и конкретно эмпирических исследований по данной проблематике. Без осмысления механизма обеспечения безопасности функционирования хозяйствующих субъектов (объектов защиты) невозможно в целом разработать концепцию защиты экономической безопасности Российской Федерации.
Под безопасностью предпринимательской деятельности следует понимать состояние защищенности субъекта предпринимательской деятельности на всех стадиях его функционирования от внешних и внутренних угроз, имеющих негативные, прежде всего экономические, а также организационные, правовые и иные последствия[52, с.9].
Главной целью экономической безопасности предприятия, как хозяйствующего субъекта, является обеспечение его устойчивого и максимально эффективного функционирования, высокого уровня конкурентоспособности. Наиболее эффективное использование всех ресурсов предприятия, обеспечивающее выпонение этой цели, достигается при решении следующих задач по повышению экономической безопасности:
Х Обеспечение достаточной финансовой устойчивости и независимости предприятия;
Х Поддержание технологической независимости, формирование высокого технического и технологического потенциала;
Х Оптимизация организационной структуры, постоянное совершенствование и выпонение менеджерских функций;
Х Обоснованная правовая защита всех видов деятельности предприятия;
Х Создание защиты информационной среды предприятия, его коммерческой ^ тайны;
Х Формирование условий для безопасной работы сотрудников предприятия, соблюдение их коммерческих интересов;
Х Техническое оснащение службы безопасности предприятия.
Актуальность проблемы. Обеспечение экономической безопасности предприятия - это постоянный процесс реализации составляющих безопасности. Однако, следует отметить, что выше перечисленные составляющие экономической безопасности могут быть не эффективны при недостаточном обеспечении сохранности информационной среды субъектов предпринимательской деятельности. На сегодняшний день успешный бизнес предполагает владение информацией о рыночной конъюнктуре, финансовом положении конкурентов, их планах, новейших разработках, тенденциях развития в конкретных областях науки и производства.
Практика деятельности хозяйствующих субъектов повседневно свидетельствует об их повышенной, по сравнению с государственными структурами, уязвимости от противоправных и иных нарушающих нормальную жизнедеятельность посягательств преступных обществ, а также отдельных лиц с целью раскрытия коммерческой тайны предприятия. Поэтому обеспечение информационной безопасности своей деятельности, сохранение конкурентных преимуществ становится жизненно важной потребностью, одним из базовых принципов функционирования субъектов предпринимательской деятельности.
Ряд общих вопросов криминологической безопасности данных субъектов предпринимательской деятельности нашли отражение в работах А.И.Гурова, Ч А.И.Договой, А.Г.Шаваева, В.И.Ярочкина, Ж.Бережье, Р.Минна и ряда других ученых и практиков.
Вопросам промышленного шпионажа, сохранности коммерческой тайны и функционирования служб безопасности коммерческих фирм посвящены труды А.И.Алексеева, Р.М.Гасанова, В.С.Горячева, А.В.Жукова, Ю.Ф.Каторина, А.Вольфа, К.Савки и других авторов.
Следует отметить, что перечисленные работы лишь в обобщенном виде передают зарубежный и отечественный опыт построения политики информационной безопасности субъектов предпринимательской деятельности, мало затрагивая вопросы прикладного характера, ориентированные на решение проблем безопасного бизнеса предпринимателей, отсутствует комплексная методология подхода к реализации политики информационной безопасности данных хозяйствующих субъектов. В то же время сама жизнь диктует настоятельную необходимость перехода к научным основам организации защиты субъектов предпринимательской деятельности с целью укрепления их положения на конкурентном рынке, что и обусловило выбор темы диссертационного исследования и ее актуальность в научном и практическом плане.
Цель и задачи исследования. Целью диссертационного исследования является разработка методов поддержания конкурентоспособности хозяйствующих субъектов за счет обеспечения защиты предпринимательской деятельности на основе реализации принципов информационной безопасности бизнеса.
Цель исследования предполагает постановку следующих задач: проведение анализа основных направлений повышения конкурентоспособности предпринимательской деятельности в аспекте информационной защиты бизнеса; исследование основных тенденций развития современных ситуационных подходов к обеспечению информационной безопасности российских и зарубежных субъектов предпринимательской деятельности; анализ угроз безопасности предпринимательской деятельности в результате раскрытия коммерческой тайны и потери конкурентных преимуществ хозяйствующего субъекта; и на этой основе: исследовать основные категории конфиденциальной информации хозяйствующих субъектов; выявить и обобщить качественные и количественные подходы к анализу информационных рисков предпринимательской деятельности; провести анализ существующего на сегодняшний день инструментария в области анализа и управления информационными рисками; осуществить исследование современных методик расчета экономической эффективности применения систем информационной защиты субъектов предпринимательской деятельности; разработать аппарат описания оценки экономической эффективности системы информационной безопасности; разработать модели изучения и исследования поведения системы защиты информации на основе методологии сценарного анализа и прогнозирования; исследовать и обобщить основные положения политики информационной безопасности и меры ее реализации на субъекте предпринимательской деятельности, разработать формальную модель построения политики информационной безопасности; разработать структурную модель построения службы безопасности хозяйствующего субъекта; определить роль мониторинга информационной безопасности в системе политики информационной безопасности субъекта предпринимательской деятельности.
Предмет и объект исследования. Предметом исследований являются правовые, организационно-административные, технологические и экономические процессы функционирования системы информационной безопасности хозяйствующих субъектов. В качестве объекта исследования выступает информационная система хозяйствующего субъекта.
Методика исследования. В процессе исследования проанализированы и использованы достижения отечественных и зарубежных специалистов по вопросам теории и практики организации защиты конфиденциальной информации и обеспечения безопасности информационных процессов коммерческих фирм, а также нормативно-правовые и руководящие документы, статистические данные, материалы периодической печати, материалы компаний по указанным вопросам и их критическое осмысление.
Теоретическую и методологическую основу исследования составляет системный подход в сочетании с методологией структурного анализа сложных систем, методы системного анализа и стратегического прогнозирования, элементы логического моделирования и сценарного анализа.
При решении поставленных задач применяся текстовый редактор MS Word, табличный процессор MS Excel, редактор диаграмм Microsoft Graph, редактор формул Microsoft Equation 3.0.
Научная новизна диссертации. В диссертации поставлена и решена новая актуальная задача по разработке и обоснованию теоретических положений, реализации практических рекомендаций по укреплению конкурентоспособности хозяйствующих субъектов различных форм собственности путем построения системы информационной безопасности данных субъектов на основе реализации политики информационной безопасности.
Научную новизну содержат следующие положения и результаты исследования:
Х На основе анализа мировых тенденций развития бизнеса сделан вывод о роли информационной безопасности предпринимательской деятельности как приоритетном направлении повышения ее конкурентоспособности на современном этапе развития экономики;
Х Разработана методика определения рисков информационных систем субъектов предпринимательской деятельности в ситуациях, когда невозможно воспользоваться количественными характеристиками для расчета величины риска. Суть методики заключается в определении посредством экспертных оценок зависимости значения риска от определенных факторов - вероятности наступления события и ущерба от наступления данного события;
Х Разработана модель управления информационными рисками на основе агоритма, отражающего последовательность и взаимодействие этапов оценки рисков и выбора защитных регуляторов;
Х Сформулирован методический подход к определению затрат при расчете эффективности применения системы информационной безопасности на основе сравнения показателей стоимости совокупных потенциальных потерь информации без использования системы информационной безопасности и показателя стоимости реальных потерь при ее использовании;
Х Разработан подход к построению методологии сценарного прогнозирования и анализа поведения системы информационной безопасности при возникновении различных угроз информационной среде субъекта предпринимательской деятельности, в основу которого положено выделение ключевых моментов развития ситуации посягательства на защищаемый объект и разработка качественно различных вариантов отражения атаки, а также анализ и оценка каждого из полученных вариантов и возможных последствий его реализации.
Теоретическая и практическая значимость. Настоящая диссертационная работа является результатом исследования практического материала деятельности коммерческих фирм в области защиты информационной среды, анализа публикаций и систематизации данных по данной проблеме.
Теоретическая и практическая значимость диссертационной работы определяется актуальностью поставленной цели и соответствующих ей задач, достигнутым уровнем разработанности проблематики, применением аналитического и модельного подхода к определению направления совершенствования систем информационной защиты коммерческого назначения путем формирования политики информационной безопасности субъектов предпринимательской деятельности, что призвано углубить практические и научные наработки в данной области и способствовать формированию новой парадигмы создания благоприятных условий и поддержке функционирования предпринимательских структур.
Результаты проведенного исследования, выводы и предлагаемые решения могут быть использованы коммерческими структурами с целью обеспечения собственной информационной безопасности, а также фирмами и организациями, занимающимися разработкой и внедрением систем информационной безопасности коммерческого назначения.
Разработанные в диссертации принципы и подходы к построению системы информационной безопасности коммерческих фирм позволяют:
Х сформировать грамотную стратегию обеспечения собственной информационной безопасности субъектов предпринимательской деятельности, исходя из детального анализа направлений их деятельности и комплексных требований защиты;
Х повысить скорость и качество принятия управленческих решений в области информационной защиты;
Х реализовать эффективную корпоративную политику информационной безопасности;
Х сформировать собственные службы защиты информации.
Обобщения, выводы и основные положения диссертации могут быть также использованы в обучении студентов и подготовке специалистов в области информационной безопасности.
Апробация и реализация результатов исследования.
Основные выводы и рекомендации диссертационной работы использовались при разработке и корректировке системы информационной безопасности НИИ АВТОМАТИЧЕСКОЙ АППАРАТУРЫ им. Академика В.С.Семинихина (ФГУП НИИ АА), ЗАО НТФ КРИПТОН НИИ АА, ЗАО Центр защиты информации ГАММА, ООО РЖ Сибинтек, что подтверждается соответствующими документами.
Предложенная в работе схема формализации сценариев поведения системы информационной безопасности положена в основу разработки ЗАО Центр защиты информации ГАММА интерактивной системы анализа защиты информации. В настоящее время программный продукт находится в стадии пилотного проекта.
Некоторые из теоретических и методологических положений диссертации докладывались и получили положительную оценку на Межвузовском научном семинаре Организационно-управленческие проблемы трансформации Российской экономики, Москва, 2002 год.
Публикации. Основные положения диссертации отражены в 6 работах общим объемом 1.5 п.л.
Структура работы. Диссертация состоит из введения, трех глав, заключения, списка использованных источников и 12 приложений.
Диссертация: заключение по теме "Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда", Тюнина, Наталья Олеговна
ЗАКЛЮЧЕНИЕ
Стремительное развитие информационных технологий на современном этапе, признание конкуренции как главного фактора, обеспечивающего преимущество на рынке отдельных фирм, активизация экономической разведки привели в настоящее к необходимости пересмотра традиционных подходов к обеспечению сохранения конфиденциальной информации и коммерческой тайны хозяйствующих субъектов. В поддержании высокой конкурентоспособности предпринимательской деятельности особое место принадлежит проблеме формирования эффективной системы информационной безопасности хозяйствующих субъектов.
Изложенные в диссертационной работе теоретические, организационные и прикладные проблемы построения и функционирования системы ИБ коммерческой информации субъекта предпринимательской деятельности позволили подробно рассмотреть наиболее существенные вопросы, относящиеся к построению эффективной политики информационной безопасности данных субъектов. Данный факт особенно существенен и актуален в настоящее время, так как без обеспечения стройной и целенаправленной организации процесса противодействия недобросовестной конкуренции, различного рода угрозам конфиденциальной корпоративной информации невозможно создать условия для безопасного и устойчивого развития и функционирования предпринимательских структур на внутреннем и мировом конкурентных рынках.
В процессе проведения диссертационного исследования, направленного на достижение поставленных целей и задач, получены следующие теоретические и практические результаты:
Обобщен и систематизирован круг проблем, относящихся к обеспечению безопасности информационной среды предпринимательской деятельности. Проведенный анализ показал, что обеспечение защиты информационных ресурсов хозяйствующих субъектов решается построением системы информационной безопасности данных субъектов. Причем только комплексный подход к обеспечению информационной безопасности, предполагающий рациональное сочетание правовых, программно-технических и организационных мер, способен эффективно решить данную проблему.
На основе проведенного исследования автором сделан вывод, что функционирование системы обеспечения информационной безопасности предпринимательства дожно основываться на 4-х уровнях:
- Создание политико-правовых международных условий существования субъектов предпринимательской деятельности в рамках государства;
- Обеспечение достижимости макроэкономических целей на федеральном и региональном уровнях путем создания внутригосударственной подсистемы экономической безопасности;
- Создание объектовой защиты негосударственных субъектов экономики от противоправных посягательств с использованием сил и средств самих объектов защиты; - Обеспечение непосредственно информационной защиты хозяйствующих субъектов путем построения систем информационной безопасности и внедрения политики безопасности на данных субъектах.
На основе проведенного анализа и сравнения отечественного и зарубежного опыта обеспечения информационной безопасности частного предпринимательства автором выявлены основные тенденции развития отечественного рынка информационной безопасности, выражающиеся в адаптации к российским условиям и применении на практике методик международных стандартов, а также использовании внутренних корпоративных методик и разработок, позволяющих вывести на качественно новый уровень эффективность экономической безопасности российского бизнеса путем сохранения конкурентных преимуществ.
Автором проанализированы понятия конфиденциальной информации, ее основных категорий и коммерческой тайны субъектов предпринимательской деятельности. В рамках предложенной классификации выделены составляющие коммерческой тайны по функционально-целевому признаку, детально исследованы сущность и признаки угроз конфиденциальной информации, что позволило сделать вывод о необходимости построения политики информационной безопасности субъекта предпринимательской деятельности на основе комплексного подхода, учитывающего многообразие потенциальных угроз информации, назначение объекта защиты, его размеров, условий размещения и характера деятельности.
В диссертационной работе подробно рассмотрены основные шаги построения системы информационной безопасности предпринимательских структур, среди которых анализ и оценка рисков информационных ресурсов играют ведущую роль. В процессе исследования зарубежных и отечественных подходов к оценке рисков информационных систем автором была предложена и апробирована методика определения рисков коммерческих информационных систем, исходя из формализованных качественных показателей определяющих факторов, позволяющая оценить степень информационного риска в ситуациях, когда невозможно воспользоваться традиционными методиками, использующими количественные характеристики для расчета величины риска. Также была разработана модель процесса управления информационными рисками, суть которой заключается в оценке рисков и выборе эффективных и экономичных защитных регуляторов, даны общие рекомендации по применению комбинированного подхода к различным методикам определения рисков.
В рамках анализа различных методологий расчета экономической эффективности системы защиты информации сделан вывод, что разумным компромиссом, подразумевающим необходимость учета экономического (финансового) и, так называемого, неэкономического качественного аспекта в критерии эффективности применения системы информационной безопасности, следует считать формализацию показателей эффективности в координатах затраты преимущества. Автором предложен методологический подход к формализации данных показателей, значения которых неравноценны, а единицы измерения несовместимы.
Автором разработана и апробирована методика определения затрат при расчете эффективности применения системы информационной безопасности на хозяйствующем субъекте на основе расчета показателя лэффективность-стоимость, что позволило конкретно оценить практические результаты от функционирования системы защиты информационной среды.
В диссертационной работе разработан подход к методологии построения сценарного анализа и прогнозирования поведения системы информационной безопасности при возникновении различных угроз информационной среде субъекта, исследован агоритм разработки сценариев, проанализированы зарубежные и отечественные программные продукты, используемые при сценарном прогнозировании, классифицированы различные модели потенциальных нарушителей информационной безопасности. На основе обобщений и формализации исследованных отдельных подходов определена методология построения сценарного анализа поведения коммерческих информационных систем, которая легла в основу программного продукта, находящегося в настоящее время в стадии пилотного проекта.
В процессе исследования автор приходит к выводу об обязательной необходимости применения всех 3-х выше предложенных методологий (анализа рисков, расчета экономической эффективности, сценарного анализа и прогнозирования) при построении эффективной системы защиты безопасности субъектов предпринимательской деятельности. Существенно и качественно выпоненный анализ информационных рисков позволяет провести сравнительный анализ по критерию лэффективность-стоимость различных вариантов защиты, а применение метода сценарного анализа позволяет принять решение о целесообразности использования того или иного варианта защиты конфиденциальной информации, построить структурные и объектно-ориентированные модели информационных угроз и рисков и выявить те особо важные точки защищаемого объекта, риск нарушения которых является критическим, то есть, неприемлемым.
В диссертационной работе автор делает вывод, что в основе разработки комплексной и эффективной системы обеспечения экономической безопасности предпринимательства в аспекте защиты его коммерческих интересов и, таким образом, обеспечения его конкурентоспособности, дожна лежать определенная политика информационной безопасности, которая включает описание философии безопасности, цели комплексной защиты, ее задачи, принципы деятельности, а также стратегию и тактику защиты.
Автором подробно исследована модель построения политики информационной безопасности хозяйствующих субъектов, принципиально важным моментом которой является формирование требований к безопасности информационных ресурсов, подробно рассмотрены и классифицированы основные угрозы информационной безопасности деятельности данных субъектов.
В работе предложена и апробирована модель организации отделов службы безопасности, созданием которой и завершается построение системы защиты информации субъекта предпринимательской деятельности. Выделены ряд этапов, рекомендуемых при создании службы безопасности, описаны функции отдельных подразделений и обоснована необходимость создания кризисной группы для принятия решений при чрезвычайных обстоятельствах, приведен агоритм действий службы безопасности.
На основе проведенного исследования выявлены роль и место мониторинга системы защиты ИБ в формировании политики информационной безопасности предпринимательской структуры, проведение которого носит постоянный циклический характер и позволяет оценить текущее состояние безопасности на соответствие предъявленным требованиям, выявить существующие бреши в защищенности хозяйствующего субъекта и дать рекомендации по их исправлению.
Диссертация: библиография по экономике, кандидат экономических наук , Тюнина, Наталья Олеговна, Москва
1. Гражданский кодекс РФ.- ЭКМОС, 2003. 272с.
2. Кодекс РФ об административных правонарушениях (с постатейными материалами). М.: Юридическая литература, 2002. - 1008с.
3. Уголовный кодекс РФ. Вече, 2003. - 160с.
4. О частной детективной и охранной деятельности в Российской Федерации. Закон РФ №2487-1 от 11.03.92.
5. О правовой охране программ для электронных вычислительных машин и баз данных. Закон РФ №3523-1 от 23.09.92.
6. О сертификации продукции и услуг. Закон РФ №5151-1 от 10.06.93.
7. Об информации, информатизации и защите информации. Закон РФ №24-ФЗ от 20.02.95.
8. Об участии в международном информационном обмене. Закон РФ №85-ФЗ от 04.07.96.
9. Перечень сведений конфиденциального характера. Указ Президента Российской Федерации № 188 от 06.03.97.120 передаче сведений, которые не могут составлять коммерческую тайну. Постановление правительства Российской Федерации № 35 от 05.12.91.
10. Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах испонительной власти. Постановление Правительства Российской Федерации №1233 от 03.11.94.
11. Положение о лицензировании деятельности по технической защите конфиденциальной информации. Ч Постановление Правительства Российской Федерации №290 от 30.04.2002.
12. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации Руководящий документ. - Гостехкомиссия России - Москва, 1992.
13. Концепция защиты СВТ и АС от НСД к информации. Руководящий документ. - Гостехкомиссия России - Москва , 1992.
14. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. Руководящий документ. - Гостехкомиссия России -Москва, 1992.
15. Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К). Решение Колегии Гостехкомиссии России №7.2 от 02.03.01.
16. Азоев Г.Л. Конкуренция: анализ, стратегия и практика. М.: Центр экономики и маркетинга, 1996. - с.56-69.
17. Алаухов С.Ф., Коцеруба В.Я. Вопросы создания систем физической защиты для крупных промышленных объектов // Системы безопасности. 2001. №41, - с.93.
18. Андреевский Н.А. Подход к построению математической модели системы защиты информации в компьютерной системе // Безопасность информационных технологий №2, 1995. с. 16-17.
19. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями: Пер. с англ. Ч М.: Мир, 1999.-351с.
20. Алексеев А.И, Комментарий специалиста.// Частный сыск и охрана №1, 1998. с.34-36.
21. Балыбердин A.J1. Основные положения закона Российской Федерации О государственной тайне и их влияние на систему защиты информации. // Безопасность информационных технологий №1,. 1999. с.7-10.
22. Бачило И.Л. Методология решения правовых проблем в области информационной безопасности. // Информатика и вычислительная техника №3, 2000. с.21-25.
23. Батурин Ю.М. Жиджитский A.M. Компьютерная преступность и компьютерная безопасность М.: Юридическая литература, 1999 Ч 162с.
24. Бережье Ж. Промышленный шпионаж. Ч М., 1992. 165с.
25. Бородина О.А. Факторы и методы оценки экономической безопасности предприятия. Автореферат диссертации канд. экон. Наук Ч Донецк, 2002 -25с.
26. Воловик Е.М. Защита данных в распределенных системах // Мир ПК. №10, 1997. с.166-170.
27. В США принят план защиты информационных систем // Jet Info online, 2000г. №8(87).
28. Гавриш В.А. Практическое пособие по защите коммерческой тайны. Симферополь: Таврида, 1994. 112с.
29. Гасанов РМ. Шпионаж и бизнес. -М., 1999. 213с.
30. Герасименко В.А. Основы информационной грамоты М.: Энергоатомиздат, 1996. 146с.
31. Герасименко В.А. Комплексная защита информации в современных системах обработки данных. // Зарубежная радиоэлектроника №2,1994 -с.35-38.
32. Горячев B.C. Информация и ее защита. // Вопросы защиты информации. №2,1994-с.45.
33. Гранберг А.Г., Суспицын С.А. Введение в системное моделирование народного хозяйства. Новосибирск: Наука. Сиб. отд-ние, 1988. - 304с.
34. Гузик С. Зачем проводить аудит информационных систем? // Jet Info online, № 10(89), 2000.41 .Гуров А.И. Профессиональная преступность: прошлое и современность Ч М.,1996. 116с.
35. Давыдовский А.И. Методология построения безопасных процессов обработки информации. // Безопасность информационных технологий. №1, 1999. с.63-65.
36. Данько Т.П. Управление маркетингом: Учебник. Изд. 2-е, перераб. и доп. -М.: ИНФРА-М, 2001. 334с.
37. Догова А.И. Преступность в России // Советская юстиция. Ч 1993, с.37-3
38. Догова А.И. Преступность и общество.- М. 1992, 204с.
39. Ельцин Б.Н. Россия на рубеже эпох. Ежегодное послание Президента // Российская газета, 31 марта 1999г.
40. Жуков А.В., Маркин И.Н., Денисов В.Б. Все о защите коммерческой информации. М., 1992. - 89с.48.3егжда Д.П., Ивашко А.М.Основы безопасности информационных систем. Ч М.:Горячая линия Телеком, 2000. - 452с.
41. Измайлов A.M. "Концептуальное проектирование интегрированных систем безопасности // БДИ №4, 1998. с. 14.
42. Казакевич О.Ю. Предприниматель в опасности: способы защиты (практическое руководство для предпринимателей и бизнесменов). Объединение УППИКС, М, 1998, 256с.
43. Казакевич О.Ю., Конеев Н.В, Максименко В.Г. и др. Предприниматель в опасности: способы защиты. Практическое руководство для предпринимателей и бизнесменов. М.: Юрфак МГУ, 1992. 119с.
44. Каторин Ю.Ф., Куренков Е.В., А.В.Лысов, А.Н.Остапенко / Энциклопедия промышленного шпионажа / С.Петербург: ООО Издательство Полигон, 1999. 512с.
45. Кедровская Л., Ярочкин В. Коммерческая тайна в условиях рыночной экономики. // Информационные ресурсы России. 1998, №5-6, с. 11-15.
46. Кравец Л.Г., Обрезанов С.А. Конкурентоспособность предпринимательства и конкурентная разведка. Изд.дом Права человека, 2002. 182с.
47. Кобзарь М.Т., Клайда И.А. Общие критерии оценки безопасности информационных технологий и перспективы их использования//^ Info.-1998.-№1.
48. Кобзарь М.Т., Трубачев А.П. Концептуальные основы совершенствования нормативной базы оценки безопасности информационных технологий в России // Безопасность информационных технологий №4, 2000. с.9-11.
49. Кононов Д.А., Кульба В.В. Формирование сценариев развития макроэкономических процессов на базе использования языка знаковых графов. Ч // Моделирование экономической динамики: риск, оптимизация, прогнозирование. Ч М.: МГУ. 1997. с.7-33.
50. Королев В.И., Морозова Е.В. Методы оценки качества защиты информации при ее автоматизированной обработке // Безопасность информационных технологий №2, 1995. с.79-87.
51. Кофейников Ю.К. Методы и анализ уязвимости объекта (текущее состояние). Сборник материалов 1-го отраслевого совещания руководителей подразделений безопасности нефтеперерабатывающих и химических предприятий России и СНГ, 2000. с.34-38.
52. Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. М: Новый юрист, 1999. - с.116.
53. Ларичев В.Д. Как уберечься от мошенничества в сфере бизнеса. М.: Юристъ, 1998,-216с.
54. Левин В.К Ч Защита информации в информационно-вычислительных системах и сетях -- Программирование , №5, 1998. с.5-16.
55. Лезер Й., Проэктор Д. Революция в политике безопасности. М., 1996. -304с.
56. Липаев В.В. Стандарты на страже безопасности информационных систем // PC WEEC/RE.- 2000. №30.
57. Лукацкий А.В. Адаптивная безопасность сети. Компьютер-Пресс, №8, 1999, с.23-34.
58. Лукацкий А.В. Обнаружение атак.- СПб.: БХВ-Петербург, 2001, 98с.
59. Максименко С.В. Технологическая модель обеспечения достоверности данных информационных технологий. // Безопасность информационных технологий. 1998, №2, - с.14-15.
60. Максимова В.Ф. Микроэкономика. Учебник. Издание третье, переработанное и допоненное М.: Соминтэк, 1996, - 328с.
61. Малежин О.Б. Опыт обеспечения информационной безопасности естественных монополий // Сборник материалов конференции Информационная безопасность России в условиях глобального информационного общества 18 июня 2001, Москва. -2001, с.46-51.
62. Марков С.В. Без защиты информации нет бизнеса.// Конфидент №3, 2002. с.4-6.
63. Материалы семинара Университета МВД РФ. СПб.: Университет МВД РФ, 1997. - с.18-25.
64. Минна Р. Закон против мафии. Пер. с итал. Ч М.,1989. 115с.
65. Мироничев С.Ю. Коммерческая разведка и контрразведка или промышленный шпионаж в России и методы борьбы с ним. М.: Дружок, 1995.-216с.
66. Осипов В.Ю. Оценка ущерба от несанкционированного доступа к электронно-вычислительной системе. // Безопасность информационных технологий №2, 1995. с. 17-19.
67. Петраков А.В. Основы практической защиты информации. Ч М.: Радио и связь, 1999. -368с.
68. Петраков А.В. Защита и охрана личности, собственности, информации: Справочное пособие. М.: Радио и связь, 1997. - 320с.
69. Петренко С.А., Петренко А.А., Аудит безопасности Intranet. М.:ДМК Пресс, 2002.-416с.
70. Петренко С.А., Симонов С.В. Новые инициативы российских компаний в области защиты конфиденциальной информации // Конфидент №1, 2003. с.34-38.
71. Портер М. Международная конкуренция: Пер.с англ. / Под ред. и с предисловием В.Д.Щетинина. М.: Международные отношения, 1993. -345с.
72. Предпринимательство и безопасность. Т.2.Ч.1. Ч М.:АНТИ, 1991, 346с.
73. Ракитянский Н. Информационная безопасность предприятия. // Информационные ресурсы России №2, 1999. с.5.
74. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях / Под. Ред. В.Ф. Шаньгина. 2-е изд., перераб. и доп. Ч М.: Радио и связь, 2001. - 376с.
75. Руководство по оценке эффективности инвестиций: Пер. с англ. перераб. и допон. изд-е. -М.: АОЗТ Интерэксперт, ИНФРА-М, 1995.- 98с.
76. Сардак И.Г. Борьба с экономическими преступлениями выходит на новый уровень // М.: Гротек. Системы безопасности связи и телекоммуникаций №3, 1998 с.13-24.
77. Симонов С.В. Анализ рисков в информационных системах. Практические аспекты .//Конфидент №2, 2001. с.48-53.
78. Симонов С.В. Методология анализа рисков в информационных системах.// Конфидент №1, 2001. с.72-76.
79. Симонов С.В. Технологии аудита информационной безопасности.// Конфидент №2, 2002. с.36-41.
80. Скуратов Ю.И., Лебедев В.М. Комментарий к Уголовному кодексу Российской Федерации М.: Инфа-М - Норма, 1996, - 98с.
81. Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах. М.:ДМК Пресс, 2002. - 134с.
82. Спесивцев А.В., Вегнер В.А., Крутяков А.Ю., Серегин В.В. Защита информации в персональных ЭВМ М.: Радио и связь, Веста, 1998. -191с.
83. Спицнадель В.Н. Основы системного анализа: Учебн.пособие. СПб.: Бизнес-пресс, 2000. - 176с.
84. Степанов Е. Кроты на фирме (персонал и конфиденциальная информация)// Предпринимательское право №4, 1999. с 49.
85. Сырков Б. Компьютерная преступность в России. Современное состояние // Системы безопасности связи и телекоммуникаций. М.: Гротек №4, 1998. с.36.
86. Трубачев А.П., Долинин М.Ю., Кобзарь М.Т., Сидак А.А., Сороковиков В.И. Оценка безопасности информационных технологий // Под общ. Ред. В.А. Галатенко. -М.:СИП РИА, 2001. 356с.
87. Фатхутдинов Р.А. Конкурентоспособность: экономика, стратегия, управление. М.: ИНФРА-М. - 2000. - 312с.
88. Фатхутдинов Р.А. Стратегический маркетинг: Учебник. Ч М.: БШ, 2000.- 640с.
89. Хриби У., Гэмми Б., Уол С. Экономика для менеджеров: Учеб.пособие для вузов / Пер. с англ. под ред. A.M. Никитина М.: ЮНИТИ, 1999. -535с.
90. Черней Г.А. Моделирование задач оценки эффективности информационной безопасности экономических информационных систем. Автореферат диссертации канд. эконом, наук М., 1996. - 24с.
91. Шаваев А.Г. Безопасность копрораций. Криминологические, уголовно-правовые и организационные проблемы. М.:Концерн Банковский Деловой Центр, 1998. - с.42.
92. Шанк Дж., Говиндараджан В. Стратегическое управление затратами / Пер. с англ. СПб.: ЗАО Биснес Микро, 1999. 288с.
93. Ш.Шибакин О.Ю. Проблемы и методы построения сценариев социально-экономического развития. М.: Наука, 1992. - 176 с.
94. Шлыков В.В. Комплексное обеспечение экономической безопасности предприятия. СПб: "Алетейя", 1999. - с.59.
95. Шумпетер Й. Теория экономического развития. Ч М., 1982. с. 159.
96. Юданов А.Ю. Конкуренция: теория и практика: Учебн. Пособие, 2-е изд. М.: Гном-Пресс, 1998.
97. Ярочкин В.И. Безопасность информационных систем. М. Ось-89, 1997- 320с.
98. Ярочкин В.И. Система безопасности фирмы. М. Ось-89, 1997. - 192с.
99. Ярочкин В.И. Предприниматель и безопасность. М., Ось-89, 1994. -234с.
100. Ярочкин В.И. Секьюритология наука о безопасности жизнедеятельности. - М.: "Ось-89", 2000. - с.151.
101. A practical guide to the use of CRAMM, 1998.
102. Baker R.H. Computer Security Handbook. Blue Ridge Summit (Pensylvania): TAB Professional Reference Books, 1994.
103. Barker L.K., Nelson L.D. Security standart gavernment and commercial. // ^ AT&Technical Journal. - 1998, vol.67, № 3, p.9-18.
104. Daly J. Virus vagaries foil feuds. // Computerworld. 1996, vol.27, №28, p.1,15.
105. Information security management. Part 2. Specification for information security management systems. British Standart BS7799, Part 2, 1998.
106. Information security management: an introduction. DISC PD 3000, 1998.
107. Information security. Handbook N.Y., 1999.-fr- 126. Information Technology Security Evaluation Criteria (ITSEC). Harmonised
108. Criteria of France Ч Germany Ч the Netherlands Ч the United Kingdom ~ Department of Trade and Industry, London , 1991.
109. ISO/IEC 15408-1 Information technology Security technigues - Evaluation criteria for IT security - Part 1: Introduction and general model, 1999.
110. Savka K. Security Resources Planning//Competitive Intelligence Magazine, Sept-Oct 2001.
111. Security Architecture for Open Systems Interconnection for CCITTt'1
112. Applications. Recommendation X.800 Ч CCITT, Geneva , 1991.
113. Styblinski M.A. Formulation of the drift reliability optimization problem. // Microelectronic Reliab. 1997, vol.31, № 1, p. 159-171.
114. Основные нормативные правовые акты и методические документы по защите конфиденциальной информации.
115. Федеральный закон от 20.02.95 г. №24-ФЗ "Об информации, информатизации и защите информации".
116. Федеральный закон от 04.07.96 г. №85-ФЗ "Об участии в международном информационном обмене".
117. Федеральный закон от 16.02.95 г. №15-ФЗ "О связи".
118. Федеральный закон от 26.11.98 г. № 178-ФЗ "О лицензировании отдельных видов деятельности".
119. Указ Президента Российской Федерации от 17.12.97 г. № 1300 "Концепция национальной безопасности Российской Федерации" в редакции указа Президента Российской Федерации от 10.01.2000 г. №24.
120. Указ Президента Российской Федерации от 06.03.97 г. № 188 "Перечень сведений конфиденциального характера".
121. Постановление Правительства Российской Федерации от 03.11.94 г. №1233 "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органов испонительной власти".
122. ГОСТ Р 51275-99 "Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения"
123. ГОСТ Р 50922-96 "Защита информации. Основные термины и определения"
124. ГОСТ Р 51583-2000 "Порядок создания автоматизированных систем в защищенном испонении"
125. ГОСТ Р 51241-98 "Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний".
126. ГОСТ 12.1.050-86 "Методы измерения шума на рабочих местах".
127. ГОСТ Р ИСО 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель".
128. ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации".
129. ГОСТ 2.114- 95 "Единая система конструкторской документации. Технические условия".
130. ГОСТ 2.601- 95 "Единая система конструкторской документации. Эксплуатационные документы".
131. ГОСТ 34.201- 89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем".
132. ГОСТ 34.602- 89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создании автоматизированных систем".
133. ГОСТ 34.003- 90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения".
134. РД Госстандарта СССР 50-682-89 "Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения".
135. РД Госстандарта СССР 50-34.698-90 "Методические указания. Информационная технология. Комплекс стандартов и руководящихдокументов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов".
136. РД Госстандарта СССР 50-680-89 "Методические указания. Автоматизированные системы. Основные положения".
137. ГОСТ 34.601- 90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадия создания"
138. ГОСТ 6.38-90 "Система организационно-распорядительной документации. Требования к оформлению".
139. ГОСТ 6.10- 84 "Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствам вычислительной техники, ЕСКД, ЕСПД и ЕСТД".
140. ГОСТ Р-92 "Система сертификации ГОСТ. Основные положения".
141. ГОСТ 28195-89 "Оценка качества программных средств. Общие положения".
142. ГОСТ 28806-90 "Качество программных средств. Термины и определения".
143. ГОСТ Р ИСО\МЭК 9126- 90 "Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению".
144. ГОСТ 2.111-68 "Нормоконтроль".
145. ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации".
146. РД Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей", Москва, 1999г.
147. РД Гостехкомиссии России "Средства защиты информации. Специальные общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам", Москва, 2000г.
148. ГОСТ В 15.201-83 "Тактико-техническое (техническое) задание на выпонение ОКР".
149. ГОСТ В 15.101-95 "Тактико-техническое (техническое) задание на выпонение НИР"
150. ГОСТ В 15.102-84 "Тактико-техническое задание на выпонение аванпроекта"
151. ГОСТ В 15.103-79 "Порядок выпонения аванпроекта. Основные положения"
152. ГОСТ В 15.203-96 "Порядок выпонения ОКР. Основные положения"
153. Решение Гостехкомиссии России от 14.03.95 г. № 32 "Типовое положение о подразделении по защите информации от иностранных технических разве док и от ее утечки по техническим каналам на предприятии (в учреждении, организации)".
154. СанПиН 2.2.2.542-96 "Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы".
155. ГОСТ Р 50948-96. "Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности".
156. ГОСТ Р 50949-96 "Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности."
157. ГОСТ Р 50923-96 "Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения."
158. Решение Гостехкомиссии России от 03.10.95 г. № 42 "Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и ее утечки по техническим каналам на объекте".
159. Основные виды компьютерных преступлений из списка руководства Интерпола по компьютерной преступности
160. Краткая форма соглашения о сохранении коммерческой тайны в американской корпорации
161. Я подтверждаю, что не имею никаких обязательств перед каким-либо лицом или фирмой, которые входят в противоречие с настоящим Соглашением или которые ограничивают мою деятельность на стороне Компании.1. Служащий1. Дата:
162. Примеры программных продуктов для анализа рисков различных уровней
163. Программный продукт Характеристика
164. RiskWatch ПО поного анализа рисков. Позволяет выпонить несколько упрощенный вариант поного анализа рисков. Имеется версия метода для оценки рисков при организации контроля доступа.
165. Пример оценки угроз и уязвимостей на основе косвенных факторов
166. Ъ Оставаться постоянной 0с К снижению -10Х ИТОГ: Степень угрозы при количестве балов: а До 9 Очень низкая1. Ъ От 10 до 29 Низкаяс От 30 до 70 Средняяd От 71 до 90 Высокаяе 91 и более Очень высокая
167. Ъ Только при исключительных обстоятельствах 5с Нет 0Х Может ли использование приложения несанкционированным образом привести к разглашению информации?1. Варианты ответова Да 10
168. Ъ Только при исключительных обстоятельствах 5с Нет 0Х Может ли использование приложения несанкционированным образом привести к искажению информации?а Да 10
169. Ъ Только при исключительных обстоятельствах 5с Нет 0Х ИТОГ:
170. Степень угрозы при количестве балов:а До 33 Низкая1. Ъ От 34 до 67 Средняяс 68 и более Высокая1. А
171. Капитальные затраты на создание и внедрение системы защиты информации на предприятии:
172. Зк 3Пр Зм Зв Зо Зптех~ь 30рГ 3ИдОП, (1)где Зпр Ч затраты на проектирование системы информационной безопасности;
173. Зм Ч затраты на монтажные работы;
174. Постоянные затраты на эксплуатацию и поддержку системы экономической защиты:
175. Зп ЗуП Зипост Зпп + ЗаИр Зпо+ Зпф0, (2)где
176. ЗуП Ч затраты на управление паролями и другие операциями по управлению системой разграничения доступа;
177. Зипост ~ постоянные годовые затраты на избыточность, которая включает затраты на резервирование информации, избыточность операций (действий), повторную идентификацию персонала.
178. Зпп ~ прямые потери из-за уменьшения производительности информационной системы предприятия в связи с использованием системы информационной безопасности;
179. Заир Ч затраты на идентификацию, аутентификацию и регистрацию входа в систему;
180. Зпо Ч затраты на переподготовку персонала;
181. ЗпфоЧ затраты на постоянную физическую охрану объекта.
182. Затраты на управление паролями и другие операции по управлению системой разграничения доступа:1. Зуп * пп * СД, (3)tn. Ч время единичного изменения паролей; пп Чпериодичность изменения паролей; СиЧ стоимость одного часа работы в системе.
183. ЗИПОст Ч постоянные годовые затраты на поддержку требуемого уровняизбыточности;1. Т Ч временной период.
184. СиЧ стоимость одного часа работы в системе.
185. СиЧ стоимость одного часа работы в системе.
186. Тогда, с учетом формулы (6) формула (7) приобретает следующий вид:где NaДp Ч количество пользователей системы;
187. Wpi- время, затраченное на один вход в систему;паир~ количество входов в систему в течении одного года функционирования системы информационной безопасности. СиЧ стоимость одного часа работы в системе.
188. Затраты на обучение и переподготовку персонала:1. Зпоп "Ь Зпо, (9)где 30Ч затраты на первоначальное обучение персонала; Зпо Ч затраты на переподготовку персонала.
189. Затраты на переподготовку персонала можно определить как: Зпо Ч Зпо 1 * Пгод 5 ( Ю)з = TsJ *t *n * П . Х-'аир 1Л|аир 1аир1 1Хаир ^иэаираир8)
190. Затраты на физическую охрану объекта:1. Зфиз Ч Зто Зпхо, (12)где ЗхоЧ затраты на программно-технические средства и их обновление; ЗПТо ~~ затраты на персонал технической охраны.
191. Затраты на персонал технической охраны можно определить как:3nTO-Zci*Ki; (14)где Cj Ч заработная плата персонала i-ой категории (в год);
192. К, Ч количество необходимого персонала i-ой категории.
193. Тогда с учетом формул (13) и (14) формула (12) будет иметь вид:
194. Модели потенциальных нарушителей информационной безопасности
195. ОРГАНИЗАЦИОННЫЕ ХАРАКТЕРИСТИКИ
196. Категории правонарушителей Организация Причины вхождения в криминальные группы Международные связи1. ВЗЛОМЩИКИ
197. Группы Неорганизованные с антисоциальной ориентацией Притягательность равноправного участия в группе Взаимодействуют и обмениваются информацией с другими группами во всем мире
198. Одиночки Отсутствует. Увлечены интелектуальной сложностью взлома. Подписываются на журналы для взломщиков. Посещают электронные доски объявлений для взломщиков.1. ПРЕСТУПНИКИ
199. Шпионы Поддерживаются враждебными разведывательными службами. Как правило, деньги. Иногда идеологические предпочтения или внимание Используют компьютерные сети для взлома компьютеров во всем мире.
200. Мошенники Могут работать в составе небольших организованных групп или в одиночку. Деньги и власть. Используют телекоммуникационные службы для международных денежных переводов.1. ВАНДАЛЫ
201. Посторонние Одиночки или небольшие группы. Могут быть совсем молодыми. Месть, интелектуальная сложность, деньги Используют компьютерные сети и телефонные системы для взлома компьютеров.
202. Пользователи Часто сотрудники или бывшие сотрудники. Месть, власть, интелектуальная сложность, недовольство. Отсутствуют.1. РАБОЧИЕ ХАРАКТЕРИСТИКИ
203. Категории правонарушителей Планирование Уровень мастерства Тактика и используемые методы1. ВЗЛОМЩИКИ
204. Группы Могут применять детальное планирование. Высокий Используют для взлома компьютерные сети. Обмениваются информацией с другими взломщиками.ь
Похожие диссертации
- Деятельность торгово-посреднических субъектов как фактор повышения конкурентоспособности крупнейшего города
- Предпринимательство, как фактор экономического роста в условиях формирующейся рыночной экономики Республики Таджикистан
- Развитие эффективных инструментов и методов бизнес-планирования на малых промышленных предприятиях
- Финансовая устойчивость малого предпринимательства как фактор повышения его экономической власти
- Развитие свиноводства и повышение его конкурентоспособности