Структурирование системы информационной безопасности: методы, модели, инструментальные средства тема диссертации и автореферата по ВАК РФ 08.00.13, кандидат экономических наук Табаков, Артем Борисович

Актуальность. В настоящее время успешная деятельность ни одной государственной или частной компании невозможна без применения информационных технологий. Это, с одной стороны, ведет к значительным преимуществам в деятельности предприятий и организаций, а с другой, — заставляет компании столкнуться с совершенно новыми рисками, связанными с порчей, утратой и уничтожением коммерческой конфиденциальной информации. Компьютерным системам доверяют жизнь и благосостояние людей и общества в целом. В настоящее время без компьютерных систем нельзя представить существование таких направлений деятельности, как управление, научные исследования, транспорт, образование, промышленность, деятельность в коммерческой, финансовой и других сферах.

Неправомерное искажение, уничтожение или разглашение определенной части информации, а также дезорганизация процессов ее обработки и передачи наносят серьезный материальный и моральный ущерб как государству в целом, так и юридическим и физическим лицам. В частности, к сожалению, частота этих нарушений увеличивается из года в год, особенно в платежных системах и системах, обслуживающих финансово-кредитные отношения. По некоторым данным, в промышленно развитых странах средний ущерб от одного компьютерного преступления, достигает 450 тыс. долл., а ежегодные потери в США и Западной Европе составляют соответственно 100 и 35 млрд. дол.

В России ущерб от компьютерных преступлений до сих пор интегрально не подсчитывался, но с учетом их возможных масштабов сумма ущерба представляется весьма значительной.

Важность проблемы защиты информации в нашей стране подчеркивает факт создания по инициативе Президента РФ Доктрины информационной безопасности. Методы обеспечения информационной безопасности

Российской Федерации согласно Доктрине разделяются на правовые, организационно-технические и экономические.

Экономические методы обеспечения информационной безопасности включают в себя: разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования, совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Именно соединение классических (программных и технических) методов защиты информации и механизма страхования могут помочь компании создать наиболее оптимальную с экономической точки зрения систему информационной безопасности (СИБ).

К сожалению, страхование информационных рисков продолжает оставаться в нашей стране эксклюзивным видом страхования. Основная причиной этого заключается в стоимости услуги. Профессиональные андеррайтеры, работающие в страховых компаниях, не могут до беспредела искусственно занижать размер страховых тарифов в погоне за потенциальными клиентами. Необходимо помнить, что именно из собираемых страховщиками премий формируется фонд, который впоследствии идет на компенсацию убытков страхователей. Недобор премий из-за несоответствия величины риска тарифной ставки может привести к тому, что страховые компании не смогут осуществлять выплаты в случае массового наступления страховых случаев.

Однако, учитывая тот факт, что в столь новом виде страхования, как страхование информационных рисков, еще не существует жестких стандартов работы с клиентами, и то, что страховщикам приходится пропагандировать индивидуальный подход к потенциальным клиентам, страхователь может торговаться по поводу стоимости своей страховой защиты. Причем этот торг это должен происходить на основе математических выкладок, аргументированно доказывающих, что работа по обеспечению информационной безопасности ведется и осуществляется на должном уровне.

Страхователь должен четко представлять, что чем больше он потратил на безопасность своей информационной системы, чем надежней его СИБ, тем ниже вероятность того, что злоумышленнику удастся проникнуть и нарушить целостность хранящейся информации, тем меньше ему придется заплатить страховой компании за полис.

Существующие в настоящее время подходы к разработке структуры системы информационной безопасности во многом основываются на положении о том, что СИБ — это комплекс организационно-технических мероприятий и программно-аппаратных средств, обеспечивающих надежное хранения и безопасную передачу данных. Однако в современном обществе построение защиты от информационных рисков, способной полностью обезопасить компанию от угроз, связанных с причинением вреда хранимой информации, без применения экономических методов, которые также должны рассматриваться в качестве элемента СИБ, является крайне дорогим и практически недостижимым.

Потребность создания структуры СИБ, оптимальной с экономической точки зрения, а также проработка вопроса более активного использования механизма страхования информационных рисков в качестве элемента структуры СИБ и определили выбор темы и цели настоящего исследования.

Цель диссертации заключается в разработке комплекса методов, моделей и инструментальных средств формирования структур систем информационной безопасности предприятия, компании.

В соответствии с данной целью в работе поставлены и решены следующие задачи:

• классификация существующих угроз информационным системам и программно-технических средств защиты от них;

• обоснование выбора статистической модели для доказательства необходимости вложений в систему информационной безопасности предприятия;

• анализ финансовой составляющей системы информационной безопасности компании и выработка рекомендаций по формированию рациональной структуры СИБ для конкретного объекта;

• разработка методики выбора средств защиты информации на базе алгоритмов дискретного программирования;

• выбор и обоснование эффективной стратегии поиска решения по дереву ветвлений в задаче выбора оптимальной СИБ;

• разработка показателей оценки защищенности информационной системы предприятия на примере нанесения ей вреда в случае несанкционированного доступа;

• определение подходов к обоснованию оптимального сочетания программно-технических методов защиты информации и механизма страхования.

Объектом исследований являются системы информационной безопасности отечественных компаний.

В качестве предмета исследований выступают способы обеспечения информационная безопасность отечественных компаний.

Теоретическую и методологическую основу исследования составили системный подход к моделированию сложных социально-экономических систем, ключевые положения кибернетики, общей теории систем.

При решении конкретных задач использовались труды отечественных и зарубежных ученых в области информационной безопасности, государственного регулирования экономики, математического программирования, теории вероятностей, математической статистики, теории графов и теории игр.

Базу исследования составили законы и законодательные акты, разработки ведущих научных школ в области информационной безопасности и страхования, а также данные статистических сборников и проектные материалы научной периодики, конференций и семинаров.

Работа выполнена в соответствии с пунктом 2.5. Паспорта специальности 08.00.13 - математические и инструментальные методы экономики: «Разработка концептуальных положений использования новых информационных и коммуникационных технологий с целью повышения эффективности управления в экономических системах».

Научная новизна исследования заключается в формировании методики оптимизации структуры системы информационной безопасности компании, позволяющей параметризировать требования к функциональной технологической архитектуре СИБ конкретного хозяйствующего субъекта в рамках имеющихся материальных ресурсов.

Научную новизну содержат следующие положения.

1. На основе анализа функционирования информационных систем составлен перечень возможных угроз и указаны средства их нейтрализации (организационные, программно-технические и экономические); обоснована необходимость использования при построении СИБ экономических методов защиты, в частности страхования.

2. Разработаны формальные постановки задачи выбора оптимальной СИБ по критерию максимизации эффективности нейтрализации информационных угроз при ограничении на объем общих затрат и по критерию минимизации общих затрат на СИБ при ограничении на уровень ее эффективности.

3. Разработана комплексная методика формирования набора средств защиты информации, в которой эффективный поиск решения достигается путем совмещения классической стратегии методов «ветвей и границ» и новой рандоминизированной стратегии построения дерева ветвлений.

4. Представлена модифицированная модель несанкционированного доступа к информационной системе компании, позволяющая выделить ситуации, в которых для эффективного функционирования СИБ необходимо осуществить смену параметров системы защиты и функций распределения времени.

5. Определены основные принципы формирования структуры СИБ предприятия на основе оптимального сочетания программно-технических методов защиты и механизма страхования.

Практическая ценность работы заключается в том, что основные положения, выводы и рекомендации диссертации ориентированы на широкое применение при построении комплексной методики выбора оптимальной системы информационной безопасности компании.

Проведенные исследования и полученные результаты составляют теоретическую основу моделирования и построения систем комплексной защиты информационной системы компании. Разработанные модели и методы направлены на решение задачи повышения информационной безопасности и эффективности предприятий индустрии информатизации. Результаты исследования доведены до конкретных методик, алгоритмов и программных комплексов.

Самостоятельное практическое значение имеют:

• комплекс инструментальных программных средств, реализующих комплексную методику оптимального выбора СИБ компании;

• имитационная модели функционирования информационной системы компании при несанкционированном доступе к её информации. Апробация и внедрение результатов исследования. Проведенные в диссертации исследования непосредственно связаны с планами научно-исследовательских работ ФГУП «Всероссийский НИИ проблем вычислительной техники и информатизации» Министерства информационных технологий и связи Российской Федерации «О позиции Администрации связи Российской Федерации по вопросу о вступлении в ВТО в области телекоммуникаций», выполняемых в соответствии с Решением Государственной Комиссии по электросвязи (ГКЭС) № 42 от 18 мая 2002 года. Основные положения диссертации прошли экспериментальную проверку и могут быть в дальнейшем использованы при построении СИБ российских компаний для успешного их функционирования в системе ВТО.

Результаты диссертационной работы были использованы при анализе различных стратегий выбора финансового проекта СИБ в компании ЗАО «КапиталЪ Перестрахования» (акт об использовании результатов дается в Приложении к диссертации).

Теоретические и практические результаты диссертационного исследования были использованы кафедрой Математического моделирования экономических процессов в преподавании учебных дисциплин: «Информационная безопасность финансово-банковской системы», «Введение в страховую математику».

Основные положения диссертации докладывались и получили одобрение на следующих конференциях: 7-й Международной НПК «Комплексная защита информации» (Минск 2003 г.) и 9-й Международной НПК «Комплексная защита информации» (Минск 2005г.).

Публикации. Основные положения диссертационного исследования опубликованы в 8 печатных работах (авторский объём 2,5 п.л.).

Структура и объем работы. Диссертация состоит из введения, трех глав, заключения, списка литературы и приложения, содержащего акты о внедрении результатов работы. Общий объем диссертационной работы 129 страниц, содержащих машинописный текст, 21 таблицу и 5 рисунков.

Выводы по 3 главе

1. Сформирована модифицированная модель несанкционированного доступа для анализа ее функционирования для различных вариантов смены параметров системы защиты и различных функций распределения времени, необходимого злоумышленнику для преодоления каждой из колец системы защиты.

2. На основе выкладок было доказана необходимость задействования механизма страхования

3. Определена целесообразность определения соотношения между классическими и методами защиты и страхованием непосредственно специалистами страховой компании, а не в рамках информационного отдела.

4. Дана характеристика существующей на сегодняшний день методик определения тарифов при страховании информационных рисков на примере методики СК «Ингосстрах»

Заключение

Проведенное в диссертации исследование вопросов структурирования системы информационной безопасности позволило сделать следующие выводы:

1. Информатизация общества и связанные с ней проблемы сетевых информационных технологий, широкое использование зарубежными и отечественными организациями и предприятиями в своей деятельности услуг глобальной сети Интернет; множественный вероятностный характер информационных угроз и необходимость снижения рисковых ситуаций для предприятий и организаций объективно обусловили необходимость уделения самого пристального внимания построению эффективных систем информационной безопасности.

2. Практика функционирования автоматизированных информационных систем показывает, что достижение 100%-го уровня безопасности — дело дорогое и не всегда целесообразное, так как даже самая совершенная на сегодня система информационной защиты не может противодействовать угрозам, которые могут возникнуть в последующем.

3. Именно соединение классических (программных и технических) методов защиты информации и механизма страхования могут помочь компании создать структуру системы информационной безопасности, оптимальной с экономической точки зрения.

4. Страхование может применяться лишь как дополнение к уже существующим в компании классическим методам защиты информации (программным и техническим), иначе стоимость страхования окажется настолько высокой, что ее применение будет экономически нецелесообразным.

5. На рынке представлено достаточно большое количество крупных программных комплексов анализа и контроля информационных рисков. Их главный недостаток - крайняя трудоемкость при использовании, и высокая стоимость ПО. При этом подобные комплексы в своем большинстве не спроектированы для работы в российских условиях.

6. Необходим комплекс методов и моделей, способный решить круг задач, связанных с формированием структуры системы информационной безопасности: доказательство необходимости вложения средств в развитие СИБ, выбор оптимального набора средств защиты в условиях ограниченного бюджета и, наконец, определение вероятности преодоления СИБ для решения вопроса о задействовании механизма страхования.

7. Самым большим препятствием при решении вопроса о выделении средств на СИБ является отсутствие поддержки со стороны руководства. Доказательство необходимости вложений средств в СИБ целесообразно проводить на основе модели, основанной на столь понятном всем финансистам показателя, как ROI, или с помощью статистической модели, предложенной компанией Computer Economics.

8. На практике работникам службы ИБ компании приходится строить систему защиты в рамках ограниченного количества финансовых ресурсов. Наиболее удобным в подобной ситуации является задействование методики комплексной системы выбора средств защиты информации, базирующейся на алгоритмах дискретного программирования.

9. Предлагается использовать систему показателей, которые могут охарактеризовать всю систему безопасности в целом (для примера рассматривается вероятность отсутствия рисков скрытых умышленных искажений в хранящейся информации);

10. Точное определение вероятности отсутствия рисков скрытых умышленных искажений в хранящейся информации при НСД возможно на основе подбора ункции распределения:

• времени между соседними изменениями параметров системы защиты;

• времени вскрытия преград системы защиты.

11. Определено, что несмотря на схожие функции механизма самострахования и страхования, использование механизма страхования несет ряд неоспоримых преимуществ.

12. Доказано, что вопросы, связанные с определением оптимального соотношения между программно-техническими и экономическими методами защиты должно осуществляться не в рамках самой компании или государственными органами, а непосредственно страховыми компаниями, которые и должны аккумулировать статистическую информацию по всем случаям причинения убытков информационным системам компаний и предлагать оптимальные варианты сочетания классических методов защиты и механизма страхования.

13. Проведенный анализ системы определения страховых тарифов российскими страховыми компаниями на примере методики Ингосстраха доказывает, что ввиду отсутствия у страховщиков достаточного опыта в данной сфере, тарифы не строятся на основе четкой статистической информации по убыткам. Именно по этой причине перевес будет идти в сторону классических методов защиты информации.

14. Результаты диссертационного исследования апробированы и внедрены в работе ЗАО «КапиталЪ Перестрахования» в рамках проекта автоматизации работы компании TOR.

1. Законодательные и нормативно-методические акты и материалы

2. Доктрина информационной безопасности Российской Федерации. Утверждена Указом Президента РФ № Пр-1895 от 9 сентября 2000 г.

3. Гражданский кодекс Российской Федерации. Части 1 и 2.

4. Закон РФ от 27 ноября 1992 г. № 4015-1 "Об организации страхового дела в Российской Федерации".

5. Концепция развития страхования в Российской Федерации. Утверждена распоряжением Правительства РФ 25. 09. 2002 г.

6. Концепция защиты средств • вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России. Сборник руководящих документов по защите информации от несанкционированного доступа. М., 1998.

7. Правила страхования информационных систем ОСАО "Ингосстрах".- М., 2001.

8. Методика ОСАО "Ингосстрах" Расчет и экономическое обоснование тарифных ставок по страхованию информационных систем. — Москва, 2001 г.

9. Указ Президента РФ "Об основных направлениях государственной политики в сфере обязательного страхования" от 6 апреля 1994 г.

10. Федеральный Закон от 20. 02. 1995 г. № 24-ФЗ "Об информации, информатизации и защите информации".

11. Федеральный закон РФ от 04. 07. 1996 г. № 85-ФЗ "Об участии в международном информационном обмене".

12. Федеральный Закон от 10. 01. 2002 № 1-ФЗ "Об электронной цифровой подписи".

13. Стандарт ISO: 17799-00 (Стандарт Великобритании BS 7799-95 "Практические правила управления информационной безопасностью").

14. Критерии оценки безопасности компьютерных систем МО США («Оранжевая книга») TCSTC (Department of Defense Trusted Computer System Evaluation Criteria, DoD 5200.28-STD, 1983).

15. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от НСД. Показатели защищенности от НСД к информации. — М.: Гостехкомиссия РФ, 1996.

16. Монографии, диссертации, учебная литература, статьи

17. Автоматизированные информационные технологии в экономике/Под ред. И.Т. Трубилина. М.: Финансы и статистика, 2003.

18. Аналитико-статистический обзор о деятельности 155 страховых компаний России по итогам 2002 г. М.: Центр экономического анализа агентства "Интерфакс", 2003.

19. Архипов А.П., Гомелля В.Б. Основы страхового дела: Учеб. пособие. М.: Маркет ДС, 2002.

20. Беззубцев О.А. О мерах по защите информационных технологий, используемых в государственном управлении // Бизнес и безопасность в России.- 2003. -№1.

21. Вихорев С.В., Кобцев Р.Ю. Как узнать — откуда напасть, или откуда исходит угроза безопасности информации // Конфидент. — 2002. — №2.

22. Волковский В.И. Угрозы информационной безопасности: последствия неизбежны. // Бизнес и безопасность в России. 2002. - №1.

23. Волковский В.И. Экономическая безопасность и информация. //Бизнес и безопасность в России. 2002. - №2.

24. Воронина Н.Л., Воронин Л.А. Англо-Русский словарь страховых терминов М.: ИРТИСС, 2001.

25. Гайковия В.Ю., Першин А.Ю.Безопасность электронных банковских систем. М.: Единая Европа, 1994.

26. Гайсина Д.В. Моделирование и оценка рисков банковских операций спластиковыми картами. Диссертация . кандидата экономических наук,

27. М.: Финансовая академия, 2003.

28. Гвозденко А.А. Основы страхования: Учебник. — М.: Финансы и статистика, 2003.

29. Голубин А.Ю. Математические модели в теории страхования: построение и оптимизация. — М.: Анкил, 2003.

30. Гомелля В. Отношение государства к страхованию // Страховое ревю. -2003.- №9.

31. Гришина Т. От порчи, обвала и нелояльного персонала // Коммерсант. — 2001. -№76.

32. Гульбин Ю. Преступления в сфере компьютерной информации // Российская юстиция. 1997 - №10.

33. Данилина Н.М., Кузьмин А.С., Пярин В.А. Как застраховать информационные риски // Бизнес и безопасность в России. 2001. - № 3.

34. Емельянов А.А. Имитационное моделирование в управлении рисками. -СПб.: Инжэкон, 2000.

35. Емельянов А.А., Власова Е.А., Дума Р.В. Имитационное моделирование экономических процессов: Учеб. пособие / Под ред. А.А. Емельянова. — М.:

36. Зб.Зегжда Д.П., Ивашко А.М.Основы безопасности информационных систем. М.: Горячая линия - Телеком, 2000.

37. Ингосстрах. Опыт практической деятельности. Под ред. В.П.Кругляка. — М.:Издательский дом Русанова, 1996.

38. Информационные системы и технологии: Учебник / Под ред. В.И. Лойко. М.: Финансы и статистика, 2005.

39. Катасонов В.Ю., Морозов Д.С. Проектное финансирование: организация, управление риском, страхование -М.: Анкил, 2000.

40. Кобринский Н.Е. Основы экономической кибернетики М.: Экономика, 1969.

41. Кононов А.А.Страхование нового века. Как повысить безопасность информационной инфраструктуры // Connect. 2001. -№12.

42. Конявский В.А. Система страхования информационных рисков как экономический механизм компенсации ущерба при воздействии угроз информационной безопасности. -М.: РКФ-ИмиджЛаб, 2001.

43. Косарев А.В. Практические аспекты страхования информационных рисков // Управление компанией. 2003. - № 9(28).

44. Косарев А.В. Информационная безопасность: оценка размеров риска // Современные образовательные технологии подготовки специалистов в экономических вузах России. 4.4. М.: Финансовая академия, 2001.

45. Кравченко С.В. Информационная безопасность предприятия и защита коммерческой тайны // Экономика и производство. 1999. - № 3.

46. Кудрявцев О.А. Страхование банковских информационных рисков //Материалы IV Всероссийского форума "Банк: бухгалтерия и налоги". — М., 17-19 декабря 2002.

47. Кудрявцев О.А. Страхование в системе управления рискамиинфраструктуры открытых ключей. Диссертация . кандидатаэкономических наук. М.: Московский международный институт эконометрики, информатики, финансов и права, 2003.

48. Кудрявцев О., Косарев А. Проблемы страхования информационных рисков // Страховое ревю. 2003. - № 9.

49. Мельников В.В. Безопасность информации в автоматизированных системах. М.: Финансы и Статистика, 2003.

50. Мур М. Откуда исходит угроза. // Эксперт, Цифровой мир. 2002. -№7(23).

51. Панасенко С.П., Батура В.П. Основы криптографии для экономистов: Учеб.пособие / Под ред. Л.Г. Гагариной. М.: Финансы и статистика, 2005.

52. Петров А.А. Компьютерная безопасность: криптографические методы защиты. М.: ДМК Пресс, 2000.

53. Родионов И.И, Гиляревский Р.С., Цветкова В.А., Залаев Г.З. Рынок информационных услуг и продуктов. М.: МК-Периодика, 2002.

54. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. — М.: Радио и связь, 2001.

55. Росс Г.В., Табаков А.Б. Проблемы безопасности автоматизированных информационных систем на предприятии // Сборник статей IX Международной НТК «Комплексная защита информации». Минск, 2005.

56. Мельников П., Москвитин А. Информационная модель расчета страховых тарифов // Страховое ревю. 2002. - № 4.

57. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. М.: Компания АйТи; ДМК Пресс, 2004.

58. Симонов С., Колдышев П. Обеспечение информационной безопасности в вычислительных комплексах //Jet Info. Информационный бюллетень. 2002. - №4(107).

59. Симонов С.В. Методология анализа рисков в информационных системах // Конфидент. Защита информации. 2001. - №1.

60. Современные информационные технологии в сфере государственного управления и правовые проблемы их внедрения. // Сборник материалов круглого стола / Под ред. А. В. Жукова. М.: Редакция журнала "Бизнес +Безопасность", 2002.

61. Скородумов Б. Коммерческая информация и Интернет // Бизнес и безопасность в России. — 2002. № 2.

62. Скрипкин К.Г. Экономическая эффективность информационных систем. -М.: ДМК Пресс, 2002.

63. Сычев Ю.Н. Оценивание средств защиты компьютерных систем при наличии рисков искажения экономической информации. Диссертация кандидата экономических наук. — М.: Московский государственный университет экономики, статистики и информатики, 2004 г.

64. Табаков А.Б. Построение системы информационной безопасности на предприятии с учетом механизма страхования // Сборник трудов молодых ученых. Вып. 3. - М.: ЦЭМИ РАН, 2005.

65. Табаков А.Б. И чтоб никто через плечо не подсмотрел // Нефть России. — 2004.-№7.

66. Табаков А.Б. Разговоры о надзоре // Русский полис. 2003. - №9 (43).

67. Табаков А.Б. На страже. Информационная безопасность бизнеса // Русский полис. — 2005. №5 (61).

68. Табаков А.Б. Разработка моделей оптимизации средств защиты информации при оценке страхования информационных рисков // Политематический сетевой научный журнал Кубанского аграрного университета №12 (www.ej.kubagro.ru).

69. Табаков А.Б. Использование методов математического моделирования для построения системы информационной безопасности с условием применения механизма страхования // Web-страница «Лаборатории Информационной Безопасности» (www.security.ase.md).

70. Тосунян Г.А. Электронный документооборот: безопасность и наоборот. // Бизнес и безопасность в России 2002. - № 1.

71. Уйэл Н. Риск ИТ // COMPUTERWORLD РОССИЯ. 10 марта 1998.

72. Финансово-кредитный энциклопедический словарь. Под общ. ред. А.Г. Грязновой М.: Финансы и статистика, 2002.

73. Щербаков А.Ю. Компьютерная безопасность: теория и практика. — М.: Нолидж, 2001.

74. Michael A. Rossi Stand Alone E-Commerce Market Survey, July 2001 by Insurance Law Group, Inc. at (www.inslawgroup.com)

75. Mark S. Dopfman. Introduction to Rise Management and Insurance. -Prentice Hall, 2001.

76. G. Rejda. Principles of Risk Management and Insurance. Addison-Weslej Publishing, 2002

77. Susan Breidenbach "The policy of protection" Network World, 10/23/00