Информатизация предпринимательской деятельности и обеспечение безопасности бизнес-информации тема диссертации по экономике, полный текст автореферата

Ученая степень
кандидата экономических наук
Автор
Харченко, Анатолий Федосеевич
Место защиты
Санкт-Петербург
Год
1995
Шифр ВАК РФ
08.00.30
Диссертации нет :(

Автореферат диссертации по теме "Информатизация предпринимательской деятельности и обеспечение безопасности бизнес-информации"

г . ~ На правах рукописи

I О '»

Ог,.~ /? Сашст-Пстербургский университет

"¡¡1;з ^

экономики п финансов

ХАРЧЕНКО АНАТОЛИЙ ФЕДОСЕЕВИЧ

ИНФОРМАТИЗАЦИЯ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ И ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ БИЗНЕС-ИНФОРМАЦИИ

Специальность 08.00.30. -"Экономика предпринимательства"

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата экономических наук

Санкт-Петербург 1995 г.

Работа выполнена в ;Саикт-ПетербурГском университете экономики и финансов

Научный руководитель - доктор экономических наук,профессор БАГИЕВГ.Л.

Официальные оппоненты - доктор экономических ндук,профессор СОКОЛОВ Д.В. • кандидат экономических наук ; СОЛОВЬЕВА Д.В.

Ведущая организация - Международная академия информатизации

Защита состоится ¿¿¿С^Я^/1996 года в ^ ч.^м. на заседание диссертационного Совета Д.063.86.12 при Санкт-Петербургском Университете экономики и финансов по адресу: 191023, Санкт-Петербург,ул.Садовая, д.21.

С диссертацией можно ознакомиться в библиотеке университета.

Автореферат разослан "¡Нг 1995 года

Ученый секретарь диссертационного Совета, -

кандидат экономических наук ' ТИТОВ А.Е

1. ОСНОВНЫЕ ИДЕИ И ВЫВОДЫ ДИССЕРТАЦИИ.

В настоящее время практически невозможно эффективно осуществлять предпринимательскую деятельность без четкой и грамотной организации сбора, обработки и хранения информации. Особенно остро проблема эффективного использования автоматизированных систем встает в информационно-насыщенных отраслях предпринимательства, какими безусловно являются банковская и коммерческая сферы.

Если на современном этапе развития предпринимательства в каждом крупном банке или коммерческом предприятии уже существуют автоматизированные системы , широко используются новейшие компьютерные средства, локальные и удаленные вычислительные сети, новейшие информационные технологии, то в части анализа эффективности их использования, анализа соотношения уровня вложений на их приобретение и эксплуатацию и вероятных потерь от присущих этим средствам недостатков дело обстоит плохо.

Зачастую автоматизированные информационные ■ технологии в области предпринимательства создаются и комплектуются исходя из престижных соображений без учета детального экономического анализа и обоснования их состава, конфигурации и факторов внесенного вероятного риска экономических ' потерь. Практика использования автоматизированных информационных технологий в предпринимательстве демонстрирует две основные тенденции:

функциональную автоматизацию предпринимательской структуры, когда состав автоматизируемых функций не обоснован экономически, что приводит к потерям из-за необоснованных вложений на автоматизацию и потерям на необоснованную функциональную структурную перестройку предприятия;

использование автоматизированных информационных технологий в предпринимательстве носит характер полного и безусловного доверия к результатам обработки важнейшей коммерческой информации, тогда как на самом деле автоматизированным информационным технологиям присущи факторы вероятных ошибок и даже умышленных искажений информации, которые приводят к неучтенным: экономическим потерям. • '.■'■;-

Для получения более точных количественных . оценок эффективности и качества информационных технологий должны быть разработаны соответствующие методы и модели, учитывающие степень влияния всех потенциально возможных; факторов в их

совокупности при существующих концепциях построения и условиях функционирования информационных технологий.

Анализ показывает, что среди общих проблем, характерных' для оценки экономической эффективности информационных технологий р предпринимательстве и влиянии факторов защищенности информации, выделяются следующие:

- анализ н учет автоматизированных функциональных задач предпринимательства;

анализ . возможностей технических, программных и организационных средств, предоставляемых информационных технологий потенциальному пользователю;

• - анализ совокупности факторов с целью выявления существенно влияющих на эффективность информационных технологий;

анализ тенденций характерных для отечественных информационных технологий в предпринимательстве.

В научно-технических программах . "Информатизация России","Информатизация образования", соответствующих решениях Государственного комитета Российской Федерации по высшему образованию нашли соответствующее отражение вопросы связанные с анализом, контролем и обеспечением эффективности информационных технологий в предпринимательстве.

Рассматривая общие проблемы, связанные с оценкой экономической эффективности информационных технологий, на наш взгляд, наиболее узким местом является проблема безопасности бизнес-информации и потенциально возможные последствия могут быть наиболее серьезными.

Использование автоматизированных средств, без учета факторов риска от злоумышленного доступа к ценной коммерческой информации, приводит к существенным экономическим потерям. Без использования методов оценки и анализа защищенности ценной коммерческой информации в автоматизированных информационных технологиях, сама предпринимательская деятельность становится неэффективной и неконкурентноспособной.

Необходим анализ совокупности факторов, влияющих на защищенность информации в информационных технологиях с учетом динамического его изменения, привязки к конкретным вычислительным установкам и характеру обрабатываемой информации, который должен показать, какие факторы существенно влияют на эффективность информационных, технологий в

предпринимательстве, действие каких факторов сказывается на эффективности информатизации в малой степени.

В условиях ограниченности ресурсов и денежных - средств и повышения требований к качеству информатизации, едннственйым способом решения проблемы является разработка комплекса методов и средств, позволяющих контролировать, оценивать и обеспечивать требуемый уровень защиты информации для эффективного функционирования информационных технологий в предпринимательстве.

Разработка научно, обоснованных методов анализа и оценки эффективности построения информационных технологий позволит сократить экономические потери от действия современного поля угроз защищенности информации, составляющей коммерческую тайну.

Экономическая эффективность информатизации предпринимательской деятельности в информационно-насыщенных областях определяется рядом специфических для России факторов, которые требуют детального научного рассмотрения. Игнорирование этих факторов приводит, с одной стороны к сдерживанию процесса автоматизации на основе использования современных средств вычислительной техника и , соответственно, снижению эффективности предпринимательской деятельности в целом, с другой стороны, использование средств автоматизации влечет за собой вероятность существенных потерь из-за несанкционированного . использования коммерческой информации, что также приводит к снижению экономической эффективности предпринимательства.

В работе проведен анализ современных автоматизированных банковских и коммерческих систем, их стоимости - и сложности. Отмечены общие тенденции роста сложности программного обеспечения и проблем их эффективного использования в предпринимательстве.

В качестве важнейшей проблемы эффективного использования современных информационных технологий выделена проблема обеспечения защищенности , ценной' коммерческой информации, построения эффективной системы защиты, обоснования и оптимизации затрат на ее создание И эксплуатацию.

На рис. 1 показаны результаты анализа основных тенденций в области использования информационных , технологий в предпринимательстве.. Проведенный анализ состояния, тенденций и перспектив автоматизации основных функциональных задач предпринимательской деятельности, • на основе применения современных информационных технологий, позволил выделить две осговнме информационно-насыщенные области предпринимательской

деятельности: банковскую и коммерческую деятельность фирм, предприятий.

ПО коммерческого примииеиия цгклшная баиковскую деятельность

Сложность

ПО банковского промавепия

12

120

СОТНИ тысяч кошмд

28

(ОТИИ

(б у тысяч

10

12

©

И 10 91 92 93 И « М М

Требования по надежности (защищенности)

Рог 0.95 из 1М ч.

89 90 II 92 91

Доля внесенных компонент

0 97

9« 92 9) 94

0.)

£9 ва 9) 92 «1

Групповые требования

0.9«

(9 90 91 в] 91

91 92 в) М

0.99

91 92 9) 94

0 7

Рис. 1 -Тенденции роста сложности программного обеспечения (ПО) предпринимательских структур н требований по надежности и защищенности (по двум классам программ)

Анализ программного обеспечения, используемого в предпринимательстве, производится по следующим параметрам:

- сложность программного обеспечения (в сотнях тысяч команд), где наблюдается тенденция роста с преобладанием банковского программного обеспечения;

- требования по надежности (защищенности), где вероятность отсутствия проявления ошибок растет от 0,3 до 0,97 на 100 часов работы Программного обеспечения (Рот).

- доля внесенных компонент повторного использования, которая показывает рост удельного веса внесенных компонент при одновременном росте сложности программного обеспечения.

Угрозы сохранности информации

Л

Естественные факторы

Умышленные факторы

Случайные

X

Стихийные бедствия

Ошибки процесса обработки

Ошибки процесса подготовки

Ошибки пользователя

Ошибки п работе аппаратуры

Ошибки операторов

Ошибки ввода данных

Пожар

Наводнение

Другие причины

Ошибки в ОС

Ошибки в математическом обеспечении или при программировании

Сбой оборудования

Действие магнитного ноля

Нарушитель не

является пользователем системы

Хищение носителей и их случайное разрушение

Нарушитель является пользователем системы

Хищение магнитных носителей, описаний других материалов

Внесение изменении в аппаратуру

Подделка вводимой информации

Подключение к каналам связи

Сбор . электромагнитных излучений

Просмотр вводимых данных и распечаток

Несанкционированный доступ

Просмотр "мусора"

Схема I. Классификационная схема угроз

Проанализирована общая схема угроз защищенности информации (схема I) и выделены угрозы связанные с использованием . автоматизированных средств кэбработки информации.

Произведен анализ глобального поля угроз защищенности информации в информационных.; технологиях банковских и коммерческих систем и выделены основные определяющие виды угроз защищенности.

Оценки ежегодных пЬтерь ■ от незащищенности информации в банковских и коммерческих информационных технологиях в США и странах западной Европы составляют от 140 до 120 миллиардов долларов США. . Учитывая Российскую ' специфику процесса автоматизации и информатизации предпринимательской деятельности, оценка ежегодных потерь в России составляет еще большие суммы.

На рсновашш ■. изложенного сделан вывод о необходимости сокращения потерь в. предпринимательстве от указанных факторов для обеспечения развития предпринимательства в России.

Обеспечение эффективной защиты данных при использовании информационных технологий связано с большими затратами. Поэтому актуальными становятся допросы обоснованного выбора методов и средств защиты, а именно:' • ''

- определение необходимых й достаточных уровней затрат на обеспечение защиты бизнес-информации;

- соЪтношение затрат и достигнутого уровня защищенности;

- определение! достоверности и актуальности данных при использовании конкретных методов защиты.

Повальная и необоснованная защита всех данных приводит к существенным экономическим потерям.

В диссертации рассмотрены типовые схемы автоматизированных банковских и коммерческих технологий, локализованы места действия угроз защищенности ценной коммерческой информации.

Приведены типовые стратегии построения систем защиты информации и оценки экономических' потерь при использовании различных уровней защиты.

На рис, 2 представлены рассмотренные уровни, а ,в тексте работы приведены данные о.потерях пр>1 использовании указанных уровней защиты бизнес-информ4ции на основе обследования, и анализа ряда банков и коммерческих структур.. .

© © © ©

Беззащитная система

Система'б сопройоедвмм- I вм системы защиты '

Система с начальными

затратами И1 э&тм ту а сопров«ну)енк1|

' Начало работа АБС

• Иоьмнг лрслалсния ^озы

Система с начальными

защиту

Затраты на построение системы за цита

Затраты на сопровождение системы зацигм

Затраты на восстановление банковской автоматизированной системы после проявление угрозы

Время работы автоматизированной системы

Рис.2. Варианты уровней зашиты информации автоматизированных банковских системах (АБС)

На основе указанного анализа предложена оптимальная стратегия построения системы защиты информации основанная на одеике соотношения затрат на средства автоматизации, оценке вероятных потерь и затрат на построение и эксплуатацию систем защиты информации.

Оптимизация указанных факторов строится на основе связи параметров:

Со - цена программных и аппаратных средств информационной технологии;

Сп - стоимость восстановления информации и компенсации ущерба от действия угроз защищенности;

Ст - стоимость потерь за время эксплуатации системы;

Т - время функционирования системы;

Р - интегральная вероятность действия угроз 1 защищенности информации в течении рассматриваемого периода бремени - Т;

Сз-стоимость построения и эксплуатации системы защиты информации.

Тогда интегральные затраты на функционирование защищенной системы информатизации предпринимательской деятелыйосия - 3, можно определить соотношением (1):

3= Со+Ст+Сз. ш

Оценку интегральной вероятности действия угроз защищенности информации логично опредилить выражением (2):

Р=1-Сз/Со, * (2)

а величину потерь за время эксплуатации системы -соотношением

(3):

Ст=РхСп (3)

Следовательно оптимальный уровень затрат на построение системы защиты определяется из оценки (4):

Зоптим=тт(Со+(1-Сз/Со)хСп+Сз). (4) .

На рис. 3 показан характер поведения функции суммарных затрат при минимизации потерь в зависимости от затрат на построение системы защиты.

Со=100 Р=0,Э

Со=100 Р=0,95

- Сз

Рис. 3. Характер поведения суммарных затрат

Кривая i показывает зависимость оценки общих затрат на информатизацию от затрат на построение системы защиты при фиксированных затратах на программно-аппаратные средства (100 тыс.$ USD) и вероятности действия угроз 0,8. Кривые 2 и 3 построены при других фиксированных значениях стоимости программно-аппаратных средств и вероятности

В тексте работы приведены данные по анализу соответствия затрат на построение системы защиты в ряде банкой н коммерческих структур.

В диссертации приводятся результаты построения систем защиты в ряде банков и коммерческих структур и полученные результаты оценок защищенности, стратегий . построения систем защиты информации н затраты на их построения.

Предложена методика сертификации показателей защищенности информации построенная на основе Руководящих документов Государственной технической комиссии при Президенте России (рис. 4)

Рис. 4 Концептуальная схема меюшки сертификации защищенности АСОД.

Проведенные исследования позволили сформулировать основные ключевые моменты и выводы:

1. Защищенность информации в автоматизированных технологиях обработки информации в предпринимательстве является важнейшим элементом обеспечения экономической эффективности предпринимательства в России. В этих условиях обоснованная методика определения тактики и стратегии построения системы защиты коммерческой информации, выделения обоснованного объема ресурсов и затрат на обеспечение защищенности информации, во многом определяют успех коммерческой деятельности каждого ■ предприятия и фирмы.

2. Построение эффективной системы защиты информации в автоматизированных информационных технологиях предпринимательства представляет из себя сложный многофакторный процесс, начинающийся с выбора политики безопасности уже на ранних стадиях проектирования и создания информационных технологии и требующий поддержки и вложения ресурсов на всех стадиях жизненного цикла информационных технологий в предпринимательстве.

3. Выбор требуемого уровня защищенности и безопасности информации информационных технологии в предпринимательстве следует осуществлять на основе комплексного анализа большого числа факторов вероятного действия угроз защищенности, конфигурации программных и технических средств информационных технологий, уровня конфиденциальности и ценности обрабатываемой информации.

4. Исследования проведенные в процессе выполнения диссертационной работы, показывают, что для автоматизированных информационных технологий в предпринимательстве, в условиях конкурентной борьбы и рыночных отношений, характерным становится вероятность действия факторов злоумышленных угроз защищенности ценной информации. Информация становится одним из наиболее ценных экономических ресурсов, определяющих Эффективность предпринимательской деятельности в целом. Поэтому особое внимание должно быть; уделено процессу получения обоснованных гарантий по Защищенности информации в предпринимательских информационных технологиях - сертификации защищенности. : , . \

5. Одним из возможных подходов к сокращению потерь от действия вероятных угроз защищенности информации в информационных технологиях • предпринимательства, является предложенный в диссертационной, работе алгоритм оценки защищенности информации • .(рис. :4) : .в ^'автоматизированных

. информационных технологиях; предпринимательства и оценки

стратегии построения системы защиты информации, который позволяет:

- .оценить необходимые ¡1 достаточные затраты ресурсов на построение системы защиты с учетом факторов вероятного риска, ценности и конфиденциальности обрабатываемой информации, стоимости программных и технических средств автоматизации;

- оптимизировать затраты на построение системы защиты, обеспечивающие требуемый уровень защищенности с учетом прогнозируемого изменения поля угроз защищенности;

- снизить экономические потери от действия современного поля вероятных угроз защищенности информации.

6. Использование предложенных алгоритмов и стратегии выбора соотношения затрат на автоматизацию и построение системы защиты информации, позволяет в целом обеспечить эффективность предпринимательской деятельности использующей автоматизированные информационные технологии.

7. Разработанный метод и алгоритмы оценки защищенности информации представляют собой экспертные алгоритмы, которые могут бцть реализованы в виде программного продукта.

2.ВКЛАД АВТОРА В ПРОВЕДЕННОЕ ИССЛЕДОВАНИЕ

Реализация основной идеи, выдвинутой в диссертации потребовала проведения углубленных исследований трудов отечественных и зарубежных экономистов по вопросам учета факторов риска в предпринимательстве, а также литературных и экспериментальных данных по использованию информационных технологий в предпринимательстве.

При решении поставленных задач использованы методы системного анализа, теория вероятностей, математическая статистика, исследование операций.

Основной вклад автора в проведенное диссертационное исследование заключается в постановке цели исследрвания, выборе объекта исследования, обоснования задач исследования и решения этих задач.

Целью исследования является разработка методов повышения эффективности использования автоматизированных информационных технологий в предпринимательстве на основе анализа и оценки соотношения затрат и вероятных потерь по информатизации

прсшринммагельской деятельности в России в условиях рыночных отношений.

В соответствии с поставленной целью были решены следующие основные задачи:

произведен анализ современных методов и средств информатизации предпринимательской деятельности в России;

- произведено уточнение и выявление основных параметров влияющих на экономическую эффективность информатизации предпринимательской деятельности с учетом защиты и безопасности информации;

- разработаны методические положения и алгоритм защиты бизнес-информации в препринимательских структурах;

- разработаны уточненные модели оценки эффективности информационных технологий в предпринимательской деятельности;

- разработаны модели взаимодействия качества информационных технологии в области предпринимательства, затрат на их создание и эксплуатацию, с учетом основных факторов определяющих эффективность информационных технологий в предпринимательстве.

В работе защищается метод оценки и оптимизации затрат на информационные технологии в области предпринимательской деятельности, построенный на основе учета факторов риска экономических потерь от несанкционированного доступа к информации, оставляющей коммерческую тайну.

Объектом диссертационного исследования является совокупность параметров к показателей оценки эффективности информационных технологий в предпринимательской деятельности, позволяющих провести разработку метода и модели оценки контроля и обеспечения необходимого уровня риска от использования информационных технологий в предпринимательских структурах.

3. СТЕПЕНЬ НОВИЗНЫ И ПРАКТИЧЕСКАЯ ЗНАЧИМОСТЬ РЕЗУЛЬТАТОВ ИССЛЕДОВАНИЯ

Научная новизна диссертационной работы заключается в том, что • в ней:

- выявлен один из основных факторов обеспечения эффективного использования автоматизированных информационных технологий на современном этапе информатизации предпринимательства обеспечение гарантированной защищенности ценной коммерческой информации;

- определены принципы эффективности и рационализации затрат при построении системы защиты информации в информационных технологиях, базирующиеся на оценке вероятности действия различных угроз на конкретную конфигурацию программных и технических средств информационных технологий и оценке ценности информации подлежащей обработке;

- разработаны алгоритмы оценки защищенности и методика получения обоснованных гарантий по показателям защищенности информации в информационных технологиях в предпринимательстве.

Практическая значимость диссертационной работы заключается в том, что с помощью разработанного метода оценки эффективности затрат на построение системы защиты информации в автоматизированных информационных технологиях предпринимательства, алгоритмов и методики сертификации показателей защищенности, процесс вложения затрат на защиту информации в предпринимательстве становится научно обоснованным.

Эти выводы подкреплены результатами построения систем защиты коммерческой информации в банках и коммерческих структурах.

Метйдические и практические разработки по теме диссертации используются в АООТ "Инфосервис", АОЗТ"Международный центр делового сотрудничества "Трансмаркет", а также в ряде банковских структур.

Основные положения диссертационной работы докладывались и получили одобрение на научно практических конференциях профессорско-преподавательского состава СПбУЭиФ в 1994-1995гг, международной конференции "Бизнес и безопасность" в 1995г.

Публикации.

По теме диссертации опубликовано 4. работы автора общим объемом 1,6 п.л.

Список публикаций:

• 1. Анализ обеспечения безопасности бизнес-информации предпринимательских структур. - С.-Петербург: Изд-вд СПбУЭиФ. 1995. - 1,1 п.л:

2. Подходы и критерии при оценке эффективности использования и внедрения компьютерных технологий в учебный процесс университета.// Подготовка экономистов высшей квалификации в современных условиях и проблемы высшей школы.- С.-Петербург: Изд-во СПбУЭФ. 1995. - 0,2 п.л.

3. Информатизация в системе образования и предпринимательства, пути взаимодействия. // Подготовка экономистов высшей квалификации в современных условиях и проблемы высшей школы. - С.-Петербург: Изд-во СПбУЭФ. 1995. - 0,1 п. л.

4. Математические модели системы защиты бизнес-информации. II Теория хозяйственных систем: перспективы развития,- С.-Петербург: Изд-во СПбУЭФ. 1996. - 0,2 п.л.

ХАРЧЕНКО АНАТОЛИЙ ФЕДОСЕЕВИЧ АВТОРЕФЕРАТ

Подписано в печать 8.12.95. Формат 60x84 1/16. Бум.кн.-журн. Печл.1,0. Бумл.0,5. Тираж 60. РТП изд-ва СПбУЭФ. Зик.710.

Издательство Санкт-Петербургского университета экономики и финансов 19102$, Санкт-Петербург, ул. Садовая, д.21