Методы оценки информационной безопасности предприятия на основе процессного подхода тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Троников, Игорь Борисович

На современном- этапе состояния общества информационные' технологии (ИТ), активно * внедряются* во все сферы национальной экономики. Сегодня руководство любого промышленного предприятия, по' существу, имеет дело с корпоративной информацией, на основе которой оно и принимает решения. Такая информация должна соответствовать требованиям актуальности, достоверности, структурированности, и, если надо, конфиденциальности.

ИТ в настоящее время являются необходимым атрибутом повышения эффективности бизнес-процессов, в частности, позволяют хозяйствующим субъектам снизить издержки производства, повысить достоверность экономического анализа, правильно выбирать стратегию и тактику проведения мероприятий в условиях наступления форс-мажорных обстоятельств [1]. Одной из наиболее серьезных проблем, затрудняющих применение современных ИТ, является обеспечение их информационной безопасности.

Актуальность и важность проблемы обеспечения безопасности ИТ обусловлены следующими причинами:

- резкое увеличение вычислительной мощности современных компьютеров при одновременном упрощении их эксплуатации;

- высокие темпы роста парка персональных компьютеров, находящихся в эксплуатации в самых различных сферах деятельности;

- резкое увеличение объемов информации, накапливаемой, хранимой на, электронных носителях (в виде электронных документов) и обрабатываемой с помощью компьютеров;

- концентрация информации и сосредоточение в единых базах данных (БД) информации различного назначения и различной принадлежности;

- динамичное развитие программных средств, не удовлетворяющих даже минимальным требованиям безопасности;

- резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;

- демократизация доступа к информации, обусловленная развитием компьютерных сетей как локальных, так и глобальных;

- развитие электронной почты и рост электронного документооборота в компьютерных сетях;

- внедрение электронных технологий в различные виды профессиональной деятельности на финансовых и товарных рынках (электронная коммерция, сетевые банковские и финансовые услуги);

- развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире.

В результате указанных причин возникло острое противоречие между возросшими возможностями методов и средств ИТ и I возможностями методов и средств защиты информационных ресурсов.

Усложнение средств, методов, форм автоматизации процессов обработки информации повышает зависимость промышленных предприятий от степени безопасности используемых ими ИТ, при этом качество информационной поддержки управления напрямую зависит от организации инфраструктуры защиты информации (ИЗИ).

Данные мировой и российской статистики свидетельствуют о тенденции роста масштаба компьютерных злоупотреблений, приводящих к значительным потерям хозяйствующих субъектов различного уровня. Так, количество компьютерных преступлений в России выросло за последние семь лет приблизительно в 150 раз (с 100 в 1997 году до 15000 в 2005 году со среднегодовым темпом роста 88,2%) [2 — 4]. Ущерб от компьютерных злоупотреблений в мире ежегодно возрастает на 35%.

При анализе имеющихся статистических данных в области компьютерных преступлений необходимо учитывать латентность сокрытие компаниями) информации о компьютерных злоупотреблениях. В

России это число достигает 90%. Тем не менее, имеющиеся тенденции б заставляют вносить изменения в стратегии развития компаний и требуют более обоснованной организации ИЗИ.

Анализ результатов исследований, ведущихся в направлении обеспечения информационной безопасности (ИБ) ИТ, показывает, что в настоящее время не до конца решены вопросы научного обоснования структуры системы защиты информации (СЗИ). В первую очередь это касается инфраструктуры защиты бизнес-процессов, которые в свете современных тенденций организации бизнеса играют решающую роль в достижении успеха хозяйствующим субъектом.

Отмеченные обстоятельства обуславливают противоречие между насущной необходимостью научного обоснования концепции построения ИЗИ бизнес-процессов и возможностями теоретико-методологических решений, обеспечивающих это обоснование. При этом необходимо учитывать, что процессный подход к организации и управлению хозяйственной деятельностью предприятия требует применения процессно-ориентированного подхода и к формированию самой ИЗИ бизнес-процессов. Процессно-ориентированный подход к созданию (совершенствованию) ИЗИ бизнес-процессов позволит рассматривать процесс формирования СЗИ как один из вспомогательных процессов, обеспечивающих основные процессы предприятия. Это дает возможность разработки ИЗИ в тесной взаимосвязи с проектированием других бизнес-процессов, что несомненно увеличит их интегрированность, гибкость, сбалансированность и управляемость.

Для блокирования и предупреждения наиболее вероятных информационных угроз на промышленном предприятии должна функционировать такая ИЗИ, которая ориентирована на поддержку бизнес-процессов с учетом структуры информационных активов промышленного предприятия, а в силу ограниченности финансовых ресурсов у предприятия, ИЗИ должна формироваться экономически обоснованно.

В то же время в отечественной и зарубежной теории и практике отсутствует целостная методология организации ИЗИ, рассматриваемая через призму процессного подхода к управлению промышленным' предприятием.

Таким образом, потребность разрешения существующих противоречий в теории и практике создания СЗИ требует дальнейшего развития этих систем и, в частности, ИЗИ бизнес-процессов на промышленном предприятии, что подтверждает актуальность темы диссертационной работы.

Все сказанное определило цели и задачи диссертационного исследования.

Целью диссертационной работы является разработка методов организации экономически обоснованной ИЗИ на промышленном предприятии на основе использования перспективных концепций обеспечения ИБ и процессного подхода к организации управления.

Для достижения поставленной цели в диссертационном исследовании были поставлены и решены следующие задачи:

• анализ связи современных концепций производственного менеджмента с ИЗИ;

• обоснование требований к ИЗИ на промышленном предприятии;

• уточнение понятия информационных активов промышленного предприятия;

• определение путей влияния ИЗИ на основные показатели производственно-хозяйственной деятельности промышленного предприятия;

• обоснование принципов организации ИЗИ;

• разработка концептуальной модели ИЗИ;

• анализ состава затрат на создание ИЗИ промышленного предприятия;

• обоснование системы показателей ИБ;

• разработка комплекса математических моделей оценки и оптимизации ИЗИ бизнес-процессов на промышленном предприятии;

• построение имитационной модели функционирования ИЗИ;

• выработка практических рекомендаций по организации ИЗИ и системы мониторинга безопасности информационных активов промышленного предприятия.

Объектом исследования являются процессы управления промышленным предприятием и их информационная поддержка.

Методы исследования. Решение поставленных задач осуществляется с применением теории защиты информации, системного и структурного анализа, методов экономико-математического моделирования и инструментальных методов, теории вероятностей и математической статистики, теории игр, теории нечетких множеств.

Научная новизна диссертационного исследования состоит в разработке моделей и методических положений оценки инфраструктуры защиты информации бизнес-процессов на промышленном предприятии.

Положения, выносимые на защиту:

1. На основе определения закономерностей влияния информационной инфраструктуры на реализацию бизнес-процессов и выявления тенденций развития информационных активов промышленного предприятия сформированы основные принципы функционирования ИЗИ и определены структурные особенности информационных активов.

2. Уточнено понятие информационных активов промышленного предприятия с учетом ИЗИ.

3. Разработаны теоретические и методологические положения организации ИЗИ на промышленном предприятии в соответствии с требованиями процессного подхода к управлению.

4. Сформулированы принципы организации ИЗИ, поддерживающей бизнес-процессы на промышленном предприятии, являющиеся основой методологии формирования ИЗИ.

5. Предложена концептуальная модель ИЗИ на промышленном предприятии, учитывающая требования и принципы ее организации.

6. Разработана система показателей ИБ, позволяющая оценивать степень информационной защищенности бизнес-процессов как по отдельным свойствам ИЗИ, так и в целом.

7. Разработана система математических моделей оценки ИЗИ, включающая в себя модели:

• оценки защищенности от несанкционированного доступа к информации бизнес-процесса, от перехвата при передаче (приеме), а также хищения носителей информации, от случайных помех и сбоев аппаратно-программных средств, от несанкционированного вмешательства в бизнес-процесс;

• формирования комплексного показателя защищенности;

• оптимизации показателей защищенности;

• выбора наиболее целесообразного варианта ИЗИ.

8. Разработана имитационная модель функционирования ИЗИ как инструментальный метод оценки и прогнозирования уровня защищенности информации на промышленном предприятии.

9. Предложена система мониторинга безопасности информационных активов промышленного предприятия, направленная на оценку и анализ текущих значений разработанной системы показателей ИБ, а также выработку необходимых корректирующих воздействий на ИЗИ.

Практическая значимость заключается в том, что полученные в диссертации результаты исследований могут быть использованы при разработке ИЗИ, обеспечивающей повышение экономической эффективности работы промышленного предприятия. Разработанная система моделей и механизмов их реализации в условиях промышленного предприятия позволяет сформировать рациональную ИЗИ в соответствии с предложенными экономическими и функциональными критериями и ограничениями.

Достоверность научных результатов и обоснованность научных положений, выводов и рекомендаций обеспечивается полнотой анализа теоретических и практических разработок, положительной оценкой на научных конференциях и семинарах, практической проверкой и внедрением результатов исследования на ряде промышленных предприятий, а также положительными отзывами на отчеты о НИР, в которые включены основные результаты исследований.

Апробация работы. Основные положения диссертационного исследования докладывались и обсуждались на конференциях различного уровня: международная научно-техническая конференция "Интеллектуальные системы (IEEE AIS'03)", международная научно-техническая конференция "Интеллектуальные САПР (CAD-2004)", международная конференция "Теория и технология программирования и защиты информации" (2-е Майоровские чтения), международная научно-техническая конференция "Интеллектуальные системы (IEEE AIS'05)", международная научно-техническая конференция "Интеллектуальные САПР (CAD-2006) ".

Результаты исследований внедрены в ФГУП "СПб ОКБ "Электроавтоматика" им. П. А. Ефимова", в учебный процесс ГОУВПО СПбГУ ИТМО и используются при проведении занятий по дисциплинам: «Защита информации», «Информационная безопасность», «Информационная безопасность и защита информации».

Публикации. По теме диссертации опубликованы 8 работ, в том числе входящие в список рекомендованных ВАК для защиты кандидатских диссертаций.

Структура и объем работы. Диссертация состоит из введения, 4 глав, заключения, изложенных на 132 листах машинописного текста, содержит 20 рисунков и 4 таблицы. Список литературы включает 82 наименования.

4.5. Выводы

1. Разработана имитационная модель как инструментальный метод оценки и прогнозирования уровня защищенности информации на промышленном предприятии.

2. Проведен синтез инфраструктуры защиты информации промышленного предприятия

3. Предложена автоматизированная система мониторинга безопасности информационных активов, направленная на оценку и анализ текущего состояния показателей информационной безопасности, а также выработку необходимых корректирующих воздействий на инфраструктуру защиты информации.

Заключение

1. Определены основные тенденции развития и структурные особенности информационных активов во взаимосвязи с бизнес-процессами промышленного предприятия.

2. Уточнено понятие информационных активов промышленного предприятия с целью определения направлений наиболее вероятных информационных угроз.

3. Обоснованы принципы организации инфраструктуры защиты информации, ориентированной на поддержку бизнес-процессов промышленного предприятия.

4. Предложена концептуальная модель инфраструктуры защиты информации на промышленном предприятии, позволяющая разработать систему математических моделей оценки и оптимизации этой инфраструктуры.

5. Выполнен анализ состава затрат на создание инфраструктуры защиты информации промышленного предприятия.

6. Разработана система показателей информационной безопасности бизнес-процессов, обеспечивающая оценку инфраструктуры защиты информации, как по отдельным ее свойствам, так и в целом.

7. Разработана система математических моделей оценки и оптимизации инфраструктуры защиты информации, включающая в себя:

• модель оценки защищенности от несанкционированного доступа к информации;

• модель оценки защищенности от перехвата при передаче информации;

• модель оценки защищенности информации от случайных помех и сбоев;

• модель оценки защищенности от вмешательства в бизнес-процесс;

• модель формирования комплексного показателя защищенности;

• модель оптимизации показателей защищенности;

• модель выбора варианта инфраструктуры защиты информации.

8. Разработана имитационная модель как инструментальный метод оценки и прогнозирования уровня защищенности информации на промышленном предприятии.

9. Предложена система мониторинга безопасности информационных активов, направленная на оценку и анализ текущего состояния показателей информационной безопасности, а также выработку необходимых корректирующих воздействий на инфраструктуру защиты информации.

10. Предложенные в диссертации положения организации инфраструктуры защиты информации обеспечивают необходимые условия для предотвращения информационных угроз, сокращения затрат на информационную безопасность и повышения экономической эффективности производственно-хозяйственной деятельности предприятия.

1. Троников И.Б., Коробейников А. Г., Нестерова Н. А., и др. Процессный подход при управлении качеством продукции на предприятиях, осуществляющих выпуск электронного приборного оборудования // Датчики и системы. № 6, 2008, с. 31-34.

2. Баутов А.Н. Экономический взгляд на проблемы информационной безопасности/Юткрытые системы.- 2002, № 2, С. 28-33

3. Ивлев В. А., Попова Т.В. Процессная организация деятельности: методы и средства. (Консалтинговая компания «ВИЛ Анатех»): Электронный ресурс.: http://www.optim:ru/comp/2001/3/anatech/anatech.asp, 12.01.2005.

4. Ойхман Е.Г., Попов Э.В. Реинжиниринг бизнеса: реинжиниринг организационной и информационной технологии.- М.: Финансы и статистика, 1997,-336 с.

5. Расторгуев С.П. Информационная война. Проблемы и модели. Экзистенциальная математика издательство "Гелиос АРВ", 2006 г., 240 с.

6. Репин В.В., Елиферов В.Г. Процессный подход к управлению.

7. Моделирование бизнес-процессов. Стандарты и качество ,2004 г., 408 с.

8. Тельнов Ю. Ф. Реинжиниринг бизнес-процессов.-М.:МЭСИ, 1999.-106 с.

9. Медынский В.Г., Илъдеменов C.B. Реинжиниринг инновационного предпринимательства: Учеб. пособие/Под ред. проф. B.JI. Ирикова. М.:ЮНИТИ, 1999. -414 с.

10. ГОСТ Р ИСО 9000-2001. Государственный стандарт Российской Федерации. Системы менеджмента качества.

11. Старкова Н.О., Костецкий А.Н. Проблемы количественной оценки объема интеллектуальных активов фирмы: Электронный ресурс.: http://intel-assetshl.ru/artieles/articlell.htm, 28.05.2005.

12. Петренко С.А., Симонов C.B. Управление информационными рисками. Экономически оправданная безопасность М.:Компания АйТи; ДМК Пресс, 2004.- 384 с

13. Федеральный закон от 4 июля 1996 г. № 85-ФЗ "Об участии в международном информационном обмене" (с изменениями от 30 июня 2003 г.).

14. Белов М. Информация новый вид финансовых активов/ТБанковские технологии 1997: Электронный ресурс.: http:/www.bizcom.ru/rus/b 1 /1997/nr2/l 7.html, 30.10.2004.

15. Андреев В:, Здирук К. «ИВК Юпитер»: реализация корпоративной политики безопасности/Юткрытые системы. Июль-август 2003, С.43-46.

16. Баутов А.Н. Эффективность защиты информации/ЛЭткрытые системы. Июль-август 2003; О. 56-60.

17. Березин A.C., Петренко С.А. Построение корпоративных защищенных виртуальных частных сетей//Конфидент: Защита информации. 2001. - № 1, С. 54-61.

18. Северин В. А. Комплексная защита информации на предприятии. Учебник. Городец, 2008 г.

19. Петраков А., Мельников В., Клейменов С. Информационная безопасность и защита информации (3-е издание): "Academia", 2008 г., 336 с.

20. Петраков А., Мельников В., Клейменов С. Информационная безопасность (2-е издание). — "Academia", 2007 г., 336 с.

21. Шелупанов A.A., Шумский A.A. Системный анализ в защите информации. "Гелиос АРВ", 2005 г., 224 с.

22. Козачок В.И., Гребенев С., Семкин С., Беляков Э. Основы организационного обеспечения информационной безопасности объектов информатизации. "Гелиос АРВ", 2005 г., 192 с.

23. Степанов Е., Корнеев И. Защита информации в офисе. "ТК Велби", 2007 г., 336 с.

24. Партыка Т.Л., Попов И.И. Информационная безопасность (2-е издание). "Форум" , 2007 г., 368 с.

25. Бетелина В.Б., Галатенко. В. Основы информационной безопасности. Курс лекций-(3-е издание). "Интернет-университет информационных технологий", 2006 г., 208 с.

26. Садердинов А.А., Федулов A.A., Трайнев В.А. Информационная безопасность предприятия. Учебное пособие. -"Дашков и Ко",2004 г.,336 с.

27. Доктрина информационной безопасности Российской Федерации. Руководящий документ, № Пр-1895,2000,-М,: 0сь-89.2004.- 48 с.

28. Волокитин A.B., Маношкин А.И., Солдатенков A.B. и др. Информа127ционная безопасность государственных организаций и коммерческих фирм. Справочное пособие,- М.: НТЦ «ФИОРД ИНФО», 2002. - 272 с.

29. Федеральный закон "Об информации, информатизации и защите информации", № 149-ФЗ, 2006.

30. ГОСТ Р 51624-00 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования".

31. ГОСТ Р 50922-96. "Защита информации. Основные термины и определения".

32. ГОСТ 51583-00 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования".

33. ГОСТ Р ИСО 7498-2-99. ИТ. ВОС. Базовая эталонная модель. Часть 2. Архитектура защиты информации.

34. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. -Москва. 1992.

35. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения,-Москва, 1992 г.

36. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники от несанкционированного доступа, к информации. -Москва, 1992.

37. Гостехкомиссия России. Руководящий документ Средствавычислительной техники. Защита от несанкционированного доступа кинформации. Показатели защищенности от несанкционированного128доступа к информации.-Москва, 1992.

38. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации: Показатели защищенности от несанкционированного доступа к информации.- М: 1997.

39. ИСО/МЭК 15408-99 «Критерии оценки безопасности информационных технологий».

40. Волокитин A.B., Маношкин А.И., Солдатенков A.B. и др. Информационная безопасность государственных организаций икоммерческих фирм; Справочное пособие,- М.: НТЦ «ФИОРД ИНФО», 2002. - 272 с.

41. Симонов СВ. Технологии аудита информационной безопасности// Конфидент. Защита информации.- 2002, № 2. С. 36-41.

42. Домарев В.В. Безопасность информационных технологий. Системный подход. -К.: ООО ТИД «ДС»: 2004. 992 с.

43. Конеев И.Р., Беляев A.B. Информационная безопасность предприятия.- СПб.: БХВ-Петербург; 2003. 752 с.

44. Северин В.А. Коммерческая тайна в России. Зерцало-м, 2007 г.

45. Семкин А. Н., Семкин С. Основы правового обеспечения защиты информации. "Горячая линия-Телеком", 2008 г., 238 с.

46. Вихорев С, Кобцев Р. Как определить источники угроз//Открытые системы.-2002, № 7-8.-С. 6-11.

47. Threats to Computer Systems: an Overview Computer Systems Laboratory Bulletin, March 1994.

48. Кузнецов ,А. А. Защита деловой информации. "Экзамен", 2008 г., 255 с.

49. Морозов Н. П., Чернокнижный С. Б. Защита деловой информации для всех. -"ИД "Весь!"', 2003 г., 160 с.

50. An Introduction to Computer Security: 'Ibe NTST Handbook. Draft — National Institute of Standards and Technology, Technology Administration,129

51. U.S. Department of Commerce. 1994.

52. Игнатович И. Брокер интеграции приложений //Открытые системы, 2003 .-Сентябрь. С. 8-14.

53. The OLAP Report: Applications. WebSphere MQ Integrator. Programming Guide.

54. Стрелкова E. Интеграция данных предприятия/Юткрытые системы, 2003. Апрель. С. 58-61

55. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. -М.: Горячая линия-Телеком, 2000. 452 с.

56. Симонов С. В. Методология анализа рисков в информационных системам/Конфидент. 2001, № 1, С. 48-53.

57. Троников И.Б., Извозчикова В.В., Матвейкин И.В. и др. Концептуальная модель управления предприятием// Изв. вузов. Приборостроение. 2008. Т. 51, № 5. С. 26—29.

58. Малкж A.A. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб, пособие для вузов,-М: Горячая линия, Телеком, 2004.- 280 с.

59. Сальников В.П. Концептуальные основы обеспечения информационной безопасности российского государства: Электронный ресурс.: http://domarev.kiev.ua/obuch/tez/s001 .htm, 14.12.2004.

60. Гришина Н. В. Организация комплексной системы защиты информации "Гелиос АРВ", 2007 г., 256 с.

61. Райх В.В., Тихонов В.А. Информационная безопасность. Концептуальные, правовые, организационные и технические аспекты. -"Гелиос АРВ", 2006 г., 528 стр.

62. Система управления информационной инфраструктурой- предприятия: Электронный ресурс.: http://www.ecoprog.ru/suii.shtml. 16.04.2005.

63. Система управления информационной инфраструктурой: Электронный ресурс. : http://www.incom.ua/products/Software integration/Standart-software-solutions/sysmanage/index.shtml, 16.10.2005.130

64. Современные подходы к управлению информационной инфраструктурой: Электронный ресурс.: www.computel.ru, 17.11.2004.

65. Орловский С. А. Проблемы, принятия решений при нечеткой? исходной информации; М.: Наука; 1981, -208 с.

66. Kaufman, Arnold, and Gupta, Madan. M. Introduction lo Fuzzy Arithme-lic/Thomson Computer Press, 1991.

67. Takagi Г., Sugeno M. Fuzzy identification of systems its applications to modeling and control. IEEE Transactions on Systems, Man, and Cybernetics, vol. 15, № 1, 1985 pp. 116-132.

68. Леоненков A В. Нечеткое моделирование в среде MATLAB и fuzzy ТБСИ. -СПб : БХВ-Петербург. 2003. 736 с.

69. Масалович А.И. Этот нечеткий, нечеткий, нечеткий мир /PC Week/RE. -1995.- № .16. С.22-27.

70. Петренко С. А. Методика построения корпоративной системы зашиты информации: Электронный ресурс. :http://www.myportal.ru/scc /doc24.html 22.12.2004.

71. Гайкович В., Ершов Д. Основы безопасности информационных технологий. М.:МИФИ, 1995.-94 с.

72. Расторгуев С.И. Обеспечение защиты АИС от недокументированных возможностей программного обеспечения // Конфидент. Защита информации. -2001. №2.-С. 26-29.

73. Бетелин В., Галатенко В. Информационная безопасность в России: опыт составления карты/ZJet Info. 1998, №1, - С. 15-22.

74. Кобзарь М., Калайда И. Общие критерии опенки безопасности информационных технологий и перспективы их использования// Jet Info.-1998, №1. -С. 23-27.

75. Липаев В.В. Качество программных систем. Методические рекомендации. М.: Янус-К. 1998. - 400 с.

76. Липаев В.В. Стандарты на страже безопасности информационных систем// PC WECC/RR -2000. -№ 30. С. 34-40.131

77. Common Criteria for Information Technology Security evaluation. Version 1.0, 96,01.31.

78. Information Technology Security Evaluation Criteria (ITSEC). Harmonized Criteria of France- Germany- the Niderhmds the United KingDom. Department of Trade and Industry, London, 1991

79. W.E Hawden.- Functional program testing and analysis N.Y.: McCrawHiil, 1987.0 12 9 3

80. ГОСУДАРСТВЕННАЯ КОРПОРАЦИЯ «РОСТЕХНОЛОГИИ»