Разработка системы управления экономической безопасностью предприятий

Третьякова, Наталья Сергеевна

Темы диссертаций по экономике » Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда

Разработка системы управления экономической безопасностью предприятий тема диссертации по экономике, полный текст автореферата

Автореферат

Ученая степень	кандидат экономических наук
Автор	Третьякова, Наталья Сергеевна
Место защиты	Санкт-Петербург
Год	2003
Шифр ВАК РФ	08.00.05

Диссертация

Автореферат диссертации по теме "Разработка системы управления экономической безопасностью предприятий"

На правах рукописи

ТРЕТЬЯКОВА НАТАЛЬЯ СЕРГЕЕВНА

РАЗРАБОТКА СИСТЕМЫ УПРАВЛЕНИЯ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТЬЮ ПРЕДПРИЯТИЙ

Специальность 08.00.05 -Экономика и управление народным хозяйством: экономика, организация и управление предприятиями, отраслями и комплексами (сфера услуг)

АВТОРЕФЕРАТ

диссертации на соискание учёной степени кандидата экономических наук

Санкт-Петербург 2003

Работа выпонена в Санкт-Петербургском государственном инженерно-экономическом университете

Научный руководитель - заслуженный деятель

науки и техники РФ,

доктор экономических наук, {

профессор Пузыня Константин Фёдорович

Официальные оппоненты:

доктор экономических наук, профессор Вадайцев Сергей Васильевич

кандидат экономических наук, доцент Знаменская Кира Николаевна

Ведущая организация - Санкт-Петербургский

государственный университет информационных технологий, механики и оптики

Защита состоится л /Г * 2003 г. в часов на заседании

диссертационного совета д 2li.219.02 при Санкт-Петербургском государственном инженерно-экономическом университете по адресу: 191002, Санкт-Петербург, ул. Марата, 27, ауд. 314.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского государственного инженерно-экономического университета по адресу: 196084, Санкт-Петербург, Московский пр., 103 а.

Автореферат разослан л ^ол^/л 2003 г.

Учёный секретарь диссертационного совета, д.э.н., профессор

Цветков А.Н.

~ I ' з

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследования. В современных условиях проблема , экономической безопасности (ЭБ) становится первостепенной. Объектами ЭБ яв-

ляются государство, регион, каждый гражданин, различные социальные институты, предприятия. Основными элементами экономической системы России явля-I, ются предприятия. В современных условиях нестабильности и криминализации

рынка, несовершенства российского законодательства предприятия подвержены многим опасностям и угрозам. Экономическую безопасность предприятий (ЭБП) можно обеспечить только тогда, когда используются все средства, методы и способы, объединенные в единый, целостный механизм - систему управления экономической безопасностью предприятия (СУЭБП), которая обеспечит не только защищённость предприятия от угроз и опасностей, но и активное взаимодействие с внешней и внутренней средой.

Интенсивное внедрение информационных технологий привели к тому, что информация становится стратегическим ресурсом. В условиях глобальной информатизации государства услуги, предоставляемые предприятиями электросвязи (ПЭс), имеют стратегическое значение в сферах обороны, производства, услуг.

Анализ состояния дел в области информационной безопасности (ИБ) показывает, что к настоящему времени в стране сложилась достаточно чётко очерченная система концептуальных взглядов на обеспечение ИБ государства в целом и хозяйствующих субъектов в отдельности. Тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не уменьшаются, но имеют устойчивую тенденцию к росту. Возникла новая среда противоборства - информационное пространство. В связи с этим предприятиям приходится разрабатывать стратегию и тактику оборонительных информационных действий. В противном случае у них остаётся мало шансов выжить.

Следует отметить, что категория ЭБ находится на стыке наук: экономики, социологии, психологии, юриспруденции. Систематизированные взгляды на проблему ЭБ представлены в работах Абакина Л., Арбатова А., Блинова Н., Вал-дайцева С., Дагаева А., Загашвили В., Крысина А., Олейникова Е. и др.

В некоторых исследованиях отечественных и зарубежных учёных акцентируется внимание на изучении отдельных вопросов по этой проблеме. Так, исследованию проблем ЭБП посвящены работы Гусева В., Колосова А., Степашина ' С., Торянникова Б., Шаваева А., Шульца В. и др. Проблемы ИБ исследованы Ва-

ракиным Л., Герасименко В., Хоффманом Л., Юсуповым Р., Ярочкиным В. и др.

Высоко оценивая вклад вышеперечисленных авторов, необходимо отметить, что вопросам формирования СУЭБП и методам обеспечения ЭБП в современных российских условиях уделено недостаточно внимания. Зарубежные исследователи не описывают системы обеспечения ЭБП, раскрывают лишь частные аспекты проблемы. Зарубежные методики обеспечения ЭБП основаны на статистике давно сложившихся рынков и имеют ограниченную полезность применения в российской действительности.

Следовательно, актуальность темы определяется наличием противоречия

(особенно угроз ИБ) и сложностью применения на практике теоретических исследований учёных, посвященных экономической безопасности страны, что вызывает необходимость разработки системы и методов обеспечения ЭБП.

Цель и задачи исследования. Цель диссертационной работы состоит в выработке рекомендаций по формированию системы управления экономической безопасностью на российских предприятиях, путем разработки оптимальной структуры СУЭБП и создания информационной подсистемы в ее составе. Для достижения этой цели были поставлены следующие задачи:

> исследовать динамику развития проблемы ЭБ в рамках государства, предприятия и методологические основы формирования СУЭБП в России на современном этапе,

> исследовать структуру СУЭБП, определить объект и субъект управления,

> провести анализ рынка услуг по обеспечению ЭБП и разработать их классификацию, выявить тенденции и направления его развития,

> разработать концепцию обеспечения ЭБП и методы управления услугами по ЭБП в современных условиях,

> сформировать СУЭБП на примере создания и развития важнейшей подсистемы - информационной,

> разработать модель нарушителя информационной безопасности предприятия и обосновать методы противодействия угрозам ИБ,

> разработать методы управления услугами по обеспечению ИБ в рамках СУЭБП и предпосыки реализации их в системе управления ЭБП. Объектом исследования является система экономической безопасности

предприятий.

Предметом исследования является процесс управления услугами по обеспечению экономической безопасности на российских предприятиях.

Теоретической и методологической основой исследования являются положения теории игр, управления, информации, вероятности и математической статистики, а также основополагающие труды отечественных и зарубежных учёных по ЭБ страны, предприятий, информационной безопасности. В работе использованы материалы научно-практических конференций, законодательные и нормативно-правовые акты органов государственного управления РФ.

В качестве методов исследования использованы методы анализа (логический, сравнительный и статистический), системный подход, инфологическое и математическое моделирование, программно-целевой и экспертные методы.

Информационной базой исследования послужили статистические данные Министерства связи и информатизации, Госкомстата РФ, частных компаний, опубликованные в периодической печати и, представленные на сайтах сети Интернет.

Научная новизна результатов исследования заключается в следующем:

> разработана системная классификация угроз информации в СУЭБП и определена сущность СУЭБП в системе предприятия, а также значимость информационной подсистемы в ее составе;

> предложена классификация услуг по обеспечению ЭБП, обоснованы требования к службам ЭБП и системе управления услугами;

> сформирована концепция управления услугами по обеспечению ЭБП и построена модель информационной подсистемы в СУЭБП, рассмотрены особенности её создания на российских ПЭс;

> разработан агоритм обеспечения безопасности информации в СУЭБП, на основе которого определен порядок формирования СИБ в СУЭБП и предложена концептуальная модель СИБ на ПЭс;

> сформированы инфологические модели границ и нарушителей ИБ на предприятиях электросвязи, ранжированы угроз ИБ на основе метода экспертных оценок; обоснованы и предложены методы противодействия угрозам ИБ и меры по их реализации в ПИБ;

> сформирована стратегия управления услугами по обеспечению ЭБП на основе теории коалиционных игр и сценарного подхода;

> обоснованы предложения по совершенствованию текущего планирования и учёту расходов на СИБ в СУЭБП, выявлена взаимосвязь затрат на ИБ и достигаемого уровня защищённости системы на примере ПЭс. Практическая значимость диссертации состоит в том, что сформулированные автором выводы и полученные результаты исследования могут служить основанием для формирования систем управления ЭБ на российских предприятиях любых отраслей народного хозяйства.

Материалы диссертационной работы использовались:

> Санкт-Петербургским военным университетом связи в научно-исследовательской работе (справка о внедрении),

> ОАО Северо-Западный Телеком при создании СИБ, разработке концепции ЭБ и текущем планировании затрат на ИБ предприятия (справка о внедрении),

> предприятием ООО ОП Северный форт в ЗАО ЭТМ при формировании политики безопасности предприятия и при текущем планировании затрат на безопасность предприятия (справка о внедрении).

Структура и содержание диссертации. Диссертационная работа состоит из введения, четырёх глав, заключения, списка литературы и приложения. Работа изложена на 196 страницах, включая 26 таблиц, 26 рисунков, 48 формул. Список литературы содержит 169 отечественных и 9 иностранных источника.

Во введении обоснована актуальность темы исследования, определены цель и задачи диссертационной работы, сформулированы объект и предмет исследования, научная новизна и практическая значимость полученных результатов.

В первой главе рассматриваются роль и место ЭБ в рыночной экономике и системе национальной безопасности РФ; осуществляется анализ и классификация видов экономических угроз, опасностей и рисков на предприятиях России. Приоритетным направлением обеспечения ЭБП определено информационное - защита информации от несанкционированного доступа и создание системы защиты информации (ЗИ). Анализируются существующие системы обеспечения ЭБП, формируются требования к созданию СУЭБП и системы ЗИ.

Вторая глава посвящена вопросам создания и развития СУЭБП. В России сформировася рынок услуг по обеспечению ЭБП. В диссертации, разработана классификация услуг по обеспечению ЭБП и модель развития российского рынка безопасности. Предложена на основе принципов системного подхода кон-

цепция управления услугами по обеспечению ЭБП. Определены задачи СУЭБП в сфере ЗИ и рассмотрены возможности обеспечения ИБ на ПЭс. Исследованы различные субъекты ЭБП - промышленные, государственные и частные службы, производящие услуги по ЭБП, обоснованы требования к их структурам.

В третьей главе разработаны оптимальная структура системы управления услугами по обеспечению ЭБП - СУЭБП и СИБ в её составе, агоритм обеспечения безопасности информационного ресурса на предприятиях и модель системы управления экономической безопасностью ПЭс. Сформирована модель границ управления ИБ. Предложены методы управления ЭБП, позволяющие парировать угрозы ИБ. Разработана политика ИБ и предложена стратегия управления услугами по обеспечению ЭБП на основе теории игр. Для формирования ПИБ рассмотрены внутренние и внешние категории нарушителей, дана их характеристика. Разработана модель нарушителя. Проведены планирование и учёт деятельности по обеспечению ИБ в СУЭБП: расходов (затрат) и эффектов на примере ПЭс.

В четвёртой главе проводится оценка эффективности СУЭБП. Предлагается несколько вариантов оценки и контроля качества услуг по обеспечению ИБ в СУЭБП. Определены организационно-правовые предпосыки формирования и развития СИБ в СУЭБП.

Основные результаты работы изложены в выводах по каждой из глав и в заключении диссертации.

В приложении приведены методы обеспечения ЭБП и реализации ПИБ, шкала уязвимостей предприятия и управление конфликтными ситуациями.

Апробация работы. Основные теоретические и методические результаты диссертации изложены в публикациях автора и докладывались на научно-практических конференциях студентов и аспирантов СПбГИЭУ Менеджмент и экономика в творчестве молодых исследователей (2001-2003 гг.) и на 1 Всероссийской научно-практической конференции Проблемы и опыт совершенствования управления и повышения эффективности функционирования учреждения и предприятий социальной сферы (2002 г.).

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Исследование проблем российских предприятий показало, что формирование и развитие экономики в нестабильной среде делает актуальным рассмотрение ЭБП как состояние защищённости, стабильности развития предприятия в настоящем и в будущем, достигаемое предотвращением угроз внешнего и внутреннего характера и эффективным использованием корпоративных ресурсов. ЭБП обеспечивает сохранение бизнеса, его целенаправленное развитие, конкурентоспособность на национальном и мировом рынках.

Очевидно, что основа обеспечения ЭБП состоит в анализе угроз, оценке их характера, динамики. Угрозы имеют причинно-следственные связи и увеличиваются из-за огромного числа локальных угроз и кризисных ситуаций.

Факторы ЭБ при определённых условиях приводят к нежелательным последствиям для объекта безопасности и становятся источниками опасности, различающиеся по природе возникновения и вероятности реализации. Неблагоприятные факторы - опасности, риски и угрозы - имеют один генезис, следова-

тельно, их можно классифицировать совокупностью по признакам. Такая классификация, сделанная в диссертации показывает всеобъемлющий характер деятельности и дожна проводиться для обеспечения ЭБП.

Большинство российских исследователей отмечают, что обеспечение ЭБП возможно при эффективном использовании предприятием корпоративных ресурсов в своей целенаправленной деятельности (в производстве товаров и услуг, сбыте их на рынке и т.д.). Среди ресурсов- финансовых, информационных, трудовых, производственных и правовых - информация наиболее ценный и дорогостоящий ресурс, важный фактор развития предприятия.

Информационные ресурсы предприятия имеют обращение в производственной деятельности и обладают свойствами полезности, объективности, поноты, достоверности, своевременности. В системе ЭБП информация может быть и объектом и элементом защиты, и элементом угрозы.

При обработке информации средствами вычислительной техники, её передачи по каналам связи, обращения в системе внутреннего документооборота возникает большое количество угроз как прямого НСД к защищаемой информации, так и косвенного её получения средствами технической разведки. Для решения практических задач предпринимались неоднократные попытки классифицировать источники и действие угроз ИБ с целью дальнейшей стандартизации средств и методов, применяемых для защиты информационного ресурса.

Для решения поставленных в диссертации научных задач разработана системная классификация информационных угроз, представленная в таблице 1.

Таблица 1

Системная классш шкация угроз информации в СУЭБП

Параметры классификации Значения параметров

Виды угроз Физическая целостность; Логическая структура; Содержание; Конфиденциальность; Адресность и своевременность, Право собственности

Предпосыки появления угроз Случайные; Преднамеренные; Активные; Пассивные

Угрозы по отношению к человеческой деятельности Объективные; Субъективные

Источники угроз (непосредственный генератор и носитель) Люди; Инженерные сооружения; Технические устройства; Программы, агоритмы, модели; Технологические системы обработки; Экономические; Юридические; Природные

Отношение угроз к предприятию Внутренние; Внешние; Переходные

Природа происхождения угроз Антропогенные; Технические; Природные

Возможность выявления угроз Открытые; Скрытые; Замаскированные

Назначение угроз Тактические; Стратегические

Частота возникновения угроз Однократные; Многократные

Масштаб действия угроз Отдельные элементы; Совокупности элементов; Система

Возможность предотвращения угроз СУЭБП Предотвращаемые; Непредотвращаемые; Частично предотвращаемые

По действию СУЭБП Выявленные; Предотвращённые; Пресечённые; Ликвидируемые

По последствиям Без последствий; Допустимые; Критические; Катастрофические

Решение проблем ЭБП возложено на систему управления услугами по обеспечению ЭБП - СУЭБП - организованную совокупность специальных служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов предприятий от внешних и внутренних угроз.

СУЭБП - открытая система, взаимодействует с внутренней и внешней средой. Поэтому объекты и субъекты СУЭБП делятся на внешние и внутренние. Субъектом управления являются различные органы управления системы, а объектами - ресурсы, производство, техника, технологии, информация, финансы и т.д. Система ЭБП представлена на рис. 1.

СУБЪЕКТЫ ЭБП

ВНЕШНИЙ

ОБЪЕКТЫ ЭБП

ИНФОРМАЦИЯ, ПРОИЗВОДСТВО, ПЕРСОНАЛ, ТЕХНИКА, ТЕХНОЛОГИИ, ЗДАНИЯ^ХРРИТОРИЯ, ФИНАНСЫ

РЕСУРСЫ, НИОКР, ПРОЕКТИРОВАНИЕ, РЫНОК

Взаимодействие I ^ Управление и контроль

Реакция на управление или ожидание нового управленческого решения

Рис. 1. Система экономической безопасности предприятий СУЭБП, как любая система, имеет ресурсное обеспечение, опираясь на которое, она выпоняет свою целевую функцию: информационное, нормативно-правовое, организационное, кадровое, техническое, программное, финансово-экономическое. Целям функционирования сложных систем управления, какой является СУЭБП, присущ динамизм, что обусловлено развитием системы.

СУЭБП базируется на принципах: комплексности, своевременности, непрерывности, законности, обоснованности, экономической целесообразности, взаимодействия и совершенствования, надёжности, централизации управления.

Основными направлениями деятельности СУЭБП являются: информационное, технико-технологическое, правовое, экологическое, финансово-экономическое, силовое, организационное. Каждое из направлений характеризуется собственным содержанием и методами, способами обеспечения ЭБП.

Учитывая ценность информационного ресурса и его определяющую роль в обеспечении конкурентных преимуществ предприятий на рынке, приоритетным направлением работы СУЭБП является информационная безопасность.

Концентрация больших объемов обобщенной и систематизированной информации в автоматизированных системах обработки информации предприятий привела к увеличению вероятности утечки конфиденциальных сведений, а значит и к необходимости принятия мер по обеспечению ИБ. Информационные технологии, которые внедряются на предприятиях, очень быстро развиваются, доставляя владельцам новые заботы из-за появления новых точек вероятных атак. Одновременно совершенствуются средства и способы несанкционированного доступа (НСД) к информации, её модификации и кражи.

По оценкам экспертов в области ЭБ следует, что если предприятие допускает утечку 20 и более процентов важной информации, то предприятие в 60 случаях из 100 банкротится. Действия по ЗИ на российских предприятиях не всегда носят системный характер, и чаще всего, предпринимаются уже после реализации угроз ИБ и нанесения ущерба.

В СУЭБП система ЗИ обеспечивает непрерывность, безопасность взаимодействия с внешней средой и обмен информацией между элементами системы. Успешность действий по обеспечению ИБ определяется не столько возможностями применяемых средств ЗИ (СЗИ) и умением реализовать их потенциальные возможности, сколько наличием тактики оборонительных и наступательных действий по ЗИ - стратегии управления услугами по обеспечению ЭБП.

Возрастание роли и сложности экономических проблем, ускорение научно-технического прогресса, становление рыночных отношений, расширение диапазона экономических преступлений привело к созданию и активизации в России деятельности служб, производящих услуги по обеспечению ЭБ.

Анализ потребностей в услугах по обеспечению безопасности показывает, что российские предприниматели чаще всего покупают услуги по обеспечению физической охраны, инкассации и комплекс защитных мер от рэкета и прослушивания телефонных каналов связи, помещений от радиозакладок, компьютерных сетей от проникновения и вирусов. Оказываются услуги изучения внешних контактов фирмы-заказчика. Меньше уделяется внимания организации ЗИ и работе с персоналом, допущенным к конфиденциальной информации.

Следует отметить, что российский рынок услуг безопасности сложно анализировать: у него нет четких границ, фирмы не афишируют весь спектр оказываемых ими услуг и расценки на них. Как правило, фирмы, работающие на этом рынке, многопрофильные.

Для решения поставленных научных задач разработана классификация услуг по обеспечению ЭБП, которая представлена на рис. 2. Содержание всех услуг подробно изложено в работе.

Службы, производящие услуги по обеспечению ЭБП, можно разделить на:

> Входящие в структуру предприятий и поностью содержащиеся за их счет - промышленные службы безопасности (СБ);

> Существующие как самостоятельные коммерческие или государственные организации - частные СБ и охранные предприятия; отдельные подразделения милиции, вневедомственной охраны, ОМОНа, МВД РФ.

Услуги по обеспечению экономической безопасности предприятий

О <} О <> О о о

Охрашые Юридические, страховые Тлоие-ские Д[!|ЦК1Ии НЬВ,1фИ-миналис-тичесхие Защпы Информации Финансово ЭМОНОАА^ ческие Обучение, кмсулыи-рооамо, издание ТЬцвнзи-роватеи сертификата

Рис. 2. Услуги по обеспечению экономической безопасности предприятий

Предприятие выбирает службу по обеспечению ЭБ на основе критериев безопасности, доверия и экономической целесообразности. В настоящее время ЭБП обеспечивается несколькими структурами, производящими такие услуги.

Итак, СУЭБП - это организованная совокупность взаимодействия служб, обеспечивающих ЭБП с различными органами управления с целью создания оптимальных условий работы и развития предприятия.

Для функционирования и развития интегрированной СУЭБП необходимо:

> рациональное распределение ресурсов между всеми элементами системы,

> автоматизировать управление ЭБП,

> координировать действия всех служб и средств защиты в системе,

> делегировать пономочия отдельным структурам СУЭБП,

> максимальное снижение влияния человеческого фактора в СУЭБП,

> переходить к упреждающей стратегии управления.

Формирование структуры СУЭБП дожно происходить в соответствии с этими требованиями и с учётом сложности реализации всех процедур (услуг) по обеспечению ЭБП и интеграции структур их реализующих.

Концепция управления услугами по ЭБП является одним из основных элементов эффективной работы СУЭБП. Концепция ЭБП выражает официальную систему взглядов руководства предприятия на проблему безопасности на различных этапах и уровнях производственной деятельности, раскрывает коммерческие интересы и препятствующие их реализации угрозы, основные принципы и направления ЭБ.

Реализация концепции ЭБП характеризуется постоянной структурной перестройкой, изменениями и уточнениями целей и задач подразделений СУЭБП, внесением корректив в работу ее персонала, изменениями в ресурсном обеспечении и, как следствие, - усилением степени защищенности предприятий.

Итак, без решения проблем ИБ в СУЭБП невозможен переход к рыночной экономике, открытому информационному обществу. Основной целью ЗИ будет сведение к минимуму потерь в управлении, вызванных нарушением целостности и конфиденциальности данных, недоступностью информации для потребителей и устранение последствий действия угроз в системе ЗИ, её диверсификация.

Концепция управления услугами по обеспечению ЭБП предполагает:

> непрерывность совершенствования и развития системы ЗИ,

> комплексное использование всего арсенала СЗИ, во всех структурных элементах производственной системы и на всех этапах технологического цикла,

> равномерность защиты на всех участках системы, т.е. они дожны быть равнопрочными с точки зрения возможной реализации угрозы,

> разумную достаточность - рациональное использование возможностей предприятия по ЗИ путем ранжирования угроз и выделения ресурсов для обеспечения ЭБП,

> применение многорубежной системы ЗИ,

, > оптимальность - применение математических, аналитических, про-

" граммных, статистических и других методов,

> согласованность в работе пользователей, соблюдении ими правил ЭБП и готовности к устранению нештатной ситуации на предприятии.

> гибкость системы ЗИ, т.е. возможность изменения отдельных её элементов без существенных изменений всей системы. СУЭБП существует в нестабильной среде, которая может изменяться, а диверсификация системы дожна достигаться внесением отдельных допонений и модификаций.

Инфокоммуникационный сектор (ИКС) является важнейшим, стремительно развивающимся сектором новой экономики и приоритетным направлением государственной политики РФ. Стратегия развития ПЭс предполагает проведение эффективной технологической политики, развитие качества и ассортимента услуг связи, преодоление линформационного расслоения общества, интеграцию в глобальное информационное сообщество, гарантию безопасности.

В диссертации классификация угроз ПЭс рассмотрена на уровне: инфраструктуры глобальной информационной сети, услуги сети, приложений. По каждой услуге связи число каждого вида угроз составляет десятки, сотни.

Обеспечением безопасности ПЭс занимаются их СБ. Отдельные виды услуг покупаются у специализирующихся в сфере безопасности фирм. В целом же по отрасли обеспечение безопасности носит несистемный характер, решаются частные задачи по достижению защищённости отдельных элементов.

Конкуренция на рынке связи обуславливает повышение требований потребителей к качеству, цене, ассортименту, безопасности услуг. Известные факты разглашения персональных данных абонентов, конфиденциальность которых защищается законодательством РФ, испортили репутацию российских ПЭс. Обеспечение ИБ становится условием выживания и развития ПЭс на национальном рынке услуг.

При построении СУЭБП на ПЭс необходимо учитывать технические про- блемы, связанные с внедрением современных сетевых технологий: объектом

защиты является совокупность территориально разнесенных, связанных между собой сетей. Рассмотренные особенности и проблемы развития ИКС определяют У специфику создания системы ЗИ в рамках СУЭБП на ПЭс.

В процессе управления услугами по ЭБП осуществляются функции управления: анализ, организация, планирование, координация, мотивация, учёт, контроль. СУЭБП для их реализации требуется создание отдельных подсистем. Рассмотрение процесса управления с позиций его функциональной организации позволило сформировать модель СУЭБП, представленную на рис. 3.

Внешние субъекты СУЭБП

Испонительная власть Законодательная власть Судебная власть НИИ Частные службы безопасности Образовательные учереждения

Внутренние субъекты СУЭБП

Предприятие

Руководство. Генеральный директор

Подразделения предприятия

Концепция развития предприятия

Служба ЭБП

<е | 8 |л о

X п Щ з О

2 5 X X

Объекты СУЭБП

X 3 а

о 5 з 8 5 Б О. к Д о 0) о 2 Ю 1 о. 0 О. 1

Л & п * 1 в

& с з а ё Я

5 6

> Стратегический план

> другие плановые документы

(тактический, оперативный)

> Концепция обеспечения ЭБП

> Стратегический план ЭБП

> Другие плановые документы по обеспечению ЭБП

Рис. 3. Система управления экономической безопасностью предприятия

СИБ является органом управления системы ЗИ. Основная цель функционирования СИБ с помощью различных методов, проведения мероприятий избежать, свести к минимуму возможность нарушения политики безопасности или обнаружить, ослабить, устранить последствия реализации угрозы, за счет использования организационных и программно-аппаратных средств.

Проанализировав основные функциональные компоненты СУЭБП, можно предложить следующий укрупненный агоритм обеспечения безопасности информационных ресурсов, представленный на рис. 4.

Рис. 4. Агоритм обеспечения безопасности информационных ресурсов в СУЭБП

Действия на каждом этапе основываются на сформированных ранее принципах, требованиях к системе ЗИ. Каждый этап заканчивается определенным результатом в виде действия или документа.

Итак, в работе предлагается определенная последовательность действий по анализу состояния существующей или формирования вновь создаваемой СИБ в рамках СУЭБП. Процесс создания СУЭБП и СИБ носит итерационный характер. Это обусловлено существованием ограничений, которые вынуждают редактировать решения и неясностью связей между процессами, определяющих суть каждого этапа. При формировании и функционировании СИБ выбор альтернатив производится на основе критериев: реализуемости; соответствия требованиям к системе ЗИ и целям ЭБП; качества организации; результативности.

Разработанные концептуальные основы управления услугами по обеспечению ЭБП позволили сформировать концептуальную модель СУЭБПЭс.

В СУЭБП способы защиты дожны быть адекватны посягательствам, поэтому необходимо выявить каналы утечки информации, ранжировать угрозы по степени их важности и влияния на показатели деятельности предприятия. Нужно определить тип нарушителя, возможные способы его действий, намерения.

Анализ способов негласного получения информации позволяет выделить три группы методов доступа к ней: физическое проникновение нарушителя на предприятие; сотрудничество нарушителя с сотрудником предприятия имеющим доступ к интересующей информации; дистанционный съем информации с носителя.

Любое нарушение осуществляет конкретное лицо, которое руководствуется определенной мотивацией, владеет совокупностью знаний, умений и навыков совершения противоправных действий с применением технических средств. При формировании облика нарушителя учитываются также социально-психологические аспекты деятельности, каналы доступа к информационным ресурсам, оценки вероятности реализации угроз, возможности СЗИ и ряд других. Все эти элементы увязаны в единое целое с помощью модели нарушителя.

Модель нарушителя позволит адекватно среагировать на возможные угрозы и выбрать соответствующие средства защиты.

В работе, модель нарушителя ориентирована на конкретный объект защиты - ПЭс. Предположения о возможном характере действий нарушителя основываются на различного рода статистических данных, технологии обработки информации и опыте ПЭс. Категории нарушителей для ПЭс - внутренние (персонал предприятия^ и внешние (конкуренты, посетители, недобросовестные партнеры, коррупционеры, элиты, криминальные структуры, хакеры, экстремистские террористические группы, агенты иностранных государств).

Нарушители пользуются различными способами сбора сведений, например, анализ периодических изданий и ведомственных бюлетеней, подбор соучастников, перехват информации по различным каналам утечки, вымогательство, взятки. Нарушители используют различные специальные технических средства для реализации своих замыслов.

В работе принято, что вероятный нарушитель обладает возможностями, близкими к потенциально достижимым. Нарушитель, имеет статус сотрудника, может применять все возможные способы доступа, получать или воздействовать

на конфиденциальную информацию, используя аппаратные и программные средства. На пути злоумышленника стоит система ЗИ. Поэтому успешность действий нарушителя определяется действиями СИБ.

Таким образом, строить систему ЗИ целесообразно путем разработки де-1 тального сценария нарушений ИБ. Режиссером является СИБ предприятия, ис-

понители - СЗИ. Чем точнее построен сценарий нарушения, тем точнее можно оценить время доведения угрозы до логического завершения, а значит предъя-' вить требования по времени реакции системы ЗИ на конкретный вид нарушения.

Оценка угроз ИБ предприятия проводилась с использованием десяти показателей, таких как нарушаемые принципы безопасности; возможность предотвращения угрозы, обнаружения, нейтрализации угрозы; потенциальная опасность угрозы с точки зрения ущерба; источник появления; затраты на проектирование и разработку злоупотребления и др. У этих показателей несколько шкал оценок. На основе экспертной информации, полученной методом анкетирования, осуществлена комплексная оценка каждой угрозы ИБ и построены графики распределений оценок угроз. Исходя из этого, все угрозы ИБ и злоупотребления разделены на три группы: неопасные, опасные и очень опасные. Данное распределение является нестрогим и может варьироваться при изменении метода расчета комплексной оценки.

Данный подход будет полезным при оценке угроз и формировании мероприятий противодействия угрозам ИБ. Анализ результатов моделирования с учетом принятых ограничений позволяет считать, что все группы методов противодействия угрозам ИБ имеют примерно равную долю в организации комплексной ЗИ.

Предотвратить и уменьшить отрицательное воздействие угроз ИБ можно различными методами. Среди таких методов можно выделить: организационные; инженерно-технические; технические; программно-аппаратные; экономические; юридические, совокупность которых реализуется в политике ИБ (ПЩ).

ПИБ - это документ, регламентирующий внутренние стандарты ИБ предприятия: правила и функции предприятия. ПИБ можно определить и как интегральную характеристику защищаемой системы, её целевой функции: доступности, целостности, конфиденциальности объектов и ресурсов. Больший эффект реализации ПИБ достигается при применении всех методов и мер противодействия угрозам ИБ. , Эффективное функционирование и развитие предприятий невозможно без

формирования стратегии управления услугами по обеспечению ЭБП.

Стратегия управления ЭБП - это постоянно совершенствующая система ^ накопления, обработки и систематизации информации о факторах ЭБП, позво-

ляющая принимать стратегические решения для их своевременного урегулирования, а, если факторы необратимо переходят в состояние угроз, рассмотреть возможности их урегулирования в соответствии с целями, функциями и принципами функционирования и развития СУЭБП.

В работе предложена стратегия управления ЭБП, сформированная на основе концептуальной модели противодействия СИБ нарушителям ИБ по крите' рию гарантированного результата. Сценарии конфликтных ситуаций между СИБ предприятия и нарушителями ИБ представлены на рис.5.

Предприятие

СУЭБП СЗИ

' СИБ А

Внутренние нарушители

(1) (2) (3)

Рис. 5. Сценарии взаимодействия предприятия и нарушителей

Используя модели теории игр, рассмотрим возможные сценарии:

1. Интересы предприятия и нарушителей совпадают

и>,= <?,(*>)

2. Интересы предприятия и нарушителей противоположны:

Н2= <р (-*>!)

3. Поная независимость интересов:

^=/,(Х1), х/ сХ1

4. Нарушитель информируется об интересах предприятия персоналом предприятия, т.е. внутренние и внешние нарушители вступают в коалицию.

и'/ = /(х,, х2, хх) = п>2, (4)

где х/- стратегия предприятия,

Х2,Хз- стратегии нарушителя и сотрудника предприятия (коалиция интересов).

Наиболее сложный случай (4), когда СИБ не известно об этой коалиции. Для получения гарантированного результата ЗИ СИБ предприятия использовася максиминный критерий оптимальности, как наиболее осторожный в оценке интересов игроков. Их совместная стратегия:

Ь23 = тахтт /2}(х,^с2хз> (5)

х2 Х),Хг

В случае противостояния коалиции любая стратегия СИБ даёт меньший выигрыш, чем при отсутствии коалиции. Моделирование конфликтных ситуаций позволило сформировать стратегию управления ЭБП, которая может быть использована для решения различного рода задач, возникающих в процессе создания и функционирования систем управления услугами по обеспечению ИБ предприятий.

Для выбора оптимальной системы управления услугами по ЭБП необходимо оценить уровень безопасности и объем допустимых затрат. Разработанная в диссертации классификация затрат на ИБ представлена на рис. 6.

Общие затраты на безопасность складываются из затрат на формирование (2^), на соответствие ПИБ (2",) и на восстановление системы ЗИ в случаях несоответствия ПИБ Zl, - Zf+Zs+Zv (6)

С изменением уровня защищенности информационной среды изменяются величины составляющих общих затрат на безопасность и, соответственно, их сумма.

В результате действия угроз ИБ наносится ущерб. Как следствие предприятие может оказаться неконкурентоспособным, неплатёжеспособным и банкротом. На размер ущерба от реализации угроз ИБ влияет ценность информации и

уровень ЗИ. Количественные показатели ценности информации определяются уровнем эффективности деятельности предприятия, а качественные - возможностью получения прибыли или улучшением деловой репутации.

Рис. 6. Составляющие затрат на безопасность

Инструментом управления СУЭБП является анализ затрат на безопасность, используемый руководством предприятия для определения достигнутого уровня защищенности информационной среды. Анализ затрат на ИБ представлен на рис. 7.

риск (совершенная защита)

^ Рис. 7. Взаимосвязь между затратами на безопасность

' и достигаемым уровнем защищенности

График, отражает общий случай, так как построен с учетом некоторых ограничений и допущений. Достигаемый уровень защищенности измеряется в категориях большой риск, лэкономическое равновесие, риск минимален. Следует отметить, что затраты на безопасность могут быть снижены в значительной степени за счет выявления причин потерь при реализации стратегии управления ЭБП.

ОСНОВНЫЕ ВЫВОДЫ И ПРЕДЛОЖЕНИЯ

Результаты проведённого диссертационного исследования позволили автору сделать следующие выводы и предложения:

1. Анализ проблем ЭБП, позволил сделать вывод о масштабности действий по ее обеспечению. Приоритетным направлением обеспечения ЭБП является безопасность информационного ресурса. Для решения практических задач

по ЗИ разработана системная классификация информационных угроз. I

2. Научное и практическое решение проблем ЭБП требует системного подхода. Для этого предлагается создать СУЭБП. Анализ СУЭБП позволил выявить её цели, функции, задачи, направления, ресурсное обеспечение деятельности и разработать её концептуальную модель. С учетом особенностей СУЭБП -активной и открытой системы управления услугами по обеспечению ЭБП- выработаны требования к её созданию. Формирование и развитие СУЭБП дожно основываться на стратегическом планировании и прогнозировании.

3. При обеспечении ЭБП выбор субъекта управления дожен осуществляется с учётом сформированных требований к СУЭБП и системе ЗИ. На основе исследования рынка услуг безопасности и тенденций его развития разработана классификация услуг по обеспечению ЭБП. Многообразие служб, осуществляющих услуги ЭБП, их организационных форм и направлений деятельности обусловило выработку требований по созданию интегрированной СУЭБП.

4. В работе уточнены понятия: ЭБП, концепция управления услугами по обеспечению ЭБП, цели и факторы, определяющие ЭБ предприятияй, сформулированы принципы построения и направления работы СУЭБП. Структуризация СУЭБП позволила рассмотреть её подсистемы, производящие услуги ЭБП.

5. Основным направлением исследования определена безопасность информации в рамках СУЭБП. Связь - составная часть быстро развивающейся информационной сферы на национальном и мировом уровнях. Огромная потребность в услугах ПЭс повышает актуальность обеспечения их ЭБ, но имеет пока несистемный характер и известны факты ее нарушения. Специфику обеспечения ЭБПЭс определяют диверсификация ПЭс и угрозы их деятельности.

6. На основе кибернетического подхода к СУЭБП и синтеза задач по обеспечению ЭБП определена оптимальная структура системы управления и задачи её субъектов. Обеспечение ЗИ в СУЭБП отведено информационной подсистеме под управлением СИБ. Предложена концептуальная информационно-логическая модель СИБ и разработан агоритм обеспечения 1 безопасности информационного ресурса в СУЭБП. На основе этого предлагается для устойчивого функционирования и развития предприятий

7. При создании и функционировании СУЭБП рекомендовано использовать программно-целевой метод. Описание СИБ, как сложной системы, на логико-информационном и функциональном уровнях позволяет оптимизировать её работу и реализовать функции управления.

8. Предложенные методы управления ЭБП - организационные, юридические, технические, программно-аппаратные, экономические, инженерно-технические - и меры противодействия угрозам ИБ реализуются в ПИБ. Для формирования ПИБ в СУЭБП разработаны модели границ и нарушителя ИБ.

9. При построении системы ЗИ использовася сценарный подход для рассмотрения конфликтных ситуаций между предприятием и нарушителями ИБ. Разработана модель противодействия СИБ предприятия коалиции внутреннего и внешнего нарушителей по критерию гарантированного результата с использо-' ванием метода коалиционных игр. Сформирована стратегия управления услуга-

ми по обеспечению ЭБП с учетом развития и диверсификации предприятий. I 10. Предложенная методика расчета затрат на ИБ предприятия базируется

' на разработанной классификации затрат. Для управления затратами на ИБ реко-

мендованы базы измерений, реализация функций учета и контроля при составлении отчета по затратам, распределение обязанностей среди испонителей. Полученная взаимосвязь между затратами на безопасность и достигаемым уровнем защищенности информационной среды от угроз ИБ показывает эффективность деятельности СИБ.

11. Оценка эффективности СИБ в СУЭБП позволяет подвести итоги деятельности СУЭБП и её информационной подсистемы, внести необходимые коррективы в их работу. Сформированные технические, юридические и организационные предпосыки необходимы для реализации и развития СУЭБП и СИБ в её составе.

Г Основные положения диссертации изложены в следующих публикациях:

1. Третьякова Н.С. Исследование системы экономической безопасности на разных уровнях управления. // Современные проблемы экономики и управления народным хозяйством: Сб. науч. ст. асп. СПбГИЭУ. Вып. 8. - СПб.: СПбГИЭУ, 2001. - 0,2 п.л.

2. Третьякова Н.С. Угрозы экономической безопасности в России.// Менеджмент и экономика в творчестве молодых исследователей: 4 научно-практическая конференция студ. и асп. СПбГИЭУ 24-25 апреля 2001 г.: Тез. докл. - СПб: СПбГИЭУ, 2001.-0,1 п.л.

3. Третьякова Н.С. Проблемы экономической безопасности предприятий в России. // Современные проблемы экономики и управления народным хозяйством: Сб. науч. ст. асп. СПбГИЭУ. Вып. 9. - СПб.: СПбГИЭУ, 2002. - 0,2 пл..

4. Третьякова Н.С. Роль персонала в обеспечении экономической безопасности предприятия. // Проблемы и опыт совершенствования управления и повышения эффективности функционирования учреждения и предприятий социальной сферы. 1 Всероссийская научно-практическая конференция. 20-22 но* ября 2002 года: Тез. докл. - СПб: СПбГИЭУ, 2002. - 0,4 пл.

5. Третьякова Н.С. Социально-экономические аспекты концепции системы управления экономической безопасностью предприятия.// Перспективы раз-

^ вития российской экономики: Сб.науч. трудов. Вып.4.-СПб: ВУС,2002.-0,2 пл.

6. Третьякова Н.С. Организационные формы обеспечения экономической ' безопасности на предприятиях электросвязи в России. // Менеджмент и эконо-1 мика в творчестве молодых исследователей: 6 научно-практическая конференция студентов и асп. СПбГИЭУ 24-25 апреля 2003 г.: Тез. докл. - СПб:

| СПбГИЭУ, 2003. - 0,1 п.л.

7. Третьякова Н.С. Угрозы информационной безопасности предприятий * электросвязи. // Проблемы и перспективы развития предприятий: Межвузовский

сборник научных трудов. - СПб.: СПбГПУ, 2003. - 0,2 пл.

Р 18 6 5 7

Подписано в печать Формат 60x84 '/ц Печ. л.

ИзПК СПбГИЭУ. 191002, Санкт-Петербург, уп. Марата, 31

Диссертация: содержание автор диссертационного исследования: кандидат экономических наук , Третьякова, Наталья Сергеевна

Введение

СОДЕРЖАНИЕ стр. .Л

Глава 1. Обоснование актуальности проблем и направлений обеспечения экономической безопасности в России на разных уровнях хозяйствования

1.1. Экономическая безопасность как экономическая категория и объективное явление рыночной экономики.

1.2. Анализ и классификация видов экономических угроз, опасностей и рисков на предприятиях России как важнейших звеньях хозяйствования

1.3. Анализ существующих и предлагаемых отечественных и зарубежных систем обеспечения экономической безопасности и обоснование требований к созданию системы управления экономической безопасностью предприятий России.

Выводы по главе 1.

Глава 2. Концептуальные основы создания систем управления услугами по обеспечению экономической безопасности предприятий

2.1. Классификация видов услуг по обеспечению экономической безопасности предприятий.

2.2 Концепция обеспечения экономической безопасности на предприятиях.

2.3. Информационная безопасность предприятий как важнейшее направление обеспечения их экономической безопасности.

2.4. Требования к структурам служб, производящих услуги по обеспечению экономической безопасности на предприятиях.

Выводы по главе 2.

Глава 3. Сущность и методы управления экономической безопасностью на предприятиях

3.1. Структура служб, осуществляющих услуги по экономической безопасности предприятий.

3.2. Формирование политики информационной безопасности в системе управления экономической безопасностью предприятий.

3.3. Стратегия управления экономической безопасностью предприятий с учетом их развития и диверсификации.

3.4. Текущее планирование и учёт расходов и эффектов обеспечения информационной безопасности в системе управления экономической безопасностью предприятий.

Выводы по главе 3.

Глава 4. Эффективность и предпосыки реализации и развития системы управления экономической безопасностью на предприятиях России

4.1. Оценка эффективности службы информационной безопасности в системе управления экономической безопасностью предприятий.

4.2. Организационно- правовые предпосыки реализации и развития системы управления экономической безопасностью на предприятиях.

Выводы по главе 4.

Диссертация: введение по экономике, на тему "Разработка системы управления экономической безопасностью предприятий"

В современных условиях проблема экономической безопасности (ЭБ) становится первостепенной. Объектами ЭБ являются государство, регион, личность, различные социальные институты, фирмы, предприятия. Основными элементами экономической системы России являются предприятия. В современных условиях нестабильности и криминализации рынка, несовершенства российского законодательства предприятия подвержены многим опасностям и угрозам. Экономическую безопасность предприятий (ЭБП) можно обеспечить только тогда, когда используются все средства, методы и способы, объединенные в единый, целостный механизм - систему управления экономической безопасностью предприятия (СУЭБГТ), которая обеспечит не только защищённость предприятия от угроз и опасностей, но и активное взаимодействие с внешней и внутренней средой.

Интенсивное внедрение информационных технологий привели к тому, что информация становится основным стратегическим ресурсом. В России разрабатывается и реализуется стратегия вхождения страны в глобальную информационную инфраструктуру. При этом национальная информационно-телекоммуникационная инфраструктура является одной из важнейших составляющих управления, обороны, безопасности и охраны правопорядка в Российской Федерации.

Анализ состояния дел в области информационной безопасности (ИБ) показывает, что к настоящему времени в мире сложилась достаточно чётко очерченная система концептуальных взглядов на обеспечение ИБ государства в целом и хозяйствующих субъектов в отдельности.

Тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не уменьшаются, но имеют устойчивую тенденцию к росту. Возникла новая среда противоборства - информационное пространство. В связи с этим предприятиям приходится разрабатывать стратегию и тактику оборонительных информационных действий. В противном случае у них остаётся мало шансов выжить.

Следует отметить, что категория ЭБ находится на стыке наук: экономики, социологии, психологии, юриспруденции. Систематизированные взгляды на проблему ЭБ представлены в работах Абакина Л., Арбатова А., Блинова Н., Вадайцева С., Глазьева С., Загашвили В., Пороховского А., Олейникова Е., Сенчагова С. и др.

В некоторых исследованиях отечественных и зарубежных учёных акцентируется внимание на изучении отдельных вопросов по этой проблеме. Так, исследованию проблем ЭБП и создания систем безопасности посвящены работы Гусева В., Колосова А., Минаева С., Семинихина А., Степашина С., Торянникова Б., Шаваева А., Шлыкова В., Шульца В. и др.

Проблемы информационного направления ЭБП - ИБ исследованы Варакиным Л., Герасименко В., Гайковичем В., Хоффманом Л., Юсуповым Р., Ярочкиным В. и др.

Интересен зарубежный опыт изучения и разрешения проблем ЭБП, изложенный в работах Дагаева А., Крысина А., Мел П. и др.

Высоко оценивая вклад вышеперечисленных авторов, необходимо отметить, что вопросам формирования СУЭБП и методам обеспечения ЭБП в современных российских условиях уделено недостаточно внимания. Зарубежные исследователи не описывают системы обеспечения ЭБП, раскрывая лишь частные аспекты проблемы.

Вместе с тем зарубежные методики обеспечения ЭБП основаны на статистике давно сложившихся рынков и имеют ограниченную полезность применения в российской действительности.

Следовательно, актуальность темы определяется наличием противоречия между потребностями в защите российских предприятий от всех видов опасностей, угроз и особенно угроз ИБ и сложностью применения на практике теоретических исследований учёных, посвященных экономической безопасности страны, что вызывает необходимость разработки системы и методов обеспечения ЭБП.

В связи с этим целью диссертационного исследования является выработка рекомендаций по формированию системы управления экономической безопасностью на российских предприятиях, путем разработки оптимальной структуры СУЭБП и создания информационной подсистемы в ее составе.

Для достижения этой цели перед диссертантом были поставлены следующие задачи:

Для достижения этой цели былипоставлены следующие задачи: исследовать динамику развития проблемы ЭБ в рамках государства, предприятия и методологические основы формирования СУЭБП в России на современном этапе, исследовать структуру СУЭБП, определить объект и субъект управления, провести анализ рынка услуг по обеспечению ЭБП, выявить тенденции и направления его развития, разработать концепцию обеспечения ЭБП и методы управления услугами по ЭБП в современных условиях, сформировать СУЭБП на примере создания и развития её информационной подсистемы: функции управления, принципы, этапы формирования, развития, разработать модель нарушителя информационной безопасности предприятия и обосновать методы противодействия угрозам ИБ, разработать методы управления услугами по обеспечению ИБ в рамках СУЭБП и определить предпосыки функционирования, развития СУЭБП.

Объектом исследования является система экономической безопасности предприятий.

Предметом исследования является процесс управления услугами по обеспечению экономической безопасности на российских предприятиях.

Теоретической и методологической основой исследования являются положения теории игр, управления, информации, вероятности и математической статистики, а также основополагающие труды отечественных и зарубежных учёных по ЭБ страны, предприятий, информационной безопасности. В работе использованы материалы научно-практических конференций, законодательные и нормативно-правовые акты органов государственного управления РФ.

В качестве методов исследования использованы методы анализа (логический, сравнительный и статистический), системный подход, инфологиче-ское и математическое моделирование, программно-целевой и экспертные методы.

Информационной базой исследования послужили статистические данные Министерства связи и информатизации, Госкомстата РФ, частных компаний, опубликованные в периодической печати и представленные на сайтах глобальной сети Интернет.

Диссертационная работа состоит из введения, четырёх глав, заключения, списка литературы и приложения.

Диссертация: заключение по теме "Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда", Третьякова, Наталья Сергеевна

Выводы по главе 4

1. Принятие управленческих решений руководством предприятия требует от СУЭБП аналитическую оценку сложившейся ситуации, прогноз ее возможного развития и предложения по устранению отмеченных недостатков, причин и условий, способствующих их появлению, а также по выработке комплекса мер, направленных на улучшение функционирования системы ЭБП. На основе показателей эффективности обеспечения ЭБП и, в том числе, ИБ подводятся итоги деятельности системы СУЭБП и её подсистемы Ч СИБ, вносятся коррективы в их работу. Технические, юридические и организационные предпосыки являются условием успешной деятельности СУЭБП.

2. Необходимость организационно-правового обеспечения ЗИ вытекает из того факта, что информация - это товар, продукт общественного производства, в законодательном порядке определен порядок установления прав собственности на неё. В настоящее время ЗИ предопределяет развитие цивилизации: общества, государства, науки и культуры. При вхождении России в глобальную информационную инфраструктуру необходимо решить вопросы обеспечения ИБ ПЭс: разработать методы и средства ЗИ, предоставления услуг конфиденциальной связи. При широком использовании импортных технологий и оборудования в международном информационном обмене возникла новая среда противоборства - информационное пространство.

3. В высокотехнологичных системах человек остаётся важным элементом, но как объект управления он сложен и непредсказуем. Урегулировать влияние человеческого фактора на работу системы ЗИ возможно: целенаправленной, организованной и непрерывной кадровой политикой.

Поэтому и в условиях несовершенства российского законодательства, реализация организационно-правовых предпосылок обеспечивает развитие СУЭБП и СИБ, создаёт условия для их совершенствования.

Заключение

Проведённые в работе исследования позволяют сделать следующие выводы и предложения:

1. Становление рыночных отношений в России и возрастание роли негосударственного сектора экономики, его формирование и развитие в нестабильной среде делает актуальным рассмотрение ЭБП для сохранения бизнеса, его целенаправленного развития, конкурентоспособности на национальном и мировом рынках. Научное и практическое обоснование понятий ЭБП, функций и организационных структур по обеспечению ЭБП, затрат по их созданию и функционированию, критериев эффективности их работы требует системного подхода.

2. Рассмотрение ЭБП в прикладном аспекте, как защиту интересов предприятия от негативных воздействий, позволило классифицировать все опасности, риски и угрозы. Это подтвердило всеобъемлющий характер проблем предприятия и масштабность действий по обеспечению ЭБП.

ЭБП предполагает эффективное использование корпоративных ресурсов, среди которых самый ценный - информация. Безопасность информационного ресурса становится приоритетной задачей при обеспечении ЭБП. Для решения практических задач по обеспечению ЗИ на предприятиях в работе разработана системная классификация информационных угроз.

3. Обоснована необходимость решения проблем ЭБП путём создания системы управления услугами по обеспечению ЭБП - СУЭБП. Анализ СУЭБП позволил выявить её цели, функции, задачи, направления, ресурсное обеспечение деятельности и представить её в виде концептуальной модели. С учетом особенностей СУЭБП, как активной и открытой системы управления, были выработаны основные требования к её созданию и развитию. Современная СУЭБП дожна основываться на стратегическом планировании и прогнозировании.

4. При обеспечении ЭБП выбор субъекта управления дожен осуществляется с учётом требований к СУЭБП и системе ЗИ, а также экономической целесообразности. В работе рассмотрены различные субъекты СУЭБП Ч промышленные, частные и государственные СБ, их организационные формы и направления деятельности. Исследование рынка услуг безопасности и тенденций его развития позволили выявить несоответствие спроса и предложения на этом рынке. Была разработана классификация услуг по обеспечению ЭБП и предложена модель развития российского рынка услуг безопасности.

5. В рамках исследования были уточнены понятия: ЭБП, концепция управления услугами по ЭБП, цели и факторы, определяющие ЭБ в рамках предприятия, а также сформулированы принципы построения СУЭБП и направления её работы. Структуризация СУЭБП позволила рассмотреть её подсистемы, производящие услуги по обеспечению ЭБП.

6. Учитывая ценность информационного ресурса, в работе основным направлением исследования определена безопасность информации в рамках СУЭБП. На основе рассмотренных статистических данных выработана методология ИБ.

Инфокоммуникационный сектор становится стержнем развития и управления мировой экономики. Связь - составная часть быстро развивающейся информационной сферы, как на национальном, так и глобальном уровне. Огромная потребность в услугах предприятий электросвязи повышает актуальность обеспечения их ЭБ. В настоящее время обеспечение ЭБП на ПЭс носит несистемный характер и известны факты ее нарушения, которые ухудшают репутацию компаний связи. Специфику обеспечения ЭБПЭс определяют диверсификация ПЭс и угрозы их деятельности.

7. На основе кибернетического подхода к СУЭБП и синтеза задач по обеспечению ЭБП определена оптимальная структура системы управления и задачи её субъектов. Обеспечение ЗИ в СУЭБП отведено информационной подсистеме - СИБ. Синтез задач обеспечения ИБ позволили создать концептуальную информационно-логическую модель СИБ и разработать агоритм обеспечения безопасности информационного ресурса в СУЭБП. На основе этих разработок было предложено решение проблем функционирования и развития ПЭс путем создания - СУЭБПЭс.

8. При создании и функционировании СУЭБП рекомендуется использовать программно-целевой метод для формирования политики ИБ и стратегии противодействия угрозам. Планирование СУЭБП определяет эффективность её деятельности. Описание СИБ, как сложной системы, на логико-информационном и функциональном уровнях позволяет оптимизировать её работу и реализовать выделенные в исследовании функции управления.

9. Предложенные методы управления ЭБП - организационные, юридические, технические, программно-аппаратные, экономические, инженерно-технические позволяют парировать угрозы ИБ в СУЭБП. Совокупность методов и мер противодействия угрозам ИБ реализуются в ПИБ. Для формирования ПИБ в СУЭБП рассмотрены внутренние и внешние категории нарушителей, дана их краткая характеристика. Разработана модель нарушителя. Проанализированы его организационные, аналитические возможности и техническая оснащённость.

10. При построении системы ЗИ применён сценарный подход. Рассмотрены возможные сценарии конфликтных ситуаций между СИБ предприятия и нарушителями ИБ. В качестве критерия эффективности выбрана прибыль предприятия. Для математического анализа эффективности функционирования СИБ была использована теория игр. Предложена модель противодействия СИБ предприятия коалиции внутреннего и внешнего нарушителей по критерию гарантированного результата. Для получения гарантированного результата ЗИ СИБ предприятия использовася теоретико-игровой метод коалиционных игр. В случае объединения в коалицию внутреннего и внешнего нарушителей любая стратегия СИБ предприятия даст меньший выигрыш, чем при отсутствии коалиции. Сформирована стратегия управления услугами по обеспечению ЭБП с учётом развития и диверсификации предприятий. На основе анализа угроз ИБ предложен показатель привлекательности угрозы для нарушителя и вероятностные методы его определения.

11. Для оценки необходимого уровня безопасности и приемлемого объема затрат осуществлена классификация затрат и предложена методика расчета затрат на ИБ предприятия. Получена взаимосвязь между затратами на безопасность и достигаемым уровнем защищенности информационной среды от угроз ИБ.

Затраты на безопасность могут быть снижены в значительной степени за счет выявления специфических причин потерь, формирования и реализации стратегии управления. Основная цель учета затрат - обеспечить руководство предприятия инструментом управления. Для управления затратами на безопасность предложены типовые базы измерений, реализация функций учета и контроля при составлении отчета по затратам. Предложено распределение обязанностей среди испонителей.

12. Для принятия управленческих решений в СУЭБП требуется аналитическая оценка сложившейся ситуации, прогноз ее возможного развития и предложения по её разрешению. На основе показателей эффективности обеспечения ЭБП подводятся итоги деятельности СУЭБП и её информационной подсистемы, вносятся коррективы в их работу.

13. Необходимость организационно-правового обеспечения ЗИ вытекает из того факта, что информация - это товар, продукт общественного производства, в законодательном порядке определен порядок установления прав собственности на нёё. Технические, юридические и организационные предпосыки являются условием реализации и развития СУЭБП и СИБ в её составе.

Таким образом, разработанная в настоящей работе система управления ЭБП может быть рекомендована для использования на российских предприятиях как при создании ими служб безопасности, так и при совершенствовании их работы.

Диссертация: библиография по экономике, кандидат экономических наук , Третьякова, Наталья Сергеевна, Санкт-Петербург

1. Аникин JT.C., Дальнов Г.Р., Новичков И.В. Экономическая безопасность России в условиях социальной модернизации. Саратов, 1999.

2. Антонель Д., Жобер А., Ковальсон JI. Заговоры ЦРУ. М.: Международные отношения, 1979 г. - 200 с.

3. Аузан В. Селекционер: интервью с главой ПГ МАИР Макушиным В. -Эксперт, № 13, 2002 г. с. 37-39.

4. Асалиев A.M. и др. Макроэкономика: показатели экономической безопасности и их пороговые значения. М, 1996.

5. Афанасьев В.В. Экономические основы развития операторских компаний подвижной связи России. Ч Труды Международной академии связи. Ч №21, 2002.-с. 14-19.

6. Баранов А.В., Петренко С.А. Системная интеграция и безопасность компьютерных сетей. Защита информации. Конфидент, № 2, 2001. - с. 3439.

7. Безопасность для России и Запада. На ученом совете ИМЭМО. Мировая экономика и международные отношения, № 9, с. 3-21.

8. Безопасность оператора безопасность абонента. - Защита информации. Конфидент, № 5, 2001. - с.44-49.

9. Белолипецкий В.Г. Финансы фирмы. М.: Инфра-М, 1999. - 297 с.

10. Бельков О.А. Понятийно-категорийный аппарат концепции национальной безопасности. Безопасность, № 3, 1994. - с. 91-94.

11. Березин А.С., Петренко С.А. Построение корпоративных защищённых виртуальных частных сетей. Защита информации. Конфидент, № 1, 2001.-с. 54-59.

12. Блинов Н.М., Городецкий А.Е. Экономическая безопасность и политика реформ. М., 1996. - 33 с.

13. Богданов И.Я. Факторы, влияющие на экономическую безопасность России.-М, 1995.

14. Бодырев В.Н. Экономическая безопасность и защита малого предпринимательства: актуальные проблемы. Воронеж, 1999. - 95 с.

15. Брагинский А. Консолидация сектора связи в России. Рынок ценных бумаг, № 4 (163), 2000. - с. 58-59.

16. Брязгунов П.И., Федорков Е.Д. Управление социально-экономическим положением промышленного региона на основе мониторинга показателей безопасности развития. Воронеж, 1999.

17. Будущее информационной безопасности: интегрированная система охраны периметра. Защита информации. Конфидент, № 3, 2001. Ч с. 86-90.

18. Бушков А.Ф. Теневая экономика и экономическая безопасность России. Ч М: ЮНИТИ, 1998.

19. Буянов В.П., Кирсанов К.А., Михайлов Л.А. Рискология. Управление рисками. М.: Экзамен, 2002. - 384 с.

20. Варакин Л.Е. Введение в теорию развития инфокоммуникаций. Часть 1. Ч Труды Международной академии связи, № 2 (14), 2000 г. с. 2-11.

21. Варакин Л.Е. Введение в теорию развития инфокоммуникаций. Часть 4. Ч Труды международной академии связи, № 1 (21), 2002 г. с. 5-13.

22. Варакин Л.Е. Распределение современных инфокоммуникационных технологий. Ч Труды международной академии связи, № 4 (24), 2002 г. Ч с. 49.

23. Василенок В.А., Bye М.А., Горшков В.В., Доветов М.Ш., Корешев A.M., Пуляев В.Т. Введение в безопасность предпринимательства. СПб: Высшая административная школа мэрии СПб, 1996.

24. Вадайцев С.В. Оценка бизнеса и управление стоимостью предприятия: Учебное пособие. М:ЮНИТИ - ДАНА, 2001. - 720 с.

25. Вадайцев С.В. Управление инновационным бизнесом М.:ЮНИТИ, 2001.-343 с.

26. Вадайцев С.В., Горланов Г.В. Эффективность ускорения научно-технического прогресса. Л: изд-во ГУ, 1990. - 304 с.

27. Вишняков Я.Д., Харченко С.А. Управление обеспечением безопасности предприятий: экономические подходы. Менеджмент в России и за рубежом, № 5, 2001. - с. 72-80.

28. Вихорев С.В., Кобцев Р.Ю. Как узнать откуда напасть или откуда исходит угроза безопасности информации. - Защита информации. Конфидент, №2, 2002.-с. 44-49.

29. Вихорев С.В., Кобцев Р.Ю. Как узнать откуда напасть или откуда исходит угроза безопасности информации. Ч Защита информации. Конфидент, №3,2002.-с. 80-84.

30. Гайдамакин Н.А. Оптимизация назначений доступа к объектам в иерархических структурах. Защита информации. Конфидент, № 3, 2001. - с. 73-79.

31. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий. М: МИФИ, 1995.

32. Генне О.В. Мошенничество в сотовых сетях. Защита информации. Конфидент, № 5, 2001. - с. 41-43.

33. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. Ч М., 1994. Кн. 1, 2.

34. Глазьев С.Ю. За критической чертой: о концепции макроэкономической политики в свете обеспечения экономической безопасности страны. -М: РЭЖ, 1996.

35. Глазьев С. Основа обеспечения экономической безопасности страны -альтернативный реформационный курс. Российский экономический журнал,№ 1,1997.-с. 3-19.

36. Глазьев С.Ю. Основа обеспечения экономической безопасности страны -альтернативный реформационный курс. Российский экономический журнал, №; 2,1997, с. 3 - 18.

37. Государственная стратегия экономической безопасности Российской Федерации. Одобрена указом Президента РФ от 29 апреля 1996 года № 608.

38. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. М., 1992.

39. Грабарчук Д.А. Группа Мост: Структура службы безопасности. Ч Секьюрити сервис, Октябрь-ноябрь, 1995 г. Ч стр. 23-31.

40. Градов А.П. Национальная экономика. Курс лекций. СПб: Специальная литература, 1997. - 316 с.

41. Груздь С. События. Факты. Комментарии в мире систем информационной безопасности. Ч Системы безопасности связи и телекоммуникаций, № 36 (ноябрь-декабрь), 2000 г. С. 20-21

42. Гусев B.C. О некоторых подходах по обеспечению комплексной безопасности хозяйствующих субъектов. СПб, 1999. Ч 80 с.

43. Гусев B.C. и др. Экономика и организация безопасности хозяйствующих субъектов. Учебник. СПб: ИД Очарованный странник, 2001. Ч 256 с.

44. Гуров В.В. Последний старт. Ч Сети и системы связи, № 11/1, 22 октября 2001 г. с. 24-28.

45. Гутман Г.В. и др. Экономическая безопасность региона: теория и практика.-М, 1996.

46. Дагаев А.А. Международные стратегические технологические альянсы российских предприятий в области телекоммуникаций. Менеджмент в России и за рубежом, № 4, 2001 г. - с. 98-115.

47. Демидкин Д.А., Добронравов А.С. Экономический анализ организации подвижной связи на базе реконструкции системы Атай. Электросвязь, № 3,2002. - с. 5-8.

48. Демин В.А. Экономический и промышленный шпионаж: расширение масштабов и рост агрессивности. Защита информации. Конфидент, № 3, 2002.-с. 56-59.gL

49. Демин В.А. Расширение масштабов и рост агрессивности. Защита информации. Конфидент, № 3, 2002. с. 56-58.50