Теория и методология организации инфраструктуры защиты информации на промышленном предприятии тема диссертации по экономике, полный текст автореферата
- Ученая степень
- доктора экономических наук
- Автор
- Стельмашонок, Елена Викторовна
- Место защиты
- Санкт-Петербург
- Год
- 2005
- Шифр ВАК РФ
- 08.00.05
Автореферат диссертации по теме "Теория и методология организации инфраструктуры защиты информации на промышленном предприятии"
На правах рукописи
СТЕЛЬМАШОНОК ЕЛЕНА ВИКТОРОВНА
ТЕОРИЯ И МЕТОДОЛОГИЯ ОРГАНИЗАЦИИ ИНФРАСТРУКТУРЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ
Специальности: 08.00.05 - Экономика и управление народным
хозяйством: экономика, организация и управление предприятиями, отраслями, комплексами (промышленность);
08.00.13 - Математические и инструментальные методы экономики
АВТОРЕФЕРАТ диссертации на соискание ученой степени доктора экономических наук
Санкт-Петербург 2005
Работа выполнена на кафедре информационных систем в экономике ГОУ ВПО «Санкт-Петербургский государственный инженерно-экономический университет».
Научный консультант:
доктор экономических наук, профессор Соколов Роман Владимирович
Официальные оппоненты:
Ведущая организация:
доктор экономических наук, профессор Кобзев Владимир Васильевич
доктор экономических наук, профессор Кукор Борис Леонидович
доктор экономических наук, профессор Емельянов Александр Анатольевич
ФГОУ ВПО «Санкт-Петербургский государственный университет»
Защита состоится «7» февраля 2006 года в 13 часов на заседании диссертационного совета Д 212.219.03 при ГОУ ВПО «Санкт-Петербургский государственный инженерно-экономический университет» по адресу: 191002, Санкт-Петербург, ул. Марата, 27, ауд. 324.
С диссертацией можно ознакомиться в библиотеке ГОУ ВПО «Санкт-Петербургский государственный инженерно-экономический университет» по адресу: 196084, Санкт-Петербург, Московский пр., д. 103 а. --------------- -------- ----------------------
Автореферат разослан 28 декабря 2005 года.
Ученый секретарь диссертационного совета, кандидат экономических наук, доцент _--- Т.А. Фомина
I. Общая характеристика работы Актуальность темы исследования
Информатизация является характерной чертой жизни современного общества. Новые информационные технологии активно внедряются во все сферы национальной экономики. Сегодня высшее руководство любого промышленного предприятия по существу имеет дело с корпоративной информацией, на основе которой оно и принимает решения. Такая информация должна соответствовать требованиям актуальности, достоверности, структурированности, и если надо - конфиденциальности.
Усложнение средств, методов, форм автоматизации процессов обработки информации повышает зависимость промышленных предприятий от степени безопасности используемых ими информационных технологий, при этом качество информационной поддержки управления напрямую за-висйт от организации инфраструктуры защиты информации.
Данные мировой и российской статистики свидетельствуют о тенденции роста масштаба компьютерных злоупотреблений, приводящих к значительным экономическим потерям хозяйствующих субъектов различного уровня. Так, количество компьютерных преступлений в России выросло за последние семь лет приблизительно в 140 раз (с 100 в 1997 году до 13700 в 2004 году со среднегодовым темпом роста 88,2%). Ущерб от компьютерных злоупотреблений в мире ежегодно возрастает на 35%, и в 2004 году составил 411 млрд. долл. США, средняя сумма потерь от одного компьютерного преступления составляет 560 тыс. долл. США. При анализе имеющихся статистических данных в области компьютерных преступлений необходимо учитывать латентность (сокрытие компаниями) информации о компьютерных злоупотреблениях. В России это число достигает 90%. Тем не менее, имеющиеся тенденции заставляют вносить изменения в стратегии развития компаний и требуют более обоснованной организации инфраструктуры защиты информации.
Анализ результатов исследований, ведущихся в направлении обеспечения информационной безопасности информационных технологий показывает, что в настоящее время не полностью решены вопросы научного обоснования структуры системы защиты информации. В первую очередь это касается инфраструктуры защиты бизнес-процессов, которые в свете современных тенденций организации бизнеса играют решающую роль в достижении успеха хозяйствующим субъектом.
Отмеченные обстоятельства обусловливают противоречие между насущной необходимостью научного обоснования концепции построения инфраструктуры защиты информации бизнес-процессов и возможностями теоретико-методологических решений, обеспечивающих это обоснование.
При этом необходимо учитывать, что процессный подход к организации и управлению хозяйственной деятельностью предприятия требует
применения процессно-ориентированного подхода и к формированию самой инфраструктуры защиты информации бизнес-процессов. Процессно-ориентированный подход к созданию (совершенствованию) инфраструктуры защиты информации бизнес-процессов позволит рассматривать процесс формирования (развития) системы защиты информации как один из вспомогательных процессов, обеспечивающих основные процессы предприятия. Это дает возможность разработки инфраструктуры защиты информации в тесной взаимосвязи с проектированием других бизнес-процессов, что несомненно увеличит их интегрированность, гибкость, сбалансированность и управляемость.
Для блокирования и предупреждения наиболее вероятных информационных угроз на промышленном предприятии должна функционировать такая инфраструктура защиты информации, которая ориентирована на поддержку бизнес-процессов с учетом структуры информационных активов промышленного предприятия, а в силу ограниченности финансовых ресурсов у предприятия инфраструктура защиты информации должна формироваться экономически обоснованно.
В то же время в отечественной и зарубежной теории и практике отсутствует целостная методология организации инфраструктуры защиты информации, рассматриваемая через призму процессного подхода к управлению промышленным предприятием.
Таким образом, потребность разрешения существующих противоречий в теории и практике создания систем защиты информации требует дальнейшего развития этих систем и, в частности, инфраструктуры защиты информации бизнес-процессов на промышленном предприятии, что подтверждает актуальность темы диссертационной работы.
Все сказанное определило цели и задачи диссертационного исследования.
Целыо исследования является разработка теории и методологии организации экономически обоснованной инфраструктуры защиты информации на промышленном предприятии на основе использования перспективных концепций обеспечения информационной безопасности и процессного подхода к организации управления, моделей и математических методов.
Для достижения данной цели в диссертационном исследовании были поставлены и решены следующие задачи:
• разработка теоретических и методологических основ организации инфраструктуры защиты информации на промышленном предприятии;
• анализ связи современных концепций производственного менеджмента с инфраструктурой защиты информации;
• обоснование требований к инфраструктуре защиты информации на промышленном предприятии;
• уточнение понятия информационных активов промышленного предприятия;
• определение путей влияния инфраструктуры защиты информации на основные показатели производственно-хозяйственной деятельности промышленного предприятия;
• обоснование принципов организации инфраструктуры защиты информации;
• разработка концептуальной модели инфраструктуры защиты информации;
• анализ состава затрат на создание инфраструктуры защиты информации промышленного предприятия;
• обоснование системы показателей информационной безопасности;
• разработка комплекса математических моделей оценки и оптимизации инфраструктуры защиты информации бизнес-процессов на промышленном предприятии;
• построение имитационной модели функционирования инфраструктуры защиты информации;
• выработка практических рекомендаций по организации инфраструктуры защиты информации и системы мониторинга безопасности информационных активов промышленного предприятия.
Объектом исследования являются процессы управления промышленным предприятием и их информационная поддержка.
Предметом исследования являются теоретические и методологические положения, модели и методы организации инфраструктуры защиты информации, реализуемой в рамках современного процессно-ориентированного подхода к управлению производственно-хозяйственной деятельностью предприятия.
Теоретико-методологической базой исследования послужили труды российских и зарубежных ученых и специалистов по вопросам теории организации, теории производственного менеджмента, методологии применения информационных систем в экономике и теории защиты информации.
Методы исследования. Решение поставленных задач осуществляется с применением системного и структурного анализа, методов экономико-математического моделирования и инструментальных методов, теории вероятностей и математической статистики, теории игр, теории нечетких множеств.
Научная новизна диссертационного исследования состоит в разработке теории и методологии, моделей и методических положений органи-
зации инфраструктуры защиты информации бизнес-процессов на промышленном предприятии.
Получены следующие основные научные результаты:
1. На основе определения закономерностей влияния информационной инфраструктуры на реализацию бизнес-процессов и выявления тенденций развития информационных активов промышленного предприятия сформированы основные принципы функционирования инфраструктуры защиты информации и определены структурные особенности информационных активов.
2. Уточнено понятие информационных активов промышленного предприятия с учетом инфраструктуры защиты информации.
3. Разработаны теоретические и методологические положения организации инфраструктуры защиты информации на промышленном предприятии в соответствии с требованиями процессного подхода к управлению.
4. Сформулированы принципы организации инфраструктуры защиты информации, поддерживающей бизнес-процессы на промышленном предприятии, являющиеся основой методологии формирования инфраструктуры защиты информации.
5. Предложена концептуальная модель инфраструктуры защиты информации на промышленном предприятии, учитывающая требования и принципы ее организации.
6. Разработана система показателей информационной безопасности, позволяющая оценивать степень информационной защищенности бизнес-процессов как по отдельным свойствам инфраструктуры защиты информации, так и в целом.
7. Разработана система математических моделей оценки инфраструктуры защиты информации, включающая в себя модели:
• оценки защищенности от несанкционированного доступа к информации бизнес-процесса, от перехвата при передаче (приеме), а также хищения носителей информации, от случайных помех и сбоев аппаратно-программных средств, от йесанкционированного вмешательства в бизнес-процесс;
• формирования комплексного показателя защищенности;
• оптимизации показателей защищенности;
• выбора наиболее целесообразного варианта инфраструктуры защиты информации.
8. Разработана имитационная модель функционирования инфраструктуры защиты информации как инструментальный метод оценки и прогнозирования уровня защищенности информации на промышленном предприятии.
9. Предложена система мониторинга безопасности информационных активов промышленного предприятия, направленная на оценку и
анализ текущих значений разработанной системы показателей информационной безопасности, а также выработку необходимых корректирующих воздействий на инфраструктуру защиты информации. Практическая значимость заключается в том, что предложенные в диссертации результаты исследований могут быть использованы при разработке инфраструктуры защиты информации, обеспечивающей повышение экономической эффективности работы промышленного предприятия. С помощью выполненных разработок процесс формирования инфраструктуры защиты информации приобретает научно обоснованный характер. Разработанная система моделей и механизмов их реализации в условиях промышленного предприятия позволяет сформировать рациональную инфраструктуру защиты информации в соответствии с предложенными экономическими и функциональными критериями и ограничениями.
Достоверность научных результатов и обоснованность научных положений, выводов и рекомендаций обеспечивается полнотой анализа теоретических и практических разработок, положительной оценкой на научных конференциях и семинарах, практической проверкой и внедрением результатов исследования на ряде промышленных предприятий, а также положительными отзывами на отчеты о НИР, в которые включены основные результаты исследований.
Апробация работы. Основные положения диссертационного исследования, полученные на всех стадиях его проведения, докладывались и обсуждались на конференциях различного уровня:
Международная научно-практическая конференция «Экономика и менеджмент: проблемы и перспективы» (Санкт-Петербург, 2005 г.),
III международная научно-практическая конференция «Экономика и промышленная политика России» (Санкт-Петербург, 2004 г.),
IV международная научно-практическая конференция «Актуальные проблемы экономики и новые технологии преподавания (Смирновские чтения» (Санкт-Петербург, 2005 г.),
ITIB 2005 Information Technology in Business 2nd Conference (Saint-Petersburg, 2005),
Международная методическая и научно-практическая конференция «Экономические и управленческие технологии XXI века: теория и практика, подготовка специалистов», 9-11 ноября 2005 г. (Санкт- Петербург, 2005 г.),
Всероссийская научно-практическая конференция «Обучение и воспитание: путь к самостоятельному мышлению специалиста» (Санкт- Петербург, 2005 г.),
Ежегодная региональная научно-практическая конференция студентов и аспирантов «Молодежь, образование, и наука в XXI веке» (Санкт-Петербург, 2004 г.),
Межвузовская научно-практическая конференция «Инновации и инвестиции в экономике России» (Санкт- Петербург, 2005г.),
Региональная научно-практическая конференция «Проблемы экономического образования студентов технических вузов» (Санкт- Петербург, 2004 г.).
Важнейшие положения диссертации использовались при выполнении научно-исследовательской работы «Теоретические и методологические подходы к определению ценности информационных ресурсов при решении проблемы информационной безопасности в компьютерных системах» (Отчет по гранту № ГО 2-4.1-15).
Результаты исследований реализованы в СПбГИЭУ и используются в учебном процессе при проведении занятий по дисциплинам: «Защита информации», «Информационная безопасность», «Информационная безопасность и защита информации», «Информационные технологии в управлении качеством и защита информации».
Публикации. По теме диссертации опубликованы монография, учебник, практикум, 4 учебных пособия, 30 статей в изданиях центральной и ведомственной печати, подготовлено 10 тезисов выступлений на конференциях и семинарах, проводимых в г. Санкт- Петербурге общим объемом авторских 49 п.л.
Структура и объем работы. Диссертация состоит из введения, шести глав, заключения и двух приложений, изложенных на 352 листах машинописного текста, содержит 73 рисунка и 39 таблиц. Объем приложений 46 листов. Список литературы включает 226 наименований.
II. Основное содержание работы
В первом разделе проанализированы тенденции и закономерности развития инфраструктуры защиты информации на промышленном предприятии, а также идентифицирована проблема ее совершенствования.
В частности, по результатам проведенного анализа установлено, что наряду с производственной и социальной инфраструктурами следует выделять информационную инфраструктуру, обеспечивающую информационными ресурсами все уровни управления предприятием.
Под информационной инфраструктурой, по мнению автора, следует понимать не только совокупность программно-технических средств и организационно-административных мероприятий, обеспечивающих в совокупности безопасную обработку данных и информационное обеспечение бизнес-процессов внутри предприятия, адекватные возможности по обмену информацией с внешними организациями, но и информационные системы и сети, научно-техническое обеспечение, технические библиотеки и саму обрабатываемую информацию.
Конструирование бизнес- системы невозможно без информационной инфраструктуры, важной составляющей которой является защита информационных активов в составе активов предприятия.
Поддержка и защита системы управления предприятием подразумевает прежде всего поддержку и защиту самих бизнес-процессов и развитие инфраструктурной составляющей бизнес- системы и, в частности, информационной, за счет преодоления инфраструктурной и информационной разобщенности подразделений предприятия. Инвестиции в управление бизнес-процессами могут приносить значительные доходы за счет повышения эффективности работы и ускорения бизнес-процессов, а также за счет повышения рыночной стоимости компании в части ее нематериальных активов: информационных в инфраструктурной составляющей нематериальных активов.
Обобщение результатов исследований позволило выделить основные перспективные направления процессного подхода, что послужило базисом для формирования новой методологии оценки и оптимизации инфраструктуры защиты информации бизнес-процессов.
Необходимость создания оптимальной инфраструктуры современных промышленных предприятий обусловлена жесткими требованиями рыночной конкуренции, которые заставляют компании оценивать и внедрять новые методики оптимизации как основной бизнес- деятельности предприятия, так и в области информационных технологий и интеллектуальной собственности. Особое значение при этом имеет информационная инфраструктура промышленных предприятий, так как ошибки, допущенные при ее формировании и неумение подстраиваться под новые правила, диктуемые рынком, могут повлечь значительные финансовые потери.
В диссертации установлено, что понятие информационных активов следует использовать в широком смысле, включив в него все техническое и программное обеспечение, патенты, торговые марки и все то, что позволяет работникам предприятия реализовать свой производственный потенциал, а также отношения, сложившиеся между компанией и ее крупными клиентами, государственными структурами, другими хозяйственными объектами.
Защита информационных активов заключается в поддержании целостности, доступности н, если требуется, конфиденциальности информации в бизнес- системах.
Проведенный анализ возможных угроз показал, что информационная инфраструктура должна обладать свойством защищенности информации, используемой в бизнес-процессах. Данное свойство характеризует способность обеспечивать защиту от несанкционированного (преднамеренного ^ или случайного) получения, изменения, уничтожения или использования
коммерческой, служебной или технологической информации.
С учетом компонентов бизнес-процесса, а также их взаимосвязей, к потенциально опасным ситуациям, которые могут возникнуть при низком уровне защищенности информации, относятся:
• несанкционированный доступ нарушителей (не владельцев и участников) к информации, хранящейся и обрабатываемой в средствах автоматизации, с целью ознакомления, искажения или уничтожения. Точками входа при этом могут быть интерфейсы и границы процесса, а также информация, необходимая для реализаций функций (операций, процедур) процесса;
• перехват информации при ее приеме (передаче) по каналам связи (сети) функциями процесса, а также за счет хищения носителей информации;
• уничтожение (изменение, искажение) информации за счет случайных помех, сбоев технических (программных) средств при передаче, хранении и обработке информации;
• несанкционированное влияние на бизнес-процесс нарушителей из числа владельцев и (или) участников процесса.
В соответствии с Руководящими Документами Гостехкомиссии для обеспечения информационной защищенности определены типовые требования к функциям инфраструктуры защиты информации на промышленном предприятии. Эти требования составляют функциональную основу инфраструктуры защиты информации, т. е. определяют обязательный состав функций по. соответствующим подсистемам защиты. Однако процессный подход к организации и управлению хозяйственной деятельностью предприятия обуславливает необходимость применения процессно-ориентированного подхода и к формированию самой инфраструктуры защиты информации бизнес-процессов. С учетом рассмотренных особенностей, структуры и возможностей процессного подхода инфраструктура защиты информации должна обеспечивать:
• ориентацию всех процессов защиты на главный конечный результат - обеспечение необходимого уровня защиты информации;
• выявление, локализацию и устранение последствий реализации всех возможных видов угроз;
• интеграцию функций защиты в единый автоматизированный процесс; ..............
• интеграцию централизованного и ресурсосберегающего управления защитой информации;
• регламентацию процессов защиты по приоритету, срочности, рискам и т.д.;
• независимость реализации политики безопасности от организационной структуры предприятия;
• реализацию планово-предупредительной деятельности по обеспечению защиты информации бизнес-процессов;
• определение и разграничение ответственности конкретных мер и средств защиты за предотвращение конкретных видов угроз;
• возможность точного определения результатов функционирования (учет и отчетность по каждому виду угроз, мониторинг текущего состояния, прогноз развития процессов, оценка рисков и т.д.);
• возможность развития и оптимизации процессов защиты на основе самоконтроля и самонастраиваемости;
• возможность адаптации к изменяющейся информационной инфраструктуре предприятия;
• минимально возможное количество уровней в иерархии управления системой защиты информации;
• по возможности простые и удобные в эксплуатации меры и средства защиты.
Процессно-ориентированный подход к созданию (совершенствованию) инфраструктуры защиты информации бизнес-процессов позволит рассматривать процесс формирования (развития) системы защиты информации как один из вспомогательных бизнес-процессов, обеспечивающих основные процессы предприятия. Это дает возможность разработки инфраструктуры защиты информации в тесной взаимосвязи с проектированием других бизнес-процессов, что несомненно увеличит их интегриро-ванность, гибкость, сбалансированность и управляемость.
На основе оценки влияния возрастающих возможностей новых информационных технологий на поддержку и защиту бизнес-процессов, состояния существующей организации информационной безопасности, реализации требований к инфраструктуре защиты информации и требований стандартов информационной безопасности в современных бизнес - системах сформулирована научная проблема, решаемая в диссертации (рис.1).
Научная проблема заключается в разработке теории и методологии организации инфраструктуры защиты информации на промышленном предприятии как целостной системы концептуальных положений, методов, моделей, алгоритмов и практических рекомендаций, обеспечивающих научное обоснование и сопровождение процесса создания системы защиты.
Решение всех задач, связанных с созданием и организацией систем защиты информации на объекте, должно осуществляться на основе единой унифицированной методологии, обеспечивающей построение оптимальных систем защиты с количественными оценками получаемых решений.
Решение сформулированной проблемы позволит обоснованно подходить к организации инфраструктуры защиты информации бизнес-процессов на промышленном предприятии, а также осуществлять синтез системы защиты информации.
инфраструктуры защиты информации.
Во втором разделе обоснованы принципы обеспечения информационной безопасности, разработана концептуальная модель инфраструктуры защиты информации бизнес-процессов, сформирована система показателей информационной безопасности.
Так, в частности установлено, что организация инфраструктуры защиты информации бизнес-процессов производится в соответствии со следующими принципами:
• системности,
• комплексности,
• непрерывности защиты,
• разумной достаточности,
• гибкости управления и применения,
• простоты применения защитных мер и средств.
На основе сформулированных принципов, с учетом типовых требований к инфраструктуре защиты разработана концептуальная модель инфраструктуры защиты информации бизнес-процессов, показанная на рис.2.
Данная модель раскрывает основные функциональные возможности инфраструктуры защиты информации с учетом внешних негативных воздействий на информационные ресурсы.
С другой стороны, для реализации основной функции, показанной на рис.2, (обеспечить защиту), учитывая характер возможных угроз, система защиты информации должна обладать определенными свойствами, что отражено в нотациях иМЬ (универсального языка моделирования).
I.
Персонал
. У Интерфейс V '
. ч ч пользователя б '
/ Системный \ 4
\ интерфейс £ ' *' - *; ' *
Бизнес-приложения
Внешние приложения
Нарушители
Кр ил тогра фи ч ее кал
* ., - подсистема
Рис. 2. Концептуальная модель инфраструктуры защиты информации
бизнес-процессов.
Математически это может быть сформулировано в следующем виде:
(1)
/еДГ
. (2)
¡'е№
где:
Я — обобщенный показатель оценки качества инфраструктуры защиты информации (обобщенный коэффициент защищенности, показывающий уровень отражения атак по всей совокупности возможных угроз);
г,- — /-й частный показатель оценки качества инфраструктуры защиты информации (частный коэффициент защищенности, показывающий, какая часть атак угрозы 1-го вида отражается) , 0 < / < 1;
N — множество частных показателей оценки качества, сводимых в обобщенный показатель;
Кг~ весовой коэффициент /-го частного показателя качества в аддитивной свертке.
Коэффициент защищенности бизнес-процесса Я6.п может быть представлен выражением:
Ирь ХЛа^С1
£ рь
ЬеВ ¡еМь
где:
Nb- количество наиболее вероятных информационных угроз для Ь-ой бизнес- операции;
r¡ - коэффициент защищенности от i —ой угрозы; Яц, -интенсивность потока атак i -го вида угроз на 6-ую бизнес-операцию (/' е N/j), для i & Nb A/¿ = 0;
tb— время выполнения ¿-ой бизнес — операции; В - количество бизнес-операций в бизнес-процессе; рь -вероятность выполнения бизнес-операции Ъ в бизнес-процессе.
При этом постановка задачи оптимизации может иметь следующий вид: Модель минимизации затрат на инфраструктуру защиты информагщи. Данная модель может быть представлена в виде задачи целочисленного программирования с булевыми (двоичными) переменными.
Пусть Ху = 1, если i-e средство защиты информации разработчик выбирает для защиты го информационного актива и " - в противном случае (при этом допускается, что i-e средство используется для защиты от /-ой угрозы). Требуется минимизировать затраты
S £ sijxij+ Zsiy¡->min (4)
iel jeJ iel
при соблюдении ряда ограничений
Z Z ajryXfj > Róon (5)
iel jeJ
= 1 , у/ e у
XíjG
"I (6)
1, если 2>,>0
У! = 1 & (7)
[О, в противном случае
{0;1} (8)
В модели (4) - (8) приняты следующие обозначения: Би - затраты на защиту у-го информационного актива /-м средством; Я/— затраты, общие"для всех информационных активов, на защиту /-м средством;
I— множество средств защиты информации;
У- множество защищаемых информационных активов
Гц - оценка качества защиты /- м средством у'-го информационного актива;
а/ - весовой коэффициент у-го информационного актива в общей оценке
инфраструктуры защиты информации,
= 1 (9)
Ядоп - допустимый уровень качества инфраструктуры защиты информации в целом.
yi - двоичная переменная, принимающая значение "Iй, если /-е средство защиты информации может быть использовано в инфраструктуре защиты информации, и "О" - в противном случае, причем 1-е средство защиты в системе может быть использовано только один раз.
Ограничение (6) обеспечивает обязательность защиты у'-го информационного актива.
Модель максимизации уровня защищенности информационных активов. Данная модель описывает альтернативную задачу по отношению к раннее рассмотренной исходной задаче. В этом случае ограничение на уровень качества защиты информации становится критерием, а критерий исходной задачи - ограничением.
Я = Е X а]гуху->шах (Ю)
/еТ/еУ
Таким образом, в данной модели требуется максимизировать уровень качества СЗИ при соблюдении следующих ограничений:
£!£//*// + (п)
/е/ у'еУ /е/
]Гх,у=1, V/еУ (12)
»6/
Ух
хи
1, если хп- > 0
(13)
0, в противном случае {0;1} (14)
где 8доп - допустимая стоимость системы защиты информации. Выбор оптимальной системы защиты информации должен основываться только на множестве недоминированных вариантов. Иными словами, увеличение затрат на защиту информации должно сопровождаться повышением качества защиты.
Целесообразно совместное использование предлагаемых моделей. Так, при ограничении на допустимые затраты на защиту может быть найдено максимальное значение качества инфраструктуры защиты информации. Однако в некоторых случаях эта задача может иметь не одно, а несколько решений (профилей защиты). Для выбора того решения, из числа найденных оптимальных решений, которое требует минимальных затрат на защиту следует решить вторую задачу. В ней в качестве ограничения должно присутствовать найденное в первой задаче значение качества инфраструктуры защиты информации.
Рис. 3. Взаимосвязь свойств инфраструктуры защиты информации
бизнес-процессов.
В концептуальной модели инфраструктуры защиты информации предусмотрено, что наряду с реализацией основных функций защиты, определяемых типовыми требованиями, система должна обладать свойствами, обеспечивающими защиту от основных угроз. Следовательно, система показателей информационной безопасности должна базироваться на оценке свойств системы защиты, показанных на рис. 3. При этом система показателей должна обеспечивать оценку как по частным свойствам, так и комплексную оценку информационной безопасности в целом, что показано на рис.4.
Рис. 4. Взаимосвязь обобщенных показателей защиты информации и комплексного показателя информационной защищенности
бизнес-процессов.
Анализ информационной инфраструктуры бизнес-процессов, условий их реализации, а также вероятных угроз позволил сформировать систему показателей информационной безопасности бизнес-процессов, представленную на рис. 5.
Рис. 5. Основные показатели информационной безопасности.
Наряду с количественной оценкой защищенности бизнес-процессов необходимо учитывать ценность информационных ресурсов бизнес-процессов.
Оценка инфраструктурной части промышленного предприятия должна являться составной частью оценки бизнеса в целом.
Для учета специфики российских компаний оценку стоимости информационных активов целесообразно проводить затратным методом.
При этом обычно выделяют единовременные и текущие затраты. ЬС единовременным относятся затраты на формирование политики безопасности предприятия: организационные затраты и затраты на приобретение и установку средств защиты. Неизбежные затраты — это те, которые необходимы даже если уровень угроз безопасности достаточно низкий. Это затраты на поддержание достигнутого уровня защищенности информационной среды предприятия.
Общие затраты на безопасность складываются из затрат на предупредительные мероприятия, затрат на контроль и восполнение потерь (внешних и внутренних). С изменением уровня защищенности информационной среды изменяются величины составляющих общих затрат и, соответственно, их сумма — общие затраты на безопасность. В ряде случаев не включаются единовременные затраты на формирование политики информационной безопасности предприятия, если такая политика уже выработана.
При оценке затрат на систему безопасности на любом предприятии необходимо учитывать процентное соотношение общих затрат на безопасность и общего объема продаж.
Основным показателем экономической эффективности затрат на инфраструктуру защиты информации промышленного предприятия, как любого инвестиционного проекта является чистая приведенная стоимость (ЫРУ) в заданный период времени Г:
нру=1т-ьо№)_к (15)
/=1 (1 + ЕУ
где:
Д//, (Я)- изменение входного денежного потока доходов в ¿-й подпе-риод с учетом проведения мероприятий по защите информации;
До/, (Я) - изменение выходного денежного потока расходов с учетом проведения мероприятий по защите информации;
Кц - внеоборотные и оборотные информационные активы инфраструктуры защиты информации;
Е - годовая норма прибыли на капитал.
Организация инфраструктуры защиты информации на промышленном предприятии влияет на результаты его хозяйственной деятельности и должна отвечать следующим граничным условиям (табл. 1).
Таблица 1.
Граничные условия эффективности затрат на инфраструктуру защиты
информации
Основные показатели хозяйственной деятельности предприятия Граничные условия
Прибыль годовая АП(Я)>Ск+Е'Кк
Стоимость предприятия (доходный подход) Т ift + Ai/t (R) - oft - Aofi (R) ( PVT+APVT(R)>^ if, - of, ( PVr /=1 (! + £)' Q + E)T /=1Q + E? (1 + E)T
Рентабельность П + АП(Я)-СК ^ П &nP + KR ~&nP
где:
&П(Я) _ ГОдОВОй прирост прибыли в результате мероприятий по защите информации;
прибыль при условии проведения мероприятий по защите информации за год;
П - прибыль в условиях отсутствия защиты информации (базовый вариант) за год;
О?
- годовые эксплуатационные затраты на защиту информации;
Фпр — стоимость производственных фондов;
PVт — прогнозная стоимость предприятия в Г-ый год(базовый вариант) в условиях отсутствия мероприятий по защите информации;
APVt(R) — прогнозная стоимость предприятия с учетом проведения мероприятий по защите информации;
ift-входной денежный поток;
ofr выходной денежный поток;
Aifг изменение входного денежного потока в i-ый год с учетом проведения мероприятий по защите информации;
Аofr изменение выходного денежного потока в /-ый год с учетом проведения мероприятий по защите информации.
В третьем разделе разработаны модели и методы оценки и оптимизации формирования инфраструктуры защиты информации бизнес-процессов. ,
Качественный уровень формируемой инфраструктуры защиты информации нам промышленном предприятии определяется комплексным показателем информационной защищенности, построенном на основе оптимизации частных показателей информационной защищенности.
В соответствии с концептуальной моделью принципиальная задача формирования инфраструктуры защиты информации на промышленном предприятии может быть сформулирована в двух постановках:
R~RmP ; (16)
S —> min ,
R —» шах ;
(17)
° - ° доп »
где R — комплексный показатель информационной защищенности, Rmp — показатель информационной защищенности требуемого уровня, S — ресурсы на защиту информации в стоимостном выражении.
Очевидно, что целям создания надежной инфраструктуры защиты информации соответствует постановка (16), т. к. именно она обеспечивает требуемый уровень информационной защищенности бизнес-процессов. При этом предполагается, что выделяемые ресурсы будут, по возможности, минимизированы, но их в любом случае будет достаточно для обеспечения условия R > Rmp.
Однако практика показывает, что построение инфраструктуры защиты информации проходит, как правило, в условиях фиксированного выделения финансовых ресурсов, что в общем случае может и не обеспечить требуемый уровень защищенности. Поэтому задача формирования инфраструктуры защиты информации заданного уровня может быть сформулирована на основе синтеза постановок (16-17). В этом случае имеет место поэтапное решение задачи.
В каждом отдельном случае (на каждом конкретном предприятии) стоимость (ценность) информационных активов, а значит и ущерб от реализации информационных угроз могут различаться в абсолютных значениях, однако это не значит, что относительная ценность информационных активов для каждого отдельного предприятия различна. Поэтому комплексный показатель информационной защищенности, смысл которого заключается в средневзвешенной вероятности отражения информационных угроз, может иметь вполне определенное значение.
Комплексный показатель информационной защищенности в интервалах, установленных методом половинного деления, может быть определен на основании данных табл. 2.
Таблица 2.
Характеристика значений комплексного показателя _информационной защищенности_
Знамение комплексного показателя информационной защищенности (II) Характеристика состояния системы информационной безопасности
Менее 0,50 Слабая защита Блокируется незначительная часть угроз. Потери очень значительны. Фирма за короткий период (до года) теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы
0,51-0,75 Средняя защита Не отраженные информационные угрозы приводят к значительным потерям положения фирмы на рынке и в прибыли. Фирма теряет существенную часть клиентов
0,76-0,87 Повышенная защита Блокируется значительная часть угроз. Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются незначительно
0,88 - 0,95 Сильная защита Ущерб от реализации угроз не затрагивает положение фирмы на рынке и не приводит к нарушению финансовых операций
0,96 - 0,98 Очень сильная защита_ Раскрытие информации принесет ничтожный экономический ущерб фирме
0,99 - 1 Особая защита Отражаются практически все информационные угрозы
В соответствии с концептуальной моделью инфраструктуры защиты информации бизнес-процессов, на основе структуры свойств и системы показателей информационной безопасности разработаны модели оценки и оптимизации инфраструктуры защиты информации бизнес-процессов, взаимосвязь которых показана на рис. 6.
Уровень комплексной оценки и оптимизации
Уровень показателей защищенности
Рис. 6. Взаимосвязь моделей оценки и оптимизации инфраструктуры
защиты информации.
Данная совокупность моделей располагается на двух уровнях: на уровне показателей защищенности и на уровне комплексной оценки и оптимизации.
Модели уровня показателей защищенности реализуют оценку частных показателей информационной безопасности.
Модели уровня комплексной оценки и оптимизации предназначены
для:
• формирования комплексного показателя защищенности;
• имитации функционирования инфраструктуры защиты информации;
• оптимизации и выбора варианта инфраструктуры защиты информации.
Структура комплекса моделей отражает взаимосвязь и влияние отдельных компонент в процессе оценки, оптимизации и выборе инфраструктуры защиты информации.
В частности, модели уровня показателей защищенности являются первоначальными для указанного процесса. Исходные данные для этих моделей, как показано на рис. 6, являются исходными данными для имитационной модели, которая наряду с моделью формирования комплексного
показателя является центральной на уровне комплексной оценки и оптимизации.
Для оценки информационной защищенности от несанкционированного доступа (НСД) рассмотрена совокупность множеств:
Н={Ь,, к2> ..., Щ, ..., V' и, .... Ы, (1В)
У=(У1, У2, •••> д>,А и={и1, щ, Ир}, 0=НхЗхЬ,
где:
Н - множество возможных нарушителей;
5 - множество целей нарушителей;
Ь - множество способов реализации целей действий нару-
шителей;
У - множество факторов, характеризующих условия функ-
ционирования средств защиты;
I/ - множество вариантов средств защиты;
И - множество моделей действий нарушителей.
Предлагается использовать математические модели функционирования средств защиты информации от несанкционированного доступа
Мс. ИхУхи -^г, 1=7.../ (19)
где г - показатель защищенности информации от НСД; /- число математических моделей функционирования средств защиты.
В связи с тем, что сформулированная задача оценки защищенности от НСД учитывает различные типы нарушителей и их действий, в основу оценки положены методы прямого вычисления вероятности некоторого события, зависящего от характеристик определяющих его факторов. При этом в качестве показателя защищенности информации используется вероятность подбора разрешенной комбинации санкционирующего пароля за определенный интервал времени, которая зависит от типа нарушителя, его цели и способа действий. Отличительной особенностью разработанного множества моделей является учет действий потенциальных нарушителей как из числа штатных сотрудников, так и посторонних лиц.
Неточность и неполнота исходной информации приводят к необходимости применения специальных методов оценки показателей защищенности информации. К таким показателям относится вероятность перехвата информации при ее приеме (передаче). Для адекватной оценки защищенности информации от перехвата использован метод, основанный на аппарате нечетких множеств. Важное достоинство методов нечеткого моделирования состоит в том, что они не требуют больших затрат времени и средств по сравнению с традиционными методами на получение точных исходных данных, что, может быть, в принципе, невозможно.
Процесс нечеткого моделирования показателя защищенности информации от перехвата основывается на количественном представлении входных и выходных показателей модели в форме нечетких множеств, ко-
торые задаются на множестве действительных чисел в виде балльной шкалы отношений.
С точки зрения аналитической обработки, наиболее удобны простейшие частные случаи нечетких величин с кусочно- линейными функциями принадлежности.
Принимая за основу для измерения значений показателя уровня защищенности информации от перехвата 100-балльную шкалу отношений, можно рекомендовать следующие значения лингвистических переменных, определяющих уровень качества защиты:
1. Очень низкий уровень качества. Этот уровень ниже минимально необходимого в соответствии с требованиями к данному показателю защищенности информации от перехвата.
2. Низкий (начальный) уровень качества, соответствующий минимальным требованиям к показателю защищенности информации от перехвата.
3. Средний уровень качества, характерный для показателей защищенности информации от перехвата.
4. Высокий уровень защищенности информации от перехвата, характерный для хорошо защищенных ИС.
5. Очень высокий уровень защищенности информации от перехвата, выходящий за пределы 100-балльной шкалы и отражающий тот факт, что нет предела в совершенствовании информационной безопасности.
Принципиальный алгоритм нечеткой оценки качества защиты от перехвата сводится к получению парных произведений частных показателей качества в виде треугольных нечетких чисел и соответствующих весовых коэффициентов, представленных также в виде треугольных нечетких чисел, с последующим сложением этих парных произведений.
Алгоритм нечеткого вывода оценки качества защищенности информации от перехвата может быть представлен следующим образом:
П/ = X к%ч%, V/ е /, V/ € (20)
кеК
где:
Гц - значение обобщенного показателя качества защищенности информации от перехвата; А
Гук - значение ¿-го частного показателя качества защищенности в виде треугольного нечеткого числа;
к (к - весовой коэффициент £-го частного показателя качества защищенности в виде треугольного нечеткого числа; 3 - множество информационных активов;
/- множество средств защиты информации от перехвата; N - множество частных показателей качества защищенности от перехвата.
Таким образом, в предлагаемом алгоритме вывода итогового показателя оценки качества присутствуют операции умножения треугольных нечетких чисел. В результате выполнения этих операций также получается треугольное нечеткое число.
Итоговый показатель оценки качества, получаемый в результате свертки частных нечетких показателей, представляет собой нечетное треугольное число.
В соответствии с предлагаемым методом для практического использования итогового показателя предусматривается его дефаззификация. Де-фаззификация ((^^^¡йсаиоп) означает получение четкой интервальной оценки или единственного количественного значения показателя.
Для приведения значения показателя уровня качества защищенности информации от перехвата к единственному числу вероятности перехвата интервальная оценка может быть заменена средним значением четкого интервала (медианой) или же должна быть использована дополнительная информация.
Показатель защищенности информации от уничтожения (повреждения) при сбоях напрямую зависит от возможностей восстановительных ^ резервов программного и информационного обеспечения информационной инфраструктуры.
В связи с тем, что перечисленные количественно-качественные параметры информационного и программного обеспечения являются исходными и зависят от структуры конкретной информационной системы, в основу оценки защищенности от сбоев положены методы прямого аналитического оценивания вероятности события, заключающегося в успешности решения всего объема задач в условиях возможного разрушения (восстановления) программных модулей (ПО) и информационных массивов (ИМ).
Тогда, выражения для определения вероятности успешного решения всего объема задач, времени решения задач, величину объема потока информации, циркулирующей в компьютерной сети при решении каждым абонентом каждой ЭВМ:
Ам (/=1> 2> 1, 2, ... Л=1, 2, ... , т,)
имеют вид
Ь р п М Ь (л — п \zjhkr
Рргк = ЦР}1к1Р]шЧ1 П Е У/гШШ/Г ' (21>
1=1 /=1г=1
чг [тт ++У а+Е я,м ± {г,к/+ад К > (22)
Тр!к /=1 /=1 г—1
^jhk * \jhk
2X
i=i
L . . hi L Ч/hkf -
i=I
M L 4,hkr
kqf +
/=1 r=l 1
+ Firlkgf
Qikfr ^Ф/Mllf + Firdf)1 ] (23) 1=1
где Pj!hk(P,rkf}- вероятность успешной передачи информации между узлами j(l) и i(r) при 'решении h-м абонентом (обращении к-то ПМ) у'-й ЭВМ (размещенного в 1-м узле) к-й задачи (к^му ИМ).
Оценив составляющие выражения (4) —(6), зависящие от наличия и возможностей восстановительного резерва, представляется возможным оценить уровень защищенности от уничтожения (повреждения) информации при сбоях. При этом вероятность уничтожения (повреждения) информации при сбоях нужно ассоциировать с минимальной вероятностью решения задачи, определяемую возможным разрушением соответствующего программного модуля (информационного массива), т.е.
г у = min {Pjhk\ j eL, he. mj, к e К (24)
Несанкционированное вмешательство в бизнес-процесс является, угрозой, принципиально отличающейся от угрозы НСД к информации. Угроза вмешательства предполагает наличие нарушителя, обладающего в общем случае всеми правами доступа. Поэтому использование аналитических методов, аналогичных рассмотренным в модели защиты информации от НСД, нецелесообразно. Для оценки защищенности от несанкционированного вмешательства предлагается использовать теорию игр, которая позволяет решать задачу в условиях неопределенной информации о действиях «злоумышленника» (что соответствует указанному типу нарушителей). Задача рассматривается как игра двух лиц: проектанта (первого игрока) против «природы» (второго игрока), фиктивного игрока, стратегии которого нам неизвестны.
Обозначим уерез^ игру, в которой первая сторона (система защиты
информации) выбирает вариант защиты / е М, а вторая сторона (система информационного нападения) выбирает, причем одновременно, вариант нападения jeN. Эта ситуация характерна тем, что обе стороны знают множества M,N, но им неизвестен конкретный выбор противника. В качестве целевой функции эффективности первой стороной принимается известная обеим сторонам функция защищенности информации в рассматриваемой бизнес- системе.
Будем считать, что функция защищенности R(j,i) определена и ограничена на NxM. Число Si = sup inf R(j>*) есть наилучший гарантиро-
ieM у'е/V
ванный исход в Д для первой стороны (нижнее значение игры д). Аналогично, означает игру, в которой вторая сторона выбирает j е N, а затем первая сторона, точно зная исход выбора второй стороны, выбирает /еЛ/. Число S2~ sup /) есть наилучший гарантированный исход для первой стороны в jjf (верхнее значение игры дг). Игры J[ и £
соответствуют двум крайним степеням информированности первой стороны о выборе второй стороны: в £ имеется точная информация о конкретном выборе, тогда как в ^ известно лишь, что этот выбор осуществлен из множества N .Если практическая реализация величины £ первой стороны в £ никак не связана с поведением второй стороны, то для реализации Si в необходимо использование точной информации о выборе второй стороны, понимая под реализацией или достижимостью гарантированных исходов их достижимость с точностью до произвольного малого £ > 0. Если S, = Si> то ФУНКДИЯ ^(/>0 имеет обобщенную седловую точку на NxAf. В этом случае для достижения гарантированного исхода нет необходимости в получении какой бы то ни было информации о конкретном выборе второй стороны, и этот исход достижим первой стороной ив Jf .
Реально же стратегиями первой стороны в А будут всевозможные функции /(&), определенные на к со значениями в М. По аналогии с вышеприведенным наилучший гарантированный исход в А для первой стороны есть число
S = sup inf inf R(j,i(k)) = sup inf inf R(j,i(k))= inf sup inf R(j,i)
i(k) jeN keK(j) i(k)keKjeNk keK ieMjeNk
С известными ограничениями число S может быть ассоциировано с вероятностью защищенности от несанкционированного вмешательства в бизнес-процесс.
В соответствии с концептуальной моделью разработан метод получения комплексной оценки информационной защищенности бизнес-процессов.
Одним из основных законов развития систем защиты информации является взаимосвязь показателей. При изменении одного показателя, даже наиболее важного, его влияние на рост обобщенного показателя постепенно затухает из-за ограничений, создаваемых другими показателями, которые остаются неизменными. Постоянный темп роста обобщенного показателя может быть при одновременном и пропорциональном изменении всех показателей, входящих в систему. Значит, если оценивается уровень конкретной инфраструктуры защиты информации с определенными значениями показателей, то каждый из них имеет постоянную весомость. Если в
новой инфраструктуре защиты информации по сравнению с базовой, изменен хотя бы один показатель, то изменяются весомости всех показателей, входящих в иерархию. Из системологии известно, что описанное выше явление затухания влияния одного показателя на обобщенный, обычно характеризуется показательными или экспоненциальными зависимостями, имеющими участок насыщения. С учетом изложенного получено выражение для расчета комплексного показателя информационной защищенности.
К А/к (=/ Мк 1=1 у , (22)
где Ы-число показателей, находящихся на нижнем уровне иерархии; коэффициент весомости показателя /-го свойства.
Отличительной чертой разработанного метода является то, что коэффициенты весомости не рассматриваются как постоянные величины. Действительно, чем труднее обеспечить заданное значение показателя, тем важнее его роль. Чем ближе показатель к своему предельному значению, тем меньше его весомость.
Сформулированная оптимизационная задача направлена на решение вопроса определения порядка оптимизации частных показателей защищенности от потенциальных угроз, т.е. какие показатели и насколько должны быть улучшены, как эти изменения в целом повлияют на уровень информационной безопасности бизнес-процессов.
Для этого необходимо исследовать функцию многих переменных, чтобы определить, как изменение одного из аргументов г, влияет на функцию и найти такое свойство, показатель которого при изменении его на некоторую величину 5 дает наибольший прирост функции защищенности ЛЯ0.
Поставленная задача относится к классу задач оптимизации проект-но-конструкторских решений. Для ее разрешения удобно использовать хорошо известный метод наискорейшего градиентного подъема. При этом градиент функции защищенности определяется из выражения:
grad(Rn) —
(dR0 8R0 dR0')
{дг, дг2 " 6rt
(23)
п у
Исследование частных приращений функции защищенности и ранжирование показателей по наибольшему приросту, определяет порядок их оптимизации, как показано на рис.7. Расчеты были выполнены с помощью специального программного средства, разработанного на базе языка MS Visual С++.
График вы Кор* ватин аоьммх *
Рис. 7. Пример последовательности оптимизации показателей информационной защищенности
Для комплексной оценки предлагаемых мер и средств защиты информации бизнес-процессов разработана имитационная модель. Данная модель реализует имитацию атак на информационную инфраструктуру бизнес-процессов в соответствии с общей концептуальной моделью. В то же время указанная модель является структурным элементом схемы взаимосвязей показателей защищенности, как показано на рис. 8.
Попытки возможных атак имитируются в виде дискретно поступающих транзактов, целью которых является захват некоторого информационного ресурса. Такими ресурсами могут быть бухгалтерские, коммерческие, финансовые элементы информации, документы планирования, а также информация, циркулирующая в сети организации.
Совокупность поступающих транзактов создает входные потоки попыток атак на объекты защиты. При этом существенными свойствами потоков являются:
• тип источника атаки;
• время поступления транзактов-атак, подчиняющееся заданному закону распределения;
• максимально возможное число атак;
• время поступления первого транзакта-атаки;
• число одновременно поступающих транзактов-атак.
Рис.8. Схема имитации функционирования инфраструктуры защиты
информации бизнес-процессов Основные ограничения и допущения, принятые в модели: предполагается, что возможны все описанные в концептуальной модели типы угроз (несанкционированный доступ к информации, перехват информации при ее передаче (получении), уничтожение (повреждение) информации в результате различных видов сбоев в информационной инфраструктуре, несанкционированное вмешательство в бизнес-процесс);
каждая атака может иметь целью любой информационный ресурс или их комбинацию;
• потоки транзактов-атак являются пуассоновскими с известными законами распределения времени между двумя транзактами потока;
• время захвата информационного ресурса является случайной величиной с известным законом распределения;
• величина возможного ущерба в случае доступа на определенное время к конкретному информационному ресурсу является константой.
Имитационная модель реализована в системе Arena 8.0 Professional и структурно состоит из блока имитации субъектов защиты, имитирующего нагрузку атак, блока имитации мер и средств защиты, имитирующего функционирование этих средств и блока имитации объектов защиты, имитирующего доступ к информационным ресурсам в случае преодоления мер и средств защиты.
При этом блок имитации мер и средств защиты реализован в виде следующих модулей:
• защиты от НСД к информации;
• защиты от перехвата информации;
• защиты от сбоев;
• защиты от вмешательства в бизнес-процесс. Существенно, что в модели реализован механизм оценки рисков, характеризующий ущерб от «захвата» соответствующих информационных ресурсов. Механизм основан на методах управления рисками промышленного предприятия. В данном случае ущерб определяется в зависимости от количества удавшихся попыток, типа и времени «захвата» информационного ресурса, его ценности в информационной инфраструктуре бизнес-процесса.
Основными выходными параметрами имитационной модели являются:
■ Число удавшихся попыток атак на информационную инфраструктуру бизнес-процессов;
■ Коэффициент доступа к каждому типу информационного ресурса;
■ Суммарный риск, характеризующий величину ущерба от удавшихся попыток атак.
Для решения практических задач синтеза системы защиты информации разработаны инструментальные методы организации информационной инфраструктуры защиты бизнес-процессов. В частности, разработан математический алгоритм сравнения вариантов системы защиты информации, который представляет собой ряд последовательных этапов, обеспечивающих отбор подмножества недоминируемых вариантов и выявление лучшего.
Предложена система мониторинга защиты информационных активов предприятия, представляющая собой комплекс мер и мероприятий (организационных, технических и правовых), направленных на проведение наблюдений, оценки и прогноза изменений в информационной инфраструктуре и ее компонентах.
III. Основные результаты исследования
1. Определены основные тенденции развития и структурные особенности информационных активов во взаимосвязи с бизнес-процессами промышленного предприятия.
2. Уточнено понятие информационных активов промышленного предприятия с целью определения направлений наиболее вероятных информационных угроз.
3. Разработаны теоретические и методологические положения организации инфраструктуры защиты информации на промышленном предприятии в соответствии с требованиями процессного подхода к управлению.
4. Обоснованы принципы организации инфраструктуры защиты информации, ориентированной на поддержку бизнес-процессов промышленного предприятия.
5. Предложена концептуальная модель инфраструктуры защиты информации на промышленном предприятии, позволяющая разработать систему математических моделей оценки и оптимизации этой инфраструктуры.
6. Выполнен анализ состава затрат на создание инфраструктуры защиты информации промышленного предприятия.
7. Разработана система показателей информационной безопасности бизнес-процессов, обеспечивающая оценку инфраструктуры защиты информации, как по отдельным ее свойствам, так и в целом.
8. Разработана система математических моделей оценки и оптимизации инфраструктуры защиты информации, включающая в себя:
• модель оценки защищенности от несанкционированного доступа к информации;
• модель оценки защищенности от перехвата при передаче информации;
• модель оценки защищенности информации от случайных помех и сбоев;
• модель оценки защищенности от вмешательства в бизнес-процесс;
• модель формирования комплексного показателя защищенности;
• модель оптимизации показателей защищенности;
• модель выбора варианта инфраструктуры защиты информации.
9. Разработана имитационная модель как инструментальный метод оценки и прогнозирования уровня защищенности информации на промышленном предприятии.
10. Предложена система мониторинга безопасности информационных активов, направленная на оценку и анализ текущего состояния
показателей информационной безопасности, а также выработку необходимых корректирующих воздействий на инфраструктуру защиты информации.
11. Предложенные в диссертации теоретические и методологические положения организации инфраструктуры защиты информации обеспечивают необходимые условия для предотвращения информационных угроз, сокращения затрат на информационную безопасность и повышения экономической эффективности производственно-хозяйственной деятельности предприятия.
Перечень опубликованных автором работ по теме диссертации
Монографии, учебники и учебные пособия
1. Стелъмашонок Е.В. Информационная инфраструктура поддержки и защиты корпоративных бизнес-процессов: экономико-организационные проблемы. Монография - СПб.:СПбГИЭУ, 2005.- 8,8 п.л.
2. Аннсгшова H.H., Стелъмашонок Е.В. Защита информации. Учебное пособие. Допущено УМО по образованию в области производственного менеджмента для студентов специальности 060800-Экономика и управление на предприятии (по отраслям) - СПб.: СПбГИЭУ, 2002. - 6,2/4,2 п.л.
3. Информатика: Практикум по технологии работы на компьютере/ Под ред. Н.В. Макаровой. Рекомендовано Министерством общего и профессионального образования Российской Федерации в качестве учебного пособия для студентов экономических специальностей высших учебных заведений. - М.: Финансы и статистика, 1997. - 28,69/3,6 п.л.
4. Информатика: Учебник / Под редакцией проф. Н.В. Макаровой. Рекомендовано Министерством общего и профессионального образования Российской Федерации в качестве учебника для студентов экономических специальностей высших учебных заведений. - М.: Финансы и статистика, 2001.-80,6/3,5 п.л.
5. Мердина О.Д., Стелъмашонок Е.В. Программирование в Microsoft Office 2000. Учебное пособие. Допущено УМО по образованию в области производственного менеджмента для студентов специальности 060800-Экономика и управление на предприятии (по отраслям) - СПб.: СПбГИЭУ, 20037-6,0/3,0 п.л.
6. Мердина О.Д., Стелъмашонок Е.В. Проектирование Windows-приложений на Visual Basic: Учеб. Пособие. - СПб., СПбГИЭУ, 2001. -5,58/3,5 п.л.
7. Мердина О.Д., Стелъмашонок Е.В. Объектно-ориентированное программирование на VBA. Учебное пособие для студентов всех специально-стей.-СПб.:СПбГИЭА, 1999. -5,0/3,0 п.л.
Статьи в журналах и научных сборниках
8. Стельмагионок Е.В. Использование информационных технологий для поддержки и защиты бизнес-процессов в промышленных корпорациях. //Проблемы современной экономики, № 1/2 (13/14) 2005. -0,5 п.л.
9. Стельмагионок Е.В. Концепция обеспечения информационной безопасности корпоративных бизнес-процессов// Научно-технические ведомости СПбГТУ, №4, 2005.- 0,5 п.л.
10. Стельмагионок Е.В. Синтез системы защиты информации промышленного предприятия//«Вестник ИНЖЭКОНа», № 4, СПбГИЭУ, 20050,5 п.л.
11. Стельмагионок Е.В. Концепция обеспечения информационной безопасности промышленной корпорации на основе процессного подхода //Проблемы современной экономики, № 3 (15) 2005.- 0,5 п.л.
12. Стельмашонок Е.В. Информационная инфраструктура как основа поддержки и защиты корпоративных бизнес-процессов // Современные информационные технологии в обработке и защите информации. -СПб.: СПбГИЭУ, 2005. - 0,4 п.л.
13. Стельмашонок Е.В. Методика выбора варианта системы защиты информации корпоративных бизнес-процессов // Инновации и инвестиции в экономике России. Межвузовский сборник научных трудов. Вып. № 8. -СПб.: Изд-во -СПбТПП, 2005. - 0,3 п.л.
14. Стельмашонок Е.В. Оптимизация показателей информационной защищенности бизнес-процессов. Тезисы Международной методической и научно-практической конференции «Экономические и управленческие технологии XXI века: теория и практика, подготовка специалистов», 9-11 ноября 2005 г. - СПб.: СПбГТУРП, 2005. - 0,1 п.л.
15. Стельмагионок Е.В. Теоретические и методологические подходы к определению ценности информационных ресурсов при решении проблемы информационной безопасности компьютерных систем //Фундаментальные исследования в области гуманитарных наук: Конкурс грантов 2002 года: Сб.реф. избр. работ. -Екатеринбург: Издательство Уральского университета, 2005. - 0,4 п.л.
16. Стельмашонок Е.В. Управление информационными рисками - основа устойчивого развития промышленной корпорации // Экономика и менеджмент: проблемы и перспективы. Труды IV Международной научно-практической конференции. 6-11 июня 2005 г. - СПб.: Изд-во Политехи, ун-та, 2005.- 0,3 п.л.
17. Стельмагионок Е.В. Формирование информационной культуры обучающихся как составляющая информационной инфраструктуры образовательного процесса в вузе.// Обучение и воспитание: путь к самостоятельному мышлению специалистов: Тезисы докладов Всероссийской научно-методической конференции. Санкт-Петербург, 19-20 апреля 2005 г. -СПб.: СПбГТУРП, 2005.- 0,2 п.л.
18. Илыша О.П., Стельмашонок E.B. Блинов А. В. Управление информационными рисками в бизнес-процессах// The Business (ITIB) International Conference in St. Petersburg, June 14-17, 2005.- СПб.: СП6ГУЭФ, 2005.0,1/0,05 п.л.
19. Ермина М.Ю., Стельмашонок E.B. Анализ информационных рисков в системе корпоративной информационной безопасности // Современные информационные технологии в обработке и защите информации - СПб.: СПбГИЭУ, 2005. - 0,5/0,25 п.л.
20. Тихонов Д.В., Стельмашонок Е.В. Использование объектно-ориентированного подхода при решении задач информационной безопасности// Современные информационные технологии в обработке и защите информации. - СПб.: СПбГИЭУ, 2005. - 0,5/0,25 п.л.
21. Еникеева Л.А., Стельмашонок Е.В. Методологические подходы к оценке информационных активов как инфраструктурной составляющей нематериальных активов.//Актуальные проблемы экономики и новые технологии преподавания (Смирновские чтения): Материалы IV международной научно-практической конференции (15-16 марта 2005 г., г. Санкт-Петербург) Т.2.- СПб.:Изд-во Политехи, ун-та, 2005.- 0,3/0,15 п.л.
22. Еникеева Л.А., Стельмашонок Е.В. Инфраструктурная составляющая нематериальных активов как объект оценки и защиты.// Экономика и про- „ мышленная политика России: Труды III Международной научно-^ практической конференции. 14-19 июня 2004 г. - СПб.: Изд-во СПбГПУ, 2004.-0,2/0,1 п.л.
23. Еникеева Л.А., Стельмашонок Е.В. Оценка качества экономического образования студентов технического вуза как информационного контента-важной составляющей информационной инфраструктуры нематериальных активов.// Проблемы экономического образования студентов технических вузов. Материалы региональной научно-практической конференции (24 ноября 2004 г.) - СПб.: СПбГТУРП, 2004. -0,2/0,1 п.л.
24. Лаур Ю.В., Стельмашонок Е.В. Информационная инфраструктура корпораций как основа функционирования бизнес-процессов// Ежегодная региональная научно-практическая конференция студентов и аспирантов «Молодежь, образование, и наука в XXI веке» - СПб.: СПбГТУРП, 2004.0,2/0,1 п.л.
25. Стельмашонок Ё.В., Аиисгшова И.Н., Авдонин И. С. Информационная безопасность. Методические указания по изучению дисциплины и контрольные задания для студентов заочной формы обучения специальности 351400 - СПб.: СПбГИЭУ, 2004.- 3,0/1,5 п.л.
26. Стельмашонок Е.В., Шлёнов В.В Пашков К.Ю. Информационная безопасность. Методические указания к лабораторным работам для студентов всех форм обучения специальности 351400 - СПб.: СПбГИЭУ, 2004.-1,75/1,0 п.л.
27. Михальчук С.А., Стельмашонок Е.В. Управление параметрами системы защиты информации на основе вероятностно-статистической модели //Экономико-организационные и программно-технические вопросы обработки и защиты информации: Сб. науч. тр.- СПб.: СПбГИЭУ, 2003.0,3/0,15 п.л.
28. Стельмашонок Е.В. Оптимизация выбора схемы защиты информации на основе использования теоретико-игровой модели.//Экономико-организационные и программно-технические вопросы обработки и защиты информации: Сб. науч. тр.- СПб.: СПбГИЭУ, 2003.-0,3 п.л.
29. Михальчук С.А., Мердина О.Д., Стельмашонок Е.В. Подход к выбору значимых параметров экономико-математической модели системы защиты информации. //Современные информационные технологии в экономике и образовании. Сб. науч. тр. - СПб.-.СПбГИЭУ, 2001.-0,3/0,15 п.л.
30. Стельмашонок Е.В., Гниденко И.Г. Вопросы качественной подготовки студентов в области современных компьютерных технологий // «Система управления качеством университетского образования: проблемы создания и эффективность функционирования. Учеб.-метод. конф. Тезисы докладов, 24-26 января 2001- СПб.: СПбГИЭУ, 2001. - 0,25 / 0,15 п.л.
31. Стельмашонок Е.В. Проблемы обучения современным компьютерным технологиям в дисциплинах кафедры вычислительных систем и программирования// «Проблемы повышения качества и эффективность подготовки специалистов. Тез. докл. учеб.-метод. конф. 26-28 янв. 2000. -СПб.:СПбГИЭА, 2000.-0,1 п.л.
32. Дашевский А.И., Стельмашонок Е.В. Учет современных условий при определении затрат на разработку программных изделий.//Экономика информатики и автоматизации менеджмента. Сб. научных трудов - СПб.: СПбГИЭА, 1993.- 0,4/0,1 п.л.
33. Кузьмина С.П., Мердина О.Д, Стельмашонок Е.В. Новые информационные технологии в управлении малым бизнесом// Экономика информатики и автоматизации менеджмента. Сб. научных трудов, СПб.: СПбГИЭА, 1993. - 0,25/0,1 п.л.
34. Михальчук С.А., Стельмашонок Е.В. Экономические задачи. Практикум по алгоритмизации и программированию для инженерно-экономических специальностей - Л.: ЛИЭИ, 1988. - 5,0 /2,5 п.л.
35. Кузьмина С.П., Стельмашонок Е.В. Система экономического анализа как система принятия управленческих решений //Система обработки экономической информации в условиях интенсификации производства. Сб. научных трудов - Л.: ЛИЭИ, 1987.- 0,4/0,2 п.л.
36. Добросоцкий В.И., Стельмашонок Е.В. Оценка временных параметров вычислительных процессов в условиях ГПС на базе использования коэффициента распараллеливания алгоритма. Сб. «Моделирование информационных процессов в условиях гибких производственных систем» Сб. научных трудов. - Л.: ЛИЭИ, 1986.- 0,3/0,2 п.л.
37. Добросоцкий В.И., Стелъмашонок Е.В. Анализ особенностей организации вычислительных процессов в АСУ на основе использования вычислительных комплексов// Проблемы интенсификации производства в условиях научно-технического прогресса. - Л.: ЛИЭИ, 1985 - 0,4/0,2 п.л.
38. Шарапов В.Г., Зубарев Б.И., Игнатьева Т.Т., Стелъмашонок Е.В., Порховннк Ю.М. Деловая игра «Выбор варианта вычислительных средств в распределенной информационно-вычислительной системе» (РИВС-1) -Л.: ЛИЭИ, 1985. - 1,5/0,5 п.л.
39. Власова Л.А., Стелъмашонок Е.В. Вопросы оптимизации информационного обеспечения руководителей производства (тезисы доклада) //Сб. «Анализ эффективности и качества проектирования и функционирования АСУ в народном хозяйстве». Тезисы докладов Всесоюзной научной кон-ференции».Ч1 - М.: МЭСИ, 1983. - 0,2/0,1 п.л.
40. Стелъмашонок Е.В., Лебедкова И.В. Вопросы технико-экономического создания АСУ цехом в ИАСУ. Сб. «Совершенствование обработки информации в условиях распределенного информационного обеспечения АСУП - Л.: ЛИЭИ, 1982.- 0,4/0,3 п.л.
41. Боенко Н.И., Стелъмашонок Е.В. К вопросу применения игровых моделей совершенствования планирования последипломного обучения ИТР. //Эффективность производства и научно-технический прогресс. Межвузовский сб. научных трудов- Л.: ЛИЭИ, 1979.- 0,3/0,2 п.л.
42. Махно Б.Ф., Стелъмашонок Е.В. Вопросы оптимизации состава информации для принятия производственных решений.//Эффективность производства и научно-технический прогресс. Межвузовский сб. научных трудов- Л.: ЛИЭИ, 1979. - 0,3/0,2 п.л.
43. Сатановский Р.Л., Стелъмашонок Е.В. Оптимизация производственной структуры механического цеха с использованием игровой модели. //Повышение экономической эффективности социалистического производства. Труды ЛИЭИ, вып. 141- Л.: ЛИЭИ, 1977. -0,4/0,25 п.л.
44. Соколов Р.В, Ленков Д.И, Стелъмашонок Е.В. Унифицированный алгоритм исследования экономико-информационных моделей и его реализация на ЭВМ //Вопросы информационного обеспечения АСУП. Труды ЛИЭИ, вып. 132 - Л.: ЛИЭИ, 1977.- 0,75/0,25 п.л.
45. Стелъмашонок Е.В., Фокин И.Н. Об одном методе решения игровых задач распределения ресурсов нескольких типов // Статистические методы и совершенствование показателей. Труды ЛИЭИ, вып. 116.- Л.: ЛИЭИ, 1975.- 0,3/0,15 п.л.
46. Стелъмашонок Е.В. Оптимизация производственной структуры цеха в условиях неопределенной производственной программы //Совершенствование управления производством в отраслях народного хозяйства. Труды ЛИЭИ, вып.99 - Л.: ЛИЭИ, 1974.- 0,4 п.л.
47. Стельмашонок Е.В., Фокин И.Н. О методах решения игровых задач, связанных с распределением ресурсов нескольких типов //III Всесоюзная конференция по теории игр (10-12 сентября 1974 года). Тезисы докладов. Одесса.: ОГУ, 1974. - 0,2/0,1 п.л.
Научно-исследовательские работы
48. Отчет по гранту № ГО 2-4.1-15 "Теоретические и методологические подходы к определению ценности информационных ресурсов при решении проблемы информационной безопасности в компьютерных системах" № гос. per. 01.2.00 306701 - 6,6 п.л.
Подписано в печать /Л. 20Р$~ Формат 60x84 '/16.Печ. л.2,0 Тираж экз. Заказ ^63
ИзПК СПбГИЭУ. 191002, Санкт-Петербург, ул. Марата, 31
Диссертация: содержание автор диссертационного исследования: доктора экономических наук, Стельмашонок, Елена Викторовна
Введение.
РАЗДЕЛ I. ПРОБЛЕМЫ СОВЕРШЕНСТВОВАНИЯ ИНФРАСТРУКТУРЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ.
Глава 1. Тенденции и закономерности развития инфраструктуры защиты информации на промышленном предприятии.
1.1. Основные понятия и структурные составляющие бизнес-процессов.
1.2. Тенденция влияния информационной инфраструктуры на реализацию бизнес-процессов.
1.3. Закономерности развития информационных активов бизнес-процессов промышленного предприятия.
1.4. Сущность и содержание информационной безопасности промышленного предприятия.
1.5. Обоснование требований к инфраструктуре защиты информации бизнес-процессов
Глава 2. Идентификация проблемы совершенствования инфраструктуры защиты информации на промышленном предприятии.
2.1. Оценка влияния возможностей новых информационных технологий на поддержку и защиту бизнес-процессов.
2.2. Оценка существующей системы организации информационной безопасности на промышленном предприятии.
2.3. Обоснование необходимости соблюдения требований стандартов информационной безопасности бизнес-процессов.
2.4. Постановка научной проблемы организации инфраструктуры защиты информации на промышленном предприятии.
Выводы по разделу I.
РАЗДЕЛ И. ТЕОРИЯ ОРГАНИЗАЦИИ ИНФРАСТРУКТУРЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ.
Глава 3. Концептуальные положения обеспечения информационной безопасности на промышленном предприятии.
3.1. Принципы обеспечения информационной безопасности.
3.2. Концептуальная модель формирования инфраструктуры защиты информации бизнес-процессов на промышленном предприятии.
3.3. Оценка уровня защищенности бизнес-процесса.
3.4. Обоснование системы показателей информационной безопасности бизнес-процессов на промышленном предприятии.
Глава 4. Теоретические аспекты определения ценности информационных активов и эффективности инфраструктуры защиты информации на промышленном предприятии.
4.1. Оценка информационных активов методами доходного подхода.
4.2. Определение стоимости информационных активов методами затратного подхода.
4.3. Оценка информационных активов на основе методики совокупной стоимости владения.
4.4. Оценка эффективности инфраструктуры защиты информации и ее влияния на основные показатели производственно-хозяйственной деятельности предприятия.
Выводы по разделу II.
РАЗДЕЛ III. МЕТОДОЛОГИЯ ОРГАНИЗАЦИИ ИНФРАСТРУКТУРЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ
Глава 5. Модели и методы оценки и оптимизации инфраструктуры защиты информации бизнес-процессов.
5.1. Методологические положения формирования инфраструктуры защиты информации на промышленном предприятии.
5.2. Модель оценки информационной защищенности бизнес-процессов от несанкционированного доступа.
5.3. Модель оценки уровня защищенности информации от перехвата.
5.4. Модель оценки уровня защищенности информации от уничтожения (повреждения) при сбоях.
5.5. Модель оценки уровня информационной защищенности от несанкционированного вмешательства в бизнес-процесс.
5.6. Модель формирования комплексного показателя информационной защищенности бизнес-процессов.
5.7. Методы управления информационными рисками в бизнес-процессах.
5.8. Модель оптимизации (выбора оптимизируемых) показателей информационной защищенности.
5.9. Модель выбора варианта инфраструктуры защиты информации бизнеспроцессов
Глава 6. Инструментальные методы организации инфраструктуры защиты информации на промышленном предприятии.
6.1. Имитационная модель функционирования инфраструктуры защиты информации.
6.2. Синтез инфраструктуры защиты информации крупного промышленного предприятия.
6.3. Организация автоматизированной системы мониторинга и пути совершенствования инфраструктуры защиты информации на промышленном предприятии.
Выводы по разделу III.
Диссертация: введение по экономике, на тему "Теория и методология организации инфраструктуры защиты информации на промышленном предприятии"
Информатизация является характерной чертой жизни современного общества. Новые информационные технологии активно внедряются во все сферы национальной экономики.
По мере развития и усложнения средств, методов, форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий.
Информационные технологии (ИТ) в настоящее время являются необходимым атрибутом повышения эффективности бизнес-процессов, в частности, позволяют хозяйствующим субъектам снизить издержки производства, повысить достоверность экономического анализа, правильно выбирать стратегию и тактику проведения мероприятий в условиях наступления форс-мажорных обстоятельств. Одной из наиболее серьезных проблем, затрудняющих применение современных информационных технологий, является обеспечение их информационной безопасности.
Актуальность и важность проблемы обеспечения безопасности информационных технологий обусловлены следующими причинами:
• резкое увеличение вычислительной мощности современных компьютеров при одновременном упрощении их эксплуатации;
• высокие темпы роста парка персональных компьютеров, находящихся в эксплуатации в самых различных сферах деятельности;
• резкое увеличение объемов информации, накапливаемой, хранимой на электронных носителях (в виде электронных документов) и обрабатываемой с помощью компьютеров;
• концентрация информации - сосредоточение в единых базах данных информации различного назначения и различной принадлежности;
• динамичное развитие программных средств, не удовлетворяющих даже минимальным требованиям безопасности;
• резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;
• демократизация доступа к информации, обусловленная развитием компьютерных сетей как локальных, так и глобальных;
• развитие электронной почты и рост электронного документооборота в компьютерных сетях;
• внедрение электронных технологий в различные виды профессиональной деятельности на финансовых и товарных рынках (электронная коммерция, сетевые банковские и финансовые услуги);
• развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире.
В результате указанных причин возникло острое противоречие между возросшими возможностями методов и средств информационных технологий и возможностями методов и средств защиты информационных ресурсов.
Данные мировой и российской статистики свидетельствуют о тенденции роста масштаба компьютерных злоупотреблений, приводящих к значительным экономическим потерям хозяйствующих субъектов различного уровня. По оценкам [91, 92, 117] количество компьютерных преступлений в России выросло приблизительно в 140 раз (с 100 в 1997 году до 13700 в 2004 году со среднегодовым темпом роста 88,2%.). Ущерб от компьютерных злоупотреблений в мире ежегодно возрастает на 35% и в 2004 году составил 411 млрд. долл. США [91] , средняя сумма потерь от одного компьютерного преступления составляет 560 тыс. долл. США [91]. При анализе имеющихся статистических данных в области компьютерных преступлений необходимо учитывать латентность (сокрытие компаниями) информации о компьютерных злоупотреблениях. В США латентность составляет 80%>, в Великобритании - 85%, в Германии - 75%, в России - 90% [117]. Тем не менее, имеющиеся тенденции заставляют вносить изменения в стратегии развития компаний и требуют более обоснованной организации инфраструктуры защиты информации.
Анализ результатов исследований [27, 43, 47, 49, 53, 80, 92, 113, 131, 134 и др.], ведущихся в направлении обеспечения информационной безопасности информационных технологий показывает, что в настоящее время не до конца решены вопросы научного обоснования структуры системы защиты информации. В первую очередь это касается инфраструктуры защиты бизнес-процессов, которая в свете современных тенденций организации бизнеса играет решающую роль в достижении успеха хозяйствующим субъектом.
Отмеченные обстоятельства обусловливают противоречие между насущной необходимостью научного обоснования концепции построения инфраструктуры защиты информации бизнес-процессов и возможностями теоретико-методологических решений, обеспечивающих это обоснование.
При этом необходимо учитывать, что процессный подход к организации и управлению хозяйственной деятельностью предприятия требует применения процессно-ориентированного подхода и к формированию самой инфраструктуры защиты информации бизнес-процессов. Процессно-ориентированный подход к созданию (совершенствованию) инфраструктуры защиты информации бизнес-процессов позволит рассматривать процесс формирования (развития) системы защиты информации, как один из вспомогательных процессов, обеспечивающих основные процессы предприятия. Это дает возможность разработки инфраструктуры защиты информации в тесной взаимосвязи с проектированием других бизнес-процессов, что несомненно увеличит их интегрированность, гибкость, сбалансированность и управляемость.
Для блокирования и предупреждения наиболее вероятных информационных угроз на промышленном предприятии должна функционировать такая инфраструктура защиты информации, которая ориентирована на поддержку бизнес-процессов с учетом структуры информационных активов промышленного предприятия, а в силу ограниченности финансовых ресурсов у предприятия инфраструктура защиты информации должна формироваться экономически обоснованно.
В то же время в отечественной и зарубежной теории и практике отсутствует целостная методология организации инфраструктуры защиты информации, рассматриваемая через призму процессного подхода к управлению промышленным предприятием.
Таким образом, потребность разрешения существующих противоречий в теории и практике создания систем защиты информации требует дальнейшего их развития и, в частности, формирования инфраструктуры защиты информации бизнес-процессов на промышленном предприятии, что подтверждает актуальность темы диссертационной работы.
Все сказанное определило цели и задачи диссертационного исследования. Целью исследования является разработка теории и методологии организации экономически обоснованной инфраструктуры защиты информации на промышленном предприятии на основе использования перспективных концепций обеспечения информационной безопасности и процессного подхода к организации управления, моделей и математических методов.
Для достижения данной цели в диссертационном исследовании были поставлены и решены следующие задачи:
• разработка теоретических и методологических основ организации инфраструктуры защиты информации на промышленном предприятии;
• анализ связи современных концепций производственного менеджмента с инфраструктурой защиты информации;
• обоснование требований к инфраструктуре защиты информации на промышленном предприятии;
• уточнение понятия информационных активов промышленного предприятия;
• определение путей влияния инфраструктуры защиты информации на основные показатели производственно-хозяйственной деятельности промышленного предприятия;
• обоснование принципов организации инфраструктуры защиты информации;
• разработка концептуальной модели инфраструктуры защиты информации;
• анализ состава затрат на создание инфраструктуры защиты информации промышленного предприятия;
• обоснование системы показателей информационной безопасности;
• разработка комплекса математических моделей оценки и оптимизации инфраструктуры защиты информации бизнес-процессов на промышленном предприятии;
• построение имитационной модели функционирования инфраструктуры защиты информации;
• выработка практических рекомендаций по организации инфраструктуры защиты информации и системы мониторинга безопасности информационных активов промышленного предприятия.
Объектом исследования являются процессы управления промышленным предприятием и их информационная поддержка.
Предметом исследования являются теоретические и методологические положения, модели и методы организации инфраструктуры защиты информации, реализуемой в рамках современного процессно-ориентированного подхода к управлению производственно-хозяйственной деятельностью предприятия.
Научная новизна диссертационного исследования состоит в разработке теории и методологии, моделей и методических положений организации инфраструктуры защиты информации бизнес-процессов на промышленном предприятии.
Получены следующие основные научные результаты:
1. На основе определения закономерностей влияния информационной инфраструктуры на реализацию бизнес-процессов и выявления тенденций развития информационных активов промышленного предприятия сформированы основные принципы функционирования инфраструктуры защиты информации и определены структурные особенности информационных активов.
2. Уточнено понятие информационных активов промышленного предприятия с учетом инфраструктуры защиты информации.
3. Разработаны теоретические и методологические положения организации инфраструктуры защиты информации на промышленном предприятии в соответствии с требованиями процессного подхода к управлению.
4. Сформулированы принципы организации инфраструктуры защиты информации, поддерживающей бизнес-процессы на промышленном предприятии, являющиеся основой методологии формирования инфраструктуры защиты информации.
5. Предложена концептуальная модель инфраструктуры защиты информации на промышленном предприятии, учитывающая требования и принципы ее организации.
6. Разработана система показателей информационной безопасности, позволяющая оценивать степень информационной защищенности бизнес-процессов как по отдельным свойствам инфраструктуры защиты информации, так и в целом.
7. Разработана система математических моделей оценки инфраструктуры защиты информации, включающая в себя модели:
• оценки защищенности от несанкционированного доступа к информации бизнес-процесса, от перехвата при передаче (приеме), а также хищения носителей информации, от случайных помех и сбоев аппаратно-программных средств, от несанкционированного вмешательства в бизнес-процесс;
• формирования комплексного показателя защищенности;
• оптимизации показателей защищенности;
• выбора наиболее целесообразного варианта инфраструктуры защиты информации.
8. Разработана имитационная модель функционирования инфраструктуры защиты информации как инструментальный метод оценки и прогнозирования уровня защищенности информации на промышленном предприятии.
9. Предложена система мониторинга безопасности информационных активов промышленного предприятия, направленная на оценку и анализ текущих значений разработанной системы показателей информационной безопасности, а также выработку необходимых корректирующих воздействий на инфраструктуру защиты информации.
Диссертационная работа является результатом обобщения и логического продолжения исследований, выполненных автором, начиная с 1997 года.
Практическая значимость заключается в том, что предложенные в диссертации результаты исследований могут быть использованы при разработке инфраструктуры защиты информации, обеспечивающей повышение экономической эффективности работы промышленного предприятия. С помощью выполненных разработок процесс формирования инфраструктуры защиты информации приобретает научно обоснованный характер. Разработанная система моделей и механизмов их реализации в условиях промышленного предприятия позволяет сформировать рациональную инфраструктуру защиты информации в соответствии с предложенными экономическими и функциональными критериями и ограничениями.
Достоверность научных результатов и обоснованность научных положений, выводов и рекомендаций обеспечивается полнотой анализа теоретических и практических разработок, положительной оценкой на научных конференциях и семинарах, практической проверкой и внедрением результатов исследования на ряде промышленных предприятий, а также положительными отзывами на отчеты о НИР, в которые включены основные результаты исследований.
Апробация работы. Основные положения диссертационного исследования, полученные на всех стадиях его проведения, докладывались и обсуждались на конференциях различного уровня:
Международная научно-практическая конференция «Экономика и менеджмент: проблемы и перспективы» (г. Санкт- Петербург, 2005 г.) [169];
III международная научно-практическая конференция «Экономика и промышленная политика России» (г. Санкт- Петербург, 2004 г.) [64];
IV международная научно-практическая конференция «Актуальные проблемы экономики и новые технологии преподавания (Смирновские чтения» (Санкт- Петербург, 2005г.) [65];
ITIB 2005 Information Technology in Business 2nd Conference (Saint-Petersburg, 2005) [74];
Международная методической и научно-практической конференции «Экономические и управленческие технологии XXI века: теория и практика, подготовка специалистов», 9-11 ноября 2005 г. (Санкт- Петербург, 2005г.) [166];
Всероссийская научно-практическая конференция «Обучение и воспитание: путь к самостоятельному мышлению специалиста» (Санкт- Петербург, 2005г.) [170];
Ежегодная региональная научно-практическая конференция студентов и аспирантов «Молодежь, образование, и наука в XXI веке». СПб.: СПбГТУРП, 2004. (Санкт- Петербург, 2004г.) [103];
Межвузовская научно-практическая конференция «Инновации и инвестиции в экономике России» ноябрь, 2005 г. (Санкт- Петербург, 2005г.) [165];
Региональная научно-практическая конференция «Проблемы экономического образования студентов технических вузов» (Санкт- Петербург, 2004г.) [66].
Важнейшие положения диссертации использовались при выполнении научно-исследовательской работы «Теоретические и методологические подходы к определению ценности информационных ресурсов при решении проблемы информационной безопасности в компьютерных системах» (Отчет по гранту № ГО 2-4.1-15).
Результаты исследований реализованы в СПбГИЭУ и используются в учебном процессе при проведении занятий по дисциплинам: «Защита информации», «Информационная безопасность», «Информационная безопасность и защита информации», «Информационные технологии в управлении качеством и защита информации».
Публикации. По теме диссертации опубликованы монография, учебник, практикум, 4 учебных пособия, 30 статей в изданиях центральной и ведомственной печати, подготовлено 10 тезисов выступлений на конференциях и семинарах, проводимых в г. Санкт- Петербурге общим объемом авторских 49 п.л.
Структура и объем работы. Диссертация состоит из введения, шести глав, заключения и двух приложений, изложенных на 352 листах машинописного текста, содержит 73 рисунка и 39 таблиц. Объем приложений 46 листов. Список литературы включает 226 наименований.
Диссертация: заключение по теме "Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда", Стельмашонок, Елена Викторовна
Выводы по разделу III L
1. Эффективная защита информации промышленного предприятия требует реализации комплекса организационно-технических мероприятий, для решения которых необходимо определить инфраструктуру защиты информации, т.е. осуществить синтез данной системы, основываясь на общей инфраструктуре бизнес-процессов. С точки зрения свойств самой системы защиты информации бизнес-процессов, характера возможных угроз, основными задачами данной системы следует считать: защиту от НСД, защиту от перехвата информации при передаче, защиту от случайных помех и сбоев, защиту от несанкционированного вмешательства в бизнес-процесс.
2. Анализ существующей методической базы оценки инфраструктуры защиты информации показал, что она носит, в основном, нечеткий, субъективный характер; практически полностью отсутствуют количественные показатели, учитывающие возможные случайные или преднамеренные воздействия. В результате достаточно сложно, а зачастую и невозможно оценить качество функционирования всей бизнес- системы промышленного предприятия при наличии несанкционированных воздействий на ее подсистемы, а, соответственно, оценить и оптимизировать инфраструктуру защиты информации.
3. Предложенная оценка уровня защиты информации основывается на разработанной системе показателей информационной безопасности. В качестве частных показателей выбраны: вероятность НСД к информации, вероятность перехвата информации, вероятность уничтожения информации при сбоях, вероятность несанкционированного вмешательства в бизнес-процесс. Целям определения уровня информационной защищенности в
L. , наибольшей степени отвечают методы, основанные на получении обобщенной оценки, путем агрегирования единичных показателей в комплексный с помощью коэффициентов весомости. Имея комплексную оценку, представляется возможным оценить создаваемую систему в целом, а также сравнивать альтернативные варианты ее построения, как по совокупности частных показателей, так и по комплексному показателю.
4. Анализ количественных и качественных методик управления информационными рисками позволяет сделать вывод о целесообразности использования количественной модели рисков, как наиболее приемлемой для получения комплексной оценки информационной защищенности бизнес-процессов.
5. Задача оптимизации показателей информационной защищенности может быть сформулирована в двух постановках: а) уровень защищенности должен быть не меньше требуемого при минимизации ресурсов; Ь) обеспечение максимального уровня защищенности при ресурсах, не превышающих допустимые. Целям создания надежной инфраструктуры защиты информации соответствует первая постановка, т.к. именно она обеспечивает требуемый уровень информационной защищенности бизнес-процессов. При этом предполагается, что выделяемые ресурсы будут, по возможности, минимизированы. Однако практика показывает, что формирование инфраструктуры защиты информации проходит, как правило, в условиях выделения фиксированных финансовых ресурсов, что в общем случае может и не обеспечить требуемый уровень защищенности. Поэтому задача оптимизации может быть сформулирована на основе синтеза постановок а) и Ь). В этом случае имеет место поэтапное решение задачи.
6. Результаты синтеза инфраструктуры защиты информации промышленного предприятия позволяют сделать вывод о том, что в условиях рассматриваемого предприятия наибольшую угрозу составляет возможность перехвата информации при ее передаче (приеме). Однако в других условиях значимость угроз может меняться. При этом сама значимость той или иной угрозы не является постоянной величиной, а зависит от возможной реализации, методов и средств защиты.
7. Основной задачей системы мониторинга инфраструктуры защиты информации бизнес-процессов является контроль правильности реализации политики безопасности, а также оценка состояния информационной безопасности бизнес-процессов. К основным базовым принципам мониторинга, которые должны быть реализованы в автоматизированной системе мониторинга, относятся: наблюдение за факторами воздействия и состоянием информационной инфраструктуры защиты, оценка фактического состояния, обобщение и ранжирование угроз, обеспечение своевременного реагирования.
Заключение
В настоящее время все чаще возникает потребность в использовании современных информационных технологий для развития бизнеса, а также необходимость защиты всех информационных активов.
В диссертации систематизированы существующие в этом направлении разработки, выявлены основные направления исследований, позволяющие определиться с терминологией, обоснованы место и роль информационной инфраструктуры в поддержке и защите бизнеса, а также исследованы экономико-организационные аспекты информационной безопасности бизнес-процессов на промышленном предприятии.
В диссертационном исследовании обоснована концепция и методология построения инфраструктуры защиты информации бизнес-процессов, а также выработаны практические рекомендации по ее построению.
В работе получены следующие новые научные результаты:
1. Разработаны теоретические и методологические основы организации инфраструктуры защиты информации, направленные на научное обоснование, создание, внедрение и сопровождение системы защиты на промышленном предприятии с учетом тенденций развития современных информационных технологий.
2. Обоснован состав требований к инфраструктуре защиты информации на промышленном предприятии с учетом процессно-ориентированной организации его хозяйственной деятельности.
3. Сформулированы принципы организации инфраструктуры защиты информации, ориентированной на поддержку бизнес-процессов с учетом структуры информационных активов промышленного предприятия.
4. Предложена концептуальная модель формирования инфраструктуры защиты информации, раскрывающая ее функции, свойства и механизмы организации.
5. Разработана система показателей информационной безопасности бизнес-процессов, обеспечивающая оценку инфраструктуры защиты информации, как по отдельным свойствам, так и в целом.
6. Разработана система математических моделей оценки и оптимизации инфраструктуры защиты информации, включающая в себя:
6.1. модель оценки защищенности от несанкционированного доступа к информации бизнес-процесса;
6.2. модель оценки защищенности информации от перехвата при передаче (приеме), а также хищения носителей информации;
6.3. модель оценки защищенности информации от случайных помех и сбоев аппаратно-программных средств;
6.4. модель оценки защищенности информации от несанкционированного вмешательства в бизнес-процесс;
6.5. модель формирования комплексного показателя защищенности;
6.6. модель оптимизации показателей защищенности;
6.7. модель выбора наиболее целесообразного варианта инфраструктуры защиты информации.
7. Разработана имитационная модель функционирования инфраструктуры защиты информации, обеспечивающая комплексную оценку, поддержку процесса синтеза и прогнозирования уровня защищенности информации на промышленном предприятии.
8. Предложена система мониторинга безопасности информационных активов, направленная на оценку и анализ текущего состояния параметров информационной безопасности, а также выработку необходимых корректирующих воздействий на инфраструктуру защиты информации Научная значимость диссертационного исследования состоит в том, что предложен единый научный подход к организации инфраструктуры защиты информации бизнес-процессов на промышленном предприятии.
Таким образом, научная проблема, сформулированная в диссертации и заключающаяся в разработке теории и методологии формирования надежной системы защиты информации на промышленном предприятии как целостной системы концептуальных положений, принципов, методов, моделей и алгоритмов обоснования и поддержки инфраструктуры защиты информации, решена, и цели исследования достигнуты.
Направления дальнейших исследований видятся в разработке системы автоматизированного проектирования систем защиты информации.
Диссертация: библиография по экономике, доктора экономических наук, Стельмашонок, Елена Викторовна, Санкт-Петербург
1. Конституция Российской Федерации с комментариями Конституционного суда РФ.-М.: Инфра-М, 2003.-200 с.
2. Уголовный Кодекс Российской Федерации. М.: Юрайтиздат, 2004. -188 с.
3. Доктрина информационной безопасности Российской Федерации. Руководящий документ. № Пр-1895, 2000.-М.: Ось-89,2004.- 48 с.
4. Федеральный закон "Об информации, информатизации и защите информации", №24-ФЗ, 1995.
5. Федеральный закон "Об участии в международном информационном обмене", № 85-ФЗ, 1996.0 сертификации средств защиты информации. Постановление правительства РФ № 608 от 26.06.95.
6. ГОСТ Р 51624-00 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования".
7. ГОСТР 50922-96 Защита информации. Основные термины и определения.
8. ГОСТ 51583-00 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования".
9. ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации".
10. ИСО/МЭК 15408-99 «Критерии оценки безопасности информационных технологий».
11. Приказ Минфина РФ от 16 октября 2000 г. N 91 "Об утверждении Положения по бухгалтерскому учету "Учет нематериальных активов" ПБУ 14/ 2000.
12. Амурский О.Р. Корпоративная информационно-аналитическая система банка на базе технологии интеграции данных, оперативной аналитической обработки, моделирования и выявления закономерностей: Электронный ресурс.: www.kit.ru, 11.11.2004.
13. Балукова В.А. Методология корпоративного подхода к реструктуризации промышленных предприятий в условиях российской экономики СПб.: СПбГИЭУ, 2002.-204 с.
14. Барейша И. Юридическая фирма "Линия права": Электронный ресурс.: http://www.rusipoteka.ru/publications/lp-2.htm#top, 03.02.2005.
15. Баутов А. Н. Эффективность защиты информации. // Открытые системы. Июль-август 2003. С. 56-60.
16. Баутов А.Н. Экономический взгляд на проблемы информационной безопасности // Открытые системы.- 2002, №2. С. 28-33.
17. Баутов А.Н., Козлов В.И. Страховая стоимость информационных ресурсов. Анализ нормативной базы. //Страховое дело.- 2001, №7. С. 14-19.
18. ЪА.Бобровников П. Оценка стоимости информации: Электронный ресурс.: http://www.ironya.com/ycostinform.html, 14.12.2004.
19. Бронников М. К вопросу о цене информации: Электронный ресурс.: http://www.ptpu.ru/issues/l99/13l99.htm, 18.01.2005,25.12.2004.
20. Брукинг Т.Э. Интеллектуальный капитал. СПб.: Питер, 2001. 288 с.
21. Брэгман Л.М., Фокин И.Н. Метод решения сумм матричных игр //Исследование операций и статистическое моделирование. Вып.2.,Л.: Изд-во ЛГУ, 1974.- С. 37-55.
22. Бугорский В.Н., Емельянов А.А., Порховник Ю.М., Соколов Р.В., Фомин В.И., Чиркова М.Ю. Прикладная информатика в экономике. Учебное пособие. СПб.: СПбГИЭУ, 2005. 412 с.
23. Бугорский В.Н., Соколов Р.В. Экономика и проектирование информационных систем. СПб.: «Роза мира», 1998. 340 с.
24. Валдайцев С.В. Оценка бизнеса: Учебник М.:ТК ВЕЛБИ, Изд-во Проспект, 2003.-352 с.
25. АХ.Вендров A.M. Проектирование программного обеспечения экономических информационных систем.- М.: Финансы и статистика, 2002. 352 с.
26. А2.Вихорев С., Ефимов А. Практические рекомендации по информационной безопасности// Jet Info.- 1996, № 10-11. С. 15-18.
27. АЪ.Вихорев С., Кобцев Р. Как определить источники угроз//Открытые системы. -2002, №7-8,- С. 6-11.
28. Волокитин А.В., Маношкин А.П., Солдатенков А.В. и др. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие.- М.: НТЦ «ФИОРД ИНФО», 2002. - 272 с.
29. Гайкович В., Ершов Д. Основы безопасности информационных технологий.-М.: МИФИ, 1995.-94 с.
30. Гайкович В.Ю., Ершов Д.В. Организационные меры обеспечения защиты информации// Системы безопасности, связи и телекоммуникаций", N2, 1997. -С. 35-42.
31. Галатенко В. Информационная безопасность — основы.// Системы управления базами данных.- 1996, № 1.-С. 14-18.
32. Гасс С. Линейное программирование (методы и приложения).- М.: Физмат-гиз, 1961.- 303 с.
33. Герасименко В.А., Малюк А.А. Кортеж концептуальных решений по защите информации // Безопасность информационных технологий.- 1997. Выпуск 3. С. 90-98.
34. Герасименко В.А., Малюк А.А. Основы защиты информации. -М.: МГИФ. 1997.-537 с.51 .Гиляревский Р.С. Основы информатики. Курс лекций. М.: Экзамен, 2003.320 с.
35. Гойло В. Интеллектуальный капитал.// Мировая экономика и международные отношения 1998, №11. С. 68-77.
36. Горбунов А., Чуменко В. Выбор рациональной структуры средств защиты информации в АСУ: Электронный ресурс.: http://kiev-se-curity.org.ua/ box/2/26.shtml, 29.11.2004.5А.Громыко О. Осторожно: системы ERP// Открытые системы.- 2001. Июль-август.-С. 44-49.
37. Ездаков А., Макарова О. Как защитить информацию.//Сети 1997, №8 -С. 25-28.
38. Емельянов А.А., Власова Е.А., Дума Р.В. Имитационное моделирование экономических процессов: Учеб. пособие под ред. Емельянова А.А. М.: Финансы и статистика, 2004. - 368 с.
39. Есипов В.Е., Маховикова Г.А., Терехова В.В. Оценка бизнеса.- СПб.: Питер, 2003.-416 с.
40. Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему.- СПб.: Мир и семья-95, 1997. 312 с.
41. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. -М.: Горячая линия-Телеком, 2000. 452 с.
42. Ю.Ивлев B.A., Попова Т.В. Процессная организация деятельности: методы и средства. (Консалтинговая компания «ВИП Анатех»): Электронный ресурс.: http://www.optim.rU/comp/2001/3/anatech/anatech.asp, 12.01.2005.
43. Х.Игнатович Н. Брокер интеграции приложений.//Открытые системы.- 2003.-Сентябрь. С. 8-14.
44. И.Игнатович Н. IBM MQSeries: архитектура системы очередей сообщений. //Открытые системы.- 1999, № 9-10. С. 32-40.
45. Ильина М., Колыванов С. ERP-решение для среднего бизнеса //Открытые системы. 2000, №1-2. - С. 41-46.
46. Каляное Г.Н. Теория и практика реорганизации бизнес- процессов. М.: СИНТЕГ, 2000. - 212 с.1%.Кантер Дж. Управленческие информационные системы: Пер. с англ./Под ред. А.Федулова и И. Горшкова. М.: Радио и связь, 1982. - 430 с.
47. Катрин Де Роза (Catherine De Rosa), Планирование ресурсов, синхронизированное с покупателем (CSRP): Новый Промышленный Стандарт. White Paper, Sytnix: Электронный ресурс.: http://www.osp.ru.os/2000/01-02/041.htm, 24.11.2004.
48. Кобзарь М., Сидак А. Методология оценки безопасности информационных технологий по общим критериям: Электронный ресурс.: http://www.jetinfo.rU/2004/6/l/articlel. 6.2004.html, 17.07.2005.
49. Кобзарь М., Калайда И. Общие критерии оценки безопасности информационных технологий и перспективы их использования// Jet Info.- 1998, №1. -С. 23-27.
50. Кобзев В.В., Ключарева Н.С. Экономика предприятия: Учеб. пособие/ Под общей ред. проф. В.В. Кобзева. СПб.: Изд-во СПбГПУ, 2003. 158 с.
51. Кобзев В.В., Ключарева Н.С. Экономическая оценка инвестиций: Учеб. пособие/ Под общей ред. проф. В.В. Кобзева. СПб.: Изд-во СПбГПУ, 2003.105 с.
52. Козловский В.А., Кобзев В.В., Макаров В.М., Кузин Б.И., Смирнов А.В., Казанцев А.К. Производственный и операционный менеджмент: Учебник. -М.: ИНФРА-М, 2003.-573с.
53. Ю.Козырев А.Н., Макаров B.JI. Оценка стоимости нематериальных активов и интеллектуальной собственности. -М.:РИЦ ГШ ВС РФ, 2003. 368 с.
54. Колесников С. И. Стратегии бизнеса: управление ресурсами и запасами, М.: «Статус-Кво, 2000. 240 с.
55. Колесников С. Из истории автоматизации методологий управления предприятия //Открытые системы. 1999, №4. С.44-50.
56. Комаров С. Н., Кочергина И. И. Программы для ЭВМ и базы данных как нематериальные активы. Управленческие, правовые, учетные аспекты: Электронный ресурс.: http://www.audit.ru/articles, 24.10.2004.
57. Компьютерная преступность и борьба с нею: Электронный ресурс. http://www.cyberpol.ru, 25.12.2005.
58. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия.- СПб.: БХВ-Петербург, 2003. 752с.9Ъ.Коржов В. Полный спектр eTrust //Открытые системы.- 2003. Июль-август. -С. 47-50.
59. Королев В.Н. Методологические вопросы оценки влияния информационных рисков на деятельность организации: Электронный ресурс.: http://www.contel.iacis.ru/rus/actions/doc/tab4tezkorolev.doc, 13.02.2005.
60. Коттс Д. Управление инфраструктурой организации. М.:ИНФРА, 2001. -526 с.
61. Кошелев А. Защита сетей и firewall//KoMnbioTepnpecc. -2000. -№7. -С. 44-48.
62. Кукор Б. Л. Информация и процесс принятия решения руководителем: Учеб. пособие. Л.: ЛФЭИ, 1984. - 81 с.
63. Кукор Б. Л., Богословский О. Н. Формирование структур управления в условиях интенсификации производства: Текст лекций.- Л.: ЛФЭИ, 1987. 47 с.
64. Кукор Б.Л. Исследование систем управления: экономико-психологический аспект,- СПб.: СПбГУЭФ, 1999.- 145 с.
65. Кун Т. Структура научных революций. М.: ACT, 2003. 605 с.
66. Курило А. О парадигме информационной безопасности// Директор ИС. -2003, № 10.-С. 19-24.
67. Курило А., Голованов В. Национальные стандарты информационной безопасности для кредитно-финансовой сферы: Электронный ресурс.: http://www.bdm.ru/arhiv/2004/06/61-63.htm, 18.03.2005.
68. Лебедев В.Г., Дроздова Т.Г., Кустарев В.П., Краюхин Г.А. Управление затратами на предприятии.- СПб.: Бизнес-пресса, 2004. 255 с.
69. Лебедев С. Использование принципов МСФО в управленческом учете: Электронный ресурс.: http://www.itland.ru/lib/index.php?id=9, 17.03.2005.
70. Леоненков А.В. Нечеткое моделирование в среде MATLAB и fuzzy TECH. -СПб.: БХВ-Петербург, 2003. 736 с.
71. Ли Че. Управление активами //LAN. 1998, №10. - С. 12-16.
72. Липаев В., Филинов Е. Формирование и применение профилей открытых информационных систем. //Открытые системы. 1997, № 5. - С. 18-25.
73. Липаев В.В. Качество программных средств. Методические рекомендации." М.: Янус-К. - 400 с.
74. Липаев В.В. Стандарты на страже безопасности информационных систем// PC WEEC/RE. -2000. -№30. С. 34-40.
75. ЛодонДж., Лодон К. Управление информационными системами. 7-е изд. /Пер. с англ. под ред. Д.Р. Трутнева. СПб.: Питер, 2005. - 912 с.
76. Маккартни Линда. IT-безопасность: стоит ли рисковать корпорацией? М.: Кудиз-образ, 2004.- 208 с.
77. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов.- М: Горячая линия Телеком, 2004.- 280 с.
78. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учебное пособие для вузов. 2-е издание М.: Горячая линия -Телеком, 2004. -147 с.
79. Мамаев М., Петренко С. Технологии защиты информации в Интернете. -СПб.: Питер, 2002.-848 с.
80. Масалович А.И. Этот нечеткий, нечеткий, нечеткий мир /PC Week/RE. -1995. N.16. С.22-27.
81. Медведовскж И. Риски, сопряженные с недостаточной безопасностью систем: Электронный ресурс.: http://www.dsec.ru, 18.03.2005.
82. Медведовский И.Д., Семъянов П.В., Леонов Д.Г. Атака на Internet. М.:ДМК, 1999. 336 с.
83. Медынский В.Г., Илъдеменов С.В. Реинжиниринг инновационного предпринимательства: Учеб. пособие / Под ред. проф. В.А. Ирикова . М.:ЮНИТИ, 1999.-414 с.
84. Найгелъ Пендс. Истоки сегодняшних продуктов OLAP: Электронный ресурс.: http://www.olap.ru/basic/originsOLAP.asp, 22.02.2005.
85. Насакин Р. От слова "страх".: Электронный ресурс.: http://new.cio-world.ru /focus/33676/), 21.04.2005.
86. Обеспечение информационной безопасности в экономической и телекоммуникационной сферах. Коллективная монография./ Под ред. Е.М. Сухарева. Кн.2. -М: Радиотехника, 2003.- 216 с.
87. Общесистемные вопросы защиты информации. Коллективная монография / Под ред. Е.М. Сухарева. Кн.1. -М.: Радиотехника, 2003. -296 с.
88. Ойхман Е.Г., Попов Э.В. Реинжиниринг бизнеса: реинжиниринг организационной и информационной технологии.- М.: Финансы и статистика, 1997.-336 с.
89. Организация и методы оценки предприятия (бизнеса): Учебник /Под ред.
90. B.И. Кошкина-М.: ИКФ «ЭКСМОС», 2002,- 944 с.
91. Орлов С. Фундамент информационной инфраструктуры/ZLAN. 2003, №1. - С. 14-17.
92. Орлова Е.В. Налоговый и бухгалтерский учет компьютеров, программного обеспечения, интернета. //Российский налоговый курьер. 2002, N 7.1. C. 25-29.
93. Орловский С.А. Проблемы принятия решений при нечеткой исходной информации. М.: Наука, 1981. -208 с.
94. Оценка бизнеса. Учебник. /Под ред. А.Г. Грязновой, М.А.Федотовой. -М.: Финансы и статистика, 2003. -512 с.
95. Петренко С. А. Методика построения корпоративной системы защиты информации: Электронный ресурс.: http://www.myportal.ru/sec/doc24.html, 22.12.2004.
96. Петренко С. Методические вопросы защиты информационных активов компании: Электронный ресурс.: http://citforum.edunet.kz/security/articles /zahitaaktivov/, 20.12.2004
97. Петренко С., Симонов С., Кислое Р. Информационная безопасность: экономические аспекты: Электронный ресурс.: www.jetinfo.ru, 14.11.2004.
98. Петренко С., Симонов С. Методики и технологии управления информационными рисками //«IT Manager» 2003, №3. - С. 34-45.
99. Петренко СА., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность М.:Компания АйТи; ДМК Пресс, 2004.- 384 с.
100. Петренко С А. Аудит безопасности корпоративных информационных систем//Конфидент. Защита информации. -2002, №2. -С. 30-37.
101. Плинк О.В. Построение распределенной информационной системы на основе службы каталогов: Электронный ресурс.: http://www.iteco.ru/ doclad4.html, 25.03.2005.
102. Практическое руководство по использованию политик безопасности, стандартов и процедур: Электронный ресурс.: http://www.symantec.com/ region/ru/resources/ ADefmitiveIntroduction.html, 12.11.2004.
103. Проведена внешняя экспертиза защищенности Faktura.ru: Электронный pecypc.:http://www.business2business.ru/index.phtml?part=news& news id =2479, 14.01.2005.
104. Пугачев B.C. Теория вероятностей и математическая статистика. М.: Физматлит, 2002. 496 с.
105. Расторгуев С.П. Об обеспечении защиты АИС от недокументированных возможностей программного обеспечения // Конфидент. Защита информации. 2001, №2. - С. 26-29.
106. Ровенский Ю. Первое IPO в России: брэнд, репутация, транспарентность: Электронный ресурс.: http://www.advi.ru/pages.php3?id=5, 29.10.2004.
107. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях.- М.: Радио и связь, 1999.- 328 с.
108. Румянцев О. Г., Додонов В.Н. Юридический энциклопедический словарь, М., "ИНФРА-М", 1997. 230 с.
109. Рыжиков Ю.И. Имитационное моделирование. Теория и технологии. -СПб.: КОРОНА принт; М.: Альтекс-А, 2004. 384 с.
110. Сабынин В. Специалисты, давайте говорить на одном языке и понимать друг друга. //Информост — Средства связи, № 6.- С.47-52.
111. Садчиков И.А., Сомов В.Е., Колесов М.Л., Балукова В.А. Экономика химической отрасли: Учеб.пособие для вузов / Под ред. проф. И.А. Садчикова. СПб.:Химиздат, 2000.- 384 с.
112. Сальников В.П. Концептуальные основы обеспечения информационной безопасности российского государства.: Электронный ресурс. http://domarev.kiev.ua/obuch/tez/s001.htm, 14.12.2004.
113. Сидоров И.И. Логистическая концепция управления промышленным предприятием. СПб.: С.-Петерб. ин-т внешнеэкон. связей, экономики и права, 2001.- 167 с.
114. Симионова Н.Е., Симионов Р.Ю. Оценка стоимости предприятия (бизнеса). М.:ИКЦ «МарТ», Р. н/Д:Издательский дом «МарТ», 2004. 464 с.
115. Симонов С. В. Методология анализа рисков в информационных систе-мах//Конфидент. 2001, №1.- С. 48-53.
116. Симонов С.В. Технологии аудита информационной безопасности// Конфидент. Защита информации.- 2002, № 2. С. 36-41.
117. Система управления информационной инфраструктурой предприятия: Электронный ресурс.: http://www.ecoprog.ru/suii.shtml, 16.04.2005.
118. Система управления информационной инфраструктурой: Электронный ресурс.: http ://www.mcom.ua/products/Soflwareintegration/Standartsoflware solutions /sysmanage/index.shtml, 16.10.2005.
119. Слинъкое Д. Что там, за ЕКР-горизонтом?//Директор ИС.- 2001, №7. -С. 32-40.
120. Смирнова Г.Н., Сорокин А.А., Тельное Ю.Ф. Проектирование экономических информационных систем/ Под ред. Тельнова Ю.Ф. -М.: Финансы и статистика, 2002. 512 с.
121. Снитко Н. Учет компьютерных программ и баз данных.// Досье бухгалтера. Выпуск газеты №39 (656) 2003. - 30 мая.
122. Советский энциклопедический словарь / Гл. ред. М. А. Прохоров. 3-е изд. М.: Сов. Энциклопедия, 1985. 1600 с.
123. Современные подходы к управлению информационной инфраструктурой: Электронный ресурс.: www.computel.ru, 17.11.2004.
124. Соколов В.Н. Методы оценки предприятия.- СПб.: СПбГИЭА, 1998. 144 с.
125. Старкова И.О., Костецкий А.Н. Проблемы количественной оценки объема интеллектуальных активов фирмы: Электронный ресурс.: http://intel-assets.hl .ru/articles/article 11 .htm, 28.05.2005.
126. Стелъмашонок E.B. Информационная инфраструктура поддержки и защиты корпоративных бизнес-процессов: экономико-организационные проблемы. Монография.- СПб.:СПбГИЭУ, 2005.- 148 с.
127. Стелъмашонок Е.В. Использование информационных технологий для поддержки и защиты бизнес-процессов в промышленных корпорациях. //Проблемы современной экономики, № 1/2 (13/14) 2005. -С. 180 183.
128. Стельмашонок Е.В. Концепция обеспечения информационной безопасности корпоративных бизнес-процессов// Научно-технические ведомости СПбПТУ №4, 2005.- 125-131.
129. Стелъмашонок Е.В. Концепция обеспечения информационной безопасности промышленной корпорации на основе процессного подхода // Проблемы современной экономики, № 3/4 (15) 2005.- С. 76-83.
130. Стелъмашонок Е.В. Методика выбора варианта системы защиты информации корпоративных бизнес-процессов //Межвузовская научно-практическая конференция «Инновации и инвестиции в экономике России». СПб: СПбГПТУ 2005. 491-495 с.
131. Стелъмашонок Е.В. Синтез системы защиты информации промышленного предприятия//«Вестник ИНЖЭКОНа». № 4, СПбГИЭУ, 2005 С. 52-57.
132. Стелъмашонок Е.В., Фокин КН. О методах решения игровых задач, связанных с распределением ресурсов нескольких типов. //Сб. «III Всесоюзная конференция по теории игр (10-12 сентября 1974 года). Тезисы докладов.-Одесса: ОГУ, 1974.- С. 252-253.
133. Стелъмашонок Е.В., Фокин КН. Об одном методе решения игровых задач распределения ресурсов нескольких типов. //Сб. Статистические методы и совершенствование показателей. Труды, вып. 116. Л.:ЛИЭИ, 1975.-С.111-116.
134. Стивенсон В.Дж. Управление производством, М.: «БИНОМ», 1999. 928 с.
135. Страхование информационных рисков в кредитно-финансовой сфере деятельности: Электронный ресурс.: http://www.vniipvti.ru/stat/stl7.htm, 27.06.2004.
136. Стрелкова Е. Интеграция данных предприятия/Юткрытые системы. -, 2003. Апрель.-С. 58-61.
137. Стрельцов А. А. Правовое обеспечение информационной безопасности России: теоретические и методологические основы. Мн., Беллитфонд, 2005. -304 с.
138. Сэйер П. Lloyd страхует от хакеров.// Computerworld Россия. 2000. -№30.-С. 44-49.
139. Тельное Ю.Ф. Интеллектуальные информационные системы в экономике. -М.:СИНТЕГ, 1999.-214 с.
140. Тельное Ю.Ф. Реинжиниринг бизнес-процессов. Компонентная технология,- М.: Финансы и статистика, 2004.- 320 с.
141. Тельное Ю.Ф. Реинжиниринг бизнес-процессов.- М.: МЭСИ, 1999.- 106 с.
142. Уилсон Марсия. Демонстрация окупаемости испытаний на проникновение, часть вторая: Электронный ресурс.: http://securitylab.ru/41569.html, 25.12.2004.
143. Федеев Д.К., Федеева В.Н. Вычислительные методы линейной алгебры. М.: Физметгиз, 1960. 656 с.
144. Федорков А.И. Методология и организационные формы управления предприятием в условиях перехода к рыночным отношениям. СПб.: СПбГИЭА,1998.- 232 с.
145. Федъко В.П., Федъко Н.Г. Инфраструктура товарного рынка. Ростов н/Д: Феникс, 2000.- 512 с.
146. Фон Крог Г., Кёне М. Трансфер знаний на предприятии: основные фазы и воздействующие факторы. //Проблемы теории и практики управления.1999.-№4,.-С. 54-60.
147. Хаммер М., ЧампиДж. Реинжиниринг корпорации: манифест революции в бизнесе. СПб.: СПбГУ, 1997. 332 с.
148. Хмелев Л. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции «Безопасность информационных технологий», Пенза: ПНИЭТИ, 2001. С. 88.
149. Царегородцев А.В., Петручук С.О. Анализ функций защиты для проектирования платформ безопасности.: Электронный ресурс.: http://nit.miem. edu.ru/2003/tezisy/articles/129.htm, 30.11.2004.
150. Чакон М. Как создать единый каталог// Журнал сетевых решений LAN.-2001. Май.-С. 32-37.
151. Черняк Л. Серверы корпоративных приложений- ОС для корпоративных информационных систем?// Открытые системы.- 2001. Январь. С.48-53.
152. Чистов Л.М. Теория эффективного управления социально-экономическими системами СПб.: Астерион, 2005. - 575 с.
153. Чулков A. LDAP в середине пути.// Журнал сетевых решений LAN. -2001. Май. С. 38-43.
154. Шостак С.В. Информация, ее виды и проблемы получения: Электронный ресурс.: http://www.ostu.ru/conf/ soc2002/papers/shostak.htm, 29.01.2005.
155. Шпак В.Ф. Методологические основы обеспечения информационной безопасности объекта//Конфидент. Защита информации. 2000.-№1. -С. 75-78.
156. Эдвинссо Л., Мэлоун М. Интеллектуальный капитал: определение истинной стоимости компании. // Новая постиндустриальная волна на Западе. /Под ред. В. Иноземцева. М.: Academia, 1999. 640 с.
157. Якоеец Ю. В. Закономерности научно-технического прогресса и их планомерное использование. М.: Экономика, 1984. 240 с.
158. Common Criteria for Information Technology Security Evaluation. Version 1.0, 96.01.31.
159. Federal Criteria for Information Technology Security (FC), Draft Version 1.0, (Volumes I and II), jointly published by National Institute of Standards and Technology and the National Security Agency, US Government, 1993.
160. ISO/IEC 15408-3. Information technology - Security techniques - Evaluation Criteria for IT security - Part 3: Security assurance requirements, 1999
161. Standards for Information Control Professionals. -ISACA Standards, 2000.
162. A solution with comfort and all the option, Manufacturing management, June 1996.
163. An Introduction to Computer Security: The NIST Handbook. Draft ~ National Institute of Standards and Technology, Technology Administration, U.S. Department of Commerce, 1994.
164. B. Schneier. Applied Cryptography: Protocols, Algorithms, and Sourse Code in C: Second Edition. John Wiley&Sons, New York, 1996.
165. B. Schneier. Secrets and Lies: Digital Security in a Networked World. John Wiley&Sons, New York, 2000.
166. Common Criteria for Information Technology Security Evaluation (CCEB), Version 1.0.96.01.31.
167. Customer Synchronized Resource Planning: Become indispensable, Catherine de Rosa, APICS.
168. Cyber Security Research and Development Agenda. Institute for Information Infrastructure Protection January 2003.
169. FIPS PUB 199 Standards for Security Categorization of Federal Information and Information Systems INITIAL PUBLIC DRAFT VERSION 1.0 Computer Security Division Information Technology Laboratory National Institute of Standards and Technology.
170. Information technology Code of practice for information security management/ International Standard ISO/IEC 17799:2000(E).
171. Information Technology Security Evaluation Criteria (ITSEC). Harmonized Criteria of France- Germany- the Niderlands the United KingDom. Departa-ment of Trade and Industry, London, 1991.
172. Information Technology Security Evaluation Criteria(ITSEC). Harmonised Criteria of France — Germany — the Netherlands — the United Kingdom ~ Department of Trade and Industry, London, 1991.
173. ISO/IEC 15408-1. Information technology - Security techniques - Evaluation Criteria for IT security - Part 1: Introduction and general model, 1999.
174. ISO/IEC 15408-2. Information technology - Security techniques - Evaluation Criteria for IT security - Part 2: Security functional requirements, 1999
175. Kaufman, Arnold, and Gupta, Madan M. Introduction to Fuzzy Arithmetic/Thomson Computer Press, 1991.
176. Knowledge Management in the Learning Society. Paris. OECD. 2000.
177. Nonuka and H. Takeuchi. The Knowledge Creating Company. N.-Y. 1995.
178. P.L. Bernstein. Against the Gods: Remarkable Story of Risk. New York: John Wiley&Sons Inc., 1996.
179. R. Witty . The Role of the Chief Information Security Officer. Research Note, Gartner Research, Strategic Planning, SPA-13-2933 ~ Gartner Research, Strategic Analysis Report, K-l 1-6534, April 2001.
180. Sherif Mostafa Hashem. Protocols for Secure Electronic Commerce. CRC Press, 2000.
181. Srewart T.A. The Intellectual Capital. The New Wealth ofN.-Y.-L., 1997.
182. Standards for Information Systems Auditing. -ISACA Standards, 2000.
183. Takagi Т., Sugeno M. Fuzzy identification of systems its applications to modeling and control. IEEE Transactions on Systems, Man, and Cybernetics, vol. 15, no. 1, 1985 pp. 116-132.
184. The OLAP Report: Applications. WebSphere MQ Integrator. Programming Guide.
185. Threats to Computer Systems: an Overview ~ Computer Systems Laboratory Bulletin, March 1994.
186. W.E Howden.-Functional program testing and analysis ~ N.Y.: McGraw Hill, 1987.