Оценка информационных рисков хозяйствующих субъектов тема диссертации по экономике, полный текст автореферата

Автореферат диссертации по теме "Оценка информационных рисков хозяйствующих субъектов"

Глухов Николай Иванович

ОЦЕНКА ИНФОРМАЦИОННЫХ РИСКОВ ХОЗЯЙСТВУЮЩИХ СУБЪЕКТОВ

Специальность: 08.00.05 - Экономика и управление народным хозяйством (экономика, организация и управление предприятиями, отраслями, комплексами: промышленность)

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата экономических наук

ООЗАЬ мл

Иркутск-2009

003467731

Диссертация выполнена на кафедре экономики и управления бизнеса Байкальского государственного университета экономики и права

Научный руководитель: доктор экономических наук, доцент

Туренко Борис Григорьевич

Официальные оппоненты: доктор экономических наук, профессор

Сольская Ирина Юрьевна

доктор экономических наук, профессор Ованесян Сергей Суренович

Ведущая организация: Омский государственный технический

университет

Защита состоится 15 апреля 2009 года в 1200 часов на заседании Диссертационного совета Д.212.070.05 в Байкальском государственном университете экономики и права по адресу: 664003, Иркутск, ул. К. Маркса, 24, корпус 9, зал заседаний Ученого Совета.

С диссертацией можно ознакомиться в библиотеке Байкальского государственного университета экономики и права по адресу: 664015, Иркутск, ул. Ленина, 11, корпус 2, ауд. 101.

Объявление о защите и автореферат размещены 13 марта 2009 г. на официальном сайте Байкальского государственного университета экономики и права: www.isea.ru.

Отзывы на автореферат присылать по адресу: 664003, г. Иркутск, ул. Ленина, 11, Ученому секретарю совета Д.212.070.05.

Автореферат разослан 13 марта 2009 года.

Ученый секретарь диссертационного совета, доктор экономических наук, профессор

I. ОБЩАЯ ХАРАКТЕРИСТИКАРАБОТЫ

Актуальность темы исследования. В стремительно меняющейся деловой среде одним из важных условий успеха в любом бизнесе сегодня становится способность руководителей предвидеть, оценивать, минимизировать и устранять возможные риски. Информационная защищенность является одним из важнейших аспектов общей безопасности хозяйствующих субъектов. Это обусловлено тем, что в современном деловом мире идет экспоненц иальный существенный прирост количества информации, превращение информации в неотъемлемый и ценный актив хозяйствующих субъектов, а возрастающая зависимость деятельности предприятий от информационных систем и технологий приводит к тому, что хозяйствующие субъекты становятся уязвимыми по отношению к угрозам различного рода.

Все чаще реализуются такие угрозы хозяйствующим субъектам как мошенничество, вредительство, промышленный шпионаж, компьютерные взломы, заражения компьютерных информационных систем вредоносными программами и др. Поэтому информационные активы предприятий, подобно любым другим активам, нуждаются в сохранности. Основными источниками угроз ценной корпоративной информации являются внутренние угрозы, связанные с нарушением правил защиты информационных активов, исходящие от персонала хозяйствующего субъекта. Результаты отечественных и зарубежных исследований показывают, что доля этих угроз составляет 60-80% от всех угроз.

В практической деятельности специалистами отмечаются колоссальные проблемы, связанные с организационным направлением по достижению рис-козащищенности информации хозяйствующих субъектов. Имеющиеся проблемы связывают с отсутствием адекватной политики по обеспечению безопасности информационных активов, несоблюдением установленных правил, недостатком квалифицированных кадров. Анализируя место и роль организационного направления в сфере обеспечения безопасности информации, необходимо отметить, что в общем объеме мероприятий по достижению информационной защищенности предприятий законодательные меры составляют 5%, физические меры -15%, технические - 25-30%, организационные меры - 50%. Учитывая, что оценка информационных рисков представляет собой одно го главных направлений достижения рискозащищенности хозяйствующего субъекта, на современном этапе развития экономики возникает необходимость в совершенствовании существующих методических подходов к оценке информационных рисков хозяйствующих субъектов.

Таким образом, можно утверждать, что разработка и решение теоретических и практических проблем оценки информационных рисков хозяйствующих субъектов является актуальной научной проблемой.

Степень разработанности проблемы. Первоначально предметом исследования экономической науки было влияние информации на общественное развитие. Среди отечественных и зарубежных ученых, занимавшихся исследованиями в этом направлении, выделяются работы В.Л. Тамбовцева, Е.Г. Ясина,

И. Николова, Д. Белла, Дж. Мартина, Дж. Миллера, П. Страссмана, А. Тоф-флера, Ф. Хайека, К. Эрроу и других.

Методологической основой исследования вопросов, связанных с применением комплекса средств, мероприятий в сфере оценки рискозащшценности информационных активов хозяйствующих субъектов, послужили результаты, изложенные в трудах отечественных исследователей А.И. Апексенцева, В.А. Галатен-ко, А.И. Доронина, И.К. Корнеева, A.A. Малюк, С.П. Расторгуева, C.B. Симонова, Е.А. Степанова, A.B. Петракова, С.А. Петренко, Ю.С. Уфимцева, A.A. Фатьянова, Б. Халяпина, В.И. Ярочкина и других.

В области оценки информационных рисков наибольшую известность приобрели международные и национальные стандарты, а также инструментарий -ISO 17799, ISO 15408, ISO27001, ISO 13335, BS 7799, NIST, BSI, SAC, COSO, COBIT, Software Tool, MethodWare, Risk Advisor, MARION (CLUSIF, Франция), RA2 art of risk, Callio Secura 17799, CRAMM, RiskWatch, COBRA, ГРИФ, АванГард и др.

Вместе с тем, необходимо отметить, что, несмотря на возрастающий интерес, проведение исследований, появление разработок в сфере оценки и управления информационной безопасностью на современном этапе в России сложилась противоречивая ситуация в данной области. Это связано, с одной стороны, с достаточно детальным изучением и проработанностью вопросов технической и программно-аппаратной защиты информационных систем и крупными финансовыми вложениями в технические средства защиты. С другой стороны, декларируя в исследованиях значимость организационного направления в защите информационных активов хозяйствующего субъекта, в нормативно-методической литературе и на практике отсутствуют четкие рекомендации и методические разработки по совершенствованию данной деятельности в условиях конкурентной борьбы, неустойчивости экономики, и других факторов динамически изменяющейся среды хозяйствующего субъекта. Это определило цель и задачи проведенного исследования.

Цель диссертационного исследования заключается в развитии теоретических основ и разработке методических положений по оценке информационных рисков хозяйствующих субъектов.

Объектом исследования выступают информационные риски хозяйствующих субъектов.

Предметом исследования являются научно-методические аспекты оценки информационных рисков хозяйствующих субъектов.

Для реализации поставленной цели поставлены следующие задачи:

- уточнить понятие «информационные активы» как основной характеристики системы оценки информационных рисков хозяйствующего субъекта;

- определить место, роль, специфику системы оценки информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия;

- оценить существующие методические подходы к оценке информационных рисков для выявления возможностей совершенствования данной деятельности;

- выявить особенности организационного направления в деятельности по защите информационных активов и определение их влияния на создание и развитие системы защиты информационных активов хозяйствующего субъекта;

- разработать методические положения по совершенствованию деятельности в сфере оценки информационных рисков хозяйствующих субъектов;

- сформировать методический подход к оценке эффективности деятельности по защите информационных активов предприятия.

Теоретической базой исследования являются труды зарубежных и отечественных ученых, посвященные проблеме рискозащшценности информационных активов хозяйствующих субъектов; материалы научных конференций в данной области. Исследование основывается на положениях экономики, организации и управления деятельностью предприятий.

Методологической основой исследования являются методы научного познания: системный и ситуационный подход, экономические и статистические методы исследования, метод экспертных оценок.

Информационной базой исследования являются статистические данные отечественных и зарубежных информационных агентств, информация, содержащаяся в отечественной и зарубежной литературе и периодических изданиях, законодательные акты, нормативно-правовые документы, стандарты по оценке и управлению информационной безопасностью.

Основные результаты, полученные в процессе исследования:

- Обоснована роль информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия. В результате определения места, роли и специфики системы оценки информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия создана структурная модель системы информационной защищенности хозяйствующего субъекта.

- Оценены существующие методические подходы к оценке информационных рисков и определены основные тенденции развития систем информационной рискозащшценности хозяйствующих субъектов: противоречие в сфере обеспечения информационной безопасности, связанное с развитием и совершенствованием технической и программно-аппаратной защиты информации и недостаточным осознанием сущности, роли и изученности организационного направления защиты информационных активов; возрастающая тенденция внутренних угроз, исходящих от персонала.

- Выявлены особенности и проблемы организационного направления в деятельности по защите информационных активов, заключающиеся в отсутствии квалифицированных кадров, несоблюдении установленных правил по обеспечению безопасности информационных активов, отсутствии методик по оценке надежности персонала, допущенного до ценных информационных ресурсов предприятия.

- Разработан методический подход к оценке защищенности информационных активов хозяйствующего субъекта на основе учета информационных рисков. Предложена многофакторная модель оценки информационных рисков предприятия и методика определения степени надежности персонала, как составная часть методики оценки информационных рисков хозяйствующего субъекта.

- Определены основные направления по применению защитных мероприятий с целью увеличения рискозащтценности информационных активов предприятия. Обоснованы их необходимость и преимущества по сравнению с существующими методиками. Сформирован методический подход к оценке эффективности деятельности по защите информационных активов предприятия.

Обоснованность и достоверность полученных выводов и результатов подтверждается использованием значительного числа исследований отечественных и зарубежных авторов - специалистов в области оценки и управления информационными рисками хозяйствующих субъектов, а также результатов исследований по проблемам внутренних угроз информационным активам хозяйствующих субъектов, подтверждается внедрением полученных результатов в деятельность предприятий региона и в учебный процесс.

Элементы научной новизны заключаются в следующем:

- Уточнено определение понятия «информационные активы предприятия». Отличие предлагаемого понятия от известных заключается в том, что в состав информационных активов предприятия необходимо включать ценные информационные ресурсы собственника, способные приносить экономическую выгоду. В данных ресурсах реализованы знания, умения и навыки персонала, полученные в ходе выполнения служебных обязанностей с использованием информационных технологий.

- Предложен подход к моделированию взаимосвязей между составляющими элементами системы информационной защищенности хозяйствующего субъекта на основе многофакторной модели оценки рисков информационной безопасности.

- Усовершенствована методика экономической оценки информационных рисков хозяйствующих субъектов в части определения затрат на информационную безопасность за счет влияния дополнительных затрат на обеспечение рискозащтценности информационных активов.

Теоретическая и практическая значимость исследования заключается в развитии основных положений теории оценки рискозащшценности информационных активов хозяйствующих субъектов за счет систематизации и доведения их идей до методической проработанности. Практическая значимость исследования заключается в возможности выбора методики оценки информационных рисков хозяйствующих субъектов, оценки уровня затрат на обеспечение информационной защищенности предприятий с использованием методов

и средств защиты информационных активов, оптимальных по эффективности и адекватных текущим целям и задачам деятельности хозяйствующих субъектов.

Апробация результатов исследования. Основные теоретические »практические положения диссертации были апробированы на научных семинарах и научно-практических конференциях в 2005-2008 гг. в Байкальском государственном университете экономики и права, Иркутском государственном университете путей сообщений, Сибирском институте права, экономики и управления.

Основные результаты и рекомендации автора использованы на предприятиях Иркутской области при осуществлении работы по обеспечению сохранности информационных активов - в Управляющей компании «ЕВРААС» и в Управлении Россельхознадзора по Иркутской области.

Отдельные результаты исследования используются автором в процессе преподавания дисциплин: «Организационная защита информации», «Комплексные системы защиты информации на предприятии», «Экономика защиты информации» в Сибирском институте права, экономики и управления. Отдельные положения исследования применены автором при разработке учебной программы для слушателей Центра информационной безопасности в Иркутском государственном университете.

Основные положения диссертации, отражены автором в 14 научных публикациях объемом 20,63 пл.

Структура и содержание работы. Цель и задачи исследования определили объем и структуру работы. Диссертация состоит из введения, трех глав, заключения, списка литературы и 8 приложений. Общий объем основного текста составляет 158 страниц, включая 22 рисунка и 20 таблиц. Список литературы содержит 138 наименований источников.

Во введении обоснована актуальность, сформированы цель, задачи, объект и предмет исследования, теоретическая и практическая значимость работы, научная новизна исследования.

В первой главе «Место и роль системы оценки рискозащищенности информационных активов в системе управления деятельностью предприятия» выполнен анализ подходов к исследованию сущности информации и информационных активов, проведен анализ основных угроз информационным активам предприятий, определено место и показана роль системы оценки рискозащищенности информационных активов в системе защиты и управления предприятием, проанализированы проблемы и текущее состояние в сфере безопасности информационных активов хозяйствующих субъектов.

Во второй главе «Методические подходы к оценке информационных рисков хозяйствующих субъектов» проведен анализ современных методических подходов к изучаемой проблеме, выявлены основные тенденции развития систем информационной безопасности предприятий, определены особенности организационной защиты информационных активов в системе управления

информационной безопасностью хозяйствующих субъектов, рассмотрены стратегии оценки информационных рисков, проанализированы некоторые методические подходы и инструментарий для оценки информационных рисков хозяйствующих субъектов.

Третья глава «Разработка методики оценки информационных рисков хозяйствующего субъекта» посвящена разработке и апробации усовершенствованной методики оценки информационных рисков предприятия. Предложены методические подходы к оценке затрат на обеспечение защищенности информационных активов хозяйствующего субъекта и эффективности деятельности по защите информационных активов предприятия.

В заключении сформулированы наиболее значимые выводы, направленные на совершенствование методики оценки информационных рисков хозяйствующих субъектов.

II. ОСНОВНЫЕ ПОЛОЖЕНИЯ И РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЯ, ВЫНОСИМЫЕ НА ЗАЩИТУ

1. Предложен подход к исследованию сущности информационных активов предприятия и разработана модель взаимосвязей информационных активов в защищаемой зоне хозяйствующего субъекта.

В современном мире науки большинство ученых склоняются к признанию информации фундаментальной категорией науки в целом, общенаучной категорией. В этом контексте информация может выступать во множестве аспектов: как инструмент управления, вид экономической деятельности, один из фундаментальных ресурсов любой экономической системы, объект купли-продажи (товар), один из наиболее важных факторов в конкурентной борьбе, объект защиты и др.

Объективное возрастание информационных потребностей общества приводит к превращению информации не только в неотъемлемый ресурс современного производства - она становится ценнейшим активом любого хозяйствующего субъекта. Понятие «информационные активы организации» появилось недавно, в связи с этим однозначное толкование данного термина еще не сложилось. Исходя из проведенного анализа дефиниций, необходимо отметить, что они не включают в состав данных активов интеллектуальные и деловые качества персонала организации, его квалификацию и способность к труду. Автор считает, что в ценной для предприятия информации воплощены знания, умения, квалификация персонала, которые используются им для выполнения служебных обязанностей. Они оплачены работодателем. Следовательно, работодатель должен быть заинтересован в их защищенности.

В связи с этим, автор предлагает под информационными активами организации понимать ценные информационные ресурсы собственника, способные приносить экономическую выгоду, в которых реализованы знания, умения и навыки персонала, полученные им в связи с выполнением служебных обязанностей и реализованные с использованием современных информационных технологий.

Модель взаимосвязей между составляющими элементами системы защищенности информационных активов состоит из большого количества взаимодействующих субъектов и объектов (см. рис. 1).

угрозы

Уязвимости а

системе

защиты

44 -V4

'V,

'ч \

Рис. 1. Модель взаимосвязей информационных активов в защищаемой зоне хозяйствующего субъекта.

2. Обоснована роль информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия. Определена специфика, место и роль системы защиты информационных активов в системе управления деятельностью хозяйствующего субъекта. Создана структурная модель системы информационной защищенности хозяйствующего субъекта в системе управления деятельностью предприятия.

В проведенном исследовании показано, что информационные риски входят в первую десятку общей структуры рисков предприятия и вопросам управления ими должно уделяться серьезное внимание. Схематично система защиты активов хозяйствующего субъекта может быть представлена в виде пирамиды, в верхней части которой расположена информационная безопасность, так как информационные риски пронизывают все остальные риски, поскольку они рассматриваются в результате применения компанией информационных технологий, т.е. связаны с созданием, передачей, хранением и использованием информации.

Управление защитой информационных активов хозяйствующего субъекта рассмотрено с позиций системного подхода. Это позволило сформировать авторское видение решение исследуемой проблемы, в соответствии с которым рассмотрена сущность системы безопасности информационных активов на корпоративном уровне, определено ее место и роль в управлении деятельностью предприятия, поскольку она, как подсистема, входит в комплексную систему

защиты хозяйствующего субъекта. В свою очередь, автором обосновано, что сама система управления безопасностью информационных активов состоит из нескольких подсистем (см. рис. 2). _

Управление предприятием

Управление безопасностью предприятия

Система управления деятельностью предприятия

Система защиты хозяйствующего су&ьекта

Л

Рис. 2. Структура системы защиты информационных активов в системе управления деятельностью предприятия.

3. Оценены современные методические подходы к оценке информационных рисков хозяйствующих субъектов. Это позволило автору выявить следующие основные тенденции:

3.1. Возрастание сложности и скорости изменений информационных рисКОВ предприятий. Зависимость деятельности предприятий от информационных технологий и проблемы, связанные с профессиональной пригодностью и надежностью персонала, приводят к появлению информационных рисков, связанных с техническими сбоями в работе каналов передачи информации, а также

вызванных утратой и/или утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут привести к убыткам.

3.2. Возрастающая тенденция внутренних угроз, исходящих от сотрудников организаций (инсайдеров). Результаты исследования, проведенного российской компанией РептеЬтх показывают, что внутренние нарушения информационной безопасности составляют 80%. Первое место в рейтинге заняла главная угроза внутренней безопасности - утечка информации (76%). На втором месте оказалась халатность сотрудников (67 %). Кроме того, 95% компаний убеждено, что именно инсайдеры являются причиной нарушения конфиденциальности информации в 98% случаев.

Проведенное автором исследование угроз информационным активам предприятий г. Иркутска, показало аналогичные результаты: внутренние нарушения информационной безопасности составили 70%, из них 14% нарушений нанесли значительный ущерб хозяйствующим субъектам.

3.3. Приоритетность комплексной системы защиты информационных активов предприятий. Специалистами в области защиты информации вся совокупность требований к организации комплексной системы защиты разделена натри группы: общие требования (технические, организационные, эргономические, экономические); требования к отдельным компонентам (подсистемам защиты, техническому, документационному и другим видам обеспечения, к средствам защиты и т.п.); специальные требования.

В исследовании основное внимание автор сосредоточил на общих требованиях к построению комплексной системы защиты информационных активов, и, особенно на специальных требованиях, которые вырабатываются с учетом влияния факторов внутренней и внешней среды, особенностей объекта защиты; выбранной стратегии защиты при обосновании ресурсного обеспечения для достижения основных целей защиты информации.

3.4. Противоречие в сфере обеспечения информационной безопасности, связанное, с одной стороны, с достаточно детальным изучением и проработанностью вопросов технической и программно-аппаратной защиты информационных систем и крупными финансовыми вложениями в технические средства защиты, с другой - с недостаточным осознанием сущности, роли и изученности организационной защиты информации. В связи с этим, в исследовании раскрыты основные аспекты организационного направления в деятельности по защите информационных активов предприятия, включающие: работу с персоналом; организацию режима и охраны информационных активов; регламентацию использования технических средств защиты информации; работу с документированной информацией; информационно-аналитическую деятельность по выявлению угроз информационным активам и управлению информационными рисками.

Обоснована авторская позиция, заключающаяся в том, что деятельность в сфере безопасности информационных активов непременно должна осуществляться с

учетом информационных рисков в деятельности хозяйствующего субъекта, поскольку система управления безопасностью информационных активов хозяйствующего субъекта призвана минимизировать возможные негативные последствия, связанные с использованием информационных технологий.

Проведенный анализ существующих методических подходов и инструментария для оценки и управления рисками информационной безопасности хозяйствующего субъекта (CRAMM, RiskWatch, ГРИФ, КОНДОР) показал существенные недостатки, заключающиеся в отсутствии оценки надежности персонала, как основного источника угроз, а также четкой методики оценки возможного ущерба при реализации угроз безопасности информационным активам.

4. Выявлены особенности и проблемы организационного направления в деятельности по защите информационных активов, заключающиеся в отсутствии квалифицированных кадров, несоблюдении установленных правил по обеспечению безопасности информационных активов, отсутствии методик по оценке надежности персонала, допущенного до ценных информационных ресурсов предприятия.

Выделены основные виды организационных каналов несанкционированного доступа к информационным активам, рассмотрена их сущность. Это позволяет учесть в системе управления информационной безопасностью то, что обеспечение целостности, сохранности, достоверности, конфиденциальности ценных информационных активов предприятия на 70-80% зависит от правильного подбора, расстановки и воспитания собственного персонала. Отмечено, что обнаружение организационных каналов несанкционированного доступа к информационным активам требует проведения серьезной аналитической работы.

На основе исследования возможностей организационного направления информационной защищенности, как одного го основных в системе управления информационной безопасностью предприятия, автор основное внимание сосредоточил на одном из ведущих направлений в организационной защите -работе с персоналом, определении его надежности, а также, информационно-аналитической деятельности по выявлению угроз информационным активам и оценке информационных рисков.

5. Предложена многофакгорная модель оценки информационных рисков предприятия.

Модель взаимосвязей между составляющими элементами системы защищенности информационных активов послужила базой для создания мультипликативной модели оценивания информационных рисков. Исходя из уровня зрелости информационной безопасности исследуемых предприятий, автором предложена многофакторная модель оценки информационных рисков хозяйствующего субъекта (см. рис. 3) и формула для определения уровня риска информационным активам (1):

Р - уровень риска информационным активам;

Ци - ценность информационного актива;

Ву - вероятность реализации угрозы на информационный актив;

Уи - коэффициент степени уязвимости персонала;

Уте - коэффициент степени уязвимости технических средств;

Упас - коэффициент степени уязвимости программно-аппаратных средств;

Уорг - коэффициент степени уязвимости организационных мер.

Рис. 3. Многофакторная модель оценки информационных рисков хозяйствующего субъекта.

Таким образом, использование автором многоступенчатого обратного факторного анализа позволяет исследовать причинно-следственные связи между ценностью информации, вероятностью реализации угроз и степенью уязвимости информационных активов индуктивным способом (от частных, отдельных факторов к обобщающим) на основе детализации факторов Ву и Уи на составные элементы с целью изучения их сущности и влияния на результативный показатель риска. Фактор Ву включает в себя объективные и субъективные факторы, умышленность - непреднамеренность действий.

Показатель Уи является обобщающим показателем таких факторов как:

- коэффициент риска, исходящий от персонала (включает в себя степень надежности персонала, который рассчитывается, исходя из ряда факторов -профессиональная подготовка, отрицательные увлечения, отрицательные черты характера);

- коэффициенты уязвимости технических, программно-аппаратных средств обработки информации и организационных мер.

6. Предложена усовершенствованная методика экономической оценки информационных рисков предприятия, состоящая из следующих этапов:

6.1.Подготовительный этап, включающий определение уровня зрелости предприятия в сфере безопасности информационных активов;

6.2.Этап оценки информационных рисков, состоящий из нескольких под-этапов:

6.2.1. Идентификация и классификация информационных активов;

6.2.2. Определение ценности информационных активов;

6.2.3. Оценка угроз информационным активам;

6.2.4. Оценка уязвимости информационных активов;

6.3.Этап управления информационными рисками предприятия;

6.4.Этап создания комплексной системы защиты информационных активов хозяйствующего субъекта;

6.5.Этап реализации программы обеспечения рискозащшценности информационных активов;

б.б.Этап анализа эффективности вложений в защищенность информационных активов.

Укрупненная схема оценки защищенности информационных активов приведена на рис.4.

С N 2.1. Ндапифтсшлм я классификация —У г \ Х2. Оценка угроз информационной безопасности -К -у г > ЗДОлредоенне ценности информационных —А —у ( \ 2А. Оценка улан мести информационных

к. 1 1 ^ У 4

& Оценка рисков информационной

3. Управление «формациоим»

4. Создание КС311Л хозяйствующего субъекта

¿.Анализ эффективности вложениД в звнишюиюстъ информационных

5.Реалюаоия программы

информационных активов

Рис.4. Укрупненная схема оценки защищенности информационных активов хозяйствующего субъекта с учетом информационных рисков.

Автором предложен классифицированный перечень угроз информационным активам по нескольким видам: 1) непреднамеренные искусственные угрозы; 2) умышленные действия; 3) непреднамеренные естественные угрозы и угрозы, связанные с техникой. Так, например, код угрозы У 4 - умышленное удаление, искажение программ и файлов с важной информацией, в том числе конфиденциальной, У5 - внедрение агентов в число персонала системы.

Вероятность реализации каждого вида угрозы предлагается определять методом экспертных оценок с учетом имеющейся статистики по видам угроз, затем преобразовать вероятности угроз к ежегодной частоте угроз (см. табл. 1).

Таблица 1

Преобразование вероятности реализации угрозы к ежегодной частоте (Ву)

Частота <ВУ) Частота возникновения угрозы за определенный период Уровень вероятности

0,05 угроза практически никогда не реализуется очень низкий уровень

0,6 примерно 2-3 раза в пять лет очень низкий уровень

1 примерно 1 раз в год и реже (180<У>366 (дней)) низкий уровень

2 примерно 1 раз в полгода (90<У<180 (дней)) низкий уровень

4 примерно 1 раз в 3 месяца (60<У<90 (дней)) средний уровень

6 примерно 1 раз в 2 месяца (30<У<60 (дней)) средний уровень

12 примерно 1 раз в месяц (15<У<30 (дней)) высокий уровень

24 примерно 2 раза в месяц (7<У<15 (дней)) высокий уровень

52 примерно 1 раз в неделю (1<У<7 (дней)) очень высокий уровень

365 Ежедневно (1<У<24 (часов)) очень высокий уровень

Для экспертной оценки возможного ущерба от реализации угроз использовались следующие экономические показатели: стоимость приобретения, восстановления и ремонта компьютеров, сетей и другой техники; упущенная выгода; ущерб от разглашения конфиденциальной информации; судебные издержки; потеря производительности труда, потери, связанные с простоем и выходом из строя оборудования.

Оценка уязвимости информационных активов предприятия рассчитывалась с применением следующих, разработанных автором методических приемов:

1) оценка надежности персонала - этому элементу методики уделено особое внимание, поскольку сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки персонала. Оценка проводилась с использованием разработанной анкеты, состоящей из трех разделов («Личностные качества», «Профессиональные качества», «Наличие компрометирующих материалов»). Анкета заполнялась руководителем подразделения и его заместителями, как экспертами (не менее 3 человек на каждого сотрудника).

Затем определяется уровень надежности сотрудника - высокий, средний, низкий, и в связи с этим рассчитывается коэффициент риска проявления внутренних угроз информационным активам, исходящих от персонала предприятия. После обработки анкетных данных экспертной группой выводится усредненный коэффициент уязвимости персонала по вышеуказанным уровням надежности (табл. 2).

Уровень надежности и коэффициент уязвимости персонала

Уровень надежности сотрудника Общее количество баллов Коэффициент

уязвимости

высокий (надежный) 102-152 ОД

средний (не совсем надежный) 66-101 0,4

низкий (не надежный) 34-65 0,6

2) оценка надежности технических и программно-аппаратных средств обработки информации (табл. 3-4), позволяющие определить существующие или возможные каналы утечки информации и другие угрозы на основе проведения инструментального анализа защищенности информационных систем; а также оценка надежности организационно-режимных мер защипы информационных активов (табл. 5).

Таблица 3

Уровень защищенности и коэффициент уязвимости технических средств обработки информации

Уровень защищенности Количество баллов Коэффициент уязвимости

высокий 120-162 0,1

средний 90-119 0,25

низкий менее 90 0,4

Таблица 4 Уровень защищенности и коэффициент уязвимости программно-аппаратных средств обработки информации

Уровень защищенности Количество баллов Коэффициент уязвимости

высокий 60-84 0,1

средний 40-59 0,25

низкий менее 40 0,4

Таблица 5 Уровень надежности и коэффициент уязвимости организационно-режимных мер

Уровень надежности Количество баллов Коэффициент уязвимости

высокий 110-132 0,1

средний 66-109 0,25

низкий менее 66 0,4

3) интегральный показатель «степень уязвимости информационных активов» по каждому активу отражен в таблице 6.

С учетом того, что объектом защиты являются информационные активы, алгоритм оценки рисков должен основываться именно на них, а не на частных угрозах и ущербах. Поэтому расчет рисков реализации угроз информационным активам проводился по видам информационных активов организации, на основе формулы 1 (см. табл. 7).

Степень уязвимости информационных активов организации

Коэффициент уязвимости Общ.

Информационные активы Число сотрудников, работающих с активом КуЮВЮЮСП! персонала Орган из. мер прогр-аппар. средств технич. средств Куж» теш., црсир- аппарат. срсасп,арг. мер

I 2 3 4 5 6 7

1. Программа «1С» 48 0,39 0,1 0,25 0,4 0,25

2. Интернет-каналы и система электронной почты 110 037 0,25 0,25 0,25 0,25

3. Информация на серверах 4 0,3 0,25 0,1 0,1 0,15

Таблица 7

Расчет уровня информационных рисков организации (показателя возможных потерь)

Активы Потен Часто- Возмож- Кущш. Ожидае- Куздны. Ожидае- Общий

циаль та ный персонала мые техн., Пр- мые показа-

-ные угрозы ущерб потери, с ага. средств, потери с тель

угро- в год от учетом орт. мер учетом ожидае-

зы угрозы, руб. Ку*звиы.перс окала (ALE1); руб. К^оаш. 1СХВ., прчшп. ср., орг.. мых потерь, руб.

1 2 3 4 5 6 7 8 9

1. HOI 4 30 000 0,39 46 800 0,25 30 000 76 800

Програм- НО 2 12 5 000 0,39 23 400 0,25 15 000 38 400

ма «1С» НОЗ 365 500 0,39 71 175 0,25 45 625 116 800

НО 4 2 25 000 0,39 19 500 0,25 12 500 32 000

НО 5 4 50 000 0,39 78 000 0,25 50 000 128 000

У 1 4 25 000 0,39 39 000 0,25 25 000 64 000

У 2 12 15 000 0,39 70200 0,25 45 000 115 200

УЗ 12 25 000 0,39 117000 0,25 75 000 192 000

У4 2 50 000 0,39 39 000 0,25 25 000 64 000

У 5 4 150000 0,39 234 000 0,25 150000 384 000

У6 0,6 100000 0,39 23 400 0,25 15 000 38400

ETI 2 70000 0,39 54 600 0,25 35 000 89600

ЕТЗ 0,6 150 000 0,39 35 100 0,25 22 500 57 600

ET 4 1 120 000 0,39 46 800 0Д5 30 000 76 800

ИТОГО 897975 575625 1473 600

поп.1:

2, HOI 12 2 000 0,37 8 800 0,25 6000 14 880

Интернет- НО 2 12 3 000 0,37 13 320 0,25 9000 22 320

каналы и НОЗ 365 500 0,37 67 525 0,25 45 625 ИЗ 150

система НО 4 1 5 000 0,37 1 850 0,25 1250 3 100

электронной почты НО 5 12 1 000 0,37 4 440 0,25 3 000 7 440

Окончание таблицы 7

1 2 3 4 5 6 7 8 9

УЗ 52 5000 0,37 96 200 0,25 65 000 161 200

У 4 12 50 000 0,37 222 000 0,25 150 000 372 000

У6 12 25 000 0,37 111 000 0,25 75 000 186 000

ЕТ 1 4 40 000 0,37 59 200 0,25 40 ООО 99 200

ЕТЗ 2 50 000 0,37 37 000 0,25 25 000 62 000

ЕТ4 12 4 000 0,37 17 760 0,25 12 000 29 760

итого по п.2: 639175 431 875 1 071 050

3. Сервера НО 2 1 50 000 0,3 15 000 ОД 10 000 25 000

НОЗ 4 25 000 0,3 30 000 оа 20 000 50 000

НО 4 1 200 000 0,3 60 ООО 0,2 40 000 100 000

У 1 0,6 250 000 0,3 45 000 0,2 30 000 75 000

У 2 0,6 60 000 0,3 10 800 0,2 7 200 18 000

У 5 1 250 000 0,3 75 00 0 0,2 50 000 125 000

У6 0,05 250 000 0,3 3 750 0,2 2 500 6 250

ЕТ 1 0,6 100 000 0,3 18 000 ОД 12 000 30 000

ЕТЗ 0,6 150 000 0,3 27 000 0,2 18 000 45 000

ЕТ4 0,6 100 000 0,3 18 000 0,2 12 000 30 000

ИТОГО по п.З: 231300 154200 504 250

Угроза, характерная для всех активов -ЕТ2* 0,05 4500 000 225000

ИТОГО: 1768450 1 161 700 3273 900

Сравнение информационных активов по уровню риска реализации различных видов угроз, а также доли различных категорий угроз информационным активам приведены в диаграммах (рис. 5,6).

Программа «1С»

Интернет-каналы и электронная почта

Сервера

Рис. 5. Динамика сравнения информационных активов по уровню информационных рисков.

2СОО»

Естественные и Непреднамеренные и

технические угрозы организационные

23% угр03ы

22%

Умышленные угрозы 55%

Рис. 6. Структура различных категорий угроз информационным активам.

Результаты проведенного автором анализа показателей ожидаемых потерь от реализации различных видов угроз информационным активам предприятия отражены в диаграмме (рис. 7). Важно отметить, что большие потери могут возникнуть в результате воздействия угроз У4 и У 5 - об этом свидетельствуют высокие значения общего показателя ожидаемых потерь по этим угрозам.

ущ ерб, руб. 600000

500000

400000

зооооо

200000

100000

о

Рис. 7. Диаграмма сравнения показателей ожидаемых потерь от реализации различных угроз.

Применение методики позволило руководителям компании «ЕВРААС» иметь более полное представление о существующих информационных рисках, увидеть наиболее уязвимые места защиты информационных активов, для того, чтобы принять решение об остаточных рисках и рисках, требующих внимания и средств для их уменьшения или нейтрализации.

В работе сформирована модель информационной системы, отражающая информационную защищенность хозяйствующего субъекта. Она включает в себя элементы: организационную структуру компании, структуру информационных активов и информационных потоков, объекты обработки и хранения ценной информации, группы пользователей и виды доступа к информации, используемые каналы связи, схему подключения к сетям передачи и обработки информации, комплекс программно-технических средств.

7. Определены основные направления по применению защитных мероприятий с целью увеличения рискозащищенносги информационных активов пред-

приятия. Обоснованы их необходимость и преимущества по сравнению с существующими методиками. Сформирован методический подход коценкеэффективности деятельности позащиге информационных активов предприятия.

Основные направления по применению защитных мероприятий определяют необходимые затраты на безопасность информационных активов. В работе показано, что к менее затратным, однако, имеющим высокий уровень эффективности, относятся организационные меры (внутренний и внешний аудит, анализ рисков, политика информационной безопасности, план бесперебойной работы, положения, процедуры, регламенты и руководства).

Затраты на безопасность информационных активов предприятия разделены на три категории (рис. 8).

Рис. 8. Категории затрат на обеспечение защищенности информационных активов.

Это послужило базой для оценки годовых затрат на обеспечение защищенности информационных активов. Их распределение по категориям отражено в табл. 9. Общие ежегодные затраты на безопасность информационных активов рассчитываются по формуле 2:

3^0+3я+3„ где(2)

ежегодные затраты на безопасность информационных активов, руб.

Зо - затраты на предупредительные организационные мероприятия, руб.

Зт - затраты на предупредительные технические мероприятия, руб.

Зл - затраты на ликвидацию последствий нарушения политики информационной безопасности, руб.

Таблица 9

Распределение годовых затрат на проведение мероприятий по защите информационных активов организации

Направления затрат Виды затрат

Едидавремен, руб Текущие, руб Всего, руб

1. Затраты на предупредительные организационные мероприятия 579200 579 200

2. Затраты на предупредительные технические мероприятия 350000 482 400 832 400

3. Затраты на ликвидацию последствий нарушения полигики информационной безопасности 210000 - 210 000

ИТОГО: 560 000 1061600 1 621 600

Для определения эффекта от внедрения мероприятий по достижению информационной защищенности, в организации использовался метод ожидаемых потерь от возможных нарушений политики безопасности и их сравнения с затратами в защиту информационных активов. Выбор данного метода оценки информационных рисков и целесообразности затрат на защиту информационных активов обусловлен его экномической ориентированностью, в отличие от других методов, а также достаточно полной оценкой стоимости различных мер безопасности и выгод от их внедрения. Расчет ведется по формуле (3).

Сб-Ущ*Кт.Зт, где(З)

Сб ~ ежегодные сбережения от снижения информационных рисков, руб;

Ущ - показатель ожидаемых потерь (ущерб от реализации угроз), руб;

Кэфф ~ коэффициент эффективности системы защиты информационных активов, %;

3ИБ - ежегодные затраты на безопасность информационных активов, руб.

По оценкам экспертов эффективность грамотно созданной и поддерживаемой системы защиты информационных активов организации может достигать 85%. В нашем случае показатель ожидаемых потерь (Ущ) -это уровень риска (графа 9 табл. 8), ежегодные затраты на безопасность (3ИБ ) составляют 1 621600 руб. (табл. 9), эффективность создаваемой системы защиты информационных активов оценена в 80%.

Таким образом, при существующих рисках и предложенных вложениях в информационную безопасность, ежегодные сбережения организации составят 997 520 рублей:

Сб = 3 273 900 * 0,80 -1621600 = 997 520 руб.

Соотношение ежегодных сбережений организации и ежегодных затрат на информационную безопасность с учетом возможного ущерба от реализации угроз рассчитано по следующей формуле:

э* = Т^10<\где(4)

ЦБ

Эсб~ эффективность мероприятий для обеспечения информационной защищенности, %;

Сб- ежегодные сбережения от снижения информационных рисков,

руб;

Зж- ежегодные затраты на информационную защищенность, руб.

Результаты показали, что общая эффективность предложенных мероприятий для обеспечения защищенности информационных активов предприятия составляет 62%, что является хорошим показателем для компании «ЕВРААС».

997520

Я« = * 100 = 62% 1621600

На рис. 9 показано сравнение показателей ущерба от возможных угроз информационным активам предприятия и затрат на защищенность информационных активов от рисков по различным категориям. Взяты показатели риска, связанного с надежностью (ненадежностью) персонала - в диаграмме это названо организационным направлением, и показатель риска, связанный с остальными категориями уязвимостей - техническое направление. Сравнение указанных показателей позволяет заключить, что на высокий уровень возможного ущерба от угроз информационной безопасности, связанных с персоналом (1 768 450 руб.), приходится меньшая доля затрат-36%, а на уровень возможного ущерба от других угроз (1 505 450 руб.) приходится 64% затрат.

Рис. 9. Диаграмма сравнения показателей возможного ущерба и категорий затрат на безопасность информационных активов.

Таким образом, можно отметить, что одним из ведущих направлений в организационной защите информационных активов хозяйствующего субъекта, в котором проявляются экономические аспекты деятельности, является информационно-аналитическая деятельность по выявлению внутренних и внешних угроз, оценка и управление информационными рисками. Это связано с тем, что важнейшим условием успеха в хозяйственной деятельности сегодня, как никогда прежде, становится способность руководителей предвидеть, оценивать и минимизировать возможные риски, поскольку одним их основных тревожных симптомов в сфере обеспечения безопасности информационных активов является возрастание сложности информационных рисков предприятий.

Предложенная автором усовершенствованная методика может быть использована как в качестве методического инструментария в управленческой практике отдельных хозяйствующих субъектов, так и в качестве учебного и аналитического материала в учебном процессе высшей школы. Сформулированные в исследовании

положения могут быть использованы в качестве методической основы для дальнейших научных исследований по проблемам поиска путей совершенствования оценки информационных рисков хозяйствующих субъектов.

III. ПУБЛИКАЦИИ АВТОРА ПО ТЕМЕ ДИССЕРТАЦИИ

а) Статьи в ведущем научном журнале, определенном ВАК Минобразования РФ:

1. Глухов Н.И. Методические вопросы оценки информационных рисков хозяйствующих субъектов // Известия Иркутской государственной экономической академии.~2009.-№2(64).-С. 95-98.-(0,38 п.л.).

2. Глухов Н.И., Заорский Г.В. Место и роль информационной безопасности в системе управления и защиты предпринимательской деятельности // Интеграл. -2007. - №5. - С. 40-42. - (0,22 п.л.).

б) Статьи в иных изданиях:

1. Глухов Н.И. Коммерческая тайна предприятия и технология ее защиты // Учебно-методическое пособие. - Иркутск: Изд-во РИО ГУ НЦ PBX ВСНЦ СО РАМН, 2005. - 204 с. - (9,0 п.л.).

2. Глухов Н.И. Особенности работы с конфиденциальными документами на предприятии // Интеллектуальные и материальные ресурсы Сибири: Сборник научных трудов. -Иркутск: Изд-во БГУЭП, 2005. -С. 50-54.-(0,23 п.л.).

3. Глухов Н.И. Организация защиты коммерческой тайны в трудовом коллективе // Интеллектуальные и материальные ресурсы Сибири: Сборник научных трудов.-Иркутск: Изд-во БГУЭП, 2005.- С. 54-58.-(0,20 п.л.).

4. Глухов Н.И. Конфиденциальность информации - необходимый атрибут рыночной экономики // Актуальные проблемы права, экономики и управления в Сибирском регионе: Сборник статей международной научно-практической конференции. - Иркутск: Изд-во РИО ГУ НЦ PBX ВСНЦ СО РАМН, 2005. - Вып. I, т. II.-С. 74-75.-(0,21п.л.).

5. Глухов Н.И., Крячко ЕЛО. Состояние и перспективы правового регулирования системы управления информационной безопасности // Трансформация финансового механизма железнодорожного транспорта в условиях структурной реформы: Межвузовский сборник научных трудов. - Иркутск: Изд-во ИрГУПС, 2006.- С. 58-61.-(0,21/0,1 пл.).

6. Глухов Н.И. Организационная защита информационных ресурсов как элемент системы управления информационной безопасностью предприятия // Трансформация финансового механизма железнодорожного транспорта в условиях структурной реформы: Межвузовский сборник научных трудов. - Иркутск: Изд-во ИрГУПС, 2006. - С. 61- 66. -(0,2 пл.).

7. Глухов Н.И., Крячко Е.Ю. Место и роль информационной безопасности в комплексной системе защиты предпринимательской деятельности // Актуальные проблемы права, экономики и управления в Сибирском регионе: Сборник статей международной научно-практической конференции. - Иркутск: Изд-во РИО ГУ НЦ PBX ВСНЦ СО РАМН, 2006. - Вып. И,т.1.-С.151-153, - (0,22/0,11 пл.).

8. Глухов Н.И. Система управления информационной безопасностью предпринимательской деятельностью как элемент системы управления предприятием // Актуальные проблемы права, экономики и управления в Сибирском регионе: Сборник статей международной научно-практической конференции. - Иркутск: Изд-во РИО ГУ НЦ PBX ВСНЦСО РАМН, 2006. - Вып. П, т. I. -С. 153-156. -(0,19 пл.).

9. Глухов Н.И. Некоторые аспекты методики построения корпоративной системы защиты информации на предприятии: Сборник научных трудов преподавателей. - Иркутск: Изд-во БГУЭП, 2007. - С. 211 -213. - (0,20 пл.).

10. Глухов Н.И. Информационно-аналитическая работа как основной элемент системы управления информационной безопасностью предпринимательской деятельности: Сборник научных трудов преподавателей. - Иркутск: Изд-во БГУЭП, 2007. - С. 213-216. - (0,25 пл.).

11. Глухов Н.И. Сравнительный анализ тенденций развития стандартов информационной безопасности // Экономические аспекты структурного реформирования экономики: Материалы международной научно-практической конференции преподавателей и аспирантов. - Иркутск: Изд-во ИрГУПС, 2007. -С. 36-41.-(0,21 пл.).

12. Глухов Н.И. Информационная безопасность предприятия. - Иркутск: РИО СИПЭУ, 2008. -194 с. - (8,62 пл.)

13. Глухов Н.И Исследование моделей оценки рисков в системе управления безопасностью информационных активов //Актуальные проблемы права, экономики и управления: Сборник статей международной научно-практической конференции. -Иркутск: Изд-во СИПЭУ, 2008. - Вып. 4, т. 2. - С. 238-240. - (0,23 пл.).

Глухов Николай Иванович АВТОРЕФЕРАТ

ОЦЕНКА ИНФОРМАЦИОННЫХ РИСКОВ ХОЗЯЙСТВУЮЩИХ

СУБЪЕКТОВ

Подписано в печать 11.03.2009. Формат 60х84'/16. Бумага офсетная. Печать трафаретная. Гарнитура Тайме. Усл. печ. л. 1,4. Тираж 100 экз. Заказ № 120-09.

Отпечатано в ИПО БГУЭП 664003, Иркутск, ул. Лапина, 1

Диссертация: содержание автор диссертационного исследования: кандидата экономических наук, Глухов, Николай Иванович

ВВЕДЕНИЕ

ГЛАВА 1. Место и роль системы оценки рискозащищенности информационных активов в системе управления деятельностью предприятия

1.1. Исследование сущности информационных активов хозяйствующих 12 субъектов

1.2. Место системы защиты информационных активов в системе управления 29 деятельностью предприятия

1.3. Анализ основных угроз информационным активам хозяйствующих 39 субъектов

Выводы

ГЛАВА 2. Методические подходы к оценке информационных рисков хозяйствующих субъектов

2.1. Анализ современных методических подходов к обеспечению защищен- 53 ности информационных активов хозяйствующих субъектов

2.2. Исследование особенностей организационного направления в сфере 59 обеспечения рискозащищенности информационных активов предприятия

2.3. Сравнительный анализ методических подходов и инструментария для 70 оценки информационных рисков хозяйствующих субъектов

Выводы

ГЛАВА 3. Разработка методики оценки информационных рисков хозяйствующего субъекта

3.1. Разработка методики оценки информационных рисков хозяйствующих 91 субъектов

3.2. Апробация методики оценки информационных рисков предприятия

3.3. Методические подходы к оценке затрат на обеспечение защищенно- 132 сти информационных активов хозяйствующего субъекта

Выводы

Диссертация: введение по экономике, на тему "Оценка информационных рисков хозяйствующих субъектов"

Актуальность темы исследования

С развитием цивилизации проблема безопасности и устойчивого развития общества становится острее в связи с развитием науки и техники, стимулирующими радикальные изменения в производстве, мировом товарообмене, интенсификацию потоков финансовых средств и технических идей, что в свою очередь, порождает и немало проблем.

Информационная защищенность является одним из важнейших аспектов общей безопасности на различных уровнях — национальном, отраслевом, корпоративном, персональном. Это связано с тем, что в современном мире экспоненциальный прирост количества информации превратил ее из второстепенного ресурса в фактор, решающим образом влияющий практически на все сферы общественной жизни, отражая тем самым возрастающую информационную зависимость общества. Учитывая широкое использование информационных технологий в сфере бизнеса, а, также рассматривая информацию в качестве экономической категории, следует отметить, что в современных рыночных условиях информация становится ценным активом экономического субъекта. Информационные активы представляют собой совокупность информационных ресурсов с использованием информационных технологий, информационных систем, поддерживающей сетевой инфраструктуры.

Зависимость от информационных систем и технологий означает, что организации становятся более уязвимыми по отношению к угрозам различного рода, и потому, подобно любым другим активам, они нуждаются в сохранности. Анализ состояния дел в сфере оценки защищенности информационных активов хозяйствующих субъектов показывает, что злоумышленные действия над ними не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Все чаще реализуются такие угрозы безопасности хозяйствующим субъектам как мошенничество, вредительство, промышленный шпионаж, компыотерные взломы, заражения компьютерных информационных систем вредоносными программами и др.

Основными источниками угроз ценной корпоративной информации являются внутренние угрозы, связанные с нарушением правил защиты информационных активов, исходящие от персонала хозяйствующего субъекта. Результаты отечественных и зарубежных исследований показывают, что доля этих угроз составляет 60-80% от всех угроз [44, 84, 100, 108, 128, 131].

В практической деятельности специалистами отмечаются колоссальные проблемы, связанные с организационным направлением по достижению риско-защищенности информации хозяйствующих субъектов. Имеющиеся проблемы связывают с отсутствием адекватной политики по обеспечению безопасности информационных активов, несоблюдением установленных правил, недостатком квалифицированных кадров. Анализируя место и роль организационного направления в сфере обеспечения безопасности информации, необходимо отметить, что в общем объеме мероприятий по достижению информационной защищенности предприятий законодательные меры составляют 5%, физические меры — 15%, технические — 25-30%, организационные меры - 50% [24, 38, 44, 45, 51, 53, 54, 75, 108, 127, 128]. Тем не менее, адекватное понимание проблем, связанных с организационным направлением в деле обеспечения безопасности информационных активов, наблюдается далеко не всегда [56, 88, 111, 113, 122].

Кроме того, необходимо отметить, что, несмотря на возрастающий интерес, проведение исследований, появление разработок в сфере оценки и управления информационной защищенностью на данный момент в России сложилась противоречивая ситуация в данной области. Это связано, с одной стороны, с достаточно детальным изучением и проработанностью вопросов технической и программно-аппаратной защиты информационных систем и крупными финансовыми вложениями в технические средства защиты, с другой стороны, декларируя значимость организационного направления в защите информационных активов хозяйствующего субъекта, в нормативно-методической литературе и на практике отсутствуют четкие рекомендации и методические разработки по совершенствованию данной деятельности в условиях конкурентной борьбы, неустойчивости экономики, и других факторов динамически изменяющейся среды хозяйствующего субъекта.

В стремительно меняющейся деловой среде важнейшим условием успеха в любой сфере деятельности сегодня, как никогда прежде, становится способность руководителей предвидеть, оценивать и минимизировать степень возникновения возможных рисков. В частности, в деятельности по оценке системы управления информационной защищенностью хозяйствующего субъекта ключевыми элементами являются объективная идентификация и оценка степени наиболее значимых для предприятия информационных рисков, в результате которых расставляются приоритеты, определяются требования к информационной безопасности организации.

Учитывая, что оценка информационных рисков представляет собой одно из главных направлений достижения рискозащищенности хозяйствующего субъекта, на современном этапе развития экономики возникает необходимость в совершенствовании существующих методических подходов к оценке информационных рисков хозяйствующих субъектов.

Таким образом, можно утверждать, что разработка и решение теоретических и практических проблем оценки информационных рисков хозяйствующих субъектов является актуальной научной проблемой.

Степень разработанности проблемы

Предваряя рассмотрение информации в качестве экономической категории, а также в составе информационных активов, следует отметить, что первоначально научное изучение информации было связано с техническими проблемами передачи данных. На базе этих исследований была создана статистическая теория информации, положившая начало кибернетическому подходу и получившая достаточно подробное рассмотрение в трудах Р. Хартли, К. Шеннона, Н. Винера, С. Голдмана, Дж. Стиглера, У. Эшби [98].

Однако излишняя технократичность подобного подхода, при котором основное внимание уделяется количественным аспектам информации и не учитывается ее смысловая нагрузка, привела к необходимости философского исследования феномена информации, достаточно глубоко проведенного в трудах отечественных ученых: А. И. Анчишкина, Д. Блюменау, В. А. Виноградова, В. Н. Глушкова, И. И. Гришкина, А. Ракитова, А. Д. Урсула и других [58, 98].

Позднее предметом исследования экономической науки стало влияние информации на общественное развитие. Исследование проблем в данной области увязывается с производством знаний и научными открытиями, а растущее значение информатизации выражается в концепциях постиндустриального и информационного общества. Предметами изучения становятся проблемы ценообразования на информационном рынке и влияния цены информации на цену конечного продукта. Среди зарубежных и отечественных ученых, занимавшихся исследованиями в этих направлениях, выделяются работы В. JT. Тамбовцева, Е. Г. Ясина, И. Николова, Д. Белла, Дж. Мартина, Дж. Миллера, П. Страссмана, А. Тоффлера, Ф. Хайека, К. Эрроу и других [58, 68].

Методической основой исследования вопросов, связанных с применением комплекса средств, мероприятий в сфере защиты информации, оценкой рисков информационным активам хозяйствующих субъектов, послужили результаты, изложенные в трудах отечественных исследователей А. И. Алексен-цева, В. А. Галатенко, А. И. Доронина, И. К. Корнеева, А. А. Малюк, С. П. Расторгуева, С. В. Симонова, Е. А. Степанова, А. В. Петракова, С. А. Петренко, Ю. С. Уфимцева, А. А. Фатьянова, Б. Халяпина, В. И. Ярочкина и других [23, 45, 50,51,75,84, 88, 100, 101, 104, 108, 117, 118, 128, 130, 131].

Анализ подходов к исследованию проблем оценки рисков и управления системой защиты информационных активов хозяйствующих субъектов позволяет отметить, что, хотя большинство исследователей придерживается комплексного подхода в сфере информационной безопасности, некоторые специалисты используют структурный подход, другие предлагают применять объектно-ориентированный подход, учитывающий достижения в технологии программирования [32, 45, 55, 56, 77, 111]. По мнению автора, подобные взгляды с точки зрения технократического подхода базируются на рассмотрении системы защиты информационных активов как на относительно обособленную и замкнутую систему.

Таким образом, приходится констатировать, что, к сожалению, многие подходы к обеспечению защищенности информационных активов предприятий, зафиксированные в различных стандартах, руководящих документах, рассматривают в основном технические и технологические аспекты, которые на данном этапе являются наиболее изученными, детально проработанными [12, 14, 16, 30, 69]. Однако другие вопросы зачастую выпадают из поля зрения существующих в России нормативных документов. Например, очень важно постоянно осуществлять контроль за функционированием всей системы защиты информационных активов, включая персонал, важно оценить степень надежности персонала при работе с ценной корпоративной информацией.

Несомненно, что разработка мероприятий по снижению различных видов информационных рисков является важнейшим компонентом корпоративной стратегии в сфере обеспечения безопасности хозяйствующих субъектов. Для эффективного управления степенью информационных рисков предприятий разработаны и применяются международные стандарты и специальные методики. Так, наибольшую известность приобрели международные и национальные стандарты, а также инструментарий в области управления рисками информационных активов - TSO 17799, TSO 15408, ISO 27001, ISO 13335, BS 7799, NIST, В SI, SAC, COSO, COBIT, Software Tool, MethodWare, Risk Advisor, MARION, RA2 art of risk, Callio Secura 17799, CRAMM, RiskWatch, COBRA, ГРИФ, АванГард и некоторые другие, аналогичные им [16, 17, 22, 104, 136138].

Кроме того, необходимо отметить недостаточное внимание, уделяемое в методологии защиты информации исследованию влияния деятельности по оценке различных угроз информационным активам компании на финансово-хозяйственную деятельность предприятий. Традиционные концепции обычно пренебрегают всесторонним анализом такого влияния, рассматривая лишь некоторые отдельные аспекты такового. При этом остаются слабо изученными такие важные вопросы как экономическая сущность информационных активов, изменение их стоимости в результате дестабилизирующих воздействий на них, экономическая эффективность применения различных средств и методов защиты информационных активов и другие. Сегодня требуется не только создание новых форм и методов управления в области защиты информации, но и формирование новых методических подходов в сфере оценки защищенности информационных активов.

Методологической основой исследования являются методы научного познания: принципы системного подхода, метод экспертных оценок, методы анализа и синтеза, индуктивный и дедуктивный методы исследования.

Обоснованность и достоверность полученных выводов и результатов подтверждается использованием значительного числа исследований отечественных и зарубежных авторов - специалистов в области оценки и управления информационными рисками хозяйствующих субъектов, а также результатов исследований по проблемам внутренних угроз информационным активам хозяйствующих субъектов, подтверждается внедрением полученных результатов в деятельность предприятий региона и в учебный процесс.

Предмет и объект исследования

Объектом исследования выступают информационные риски хозяйствующих субъектов.

Предметом исследования являются научно-методические аспекты оценки информационных рисков хозяйствующих субъектов.

Цель и задачи исследования

Цель диссертационного исследования заключается в развитии теоретических основ и разработке методических положений по оценке информационных рисков хозяйствующих субъектов.

Для реализации поставленной цели поставлены следующие задачи:

- уточнить понятие «информационных активов» как основной характеристики системы оценки информационных рисков хозяйствующего субъекта;

- определить место, роль, специфику системы оценки информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия;

- оценить существующие методические подходы к оценке информационных рисков для выявления возможностей совершенствования данной деятельности;

- выявить особенности организационного направления в деятельности по защите информационных активов и определить их влияние на создание и развитие системы защиты информационных активов хозяйствующего субъекта;

- разработать методические положения по совершенствованию деятельности в сфере оценки информационных рисков хозяйствующих субъектов;

- сформировать методический подход к оценке эффективности деятельности по защите информационных активов предприятия.

Основные результаты, полученные в процессе исследования:

- Обоснована роль информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия. В результате определения места, роли и специфики системы оценки информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия создана структурная модель системы информационной защищенности хозяйствующего субъекта (с.37-40).

- Оценены существующие методические подходы к оценке информационных рисков и определены основные тенденции развития систем информационной рискозащищенности хозяйствующих субъектов: противоречие в сфере обеспечения информационной безопасности, связанное с развитием и совершенствованием технической и программно-аппаратной защиты информации и недостаточным осознанием сущности, роли и изученности организационного направления защиты информационных активов; возрастающая тенденция внутренних угроз, исходящих от персонала (с.40-49, 54-76).

- Выявлены особенности и проблемы организационного направления в деятельности по защите информационных активов, заключающиеся в отсутствии квалифицированных кадров, несоблюдении установленных правил по обеспечению безопасности информационных активов, отсутствии методик по оценке надежности персонала, допущенного до ценных информационных ресурсов предприятия (с. 59-69).

- Разработан методический подход к оценке защищенности информационных активов хозяйствующего субъекта на основе учета информационных рисков. Предложена многофакторная модель оценки информационных рисков предприятия и методика определения степени надежности персонала, как составная часть методики оценки информационных рисков хозяйствующего субъекта (с.93-123).

- Определены основные направления по применению защитных мероприятий с целыо увеличения рискозащищенности информационных активов предприятия. Обоснованы их необходимость и преимущества по сравнению с существующими методиками. Сформирован методический подход к оценке эффективности деятельности по защите информационных активов предприятия (с.135-148).

Элементы научной новизны заключаются в следующем:

- Уточнено определение понятия «информационные активы предприятия». Отличие предлагаемого понятия от известных заключается в том, что в состав информационных активов предприятия необходимо включать ценные информационные ресурсы собственника, способные приносить экономическую выгоду. В данных ресурсах реализованы знания, умения и навыки персонала, полученные в ходе выполнения служебных обязанностей с использованием информационных технологий (с.25-28).

- Предложен подход к моделированию взаимосвязей между составляющими элементами системы информационной защищенности хозяйствующего субъекта на основе многофакторной модели оценки рисков информационной безопасности (с.29, 76-80).

- Усовершенствована методика оценки информационных рисков хозяйствующих субъектов, в части определения затрат на информационную безопасность, позволяющая определить зависимость между уровнем риска ожидаемых потерь, затратами на защиту информационных активов и получением эффекта от внедрения системы информационной безопасности (с.93-134).

Теоретическая и практическая значимость исследования заключается в развитии основных положений теории оценки рискозащищенности информационных активов хозяйствующих субъектов за счет систематизации и доведения их идей до методической проработанности. Практическая значимость исследования заключается в возможности выбора методики оценки информационных рисков хозяйствующих субъектов, оценки уровня затрат на обеспечение информационной защищенности предприятий с использованием методов и средств защиты информационных активов, оптимальных по эффективности и адекватных текущим целям и задачам деятельности хозяйствующих субъектов.

Апробация и внедрение результатов исследования. Основные теоретические и практические положения диссертации были апробированы на научных семинарах и научно-практических конференциях в 2005-2008 гг. в Байкальском государственном университете экономики и права, Иркутском государственном университете путей сообщений, Сибирском институте права, экономики и управления.

Основные результаты и рекомендации автора использованы на предприятиях Иркутской области при осуществлении работы по обеспечению сохранности информационных активов — в Управляющей компании «ЕВРААС» и в Управлении Россельхознадзора по Иркутской области.

Отдельные результаты исследования используются автором в процессе преподавания дисциплин: «Организационная защита информации», «Комплексные системы защиты информации на предприятии», «Экономика защиты информации» в Сибирском институте права, экономики и управления. Отдельные положения исследования применены автором при разработке учебной программы для слушателей Центра информационной безопасности в Иркутском государственном университете.

Основные положения диссертации, отражены автором в 14 научных публикациях объемом 19,94 п.л.

Структура и содержание работы. Цель и задачи исследования определили объем и структуру работы. Диссертация состоит из введения, трех глав, заключения, списка литературы и 8 приложений. Общий объем основного текста составляет 158 страниц, включая 22 рисунка и 20 таблиц. Список литературы содержит 138 наименований источников.

Диссертация: заключение по теме "Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда", Глухов, Николай Иванович

Выводы:

1. В основу разработанной автором методики оценки информационных рисков предприятия положена многофакторная модель оценки рисков, достаточно внимания уделено систематизации и моделированию взаимосвязей между показателями факторного анализа. Методика состоит из нескольких этапов, логически связанных между собой и последовательно реализуемых. В то же время следует отметить, что предложенные разработки являются достаточно адаптивными и могут применяться с учетом специфических особенностей деятельности хозяйствующего субъекта.

2. Учитывая особую значимость организационного направления в системе защиты информационных активов предприятия, необходимость оценки персонала с точки зрения его надежности, в рамках общей методики предложена частная методика данной оценки, которая включает использование разработанной анкеты, состоящей из трех разделов («Личностные качества», «Профессиональные качества», «Наличие компрометирующих материалов»), и применение балльного метода.

Следует учитывать, что степень надежности зависит от разных причин и может меняться в связи с изменением условий, возникновением нестандартных и особенно экстремальных, кризисных ситуаций. При необходимости предлагаемая методика может быть дополнена другими методами оценки.

3. Кроме выявления коэффициента риска проявления внутренних угроз информационным активам, исходящих от собственного персонала компании, в состав интегрального показателя «степень уязвимости информационных активов» автором предлагается внести показатели оценки надежности технических и программно-аппаратных средств обработки информации, а также организационно-режимных мер защиты с использованием программных комплексов анализа и управления рисками информационной системы «ГРИФ» и «КОНДОР».

4. Ценность защищаемых информационных активов предлагается определять экспертным методом, путем оценки степени возможного нанесения ущерба организации при неправомерном использовании рассматриваемой информации (т.е. в случае нарушения его конфиденциальности, целостности или доступности), как с точки зрения ассоциированных с ней возможных финансовых потерь, затрат на ликвидацию последствий, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д.

5. Эффективность оценки информационных рисков зависит от понимания и моделирования взаимосвязей между составляющими системы информационной безопасности. Для формирования модели информационной системы организации с точки зрения информационной безопасности предлагается учитывать следующие аспекты:

- описание и схему организационной структуры предприятия;

-описание структуры информационных активов и информационных потоков;

- объекты обработки и хранения ценной информации;

- группы пользователей и виды доступа к информации;

-описание и схему размещения используемых каналов связи, комплекса программно-технических средств, схему подключения к сетям и т.п.,

- виды угроз;

- средства защиты, а также наличие уязвимостей в информационной системе.

6. Для оценки затрат на обеспечение информационной защищенности хозяйствующего субъекта автором предлагается использовать метод расчета ежегодных сбережений в результате проведения мероприятий по защите информационных активов.

ЗАКЛЮЧЕНИЕ

В процессе изучения проблемы совершенствования методики оценки информационных рисков хозяйствующих субъектов, сложилось достаточно четкое понимание того, что весь комплекс вопросов, касающихся экономических аспектов рискозащищенности информационных активов предприятия, является предметом междисциплинарного исследования. Задачи, поставленные в процессе исследования проблем, были полностью решены.

Во главу угла исследования были поставлены важнейшие принципы информационной безопасности: законность осуществления защитной деятельности и мероприятий по выявлению и предотвращению правонарушений в информационной сфере; непрерывность реализации и совершенствования средств и методов контроля и защиты информационной системы; экономическая целесообразность, т.е. сопоставимость возможного ущерба и затрат на обеспечение защищенности информации; комплексность использования всего арсенала имеющихся средств защиты.

В результате работы определен авторский подход к исследованию сущности информации, информационных активов и информационного менеджмента. Уточнено понятие «информационных активов» в качестве основной характеристики системы оценки информационных рисков хозяйствующего субъекта, отличающееся от известных в научной литературе тем, что информационные активы предприятия включают в себя ценные информационные ресурсы собственника, способные приносить экономическую выгоду, в которых реализованы знания, умения и навыки персонала, полученные в связи с выполнением служебных обязанностей и реализованные с использованием современных информационных технологий.

Определена специфика, место и роль системы оценки информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия, которая как подсистема входит в комплексную систему защиты хозяйствующего субъекта, в свою очередь, сама система управления безопасностью информационных активов состоит из нескольких подсистем.

Проанализированы современные методические подходы к обеспечению информационной защищенности хозяйствующих субъектов, что позволило выявить следующие основные тенденции в сфере информационной защищенности:

- приоритетность комплексной системы защиты информационных активов предприятий:

- возрастающую тенденцию внутренних угроз, исходящих от сотрудников организаций (инсайдеров);

- возрастающую сложность информационных рисков;

- противоречие в сфере обеспечения информационной защищенности, которое связано, с одной стороны, с достаточно детальным изучением и проработанностью вопросов технической и программно-аппаратной защиты информационных систем и крупными финансовыми вложениями в технические средства защиты, с другой стороны, с недостаточным осознанием сущности, роли и изученности организационной защиты информации.

В связи с этим, в работе раскрыты основные аспекты организационного направления в деятельности по защите информационных активов предприятия. На основе исследования возможностей этого направления информационной защищенности как одного из основных в системе управления информационной защищенностью предприятия, автором основное внимание сосредоточено на одном из ведущих направлений в организационной защите - работе с персоналом, определении его надежности, а также, информационно-аналитической деятельности по выявлению угроз информационным активам и управлению информационными рисками.

Предложена усовершенствованная методика оценки информационных рисков хозяйствующего субъекта, состоящая из следующих этапов: 1) подготовительного этапа; 2) этапа анализа рисков информационной безопасности (состоящего из нескольких этапов: идентификации и классификации информационных активов; определения ценности информационных активов; оценки угроз информационным активам; этапа оценки уязвимости информационных активов); 3) этапа управления информационными рисками предприятия; 4) этапа создания комплексной системы защиты информационных активов хозяйствующего субъекта; 5)этапа реализации программы обеспечения информационной безопасности; 6) этапа анализа эффективности вложений в информационную безопасность.

Определен авторский подход к моделированию взаимосвязей между составляющими элементами системы защищенности информационных активов, предложена многофакторная модель оценки рисков информационной безопасности хозяйствующего субъекта.

Предложена усовершенствованная методика оценки информационных рисков предприятия, как составная часть методики управления безопасностью информационных активов хозяйствующего субъекта.

В исследовании автором был сделан акцент на организационные меры, которые являются решающим звеном формирования и реализации комплексной системы защиты информации. В связи с этим, предложена методика определения степени надежности персонала, как составная часть общей методики оценки информационных рисков хозяйствующего субъекта.

В результате внедрения методики автором были разработаны основные направления по применению защитных мероприятий с целью увеличения рискозащищенности информационных активов предприятия (организационные и программно-технические мероприятия). Это послужило базой для проведения оценки затрат на обеспечение информационной безопасности и определения эффекта от внедрения защитных мероприятий.

Для проведения анализа эффективности вложений в информационную защищенность предложен метод расчета ожидаемых потерь от реализации различных видов угроз.

В ходе проведения исследования были получены определенные научные результаты и выявлена научная новизна по исследуемой проблеме.

Теоретическая и практическая значимость исследования заключаются в том, что предложенный методический подход к оценке защищенности информационных активов предприятия с учетом информационных рисков полезен не только в качестве учебного и аналитического материала в учебном процессе высшей школы, но и может применяться в качестве методического инструментария в управленческой практике отдельных хозяйствующих субъектов.

Автор настоящей диссертационной работы далек от мысли о том, что им поставлены и разрешены все имеющие научно-практическое значение задачи, исследования проблем, связанных с совершенствованием методики оценки информационных рисков хозяйствующих субъектов, на основе современных теоретических, методических подходов и инструментария для анализа информационной защищенности хозяйствующего субъекта, но надеется, что сформулированные в диссертации положения могут быть использованы в качестве методической основы для дальнейших научных исследований по проблеме поиска путей совершенствования оценки информационных рисков хозяйствующих субъектов.