Формирование системы управления информационной безопасностью организации: на примере газодобывающих предприятий тема диссертации и автореферата по ВАК РФ 08.00.05, кандидат экономических наук Абрамов, Михаил Александрович

  • Абрамов, Михаил Александрович
  • кандидат экономических науккандидат экономических наук
  • 2011, Самара
  • Специальность ВАК РФ08.00.05
  • Количество страниц 173
Абрамов, Михаил Александрович. Формирование системы управления информационной безопасностью организации: на примере газодобывающих предприятий: дис. кандидат экономических наук: 08.00.05 - Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда. Самара. 2011. 173 с.

Оглавление диссертации кандидат экономических наук Абрамов, Михаил Александрович

ВВЕДЕНИЕ.

1. ИССЛЕДОВАНИЕ АСПЕКТОВ УПРАВЛЕНИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

ГАЗОДОБЫВАЮЩЕГО ПРЕДПРИЯТИЯ.

1.1. Обеспечение информационной безопасности с позиций управления газодобывающим предприятием.

1.2. Управление рисками информационной безопасности как фактор контроля деструктивных свойств угроз и уязвимостей.

1.3. Меры обеспечения информационной безопасности газодобывающего предприятия направленные на снижение рисков и повышение эффективности управленческих решений.

2. РАЗРАБОТКА ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКИХ МЕР СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ.

2.1. Гармонизация стандартов в области информационной безопасности и разработка подхода к управлению рисками.

2.2. Выбор оптимального решения в многокритериальной динамической системе управления информационной безопасностью.

2.3. Коммерческая ценность информации конфиденциального характера с позиций управления газодобывающим предприятием.

3. КОНЦЕПЦИЯ ФОРМИРОВАНИЯ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

ГАЗОДОБЫВАЮЩЕГО ПРЕДПРИЯТИЯ.

3.1. Систематизация типовых организационных мер газодобывающих предприятий в области управления информационной безопасностью. 119 3.2. Формирование стоимостных показателей коммерческой тайны как меры управления газодобывающим предприятием в части защиты интересов в информационной сфере.

3.3. Оценка рисков информационной безопасности газодобывающих предприятий и формирование типовой системы управления информационной безопасностью организаций группы Газпром.

Рекомендованный список диссертаций по специальности «Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда», 08.00.05 шифр ВАК

Введение диссертации (часть автореферата) на тему «Формирование системы управления информационной безопасностью организации: на примере газодобывающих предприятий»

Актуальность темы исследования. Информационные ресурсы являются основополагающим элементом структуры современной экономики, поэтому обеспечение информационной безопасности актуально для каждого хозяйствующего субъекта, в частности и для газодобывающих предприятий. Продолжающаяся газификация России свидетельствует о важности природного газа как одного из основных источников энергии, применение которого и в производственной, и в повседневной деятельности запланировано на многие годы вперед. Однако, как и остальные минеральные вещества, газ является трудновосполняемым полезным ископаемым. Ограниченность запасов природного газа и отсутствие альтернатив, способных покрыть потребность в энергии, приводят к глобальной борьбе за перспективные районы разработки месторождений газа и газового конденсата на арктическом шельфе и других спорных территориях. Не менее серьезная борьба наблюдается между газодобывающими предприятиями за перспективные газоносные месторождения внутри РФ.

В качестве ключевого инструмента конкурентной борьбы на предприятиях газовой отрасли выступает информация, в связи с чем средства ее обработки, хранения и передачи становятся основным защищаемым объектом, безопасность которого составляет основу устойчивого существования и перспективного развития газодобывающих предприятий. В современных условиях конкурентоспособность любого хозяйствующего субъекта зависит от степени его информатизации, которая положительно сказывается на повышении эффективности производственных, хозяйственных, управленческих и иных процессов, но в то же время понижает уровень их информационной безопасности (ИБ). Задача ее обеспечения, таким образом, входит в состав ключевых, что подтверждает анализ уставных видов деятельности газодобывающих предприятий.

На многих предприятиях, в частности входящих в группу ОАО "Газпром", активно проводятся работы по созданию системы информационной безопасности, что обеспечивает решение текущих задач в данной сфере, но не отвечает существующим потребностям в части управления ею. Такое положение дел связано с устаревшими представлениями управленцев о современных требованиях к уровню информационной безопасности. Это приводит к тому, что обеспечение ИБ становится нерациональным, т.е. проводимые мероприятия по ИБ не отвечают требованиям организации, а выделяемые ресурсы расходуются сверх необходимой меры.

Одна из причин нерационального использования ресурсов на обеспечение ИБ организации вызвана отсутствием взаимосвязи между непосредственно направлением ИБ и бизнесом. Данный недостаток ввиду важности обеспечения ИБ сказывается негативным образом на деятельности всего предприятия.

Недостаточная разработанность организационно-экономических мер управления ИБ организации, а также пренебрежение формированием системы управления ИБ на российских предприятиях обусловили выбор темы диссертационной работы.

Стенень разработанности проблемы. Решению задач обеспечения информационной безопасности уделяется большое внимание как в российской, так и в зарубежной научной литературе, однако проблемы, связанные с формированием системы управления ИБ, проработаны недостаточно полно.

Вопросы обеспечения и управления ИБ, управления ее рисками освещены в работах зарубежных авторов Д. Андина, Н. Бажгорича, Т.Л. Бартона, Д. Данчева, А. Партида, Т.Д. Смедингхофа, У.Г. Шенкира, Л.П. Энглиша и др. В большей степени работы указанных авторов затрагивают технические вопросы обеспечения ИБ, а отраженные в работах методики находят практическое применение в деятельности зарубежных и российских организаций.

Большой вклад в формирование системы взглядов и принципов обеспечения ИБ в России внесли С.И. Ашмарина, А.П. Бацула, В.А. Галатенко, В.В. Домарев, Н.И. Журавленко, В.В. Загоскин, П.Д. Зегжда, В.И. Ильюшенко, В.П. Мак-Мак, С.А. Петренко, В.Д. Провоторов, В.П. Пушкарев, Б.Я. Татарских, A.A. Торокин, А.Ю. Чесалов, В.И. Ярочкин и другие авторы, которые исследовали задачи обеспечения ИБ в трех ее основных областях: инженерно-технической, программно-аппаратной и правовой.

Разработка средств и методов обеспечения ИБ была основной целыо научных исследований в сфере ИБ. Такое положение дел привело к тому, что ИБ стала позиционироваться как убыточная статья расходов, а обеспечение ИБ воспринималось как усложнение бизнес-процессов при достижении минимального эффекта. Ограниченность ресурсов и возрастающая конкуренция во всех видах деятельности привела к необходимости обеспечения ИБ, помимо прочего, и с позиций экономической оправданности и разумности применяемых мер, в связи с чем возникла острая необходимость формирования в организациях системы управления информационной безопасностью.

Цель диссертационного исследования заключается в формировании системы управления информационной безопасностью на основе организационно-экономических мер ее обеспечения.

Поставленная цель обусловила необходимость решения следующих задач:

- исследовать существующие меры обеспечения ИБ, из числа которых выявить и систематизировать организационно-экономические меры для сформирования системы управления ИБ;

- рассмотреть организационные меры ИБ, установить их взаимосвязь в процессе обеспечения ИБ с позиций приоритетного применения в системе управления ИБ;

- разработать модель принятия решений в области ИБ и предложить подход к выбору оптимального решения;

- определить влияние информации конфиденциального характера на управление организацией с позиций обеспечения ИБ, разработать подход к оценке информации, составляющей коммерческую тайну организации;

- рассмотреть подходы к осуществлению риск-менеджмента ИБ на основании стандартов управления рисками систем информационных технологий с учетом сфер конфиденциальности информационного пространства организации;

- изучить типовые организационно-штатные структуры подразделения, обеспечивающего ИБ газодобывающего предприятия, и определить систему управления, позволяющую оптимизировать ИБ; в соответствии с полученными результатами на основании организационно-экономических мер сформировать систему управления ИБ газодобывающего предприятия.

Объект исследования - газодобывающие предприятия Российской Федерации.

Предмет исследования - организационно-экономические отношения, возникающие в процессе формирования системы управления ИБ.

Область исследования. Диссертационное исследование проведено в рамках п. 1.1.11 "Оценка и страхование рисков хозяйствующих субъектов"; п. 1,1.13 "Инструменты и методы менеджмента промышленных предприятий, отраслей, комплексов"; п. 1.1.19 "Методологические и методические подходы к решению проблем в области экономики, организации управления отраслями и предприятиями топливно-энергетического комплекса" Паспорта специальности 08.00.05 "Экономика и управление народным хозяйством: экономика, организация и управление предприятиями, отраслями, комплексами промышленности", утвержденного ВАК.

Методологическая и информационная база исследования. В ходе выполнения диссертационной работы применялась методологическая база исследования, включающая в себя системный и математический анализ, теорию вероятностей, теорию графов, теорию принятия решений, методологию защиты информации, методы экспертных оценок, логическое моделирование.

В качестве информационной базы исследования выступали международные стандарты в области ИБ, законодательные документы и ГОСТы РФ, регламентирующие документы Федеральной службы технического и экспортного контроля, стандарты и иные организационно-нормативные документы ОАО "Газпром" и его дочерних обществ, информационно-аналитические материалы периодических изданий, конференций и форумов.

Научная новизна результатов исследования заключается в разработке теоретико-методических основ и организационно-экономических мер формирования системы управления информационной безопасностью.

Наиболее значимые результаты, характеризующие научную новизну диссертационной работы, заключаются в следующем:

- выявлены и систематизированы организационно-экономические меры обеспечения ИБ, позволяющие сформировать систему управления ИБ;

- сформирована система регламентации организационных мер ИБ в рамках системы управления ИБ, определяющая порядок их применения в процессе обеспечения ИБ газодобывающего предприятия;

- создана модель принятия решений в системе управления ИБ и предложен подход к выбору оптимального решения на основе доработки метода анализа иерархий с учетом как вероятностного определения выполнения задачи, так и основных критериев защищаемых объектов; разработана методика стоимостной оценки информации, составляющей коммерческую тайну организации, и обоснована необходимость такой оценки как фактора, позволяющего оперировать конфиденциальной информацией в качестве актива организации;

- предложен подход к оценке рисков ИБ и разработан процесс управления ими, направленный на минимизацию рисков и предупреждение экономически неоправданных мер обеспечения ИБ. На основании данного подхода проведена оценка рисков ИБ на газодобывающих предприятиях; сформирована система управления ИБ газодобывающего предприятия, позволяющая осуществлять постоянное улучшение состояния Ж с учетом требований бизнеса посредством реализации организационно-экономических мер.

Теоретическая и практическая значимость работы. Результаты, полученные в ходе работы, актуальны для формирования системы управления ИБ организации. Разработанные организационно-экономические меры позволяют минимизировать противоречия, вызванные спорами между топ-менеджерами организации об экономической целесообразности выделения средств на обеспечение ИБ. В ходе исследования установлена связь между системой управления ИБ и управлением организацией.

Выборочное применение полученных результатов возможно в организациях, располагающих информацией конфиденциального характера. Дополнительные преимущества, получаемые за счет формирования системы управления ИБ, положительно скажутся на конкурентоспособности предприятия, что крайне важно в современных условиях.

Апробация результатов исследования. Положения диссертационной работы и отдельные результаты, полученные в ходе исследования, обсуждались на международных и всероссийских научно-практических конференциях:

- 9-й Всероссийской конференции молодых ученых, специалистов и студентов "Новые технологии в газовой промышленности" (Москва, 4-7 октября 2011 г.).

- VI научно-практической конференции молодых ученых и специалистов по проблемам, связанным с добычей, подготовкой и транспортировкой углеводородного сырья, приуроченной к 40-летию ООО "Газпром добыча Надым" (Надым, 6-8 апреля 2011 г.);

- II научно-практической молодежной конференции "Новые технологии в газовой отрасли: опыт и преемственность" (Москва, 6-7 октября 2010 г.);

- 8-й Международной научно-практической конференции "Проблемы развития предприятий: теория и практика" (Самара, 19-20 ноября 2009 г.); конференции "Информационная безопасность: от защиты информации к управлению информационной безопасностью" (Новосибирск, 28 февраля 2008 г.);

XII Международной конференции "Комплексная защита информации" (Ярославль, 13-16 мая 2008 г.);

- 9-я Всероссийской научно-практической конференция "Проблемы информационной безопасности государства, общества и личности" (Томск, 15 февраля 2007 г.).

Публикации. Результаты диссертационного исследования нашли свое отражение в 14 опубликованных работах автора общим объемом 5 печ. л., в число которых входят 4 статьи в изданиях, определенных соответствующим перечнем ВАК.

Структура диссертации. Диссертация состоит из введения, трех глав, заключения и библиографического списка.

Похожие диссертационные работы по специальности «Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда», 08.00.05 шифр ВАК

Заключение диссертации по теме «Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда», Абрамов, Михаил Александрович

Выход

Этап 8. Рекомендации по Рекомендации по контролю контролю V У

1 ( ч

Этап 9. 1 Отчет о проведении

Итоговая документация Г

1> V V

Рис. 1.6. Этапы оценки рисков системы информационной безопасности Первым шагом при оценке рисков системы информационной безопасности должно стать определение масштабов работы, то есть определение границ всех информационных активов предприятия, ресурсов и данных. На этапе определения характеристик устанавливается объем работ по оценке рисков, границы эксплуатационной аттестации, определяются ресурсы, необходимые для оценивания рисков.

Информационные активы предприятия образуют единое информационное пространство (ЕИП), взаимодействие в котором осуществляется в рамках интегрированной модели. Модель охватывает полный процесс непрерывного и дискретного производства: от получения заказа на работу из процесса управления цепочками поставок и управления взаимоотношениями с клиентами, решения задач планирования потребностей в ресурсах и планировании мощностей - до отправления полученного продукта обратно в процесс управления цепочками поставок и взаимоотношениями с клиентами. ЕИП предприятия состоит из двух категорий систем [17]: информационно-управляющие системы (ИУС) - компоненты, подготавливающие и предоставляющие управленческую, производственную и финансовую информацию для принятия решений; автоматизированная система управления технологическими процессами (АСУТП) - компоненты, автоматизирующие процессы, функции и операции по сбору технологических данных и контролю.

Оценка рисков информационной безопасности на газодобывающем предприятии проводится в рамках указанных систем с учетом их производных, т.е. границы анализируемой системы информационной безопасности обусловлены границами ЕИП предприятия.

Каждой категории систем соответствует определенный набор признаков, главные из которых - уровень агрегации данных (объемы данных, обрабатываемых в подсистемах), актуальность данных (дискретность оси времени, в единицах которой функционирует система), критичность данных. Характеристиками агрегации данных являются [17]:

- Агрегированные данные по предприятию;

- Агрегированные данные по производственным процессам, включая движение материальных, человеческих финансовых ресурсов и информации;

- Агрегированные данные по технологическим процессам производства;

- Агрегированные данные по технологическому процессу;

- Единичные показания.

Актуальность данных, определяющая частоту сбора и обновления данных (информации) характеризуется [17]:

- Дискретностью сбора и обработки данных (через определенные промежутки времени по запросу);

- Сбор и обработка в реальном времени.

Критичность данных зависит от информации, циркулирующей в ЕИП, которая может быть как общедоступной, так и информацией ограниченного доступа. Общедоступная информация имеет низкую ценность, и риски связанные с нарушением её безопасности минимальны. Информация ограниченного доступа и средства её обработки подвержены высоким рискам нарушения безопасности, в связи с чем, на газодобывающем предприятии она подразделяется на:

- государственную тайну;

- коммерческую тайну;

- конфиденциальную информацию.

Функциональная область систем (ИУС и АСУТП) и подсистем ЕИП предприятия, определяет вид деятельности и функции систем. Характеристиками функциональной области систем ЕИП являются [17]:

- Обработка аналитической информации по деятельности предприятия и его стратегического планирования и управления;

- Управление основными процессами;

- Управление функциональными процессами;

- Автоматизация и управление технологическими процессами.

Структуризация систем и подсистем ЕИП в соответствии с приведенными характеристиками позволяет получить целостную функционально-организационную классификацию ЕИП, покрывающую все бизнес-процессы, виды деятельности и уровни управления предприятия, таким образом, ЕИП предприятия будет достаточно прозрачно для оценки на предмет рисков информационной безопасности.

Для сбора информации в пределах границ ЕИП может быть использован один или комбинация нескольких наиболее эффективных способов [12]:

- Для сбора необходимой информации может быть разработана специальная анкета, которая распространяется среди технического и административного персонала, занимающегося разработкой или поддержкой ЕИП;

- Опросы технического и административного персонала могут помочь собрать полезную информацию о защищаемых системах и информации.

Посещения мест эксплуатации технических средств ЕИП также позволит получить представление о безопасности физической среды;

- Изучение документации. Полезную информацию о способах контроля безопасности, используемых или планируемых для ЕИП, могут дать документы, определяющие политику в области безопасности; системная документация; документация, касающаяся безопасности. Данные анализа воздействий на функционирование компании или данные оценки критичности ресурсов могут предоставить информацию, касающуюся критичности и чувствительности системы и данных ЕИП;

- Использование автоматических сканирующих устройств. Для эффективного сбора информации о технических системах могут применяться современные технические методы.

Сбор информации это динамический процесс, который является неотъемлемой частью анализа рисков информационной безопасности.

Исходя из характеристик ЕИП предприятия, осуществляя оценку рисков, выделяются угрозы информационной безопасности, которые могут иметь дестабилизирующие последствия для деятельности и интересов предприятия. Угроза - это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы. Уязвимость -недостаток в системе, который может проявиться случайно, либо намеренно эксплуатироваться. Источник угроз не несет опасности, если отсутствует уязвимость, которая могла бы проявиться. При определении вероятности угрозы следует рассматривать источники угроз, потенциальную уязвимость и существующие методы контроля.

Источник угроз определяется как любое обстоятельство или событие, обладающее потенциалом нанести урон субъекту или объекту ЕИП. Источниками угроз могут быть намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость. При определении источников угроз необходимо принимать во внимание специфику газодобывающей отрасли, в настоящее время на многих предприятиях проходит интеграция основных процессов финансового, бухгалтерского, налогового, управленческого учета и планирования, управления закупками и складским учетом, а также процессов управления параметрами добычи газа в единую информационную систему. В результате существенно растет количество обрабатываемой информации и сложность информационных потоков, а также усиливается зависимость основных бизнес-процессов от информационных технологий. В связи с этим появляются новые угрозы конфиденциальности, целостности и доступности информации, а также растет возможный ущерб от реализации таких угроз. В частности, все более актуальными становятся внутренние угрозы информационной безопасности, такие, как несанкционированный доступ к информации, сбои из-за халатности или ошибок работников, утечки конфиденциальной информации, кражи переносных носителей информации и т.п.

Мотивация и возможности для осуществления атак делают человека потенциально опасным источником угроз, а с учетом достижений в области защиты информации от внешних угроз, внутренний нарушитель становится значительно опаснее внешнего. Среда антропогенных угроз является наиболее значимой и опасной для любого предприятия и носит схожий характер, в отличие от техногенных и естественных угроз.

ЗАКЛЮЧЕНИЕ

Информация во все времена являлась значимым ресурсом в осуществлении любой деятельности. Целостность, доступность и неизвестность информации зачастую были определяющими факторами в решении многих вопросов, позволяя её собственнику добиться значительных преимуществ над конкурентами. С развитием информационных технологий, их вовлеченностью во все жизненные процессы человека, информация коренным образом утвердилась в статусе источника способствующего получению значимых преимуществ в соответствующей деятельности.

Многолетняя ориентация Российского государства на добывающие отрасли, в частности добычу газа и газового конденсата, как одного из основных источников государственного дохода, послужила толчком для становления отрасли как одной из самых технологичных. Осознавая существенную роль газодобывающей отрасли в экономике России, государство содействовало газодобывающим предприятиям в развитии технологий производства и управления в соответствии с лучшими мировыми практиками.

Повышение качества управления и производства достигалось за счет информатизации отрасли, существенные средства вкладывались в автоматизацию. Появление новых технологий сказалось на увеличении информационных активов газодобывающих предприятий, в том числе на появлении информации представляющей коммерческую ценность. Данная информация и средства её обработки, передачи, хранения требовали особого подхода в обеспечении их безопасности. Обеспечение информационной безопасности стало одним из ключевых видов деятельности направленного на достижение основной цели деятельности газодобывающего предприятия.

Достаточные финансовые возможности газодобывающих предприятий обеспечивали потребности в комплектовании информационного пространства необходимыми средствами информационной безопасности. Несмотря на достаточную оснащенность газодобывающих предприятий средствами информационной безопасности, уровень информационной безопасности не отвечал современным требованиям. Основной проблемой направления информационной безопасности было отсутствие системы управления, что отрицательно сказывалось на эффективности многих решений и как следствие формировании полноценной системы информационной безопасности.

Лидером газодобывающей отрасли России является ОАО «Газпром», а его основные принципы производства и управления считаются образцовыми, в связи с чем, предметом анализа были выбраны типовые документы, структуры и иные сведения присущие газодобывающим предприятиям, входящим в группу Газпром.

В ходе анализа организационно-штатной структуры и направлений работы подразделений, обеспечивающих безопасность предприятия, были выявлены недостатки в структуре подчинения отделов информационной безопасности, а именно наличие промежуточных руководящих надстроек между первым лицом предприятия и лицом, непосредственно отвечающим за руководство направлением информационной безопасности. Для наглядного отображения взаимосвязи бизнеса и направления информационной безопасности построена соответствующая зависимость отражающая значимость направления в результате степени понимания необходимости обеспечения информационной безопасности на предприятии. Указанная зависимость построена с учетом требований отвечающих уровню зрелости, в соответствии с моделью стандарта СоЬк, информационной безопасности на газодобывающем предприятии. В виду необходимости вовлечения в процесс управления информационной безопасностью руководителей, была схематично сконфигурирована система управления, основанная на процессном подходе.

Формирование комплексной системы защиты единого информационного пространства газодобывающего предприятия должно осуществляться с учетом рисков, на основании которых применяются соответствующие средства и методы информационной безопасности. Для поддержания комплексной системы защиты в адекватном состоянии, отвечающем необходимому уровню безопасности, предложен подход к ведению риск - менеджмента, основанный на практиках лучших мировых стандартов в этой области. Все мероприятия по ведению риск - менеджмента были адаптированы под специфику газодобывающего предприятия с учетом основных сфер конфиденциальности.

Минимизация рисков до необходимого уровня в соответствии с принятой на предприятии политикой информационной безопасности, сопряжена с разработкой комплексной системы защиты предприятия. На основании разработанной модели политики информационной безопасности и исследованных типов средств и методов защиты информации, была переработана обобщенная модель построения рубежной защиты в модель защиты составляющих единого информационного пространства газодобывающего предприятия, учитывающая необходимость защиты не только рубежей, но и уровней, введенных в модель для оценки системы защиты всех информационных активов.

Обеспечению информационной безопасности присуще общие подходы и принципы, которые находят свое отражение в многочисленных стандартах и иных методологических документах. Однако многообразие подходов к обеспечению информационной безопасности усложняет процесс управления системой информационной безопасности. В ходе анализа признанных мировых практик в области информационной безопасности была разработана модель гармонизации стандартов в области управления информационными активами газодобывающего предприятия включающая в себе наиболее оптимальные методы. На основе разработанной модели был усовершенствован процесс управления рисками информационной безопасности.

В ходе управления системой информационной безопасности существует постоянная необходимость осуществлять выбор решений направленных на поддержания требуемого уровня безопасности. Для выбора решения максимально приближенного к оптимальному была разработана модель принятия решений в системе управления информационной безопасностью. Непосредственный выбор решения выполняется в системе выбора решений, которая основана на методе анализа иерархий, который в свою очередь был доработан с учетом существующих недостатков.

В современном информационном обществе, информация должна фигурировать не только как источник конкурентных преимуществ, но и как полноценный актив. Становление ценной информации в качестве полноценного актива предприятия может быть осуществимо только после оценки её стоимости, для чего была разработана авторская методика позволяющая провести оценку с соблюдением норм и правил российского законодательства. Позиционирование ценной информации в качестве актива предприятия позволило повысить эффективность системы управления информационной безопасностью за счет применения значений стоимости информации при осуществлении выбора решений не только при обеспечении безопасности, но и при управлении предприятием в целом.

Большинство процессов управления информационной безопасностью задекларировано в организационно-правовых документах, с ростом числа которых усложняется выбор необходимого воздействия из-за отсутствия понимания значимости регламентирующих документов. Систематизация типовых организационно-правовых документов газодобывающего предприятия (на примере дочернего общества ОАО «Газпром») в области управления информационной безопасностью позволила сформировать систему организационно-правовой регламентации обеспечения информационной безопасности.

В соответствии со спецификой выделения лимитов на информационную безопасность и системой оплаты груда для газодобывающих предприятий входящих в группу Газпром была адаптирована авторская методика оценки ценной информации. Учитывая особенности взаимодействия подразделений газодобывающего предприятия входящего в группу Газпром, разработана схема становления информации коммерческой тайны в качестве актива предприятия.

На основе полученных результатов работы был предложен подход к модернизации системы управления информационной безопасностью газодобывающего предприятия. Модернизация системы основана на принципах управления описываемых циклической моделью Шухарта -Деминга, подразумевающая постоянное улучшение системы. Результатом модернизации системы является систематизация полученных результатов диссертации с учетом их формирования на каждой фазе циклической модели. Модернизированная в соответствии с предлагаемым подходом система позволяет решить вопросы управления, возникающие в процессе обеспечения требуемого уровня информационной безопасности газодобывающего предприятия с наибольшей эффективностью и при меньших затратах, нежели системы основанные на старых принципах управления.

Список литературы диссертационного исследования кандидат экономических наук Абрамов, Михаил Александрович, 2011 год

1. ГОСТ Р ИСО 9000-2008 (ИСО 9000:2005) Системы менеджмента качества. Основные положения и словарь.

2. ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

3. ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.

4. ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности.

5. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.

6. Гражданский кодекс Российской Федерации.

7. Доктрина информационной безопасности Российской Федерации

8. Инструкция по конфиденциальному делопроизводству в ООО «Газпром добыча Ямбург».: Новый Уренгой, Изд. ООО «Газпром добыча Ямбург», 2008.-39 с.

9. Концепция информационной безопасности ОАО «Газпром».: М.: Изд. ОАО «Газпром», 2008. 18 с.

10. Методические рекомендации по обеспечению информационной безопасности в ОАО «Газпром», его дочерних обществах и организациях.: М.: Изд. ОАО «Газпром», 2005. 59 с.

11. Политика информационной безопасности ООО «Газпром добыча Ямбург».: Новый Уренгой, Изд. ООО «Газпром добыча Ямбург», 2010. -24 с.

12. Положение о защите персональных данных в ООО «Ямбурггаздобыча».: Новый Уренгой, Изд. ООО «Газпром добыча Ямбург», 2007. 13 с.

13. Положение о коммерческой тайне в ООО «Газпром добыча Ямбург» ».: Новый Уренгой, Изд. ООО «Газпром добыча Ямбург», 2008. 35 с.

14. Положение об отделе защиты информации филиала «Служба безопасности» ООО «Газпром добыча Ямбург».: Новый Уренгой, Изд. ООО «Газпром добыча Ямбург», 2008. 9 с.

15. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. СТО БР ИББС-1.0-2006.

16. Стандарт Cobit 4.1 Аудит и контроль информационных систем. 2008 -240 стр.

17. Стратегия информатизации ОАО «Газпром». Приложение 1. Методологические подходы, использованные при разработке Стратегии информатизации.: М.: Изд. ОАО «Газпром», 2008. 27 с.

18. Стратегия информатизации ОАО «Газпром». Приложение 2. Оценка текущего состояния и развития информационных технологий.: М.: Изд. ОАО «Газпром», 2008. 408 с.

19. Типовые структуры управления и нормативы численности работников служб корпоративной защиты организаций ОАО «Газпром», М., 2010 г., -71 стр.

20. Устав общества с ограниченной ответственностью «Газпром добыча Ямбург».: Новый Уренгой, Изд. ООО «Газпром добыча Ямбург», 2010. 19 с.

21. Федеральный законом от 29 июля 2004 года № 98 ФЗ «О коммерческой тайне»

22. Федерация европейских ассоциаций риск менеджеров. Стандарты управления рисками.: Пер. с англ. Издательство «РусРиск», 2003.

23. Абрамов М.А. Информационная безопасность в системе управления организации // Актуальные вопросы вузовской науки : сб. науч. и науч.-метод. стат. Самара : Изд-во СИУ, 2010. - с. 5 - 13.

24. Абрамов М.А. Комплексный подход к защите объекта газового комплекса / М.А. Абрамов // Проблемы информационной безопасности государства, общества и личности : сб. материалов 9 Всерос. науч.-практ. конф. Томск: Изд-во В-спектр, 2007. - С. 34-38.

25. Абрамов М.А. Метод анализа иерархий в управлении информационной безопасностью // Научное творчество молодежи: Материалы XII Всероссийской научно-практической конференции 18-19 апреля 2008 года, г. Анжеро-Судженск с. 64-66

26. Абрамов, М.А. Роль управления информационной безопасностью в системе менеджмента предприятия газодобывающей отрасли // Проблемы экономики и управления нефтегазовым комплексом-2010.- № 10. С. 32 - 41

27. Абрамов М.А. Стандарты в области информационной безопасности необходимы в управлении организацией // Стандарты и качество. 2011. - № 1 (883). С. 42-46.

28. Алферов П. От целей бизнеса к ИТ-процессам // Журнал «Intelligent Enterprise» 2009 - № 13 - 14. - с. 47 - 49

29. Анисимов A.A. Менеджмент в сфере информационной безопасности. -Интернет-университет информационных технологий ИНТУИТ.ру, БИНОМ. Лаборатория знаний, 2009. - 176 с.

30. Астахов A. BS 7799 — прародитель международных стандартов // Издание о высоких технологиях CNews. Интернет издание. URL: http://www.cnews.ru/reviews/free/security2006/articles/bs/ (дата обращения 26.08.2010).

31. Астахов А. Разработка эффективных политик информационной безопасности / журнал «Директор ИС» М.: ЗАО «Издательство «Открытые системы». - 2004, №1

32. Ашмарина С.И., Татарских Б.Я. Проблемы обеспечения информационной безопасности экономических систем. Вестник Белорусского государственного экономического университета. -Минск, 2002. №3. - С.40

33. Ашмарина С.И., Татарских Б.Я. Методология формирования и использования информационных ресурсов на промышленных предприятиях. Самара: Изд-во Самар. гос.экон. акад., 2004. - 363 с.

34. Балановская A.B., Татарских Б.Я. Развитие методологии управления информационным обеспечением предприятий промышленности. Саратов: Изд-во Сарат. Ун-та, 2007. - 138 с.

35. Бармен С. Разработка правил информационной безопасности. М.: Вильяме, 2002. - 208 с.

36. Бацула А.П. Информационная безопасность : Учебное пособие. Томск: ТУ СУР, 2007. - 137 с.

37. Бацула А.П. Комплексная защита объектов информатизации : Учебное пособие. Томск: ТУ СУР, 2007. - 156 с.

38. Бекряшев А.К., Белозеров И.П., Бекряшева Н.С. Теневая экономика и экономическая преступность : Электронный учебник. Омск, 2000. - 459 с.

39. Бендиков М.А. Экономическая безопасность промышленного предприятия в условиях кризисного развития // Менеджмент в России и за рубежом М.: Финпресс - 2000, № 2

40. Галатенко В.А. Стандарты информационной безопасности : курс лекций : учебное пособие / второе издание / под редакцией академика РАН В.Б. Бетелина / М.: ИНТУИТ.РУ «Интернет-университет Информационных технологий», 2006. - 264 с.

41. Галатенко В.А. Стандарты и рекомендации в области информационной безопасности // Информационный бюллетень Jet Info. 1996. № 1-3.

42. Голов А., Кузнецов В. Практический подход к построению системы управления ИБ // журнал «СЮ». 2006. - № 5

43. Гольдштейн Г.Я. Основы менеджмента. 2-е изд., перераб. и доп. -Таганрог: Изд-во: ТРТУ, 2003. 230 с.

44. Гостев И.М. Как заставить старую систему безопасности работать эффективно // Защита информации. Конфидент: информационно-методический журнал / учредитель журнала ООО «Конфидент». СПб.: ООО «Конфидент». - 2003, № 6

45. Громов А., Коптелов А. Роль информационной безопасности в обеспечении эффективного управления современной компанией // Электронная версия еженедельника «Финансовая газета». 2004 - № 24 (652).

46. Губский А. Право выбора /БДИ: журнал для директоров служб безопасности / учредитель журнала ООО «Журнал «БДИ». М.: ООО «Журнал «БДИ». - 2011, № 1 (91)

47. Даль В.И. Большой толковый словарь русского языка.: М.: Издательская группа ACT, 2010.-815 с.

48. Домарев В.В. Безопасность информационных технологий. Системный подход. К.: ООО ТИД Диа Софт, 2004. — 992 с.

49. Елисеев А.Г., Шакирова Ф.Р. Концепция построения единого информационного пространства // Газовая промышленность: науч.- технич. и производств, журн. / учредитель журнала ОАО «Газпром». М.: ОАО «Газпром» - 2005, № 6

50. Журавленко Н.И., Организационно-правовая защита информации. Учебное пособие.: Уфа, Восточный университет, 2003. 108 с.

51. Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: Курс лекций.: Барнаул, Изд-во АлтГТУ, 2010.- 104 с.

52. Зегжда П.Д., Зегжда Д.П., Семьянов П.В. и др. Теория и практика обеспечения информационной безопасности. М.: Издательство Агенства "Яхтсмен", 1996. - 298 с.

53. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. М.: Горячая Линия - Телеком, 2000. - 452 с.

54. Земсков Д.А. Экономические аспекты использования систем обеспечения информационной безопасности // научный журнал «Вестник российского государственного торгово-экономического университета». 2007. - № 4 (20) -с. 65-71

55. Зимин B.C. Оценка убытков и анализ структуры предпринимательского риска // Московский оценщик. 2007. - № 2 (45). - С. 37-41.

56. Иванов И.В. Опыт защиты периметров территорий с помощью отечественных технических средств и систем // Алгоритм безопасности. -2003.-№4

57. Ильюшенко В.Н., Бацула А.П., Загоскин В.В., Андык В.Г1. Методологические, организационные и правовые основы информационной безопасности. Томск: Издательство Института оптики атмосферы СО РАН, 2005.-474 с.

58. Интервью с Александром Ефимовым. Информационная безопасность ОАО "Газпром": проблемы гиганта // Журнал "Information Security/ Информационная безопасность" 2006. - № 5. - С. 4-6

59. Карпель Е. А если посчитать . // Газпром: корпоративный журнал ОАО «Газпром» / учредитель журнала ОАО «Газпром». М.: ОАО «Газпром» - 2004, № 1

60. Карпенко С.В. Информационная безопасность: эффективный бизнес-процесс или неизбежные издержки? // Статья SI BIS. 04.03.2009. . URL: http://trn.work.ua/articles/295/ (дата обращения 27.03.2010)

61. Козлов А.И. Экономическая оценка человеческого капитала: концептуальный аспект // Труд и социальные отношения. 2010. - № 2. - С. 47-55.

62. Козюминский В.Д. Система адаптивного управления информационной безопасностью // Журнал "Управление информационной безопасностью" -2008.-Том 12 № 1. -С. 69-74

63. Концепция управления экономической безопасностью предприятия для ИС // Свободная интеллектуальная зона. Региональная экономика и безопасность бизнеса. URL: http://www.reco.ru/articles/safety/concept (дата обращения 07.09.2010)

64. Коробов В.Б., Тутыгин А.Г. Преимущества и недостатки метода анализа иерархий // Известия Российского государственного педагогического университета им. А.И. Герцена. 2010. - № 122. - С. 108 - 115

65. Коротков Э.М., Беляев А.А. Управление экономической безопасностью общества / журнал «Менеджмент в России и за рубежом». М.: Финпресс -2001, №6

66. Кремер Н.Ш. Теория вероятностей и математическая статистика: Учебник для вузов. М.: ЮНИТИ-ДАНА, 2002. - 543 с

67. Лаврухин 10. Мы за рациональное использование материальных, финансовых и интеллектуальных ресурсов // Журнал "Information Security/ Информационная безопасность" 2009. - № 4. - С. 12-13

68. Ларичев О.И. Теория и методы принятия решений, а также Хроника событий в Волшебных странах: Учебник. Изд. второе, перераб. и доп. М.: Логос, 2002. - 392 с.

69. Леденко С.А., Марков А.С., Чикалев И.А. О внедрении ГОСТ ИСО/МЭК 17799 и 27001 // Журнал «Information Security/ Информационная безопасность». 2006 - № 3+4. - с. 58 - 60.

70. Лермонтов Ю.М. Штрафы, пени как объект обложения НДС // Бухгалтерский вестник. 2009. - № 9 (171)

71. Липатников В.А., Стародубцев Ю.И. Защита информации. СПб.: ВУС, 2001.-348 с.

72. Лукацкий А. В. Кто такие ciso и есть ли они в россии? // Журнал «Защита информации. Инсайд». 2007 - № 3 (15). - с 18-20.

73. Мак-Мак В.П. Служба безопасности предприятия. М.: Школа охраны «Баярд», 2003.-208 с.

74. Медведовский И. Практические аспекты проведения аудита информационной безопасности в соответствии с лучшей западной практикой // Русский BugTraq. URL: http://bugtraq.ru/library/security/audit.html (дата обращения 17.04.2010)

75. Нестерук Г.Ф., Молдовян А.А., Нестерук Ф.Г. и др. Повышение избыточности информационных полей адаптивных классификаторов системы информационной безопасности // журнал «Специальная Техника». — 2006. № 1

76. Олейник А.Я. Технология открытых систем. Москва: Янус - К, 2004. -288 стр.

77. Осовецкий Л.Г. Научно-технические предпосылки роста роли защиты информации в современных информационных технологиях // Изв. вузов. Приборостроение. 2003. Т.46, № 7. С. 5-18

78. Оценка упущенной выгоды // Центр экономического анализа и экспертизы. URL: http://www.ceae.ru/pub.htm (дата обращения 11.12.2010)

79. Пархоменко Н., Яковлев С., Пархоменко П. и др. Угрозы информационной безопасности. Новые реалии и адекватность классификации / журнал «Защита информации. Конфидент». 2003. - № 6

80. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / Петренко С.А., Симонов С. В. М.: Компания АйТи ; ДМК Пресс, 2004. - 384 с.

81. Петренко С.А. Методические основы защиты информационных активов компании // CITForum/ URL: http://citforum.ru/security/articles/zahitaaktivov/ (дата обращения 10.08.2007)

82. Подсистема организационно-правовой защиты Электронный ресурс. URL: http://www.zashita-informacii.ru/node/60

83. Покровский П. Защита информации: Анализ рисков // журнал сетевых решений «LAN». URL: http://www.ot.ru/press20041106.html (дата обращения 27.09.2010)

84. Попова А. Рассчитываете на возмещение упущенной выгоды? Докажите ее размер и реальность получения // Спутник главбуха (Самарская область). -2007.-№5.-С. 100.

85. Погорелов Б.А., Мацкевич И.В. О подготовке кадров в области информационной безопасности / Информационное общество. 1997. - N 1. -С. 17-20

86. Провоторов В. Д. Общие принципы создания и функционирования системы обеспечения безопасности предприятия и управления ею // Защита информации. Инсайд. 2006. - N 5. - С. 19-25 .

87. Провоторов В. Д. Рейтинговый подход к защите коммерческой тайны при формировании инновационной конкурентной среды // Защита информации. Инсайд. 2008. - N 3. - С. 30-38

88. Пушкарев В.П., Пушкарев В.В. Методическое пособие «Защита информации в компьютерных системах и сетях»: Томск, 2002. 12 с.

89. Родичев А.Ю., Родичев Ю.А. Системная модель защиты информации информационных систем распределенного типа // Вестник СамГУ -Естественнонаучная серия. 2003. Второй спец. выпуск. С. 15-20

90. Росенко А.П. О выборе аппроксимирующей функции стоимости конфиденциальной информации // журнал «Доклады Томского государственного университета систем управления и радиоэлектроники». -2010.- № 1 (21),ч. 1-е. 23-26

91. Саати Т. Принятие решений. Метод анализа иерархий. М.: Радио и связь, 1993.-224 с.

92. Савельев М.С. Информационная безопасность: экономические аспекты // Информационный бюллетень Jet Info. 2003. № 10.

93. Селивановский A.C. Банковская тайна: состояние и проблемы / журнал «Бухгалтерия и банки». 2006. - № 8,9

94. Семак Е. А. Глобальная и региональная интеграция мировой экономики // Беларусь и мировые экономические процессы: сб. науч. ст./ Вып. 3. 2-е изд., испр. и доп. — Мн. : БГУ, 2006. с. 29-38

95. Семкин С.Н., Семкин А.Н. Основы правового обеспечения защиты информации. Учебное пособие для вузов. М.: Горячая линия - Телеком, 2008.-238 с.

96. Системы безопасности : журнал для руководителей и специалистов в области безопасности / учредитель журнала ООО «Грогек». М.: ООО «Гротек» - 2010, № 3 (93)

97. Смит Д.Д., Симпсон К.Д. Функциональная безопасность. Простое руководство по применению стандарта МЭК 61508 и связанных с ним стандартов / М.: Издательский Дом «Технологии», 2004 г. 208 с.

98. Старцев Ю. Н. S-образные модели развития и технологические разрывы // Вестник Челябинского государственного университета. 2008. - N 27. -С.52-57

99. Томас Л. Бартон, Уильям Г. Шенкир, Пол Л. Уокер Риск-менеджмент. Практика ведущих компаний.: Пер. с англ. М.: Издательский дом «Вильяме», 2008. - 208 с.

100. Торокин A.A. Инженерно-техническая защита информации: учеб. Пособие для студентов, обучающихся по специальностям в обл. информ. Безопасности / М.: Гклиос АРВ, 2005. - 960 с.

101. Трутнев Л.П. Теория принятия решений: Учебное пособие. Изд. 1 -Томск: Томск, гос. ун-т систем управления и радиоэлектроники, 2003. -222 с.

102. Турунтаев Л.П. Теория принятия решений: Учебное пособие. Изд. 2 -Томск: Томск, гос. ун-т систем управления и радиоэлектроники, 2003 -198с.

103. Фролов Д.Б., Грунюшкина С.А., Старостин A.B. Информационная геополитика и сеть интернет : Монография / Под общ. ред. докт. полит, наук, канд. юрид. наук Д.Б. Фролова. М.: РФК - Имидж Лаб., 2008. - 404 с.

104. Хореев A.A. Способы и средства защиты информации. Полтава: Военниздат, 2005. - С. 126

105. Чесалов А. Ю. Методология внедрения стандарта ISO/IEC 27001: 2005 при построении корпоративной системы управления информационной безопасности // Защита информации. Инсайд. 2007, N 1. - С. 36-41.

106. Чибрикин И. Информационная безопасность с высоким уровнем риска: новые угрозы и возможные подходы к их нейтрализации //Информационный бюллетень Jet Info. 2007. -№ 1 (164).

107. Шлыков В.В. Комплексное обеспечение экономической безопасности предприятия. СПб.: Алетейя, 1999. - 144 с.

108. Щеглов А. Метод разграничения доступа к масштабируемой по уровню конфиденциальной информации / журнал «Экономика и производство». -2001.- № 2

109. Юргель Н.В. Управление риском как условие функционирования фирмы // научные труды ДонНТУ. Серия: экономическая. 2008. - выпуск 33-1 - с. 59-65

110. Ярочкин, В.И. Служба безопасности коммерческого предприятия. Серия: Библиотека делового человекам.: Ось-89, 1995. 144 с.

111. Ярочкин В.И. Коммерческая информация фирмы: Утечка или разглашение конфиденциальной информации? М.,1997. - 123 с.

112. Яхъяева Г.Э. Нечеткие множества и нейронные сети. М.: ИНТУИТ.ру «Итернет - университет информационных технологий», 2008. - 320 с.

113. ISO/IEC 27002:2005 Information technology. Security techniques. Code of practice for information security management.

114. ISO/IEC 27005:2008 Information technology. Security techniques. Information security risk management.

115. NIST Special Publication 800-30 Risk Management Guide for Information Technology System. Computer security.

116. Bajgoric N. Continuous computing technologies for enhancing business continuity. Published 2009 by IGI Globa 342 pages.

117. Dancho Danchev. Building and Implementing a Successful Information Security Policy. Published 2003 by Internet Software Marketing Ltd 26 pages.

118. Ernst Jan Oud, CIS A. The value to it of using international standards // Information systems control journal -2005 № 3.

119. Larry P. English. Improving Data Warehouse and Business Information Quality: Methods for Reducing Costs and Increasing Profits. Published 1996 by Wiley 544 pages.

120. Mike Robson and, Philip Ullah. A practical guide to business process reengineering. Published 1996 by Gower in Aldershot, England. 159 pages.

121. Partida A. Andina D. IT Security Management Published 2010 by Springer -244 pages.

122. Thomas J. Smedinghoff. Information Security Law: The Emerging Standard for Corporate Compliance. Published 2008 by IT Governance Ltd 180 pages.

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.