Управление промышленным предприятием на основе формирования эффективной системы информационной безопасности тема диссертации по экономике, полный текст автореферата
- Ученая степень
- кандидата экономических наук
- Автор
- Тарасов, Алексей Васильевич
- Место защиты
- Орел
- Год
- 2006
- Шифр ВАК РФ
- 08.00.05
Автореферат диссертации по теме "Управление промышленным предприятием на основе формирования эффективной системы информационной безопасности"
На правах рукописи
Тарасов Алексей Васильевич
УПРАВЛЕНИЕ ПРОМЫШЛЕННЫМ ПРЕДПРИЯТИЕМ НА ОСНОВЕ ФОРМИРОВАНИЯ ЭФФЕКТИВНОЙ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
08.00.05 - Экономика и управление народным хозяйством (экономика, организация и управление предприятиями, отраслями, комплексами - промышленность)
АВТОРЕФЕРАТ
диссертации на соискание учёной степени кандидата экономических наук
Орёл 2006
Работа выполнена в государственном образовательном учреждении высшего профессионального образования «Орловский государственный технический университет»
Научный руководитель доктор экономических наук, доцент
ИЗ МАЛ КО В Л Светлана Александровна
Официальные оппоненты; доктор экономических наук, доцент
МЛШЕГОВ Пётр Николаевич
кандидат экономических наук, доцент ОСИПОВА Оксана Ивановна
Ведущая организация ГОУ ВПО «Брянский государственный
технический университет»
Защита состоится 25 ноября 2006 г, в 14 часов на заседании диссертационного совета Д212.182.02 при ГОУ ВПО «Орловский государственный технический университет» в аудитории № 212 по адресу: 302020, г. Орёл, Наугорское шоссе, 29.
С диссертацией можно ознакомиться в библиотеке ГОУ ВПО «Орловский государственный технический университет».
Автореферат разослан 24 октября 2006 г.
Учёный секретарь диссертационного совета
С. А. Измалкова
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность темы исследования. К числу макротенденций, определяющих развитие современного мирового хозяйства, относятся глобализация и развитие информационной экономики. Однако, в настоящее время, стремительно уходит эйфория, возникшая в результате феноменально интенсивного и фронтального развития информационных технологий. Вместе с этим приходит осознание того, что возникают и стремительно растут риски, связанные с их использованием, появляются совершенно новые угрозы потери информации, приводящие к конкретному, материально выразимому, ущербу. В этой связи возникает прагматичная и, в то же время, исключительно интеллектуальная проблема обеспечения информационной безопасности.
Анализ тенденций и перспектив развития промышленности России показывает, что большинство руководителей предприятий уже принимают меры по защите важной для них информации. Однако эти действия не всегда носят системный характер, поскольку направлены на ликвидацию только отдельных угроз, оставляющих за собой множество уязвимых мест.
Таким образом, научные исследования, направленные на повышение эффективности управления промышленным предприятием на основе формирования системы информационной безопасности, способной обеспечить согласованность и эффективность действий между организационными, технологическими, техническими, правовыми и экономическими факторами при создании требуемого уровня информационной безопасности, являются актуальными
Состояние изученности проблемы. Проблемам обеспечения информационной безопасности предприятий в России посвящены работы таких отечественных учёных, как: В. Адрианов, А. Баутов, А. Голов, М. Давлетханов, Д. Дьяконов, В. Исаев, А. Курило, А.Макарова, Е. МешаЙкина, Р. Насакин, А. Павлов, П. Покровский, В.М. Савельев, С. Симонов, Е. Смирнов, Н. Столяров, Е. Терехова, И. Филиппова, Р. Хайретдинов и других авторов.
Среди исследователей, рассматривающих проблему информационной безопасности с точки зрения высшего руководства предприятий, наибольший
вклад внесли: Дж. Албаниз, С. Беринато, В. Галатенко, Дж. Джейсинг, Г. Лавджой, А. Лукацкий, Дж. Миллер, А. Мицци, М. Мишель, Д. Моррилл, Дж, Риз, В. Сонненрих, Б. Шнайер и некоторые другие.
Вместе с тем, подавляющее большинство работ носит сугубо технический характер и ориентировано, главным образом, на ИТ-персонал. Более того, несмотря на постоянно растущее количество исследований в области информационной безопасности, крайне редко затрагивается вопрос комплексного обеспечения информационной безопасности промышленных предприятий на основе учёта организационных, технологических, технических, правовых и экономических факторов.
Объект исследования - промышленные предприятия, осуществляющие свою деятельность в различных отраслях промышленности.
Предмет исследования — принципы, способы и механизмы управления промышленным предприятием на основе формирования комплексной системы информационной безопасности.
Цель исследования заключается в разработке научных положений и методического обеспечения по совершенствованию управлению промышленным предприятием на основе формирования эффективной системы информационной безопасности.
Для достижения поставленной цели потребовалось решение следующих задач диссертационного исследования:
- исследовать комплекс проблем управления промышленным предприятием с позиций всевозрастающей роли информационной безопасности в условиях глобальной информатизации и интеграции общественных отношений;
- разработать концептуальный подход, согласно которому, при обеспечении требуемого уровня информационной безопасности, необходимо учитывать системное взаимодействие организационных, технологических, технических, правовых и экономических факторов;
— разработать теоретико-методические подходы по формированию эффективной системы информационной безопасности промышленного предприятия с учётом актуальности внутренних угроз;
— предложить методику оценки эффективности инвестиций в создание и функционирование системы информационной безопасности на промышленном предприятии;
— уточнить содержание понятия страхования информационных рисков как альтернативного способа обеспечения требуемого уровня информационной безопасности на промышленном предприятии.
Теоретическая и методологическая основа исследования. Основой исследования явилась общенаучная методология, предусматривающая системный и процессный подходы к решению рассматриваемых проблем, экономические, социологические и прочие измерения, а также использование методов экономико-математического моделирования.
Теоретической базой исследования послужили научные труды зарубежных и отечественных учёных в области исследования проблемы обеспечения информационной безопасности, нормативные правовые акты Российской Федерации, а также материалы международных научно-практических конференций.
Информационной основой диссертации явились статистические данные Федеральной службы государственной статистики, российские социологические исследования, материалы исполнительных органов власти, статистические данные Института компьютерной безопасности и Федерального бюро расследований США, отчётность корпораций. Кроме того, использована электронная информация с серверов сети «Интернет»,
Научная новизна диссертационного исследования заключается в разработке и обосновании теоретико-методических рекомендаций по совершенствованию управления промышленным предприятием на основе формирования системы информационной безопасности, позволяющей, с позиций комплексного подхода, обеспечить согласованность и эффективность действий между организационными, технологическими, техническими,
правовыми и экономическими решениями при создании требуемого уровня информационной безопасности.
Научная новизна диссертационного исследования подтверждается следующими научными результатами» выносимыми на защиту:
- исследован комплекс проблем управления промышленным предприятием с позиций всевозрастающей роли информационной безопасности и, на этой основе, разработан концептуальный подход, согласно которому, при обеспечении требуемого уровня информационной безопасности, необходимо учитывать системное взаимодействие организационных, технологических, технических, правовых и экономических решений (п. 15.2 Паспорта специальности 08.00.05);
- установлено, что в современных условиях ведения бизнеса необходимо проводить детальный анализ профиля угроз информационной безопасности предприятия, позволяющий предельно чётко установить перечень существующих и перспективных не только внешних, но и обязательно внутренних угроз, которые представляют всё большую опасность и исходят от сотрудников, имеющих доступ к конфиденциальной информации в силу своих служебных обязанностей (п. 15.13 Паспорта специальности 08.00.05);
- предложена методика формирования и реализации политики информационной безопасности на промышленном предприятии, которая построена на регламентации деятельности практически всех сфер, обеспечивающих требуемый уровень информационной безопасности, что позволяет эффективно противодействовать не только внешним, но и внутренним угрозам (п. 15.1 Паспорта специальности 08.00.05);
- усовершенствована методика оценки эффективности инвестиций в создание и функционирование системы информационной безопасности на промышленном предприятии, отличающаяся от известных подходов тем, что позволяет не только выполнить оценку затрат на обеспечение требуемого уровня информационной безопасности, но и обосновать их эффективность (п.15.13 Паспорта специальности 08.00.05);
- уточнено содержание понятия страхования информационных рисков как альтернативного способа обеспечения требуемого уровня информационной безопасности на промышленном предприятии и выявлены случаи, когда наиболее целесообразно использовать такой вид страхования (п. 15.13 Паспорта специальности 08.00.05).
Практическая значимость диссертационного исследования состоит в возможности использования методических положений и рекомендаций в качестве конкретного экономического инструментария, направленного на совершенствование методов управления промышленным предприятием на основе формирования эффективной системы информационной безопасности.
Полученные результаты диссертационного исследования могут быть использованы в учебном процессе при чтении таких дисциплин как: «Корпоративный менеджмент», «Информационные технологии управления», а также в системе подготовке и переподготовки руководителей и специалистов промышленных предприятий.
Апробация и внедрение результатов диссертационного исследования. Основные положения и результаты диссертационного исследования обсуждались и получили положительную оценку на международных и всероссийских научно-практических конференциях и семинарах, в том числе: «Национальная идея и национальная безопасность современной России» (Орёл, 2002 г.), «Методы прикладной математики и компьютерной обработки данных в технике, экономике и экологии» (Орёл, 2004 г.), «Компьютерные технологии при моделировании, в управлении и экономике» (Харьков, Украина, 2005 г.), «Современный менеджмент как ключ к подъёму экономики региона» (Орёл, 2006 г.), «Управление общественными и экономическими системами» (Орёл, 2006 г.), «Современные аспекты экономики» (Санкт-Петербург, 2006 г).
Публикации. Основные результаты диссертационного исследования опубликованы в 10 научных работах общим объёмом 3,2 пл., из них авторских - 2,7 пл.
Структура и объём диссертации. Диссертация состоит из введения, трёх глав, заключения, списка использованных источников, включающего 170 наименований. Основная часть содержит 157 страниц, 17 рисунков, 2 таблицы, 12 приложений.
Во введении обоснована актуальность темы диссертации, определены её цель и задачи, степень разработанности проблемы, раскрыты научная новизна и практическая значимость исследования.
В первой главе «Теоретические основы управления промышленным предприятием и возрастание роли информационной безопасности» выполнен анализ проблем обеспечения определённого уровня информационной безопасности на промышленном предприятии; предложен концептуальный подход, обеспечивающий формирование эффективной системы информационной безопасности на промышленном предприятии.
Во второй главе «Теоретико-методические подходы по формированию эффективной системы управления информационной безопасностью на промышленном предприятии» проведён анализ и классификация угроз информационной безопасности на промышленном предприятии; исследованы эффективные системы менеджмента обеспечения требуемого уровня информационной безопасности на промышленном предприятии.
В третьей главе «Методическое обеспечение обоснования требуемого уровня информационной безопасности на промышленном предприятии»
предложена методика формирования и реализации политики информационной безопасности на промышленном предприятии; усовершенствована методика оценки эффективности инвестиций в создание и функционирование системы информационной безопасности на промышленном предприятии; даны методические рекомендации по страхованию информационных рисков.
ОСНОВНЫЕ ПОЛОЖЕНИЯ И РЕЗУЛЬТАТЫ РАБОТЫ, ВЫНОСИМЫЕ НА ЗАЩИТУ Исследован комплекс проблем управления промышленным предприятием с позиций всевозрастающей роли информационной безопасности и, на этой основе, разработан концептуальный подход, согласно которому при обеспечении требуемого уровня информационной безопасности необходимо учитывать системное взаимодействие организационных, технологических, технических, правовых и экономических решений.
На основе анализа теории и практики развития современных промышленных предприятий правомерно утверждать, что формирование корпоративных информационных систем осуществляется достаточно хаотично. Только немногие предприятия опираются на продуманную стратегию или планы развития информационной системы. Обычно используется практика «латания дыр», «лоскутная автоматизация» или добавляются новые ИТ-сервисы, причём без привязки к уже существующим. Очень немногие предприятия определяют, насколько их система информационной безопасности комплексная, насколько она покрывает риски, избыточна она или, наоборот, недостаточна. И что немаловажно, в процессе исследования установлено, что система информационной безопасности очень редко обоснована экономически.
В этой связи правомерно утверждать, что при таких подходах, проблема информационной безопасности не только не решается, но и зачастую усугубляется, поскольку решения направлены на реализацию одной или нескольких специальных задач, но не являются системой взаимодействующих и взаимодополняющих друг друга элементов, которая способна в полной мере обеспечить требуемый уровень информационной безопасности.
В диссертации принята точка зрения, согласно которой под информационной безопасностью следует понимать состояние защищённости интересов или целей заинтересованного субъекта (собственника) в информационной сфере. Достигается оно через обеспечение приоритетов безопасности: доступности, целостности и конфиденциальности.
В процессе исследования установлено, что для создания реально, а не формально работающей системы информационной безопасности, необходимо обеспечить согласованность между правовыми, организационными, технологическими, техническими и экономическими факторами обеспечения
требуемого уровня информационной безопасности (рисунок 1).
Рисунок 1 - Система факторов, обеспечивающих требуемый уровень информационной безопасности
В диссертации обосновано, что обеспечить абсолютную безопасность информационных активов промышленного предприятия невозможно. Но даже, если бы это и было возможно, то делать это нерационально. Поэтому, формально говоря, некорректно вести речь о том, что на промышленном предприятии следует обеспечивать информационную безопасность. В диссертации доказано, что правомерно ставить задачу обеспечения требуемого уровня информационной безопасности (рисунок 2). В связи с этим должен детально рассматриваться экономический фактор информационной безопасности, так как степень выполнения мер, относящихся к другим факторам (за исключением правовых), должна быть экономически обоснованной.
Полный (100%)
и «
с
о м V
«о
я о
я я
г а. о
•ея
V
а о
а
>>
Остаточный
Нулевой
Реакция на успешную атаку Рисунок 2 - Мнимый, реальный и управляемый уровни информационной безопасности
Более того, в диссертации выявлены условия, при которых выгоднее передать функции службы информационной безопасности предприятия в аутсорсинг или воспользоваться процедурой возмещения убытков вследствие реализации угроз информационной безопасности и т.п.
Таким образом, в диссертации обоснована и предложена следующая концептуальная схема построения эффективной системы информационной безопасности, состоящая из четырёх этапов (рисунок 3). На каждом этапе должны выполняться конкретные действия, в совокупности представляющие собой системное взаимодействие определённого ряда организационных, технологических, технических, правовых и экономических мероприятий, позволяющих обеспечить требуемый уровень информационной безопасности.
ОБСЛЕДОВАНИЕ
Аудит (комплексное диагностическое обследование ИБ)
Ж
Описание существующих ИТ-ресурсов / сервисов бизнес процессов
Ж
Анализ угроз и уязвимостей
системы ИБ. Технический анализ (тесты на проникновение)
С
ж
Анализ рисков
ПРОЕКТИРОВАНИЕ
Разработка Концепции системы ИБ и управления (политики и процедуры И Б, модель злоумышленника)
£
Разработка модели системы ИБ (Дизайн / Архитектура)
I
Техническое проектирование
Разработка документации
С
Экономическое обоснование системы И Б ,
И/
Тестирование
1
Г?
СОПРОВОЖДЕНИЕ 11 ОБСЛУЖИВАНИЕ
Управление непрерывностью ведения
бизнеса, расследование инцидентов, аутсорсинг
ВНЕДРЕНИЕ
Внедрение - поставка, инсталляция, настройка технических компонентов системы ИБ, обучение пользователей и ввод в эксплуатацию
ЗЕ
Подготовка к сертификации
Рисунок 3 — Концептуальная схема построения эффективной системы информационной безопасности
2. Установлено, что в современных условиях ведения бизнеса необходимо проводить детальный анализ профиля угроз информационной безопасности предприятия, позволяющий предельно чётко установить перечень существующих и перспективных не только внешних, но обязательно и внутренних угроз, которые представляют всё большую опасность.
В диссертации показано, что развитие в 1990-х гг. корпоративных информационных систем в России обеспечивалось на основе ориентации на защиту от врага извне. Считалось, что наличие внутреннего врага является более исключением, чем правилом, а наличие строгого контроля персонала и ответственности за. нарушения - достаточными для поддержания требуемого уровня информационной безопасности на предприятии.
В процессе исследования установлено, что усиление конкурентного фактора не позволяет промышленным предприятиям обеспечить комплектование персонала из устойчиво доверительной среды. Свободный рынок труда, как правило, не особенно озабочен «чистотой» работников и историей их прошлой деятельности, да и подделка личных досье уже не является редкостью. Увеличилось количество недоброкачественного продукта, обладающего значительными уязвимостями, создающими простор для деятельности потенциальных злоумышленников. Возросла роль финансового фактора, увеличилась дистанция в оплате вышестоящего и нижестоящего персонала промышленных предприятий, как следствие, усилились фактор обиды и попытки нанесения вреда, как предприятию, так и отдельному лицу.
Указанные и ряд других факторов создали основу по увеличению не только потенциальных, но и фактических возможностей роста внутренних угроз информационной безопасности. В диссертации под внутренними угрозами информационной безопасности понимаются потенциальные причины инцидента, которые могут нанести ущерб системе или промышленному предприятию, вызванные несанкционированным доступом к информационным активам со стороны сотрудников предприятия
В силу разных причин, одной из которых является нежелание «выносить сор из избы», до некоторого времени усиление факторов внутренних угроз замалчивалось. Однако за последние годы появилось достаточно информации по данному вопросу, в результате чего становится ясно, что наличие внутренних угроз является не только потенциальным, но и реальным орудием, успешно используемым злоумышленником. Из-за специфичности вопроса нет точной статистики влияния внутренних угроз, однако появляющаяся системно-обобщающая информация показывает, что данные угрозы стали играть далеко не второстепенную, а, в большинстве случаев, - первостепенную роль.
Исследование материалов по внутренним угрозам со стороны сотрудников за 1999-2006 гг. показало, в чём их сила - в знании и доступности к системам или базам данных, а также в возможностях обходить существующие физические и электронные защитные меры. Около 80% потерь, связанных с нарушением информационной безопасности, вызывается утечкой конфиденциальной информации в результате реализации внутренних угроз.
Таким образом, современные информационные системы можно образно сравнить с укреплёнными крепостями, которые готовы выдержать любой удар извне, но обитатели их в любой момент могут открыть ворота или спустить лестницу со стен. В роли укреплённых стен выступают меры защиты против внешних угроз (вирусы, хакерские атаки и спам), а в качестве действий обитателей выступают саботаж, хищение данных, неосторожные действия сотрудников.
В диссертации разработана классификация типов сотрудников, осуществляющих несанкционированный доступ к информационным активам (рисунок 4),
Рисунок 4 - Основные типы сотрудников, осуществляющих несанкционированный доступ к информационным активам
3. Предложена методика формирования и реализации политики информационной безопасности на промышленном предприятии, которая построена на регламентации деятельности практически всех сфер, обеспечивающих требуемый уровень информационной безопасности, что позволяет эффективно противодействовать не только внешним, но и внутренним угрозам.
В процессе исследования установлено увеличение активности деятельности сотрудников, осуществляющих несанкционированный доступ к информационным активам, а значит, смещение угроз от воздействия внешней среды к внутренней, что приводит к необходимости изменения подходов к обеспечению состояния защищённости промышленных предприятий в информационной сфере.
Доказано, что для противодействия внутренним угрозам необходим целый комплекс различных мер. Во-первых, это обучение персонала. Очень много утечек информации происходит из-за неосторожности или элементарной неграмотности сотрудников. Поэтому проведение их обучения - обязательная
мера, которая должна входить в комплексную программу информационной безопасности.
Установлено, что другими организационными мерами противодействия внутренним угрозам должны являться разработка и чёткое следование корпоративной политике информационной безопасности, в которую в обязательном порядке должно входить разграничение прав. То есть каждый сотрудник должен иметь доступ только к той информации, которая ему необходима для работы.
Третья мера обеспечения безопасности информационных активов от внутренних угроз должна быть технической. Речь идёт о техническом оснащении и специальном программном обеспечении, призванным противодействовать данному типу угроз.
Правомерно утверждать, что среди выделенного комплекса необходимых мер определяющую роль играют организационные меры обеспечения информационной безопасности и, прежде всего, - внедрение и чёткое следование всеми сотрудниками промышленного предприятия политике информационной безопасности.
В диссертации обосновано, что политика информационной безопасности является планом высокого уровня, в котором описываются цели и задачи мероприятий в сфере безопасности. Она обеспечивает планирование всей программы безопасности предприятия так же, как спецификация определяет номенклатуру выпускаемой продукции.
В рамках диссертационного исследования предложена методика формирования и реализации политики информационной безопасности на промышленном предприятии как основного способа противодействия внутренним угрозам. Содержание этого основополагающего документа устанавливает регламентацию практически всей сферы информационной безопасности промышленного предприятия: назначение, сферу применения, проведение независимых проверок, безопасность доступа третьими лицами, классификацию активов, набор персонала, обучение, реагирование на инциденты безопасности, физическую безопасность, управление операциями, средства против вредоносного программного обеспечения и вирусов, контроль
доступа, развитие и поддержание систем, управление непрерывностью бизнеса, соответствие с другими документами и др.
В дополнение к политике информационной безопасности и во исполнение законодательства России в области защиты информации, составляющей предпринимательскую ценность для её обладателей, предложены: приказ об обеспечении коммерческой и служебной тайны промышленного предприятия; перечень сведений, составляющих коммерческую тайну предприятия, перечень сведений, составляющих служебную тайну предприятия; соглашение о неразглашении информации, составляющей коммерческую или служебную тайны предприятия и его контрагентов; положение о порядке обращения с информацией, составляющей коммерческую или служебную тайну предприятия.
4. Усовершенствована методика оценки эффективности инвестиций в создание и функционирование системы информационной безопасности на промышленном предприятии, отличающаяся от известных подходов тем, что позволяет не только выполнить оценку затрат на обеспечение требуемого уровня информационной безопасности, но и обосновать их эффективность
В процессе исследования установлено, что на отечественных предприятиях, предъявляющих повышенные требованиями к информационной безопасности затраты на обеспечение такого режима составляют до 30 % от всех затрат на создание информационной системы. Однако помимо оценки затрат на информационною безопасность, необходимо также провести оценку достигаемого при этом эффекта, то есть обосновать инвестиции в обеспечение информационной безопасности.
В диссертации выполнен анализ целого ряда способов оценки затрат на обеспечение информационной безопасности и обоснования эффективности инвестиций. По результатам анализа усовершенствована методика оценки эффективности инвестирования в формирование и функционирование системы информационной безопасности на промышленном предприятии, отличающаяся от известных подходов тем, что она объединяет в себе методику оценки затрат
на обеспечение требуемого уровня информационной безопасности и методику обоснования их эффективности в одно целое. Кроме того, вводятся дополнительная переменная «стоимость взлома» и признак «мотивация к атаке», что позволяет получить комплексную оценку эффективности конкретной системы информационной безопасности с экономической точки зрения.
Стоимость взлома (СВ)
Моментальная
потеря
прибыли
(П)
Рационально?
с+л < п+в
с
Рисунок 5 - Модель обоснования инвестиций в информационную безопасность В диссертации установлено, что проект по обеспечению информационной безопасности целесообразен, если общие ежегодные расходы на безопасность (Рб) будут меньше общих годовых потерь (По):
Рв<П0, <»>
или иначе:
(Л +С + М) < (Пм + Д(О + в(0), <2> где Л- ежегодная стоимость ликвидации уязвимостей;
С - единовременные расходы на установку защитных механизмов (рассчитывается с учётом дисконтирования);
М— ежегодные расходы на поддержание защитных механизмов в рабочем состоянии;
Пм - моментальные потери;
Щ1) - функция потери доступности в течение времени (;
в(1) — функция ежегодных затрат на восстановление потерянных информационных активов во время неработоспособности системы;
У - цена восстановления защитных механизмов.
Дополнительная переменная — стоимость взлома (СВ) определяется как:
СВ = Ст3 +Стиу <3)
где С}щ-ежегодная стоимость проникновения через защитные механизмы;
Стму - ежегодная стоимость использования уязвимых мест системы.
Защитные механизмы должны строиться так, чтобы стоимость взлома оказалась выше, чем стоимость их построения. Так, для оптимально спроектированной системы:
СВ>(Л + С + М) (4)
Далее вводится дополнительный признак к СБ - мотивация к атаке. Как правило, существует мотивация к атаке системы, если:
СВ<(Пм+Д(0) (5)
5. Уточнено содержание понятия страхования информационных рисков как альтернативного способа обеспечения требуемого уровня информационной безопасности на промышленном предприятии и выявлены случаи, когда наиболее целесообразно использовать такой вид страхования
В процессе исследования установлено, что в России основная масса средств, выделяемых на защиту информации, тратится на выполнение мероприятий, направленных на предупреждение утечки конфиденциальной информации. В случае же произошедшей утечки информации предприятие несёт материальный или моральный ущерб, затрачивая при этом огромные средства на локализацию этих последствий. Практика показывает, что только
комплексная система защиты информации является наиболее надёжным инструментом обеспечения информационной безопасности. Комплексная система защиты информации должна предусматривать правовые, организационные, экономические, технологические и технические механизмы, обеспечивающие локализацию и предотвращение угроз. Однако в диссертации показано, что методам, направленным на компенсацию ущерба при уже реализованных угрозах безопасности информации, руководители предприятий уделяю недостаточное внимание
Доказано, что в современных условиях ведения бизнеса, среди различных способов обеспечения информационной безопасности наибольшую актуальность приобретает процедура страхования информационных рисков, которую можно отнести к экономическим мерам обеспечения информационной безопасности.
В диссертации принята точка зрения, в соответствии с которой под страхованием информационных рисков понимается способ защиты информации в рамках финансово-экономического обеспечения системы информационной безопасности, основанный на выдаче страховыми обществами гарантий субъектам информационных отношений по восполнению материального ущерба в случае реализации угроз информационной безопасности.
В процессе исследования выделены объекты, на которые распространяется страхование информационных рисков, а именно:
- программное обеспечение, Web-серверы, ERP-системы и средства защиты;
- сведения, содержащиеся в базах данных, на файловых серверах и других носителях (бумажные носители, CD, DVD и т.д.);
- финансовые активы в электронной форме (в системах клиент-банк и
пр.).
Что касается страховых случаев, то их пытаются предотвратить все - и страховая компания, не желающая расплачиваться за чужие ошибки, и страхователь, бизнес которого всё равно страдает, несмотря на возмещение понесённых убытков. Следует помнить, что любые поползновения на активы
компании несут с собой и неконтролируемые убытки, такие как, потеря деловой репутации, падение стоимости акций промышленного предприятия, сокращение заказов и отток клиентов, уголовное преследование и персональная ответственность руководства предприятия.
Таким образом, в процессе исследования установлено, что названные выше убытки являются страховыми случаями, к которым можно отнести уничтожение или повреждение застрахованных активов, описанных выше, вследствие наступления следующих событий:
- действие вирусов, червей и троянских коней;
- компьютерные атаки со стороны внешних злоумышленников;
- хищение денежных средств в электронной форме внешними злоумышленниками;
- несанкционированные действия со стороны собственных сотрудников предприятия;
- сбои систем по причине ошибок при их проектировании, разработке, создании, установке, настройке и эксплуатации.
Страховым случаем также является временное прекращение деятельности вследствие любого из вышеперечисленных страховых случаев.
В диссертации установлено, что страхование информационных рисков промышленных предприятий целесообразно использовать в определённых случаях, а именно:
- когда вероятность реализации угрозы не очень велика, но последствия для информационной системы значительны;
- когда информация подлежит восстановлению, и её потеря или модификация незначительно сказывается на работоспособности информационной системы промышленного предприятия;
- когда ущерб от потенциальных потерь низкий при достаточно высокой вероятности реализации угрозы.
ОБЩИЕ ВЫВОДЫ И ПРЕДЛОЖЕНИЯ
Выполненное диссертационное исследование позволило сделать ряд научно-обоснованных рекомендаций направленных на повышение эффективности управления промышленным предприятием на основе
формирования системы, позволяющей обеспечить требуемый уровень информационной безопасности:
1. Установлено, что проблема обеспечения информационной безопасности на промышленных предприятиях не только не решается, но и зачастую усугубляется, поскольку решения направлены на реализацию одной или нескольких специальных задач, но не являются системой взаимодействующих и взаимодополняющих друг друга элементов, которая способна в полной мере обеспечить требуемый уровень информационной безопасности.
2. Доказано, что для создания реально, а не формально работающей системы информационной безопасности на промышленном предприятии, необходимо обеспечить согласованность между правовыми, организационными, технологическими, техническими и экономическими факторами обеспечения требуемого уровня информационной безопасности.
3. Обосновано, что в современных условиях ведения бизнеса необходимо проводить детальный анализ профиля угроз информационной безопасности предприятия, позволяющий предельно чётко установить перечень существующих и перспективных не только внешних, но и обязательно внутренних угроз, которые представляют всё большую опасность и исходят от сотрудников, осуществляющих несанкционированный доступ к конфиденциальной информации.
4. Разработаны теоретико-методические рекомендации по формированию и реализации политики информационной безопасности на промышленном предприятии, позволяющие регламентировать деятельность практически всех сфер, обеспечивающих требуемый уровень информационной безопасности, что позволяет эффективно противодействовать не только внешним, но и внутренним угрозам.
Основные публикации по теме диссертации
1. Тарасов А. В. Экономическая безопасность региона // Национальная идея и национальная безопасность современной России: Материалы международной научно-практической Интернет-конференции/Под ред. к.и.н., доц., А. Л. Елисеева. 1 Ноября - 30 Декабря 2002 г., ОрёлГТУ. - Орёл: типография ОрёлГТУ, 2003. - С. 254-256. (0,17 пл.).
2. Тарасов А. В. Концептуальный подход к формированию системы информационной безопасности на предприятиях в условиях глобальной
экономики // Методы прикладной математики и компьютерной обработки данных в технике, экономике и экологии: всероссийская конференция: Материалы Всероссийской научной конференции 15-17 Ноября 2004 г. — Орёл: ОрёлГТУ, 2004. - С. 208-212. (0,24 пл.).
3. Тарасов А.В. Управление риском информационной безопасности в современных компаниях // Методы прикладной математики и компьютерной обработки данных в технике, экономике и экологии; всероссийская конференция: Материалы Всероссийской научной конференции 15-17 Ноября 2004 г. - Орёл: ОрёлГТУ, 2004. - С. 212-214. (0,11 п.л.).
4. Измалкова С. А., Тарасов А. В. Многоуровневые системы защиты информации на основе деления данных по различным грифам // Компьютерные технологии при моделировании, в управлении и экономике: Сборник научных трудов XV Международной конференции. - Харьков: ХАИ, 2005. - С. 14-22. (0,32 пл., авт. 0,15 пл.).
5. Тарасов А. В. Информационная безопасность: комплексный подход к управлению рисками // Компьютерные технологии при моделировании, в управлении и экономике: Сборник научных трудов XV Международной конференции.-Харьков: ХАИ, 2005.-С. 33-44. (0,41 пл.).
6. Измалкова С. А., Тарасов А. В. Страхование информационных рисков как эффективный способ управления информационной безопасностью предприятий // Финансы и кредит. - 2006. - № 5. - С.71-76. (0,41 пл., авт. 0,2 пл.).
7. Тарасов А. В. Стоимость и возврат инвестиций в информационную безопасность предприятия // Современный менеджмент как ключ к подъёму экономики региона: Сборник научных трудов. Вып.7. - Орёл: ОРАГС, 2006. -С.47-51.(0,6 пл.).
8. Измалкова С. А., Тарасов А. В. Принципы построения эффективной системы информационной безопасности // Управление общественными и экономическими системами [Электронный ресурс]: многопредмет. Науч. Журн/ Электрон. Журн. Орёл: ОрёлГТУ, 2006. - № 2. Режим доступа к журн.: http://bali.ostu.rU/iimc/arhiv/2006/2/Tarasov.doc. (0,41 пл., авт. 0,2 пл.).
9. Тарасов А. В. Обоснование инвестиций в информационную безопасность // Современные аспекты экономики. - 2006. № 17 (110) — С. 4044. (0,24 пл.).
10. Тарасов А. В. Политика информационной безопасности предприятия как основа управления информационной безопасностью // Современные аспекты экономики. - 2006. № 17 (110)-С. 45-50. (0,3 пл.).
Подписано к печати 15.10.2006 г. Формат 60x84 1/16. Печать офсетная.
Объем 1,0 усл.пл. Тираж 100 экз. Заказ 215
Отпечатано с готового оригинал-макета на полиграфической базе Орловского государственного технического университета 302020, г. Орел, Наугорское шоссе, 29.
Диссертация: содержание автор диссертационного исследования: кандидата экономических наук, Тарасов, Алексей Васильевич
ВВЕДЕНИЕ.
1 ТЕОРЕТИЧЕСКИЕ ОСНОВЫ УПРАВЛЕНИЯ ПРОМЫШЛЕННЫМ ПРЕДПРИЯТИЕМ И ВОЗРАСТАНИЕ РОЛИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.И
1.1 Особенности управления промышленным предприятием и роль обеспечения информационной безопасности.
1.2. Современные проблемы обеспечения определённого уровня информационной безопасности на промышленном предприятии.
1.3 Концептуальный подход, обеспечивающий формирование эффективной системы информационной безопасности на промышленном предприятии
2 ТЕОРЕТИКО-МЕТОДИЧЕСКИЕ ПОДХОДЫ ПО ФОРМИРОВАНИЮ ЭФФЕКТИВНОЙ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ.
2.1 Анализ и классификация угроз информационной безопасности на промышленном предприятии.
2.2 Анализ эффективности систем менеджмента обеспечения требуемого уровня информационной безопасности на промышленном предприятии.
2.2.1 Примеры формального определения и применения систем менеджмента информационной безопасности на промышленных предприятиях.
2.2.2 Политики информационной безопасности промышленного предприятия как основа управления информационной безопасность.
2.3 Формирование корпоративных организационных структур, обеспечивающих требуемый уровень информационной безопасности на промышленном предприятии.
3 МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ОБОСНОВАНИЯ ТРЕБУЕМОГО УРОВНЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ.
3.1 Методика формирования и реализации политики информационной безопасности на промышленном предприятии как основного способа противодействия внутренним угрозам.
3.2 Методика оценки эффективности инвестирования в формирование и функционирование системы информационной безопасности на промышленном предприятии.
3.3 Методические рекомендации по страхованию информационных рисков как альтернативного способа обеспечения информационной безопасности на промышленном предприятии.
Диссертация: введение по экономике, на тему "Управление промышленным предприятием на основе формирования эффективной системы информационной безопасности"
Актуальность темы исследования. К числу макротенденций, определяющих развитие современного мирового хозяйства, относятся глобализация и развитие информационной экономики. Однако, в настоящее время, стремительно уходит эйфория, возникшая в результате феноменально интенсивного и фронтального развития информационных технологий. Вместе с этим приходит осознание того, что возникают и стремительно растут риски, связанные с их использованием, появляются совершенно новые угрозы потери информации, приводящие к конкретному, материально выразимому, ущербу. В этой связи возникает прагматичная и, в то же время, исключительно интеллектуальная проблема обеспечения информационной безопасности.
Анализ тенденций и перспектив развития промышленности России показывает, что большинство руководителей предприятий уже принимают меры по защите важной для них информации. Однако эти действия не всегда носят системный характер, поскольку направлены на ликвидацию только отдельных угроз, оставляющих за собой множество уязвимых мест.
Таким образом, научные исследования, направленные на повышение эффективности управления промышленным предприятием на основе формирования системы информационной безопасности, способной обеспечить согласованность и эффективность действий между организационными, технологическими, техническими, правовыми и экономическими факторами при создании требуемого уровня информационной безопасности, являются актуальными
Состояние изученности проблемы. Проблемам обеспечения информационной безопасности предприятий в России посвящены работы таких отечественных учёных, как: В. Адрианов, А. Баутов, А. Голов, М. Давлетханов, Д. Дьяконов, В. Исаев, А. Курило, А. Макарова, Е. Мешайкина, Р. Насакин, А. Павлов, П. Покровский, В.М. Савельев, С. Симонов, Е.
Смирнов, Н. Столяров, Е. Терехова, И. Филиппова, Р. Хайретдинов и других авторов.
Среди исследователей, рассматривающих проблему информационной безопасности с точки зрения высшего руководства предприятий, наибольший вклад внесли: Дж. Албаниз, С. Беринато, В. Галатенко, Дж. Джейсинг, Г. Лавджой, А. Лукацкий, Дж. Миллер, А. Мицци, М. Мишель, Д. Моррилл, Дж. Риз, В. Сонненрих, Б. Шнайер и некоторые другие.
Вместе с тем, подавляющее большинство работ носит сугубо технический характер и ориентировано, главным образом, на ИТ-персонал. Более того, несмотря на постоянно растущее количество исследований в области информационной безопасности, крайне редко затрагивается вопрос комплексного обеспечения информационной безопасности промышленных предприятий на основе учёта организационных, технологических, технических, правовых и экономических факторов.
Объект исследования - промышленные предприятия, осуществляющие свою деятельность в различных отраслях промышленности.
Предмет исследования - принципы, способы и механизмы управления промышленным предприятием на основе формирования комплексной системы информационной безопасности.
Цель исследования заключается в разработке научных положений и методического обеспечения по совершенствованию управлению промышленным предприятием на основе формирования эффективной системы информационной безопасности.
Для достижения поставленной цели потребовалось решение следующих задач диссертационного исследования:
- исследовать комплекс проблем управления промышленным предприятием с позиций всевозрастающей роли информационной безопасности в условиях глобальной информатизации и интеграции общественных отношений;
- разработать концептуальный подход, согласно которому, при обеспечении требуемого уровня информационной безопасности, необходимо учитывать системное взаимодействие организационных, технологических, технических, правовых и экономических факторов; разработать теоретико-методические подходы по формированию эффективной системы информационной безопасности промышленного предприятия с учётом актуальности внутренних угроз;
- предложить методику оценки эффективности инвестиций в создание и функционирование системы информационной безопасности на промышленном предприятии;
- уточнить содержание понятия страхования информационных рисков как альтернативного способа обеспечения требуемого уровня информационной безопасности на промышленном предприятии.
Теоретическая и методологическая основа исследования. Основой исследования явилась общенаучная методология, предусматривающая системный и процессный подходы к решению рассматриваемых проблем, экономические, социологические и прочие измерения, а также использование методов экономико-математического моделирования.
Теоретической базой исследования послужили научные труды зарубежных и отечественных учёных в области исследования проблемы обеспечения информационной безопасности, нормативные правовые акты Российской Федерации, а также материалы международных научно-практических конференций.
Информационной основой диссертации явились статистические данные Федеральной службы государственной статистики, российские социологические исследования, материалы исполнительных органов власти, статистические данные Института компьютерной безопасности и Федерального бюро расследований США, отчётность корпораций. Кроме того, использована электронная информация с серверов сети «Интернет».
Научная новизна диссертационного исследования заключается в разработке и обосновании теоретико-методических рекомендаций по совершенствованию управления промышленным предприятием на основе формирования системы информационной безопасности, позволяющей, с позиций комплексного подхода, обеспечить согласованность и эффективность действий между организационными, технологическими, техническими, правовыми и экономическими решениями при создании требуемого уровня информационной безопасности.
Научная новизна диссертационного исследования подтверждается следующими научными результатами, выносимыми на защиту:
- исследован комплекс проблем управления промышленным предприятием с позиций всевозрастающей роли информационной безопасности и, на этой основе, разработан концептуальный подход, согласно которому, при обеспечении требуемого уровня информационной безопасности, необходимо учитывать системное взаимодействие организационных, технологических, технических, правовых и экономических решений (п. 15.2 Паспорта специальности 08.00.05);
- установлено, что в современных условиях ведения бизнеса необходимо проводить детальный анализ профиля угроз информационной безопасности предприятия, позволяющий предельно чётко установить перечень существующих и перспективных не только внешних, но и обязательно внутренних угроз, которые представляют всё большую опасность и исходят от сотрудников, имеющих доступ к конфиденциальной информации в силу своих служебных обязанностей (п. 15.13 Паспорта специальности 08.00.05);
- предложена методика формирования и реализации политики информационной безопасности на промышленном предприятии, которая построена на регламентации деятельности практически всех сфер, обеспечивающих требуемый уровень информационной безопасности, что позволяет эффективно противодействовать не только внешним, но и внутренним угрозам (п. 15.1 Паспорта специальности 08.00.05);
- усовершенствована методика оценки эффективности инвестиций в создание и функционирование системы информационной безопасности на промышленном предприятии, отличающаяся от известных подходов тем, что позволяет не только выполнить оценку затрат на обеспечение требуемого уровня информационной безопасности, но и обосновать их эффективность (п. 15.13 Паспорта специальности 08.00.05);
- уточнено содержание понятия страхования информационных рисков как альтернативного способа обеспечения требуемого уровня информационной безопасности на промышленном предприятии и выявлены случаи, когда наиболее целесообразно использовать такой вид страхования (п. 15.13 Паспорта специальности 08.00.05).
Практическая значимость диссертационного исследования состоит в возможности использования методических положений и рекомендаций в качестве конкретного экономического инструментария, направленного на совершенствование методов управления промышленным предприятием на основе формирования эффективной системы информационной безопасности.
Полученные результаты диссертационного исследования могут быть использованы в учебном процессе при чтении таких дисциплин как: «Корпоративный менеджмент», «Информационные технологии управления», а также в системе подготовке и переподготовки руководителей и специалистов промышленных предприятий.
Апробация и внедрение результатов диссертационного исследования. Основные положения и результаты диссертационного исследования обсуждались и получили положительную оценку на международных и всероссийских научно-практических конференциях и семинарах, в том числе: «Национальная идея и национальная безопасность современной России» (Орёл, 2002 г.), «Методы прикладной математики и компьютерной обработки данных в технике, экономике и экологии» (Орёл,
2004 г.), «Компьютерные технологии при моделировании, в управлении и экономике» (Харьков, Украина, 2005 г.), «Современный менеджмент как ключ к подъёму экономики региона» (Орёл, 2006 г.), «Управление общественными и экономическими системами» (Орёл, 2006 г.), «Современные аспекты экономики» (Санкт-Петербург, 2006 г).
Публикации. Основные результаты диссертационного исследования опубликованы в 10 научных работах общим объёмом 3,2 п.л., из них авторских - 2,7 п.л.
Структура и объём диссертации. Диссертация состоит из введения, трёх глав, заключения, списка использованных источников, включающего 170 наименований. Основная часть содержит 157 страниц, 17 рисунков, 2 таблицы, 12 приложений.
Диссертация: заключение по теме "Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда", Тарасов, Алексей Васильевич
ЗАКЛЮЧЕНИЕ
1. В настоящее время мировое сообщество, а вместе с ним и Российская Федерация, вступает в качественно новый этап развития - в этап формирования глобального информационного общества. Вместе с тем, в процессе диссертационного исследования установлено, что проблема обеспечения информационной безопасности на промышленных предприятиях не только не решается, но и зачастую усугубляется, поскольку решения направлены на реализацию одной или нескольких специальных задач, но не являются системой взаимодействующих и взаимодополняющих друг друга элементов, которая способна в полной мере обеспечить требуемый уровень информационной безопасности.
2. Доказано, что для создания реально, а не формально работающей системы информационной безопасности на промышленном предприятии, необходимо обеспечить согласованность между правовыми, организационными, технологическими, техническими и экономическими факторами обеспечения требуемого уровня информационной безопасности.
3. Предложена концептуальная схема построения эффективной системы информационной безопасности промышленного предприятия состоящая из четырёх этапов: обследования, проектирования, внедрения и сопровождения и обслуживания. На каждом этапе должны выполняться конкретные действия, в совокупности представляющие собой организационные, технологические, технические, правовые и экономические меры обеспечения информационной безопасности. Тем самым достигается комплексный подход к созданию эффективной системы информационной безопасности.
4. В процессе исследования установлены и систематизированы с указанием сходств и отличительных черт наиболее яркие и широко используемые примеры формального определения требований к спецификации системы менеджмента информационной безопасности и практического их применения.
5. В процессе диссертационного исследования был обозначен перечень функций соответствующей организационной структуры информационной безопасности и рассмотрены основные достоинства и недостатки способов решения организационных вопросов обеспечения информационной безопасности, используемых на различных промышленных предприятиях.
Установлено, что выполнение наибольшего числа функций возможно только, когда подразделение информационной безопасности является самостоятельным и подчиняется непосредственно высшим руководителям предприятия.
6. Обосновано, что в современных условиях ведения бизнеса необходимо проводить детальный анализ профиля угроз информационной безопасности предприятия, позволяющий предельно чётко установить перечень существующих и перспективных не только внешних, но и обязательно внутренних угроз, которые представляют всё большую опасность и исходят от сотрудников, осуществляющих несанкционированный доступ к конфиденциальной информации.
7. На основании смещения акцента обеспечения состояния защищённости информационных активов промышленных предприятий с внешних угроз на внутренние, а, следовательно, смещения с технических и технологических мер обеспечения информационной безопасности к организационным и правовым, была предложена методика формирования и реализации политики информационной безопасности на промышленном предприятии как основной способ противодействия внутренним угрозам.
8. В дополнение политики информационной безопасности и во исполнение законодательства РФ в области защиты информации, составляющей предпринимательскую ценность для её обладателей, были предложены: приказ об обеспечении коммерческой и служебной тайны промышленного предприятия; перечень сведений, составляющих коммерческую тайну предприятия, перечень сведений, составляющих служебную тайну предприятия; соглашение о неразглашении информации, составляющей коммерческую или служебную тайны предприятия и его контрагентов; положение о порядке обращения с информацией, составляющей коммерческую или служебную тайну предприятия.
9. В процессе исследования проведена систематизация всех известных методов оценки затрат на информационную безопасность и методов обоснования инвестиций в информационную безопасность, приводятся их характерные особенности.
10. На основании указанной систематизации усовершенствована методика оценки эффективности инвестирования формирования и функционирования системы информационной безопасности на промышленном предприятии, отличающаяся от известных подходов тем, что она объединяет в себе методику оценки затрат на информационную безопасность и методику обоснования инвестиций в одно целое. Кроме того, вводятся дополнительные переменные, что позволяет получить комплексную оценку конкретной системы информационной безопасности.
11. В ходе научного исследования даны методические рекомендации по страхованию информационных рисков как альтернативный способ управления информационной безопасностью промышленных предприятий.
Таким образом, научная новизна диссертационного исследования заключается в том, что разработаны теоретико-методические рекомендации по совершенствованию управления промышленным предприятием на основе формирования системы информационной безопасности, позволяющей, с позиций комплексного подхода, обеспечить согласованность и эффективность действий между организационными, технологическими, техническими, правовыми и экономическими решениями при создании требуемого уровня информационной безопасности.
Диссертация: библиография по экономике, кандидата экономических наук, Тарасов, Алексей Васильевич, Орел
1. Конституция Российской Федерации. Новосибирск: Сиб. унив. изд-во, 2002.-48 с.
2. Гражданский кодекс Российской Федерации. М.: Юристъ, 2003.556 с.
3. Уголовный кодекс РФ от 13 июня 1996 г. № 63-ФЗ // Собрание законодательства РФ. 1996 . - № 25.
4. Закон РФ от 27 декабря 1991 г. № 2124-1 «О средствах массовой информации» // Ведомости Съезда Народных Депутатов РФ и Верховного Совета РФ. -1992.- №7.
5. Закон РФ от 5 марта 1992 г. № 2446-1 «О безопасности» // Российская газета,-1992.-№ 103.
6. Закон РФ от 23 сентября 1992 г. № 3523-1 «О правовой охране программ для электронных вычислительных машин и баз данных» // Ведомости Съезда Народных Депутатов РФ и Верховного Совета РФ. -1992. № 42.
7. Закон РФ от 9 июля 1993 г. № 5351-1 «Об авторском праве и смежных правах» // Ведомости Съезда Народных Депутатов РФ и Верховного Совета РФ. -1993.-№32.
8. Закон РФ от 21 июля 1993 г. № 5485-1 «О Государственной тайне» // Российская газета. 1993 . -№ 182.
9. Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» // Собрание законодательства РФ.1995.-№8.
10. Федеральный закон от 3 апреля 1995 г. № 40-ФЗ «О федеральной службе безопасности» // Собрание законодательства РФ. 1995. - № 15.
11. Федеральный закон от 18 июля 1995 г. № 108-ФЗ «О рекламе» // Собрание законодательства Российской Федерации. 1995. -№ 30.
12. Федеральный закон от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене» // Собрание законодательства РФ.1996.-№28.
13. Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» // Российская газета. 2002 . - № 6.
14. Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи» // Российская газета. 2003 . - № 135.
15. Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» // Российская газета. 2004. - № 166.
16. Доктрина информационной безопасности Российской Федерацииутв. Президентом РФ от 9 сентября 2000 г. № Пр-1895) // Российская газета. -2000. -№ 187.
17. Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» // Собрание законодательства Российской Федерации. 1997. - № 10.
18. Указ Президента РФ от 10 января 2000 г. № 24 «О Концепции национальной безопасности Российской Федерации» // Собрание законодательства Российской Федерации. 2000. - № 2.
19. Аганбегян А.Г. Время не столько подводить итоги, сколько работать на будущее // Журналъ для акционеровъ. 2002 (№ 1).
20. Александров И. Без информации нет движения // Финансовая газета. 2006. №4121.
21. Ансофф И. Стратегическое управление М.: Экономика, 1989.520 с.
22. Арзуманов С. В. Оценка эффективности инвестиций в информационную безопасность // Защита информации. Inside. 2005. - №1.
23. Астахов А. Разработка эффективных политик информационной безопасности // Директор ИС. 2004. - № 01.
24. Аудит информационной безопасности основа эффективной защиты предприятия. Режим доступа: http://www.anti-malware.ru/index.phtml?part:=survey&surid=audit.
25. Баутов А. Эффективность защиты информации // Открытые системы. 2003. - № 07-08.
26. Брукинг Э. Интеллектуальный капитал. С.-Пб.:Питер Бук, 2001.198 с.
27. Букович У., Уилльямс Р. Управление знаниями: руководство к действию (Пер. с англ. яз.). -М.: Инфра-М, 2003. 324 с.
28. Вестник Банка России. 2004. - № 68 (792).
29. Вирусы ничто, утечки - всё (05.07.2006 г.). Режим доступа: http ://www.infowatch.ru/threats?chapter= 1471513 96&id=19063 6590.
30. Вихорев С.В., Кобцев Р.Ю. Как узнать откуда напасть или откуда исходит угроза безопасности информации // Конфидент, №2,2001.
31. Вихорев С. Политика обеспечения безопасности // СЮ. 2005. - № 5. Внутренние ИТ-угрозы в России 2004. Режим доступа: http://www.infowatch.ru/threats?chapter-147151396&id=157848009.
32. Внутренние угрозы главная опасность 2006 года по версии IBM (31.01.2006 г.). Режим доступа:http://www.infowatch.ru/threats?chapter=l 14342885&id=l 89999228.
33. Галатенко В. Информационная безопасность // Открытые системы. 1996.-№ 1 (15).-С. 38-43.
34. Галатенко В. Информационная безопасность // Открытые системы. -1996.-№2(16).-С. 53-57.
35. Галатенко В. Информационная безопасность обзор основных положений // Открытые системы. - 1996. - № 3 (17). - С. 42-45.
36. Галатенко В. А. Основы информационной безопасности М: ИНТУИТ.РУ «Интернет-Ун-т Информационных Технологий», 2004 - 280 с.
37. Голов А., Тоболь Б. Как создать управляемую и эффективную систему информационной безопасности // Intelligent Enterprise. 2005. - № 22.
38. Голов А. Построение эффективной системы информационной безопасности // Финансовая газета. 2006 г. № 8.
39. Голов А. Практический подход к построению системы информационной безопасности. Режим доступа:http ://www.topsbi .ru/default. asp?trID= 14&artID=903.
40. Гордейчик С. В. Информационная безопасность предприятия // Дальневосточный экономико-правовой журнал. 2001. № 08 (37).
41. Гостев И. М. Под грифом «коммерческая тайна». Практические советы: что и как делать для защиты коммерческой тайны внутри хозяйствующего субъекта // Защита информации. Inside. 2005. - №1.
42. ГОСТ Р 50779-2000. Статистические методы. Вероятность и основы статистики. Термины и определения.
43. ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения.
44. ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
45. ГОСТ Р ИСО/МЭК 15408-2004 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».
46. Давлетханов М. Защитить информацию? А какую? Режим доступа: http://infobez.ru/article.asp?obno=7325.
47. Давлетханов М. Защита информации в Европе. Режим доступа: http ://infobez.ru/article.asp?obno=l 501.
48. Давлетханов М. Инсайдеры это опасность. Режим доступа: http://www.infobez.ru/catalog.asp?obno=172.
49. Давлетханов М. Инсайдеры атакуют // BYTE. 2006. № 4.
50. Давлетханов М. Юридические меры по защите информации. Режим доступа: http://infobez.ru/article.asp?obno=2110.
51. Директивы ОЭСР «К культуре безопасности». 2002. Режимдоступа: http://oecd.org/pdf7M00034000/M00034292.pdf.
52. Директивы ОЭСР по безопасности ИС и сетей. Режим доступа: http://www.oecd.org/documenty2/0,2340,еп264934255177873941111,00.html.
53. Додонов А. Г., Кузнецова М. Г., Горбачик Е.С. Глобализация информационных систем и безопасность. Режим доступа: http://www.its.org.ua/biblioteka/dodkuzngorb.htm.
54. Домарев В. В. Безопасность инфомационных технологий. Системный подход К.: ООО «Тид «ДС», 2004. - 992 с.
55. Драчёва E.JL, Либман A.M. Проблемы глобализации и интеграции международного бизнеса и их влияние на российскую экономику // Менеджмент в России и за рубежом. 2000. - № 4.
56. Друкер П. Задачи менеджмента в XXI веке: Пер. с англ. М.: «Вильяме», 2000. - 308 с.
57. Дьяконов Д. Страхование информационных рисков как метод защиты информации // Бизнес-разведка. 2003. № 3 (№ 10).
58. Загнетко А. Информация доступная и недоступная. Режим доступа: http://offline.cio-world.ru/2006/49/273907.
59. Инсайдеры ночной кошмар крупного бизнеса (27.09.2006 г.). Режим доступа: http://.infowatch.ru/threats?chapter=147151396&id=199442295.
60. Информационная безопасность предпринимательства. Практические рекомендации. М.: Школа охраны «Баярд», 2005. - 168 с.
61. Информационная безопасность предприятия // Экономический лабиринт. 2001. - № 08 (37).
62. Исаев В. Анализ рисков основа процесса управления информационной безопасностью. Режим доступа: http://www.networkdoc.ru/it-press/read.html?motivate-inform-safety.html.
63. Как бороться с внутренними угрозами. Режим доступа: http://www.cio-world.ru/print/tech/36735/.KacTenbc М. Информациональная экономика и глобализация. Режим доступа:
64. Кастельс М. Информационная эпоха: экономика, общество и культура / Пер. с англ. под научн. ред. О.И. Шкартана. М.: ГУ ВШЭ, 2000. -268 с.
65. Кислов Р., Петренко, С, Симонов С. Информационная безопасность: экономические аспекты // Jetlnfo. 2003. № 10.
66. Копылов В. А. Информационное право: учебник. 2-е изд., перераб. и доп. - М.: Юристъ, 2002. - 512 с.
67. Королёв В., д.т.н., профессор, ак-мик РАЕН Методологические вопросы оценки влияния информационных рисков на деятельность организации
68. Информационно-аналитический электронный журнал. № 14. Режим доступа: http://www.fact.ru/www/arhivl4an-kor.htm.
69. Костюхин Д. Бордачёв А. Методы оценки инвестиций в ИТ: блеск и нищета. Режим доступа: http://www.topsbi.rn/default.asp7trroH 4&artID=49.
70. Крымский Л. Сотрудники компании как основной источник организационных угроз информационной безопасности. Режим доступа: http://www.dsec.rn/about/articles/stuff7.
71. Лазарев О, Лазарев К., Хижа Г. Новая информационная экономика и сетевые механизмы ее развития // Экономические стратегии. № 8. - 2005. -С. 60-65.
72. Лукацкий А. В. Возврат инвестиций в информационную безопасность // PCWeek/RE. 2002. - №42.
73. Лукацкий А. В. Как защититься от информационных рисков // Бизнес-форум IT. 2003. - №10.
74. Макаров А. М. Влияние глобализации на стратегическое управление предприятиями // Проблемы региональной экономики. 2003. - № 3/4.-С. 47-56.
75. Мервинський А. И., Скриник А. П. Система страхования информационных рисков как экономический механизм компенсации ущерба при воздействии информационной безопасности в банковской сфере. Режим доступа: http://www.dstszi.gov.ua/Nov/Stat/Stat8.htm.
76. Мец К. Безопасность и легкомыслие несовместимы // PC Magazine. 2006. - № 4 (178).
77. Мешайкина Е. Процесс глобализации и управление предприятием // Белорусский журнал. 2002. - № 4.
78. Мишель М. Управление информационными рисками // Финансовый директор. 2003. № 9.
79. Насакин Р. Страхование информационных рисков // ИнфоБизнес. 2004. № 6.
80. Некрасова Е. Враг внутри нас // СЮ. 2006. - № 5.
81. Обеспечение информационной безопасности бизнеса / А. П. Курило и др.. М.: БДЦ-пресс, 2005. 512 с.
82. Описание границ системы и построение модели ИС с позиции безопасности. Режим доступа: http://www.cio-world.ru/techniques/effect/23986.
83. Пастоев А. Классифицируем по конфиденциальности // Директор ИС.-2005.-№04.
84. Петренко С. А., Курбатов В. А. Оценка эффективности инвестиций в информационную безопасность // Защита информации. Inside. 2005. - №1.
85. Петренко С. Курбатов В. Разработка политики информационной безопасности предприятия. Режим доступа: http://www.nestor.minsk.by/sr/2005/08/sr50803.html.
86. Петренко С. Оценка затрат компании на информационную безопасность. Режим доступа: http://www.citforum.ru/security/articles/ocenkazatrat/.
87. Петренко С., Симонов С. Экономически оправданная безопасность // IT Manager. 2004. - № 15 (3).
88. Петренко С., Терехова Е. Обоснование инвестиций в безопасность // Директор ИС. 2006. - № 01.
89. Петренко С. А., Терехова Е. М. Оценка затрат на защиту информации // Защита информации. Inside. 2005. - №1.
90. Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность. М: ДМК Пресс, 2005,384 с.
91. Покровский П. Что дороже: ущерб или безопасность // Директор ИС. 2004. - № 10.
92. Политика информационной безопасности. Режим доступа: http://www.cio-world.ru/techniques/effect/23953.
93. Потресов С. Безопасность хранения и обработки данных // Финансовая газета. 2006. № 35 (767).
94. Предприятия России: корпоративное управление и рыночные сделки. М.: ГУ ВШЭ, 2002.
95. Просянников Р. Управление безопасностью: разделение обязанностей // Компьюлог. 2001. - № 3-4.
96. Радыгин А. Корпоративное управление в России: организация и перспективы//Вопросы экономики. 2002 - № 1.
97. Разработка и внедрение политик информационной безопасности. Режим доступа: http://www.globaltrust.ru/Services/Policy.htm.
98. Разработка концепции политики информационной безопасности. Режим доступа: http://www.cio-world.ru/techniques/effect/23984.
99. Разработка политики информационной безопасности организации. Режим доступа: http://www.atlas.krasnodar.ru.
100. Расторгуев С. П. Информационная война. Проблемы и модели. Экзистенциальная математика: учебное пособие для студентов вузов, обучающихся по специальности в области информационной безопасности М.: Гелиос АРВ, 2006. 240 с.
101. Режим доступа: http://www.oecd.org/dataoecd/54/59/17870521 .pdf.
102. Режим доступа: http://www.xisec.com/.
103. Савельев М. С. Безопасности много не бывает? Комплексное управление безопасностью в организации // Connect. Мир связи. 2005. № 1. -С. 58-61.
104. Садердинов А. А., Трайнёв В. А., Федулов А. А. Информационная безопасность предприятия: Учебное пособие. 2-е изд. - М.: Издательско-торговая корпорация «Дашков и Ко», 2004. - 336 с.
105. Сборник руководящих документов по защите информации от несанкционированного доступа / Государственная техническая комиссия при Президенте Российской Федерации.- М., 1998.
106. Седов О. Время аудита информационной безопасности // Директор ИС.-2006.-№06.
107. Сердюк В. Аудит информационной безопасности // BYTE Россия. 2006. № 4.
108. Сёмкин С. Н., Беляков Э. В., Гребенов С. В., Козачок В. И. Основы организационного обеспечения информационной безопасности объектов информатизации: Учебное пособие. -М. Гелиос АРВ, 2005. 192 с.
109. Симония Н. Глобализация и неравномерность мирового развития -Мировая экономика и международные отношения. 2001. - № 3.
110. Симонов С. Анализ рисков, управление рисками // Информационный бюллетень Jet Info № 1(68). 1999. с. 1-28.
111. Словарь русского языка С. И. Ожегова. М.: Русский язык, 1987.
112. Смирнов Е. В., Павлов А. П. Информационно-коммерческая безопасность предприятия // Информационные ресурсы России. 2001. - № 7 (62).
113. Смолкин A.M. Менеджмент: основы организации. М.: ИНФРА-М, 2001.-359 с.
114. Соколова А.А., Филиппова И.А., Информационная безопасность + ТСО = ? // IT manager. 2005. №4 (26).
115. Способы получения и оценки информации. Режим доступа: http://www.fileur.virtualave.net.
116. Стандарт Банка России СТО БР ИББС-1.0-2004 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»// Вестник Банка России. 2004. №68 (792).- С34-65.
117. Стандарт Банка России СТО БР ИББС-1.0-2006.
118. Столяров Н. В. Определение экономической эффективности защиты информации. Режим доступа: http://www.sec4all.net.
119. Стратегии бизнеса: аналитический справочник / Под общейредакцией академика РАЕН, д.э.н. Г.Б. Клейнера М.: «КОНСЭКО», 1998.
120. Стерлии А.Р., Тулин И.В. Стратегическое планирование в промышленных корпорациях США. М.: Наука, 1990. - 263 с.
121. Теренин А. А. Проектирование экономически эффективной системы информационной безопасности // Защита информации. Inside. 2005. -№1.
122. Технический отчёт ISO/lEC TR 13335-2. Информационные технологии. Руководство по управлению защитой ИТ. Часть 2. Управление и планирование защиты ИТ.
123. Управление современной компанией: Под ред. Б. Мильнера и Ф. Линса. М.: ИНФРА-М, 2001. - 360 с.
124. Управление организацией: Под ред. А.Г. Поршнева, З.П. Румянцевой, Н.А. Саломатина. -М.: ИНФРА-М, 1999.-321 с.
125. Филин С. А. Информационная безопасность. М.: Издательство «Альфа-Пресс», 2006. - 412 с.
126. Филиппова И. Выбор по расчёту. Расчёт совокупной стоимости владения проектов по обеспечению информационной безопасности // СЮ. Руководитель информационной службы. 2003. № 11 (20).
127. Формирование корпоративной политики внутренней информационной безопасности // BYTE Россия. 2006 г. № 4 (92).
128. Хайретдинов Р. Внутренние угрозы и борьба с ними // СЮ. 2005. -№7-8.
129. Человеческий фактор засветил личные данные 5 тыс. клиентов Verizon (30.08.2006 г.). Режим доступа:http ://www.infowatch.ru/threats?chapter=1471513 96&id=192713801.
130. Черезов К. Проблема внутри? Решение там же! Режим доступа: http://offfine.cio-world.ru/2006/47/264008/.
131. Чернявский С. Информационная открытость: шаг вперёд, два шага назад // Информационно-аналитический электронный журнал. № 14. Режим доступа: http://www.fact.ru/www/arhivl4tz-ut.htm.
132. Шнайер Брюс. Сектеты и ложь. Безопасность данных в цифоровом мире. СПб.: Питер, 2003.
133. Are you ready for a BS 7799-2 audit? PD 3003:2005.
134. AS/NZS 4360:2004. Risk Management.
135. Bruck Michael. Security Threats From Within. Режим доступа: http://www.entrepreneur.com/.
136. Berinato Scott. A Few Good Metrics // CSO Magazine. 2005. - № 7.
137. Berinato Scott. Calculated Risk // CSO Magazine. 2002. - № 12.
138. Berinato Scott. Finally, a Real Return on Security Spending // CSO Magazine. -2002,- №2.
139. Bingham Jonathan. All Threats Are Internal // IT Business Edge. 2006.-№ 6.
140. CCtoolbox/Goal. Politics. V5.2000.
141. Cybertrust Security Lifecycle Program. Taking a Risk-driven Approach to Information Security. 2005. № 5.
142. DTT: более 50 % ИТ-компаний стали жертвой утечек в 2006 году (03.07.2006 г.). Режим доступа:http://www.infowatch.ru/threats7chaptei-l 47151396&id=l 89999228.
143. European cooperation for Accreditation. EA-7/03. Guidelines for the Accreditation of bodies operating certification/registration of Information security management systems.
144. GAO/AIMD-98-68. Information security management. Learning from leading organizations, May 1998.
145. Gordon L. A. Economic Aspects of Information Security in a Netcentric World. Washington, D. C.: SecurE-Biz CxO Security Summit, 2004.
146. Gordon, L., Loeb, M, Lucyshyn, W. Information security expenditures and real options: A wait-and-see approach // Computer Security Journal. 2004. - № 19(2).
147. Gordon, L., Loeb, M. Return on information security investments: Myths vs. realities // Journal of Strategic Finance. 2002. - № 84.
148. Gordon, L., Richardson, R. The new economics of information security // Information Week 982. 2004. - № 982.
149. Guide to BS 7799 risk assessment. PD 3002:2005.
150. Guide to the implementation and auditing of BS 7799 controls. PD 3004:2005.
151. Guide on the selection of BS 7799-2 controls. PD 3005:2005.
152. Kitteringham, G., McQuate, C. Many happy returns // Security Management. 2003. - № 47 (9).
153. Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector / Carnegie Mellon Software Engineering Institute. August 2004.
154. Insiders Pose The Biggest Threat to Data Security // CSO FOCUS. -2005. -№ 1. vol. 2.
155. ISO/IEC IS 15408:1999. Information technology- Security techniques-Evaluation criteria for IT security.
156. ISO/IEC IS 17799:2005. Информационные технологии. Свод правилуправления информационной безопасностью.
157. ISO/EEC IS 27001:2005 Information technology. Security techniques. Information security management systems. Requirements.
158. ISO/IEC TR 13335-1:1996. Information technology Guidelines for the management of IT security (GMITS) - Part 1: Concepts and models for IT security.
159. Kelly Lucas. Economic Evaluation of a Company's Information Security Expenditures // Morgan Stanley. 2005. - DTEC 6823.
160. Lovejoy Kristin Gallina. The Enemy Inside // CSO-online. 2006.4.
161. Miller Jason. The Panacea of Information Security. Режим доступа: http://www.securityfocus.com/print/columnists/260.
162. Morrill Dan. Disgruntled employees and Intellectual Property Protection. 2006. - № 4.
163. Morrill Dan. Hiring for Culture as well as technical skill in Information Technology.-2005.-№ 1.
164. Palmer, W. What's security worth? // Security Management. 2004. - №48 (3).
165. Pisello, T. Is there a business case for IT security? Security Management. -2004.-№48 (10).
166. Preparing for BS 7799 certification. PD 3001:2005.
167. Purser, S. Improving the ROI of the security management process. Journal of Computers & Security. 2004. - № 23 (7).
168. Schechter S. 'Quantitatively Differentiating System Security'. Berkeley: Workshop on Economics and Information Security, 1 edn, University of California. 2002.
169. Somerson, I. Information: What it costs when it's lost. Security Management. 1994. -№ 38 (10).
170. Sonnenreich Wes. Return On Security Investment (ROSI): A Practical Quantitative Model.
171. Stuart Edward Schechter. Computer Security Strength & Risk: A Quantitative Approach // Harvard University/Cambridge, Massachusetts. 2004. -№5.