Экономические основы теории проектирования систем защиты информации тема диссертации по экономике, полный текст автореферата

Диссертация: содержание автор диссертационного исследования: кандидата экономических наук, Абалмазова, Мария Эдуардовна

ВВЕДЕНИЕ.

1. ФОРМАЛЬНОЕ И НЕФОРМАЛЬНОЕ ОПИСАНИЕ ПРОСТРАНСТВА ^ИНФОРМАЦИОННЫХ УГРОЗ.

1.1 Понятия информации, стоимости информации и пространства информационных угроз.

1.2 Методы статистического описания угроз.

1.3 Экономическая модель информационных угроз.

1.4 Классификация и примеры информационных угроз.

1.5 Зависимые ( совместные ) угрозы, особенности их формального описания.

ВЫВОДЫ.

2. ПРОТИВОДЕЙСТВИЯ ИНФОРМАЦИОННЫМ УГРОЗАМ, ИХ ФУНКЦИОНАЛЬНЫЕ И ЭКОНОМИЧЕСКИЕ ХАРАКТЕРИСТИКИ.

2.1 Понятие противодействия. k 2.2 Классификация противодействий с использованием программно -аппаратных средств.

2.3 Понятие эффективности (надёжности) противодействий.

2.4 Функционально - экономическое описание противодействий.

2.5 Примеры противодействий информационным угрозам.

ВЫВОДЫ.

3. СИСТЕМА ИНФОРМАЦИОННОЙ ЗАЩИТЫ КАК МЕХАНИЗМ ПРОТИВОДЕЙСТВИЯ ИНФОРМАЦИОННЫМ УГРОЗАМ.

3.1 Основные функции и свойства системы информационной защиты.

3.2 Эффективность и рентабельность защиты. Асимптотические оценки.

3.3 Экономическая концепция информационной безопасности.

ВЫВОДЫ.

4. ДЕКОМПОЗИЦИЯ СИСТЕМ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ. м 4.1 Зона защиты как базовый элемент структурной декомпозиции. яЬ 4.2 Классификация зон информационной защиты по их значимости.

Ш 4.3 Оптимизация ресурсов. Выбор средств защиты одной зоны. щ 4.4 Пример использования методики выбора.

ВЫВОДЫ.

5. КОМПОЗИЦИЯ СИСТЕМ ИНФОРМАЦИОННОЙ ЗАЩИТЫ КАК ОСНОВА ИХ ПРОЕКТИРОВАНИЯ.

5.1 Классификация структурных вариантов систем защиты информации.

5.2 Оценивание свойств системы независимых зон.

5.3 Структурная и ресурсная оптимизация, их особенности.

5.4 Понятие интегрированных систем безопасности.

ВЫВОДЫ.

6. ЧАСТИЧНАЯ АВТОМАТИЗАЦИЯ ПРОЦЕССА ПРОЕКТИРОВАНИЯ. НЕОБХОДИМОСТЬ И ВОЗМОЖНОСТЬ.

6.1 Проектирование как многошаговая процедура последовательных действий поиска, сравнения и выбора.

6.2 Уровни частичной автоматизации.

6.3 Минимальное программное обеспечение и его версия.

6.4 Пример использования минимального программного обеспечения.,.,.,.,

ВЫВОДЫ.

Диссертация: введение по экономике, на тему "Экономические основы теории проектирования систем защиты информации"

Реформа экономики в России, перевод её на «рыночную» основу дали толчок к активизации ряда процессов, оказывающих негативное влияние на жизнь нашего общества в целом и развитие предпринимательства, в частности. Наиболее заметно наращивание криминогенного потенциала, проявляющегося не только в насильственных формах присвоения чужой собственности, но и различных посягательствах на коммерческую тайну [1].

В бывшей Советской России коммерческая тайна была официальна отменена положением о рабочем контроле принятом ВЦИК в ноябре 1917г. Тогда же была введена распределительная экономическая система и государственная защита служебной информации и государственной тайны [21.

С возрождением «рыночной» экономики вопрос о коммерческой тайне вновь встал на повестку дня. Дав гарантию прав предпринимателей на коммерческую тайну, государство ограничило, однако, свою роль в её защите выпуском специальных правовых документов [3-6]. В таких условиях предприниматели были вынуждены сами обеспечивать свою информационную безопасность. С этой целью они активно используют опыт бывших работников правоохранительных органов, расширяют обмен мнениями специалистов индустрии безопасности, организовывают собственные службы экономической и информационной безопасности, стимулируют развитие научных взглядов на проблему защиты интересов бизнеса.

Частным результатом этих действий явилось появление новых специальных периодических изданий [7-11] и книг [12-25], посвященных анализу систем защиты информации. При этом чётко проявили себя два альтернативных подхода к проблеме.

В большинстве случаев авторы используют «затратные» схемы защиты информации, когда предполагают те или иные организационные и инженерно-технические средства защиты информации, не принимая во внимание их стоймости, не делая при этом сопоставлений по показателю затраты - ущерб - качество. Эти схемы часто оказываются правильными, особенно в случаях защиты интересов «крупного» бизнеса.

Тем не менее, сформировалось и другое мнение о том, что решающим фактором в защите коммерческой тайны должна стать экономика, сопоставление затрат на безопасность и прогнозируемых ущербов от хищений конфиденциальной информации [12-24]. Экономический подход должен доминировать и при решении отраслевых вопросов, выбора отдельных, частных средств и методов противодействия информационным угрозам.

Привлекательность экономического решения проблемы защиты информации обусловлена большими потенциальными возможностями экономических методов анализа, базирующихся, в частности, на статистических моделях воздействий и методах численного оценивания системных реакций, возможностями математического анализа и синтеза простых и сложных систем различного функционального назначения [29-32].

Сдерживающим фактором при этом является отсутствие на практике необходимых исходных данных, в частности, статистики угроз для конкретного объекта защиты, общепринятой шкалы значимости (ценности) информации, нормативных категорий уровней защиты и пр.

Тем не менее, именно это направление было выбрано в качестве предметной области диссертационных исследований.

Развивая тему дипломного проекта [34], соискатель взял за основу экономические критерии, базирующиеся на сопоставлении ущербов от угроз и затрат на безопасность. Цель сопоставлений - определить уровни рациональных общих и частных ассигнований на безопасность; решить методами статистического и экономического анализа основные задачи видовой и структурной оптимизации; найти, используя гипотезу об экономической сущности угроз, практические правила выбора средств информационной защиты.

Особое значение при выборе методов научных исследований придавалось асимптотическим приближениям. Основная цель при этом - выявить общие, закономерные связи между свойствами объекта, системной безопасности и экономическими затратами. Предполагалось, что такой путь позволит получить аналитические зависимости для необходимых экономических оценок и создаст основу соответствующим методикам проектирования.

Строго говоря, асимптотические приближения справедливы только для предельных условий, в частности, условий «большого» бизнеса. Однако, предполагалось найти такие которые, имеют достаточно широкие границы, чтобы служить основой решения задач защиты «среднего» и «малого» предпринимательства.

Все основные положения теории предполагалось проверить на конкретных примерах, используя для этого данные каталогов по современным средствам «нападение» и защиты отечественных и зарубежных фирм, реализующих продукцию на рынке индустрии безопасности [43-481.

Самостоятельная цель исследований состояла в разработке предложений по автоматизированному проектированию систем информационной защиты. Предложения касались в основном «узкой» части проектирования - многомерного выбора и оптимизации средств защиты.

Указанные цели исследований определили характер работы и её научную новизну, получивших своё отражение в открытой печати - статьях в журнале «Системы безопасности» за 1995,1996,1997 гг.

Практическая полезность работы проявилось в частности в том, что её рекомендации были учтены при разработке концепции информационной защиты крупного коммерческого объекта в пос. Черноголовка Московской области.

Структурно работа состоит из введения, 6 разделов основного текста, заключения, приложения и перечня использованной литературы более из 50 наименований.

При подготовке материалов и окончательной редакции диссертации автору оказали поддержку и помощь многие специалисты. Особую благодарность он выражает своему научному руководителю, академику Шилину Ю.И за целевую, экономическую постановку проблемы, помощь в интерпретации научных результатов и практических выводов по работе.

Р&ЪУ/ГЬТАТЫ рАБОТЬ! БЫШ ОПУБЛИКОВАНЫ В QWPb/rm'j пе рм оа и t/ecacCi пей а ту - журнале С и спемы Безопасности d. СтДтьР*, &ежомпогии,щ> и позиция си/сте/у е=> о па с носл ду " - М: Журнал,, С^стел/ь/ ^езопА-c^ocri/ 'V^

2. Статья „ ^OHCi&ntittjz && г опасности; э-ыелоНнрс&Ак

НСсТЬ g/UaJtTh! И MHQPOi>y£>'e>*CtJtQ<& Г7Р0ТМ^РОЗ^/Ч" А/- журнал „ те /гь/ оплай ости " aS^j /996/?

СТАТЬЯ „ Ctpaxo&AMUQ КАК ФУ А/К и иJ

ЯеЗ СЮАёИOCTL-f »- Af; pfyP&W г, СИа l&^fb/ &<г30ПА£НСс.Т^ аJ996P

Ц Стлт&# f* &AQKUруюшме и отрежАющ>&е. яротя&сл&истьия /Л" ЯСУРА/АА „ темь/ е-е^опАНиюсГи, f /99 в л

Диссертация: заключение по теме "Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда", Абалмазова, Мария Эдуардовна

выводы

Проектирование высокоэффективных и высокорентабельных систем защиты информации сопряжено с достаточно большим числом рутинных операций по вычислению и сравнению между собой ранговых коэффициентов, отбора наибольших по величине из них с учетом ограничительных условий на ассигнования. При этом нельзя исключить ошибки и неточности даже в случае самой простой по структуре системы-системы из независимых зон защиты.

Использование современных вычислительных средств дает несомненные преимущества проектированию как на стадии учета и формирования исходных (первичных и вторичных) данных, так и в особенности на стадии ресурсной и структурной оптимизации системы.

На данном этапе можно, однако, говорить только о частичной автоматизации, решении тех задач, которые подготовлены методически.

Частичная автоматизация возможна, в частности, при ресурсно-видовой оптимизации систем информационной защиты независимых зон, при выборе необходимых инженерно-технических средств защиты.

Предложена и обсуждена авторская версия минимального програмного обеспечения.

ЗАКЛЮЧЕНИЕ

В основу диссертационной работы была заложена глубокая убежденность автора в том, что проблему защиты интересов частного предпринимательства необходимо решать экономическими методами, изучая экономические связи между защищаемой информацией, угрозами и свойствами объекта защиты, сравнивая затраты на безопасность и возможные ущербы от реализации угроз.

Этот путь потребовал от автора разработать и обосновать экономическую модель системы информационной защиты как механизма противодействия информационным угрозам, где определяющими показателями являются эффективность и рентабельность защиты. На основе этой модели были созданы методики экономико-вероятностного описания угроз, количественного оценивания экономических рисков, оптимизации ресурсов, выбора инженерно-технических средств защиты и др.

В качестве аналитической основы исследований были использованы хорошо развитые методы статистического (вероятностного) анализа и синтеза. Особое внимание было уделено асимптотическим приближениям, что в конечном итоге позволило оценить экономические связи между воздействиями и свойствами объекта защиты.

Все основные научные результаты получены впервые. В ходе выполнения диссертационной работы была создана научно-обоснованная методическая база эскизного проектирования систем информационной безопасности с возможностью его частичной автоматизации. Были созданы, в частности, и защищаются методики: оценивания общей эффективности и рентабельности защиты как функции вложенных ассигнований; оценивания опасности информационных угроз; оптимального ( с экономической точки зрения) выбора средств защиты; оптимального распределения ресурсов во всем пространстве угроз и др.

Методики были учтены при разработке концепции безопасности Московской городской телефонной сети (МГТС) и использованы при разработке концепции информационной защиты коммерческого объекта пос. Черноголовка Московской области.

Следует признать, что в рамках данной диссертационной работы проблему информационной защиты удалось решить пока частично. Сложность и новизна задач не позволили автору решить вопросы оптимальной композиции зон защиты с частичным и полным пересечением, декомпозиции и композиции части пространства угроз, связанной со служащими и клиентами. В постановочном плане затронута проблема интегрированных и корпоративных систем защиты.

Однако, автор убежден, что эти и другие вопросы должны решаться на основе экономической концептуальной модели, и что данная работа будет содействовать их теоретическому и практическому продвижению.