Формирование системы управления информационной безопасностью организации тема диссертации по экономике, полный текст автореферата

Автореферат диссертации по теме "Формирование системы управления информационной безопасностью организации"

На правах рукописи

А

005011346

АБРАМОВ МИХАИЛ АЛЕКСАНДРОВИЧ

ФОРМИРОВАНИЕ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ОРГАНИЗАЦИИ (НА ПРИМЕРЕ ГАЗОДОБЫВАЮЩИХ ПРЕДПРИЯТИЙ)

Специальность 08.00.05 - Экономика и управление

народным хозяйством: экономика, организация и управление предприятиями, отраслями, комплексами промышленности

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата экономических наук

Самара 2011

005011346

Диссертационная работа выполнена в Самарском государственном техническом университете

Научный руководитель - доктор экономических наук, профессор

Гагаринская Галина Павловна

Официальные оппоненты: доктор экономических наук, профессор

Горелик Ольга Михайловна

доктор экономических наук, доцент Лазарев Владимир Николаевич

Ведущая организация - Нижегородский государственный

университет им. Н.И. Лобачевского

Защита состоится 29 декабря 2011 г. в 15 ч на заседании диссертационного совета Д 212.214.03 при Самарском государственном экономическом университете по адресу: ул. Советской Армии, д. 141, ауд. 325, г. Самара, 443090

С диссертацией можно ознакомиться в библиотеке Самарского государственного экономического университета

Автореферат разослан 28 ноября 2011 г.

Ученый секретарь диссертационного совета

Волкодавова Е.В.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследования. Информационные ресурсы являются основополагающим элементом структуры современной экономики, поэтому обеспечение информационной безопасности актуально для каждого хозяйствующего субъекта, в частности и для газодобывающих предприятий. Продолжающаяся газификация России свидетельствует о важности природного газа как одного из основных источников энергии, применение которого и в производственной, и в повседневной деятельности запланировано на многие годы вперед. Однако, как и остальные минеральные вещества, газ является трудновосполняемым полезным ископаемым. Ограниченность запасов природного газа и отсутствие альтернатив, способных покрыть потребность в энергии, приводят к глобальной борьбе за перспективные районы разработки месторождений газа и газового конденсата на арктическом шельфе и других спорных территориях. Не менее серьезная борьба наблюдается между газодобывающими предприятиями за перспективные газоносные месторождения внутри РФ.

В качестве ключевого инструмента конкурентной борьбы на предприятиях газовой отрасли выступает информация, в связи с чем средства ее обработки, хранения и передачи становятся основным защищаемым объектом, безопасность которого составляет основу устойчивого существования и перспективного развития газодобывающих предприятий. В современных условиях конкурентоспособность любого хозяйствующего субъекта зависит от степени его информатизации, которая положительно сказывается на повышении эффективности производственных, хозяйственных, управленческих и иных процессов, но в то же время понижает уровень их информационной безопасности (ИБ). Задача ее обеспечения, таким образом, входит в состав ключевых, что подтверждает анализ уставных видов деятельности газодобывающих предприятий.

На многих предприятиях, в частности входящих в группу ОАО "Газпром", активно проводятся работы по созданию системы информационной безопасности, что обеспечивает решение текущих задач в данной сфере, но не отвечает существующим потребностям в части управления ею. Такое положение дел связано с устаревшими представлениями управленцев о современных требованиях к уровню информационной безопасности. Это приводит к тому, что обеспечение ИБ становится нерациональным, т.е. проводимые мероприятия по ИБ не отвечают требованиям организации, а выделяемые ресурсы расходуются сверх необходимой меры.

Одна из причин нерационального использования ресурсов на обеспечение ИБ организации вызвана отсутствием взаимосвязи между непосредственно направлением ИБ и бизнесом. Данный недостаток ввиду важности обеспечения ИБ сказывается негативным образом на деятельности всего предприятия.

Недостаточная разработанность организационно-экономических мер управления ИБ организации, а также пренебрежение формированием системы управления ИБ на российских предприятиях обусловили выбор темы диссертационной работы.

Степень разработанности проблемы. Решению задач обеспечения информационной безопасности уделяется большое внимание как в российской, так и в зарубежной научной литературе, однако проблемы, связанные с формированием системы управления ИБ, проработаны недостаточно полно.

Вопросы обеспечения и управления ИБ, управления ее рисками освещены в работах зарубежных авторов Д. Андина, Н. Бажгорича, Т.Л. Бартона, Д. Данчева, А. Партида, Т.Д. Смедингхофа, У.Г. Шенкира, Л.П. Энглиша и др. В большей степени работы указанных авторов затрагивают технические вопросы обеспечения ИБ, а отраженные в работах методики находят практическое применение в деятельности зарубежных и российских организаций.

Большой вклад в формирование системы взглядов и принципов обеспечения ИБ в России внесли С.И. Ашмарина, А.П. Бацула, В.А. Га-латенко, В.В. Домарев, Н.И. Журавленко, В.В. Загоскин, П.Д. Зегжда, В.Н. Ильюшенко, В.П. Мак-Мак, С.А. Петренко, В.Д. Провоторов, В.П. Пушкарев, Б.Я. Татарских, А.А. Торокин, А.Ю. Чесалов, В.И. Ярочкин и другие авторы, которые исследовали задачи обеспечения ИБ в трех ее основных областях: инженерно-технической, программно-аппаратной и правовой.

Разработка средств и методов обеспечения ИБ была основной целью научных исследований в сфере ИБ. Такое положение дел привело к тому, что ИБ стала позиционироваться как убыточная статья расходов, а обеспечение ИБ воспринималось как усложнение бизнес-процессов при достижении минимального эффекта. Ограниченность ресурсов и возрастающая конкуренция во всех видах деятельности привела к необходимости обеспечения ИБ, помимо прочего, и с позиций экономической оправданности и разумности применяемых мер, в связи с чем возникла острая необходимость формирования в организациях системы управления информационной безопасностью.

Цель диссертационного исследования заключается в формировании системы управления информационной безопасностью на основе организационно-экономических мер ее обеспечения.

Поставленная цель обусловила необходимость решения следующих задач:

- исследовать существующие меры обеспечения ИБ, из числа которых выявить и систематизировать организационно-экономические меры для сформирования системы управления ИБ;

- рассмотреть организационные меры ИБ, установить их взаимосвязь в процессе обеспечения ИБ с позиций приоритетного применения в системе управления ИБ;

- разработать модель принятия решений в области ИБ и предложить подход к выбору оптимального решения;

- определить влияние информации конфиденциального характера на управление организацией с позиций обеспечения ИБ, разработать подход к оценке информации, составляющей коммерческую тайну организации;

- рассмотреть подходы к осуществлению риск-менеджмента ИБ на основании стандартов управления рисками систем информационных технологий с учетом сфер конфиденциальности информационного пространства организации;

- изучить типовые организационно-штатные структуры подразделения, обеспечивающего ИБ газодобывающего предприятия, и определить систему управления, позволяющую оптимизировать ИБ; в соответствии с полученными результатами на основании организационно-экономических мер сформировать систему управления ИБ газодобывающего предприятия.

Объект исследования - газодобьюающие предприятия Российской Федерации.

Предмет исследования - организационно-экономические отношения, возникающие в процессе формирования системы управления ИБ.

Область исследования. Диссертационное исследование проведено в рамках п. 1.1.11 "Оценка и страхование рисков хозяйствующих субъектов"; п. 1.1.13 "Инструменты и методы менеджмента промышленных предприятий, отраслей, комплексов"; п. 1.1.19 "Методологические и методические подходы к решению проблем в области экономики, организации управления отраслями и предприятиями топливно-энергетического комплекса" Паспорта специальности ВАК 08.00.05 "Экономика и управление народным хозяйством: экономика, организация и управление предприятиями, отраслями, комплексами промышленности".

Методологическая и информационная база исследования. В ходе выполнения диссертационной работы применялась методологическая база исследования, включающая в себя системный и математический анализ, теорию вероятностей, теорию графов, теорию принятия решений, методологию защиты информации, методы экспертных оценок, логическое моделирование.

В качестве информационной базы исследования выступали международные стандарты в области ИБ, законодательные документы и ГОСТы РФ, регламентирующие документы Федеральной службы технического и экспортного контроля, стандарты и иные организационно-нормативные документы ОАО "Газпром" и его дочерних обществ, информационно-аналитические материалы периодических изданий, конференций и форумов.

Научная новизна результатов исследования заключается в разработке теоретико-методических основ и организационно-экономических мер формирования системы управления информационной безопасностью.

Наиболее значимые результаты, характеризующие научную новизну диссертационной работы, заключаются в следующем:

- выявлены и систематизированы организационно-экономические меры обеспечения ИБ, позволяющие сформировать систему управления ИБ;

- сформирована система регламентации организационных мер ИБ в рамках системы управления ИБ, определяющая порядок их применения в процессе обеспечения ИБ газодобывающего предприятия;

- создана модель принятия решений в системе управления ИБ и предложен подход к выбору оптимального решения на основе доработки метода анализа иерархий с учетом как вероятностного определения выполнения задачи, так и основных критериев защищаемых объектов;

- разработана методика стоимостной оценки информации, составляющей коммерческую тайну организации, и обоснована необходимость такой оценки как фактора, позволяющего оперировать конфиденциальной информацией в качестве актива организации;

- предложен подход к оценке рисков ИБ и разработан процесс управления ими, направленный на минимизацию рисков и предупреждение экономически неоправданных мер обеспечения ИБ. На основании данного подхода проведена оценка рисков ИБ на газодобывающих предприятиях;

- сформирована система управления ИБ газодобывающего предприятия, позволяющая осуществлять постоянное улучшение состояния ИБ с учетом требований бизнеса посредством реализации организационно-экономических мер.

6

Теоретическая н практическая значимость работы. Результаты, полученные в ходе работы, актуальны для формирования системы управления ИБ организации. Разработанные организационно-экономические меры позволяют минимизировать противоречия, вызванные спорами между топ-менеджерами организации об экономической целесообразности выделения средств на обеспечение ИБ. В ходе исследования установлена связь между системой управления ИБ и управлением организацией.

Выборочное применение полученных результатов возможно в организациях, располагающих информацией конфиденциального характера. Дополнительные преимущества, получаемые за счет формирования системы управления ИБ, положительно скажутся на конкурентоспособности предприятия, что крайне важно в современных условиях.

Апробация результатов исследования. Положения диссертационной работы и отдельные результаты, полученные в ходе исследования, обсуждались на международных и всероссийских научно-практических конференциях:

- 9-й Всероссийской конференции молодых ученых, специалистов и студентов "Новые технологии в газовой промышленности" (Москва, 4-7 октября 2011 г.).

- VI научно-практической конференции молодых ученых и специалистов по проблемам, связанным с добычей, подготовкой и транспортировкой углеводородного сырья, приуроченной к 40-летию ООО "Газпром добыча Надым" (Надым, 6-8 апреля 2011 г.);

- II научно-практической молодежной конференции "Новые технологии в газовой отрасли: опыт и преемственность" (Москва, 6-7 октября 2010 г.);

- 8-й Международной научно-практической конференции "Проблемы развития предприятий: теория и практика" (Самара, 19-20 ноября 2009 г.);

- конференции "Информационная безопасность: от защиты информации к управлению информационной безопасностью" (Новосибирск, 28 февраля 2008 г.);

- XII Международной конференции "Комплексная защита информации" (Ярославль, 13-16 мая 2008 г.);

- 9-й Всероссийской научно-практической конференции "Проблемы информационной безопасности государства, общества и личности" (Томск, 15 февраля 2007 г.).

Публикации. Результаты диссертационного исследования нашли свое отражение в 14 опубликованных работах автора общим объемом 5 печ. л., в число которых входят 4 статьи в изданиях, определенных соответствующим перечнем ВАК.

Структура диссертации. Диссертация состоит из введения, трех глав, заключения и библиографического списка.

Во введении обосновывается актуальность избранной темы, анализируется степень разработанности проблемы, определяются цель, задачи, объект, предмет и область исследования, отражается его методологическая и информационная база, раскрываются научная новизна диссертационной работы, теоретическая и практическая значимость полученных результатов, их апробация, указываются объем публикаций автора и структура диссертации.

В первой главе "Исследование аспектов управления информационной безопасностью газодобывающего предприятия" проведен анализ существующих мер и инструментов обеспечения ИБ, типовой организационно-штатной структуры подразделений, обеспечивающих ИБ, установлен комплекс организационных мер обеспечения ИБ, предложена модель системы управления ИБ; рассмотрены меры по осуществлению риск-менеджмента ИБ; рассмотрены механизмы обеспечения ИБ и усовершенствован подход к оценке уровня защищенности организации с точки зрения обеспечения ее ИБ.

Во второй главе "Разработка организационно-экономических мер системы управления информационной безопасностью" рассмотрены стандарты в области ИБ, разработан подход к управлению рисками ИБ и предложены организационные принципы совокупного применения данных стандартов в организации; на основе усовершенствованного метода анализа иерархий разработана модель принятия решений в системе управления ИБ; разработана методика стоимостной оценки информации, составляющей коммерческую тайну организации, позволяющая оценить экономическую целесообразность применяемых мер по обеспечению ИБ, обоснована важность такой оценки в ходе управления организацией.

В третьей главе "Концепция формирования системы управления информационной безопасностью газодобывающего предприятия" определен организационный подход к обеспечению ИБ на основе иерархического представления организационной документации (в области ИБ) газодобывающего предприятия, входящего в группу ОАО "Газпром"; адаптирована авторская методика стоимостной оценки конфиденциальной информации к реалиям формирования цены на живой и овеществленный труд на газодобывающем предприятии; в соответствии с разработанными организационно-экономическими мерами сформирована система управления ИБ газодобывающего предприятия.

В заключении работы отражены полученные результаты исследования и сформулированы основные выводы.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ ДИССЕРТАЦИОННОГО ИССЛЕДОВАНИЯ, ВЫНОСИМЫЕ НА ЗАЩИТУ

1. Выявлены и систематизированы организацнонно-экономические меры обеспечения ИБ, позволяющие сформировать систему управления ИБ.

Обеспечение ИБ рассматривается, в первую очередь, как набор технических, аппаратных и программных, решений. Их изобилие привело к однобокости систем ИБ, формирование которых ассоциируется только с внедрением указанных решений. В свою очередь, пренебрежение организационно-экономическими мерами сказывается на удорожании системы ИБ, усложнении процедур доступа для авторизованных работников к информации, составляющей коммерческую тайну организации, на возможности интегрирования инструментов ИБ в перспективном развитии системы ИБ.

Развитие экономических отношений между субъектами международного сообщества свидетельствует о растущей целостности рынков, основанной на специализации и кооперировании производства как в межгосударственных, так и в корпоративных масштабах. Становясь полноценными участниками международного рынка в условиях повышающегося значения информации и ее защиты, организации нередко вынуждены доказывать свою состоятельность в области обеспечения ИБ, что вызывает необходимость развития организационно-экономических мер.

Ввиду недостаточного развития организационно-экономического направления ИБ отсутствуют соответствующие меры, позволяющие оценить рациональность и экономическую целесообразность обеспечения ИБ в российских организациях. Выявление и разработка данных мер позволят решить проблемы нерационального использования технических, аппаратных и программных средств в организациях. Однако применение организационно-экономических мер должно носить систематизированный характер для минимизации неэффективных решений по обеспечению ИБ (рис. 1).

Систематизация организационно-экономических мер ИБ направлена на их целевое распределение в системе управления ИБ для предупреждения экономически неоправданных и нерациональных решений по обеспечению ИБ организации. Ее стремление к повышению экономической эффективности будет способствовать дальнейшему развитию организационно-экономических мер, что положительно скажется не только на системе ИБ, но и на организации в целом.

Рис. 1. Структура организационно-экономических мер обеспечения ИБ организации

2. Сформирована система регламентации организационных мер ИБ в рамках системы управления ИБ, определяющая порядок их применения в процессе обеспечения ИБ газодобывающего предприятия.

Несистематизированное оперирование организационными мерами в процессе обеспечения ИБ приводит к нерациональному взаимодействию между субъектами, вовлеченными в процесс обеспечения ИБ, вызывая экономические потери из-за увеличения времени на реализацию мер по обеспечению ИБ. Анализ организационных мероприятий по обеспечению ИБ на газодобывающих предприятиях способствовал уточнению иерархии указанных мер, что позволило сформировать систему регламентации необходимых организационных мер.

Ключевое место в системе ИБ отводится концепции и политике ИБ, которые разрабатываются в рамках организационно-экономического направления ИБ. Все меры по обеспечению ИБ должны соответствовать принципам, задачам и целям концепции и политики ИБ. В связи с изменением экономического состояния предприятия концепция и политика его ИБ периодически подлежат пересмотру.

Концепция и политика ИБ в совокупности представляют собой набор методических основ, регламентирующих формирование системы ИБ. В концепции отражаются основные направления деятельности в области обеспечения информационной безопасности, а политика определяет частные меры защиты выделенного объекта. Несмотря на достаточность мер, описанных в концепции и политике ИБ, для обеспечения соответствия данных мер требованиям российского законодательства и обоснованной защиты прав на информацию, составляющую коммерческую тайну, в организациях вводится режим коммерческой тайны.

Регулирование вопросов, связанных с режимом коммерческой тайны на газодобывающих предприятиях (в частности, группы "Газпром"), осуществляется в соответствии с Положением о режиме коммерческой тайны. Первоначальный этап в становлении режима коммерческой тайны - выполнение организационных мер по выявлению ценной коммерческой информации и формирование на основе ее перечня сведений, составляющих коммерческую тайну (КТ). Оценку данных на предмет необходимости отнесения их к информации, составляющей коммерческую тайну, осуществляют руководитель структурного подразделения, заместитель генерального директора или генеральный директор. Для уменьшения вероятности необоснованного отнесения оцениваемой информации к информации КТ утверждается экспертная группа, в задачи которой входит оценка информации в соответствии с организационно-экономическими мерами.

Рис. 2. Система регламентации организационных мер ИБ организации

В системе управления ИБ в зависимости от потребностей организации в достижении требуемого уровня ИБ выполнение мероприятий по ее обеспечению четко регламентируется. Система регламентации (рис. 2) определяет приоритеты в последовательности организационных мер и устанавливает порядок формирования организационных документов, распределяя выполнение мер между субъектами, вовлеченными в обеспечение ИБ, предупреждая дублирование мероприятий в процессе обеспечения ИБ, а также позволяет повысить качество взаимодействия меж-

ду организационно-штатными структурами предприятия в части использования информации и объектов информатизации.

3. Создана модель принятия решений в системе управления ИБ и предложен подход к выбору оптимального решения на основе доработки метода анализа иерархий с учетом как вероятностного определения выполнения задачи, так и основных критериев защищаемых объектов.

На протяжении всего жизненного цикла системы в ней происходят процессы, связанные с выбором, от оптимальности которого зачастую может зависеть успех в достижении намеченных целей. Отсутствие методического аппарата принятия решений негативно сказывается на обеспечении ИБ и управлении организацией в целом. Создание модели принятия решений, адаптированной под специфику управления ИБ, способствует развитию соответствующего методического аппарата в рамках организационно-экономического направления ИБ и, как следствие, помогает в оценке экономической целесообразности мер ИБ за счет возможности осуществления систематизированного принятия решений.

Решения, разрабатываемые в системе управления ИБ, направлены на достижение целей обеспечения требуемого уровня ИБ организации, а также на повышение эффективности взаимодействия менеджеров в достижении уставных целей. Принимаемые решения, направленные на повышение уровня ИБ, не должны противоречить интересам бизнеса, что учтено в мо-

Внешняя среда (конкуренты,

внешние угрозы, изменения в законодательстве и т.п.)

Цели информационной безопасности 4 Цели бизнеса

План мер

Формирование плана мер по обеспечению ИБ

Внутренняя среда

Рис'з.Модель принятия решений в системе управления ИБ организации

Поскольку цели организации являются основополагающими в формировании целей ее ИБ, соответственно устанавливаются требования к ИБ, что позволяет осуществить постановку задачи, решение которой ха-

растеризуется достижением заданного уровня ИБ, отвечающего установленным требованиям. Постановка задач осуществляется на основании возникающих потребностей предприятий в обеспечении заданного уровня ИБ, требования к которому основываются на состоянии внутренней и внешней среды. В соответствии с поставленной задачей в системе выбора решений осуществляется выбор решения из числа возможных альтернатив. На основании выбранного решения формируется план мер по обеспечению ИБ] набор которых сравнивается с требованиями ИБ. В случае если выработанные меры не позволяют выполнить имеющиеся требования, формируется новая задача и цикл повторяется. При соответствии мер требованиям ИБ осуществляется их реализация посредством управления объектами информатизации в системе ИБ.

В модели принятия решений после постановки задачи выполняется ее декомпозиция на последовательности подзадач для проведения анализа возможных альтернативных действий при решении задачи. Выбрав последовательность подзадач, позволяющих решить задачу с наименьшими временными и трудозатратами, и конкретизировав тем самым задачу, надлежит определить возможные решения, включающие в себя выполнение всех подзадач.

С учетом особенностей системы ИБ метод анализа иерархий (МАИ) представляет наибольший интерес в качестве системы выбора решений, потому как при сравнении небольшого количества критериев выбора альтернативного решения этот метод позволяет получить достаточно точные результаты.

В МАИ отсутствует возможность оценки решений на предмет их реализуемости, т.е. оценки вероятности выполнения задачи в результате выбора того или иного решения. Вероятность выполнения задачи в результате выбора альтернативы в предлагаемой системе выбора основывается на значениях вероятностей выполнения подзадач. Такой подход позволяет акцентировать внимание на элементах задачи (подзадачах), решение которых связанно с наибольшим риском невыполнения. Вероятность выполнения поставленной задачи посредством рассматриваемого решения устанавливается на основе классического подхода определения вероятности либо путем экспертных оценок в случае недостатка статистических данных выполнения аналогичных задач.

После определения вероятности выполнения подзадач находится вероятность выполнения задачи. Выполнение задачи достигается путем выполнения всех подзадач, т.е. вероятность выполнения всех подзадач равна произведению вероятностей выполнения каждой подзадачи на условную вероятность вышестоящей подзадачи:

Р(3) = Р(П1)-РЛ1(П2)-...-РП1П2...пн(Ж) ,

где Р(3) - вероятность выполнения задачи;

Р(П\) - вероятность выполнения первоначальной подзадачи; Рт(Пг) - вероятность выполнения подзадачи при условии, что подзадача Я/ выполнена;

рП\Пг IlN-\(nN) - вероятность выполнения подзадачи, зависящей от выполнения предшествующих подзадач при условии, что они выполнены.

Для численного сравнения альтернативных решений с учетом их возможной реализации вычисляется произведение глобального приоритета решения, полученного согласно МАИ и соответствующей ему вероятности реализации задачи:

3Р„=ГПп-Р(3)Рп,

где Зрп - выполнение задачи посредством решения и;

ГПп - глобальный приоритет решения п (найденный посредством МАИ);

Р(3)р - вероятность выполнения задачи посредством решения п.

В результате сравнения полученных значений выполнения задачи посредством каждого альтернативного решения определяется оптимальное решение. Оптимальным решением будет то, выполнение задачи посредством которого имеет наибольшее значение: optP - тах(3pv3p2,—,3pn). После нахождения оптимального решения выполнения задачи принимается соответствующее управленческое решение. На основании выбранного решения формируется план мероприятий по выполнению задачи в системе ИБ.

4. Разработана методика стоимостной оценки информации, составляющей коммерческую тайну организации, и обоспована необходимость такой оценки как фактора, позволяющего оперировать конфиденциальной информацией в качестве актива организации.

Информация, составляющая коммерческую тайну (информация КТ), подлежит защите, на обеспечение которой требуются значительные финансовые затраты. Размер выделяемых средств на обеспечение ИБ носит приблизительный характер, что приводит к упущениям в системе ИБ в результате недостатка средств либо при их избытке к необоснованным растратам и даже экономическим преступлениям (покупка средств обеспечения ИБ по завышенным ценам в результате использования служебно-

го положения с целью незаконного обогащения). Указанные проблемы зачастую являются источником нарушения стабильности организации.

Обеспечение адекватного уровня ИБ при рациональном использовании ресурсов организации в рамках системы управления ИБ достигается посредством оценки информации КТ, отражающей конкретные стоимостные показатели, на основании которых устанавливается предел допустимых затрат на обеспечение ИБ, равный стоимости информации КТ.

Стоимость информации КТ формируется исходя из постоянной и переменной составляющих. Учитывая, что информация КТ выступает товаром, постоянная составляющая образуется из затрат, понесенных в результате ее разработки (получения), фактически являясь себестоимостью, а переменная представляет собой размер убытков, возможных в результате неправомерного ее использования.

Р = Р:onst + Р(х) >

где Р - стоимость информации КТ;

Рcomt - себестоимость информации КТ;

Р(х) - переменная составляющая стоимости информации КТ.

Себестоимость информации КТ (рис. 4) для разного рода сведений будет различной, непосредственно зависящей от размеров затраченного живого и овеществленного труда Цена на затраченный живой труд рассчитывается исходя из заработной платы работника или суммы, обозначенной в гражданско-правовом договоре исполнителя, и времени выполнения работ, затраченных на получение конечного товара (информации):

Pconst ~ Рж.Т ^О.Т ' где рЖ1 - цена на живой труд;

рот - цена на овеществленный труд.

р - '^о п , 'жл ~ 'з ' 'о.п

где S0 п - сумма, выплачиваемая работнику за отчетный период; ton - общее время отчетного периода;

t - время, затраченное на выполнение работы по получению конечного товара (информации КТ).

Овеществленный труд включает в себя капитал в денежном эквиваленте и в остальных накопленных в течение существования организации активах. При расчете стоимости затраченного овеществленного труда (сырье, амортизация основных и неосновных фондов и т.д.) учитываются все используемые для получения информации КТ активы, т.е. их вклад в стоимостном выражении в конечный товар (в информацию КТ).

р0.т

где Яза1- стоимость затраченных активов в ходе получения информации КТ.

Рис. 4. Схема формирования себестоимости информации КТ организации

Переменная составляющая цены информации КТ выражается в возможных убытках, которые образуются в результате неправомерного ее использования. Возможные убытки включают в себя расходы, связанные с восстановлением информации КТ и ее правового статуса в результате ее неправомерного обращения, упущенной выгоды за вычетом незатра-ченных активов, необходимых для получения выгоды, и доходов, которые получило лицо, неправомерно завладевшее (использовавшее) информацией КТ.

Р(х) = I = ЯР1 + Си + (ЬР - АЕ) где £ - убытки от неправомерного использования информации КТ; др] - расходы на восстановление информации КТ; си - расходы вследствие неправомерного обращения с информацией КТ;

1.Р - планируемая прибыль от использования информации КТ (упущенная выгода в стоимостном выражении от использования информации КТ);

АЕ - незатраченные активы.

Восстановление информации КТ имеет двойственный характер в зависимости от степени неправомерного обращения с ней: это физическое восстановление непосредственно самой информации КТ и правовое восстановление статуса информации КТ.

Ш = Р№ + Ш, где РЯБ - затраты на физическое восстановление статуса информации КТ; ЯЬБ - затраты на правовое восстановление статуса информации КТ. Последствия от неправомерного обращения с информацией КТ зависят от степени ее использования субъектом, неправомерно получившим к ней доступ. К наиболее типичным последствиям в результате неправомерного обращения с информацией относятся: нарушение произ-

водственных и управляющих процессов, ухудшение имиджа, нарушение прав работников, дискредитация партнеров, подрыв экономической стабильности. Расходы на устранение указанных последствий имеют прогнозируемое значение и рассчитываются аналогично с прогнозируемой упущенной выгодой.

Для расчета прогнозируемой упущенной выгоды (неполученных доходов) необходимо брать во внимание последствия, которые наступят в результате наиболее вероятного неправомерного использования информации КТ и наиболее критичных последствий для ее владельца, т.е. наибольшее значение произведения вероятности возможного события и значения критичности последствий соответствующего события. Вероятность и значение критичности событий могут быть определены экспертным путем, на их основании рассчитывается значение наиболее актуального последствия.

Л11 = тах(Р>соб-С01соб),

где АЛ - наиболее актуальное последствие в результате неправомерного

обращения с информацией КТ;

р. - вероятность события неправомерного обращения с информа-'соб

цией КТ;

О}. - критичность события в результате неправомерного обращения с информацией КТ.

На основании смоделированного наиболее актуального последствия рассчитывается упущенная выгода, равная сумме неполученных доходов от использования информации КТ.

Р*.д. ' Лад.. > > 0. 0, / = 0,

где рид- цена источника дохода, в отношении которого упущена выгода;

Л^д - количество источника дохода;

I - срок действия режима коммерческой тайны в отношении информации КТ,

Учитывая, что для получения выгоды при условии ненарушенное™ права владельца информации КТ необходимо реализовать комплекс мер (понести затраты), позволяющих получить прибыль, разумный размер упущенной выгоды будет формироваться, исходя из размера упущенной выгоды за вычетом незатраченных активов для ее получения.

Стоимостные показатели информации КТ позволяют рассматривать данный актив в качестве предмета бухгалтерских расчетов, т.е. учета информации КТ на балансе организации. Оперирование значением

стоимости информации КТ в бухгалтерских документах будет дополнительной мерой доказывания стоимости информации КТ в случае неправомерного обращения с ней.

Применение предложенного подхода к расчету стоимости информации КТ в системе управления ИБ позволит регулировать размер средств на обеспечение ИБ, а также способствовать проведению анализа мер ИБ на предмет их экономической целесообразности.

5. Предложен подход к оценке рисков ИБ и разработан процесс управления ими, направленный на минимизацию рисков и предупреждение экономически неоправданных мер обеспечения ИБ. На основании данного подхода проведена оценка рисков ИБ на газодо-бывающнх предприятиях.

Бурное развитие информационных технологий значительно отразилось на необходимости, в рамках обеспечения ИБ, проведения оценки рисков с целью (в случае необходимости) выработки мер по их минимизации. Существующие методики оценки и управления рисками не нашли должного применения в практической деятельности организаций. Главным образом, это вызвано тем, что не одна из методик в достаточной степени не описывает весь процесс управления рисками, а симбиоз разных методик - достаточно сложная процедура, как правило, не позволяющая осуществлять управление в полном объеме.

Управление рисками ИБ состоит главным образом из их оценки, выработки решения о минимизации или принятии риска, из мониторинга рисков и начинается с определения цели оценки рисков для конкретной организации. Оценка рисков должна включать в себя анализ и непосредственное нахождение вероятностей их реализации.

Анализ рисков начинается с выявления актуальных угроз для организации. В отношении выявленных угроз устанавливаются уязвимости системы ИБ. Угроза может реализовываться в отношении нескольких уязвимо-стей, как и уязвимость может использоваться несколькими угрозами, что необходимо учитывать при их сопоставлении. После сопоставления угроз и уязвимостей определяется источник реализации угрозы, который может быть антропогенным, техногенным и естественным. Чаще всего встречается антропогенный источник угрозы - внутренний (работник организации), либо внешний (конкуренты, преступные группировки, хулиганы). Иные источники в большей мере зависят от деятельности, климатических условий и территориального расположения организации.

В соответствии с перечнем угроз и уязвимостей осуществляется непосредственная оценка рисков, в частности определяются их значения. Для нахождения в предлагаемом подходе уровней риска после анализа существующих методик была сформулирована формула риска. В ней

19

учитываются вероятности двух составляющих риска (Я), которые находятся экспертным путем: угроза (Ру^ы) и соответствующая ей уязвимость (Руязвим)- Значение произведения составляющих риска является показателем, информирующим в зависимости от диапазона допустимых значений риска о необходимости реализации мер по его минимизации, принятию или контролю риска.

К- РутрОЗЫ " Руязвим.

Для систематизации информации, получаемой в ходе анализа рисков и для дальнейшего их мониторинга формируется матрица оценки риска. В матрице учитываются все составляющие риска и их параметры.

На основании значения вероятности реализации риска принимается решение о дальнейших действиях, о чем в графе действия вносится соответствующая запись: риск принят, риск требует контроля, необходимы меры по минимизации риска. Выбор одного из действий осуществляется в результате сопоставления полученного значения риска с диапазоном допустимых значений риска (табл. 1).

Таблица 1

Допустимые значения риска информационной безопасности организации

Диапазон значений вероятности реализации риска (К) Действие по работе с рисками

0..Д2 Риск принят (РП)

0,21...0,5 Риск требует контроля (РТК)

0,51.. .1 Необходимые меры по минимизации риска (НММР)

Для принятая экономически оправданных мер по обеспечению ИБ величина возможных потерь от реализации риска сравнивается с величиной средств, необходимых на его минимизацию. В случае если величина возможных потерь будет превышать величину средств, необходимых на реализацию мер по обеспечению ИБ, то принимаемые меры будут экономически целесообразными, в противном случае следует пересмотреть меры по обеспечению ИБ по отношению к рассматриваемому риску либо постоянно осуществлять контроль риска.

Подход к оценке рисков и предлагаемые направления действий по их минимизации с позиций экономической целесообразности, а также сопутствующие меры при работе с рисками должны быть формализованы посредством построения процесса управления рисками ИБ.

Процесс управления рисками ИБ (рис. 5) является важной мерой в системе управления ИБ, позволяющей предупреждать экономически неоправданные решения по обеспечению ИБ, а также принимать превентивные меры с целью недопущения нарушения ИБ и, как следствие, ухудшения экономического состояния организации.

Цель оценки рисков

Оценка рисков

Анализ рисков

Определение значения риска И- ' Ругрозы * Руязвнм.

.1.

Систематизация информации о рисках и его составляющих

Необходимы меры по минимизация риска

Планирование мероприятии по минимизации риска

Рис. 5. Процесс управления рисками информационной безопасности организации

На основании вышеописанного подхода, разработанного для проведения оценки рисков, выполнена соответствующая оценка на трех газодобывающих предприятиях (табл. 2): ООО "Газпром добыча Ямбург" (ГДЯ), ООО "Новатэк - Юрхаровнефтегаз" (НЮНГ), ЗАО "Ачимгаз" (АГ)- Вероятность реализации угрозы и вероятность уязвимости оценивались экспертным путем группой работников, задействованных в обеспечении ИБ. С учетом наиболее существенных проблем в системе ИБ для выбранных предприятий был сформирован перечень угроз и определены уязвимости, в отношении которых проведена оценка рисков.

Как показала оценка, большинство реализованных мер обеспечивают необходимый уровень ИБ в отношении исследованных угроз. Однако выявлены риски, требующие постоянного контроля, а также мер по их минимизации.

Таблица 2

Матрица оценки рисков информационной безопасности организации

Угроза Источник угрозы Характер угрозы Предприятие Вероятность реализации угрозы Уязвимость Вероятность уязвимости Риск, вероятность реализации Действие

Утечка информации КТ из корпоративных ЛВС и баз данных Инсайдер Внутренняя гдя 0,4 Конфигурация доменной политики 0,4 0,16 РП

НЮНГ 0,4 0,5 0,2 РП

АГ 0,5 0,5 0,25 РТК

Хакер Внешняя гдя 0,4 Конфигурация межсетевых экранов и доменной политики 0,3 0,12 РП

НЮНГ 0,5 0,4 0,2 РП

АГ 0,4 0,4 0,16 РП

Несанкционированное копирование информации КТ Инсайдер Внутренняя ГДЯ 0,7 Регламентационные меры доступа к ресурсам, содержащим информацию КТ 0,2 0,14 РП

НЮНГ 0,8 0,7 0,56 НММР

АГ 0,7 0,5 0,49 РТК

Утрата информации КТ Работник Внутренняя ГДЯ 0,5 Регламентационные меры доступа к информации КТ 0,2 0.1 РП

НЮНГ 0,6 0,5 0,3 РП

АГ 0,7 0,8 0,56 НММР

Контрагент Внешняя гдя 0,4 Система договорных отношений 0,6 0,24 РТК

НЮНГ 0,5 0,8 0,4 РТК

АГ 0,5 0,7 0,35 РТК

Несанкционированное уничтожение информации КТ Работник Внутренняя гдя 0,6 Система электронного и бумажного резервного копирования 0,1 0,06 РП

НЮНГ 0,7 0,2 0,14 РП

АГ 0,7 0,1 0,07 РП

Вирусное заражение информационных ресурсов Работник Внутренняя гдя 0,7 Регламентационные меры использования электронных носителей. Система обновления антивирусного ПО 0,2 0,14 РП

НЮНГ 0,7 0,3 0,21 РТК

АГ 0,7 0,3 0,21 РТК

Хакер Внешняя ГДЯ 0,4 Система обновления антивирусного ПО 0,2 0,08 РП

НЮНГ 0,4 0,2 0,08 РП

АГ 0,4 0,2 0,08 РП

в организации ЗАО "Ачимгаз" рекомендовано предпринять меры по минимизации риска, связанного с угрозой утраты информации КТ разработка номенклатуры должностей работников, имеющих доступ к информации КГ учет каждого обращения к документам, содержащим К1, регламентация и кошроль хождения документов, содержащих КТ). Также было рекомендовано взять на контроль риски, связанные с угрозами:

- утечки информации КТ из корпоративных ЛВС и баз данных;

- несанкционированного копирования информации КТ;

- вирусного заражения информационных ресурсов.

В организации ООО "Новатэк - Юрхаровнефтегаз" взят на контроль риск, связанный с угрозой вирусного заражения информационных ресурсов В отношении риска, связанного с несанкционированным копированием информации КТ, существующие меры не обеспечивают достаточного уровня ИБ в связи с чем предложены меры по регламентации доступа, включающие в себя: разработку номенклатуры должностей работников, имеющих доступ к информации КТ; дополнительную авторизацию (регистрацию) при доступе к ресурсам, содержащим КТ; предоставление доступа к объектам информации на основании документированного разрешения руководителя (структурного подразделения) работника, учет каждого обращения к ресурсам, содержащим КТ.

Проведенная оценка рисков подтвердила актуальность существующих предположений о том, что главным источником угроз являются работники (инсайдеры) предприятия. Данный факт свидетельствует о необходимости развития организационно-экономического направления ИБ, которое включает в себя меры по регламентации и контролю деятельности в области осуществления ИБ.

6. Сформирована система управления ИБ газодобывающего предприятия, позволяющая осуществлять постоянное улучшение состояния ИБ с учетом требований бизнеса посредством реализации организационно-экономических мер.

Для газодобывающих предприятий информационные активы играют одну из ключевых ролей, особенно это касается информации, составляющей коммерческую тайну. Защита такой информации является одной из приоритетных задач деятельности предприятия, обеспечивающей достижение основной цели. Защита информации, информационных ресурсов, персонала, объектов организации обеспечивается системой ИБ и состоит из совокупности инженерно-технических, программно-аппаратных и правовых мер.

Высокий уровень технического прогресса позволяет обеспечить необходимый уровень ИБ, однако применение инженерно-технических и программно-аппаратных средств носит несистематизированный характер Это приводит к формированию нерациональной системы ИЬ. Данная проблема связана с отсутствием системы управления ИБ, что сказывается на увеличении рисков, реализация которых способна привести к ухудшению экономического состояния организации.

В условиях конкурентной борьбы, несмотря на возросшую роль информации КТ, важным фактором является рациональное и экономически оправданное обеспечение ИБ, в связи с чем возникает острая потребность в формировании системы управления ИБ на основании организационно-экономических мер ИБ. Анализ направлений деятельности ИБ и потребностей бизнеса в ее обеспечении позволяет сформировать систему управления ИБ, которая учитывает внутренние и внешние факторы, требования к ИБ, состояние удовлетворительности текущего уровня ИБ предприятия.

Исследование иерархии подчиненности на газодобывающих предприятиях показало важную роль руководителей, ответственных за безопасность, в том числе за ИБ. В 80 % случаях руководители службы безопасности имеют должность заместителя генерального директора, таким образом занимая важное место в системе управления предприятием. В системе управления ИБ устанавливается прямая и обратная связь между руководителем службы безопасности и топ-менеджментом. Данная связь позволяет оперативно принимать решения в системе ИБ и доводить информацию до системы управления предприятием вне зависимости от процессов, протекающих в системе управления ИБ.

Уровень ИБ организации достигается в соответствии с устанавливаемыми бизнесом требованиями к защите информации КТ и объектам информатизации. Для оценки соответствия устанавливаемых требований и текущего уровня ИБ в системе управления ИБ предусмотрены процедуры по измерению и анализу состояния объектов информатизации и информации КТ посредством оценки рисков и стоимостной оценки информации КТ.

На основании мер обеспечения ИБ, выработанных в соответствии с системой регламентации организационных мер ИБ, и решения, принятого руководителем согласно процедурам, предусмотренным моделью принятия решений, осуществляется управление объектами информатизации, выражаемое во внедрении средств и способов защиты информации, а также регламентации их применения. Достигнутый уровень ИБ измеряется и анализируется, полученные результаты доводятся до топ-менеджмента. Новые требования к ИБ могут предъявляться, даже если предыдущие еще не выполнены, при этом система управления ИБ учитывает как существующие, так и вновь предъявляемые требования.

ОСНОВНЫЕ ПУБЛИКАЦИИ РАБОТ АВТОРА ПО ТЕМЕ ДИССЕРТАЦИОННОГО ИССЛЕДОВАНИЯ

В изданиях, определенных ВАК

1. Абрамов, М.А. Повышение эффективности управления газодобывающим предприятием на основе формирования экономико-управленческих подходов обеспечения информационной безопасности [Текст] / М.А. Абрамов // Финансы. Экономика. Стратегия. - 2011. - № 9. - С. 45 - 50. - 0,6 печ. л.

2. Абрамов, М.А. Стандарты в области информационной безопасности необходимы в управлении организацией [Текст] / М.А. Абрамов // Стандарты и качество. - 2011. - № 1 (883). - С. 42 - 46. - 0,5 печ. л.

3. Абрамов, М.А. Оценка стоимости коммерческой тайны как фактор повышения качества управления в информационной сфере [Текст] / М.А. Абрамов // Информация и безопасность. - 2011. - № 2. - С. 225-232. - 0,5 печ. л.

4. Абрамов, М.А. Роль управления информационной безопасностью в системе менеджмента предприятия газодобывающей отрасли [Текст] / М.А. Абрамов // Проблемы экономики и управления нефтегазовым комплексом. - 2010. - № 10. -С. 32-41.- 1 печ. л.

В других изданиях

5. Абрамов, М.А. Информационная безопасность в системе управления организации [Текст] / М.А. Абрамов // Актуальные вопросы вузовской науки : сб. науч. и науч.-метод. ст. - Самара : Изд-во Самар ин-та управления, 2010. - С. 5-13. -0,35 печ. л.

6. Абрамов, М.А. Вероятностная оценка как средство управления системой защиты информационных ресурсов предприятия [Текст] / М.А. Абрамов // Информационные технологии и математическое моделирование : сб. материалов

25

IX Всерос. науч.-практич. конф. с междунар. участием. - Анжеро-Судженск : Изд-во Томск, ун-та, 2010. - С. 3-7. - 0,25 печ. л.

7. Абрамов, М.А. Система менеджмента информационной безопасности на предприятии [Текст] / М.А. Абрамов // Институционализация экономики: система партнерский отношений в решении проблем экономической динамики : кол. моногр. / под ред.проф. В.А. Сидорова. - Краснодар : Краснодар. ЦНТИ, 2010. - С. 294-400. - 0,3 печ. л.

8. Абрамов, М.А. База знаний как механизм поддержки принятия решений в системе управления информационной безопасностью предприятий [Текст] / М.А. Абрамов II Научное творчество молодежи : сб. материалов XIV Всерос. науч.-практ. конф. - Анжеро-Судженск : Изд-во Томск, ун-та, 2010. - Ч. 1 -С. 106-108. - 0,2 печ. л.

9. Абрамов, М.А. Конкуренция в газодобывающей отрасли - сравнительное положение предприятий [Текст] / М.А. Абрамов // Проблемы развития предприятий: теория и практика: материалы 9-й Междунар. науч.-практ. конф., 18-19 нояб. 2009 г. -Самара: Изд-во Самар. гос. экон. ун-та, 2009. - С. 23-26. - 0,2 печ. л.

10. Абрамов, М.А. Управление информационной безопасностью в многокритериальной среде [Текст] / М.А. Абрамов // Информационные технологии в науке, образовании, телекоммуникации и бизнесе : тр. XXXV юбил. VI Междунар. конф. молодых ученых / Приложение к журн. "Открытое образование". -Крым, 2008. - С. 172-174. - 0,2 печ. л.

11. Абрамов, М.А. Принятие оптимального решения на стадии планирования [Текст] / М.А. Абрамов // Комплексная защита информации : сб. материалов XII Междунар. конф. - Ярославль: Изд-во РФК-Имидж Лаб, 2008. - С. 15-17. - 0,2 печ. л.

12. Абрамов, М.А. Система управления информационной безопасностью на основе циклической модели Шухарта-Деминга [Текст] / М.А. Абрамов // Информационная безопасность: от защиты информации к управлению информационной безопасностью : сб. материалов конф. - Новосибирск : Б принт, 2008. -С. 15-17.-0,2 печ. л.

13. Абрамов, М.А. Метод анализа иерархий в управлении информационной безопасностью [Текст] / М.А. Абрамов // Научное творчество молодежи : сб. материалов XII Всерос. науч.-практ. конф. - Анжеро-Судженск : Изд-во Томск, ун-та, 2008. - С. 64-66. - 0,2 печ. л.

14. Абрамов, М.А. Комплексный подход к защите объекта газового комплекса [Текст] / М.А. Абрамов // Проблемы информационной безопасности государства, общества и личности : сб. материалов 9-й Всерос. науч.-практ. конф. - Томск : Изд-во В-спектр, 2007. - С. 34-38. - 0,3 печ. л.

Подписано в печать 22.11.2011. Формат 60x84/16. Бум. писч. бел. Печать офсетная. rapimrypa'Times New Roman". Объем 1,0 печ. л. Тираж 150 экз. Заказ № 366", Отпечатано в типографии СГЭУ. 443090, Самара, ул. Советской Армии, 141.

Диссертация: содержание автор диссертационного исследования: кандидата экономических наук, Абрамов, Михаил Александрович

ВВЕДЕНИЕ.

1. ИССЛЕДОВАНИЕ АСПЕКТОВ УПРАВЛЕНИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

ГАЗОДОБЫВАЮЩЕГО ПРЕДПРИЯТИЯ.

1.1. Обеспечение информационной безопасности с позиций управления газодобывающим предприятием.

1.2. Управление рисками информационной безопасности как фактор контроля деструктивных свойств угроз и уязвимостей.

1.3. Меры обеспечения информационной безопасности газодобывающего предприятия направленные на снижение рисков и повышение эффективности управленческих решений.

2. РАЗРАБОТКА ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКИХ МЕР СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ.

2.1. Гармонизация стандартов в области информационной безопасности и разработка подхода к управлению рисками.

2.2. Выбор оптимального решения в многокритериальной динамической системе управления информационной безопасностью.

2.3. Коммерческая ценность информации конфиденциального характера с позиций управления газодобывающим предприятием.

3. КОНЦЕПЦИЯ ФОРМИРОВАНИЯ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

ГАЗОДОБЫВАЮЩЕГО ПРЕДПРИЯТИЯ.

3.1. Систематизация типовых организационных мер газодобывающих предприятий в области управления информационной безопасностью. 119 3.2. Формирование стоимостных показателей коммерческой тайны как меры управления газодобывающим предприятием в части защиты интересов в информационной сфере.

3.3. Оценка рисков информационной безопасности газодобывающих предприятий и формирование типовой системы управления информационной безопасностью организаций группы Газпром.

Диссертация: введение по экономике, на тему "Формирование системы управления информационной безопасностью организации"

Актуальность темы исследования. Информационные ресурсы являются основополагающим элементом структуры современной экономики, поэтому обеспечение информационной безопасности актуально для каждого хозяйствующего субъекта, в частности и для газодобывающих предприятий. Продолжающаяся газификация России свидетельствует о важности природного газа как одного из основных источников энергии, применение которого и в производственной, и в повседневной деятельности запланировано на многие годы вперед. Однако, как и остальные минеральные вещества, газ является трудновосполняемым полезным ископаемым. Ограниченность запасов природного газа и отсутствие альтернатив, способных покрыть потребность в энергии, приводят к глобальной борьбе за перспективные районы разработки месторождений газа и газового конденсата на арктическом шельфе и других спорных территориях. Не менее серьезная борьба наблюдается между газодобывающими предприятиями за перспективные газоносные месторождения внутри РФ.

В качестве ключевого инструмента конкурентной борьбы на предприятиях газовой отрасли выступает информация, в связи с чем средства ее обработки, хранения и передачи становятся основным защищаемым объектом, безопасность которого составляет основу устойчивого существования и перспективного развития газодобывающих предприятий. В современных условиях конкурентоспособность любого хозяйствующего субъекта зависит от степени его информатизации, которая положительно сказывается на повышении эффективности производственных, хозяйственных, управленческих и иных процессов, но в то же время понижает уровень их информационной безопасности (ИБ). Задача ее обеспечения, таким образом, входит в состав ключевых, что подтверждает анализ уставных видов деятельности газодобывающих предприятий.

На многих предприятиях, в частности входящих в группу ОАО "Газпром", активно проводятся работы по созданию системы информационной безопасности, что обеспечивает решение текущих задач в данной сфере, но не отвечает существующим потребностям в части управления ею. Такое положение дел связано с устаревшими представлениями управленцев о современных требованиях к уровню информационной безопасности. Это приводит к тому, что обеспечение ИБ становится нерациональным, т.е. проводимые мероприятия по ИБ не отвечают требованиям организации, а выделяемые ресурсы расходуются сверх необходимой меры.

Одна из причин нерационального использования ресурсов на обеспечение ИБ организации вызвана отсутствием взаимосвязи между непосредственно направлением ИБ и бизнесом. Данный недостаток ввиду важности обеспечения ИБ сказывается негативным образом на деятельности всего предприятия.

Недостаточная разработанность организационно-экономических мер управления ИБ организации, а также пренебрежение формированием системы управления ИБ на российских предприятиях обусловили выбор темы диссертационной работы.

Стенень разработанности проблемы. Решению задач обеспечения информационной безопасности уделяется большое внимание как в российской, так и в зарубежной научной литературе, однако проблемы, связанные с формированием системы управления ИБ, проработаны недостаточно полно.

Вопросы обеспечения и управления ИБ, управления ее рисками освещены в работах зарубежных авторов Д. Андина, Н. Бажгорича, Т.Л. Бартона, Д. Данчева, А. Партида, Т.Д. Смедингхофа, У.Г. Шенкира, Л.П. Энглиша и др. В большей степени работы указанных авторов затрагивают технические вопросы обеспечения ИБ, а отраженные в работах методики находят практическое применение в деятельности зарубежных и российских организаций.

Большой вклад в формирование системы взглядов и принципов обеспечения ИБ в России внесли С.И. Ашмарина, А.П. Бацула, В.А. Галатенко, В.В. Домарев, Н.И. Журавленко, В.В. Загоскин, П.Д. Зегжда, В.И. Ильюшенко, В.П. Мак-Мак, С.А. Петренко, В.Д. Провоторов, В.П. Пушкарев, Б.Я. Татарских, A.A. Торокин, А.Ю. Чесалов, В.И. Ярочкин и другие авторы, которые исследовали задачи обеспечения ИБ в трех ее основных областях: инженерно-технической, программно-аппаратной и правовой.

Разработка средств и методов обеспечения ИБ была основной целыо научных исследований в сфере ИБ. Такое положение дел привело к тому, что ИБ стала позиционироваться как убыточная статья расходов, а обеспечение ИБ воспринималось как усложнение бизнес-процессов при достижении минимального эффекта. Ограниченность ресурсов и возрастающая конкуренция во всех видах деятельности привела к необходимости обеспечения ИБ, помимо прочего, и с позиций экономической оправданности и разумности применяемых мер, в связи с чем возникла острая необходимость формирования в организациях системы управления информационной безопасностью.

Цель диссертационного исследования заключается в формировании системы управления информационной безопасностью на основе организационно-экономических мер ее обеспечения.

Поставленная цель обусловила необходимость решения следующих задач:

- исследовать существующие меры обеспечения ИБ, из числа которых выявить и систематизировать организационно-экономические меры для сформирования системы управления ИБ;

- рассмотреть организационные меры ИБ, установить их взаимосвязь в процессе обеспечения ИБ с позиций приоритетного применения в системе управления ИБ;

- разработать модель принятия решений в области ИБ и предложить подход к выбору оптимального решения;

- определить влияние информации конфиденциального характера на управление организацией с позиций обеспечения ИБ, разработать подход к оценке информации, составляющей коммерческую тайну организации;

- рассмотреть подходы к осуществлению риск-менеджмента ИБ на основании стандартов управления рисками систем информационных технологий с учетом сфер конфиденциальности информационного пространства организации;

- изучить типовые организационно-штатные структуры подразделения, обеспечивающего ИБ газодобывающего предприятия, и определить систему управления, позволяющую оптимизировать ИБ; в соответствии с полученными результатами на основании организационно-экономических мер сформировать систему управления ИБ газодобывающего предприятия.

Объект исследования - газодобывающие предприятия Российской Федерации.

Предмет исследования - организационно-экономические отношения, возникающие в процессе формирования системы управления ИБ.

Область исследования. Диссертационное исследование проведено в рамках п. 1.1.11 "Оценка и страхование рисков хозяйствующих субъектов"; п. 1,1.13 "Инструменты и методы менеджмента промышленных предприятий, отраслей, комплексов"; п. 1.1.19 "Методологические и методические подходы к решению проблем в области экономики, организации управления отраслями и предприятиями топливно-энергетического комплекса" Паспорта специальности 08.00.05 "Экономика и управление народным хозяйством: экономика, организация и управление предприятиями, отраслями, комплексами промышленности", утвержденного ВАК.

Методологическая и информационная база исследования. В ходе выполнения диссертационной работы применялась методологическая база исследования, включающая в себя системный и математический анализ, теорию вероятностей, теорию графов, теорию принятия решений, методологию защиты информации, методы экспертных оценок, логическое моделирование.

В качестве информационной базы исследования выступали международные стандарты в области ИБ, законодательные документы и ГОСТы РФ, регламентирующие документы Федеральной службы технического и экспортного контроля, стандарты и иные организационно-нормативные документы ОАО "Газпром" и его дочерних обществ, информационно-аналитические материалы периодических изданий, конференций и форумов.

Научная новизна результатов исследования заключается в разработке теоретико-методических основ и организационно-экономических мер формирования системы управления информационной безопасностью.

Наиболее значимые результаты, характеризующие научную новизну диссертационной работы, заключаются в следующем:

- выявлены и систематизированы организационно-экономические меры обеспечения ИБ, позволяющие сформировать систему управления ИБ;

- сформирована система регламентации организационных мер ИБ в рамках системы управления ИБ, определяющая порядок их применения в процессе обеспечения ИБ газодобывающего предприятия;

- создана модель принятия решений в системе управления ИБ и предложен подход к выбору оптимального решения на основе доработки метода анализа иерархий с учетом как вероятностного определения выполнения задачи, так и основных критериев защищаемых объектов; разработана методика стоимостной оценки информации, составляющей коммерческую тайну организации, и обоснована необходимость такой оценки как фактора, позволяющего оперировать конфиденциальной информацией в качестве актива организации;

- предложен подход к оценке рисков ИБ и разработан процесс управления ими, направленный на минимизацию рисков и предупреждение экономически неоправданных мер обеспечения ИБ. На основании данного подхода проведена оценка рисков ИБ на газодобывающих предприятиях; сформирована система управления ИБ газодобывающего предприятия, позволяющая осуществлять постоянное улучшение состояния Ж с учетом требований бизнеса посредством реализации организационно-экономических мер.

Теоретическая и практическая значимость работы. Результаты, полученные в ходе работы, актуальны для формирования системы управления ИБ организации. Разработанные организационно-экономические меры позволяют минимизировать противоречия, вызванные спорами между топ-менеджерами организации об экономической целесообразности выделения средств на обеспечение ИБ. В ходе исследования установлена связь между системой управления ИБ и управлением организацией.

Выборочное применение полученных результатов возможно в организациях, располагающих информацией конфиденциального характера. Дополнительные преимущества, получаемые за счет формирования системы управления ИБ, положительно скажутся на конкурентоспособности предприятия, что крайне важно в современных условиях.

Апробация результатов исследования. Положения диссертационной работы и отдельные результаты, полученные в ходе исследования, обсуждались на международных и всероссийских научно-практических конференциях:

- 9-й Всероссийской конференции молодых ученых, специалистов и студентов "Новые технологии в газовой промышленности" (Москва, 4-7 октября 2011 г.).

- VI научно-практической конференции молодых ученых и специалистов по проблемам, связанным с добычей, подготовкой и транспортировкой углеводородного сырья, приуроченной к 40-летию ООО "Газпром добыча Надым" (Надым, 6-8 апреля 2011 г.);

- II научно-практической молодежной конференции "Новые технологии в газовой отрасли: опыт и преемственность" (Москва, 6-7 октября 2010 г.);

- 8-й Международной научно-практической конференции "Проблемы развития предприятий: теория и практика" (Самара, 19-20 ноября 2009 г.); конференции "Информационная безопасность: от защиты информации к управлению информационной безопасностью" (Новосибирск, 28 февраля 2008 г.);

XII Международной конференции "Комплексная защита информации" (Ярославль, 13-16 мая 2008 г.);

- 9-я Всероссийской научно-практической конференция "Проблемы информационной безопасности государства, общества и личности" (Томск, 15 февраля 2007 г.).

Публикации. Результаты диссертационного исследования нашли свое отражение в 14 опубликованных работах автора общим объемом 5 печ. л., в число которых входят 4 статьи в изданиях, определенных соответствующим перечнем ВАК.

Структура диссертации. Диссертация состоит из введения, трех глав, заключения и библиографического списка.

Диссертация: заключение по теме "Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда", Абрамов, Михаил Александрович

Выход

Этап 8. Рекомендации по Рекомендации по контролю контролю V У

1 ( ч

Этап 9. 1 Отчет о проведении

Итоговая документация Г

1> V V

Рис. 1.6. Этапы оценки рисков системы информационной безопасности Первым шагом при оценке рисков системы информационной безопасности должно стать определение масштабов работы, то есть определение границ всех информационных активов предприятия, ресурсов и данных. На этапе определения характеристик устанавливается объем работ по оценке рисков, границы эксплуатационной аттестации, определяются ресурсы, необходимые для оценивания рисков.

Информационные активы предприятия образуют единое информационное пространство (ЕИП), взаимодействие в котором осуществляется в рамках интегрированной модели. Модель охватывает полный процесс непрерывного и дискретного производства: от получения заказа на работу из процесса управления цепочками поставок и управления взаимоотношениями с клиентами, решения задач планирования потребностей в ресурсах и планировании мощностей - до отправления полученного продукта обратно в процесс управления цепочками поставок и взаимоотношениями с клиентами. ЕИП предприятия состоит из двух категорий систем [17]: информационно-управляющие системы (ИУС) - компоненты, подготавливающие и предоставляющие управленческую, производственную и финансовую информацию для принятия решений; автоматизированная система управления технологическими процессами (АСУТП) - компоненты, автоматизирующие процессы, функции и операции по сбору технологических данных и контролю.

Оценка рисков информационной безопасности на газодобывающем предприятии проводится в рамках указанных систем с учетом их производных, т.е. границы анализируемой системы информационной безопасности обусловлены границами ЕИП предприятия.

Каждой категории систем соответствует определенный набор признаков, главные из которых - уровень агрегации данных (объемы данных, обрабатываемых в подсистемах), актуальность данных (дискретность оси времени, в единицах которой функционирует система), критичность данных. Характеристиками агрегации данных являются [17]:

- Агрегированные данные по предприятию;

- Агрегированные данные по производственным процессам, включая движение материальных, человеческих финансовых ресурсов и информации;

- Агрегированные данные по технологическим процессам производства;

- Агрегированные данные по технологическому процессу;

- Единичные показания.

Актуальность данных, определяющая частоту сбора и обновления данных (информации) характеризуется [17]:

- Дискретностью сбора и обработки данных (через определенные промежутки времени по запросу);

- Сбор и обработка в реальном времени.

Критичность данных зависит от информации, циркулирующей в ЕИП, которая может быть как общедоступной, так и информацией ограниченного доступа. Общедоступная информация имеет низкую ценность, и риски связанные с нарушением её безопасности минимальны. Информация ограниченного доступа и средства её обработки подвержены высоким рискам нарушения безопасности, в связи с чем, на газодобывающем предприятии она подразделяется на:

- государственную тайну;

- коммерческую тайну;

- конфиденциальную информацию.

Функциональная область систем (ИУС и АСУТП) и подсистем ЕИП предприятия, определяет вид деятельности и функции систем. Характеристиками функциональной области систем ЕИП являются [17]:

- Обработка аналитической информации по деятельности предприятия и его стратегического планирования и управления;

- Управление основными процессами;

- Управление функциональными процессами;

- Автоматизация и управление технологическими процессами.

Структуризация систем и подсистем ЕИП в соответствии с приведенными характеристиками позволяет получить целостную функционально-организационную классификацию ЕИП, покрывающую все бизнес-процессы, виды деятельности и уровни управления предприятия, таким образом, ЕИП предприятия будет достаточно прозрачно для оценки на предмет рисков информационной безопасности.

Для сбора информации в пределах границ ЕИП может быть использован один или комбинация нескольких наиболее эффективных способов [12]:

- Для сбора необходимой информации может быть разработана специальная анкета, которая распространяется среди технического и административного персонала, занимающегося разработкой или поддержкой ЕИП;

- Опросы технического и административного персонала могут помочь собрать полезную информацию о защищаемых системах и информации.

Посещения мест эксплуатации технических средств ЕИП также позволит получить представление о безопасности физической среды;

- Изучение документации. Полезную информацию о способах контроля безопасности, используемых или планируемых для ЕИП, могут дать документы, определяющие политику в области безопасности; системная документация; документация, касающаяся безопасности. Данные анализа воздействий на функционирование компании или данные оценки критичности ресурсов могут предоставить информацию, касающуюся критичности и чувствительности системы и данных ЕИП;

- Использование автоматических сканирующих устройств. Для эффективного сбора информации о технических системах могут применяться современные технические методы.

Сбор информации это динамический процесс, который является неотъемлемой частью анализа рисков информационной безопасности.

Исходя из характеристик ЕИП предприятия, осуществляя оценку рисков, выделяются угрозы информационной безопасности, которые могут иметь дестабилизирующие последствия для деятельности и интересов предприятия. Угроза - это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы. Уязвимость -недостаток в системе, который может проявиться случайно, либо намеренно эксплуатироваться. Источник угроз не несет опасности, если отсутствует уязвимость, которая могла бы проявиться. При определении вероятности угрозы следует рассматривать источники угроз, потенциальную уязвимость и существующие методы контроля.

Источник угроз определяется как любое обстоятельство или событие, обладающее потенциалом нанести урон субъекту или объекту ЕИП. Источниками угроз могут быть намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость. При определении источников угроз необходимо принимать во внимание специфику газодобывающей отрасли, в настоящее время на многих предприятиях проходит интеграция основных процессов финансового, бухгалтерского, налогового, управленческого учета и планирования, управления закупками и складским учетом, а также процессов управления параметрами добычи газа в единую информационную систему. В результате существенно растет количество обрабатываемой информации и сложность информационных потоков, а также усиливается зависимость основных бизнес-процессов от информационных технологий. В связи с этим появляются новые угрозы конфиденциальности, целостности и доступности информации, а также растет возможный ущерб от реализации таких угроз. В частности, все более актуальными становятся внутренние угрозы информационной безопасности, такие, как несанкционированный доступ к информации, сбои из-за халатности или ошибок работников, утечки конфиденциальной информации, кражи переносных носителей информации и т.п.

Мотивация и возможности для осуществления атак делают человека потенциально опасным источником угроз, а с учетом достижений в области защиты информации от внешних угроз, внутренний нарушитель становится значительно опаснее внешнего. Среда антропогенных угроз является наиболее значимой и опасной для любого предприятия и носит схожий характер, в отличие от техногенных и естественных угроз.

ЗАКЛЮЧЕНИЕ

Информация во все времена являлась значимым ресурсом в осуществлении любой деятельности. Целостность, доступность и неизвестность информации зачастую были определяющими факторами в решении многих вопросов, позволяя её собственнику добиться значительных преимуществ над конкурентами. С развитием информационных технологий, их вовлеченностью во все жизненные процессы человека, информация коренным образом утвердилась в статусе источника способствующего получению значимых преимуществ в соответствующей деятельности.

Многолетняя ориентация Российского государства на добывающие отрасли, в частности добычу газа и газового конденсата, как одного из основных источников государственного дохода, послужила толчком для становления отрасли как одной из самых технологичных. Осознавая существенную роль газодобывающей отрасли в экономике России, государство содействовало газодобывающим предприятиям в развитии технологий производства и управления в соответствии с лучшими мировыми практиками.

Повышение качества управления и производства достигалось за счет информатизации отрасли, существенные средства вкладывались в автоматизацию. Появление новых технологий сказалось на увеличении информационных активов газодобывающих предприятий, в том числе на появлении информации представляющей коммерческую ценность. Данная информация и средства её обработки, передачи, хранения требовали особого подхода в обеспечении их безопасности. Обеспечение информационной безопасности стало одним из ключевых видов деятельности направленного на достижение основной цели деятельности газодобывающего предприятия.

Достаточные финансовые возможности газодобывающих предприятий обеспечивали потребности в комплектовании информационного пространства необходимыми средствами информационной безопасности. Несмотря на достаточную оснащенность газодобывающих предприятий средствами информационной безопасности, уровень информационной безопасности не отвечал современным требованиям. Основной проблемой направления информационной безопасности было отсутствие системы управления, что отрицательно сказывалось на эффективности многих решений и как следствие формировании полноценной системы информационной безопасности.

Лидером газодобывающей отрасли России является ОАО «Газпром», а его основные принципы производства и управления считаются образцовыми, в связи с чем, предметом анализа были выбраны типовые документы, структуры и иные сведения присущие газодобывающим предприятиям, входящим в группу Газпром.

В ходе анализа организационно-штатной структуры и направлений работы подразделений, обеспечивающих безопасность предприятия, были выявлены недостатки в структуре подчинения отделов информационной безопасности, а именно наличие промежуточных руководящих надстроек между первым лицом предприятия и лицом, непосредственно отвечающим за руководство направлением информационной безопасности. Для наглядного отображения взаимосвязи бизнеса и направления информационной безопасности построена соответствующая зависимость отражающая значимость направления в результате степени понимания необходимости обеспечения информационной безопасности на предприятии. Указанная зависимость построена с учетом требований отвечающих уровню зрелости, в соответствии с моделью стандарта СоЬк, информационной безопасности на газодобывающем предприятии. В виду необходимости вовлечения в процесс управления информационной безопасностью руководителей, была схематично сконфигурирована система управления, основанная на процессном подходе.

Формирование комплексной системы защиты единого информационного пространства газодобывающего предприятия должно осуществляться с учетом рисков, на основании которых применяются соответствующие средства и методы информационной безопасности. Для поддержания комплексной системы защиты в адекватном состоянии, отвечающем необходимому уровню безопасности, предложен подход к ведению риск - менеджмента, основанный на практиках лучших мировых стандартов в этой области. Все мероприятия по ведению риск - менеджмента были адаптированы под специфику газодобывающего предприятия с учетом основных сфер конфиденциальности.

Минимизация рисков до необходимого уровня в соответствии с принятой на предприятии политикой информационной безопасности, сопряжена с разработкой комплексной системы защиты предприятия. На основании разработанной модели политики информационной безопасности и исследованных типов средств и методов защиты информации, была переработана обобщенная модель построения рубежной защиты в модель защиты составляющих единого информационного пространства газодобывающего предприятия, учитывающая необходимость защиты не только рубежей, но и уровней, введенных в модель для оценки системы защиты всех информационных активов.

Обеспечению информационной безопасности присуще общие подходы и принципы, которые находят свое отражение в многочисленных стандартах и иных методологических документах. Однако многообразие подходов к обеспечению информационной безопасности усложняет процесс управления системой информационной безопасности. В ходе анализа признанных мировых практик в области информационной безопасности была разработана модель гармонизации стандартов в области управления информационными активами газодобывающего предприятия включающая в себе наиболее оптимальные методы. На основе разработанной модели был усовершенствован процесс управления рисками информационной безопасности.

В ходе управления системой информационной безопасности существует постоянная необходимость осуществлять выбор решений направленных на поддержания требуемого уровня безопасности. Для выбора решения максимально приближенного к оптимальному была разработана модель принятия решений в системе управления информационной безопасностью. Непосредственный выбор решения выполняется в системе выбора решений, которая основана на методе анализа иерархий, который в свою очередь был доработан с учетом существующих недостатков.

В современном информационном обществе, информация должна фигурировать не только как источник конкурентных преимуществ, но и как полноценный актив. Становление ценной информации в качестве полноценного актива предприятия может быть осуществимо только после оценки её стоимости, для чего была разработана авторская методика позволяющая провести оценку с соблюдением норм и правил российского законодательства. Позиционирование ценной информации в качестве актива предприятия позволило повысить эффективность системы управления информационной безопасностью за счет применения значений стоимости информации при осуществлении выбора решений не только при обеспечении безопасности, но и при управлении предприятием в целом.

Большинство процессов управления информационной безопасностью задекларировано в организационно-правовых документах, с ростом числа которых усложняется выбор необходимого воздействия из-за отсутствия понимания значимости регламентирующих документов. Систематизация типовых организационно-правовых документов газодобывающего предприятия (на примере дочернего общества ОАО «Газпром») в области управления информационной безопасностью позволила сформировать систему организационно-правовой регламентации обеспечения информационной безопасности.

В соответствии со спецификой выделения лимитов на информационную безопасность и системой оплаты груда для газодобывающих предприятий входящих в группу Газпром была адаптирована авторская методика оценки ценной информации. Учитывая особенности взаимодействия подразделений газодобывающего предприятия входящего в группу Газпром, разработана схема становления информации коммерческой тайны в качестве актива предприятия.

На основе полученных результатов работы был предложен подход к модернизации системы управления информационной безопасностью газодобывающего предприятия. Модернизация системы основана на принципах управления описываемых циклической моделью Шухарта -Деминга, подразумевающая постоянное улучшение системы. Результатом модернизации системы является систематизация полученных результатов диссертации с учетом их формирования на каждой фазе циклической модели. Модернизированная в соответствии с предлагаемым подходом система позволяет решить вопросы управления, возникающие в процессе обеспечения требуемого уровня информационной безопасности газодобывающего предприятия с наибольшей эффективностью и при меньших затратах, нежели системы основанные на старых принципах управления.