Оценка информационных рисков хозяйствующих субъектов тема диссертации и автореферата по ВАК РФ 08.00.05, кандидат экономических наук Глухов, Николай Иванович
- Специальность ВАК РФ08.00.05
- Количество страниц 177
Оглавление диссертации кандидат экономических наук Глухов, Николай Иванович
ВВЕДЕНИЕ
ГЛАВА 1. Место и роль системы оценки рискозащищенности информационных активов в системе управления деятельностью предприятия
1.1. Исследование сущности информационных активов хозяйствующих 12 субъектов
1.2. Место системы защиты информационных активов в системе управления 29 деятельностью предприятия
1.3. Анализ основных угроз информационным активам хозяйствующих 39 субъектов
Выводы
ГЛАВА 2. Методические подходы к оценке информационных рисков хозяйствующих субъектов
2.1. Анализ современных методических подходов к обеспечению защищен- 53 ности информационных активов хозяйствующих субъектов
2.2. Исследование особенностей организационного направления в сфере 59 обеспечения рискозащищенности информационных активов предприятия
2.3. Сравнительный анализ методических подходов и инструментария для 70 оценки информационных рисков хозяйствующих субъектов
Выводы
ГЛАВА 3. Разработка методики оценки информационных рисков хозяйствующего субъекта
3.1. Разработка методики оценки информационных рисков хозяйствующих 91 субъектов
3.2. Апробация методики оценки информационных рисков предприятия
3.3. Методические подходы к оценке затрат на обеспечение защищенно- 132 сти информационных активов хозяйствующего субъекта
Выводы
Рекомендованный список диссертаций по специальности «Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда», 08.00.05 шифр ВАК
Управление рисками как фактор обеспечения экономической безопасности хозяйствующего субъекта в сфере сельского хозяйства2012 год, кандидат экономических наук Молодцов, Александр Витальевич
Формирование системы управления информационной безопасностью организации: на примере газодобывающих предприятий2011 год, кандидат экономических наук Абрамов, Михаил Александрович
Теория и методология организации инфраструктуры защиты информации на промышленном предприятии2005 год, доктор экономических наук Стельмашонок, Елена Викторовна
Система обеспечения экономической безопасности организации2004 год, кандидат экономических наук Мищенко, Сергей Николаевич
Методы минимизации финансовых рисков при обеспечении экономической безопасности предприятий металлургии2008 год, кандидат экономических наук Лебедев, Игорь Александрович
Введение диссертации (часть автореферата) на тему «Оценка информационных рисков хозяйствующих субъектов»
Актуальность темы исследования
С развитием цивилизации проблема безопасности и устойчивого развития общества становится острее в связи с развитием науки и техники, стимулирующими радикальные изменения в производстве, мировом товарообмене, интенсификацию потоков финансовых средств и технических идей, что в свою очередь, порождает и немало проблем.
Информационная защищенность является одним из важнейших аспектов общей безопасности на различных уровнях — национальном, отраслевом, корпоративном, персональном. Это связано с тем, что в современном мире экспоненциальный прирост количества информации превратил ее из второстепенного ресурса в фактор, решающим образом влияющий практически на все сферы общественной жизни, отражая тем самым возрастающую информационную зависимость общества. Учитывая широкое использование информационных технологий в сфере бизнеса, а, также рассматривая информацию в качестве экономической категории, следует отметить, что в современных рыночных условиях информация становится ценным активом экономического субъекта. Информационные активы представляют собой совокупность информационных ресурсов с использованием информационных технологий, информационных систем, поддерживающей сетевой инфраструктуры.
Зависимость от информационных систем и технологий означает, что организации становятся более уязвимыми по отношению к угрозам различного рода, и потому, подобно любым другим активам, они нуждаются в сохранности. Анализ состояния дел в сфере оценки защищенности информационных активов хозяйствующих субъектов показывает, что злоумышленные действия над ними не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Все чаще реализуются такие угрозы безопасности хозяйствующим субъектам как мошенничество, вредительство, промышленный шпионаж, компыотерные взломы, заражения компьютерных информационных систем вредоносными программами и др.
Основными источниками угроз ценной корпоративной информации являются внутренние угрозы, связанные с нарушением правил защиты информационных активов, исходящие от персонала хозяйствующего субъекта. Результаты отечественных и зарубежных исследований показывают, что доля этих угроз составляет 60-80% от всех угроз [44, 84, 100, 108, 128, 131].
В практической деятельности специалистами отмечаются колоссальные проблемы, связанные с организационным направлением по достижению риско-защищенности информации хозяйствующих субъектов. Имеющиеся проблемы связывают с отсутствием адекватной политики по обеспечению безопасности информационных активов, несоблюдением установленных правил, недостатком квалифицированных кадров. Анализируя место и роль организационного направления в сфере обеспечения безопасности информации, необходимо отметить, что в общем объеме мероприятий по достижению информационной защищенности предприятий законодательные меры составляют 5%, физические меры — 15%, технические — 25-30%, организационные меры - 50% [24, 38, 44, 45, 51, 53, 54, 75, 108, 127, 128]. Тем не менее, адекватное понимание проблем, связанных с организационным направлением в деле обеспечения безопасности информационных активов, наблюдается далеко не всегда [56, 88, 111, 113, 122].
Кроме того, необходимо отметить, что, несмотря на возрастающий интерес, проведение исследований, появление разработок в сфере оценки и управления информационной защищенностью на данный момент в России сложилась противоречивая ситуация в данной области. Это связано, с одной стороны, с достаточно детальным изучением и проработанностью вопросов технической и программно-аппаратной защиты информационных систем и крупными финансовыми вложениями в технические средства защиты, с другой стороны, декларируя значимость организационного направления в защите информационных активов хозяйствующего субъекта, в нормативно-методической литературе и на практике отсутствуют четкие рекомендации и методические разработки по совершенствованию данной деятельности в условиях конкурентной борьбы, неустойчивости экономики, и других факторов динамически изменяющейся среды хозяйствующего субъекта.
В стремительно меняющейся деловой среде важнейшим условием успеха в любой сфере деятельности сегодня, как никогда прежде, становится способность руководителей предвидеть, оценивать и минимизировать степень возникновения возможных рисков. В частности, в деятельности по оценке системы управления информационной защищенностью хозяйствующего субъекта ключевыми элементами являются объективная идентификация и оценка степени наиболее значимых для предприятия информационных рисков, в результате которых расставляются приоритеты, определяются требования к информационной безопасности организации.
Учитывая, что оценка информационных рисков представляет собой одно из главных направлений достижения рискозащищенности хозяйствующего субъекта, на современном этапе развития экономики возникает необходимость в совершенствовании существующих методических подходов к оценке информационных рисков хозяйствующих субъектов.
Таким образом, можно утверждать, что разработка и решение теоретических и практических проблем оценки информационных рисков хозяйствующих субъектов является актуальной научной проблемой.
Степень разработанности проблемы
Предваряя рассмотрение информации в качестве экономической категории, а также в составе информационных активов, следует отметить, что первоначально научное изучение информации было связано с техническими проблемами передачи данных. На базе этих исследований была создана статистическая теория информации, положившая начало кибернетическому подходу и получившая достаточно подробное рассмотрение в трудах Р. Хартли, К. Шеннона, Н. Винера, С. Голдмана, Дж. Стиглера, У. Эшби [98].
Однако излишняя технократичность подобного подхода, при котором основное внимание уделяется количественным аспектам информации и не учитывается ее смысловая нагрузка, привела к необходимости философского исследования феномена информации, достаточно глубоко проведенного в трудах отечественных ученых: А. И. Анчишкина, Д. Блюменау, В. А. Виноградова, В. Н. Глушкова, И. И. Гришкина, А. Ракитова, А. Д. Урсула и других [58, 98].
Позднее предметом исследования экономической науки стало влияние информации на общественное развитие. Исследование проблем в данной области увязывается с производством знаний и научными открытиями, а растущее значение информатизации выражается в концепциях постиндустриального и информационного общества. Предметами изучения становятся проблемы ценообразования на информационном рынке и влияния цены информации на цену конечного продукта. Среди зарубежных и отечественных ученых, занимавшихся исследованиями в этих направлениях, выделяются работы В. JT. Тамбовцева, Е. Г. Ясина, И. Николова, Д. Белла, Дж. Мартина, Дж. Миллера, П. Страссмана, А. Тоффлера, Ф. Хайека, К. Эрроу и других [58, 68].
Методической основой исследования вопросов, связанных с применением комплекса средств, мероприятий в сфере защиты информации, оценкой рисков информационным активам хозяйствующих субъектов, послужили результаты, изложенные в трудах отечественных исследователей А. И. Алексен-цева, В. А. Галатенко, А. И. Доронина, И. К. Корнеева, А. А. Малюк, С. П. Расторгуева, С. В. Симонова, Е. А. Степанова, А. В. Петракова, С. А. Петренко, Ю. С. Уфимцева, А. А. Фатьянова, Б. Халяпина, В. И. Ярочкина и других [23, 45, 50,51,75,84, 88, 100, 101, 104, 108, 117, 118, 128, 130, 131].
Анализ подходов к исследованию проблем оценки рисков и управления системой защиты информационных активов хозяйствующих субъектов позволяет отметить, что, хотя большинство исследователей придерживается комплексного подхода в сфере информационной безопасности, некоторые специалисты используют структурный подход, другие предлагают применять объектно-ориентированный подход, учитывающий достижения в технологии программирования [32, 45, 55, 56, 77, 111]. По мнению автора, подобные взгляды с точки зрения технократического подхода базируются на рассмотрении системы защиты информационных активов как на относительно обособленную и замкнутую систему.
Таким образом, приходится констатировать, что, к сожалению, многие подходы к обеспечению защищенности информационных активов предприятий, зафиксированные в различных стандартах, руководящих документах, рассматривают в основном технические и технологические аспекты, которые на данном этапе являются наиболее изученными, детально проработанными [12, 14, 16, 30, 69]. Однако другие вопросы зачастую выпадают из поля зрения существующих в России нормативных документов. Например, очень важно постоянно осуществлять контроль за функционированием всей системы защиты информационных активов, включая персонал, важно оценить степень надежности персонала при работе с ценной корпоративной информацией.
Несомненно, что разработка мероприятий по снижению различных видов информационных рисков является важнейшим компонентом корпоративной стратегии в сфере обеспечения безопасности хозяйствующих субъектов. Для эффективного управления степенью информационных рисков предприятий разработаны и применяются международные стандарты и специальные методики. Так, наибольшую известность приобрели международные и национальные стандарты, а также инструментарий в области управления рисками информационных активов - TSO 17799, TSO 15408, ISO 27001, ISO 13335, BS 7799, NIST, В SI, SAC, COSO, COBIT, Software Tool, MethodWare, Risk Advisor, MARION, RA2 art of risk, Callio Secura 17799, CRAMM, RiskWatch, COBRA, ГРИФ, АванГард и некоторые другие, аналогичные им [16, 17, 22, 104, 136138].
Кроме того, необходимо отметить недостаточное внимание, уделяемое в методологии защиты информации исследованию влияния деятельности по оценке различных угроз информационным активам компании на финансово-хозяйственную деятельность предприятий. Традиционные концепции обычно пренебрегают всесторонним анализом такого влияния, рассматривая лишь некоторые отдельные аспекты такового. При этом остаются слабо изученными такие важные вопросы как экономическая сущность информационных активов, изменение их стоимости в результате дестабилизирующих воздействий на них, экономическая эффективность применения различных средств и методов защиты информационных активов и другие. Сегодня требуется не только создание новых форм и методов управления в области защиты информации, но и формирование новых методических подходов в сфере оценки защищенности информационных активов.
Методологической основой исследования являются методы научного познания: принципы системного подхода, метод экспертных оценок, методы анализа и синтеза, индуктивный и дедуктивный методы исследования.
Обоснованность и достоверность полученных выводов и результатов подтверждается использованием значительного числа исследований отечественных и зарубежных авторов - специалистов в области оценки и управления информационными рисками хозяйствующих субъектов, а также результатов исследований по проблемам внутренних угроз информационным активам хозяйствующих субъектов, подтверждается внедрением полученных результатов в деятельность предприятий региона и в учебный процесс.
Предмет и объект исследования
Объектом исследования выступают информационные риски хозяйствующих субъектов.
Предметом исследования являются научно-методические аспекты оценки информационных рисков хозяйствующих субъектов.
Цель и задачи исследования
Цель диссертационного исследования заключается в развитии теоретических основ и разработке методических положений по оценке информационных рисков хозяйствующих субъектов.
Для реализации поставленной цели поставлены следующие задачи:
- уточнить понятие «информационных активов» как основной характеристики системы оценки информационных рисков хозяйствующего субъекта;
- определить место, роль, специфику системы оценки информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия;
- оценить существующие методические подходы к оценке информационных рисков для выявления возможностей совершенствования данной деятельности;
- выявить особенности организационного направления в деятельности по защите информационных активов и определить их влияние на создание и развитие системы защиты информационных активов хозяйствующего субъекта;
- разработать методические положения по совершенствованию деятельности в сфере оценки информационных рисков хозяйствующих субъектов;
- сформировать методический подход к оценке эффективности деятельности по защите информационных активов предприятия.
Основные результаты, полученные в процессе исследования:
- Обоснована роль информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия. В результате определения места, роли и специфики системы оценки информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия создана структурная модель системы информационной защищенности хозяйствующего субъекта (с.37-40).
- Оценены существующие методические подходы к оценке информационных рисков и определены основные тенденции развития систем информационной рискозащищенности хозяйствующих субъектов: противоречие в сфере обеспечения информационной безопасности, связанное с развитием и совершенствованием технической и программно-аппаратной защиты информации и недостаточным осознанием сущности, роли и изученности организационного направления защиты информационных активов; возрастающая тенденция внутренних угроз, исходящих от персонала (с.40-49, 54-76).
- Выявлены особенности и проблемы организационного направления в деятельности по защите информационных активов, заключающиеся в отсутствии квалифицированных кадров, несоблюдении установленных правил по обеспечению безопасности информационных активов, отсутствии методик по оценке надежности персонала, допущенного до ценных информационных ресурсов предприятия (с. 59-69).
- Разработан методический подход к оценке защищенности информационных активов хозяйствующего субъекта на основе учета информационных рисков. Предложена многофакторная модель оценки информационных рисков предприятия и методика определения степени надежности персонала, как составная часть методики оценки информационных рисков хозяйствующего субъекта (с.93-123).
- Определены основные направления по применению защитных мероприятий с целыо увеличения рискозащищенности информационных активов предприятия. Обоснованы их необходимость и преимущества по сравнению с существующими методиками. Сформирован методический подход к оценке эффективности деятельности по защите информационных активов предприятия (с.135-148).
Элементы научной новизны заключаются в следующем:
- Уточнено определение понятия «информационные активы предприятия». Отличие предлагаемого понятия от известных заключается в том, что в состав информационных активов предприятия необходимо включать ценные информационные ресурсы собственника, способные приносить экономическую выгоду. В данных ресурсах реализованы знания, умения и навыки персонала, полученные в ходе выполнения служебных обязанностей с использованием информационных технологий (с.25-28).
- Предложен подход к моделированию взаимосвязей между составляющими элементами системы информационной защищенности хозяйствующего субъекта на основе многофакторной модели оценки рисков информационной безопасности (с.29, 76-80).
- Усовершенствована методика оценки информационных рисков хозяйствующих субъектов, в части определения затрат на информационную безопасность, позволяющая определить зависимость между уровнем риска ожидаемых потерь, затратами на защиту информационных активов и получением эффекта от внедрения системы информационной безопасности (с.93-134).
Теоретическая и практическая значимость исследования заключается в развитии основных положений теории оценки рискозащищенности информационных активов хозяйствующих субъектов за счет систематизации и доведения их идей до методической проработанности. Практическая значимость исследования заключается в возможности выбора методики оценки информационных рисков хозяйствующих субъектов, оценки уровня затрат на обеспечение информационной защищенности предприятий с использованием методов и средств защиты информационных активов, оптимальных по эффективности и адекватных текущим целям и задачам деятельности хозяйствующих субъектов.
Апробация и внедрение результатов исследования. Основные теоретические и практические положения диссертации были апробированы на научных семинарах и научно-практических конференциях в 2005-2008 гг. в Байкальском государственном университете экономики и права, Иркутском государственном университете путей сообщений, Сибирском институте права, экономики и управления.
Основные результаты и рекомендации автора использованы на предприятиях Иркутской области при осуществлении работы по обеспечению сохранности информационных активов — в Управляющей компании «ЕВРААС» и в Управлении Россельхознадзора по Иркутской области.
Отдельные результаты исследования используются автором в процессе преподавания дисциплин: «Организационная защита информации», «Комплексные системы защиты информации на предприятии», «Экономика защиты информации» в Сибирском институте права, экономики и управления. Отдельные положения исследования применены автором при разработке учебной программы для слушателей Центра информационной безопасности в Иркутском государственном университете.
Основные положения диссертации, отражены автором в 14 научных публикациях объемом 19,94 п.л.
Структура и содержание работы. Цель и задачи исследования определили объем и структуру работы. Диссертация состоит из введения, трех глав, заключения, списка литературы и 8 приложений. Общий объем основного текста составляет 158 страниц, включая 22 рисунка и 20 таблиц. Список литературы содержит 138 наименований источников.
Похожие диссертационные работы по специальности «Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда», 08.00.05 шифр ВАК
Методы обеспечения информационной безопасности предприятия2005 год, кандидат экономических наук Саввин, Андрей Сергеевич
Управление информационными рисками с использованием технологий когнитивного моделирования: на примере высшего учебного заведения2008 год, кандидат технических наук Кудрявцева, Рима Тимиршаиховна
Управление защитой информации в сегменте корпоративной информационной системы на основе интеллектуальных технологий2009 год, доктор технических наук Машкина, Ирина Владимировна
Развитие системы обеспечения информационной безопасности промышленных предприятий2011 год, кандидат экономических наук Казакова, Арина Валерьевна
Совершенствование финансовых методов управления информационными рисками предприятий2012 год, кандидат экономических наук Романенко, Наталья Александровна
Заключение диссертации по теме «Экономика и управление народным хозяйством: теория управления экономическими системами; макроэкономика; экономика, организация и управление предприятиями, отраслями, комплексами; управление инновациями; региональная экономика; логистика; экономика труда», Глухов, Николай Иванович
Выводы:
1. В основу разработанной автором методики оценки информационных рисков предприятия положена многофакторная модель оценки рисков, достаточно внимания уделено систематизации и моделированию взаимосвязей между показателями факторного анализа. Методика состоит из нескольких этапов, логически связанных между собой и последовательно реализуемых. В то же время следует отметить, что предложенные разработки являются достаточно адаптивными и могут применяться с учетом специфических особенностей деятельности хозяйствующего субъекта.
2. Учитывая особую значимость организационного направления в системе защиты информационных активов предприятия, необходимость оценки персонала с точки зрения его надежности, в рамках общей методики предложена частная методика данной оценки, которая включает использование разработанной анкеты, состоящей из трех разделов («Личностные качества», «Профессиональные качества», «Наличие компрометирующих материалов»), и применение балльного метода.
Следует учитывать, что степень надежности зависит от разных причин и может меняться в связи с изменением условий, возникновением нестандартных и особенно экстремальных, кризисных ситуаций. При необходимости предлагаемая методика может быть дополнена другими методами оценки.
3. Кроме выявления коэффициента риска проявления внутренних угроз информационным активам, исходящих от собственного персонала компании, в состав интегрального показателя «степень уязвимости информационных активов» автором предлагается внести показатели оценки надежности технических и программно-аппаратных средств обработки информации, а также организационно-режимных мер защиты с использованием программных комплексов анализа и управления рисками информационной системы «ГРИФ» и «КОНДОР».
4. Ценность защищаемых информационных активов предлагается определять экспертным методом, путем оценки степени возможного нанесения ущерба организации при неправомерном использовании рассматриваемой информации (т.е. в случае нарушения его конфиденциальности, целостности или доступности), как с точки зрения ассоциированных с ней возможных финансовых потерь, затрат на ликвидацию последствий, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д.
5. Эффективность оценки информационных рисков зависит от понимания и моделирования взаимосвязей между составляющими системы информационной безопасности. Для формирования модели информационной системы организации с точки зрения информационной безопасности предлагается учитывать следующие аспекты:
- описание и схему организационной структуры предприятия;
-описание структуры информационных активов и информационных потоков;
- объекты обработки и хранения ценной информации;
- группы пользователей и виды доступа к информации;
-описание и схему размещения используемых каналов связи, комплекса программно-технических средств, схему подключения к сетям и т.п.,
- виды угроз;
- средства защиты, а также наличие уязвимостей в информационной системе.
6. Для оценки затрат на обеспечение информационной защищенности хозяйствующего субъекта автором предлагается использовать метод расчета ежегодных сбережений в результате проведения мероприятий по защите информационных активов.
ЗАКЛЮЧЕНИЕ
В процессе изучения проблемы совершенствования методики оценки информационных рисков хозяйствующих субъектов, сложилось достаточно четкое понимание того, что весь комплекс вопросов, касающихся экономических аспектов рискозащищенности информационных активов предприятия, является предметом междисциплинарного исследования. Задачи, поставленные в процессе исследования проблем, были полностью решены.
Во главу угла исследования были поставлены важнейшие принципы информационной безопасности: законность осуществления защитной деятельности и мероприятий по выявлению и предотвращению правонарушений в информационной сфере; непрерывность реализации и совершенствования средств и методов контроля и защиты информационной системы; экономическая целесообразность, т.е. сопоставимость возможного ущерба и затрат на обеспечение защищенности информации; комплексность использования всего арсенала имеющихся средств защиты.
В результате работы определен авторский подход к исследованию сущности информации, информационных активов и информационного менеджмента. Уточнено понятие «информационных активов» в качестве основной характеристики системы оценки информационных рисков хозяйствующего субъекта, отличающееся от известных в научной литературе тем, что информационные активы предприятия включают в себя ценные информационные ресурсы собственника, способные приносить экономическую выгоду, в которых реализованы знания, умения и навыки персонала, полученные в связи с выполнением служебных обязанностей и реализованные с использованием современных информационных технологий.
Определена специфика, место и роль системы оценки информационных рисков хозяйствующего субъекта в системе управления деятельностью предприятия, которая как подсистема входит в комплексную систему защиты хозяйствующего субъекта, в свою очередь, сама система управления безопасностью информационных активов состоит из нескольких подсистем.
Проанализированы современные методические подходы к обеспечению информационной защищенности хозяйствующих субъектов, что позволило выявить следующие основные тенденции в сфере информационной защищенности:
- приоритетность комплексной системы защиты информационных активов предприятий:
- возрастающую тенденцию внутренних угроз, исходящих от сотрудников организаций (инсайдеров);
- возрастающую сложность информационных рисков;
- противоречие в сфере обеспечения информационной защищенности, которое связано, с одной стороны, с достаточно детальным изучением и проработанностью вопросов технической и программно-аппаратной защиты информационных систем и крупными финансовыми вложениями в технические средства защиты, с другой стороны, с недостаточным осознанием сущности, роли и изученности организационной защиты информации.
В связи с этим, в работе раскрыты основные аспекты организационного направления в деятельности по защите информационных активов предприятия. На основе исследования возможностей этого направления информационной защищенности как одного из основных в системе управления информационной защищенностью предприятия, автором основное внимание сосредоточено на одном из ведущих направлений в организационной защите - работе с персоналом, определении его надежности, а также, информационно-аналитической деятельности по выявлению угроз информационным активам и управлению информационными рисками.
Предложена усовершенствованная методика оценки информационных рисков хозяйствующего субъекта, состоящая из следующих этапов: 1) подготовительного этапа; 2) этапа анализа рисков информационной безопасности (состоящего из нескольких этапов: идентификации и классификации информационных активов; определения ценности информационных активов; оценки угроз информационным активам; этапа оценки уязвимости информационных активов); 3) этапа управления информационными рисками предприятия; 4) этапа создания комплексной системы защиты информационных активов хозяйствующего субъекта; 5)этапа реализации программы обеспечения информационной безопасности; 6) этапа анализа эффективности вложений в информационную безопасность.
Определен авторский подход к моделированию взаимосвязей между составляющими элементами системы защищенности информационных активов, предложена многофакторная модель оценки рисков информационной безопасности хозяйствующего субъекта.
Предложена усовершенствованная методика оценки информационных рисков предприятия, как составная часть методики управления безопасностью информационных активов хозяйствующего субъекта.
В исследовании автором был сделан акцент на организационные меры, которые являются решающим звеном формирования и реализации комплексной системы защиты информации. В связи с этим, предложена методика определения степени надежности персонала, как составная часть общей методики оценки информационных рисков хозяйствующего субъекта.
В результате внедрения методики автором были разработаны основные направления по применению защитных мероприятий с целью увеличения рискозащищенности информационных активов предприятия (организационные и программно-технические мероприятия). Это послужило базой для проведения оценки затрат на обеспечение информационной безопасности и определения эффекта от внедрения защитных мероприятий.
Для проведения анализа эффективности вложений в информационную защищенность предложен метод расчета ожидаемых потерь от реализации различных видов угроз.
В ходе проведения исследования были получены определенные научные результаты и выявлена научная новизна по исследуемой проблеме.
Теоретическая и практическая значимость исследования заключаются в том, что предложенный методический подход к оценке защищенности информационных активов предприятия с учетом информационных рисков полезен не только в качестве учебного и аналитического материала в учебном процессе высшей школы, но и может применяться в качестве методического инструментария в управленческой практике отдельных хозяйствующих субъектов.
Автор настоящей диссертационной работы далек от мысли о том, что им поставлены и разрешены все имеющие научно-практическое значение задачи, исследования проблем, связанных с совершенствованием методики оценки информационных рисков хозяйствующих субъектов, на основе современных теоретических, методических подходов и инструментария для анализа информационной защищенности хозяйствующего субъекта, но надеется, что сформулированные в диссертации положения могут быть использованы в качестве методической основы для дальнейших научных исследований по проблеме поиска путей совершенствования оценки информационных рисков хозяйствующих субъектов.
Список литературы диссертационного исследования кандидат экономических наук Глухов, Николай Иванович, 2009 год
1. Гражданский кодекс РФ от 18.12.2006 №230-Ф3
2. Федеральный закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 №149-ФЗ
3. Федеральный закон РФ «О безопасности» от 05.03.1992 №2446-1
4. Федеральный закон РФ «О коммерческой тайне» от 29.07.2004 №98-ФЗ
5. Федеральный закон РФ «О персональных данных» от 27.07.2006 №152-ФЗ
6. Федеральный закон РФ «О частной детективной и охранной деятельности в РФ» от 11.03.1992 №2487-1
7. Концепция национальной безопасности РФ. Указ Президента РФ от 17.12.1997 №1300
8. Доктрина информационной безопасности РФ от 09.09.2000 N ПР-1895
9. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 №188
10. Постановление Правительства РФ «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» от 27.05.2002 № 348
11. Постановление Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации» от 30.04.2002 № 290
12. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Нормативно-методический документ Гостехкомиссии России, 2001.
13. Руководящий документ Гостехкомиссии при Президенте РФ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», 2001.
14. Руководящий документ Гостехкомиссии при Президенте РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», 2001.
15. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»
16. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»
17. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»
18. СТО БР ИББС-1.0-2006. Стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» от 26.01.2006.
19. Положение по ведению бухгалтерского учета и бухгалтерской отчетности в РФ. Приказ Минфина РФ от 24.08.1998 №34н.
20. Положение по бухгалтерскому учету «Учет нематериальных активов» (ПБУ 14/2000). Приказ Минфина РФ от 16.10.2000 №19н.
21. Аверченков В.И. Аудит информационной безопасности: учеб. пособие для вузов. — Брянск: БГТУ, 2005. 269 с.
22. Александрович Г.Я., Нестеров С.Н., Петренко С.А. Автоматизация оценки информационных рисков компании // Безопасность компьютерных систем. Конфидент. — 2003. — №2. — С. 78-81.
23. Алексенцев А.И. О составе защищаемой информации // Безопасность информационных технологий. 1999. - № № 1-2.
24. Алексенцев А.И. Понятие и назначение комплексной системы защиты информации // Вопросы защиты информации. 1996. — № 2 - С. 2.
25. Андреев Б.В. Защита прав и свобод человека и гражданина в информационной сфере // Системы безопасности. 2002. - № 1, с. 10-13.
26. Астахов A.M. Аудит безопасности информационных систем // Безопасность компьютерных систем. Конфидент. 2003. - №2. - С. 90-96.
27. Акимов Е. IT-security. Экономическая эффективность и управление рисками // Инфо-ТеКС Интернет Траст. .
28. Байбурин В.Б., Бровкова М.Б. Введение в защиту информации: Учебное пособие. — М.: ФОРУМ: ИНФРА-М, 2004. 128 с.
29. Баутов А. Эффективность защиты информации // Открытые системы. 2003. - № 7-8.
30. Баутов А. Стандарты и оценка эффективности защиты информации // Сборник трудов 3-й Всероссийской практической конференции «Стандарты в проектах современных информационных систем», Москва, 23-24 апреля 2003 г.
31. Баранов Д. Оценка эффективности управления рисками // Information Security. 2004. -№2.
32. Балашов П.А., Кислов Р.И., Безгузиков В.П. Оценка рисков информационной безопасности на основе нечеткой логики // Безопасность компьютерных систем. Конфидент. — 2003,- №5,- С. 56-59.
33. Бачило И.Л., Лопатин В.Н., Федотов М. А. Информационное право.- Сиб. Изд-во «Юридический центр Пресс», 2001.
34. Беркович В. Система в опасности // Риск-менеджмент. — 2007. — №2. С.2-7.
35. Борисов Е.Ф. Экономическая теория: практикум. М.: ТК Велби, Изд-во Проспект, 2005.-288 с.
36. Бузов Г.А., Лобашев А.К. Концептуальные основы подготовки специалистов по информационной безопасности//Защита информации. INSIDE. 2005.- №6 - с.62-65.
37. Бут И. Анализируя риски, управляем стоимостью компании // Вестник McKinsey. -2003. -№2(4).
38. Брусничкин Г.Д. Информационная безопасность предпринимательства. Практические рекомендации. М.: Школа охраны «Баярд», 2005. - 168 с.
39. Вихорев С.В., Кобцев Р.Ю. Как определить источники угроз // Открытые системы. -2002. № 7-8.
40. Вихорев С.В., Кобцев Р.Ю. Как узнать откуда напасть, или откуда исходит угроза безопасности информации // Защита информации. Конфидент. - 2002. - № 2, с.44-49; № 3, с. 80-84.
41. Волов Д. Обеспечение непрерывности бизнеса // Финансовый директор. 2003. - №№ 7-8.
42. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А. Информационная безопасность государственных организаций и коммерческих фирм. Справочное иособие (под общей редакцией Реймана Л.Д.). М.: 2002. - 272с.
43. Гаврилов Э. Стратегические цели информационных технологий в современной компании // Финансовая газета. — 2004. № 17.
44. Гаврюшин Е.В. Человеческий фактор в обеспечении безопасности конфиденциальной информации // В мире права. 2002. - № 2.
45. Галатенко В.А. Основы информационной безопасности. Курс лекций. Учебное пособие / Под ред. чл.-корр. РАН Бетелина В.Б. М.: ИНТУ ИТ. РУ «Интернет-университет информационных технологий», 2004.-264 с.
46. Гольменко А.Д. Конфликтология: Учебное пособие. Иркутск: РИО НЦ РВХ ВСНЦ СО РАН, 2007. - С. 176-179.
47. Гольменко А.Д. Психология делового общения: Учеб. пособие. Иркутск: РИО СИПЭУ, 2007. - 388 с.
48. Горобец Н.И. BS1 и BS 7799 — взгляд разработчиков // Защита информации. Инсайд. 2005. — №2.-с. 28-31.
49. Гусева Т.М., Шеина Т.Н. Бухгалтерский учет: учеб.-практическое пособие. М.: ТК Велби, Изд-во Проспект, 2006. — 504 с.
50. Гостев И.М. Необыкновенные приключения коммерческой тайны в России // Защита информации. Конфидент. 2004. - № 1, с.22-27; № 5, с.22-26; Защита информации. Инсайд. - 2005.-№ 2, с. 8-13.
51. Доронин А.И. Бизнес-разведка. М.: «Ось-89», 2003.
52. Доронин А.И. Аналитическая работа в негосударственных структурах безопасности. — М., 2003.
53. Давлетханов М.Г., Столяров Н.В. Защита от инсайдеров // Защита информации. INSIDE. 2006,- №3,- С. 52-56.
54. Завгородний В.И. Комплексная защита информации в компьютерных системах. — М., 2001.
55. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. М.: Горячая линия Телеком, 2000. - с. 18.
56. Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему. — СПб.: Мир и семья-95, 1997.
57. Зефиров C.JI., Голованов В.Б. Как измерить информационную безопасность организации? Объективно о субъективном//Защита информации. INSIDE. — 2006.- №3,— С. 2835.
58. Иванов Е.Ю. Информация в экономике: теоретический аспект. Дисс. . канд. экон. наук. Новосибирск, 2000 - 180 с.
59. Ильин К. Вопросы информационной безопасности при электронном документообороте. Электронные архивы // Защита информации. INSIDE. 2006.— №4 - С. 18-25.
60. Информационные технологии управления: Учеб. пособие для вузов / Под ред. проф. Г.А.Титоренко. М.: - ЮНИТИ-ДАНА, 2005. - 439 с.
61. Казанцев В.Г. Перспективные направления обучения специалистов служб экономической безопасности//Защита информации. INSIDE. 2006,- №4 - С. 41-42.
62. Казанцев С.Я., Згадзай О.Э, Оболенский P.M. Правовое обеспечение информационной безопасности. М.: Издательский центр «Академия», 2005. - 240 с.
63. Кадер М. Окупаемость финансовых вложений в сетевую безопасность. Аналитический обзор «Рынок информационной безопасности 2003», подготовленный компанией CNews.ru / Cisco Systems
64. Карпов В.В., Пазовский A.M. Стратегии и стратеги // Всероссийский экономический журнал «Эко». 2004. -№3.-С.155.
65. Кислов Р.И. Экономические аспекты управления информационными рисками // Защита информации. Конфидент. 2002. - № 4-5. - с. 116-127.
66. Ковалев В.В., Волкова О.Н. Анализ хозяйственной деятельности предприятия: учебник. М.: ТК Велби, Изд-во Проспект, 2004. - 424 с.
67. Корнеев И.К. Информационное обеспечение управленческой деятельности. Информационные системы: Учеб. пособие. М.: 2000. 208 с.
68. Костров А.В. Введение в информационный менеджмент: Учеб. пособие / Владимирский гос. техн. ун-т. Владимир, 1996. - 132 с.
69. Козлов В. Критерии информационной безопасности и поддерживающие их стандарты: состояние и тенденции // Сборник трудов 2-й Всероссийской практической конференции «Стандарты в проектах современных информационных систем», Москва, 27-28 марта 2002 года.
70. Кондраков Н.П. Бухгалтерский учет: учебное пособие. М.: ИНФРА-М, 2002. - 640 с.
71. Крысин А.В. Безопасность предпринимательской деятельности. М.: Финансы и статистика, 1996.
72. Курилло А.П., Зефиров С.А., Голованов В.Б. и др. Аудит информационной безопасности,- М.: БДЦ-Пресс, 2006. 304 с.
73. Ларин М.В. Управление документацией и новые информационные технологии. М.: Научная книга, 1998. - 137с.
74. Лонарев С., Шелупанов А. Анализ инструментальных средств оценки рисков утечки информации в компьютерной сети предприятия // Вопросы защиты информации. 2003. — №4.
75. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. М.: Горячая линия-Телеком, 2004. — 280 с.
76. Маклаков Н.Д. Дайджест Клуба ветеранов госбезопасности (Вып. 6) // Бизнес и безопасность в России. -М., 1999. № 1.
77. Момот М.В. Аппаратно-программные средства обеспечения целостности информации в электронной денежной системе. Дисс. . канд. техн. наук. Томск, 2006 - 163 с.
78. Мескон М.Х., Альберт М., Хедоури Ф. Основы менеджмента. М.: Дело, 1998. - с. 89114
79. Морозова Е.В. Организация систем защиты информации. Учебно-методическое пособие. М.: Школа охраны «Баярд», 2003. - 96 с.
80. Мироедов А.А. Информационное обеспечение механизмов управления регионом. М: Финансы и статистика, 2002. - 128 с.
81. Мишин В.М. Исследование систем управления: Учебник для вузов. М.: ЮНИТИ-ДАНА, 2005.-527 с.
82. Мур Мишель. Управление информационными рисками // Финансовый директор. — 2003.- №9.
83. Палий В.Ф. Международные стандарты учета и финансовой отчетности. — М.:ИНФРЛ-М, 2008.-С. 176-187.
84. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность. М.: ДМК Пресс, 2004. - 384 с.
85. Петренко С.А., Родионов А.В. Требуется CISO // Защита информации. INSIDE. 2006.- №4 С. 30-34.
86. Петренко С.А., Петренко А.А. Аудит безопасности Intranet//M.: ДМК Пресс, 2002. -416с.
87. Петренко С.А., Терехова Е.М. Оценка затрат на защиту информации // Защита информации. INSIDE. 2005. - №1 - С. 36-48.
88. Петраков А.В. Основы практической защиты информации. 3-е изд. Учебное пособие. — М.: Радио и связь, 1999. 368 с.
89. Пархоменко Н.Г., Яковлев С.А., Пархоменко П.П., Мисник Н.Н. Угрозы информационной безопасности: новые реалии и адекватность классификации // Защита информации. Конфидент. 2003. - № 6. - С. 16-21.I
90. Пархоменко Г.П., Яковлев С.А., Пархоменко Н.Г. Правовые аспекты проблем обеспечения информационной безопасности. В сб. Материалы V Между народной научно-практической конференции «Информационная безопасность». Таганрог: ТРТУ, 2003. -с.85-86.
91. Пучков С.И., Кузнецов С.А. Управление системой безопасности фирмы. Практическое руководство к действию. М.: АСТ-ПРЕСС, 2001. - 128 с.
92. Пюкке С.М. Социальные конфликты в информационной среде: соотношение понятий // Защита информации. Конфидент. 2002. - № 2. - С. 24-27.
93. Пюкке С.М. Размышления по традиционной проблеме // Защита информации. Конфидент. 2002. - № 4-5. - с. 22-25.
94. Расторгуев С.П. Защита информации как защита от информации // Защита информации. Конфидент. 2002. - №4-5. - с.26-27.
95. Румянцева З.П. Общее управление организацией. Теория и практика. М.: ИНФРА-М, 2005.-304 с.
96. Савицкая Г.В. Анализ хозяйственной деятельности предприятия: Учебник. М.: ИНФРА-М, 2003.-400 с.
97. Семененко В.А. Информационная безопасность: учебное пособие. М.: МГИУ, 2006. -277 с.
98. Симионов Ю.Ф. Информационные технологии в экономике. Серия «Высшее образование». -Росгов-на-Дону: «Феникс», 2003. 352 с.
99. Садердинов А.А., Трайнев В.А., Федулов А.А. Информационная безопасность предприятия. М., 2005. - с.21-29.
100. Семкин С.Н., Беляков Э.В., Гребенев С.В., Козачок В.И. Основы организационного обеспечения информационной безопасности объектов информатизации: Учебное пособие. Орел: Академия Спецсвязи России, 2004. — 175 с.
101. Семкин С.Н., Семкин А.Н. Основы правового обеспечения информационной безопасности. — Орел: «Навигатор-технолоджи», 2003. 280 с.
102. Стиглер Дж. Экономическая теория информации // Вехи экономической мысли / Под ред. М. Гальперина. СПб., 1999. Т. 2. С. 507.
103. Симонов С.В. Методология анализа рисков в информационных системах // Защита информации. Конфидент. 2001.- №1.- с. 72-76.
104. Симонов С.В. Технологии и инструмеитарий для управления рисками // Информационный бюллетень «Jet Info». 2003. - №2.
105. Северин В.А. Правовое обеспечение информационной безопасности предприятия. — М., 2000.
106. Соснин А.С., Прыгунов П.Я. Менеджмент безопасности предпринимательства: Учебное пособие. Киев: Европейский университет, 2002.
107. Старовойтов М. Организация деятельности интегрированной компании // Экономист. -2004.- №1. — С.62-70.
108. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации. Уч. пособие. М.: ИНФРА-М, 2001. - 304 с.
109. Соловьев Н.Н. Безопасность электронного бизнеса: о доверии и рисках // Системы безопасности. -2002. -№ 3.-е. 16-18.
110. Соловьев Э.Я. Коммерческая тайна и ее защита. М., 1996.
111. Соколов А.В, Степанюк О.М. Методы информационной защиты объектов и компьютерных сетей. С-Пб., 2000.
112. Татарников Е.А. Управление предприятием. Ростов-на-Дону: Феникс, 2005. - 224 с.
113. Технические каналы утечки информации. Учебное пособие. М.: 1998. - 320 с.
114. Туровец О.Г., Бухалков М.И., Родинов В.Б. Организация производства и управление предприятием: Учебник. М.: ИНФРА-М, 2005. - 544 с.
115. Теория и практика информационного менеджмента в управленческих структурах рыночной экономики: Науч. доклад. М., - 1995. - СИФ ОЦНТИ ВНИИДАД. - N ДР 142-96. -с. 59-62
116. Ульянов В.В. Динамика безопасности: от внешних угроз — к внутренним // Защита информации. INSIDE. 2008. - №4. - С. 34-38.
117. Уфимцев Ю.С. и др. Методика информационной безопасности. М.: Издательство «Экзамен», 2004. - 544 с.
118. Фатьянов А.А. Концептуальные основы обеспечения безопасности на современном этапе // Безопасность информационных технологий. 1999. - № 1.
119. Фатьянов А.А. Проблемы защиты конфиденциальной информации, не составляющей государственную тайну // Информационное общество.- 1997. № 1.
120. Фатхутдинов Р.А. Разработка управленческого решения: Учебник для вузов. — 2-е изд., доп. М.: ЗАО «Бизнес-школа «Интел-Синтез», 1998. — 272 с.
121. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации. К.: Изд-во Юниор, 2003. - 504с.
122. Хорев А.А. Способы и средства защиты информации. М.: МО РФ, 1998. - 316 с.
123. Шиверский А.А. Защита информации: проблемы теории и практики. М.,1996.
124. Шишмарева Е.В. Общие признаки информации, составляющей коммерческую тайну // Журнал российского права. 2004. - № 9.
125. Щеглов А.Ю., Щеглов К.А. Принципы и механизмы доверительного контроля доступа к ресурсам // Защита информации. INSIDE. 2006. - №2 - №3. - С. 57-63.
126. Яновский A.M. Информационный менеджмент в бизнесе // Организация и методика информационной работы. 1997. - N 2. - С. 7.
127. Яскевич В.И. Секьюрити: организационные основы безопасности фирмы. М.: «Ось-89», 2005.-368 с.
128. Ярочкин В.И. Информационная безопасность. Учебник. М., 2004. - 544 с.
129. Ярочкин В.И. Коммерческая информация фирмы. М., 1997.
130. Ярочкин В.И. Система безопасности фирмы. М., 1998.
131. Ярочкин В.И., Бузанова Я.В. Теория безопасности. М.: Академический проект: Фонд «Мир», 2005. - 176 с.
132. Caloyannides М. «Privacy vs. Information Technology?»//IEEE Security & Privacy Vol. 1, No. 1; January/February 2003, pp. 100-103.
133. Control Objectives for Information and related Technology (COBIT) 3rd Edition, July 2000.
134. Huybert Groenendaal, David Vose. Vose Consulting//The McKinsey Quarterly. 2003. -№4.
135. Index Report 2006 // Intelligent Enterprise. 2006. - №2. - C. 23-24.
136. ISO/IEC TR 13335 Information technology Guidelines for the management of IT Security (Информационная технология. Методы безопасности. Руководство по управлению безопасностью)
137. OCTAVE (Система Операционной Оценки Критических Угроз, Активов и Уязвимо-стей), Software Engineering Institute, Carnegie Mellon University.
138. UK Government Risk Analysis and Management Method, CRAMM.
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.