Моделирование обеспечения информационной безопасности корпоративной информационной системы тема диссертации и автореферата по ВАК РФ 08.00.13, кандидат экономических наук Блинов, Алексей Михайлович

В условиях роста масштабов деятельности предприятий и корпораций информационные ресурсы системы управления становятся ключевыми для развития бизнес-процессов и повышения эффективности управления. Информационные ресурсы — базы данных, электронный документооборот, системы документов, обеспечивающие подготовку принятия управленческих решений, являются весьма уязвимыми в условиях усиления конкурентной борьбы и совершенствования информационных технологий доступа к информации, расширения сферы сетевых коммуникаций. Проблема надежной и эффективной защиты информационных ресурсов системы управления от угроз, нацеленных на ухудшение качества информации, физическое разрушение, несанкционированное использование или хищение информационных ресурсов, является актуальной. Решение этой проблемы потребовало разработки теории информационной безопасности и инструментальных методов исследования и реализации системы защиты информации.

Информационные системы управления должны достаточно быстро разрабатываться и легко адаптироваться к постоянно меняющимся требованиям со стороны системы и объекта управления. Потребность в защите информации от несанкционированного, случайного или злоумышленного использования, модификации или уничтожения является перманентной. Эта потребность особенно остро проявилась в последнее десятилетие в связи с расширением компьютерных сетей, обеспечивающих интеграцию большого числа пользователей, ростом масштабов систем управления предприятий.

Защита информационных ресурсов системы управления с целью предупреждения и устранения негативных последствий возможных угроз и противоправных действий может быть обеспечена самыми различными методами и средствами. Создание системы защиты информации (СЗИ) сопряжено со значительными материальными, финансовыми и трудовыми затратами, а сама СЗИ оказывает все большее влияние на эффективность функционирования информационных систем корпоративного типа (КИС).

Цель диссертационной работы — исследование внешних и внутренних факторов, определяющих создание эффективной СЗИ КИС, в том числе:

1. Разработка стратегии информационной безопасности КИС.

2. Разработка теоретических основ построения эффективной системы защиты информации КИС.

3. Создание инструментария для мониторинга СЗИ КИС. Конкретными задачами диссертационной работы являются:

• Установление взаимосвязи понятий «информационная безопасность» и «экономическая безопасность» КИС с целью определения ограничений качественных характеристик информационных ресурсов.

• Анализ стандартов информационной безопасности КИС.

• Разработка концепции построения системы защиты информации КИС.

• Классификация и анализ угроз информационных ресурсов КИС.

• Разработка показателей эффективности СЗИ КИС.

• Классификация методов и средств защиты информационных ресурсов КИС.

• Анализ эффективности применения методов и средств защиты для различных видов угроз информационной безопасности КИС.

Разработка имитационной модели и инструментального метода для исследования влияния угроз на информационные ресурсы КИС.

• Разработка имитационной модели и инструментального метода для построения эффективной системы защиты информации КИС.

• Разработка рекомендаций по созданию программно-технического комплекса моделирования информационной безопасности КИС.

Для решения поставленных задач использовались методы теории информации, теории вероятности, формальной логики, теории множеств и теории графов, экономико-математического моделирования.

Объектом исследования является информационная безопасность КИС, предметом исследования - методы и средства построения и реализации СЗИ. Область исследования ограничена КИС предприятий.

Заключение

Принципиальная особенность современной ситуации заключается в том, что для корпоративных информационных систем, а также ряда информационных систем меньшего масштаба, важнейшей задачей является защита информации.

Информационная безопасность становится составной частью системы экономической безопасности деятельности всех предприятий. Широкое внедрение компьютеров во все виды деятельности, постоянное наращивание их вычислительной мощности, использование компьютерных сетей различного масштаба привели к тому, что угроза потери конфиденциальной информации в системах обработки данных стала неотъемлемой частью практически любой информационной системы.

Начальный этап развития информационной безопасности прочно связан с криптографией; но сегодня делается больший акцент на обеспечение санкционированного доступа и целостности данных, своевременного получения данных в требуемом объеме и надлежащего качества санкционированным пользователям. Пользователь может в любое время затребовать информационные ресурсы, доступ к которым санкционирован системой информационной безопасности, и любой информационный ресурс системы, при соблюдении прав доступа, должен быть доступен пользователям.

Принцип современной защиты информации можно выразить так — поиск оптимального соотношения между доступностью и безопасностью. Защитные свойства электронных систем безопасности во многом зависят от конфигурации сети и используемых в ней программ. Постоянно развиваются и совершенствуются угрозы (появление новых вирусных программ, повышенный интерес конкурентов к содержанию информации, внутренние угрозы, связанные с низкой мотивацией труда персонала, технический прогресс в сфере хищения информации и т.п.).

Система защиты информации является средством борьбы с некомпетентностью пользователей и интеллектом хакеров. Пренебрежение требованиями информационной безопасности всегда оборачивается серьезными потерями и экономическим ущербом. Применяемые на практике подходы и средства защиты информации нередко страдают существенными недостатками и не обладают необходимой надежностью.

Все вышесказанное послужило основанием выбрать для диссертационной работы проблему информационной безопасности корпоративных информационных систем. В качестве основных итогов для выполненного диссертационного исследования следует отметить:

1. Комплексное рассмотрение вопросов обеспечения экономической и информационной безопасности деятельности предприятия.

2. Введение показателей оценки уровня ЭБ деятельности предприятия, эффективности системы ЭБ, основанных на сопоставлении предполагаемой суммы ущерба от действия угроз и затрат на обеспечение ЭБ.

3. Выработка методологической основы проведения исследования проблемы информационной безопасности для построения СЗИ с учетом экономических показателей эффективности.

4. Применение системного анализа при разработке СЗИ КИС: учет внешних и внутренних факторов, влияющих на информационную безопасность КИС, анализ требований нормативных документов и международных стандартов по информационной безопасности, учет экономических показателей информационной безопасности КИС.

5. Определение взаимосвязи показателей информационной безопасности КИС, надежности корпоративной информационной системы, достоверности информации и достоверности корпоративной информационной системы, с эффективностью КИС.

6. Применение методологии «жизненного цикла программного обеспечения (ЖЦПО)» при разработке СЗИ КИС.

7. Структурная декомпозиция КИС на функциональную (ФА) и информационно-технологическую архитектуру (ИТА), используемую для разработки состава и структуры компонентов СЗИ.

8. Использование объектно-ориентированного подхода для разработки модели синтеза оптимальной СЗИ КИС.

9. Формализация параметров модели задачи синтеза СЗИ КИС (объекты защиты; угроз, методов и средств защиты, а также механизмы их применения).

10. Формирование классов объектов защиты КИС («Информационные ресурсы»; «Технические средства обработки данных»; «Программные средства»; «Процедуры и функции системы управления»).

11. Систематизация угроз информационной безопасности, введение показателя для оценки деструктивных изменений определенного класса объектов защиты, обусловленных действием угроз.

12.Классификация методов и средств, используемых при построении СЗИ КИС, введение показателя эффективности применения метода защиты — коэффициента восстановления объектов класса.

13. Разработка экономико-математических моделей синтеза оптимальной СЗИ по критериям:

• минимизация стоимости СЗИ при условии выполнения ограничений на качественные характеристики и время восстановления информационной безопасности КИС для фиксированного набора угроз по всем классам объектов и их представителям;

• минимизация временных затрат по восстановлению КИС при условии выполнения ограничений на качественные характеристики и стоимость восстановления информационной безопасности КИС для фиксированного набора угроз по всем классам объектов и их представителям.

14. Разработка математического аппарата и рекомендаций по реализации моделей синтеза оптимальной СЗИ.

15. Разработка методики проведения экспертных оценок и обработки параметров модели синтеза оптимальной СЗИ КИС.

1. Абрамов A.B., Панасенко С.П., Петренко С.А. "VPN-решения для российских компаний" // Конфидент. Защита Информации, № 1, 2001 г., с. 62-67.

2. Баранов А.П., Борисенко Н.П. Математические основы информационной безопасности. Пособие, Орел,"ВИПС", 1997, 354с

3. Березин A.C., Петренко С.А. "Построение корпоративных защищенных виртуальных частных сетей" // Конфидент. Защита Информации, № 1, 2001 г., с. 54-61.

4. Бешелев С.Д., Гурвич Ф.Г. Экспертные оценки в принятии плановых решений. М., "Экономика", 1976, 79с.

5. Благодатских В.А., Волнин В.А. Стандартизация разработки программных средств. Учебное пособие. М., "Финансы и статистика", 2003, 288с.

6. Блинов A.M. Обеспечение защиты информации в КИС.(Модель построения СЗИ.) Научная сессия профессорско-преподавательского состава, научных сотрудников и аспирантов по итогам НИР 2000 года, сборник докладов, СПб.: Изд-во СПбГУЭФ, 2001.

7. Блинов A.M. Обеспечение защиты информации в КИС.(Возможные виды угроз.) Научная сессия профессорско-преподавательского состава, научных сотрудников и аспирантов по итогам НИР 2001 года, сборник докладов, СПб.: Изд-во СПбГУЭФ, 2002.

8. Блинов A.M. Критерии принятия решения по выбору КИС. XXV научная конференции «Социально-экономическое развитие России и Санкт-Петербурга: проблемы и перспективы», сборник докладов СПб.: Изд-во СПбГУЭФ, 2003.

9. Блинов A.M. Соотношение между понятиями «экономическая безопасность» и «информационная безопасность». Журнал «Современные аспекты экономики», СПб, «Оперативная полиграфия»,2004

10. Блинов A.M., Ильина О.П. Информационная безопасность КИС. Научная сессии профессорско-преподавательского состава, научных сотрудников и аспирантов по итогам НИР 2003 года, сборник докладов, СПб.: Изд-во СПбГУЭФ, 2004.

11. Бройдо В.Л. Достоверность экономической информации в АСУ. Л.: Изд-во Ленингр. ун-та, 1984, 200 с.

12. Вендров A.M. Проектирование программного обеспечения экономических информационных систем. Учебник. М., "Финансы и статистика", 2003, 352с.

13. Вентцель Е.С. Исследование операций. М., "Советское радио", 1972, 552с.

14. Визякин В.Н., Дуженков В.И. Основы экономической безопасности. М., "Бизнес школа", 1997

15. Вычислительные системы, сети и телекоммуникации: Учебник для вузов. 2-е изд. / В.Л. Бройдо. - СПб.: Питер, 2004. - 703 с.

16. Гаврилов Д.А. Управление производством на базе стандартов MRP II. -СПб, "Питер", 2003, 352

17. Гаценко О.Ю. Защита информации. Основы организационного управления. М., Изд. Дом "Сентябрь", 2001, 228с.

18. Гаштольд Л.П., Авдушева Н.Е. Случайные события и их вероятности. Учебное пособие,СПб, Изд-во СПбГУЭФ, 2001, 172с

19. Гованус Г., Кинг P. MCSE Windows 2000 Проектирование безопасности сетей. Учебное руководство. М.: Изд-во "Лори", 2001.

20. Говорухин В.Н., Цибулин В.Г. Введение в MAPLE. Математический пакет для всех. М.,"Мир", 1997

21. Говорухин В.Н., Цибулин В.Г. Компьютер в математическом исследовании. Учебный курс. СПб.,"Питер", 2001, 624с

22. Голдовский И. Безопасность платежей в Интернете. СПб, "Питер",2001,240с.

23. Гостехкомиссия России. Руководящий документ. Автоматизированные системы, защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. 1997

24. Елисеева И.И., Юзбашев М.М. Общая теория статистики: Учебник/Под ред. чл.-корр. РАН И.И.Елисеевой. М., "Финансы и статистика", 1995, 368

25. Емельянов A.A. Имитационное моделирование экономических процессов. М., "Финансы и статистика", 2004

26. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. М.,"Горячая линия-Телеком", 2000, 452с

27. Зегжда Д.П., Платонов В.В. Как построить защищенную информационную систему. СПб, "Мир и семья-95", 1997, 312с.

28. Зегжда П.Д. Теория и прктика обеспечения информационной безопасности. М., Изд-во агенства"Яхтсмен", 1996, 192с.

29. Ильина О.П. Информационные технологии бухгалтерского учета. СПб.: Питер, 2001,688 с.

30. Калянов Г.Н. Структурный системный анализ (автоматизация и применение). М., "ЛОРИ", 1996.

31. Кобзарь М.Т, Калайда И.А. Общие критерии оценки безопасности информационных технологий и перспективы их использования// Jet Info, 1998.- №1.

32. Кобзарь М.Т., Трубачев А.П. Концептуальные основы совершенствования нормативной базы оценки безопасности информационных технологий в России// Безопасность информационных технологий", 2000.- № 4.

33. Коуд П., Норт Д., Мейфилд М. Объектные модели. Стратегии, шаблоны