Введение к работе
Актуальность темы исследования. Важность защиты корпоративной информации для каждого хозяйствующего субъекта сама по себе не вызывает сомнений. В этой области проводятся многочисленные исследования. Так, например, компания Forrester Consulting совместно с корпорацией Microsoft и компанией RSA провели опрос о защите корпоративной информации, в котором приняло участие 305 директоров и менеджеров ИТ-отрасли1. Выяснилось, что 39% бюджетов ИТ-компаний тратится на обеспечение защиты данных, в частности, на покупку специализированных программных средств. При этом секретная информация составляет в среднем 62% от общей стоимости всей корпоративной информации. Это указывает на диспропорцию между затратами на создание системы информационной безопасности и стоимостью конфиденциальной информации компании, которая связана с её производственно-хозяйственной и коммерческой деятельностью.
В сфере защиты информации было сформировано несколько проблем, многие из которых являются мало исследованными. Так, в ходе упомянутого опроса выяснилось, что расходы на обеспечение защиты информации мало связаны с ценностью информации.
Мало внимания уделяется так же и анализу способов нанесения ущерба. В то время как организации уделяют основное внимание защите от случайной утери информации, на самом деле гораздо дороже им обходится кража данных их же сотрудниками или доверенными внешними лицами. Соответствующие опросы показывают, что кража сотрудниками конфиденциальной информации обходится в 10 раз дороже, чем ее случайная утеря в результате инцидентов.
Новые проблемы по защите информации возникают в связи с массовым созданием и распространением экономических информационных систем (ЭИС). Исследования показывают, что если организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится2. Утверждают также3, что 93% компаний, лишившихся доступа к собственной информации на срок более 10 дней, покинули бизнес, причем половина из них заявила о своей несостоятельности немедленно.
Из сказанного очевидно, что, с одной стороны, существенные затраты на защиту информации являются необходимыми для подавляющего большинства хозяйствующих субъектов и что, с другой стороны, столь же необходимым является оптимизация затрат на
1 См.
2 Сабынин В., Специалисты, давайте говорить на одном языке и понимать друг друга. Информост -
Средства связи, № 6. .
3 Ездаков А., Макарова О., Как защитить информацию. Сети, 1997, Ns 8.
средства защиты. Очевидно, что неэффективная защита информации или дорогостоящая защита малоценной информации является ущербом и задача состоит в изыскиании способов защиты информации, которые бы позволяли при заданном уровне затрат обеспечивать максимально эффективную защиту, или наоборот, при заданном уровне защиты минимизировать затраты.
Несмотря на большое количество публикаций по рассматриваемой проблеме, до настоящего времени отсутствует комплексная проработка взаимосвязанных методов оптимизации затрат на создание системы защиты информации (СЗИ). К этим методам относятся во-первых, методы установления суммарной стоимости СЗИ и распределения финансовых средств между средствами защиты информации. При этом обеспечивается выбор структуры СЗИ и ее основных составляющих. Для случая, когда защищаемая корпоративная информационная система (КИС) является распределенной и, кроме того, затраты на создание и эксплуатацию СЗИ лимитированы по временным промежуткам, следует применять методику оптимизации поэтапных вложений. Если, кроме того, одной из форм нарушений является использование нелицензионного программного продукта (ПП), то возникает необходимость в методе оптимизации ставки штрафа за использование нелицензионного ПП.
Степень научной разработанности проблемы. В качестве отправной точки для исследования по защите информации и информационной безопасности являлись работы отечественных ученых: В.В. Мельникова, В.М. Львова, В.А. Садовничего, В.П. Шерстюка, ВА Герасименко, В.Н. Лопатина, Л.М. Ухлинова, Э.В. Попова! А.А. Стрельцова, ЕН.Тищенко, В.А. Конявского, М.М. Безкоровайного и других. Усилиями этих исследователей была сформирована современная научная база для дальнейшего обобщения результатов и развития моделей и методов учета экономических аспектов информационной безопасности.
Крупный вклад в развитие теории и прикладных методов анализа сложных социально-экономических систем внесли многие отечественные ученые, такие как академики: А.Г. Аганбегян, В.М. Глушков, СВ. Емельянов, Л.В. Канторович, Н.Н. Моисеев, Г.С. Поспелов, В.А. Трапезников, Н.П. Федоренко, а также профессора К.А. Багриновский, В.Л. Бурков, О.В. Волкович, В.В.Кульба, В.Е. Лихтенштейн и другие.
Уже в первых работах по защите информации были изложены некоторые важнейшие постулаты, которые не утратили своей актуальности и по сей день.
Поскольку заказчик СЗИ обычно недостаточно осведомлен о возможностях и специфике средств защиты, а также о возможном вкладе того или иного средства в общий уровень безопасности, то возникает увеличение затрат при практической неопределенности
достигнутого эффекта. Поэтому заказчик СЗИ часто получает не совсем то, что ему реально нужно. Он не может объективно проверить и оценить качество и эффективность предложенного решения.
Средства системы защиты информации в соответствии' с действующими нормами и правилами подлежат обязательной или добровольной сертификации. Однако сертификация не является совершенным инструментом и не дает необходимых гарантий. Имеются так же некоторые исследования по оптимизации СЗИ на стадии проектирования. Эти исследования носят, однако, достаточно специализированный характер и рассматривают относительно узкий круг задач.
Актуальность темы данного исследования обусловлена назревшей практической необходимостью дальнейшего совершенствования методов моделирования и проектирования систем защиты экономической информации. *
Целью диссертационного исследования является разработка комплексной методики оптимизации затрат на создание системы защиты информации в корпоративных информационных системах различных компаний. Предполагается выработать методические рекомендации по практическому применению методики.
Для реализации указанной цели в работе поставлены и решены следующие задачи:
проведен анализ специфики существующих подходов и методов проектирования СЗИ;
выявлены характеристик качества СЗИ;
сформулированы методические принципы оптимизации затрат на СЗИ;
исследованы способы оценки затрат;
разработана технология применения эволюционно-симулятивной методологии (ЭСМ) для моделирования затратна СЗИ;
разработана технология распределения затрат на компоненты
СЗИ, а также методика определения штрафа за использование
контрафактных программных средств.
Объектом исследования являются корпоративные экономические информационные системы и технологии.
Предметом исследования являются методики и методы оптимизации затрат на создание корпоративной системы защиты информации.
Теоретическая и методическая база исследования. Исследование проводилось в полном соответствии с ключевыми положениями системного анализа, экономической теории и теории управления большими системами (системами связи и информатизации). Теоретическую и методологическую основу исследования составили труды отечественных и зарубежных ученых в области экономико-математического моделирования, математической статистики, теории
вероятностей, теории и методологии обеспечения информационной безопасности и защиты информации.
Достоверность и обоснованность научных положений, выводов и рекомендаций, содержащихся в диссертации, определяются: результатами выполненного автором анализа наиболее актуальных работ отечественных и зарубежных ученых, отечественной нормативно-правовой базы в области программно-технических средств защиты информации; необходимой полнотой и достоверностью использованной исходной информации, достаточно строгой логической последовательностью её анализа и обработки.
При решении конкретных задач использовались методы комбинаторного и дискретного программирования, теории вероятностей, математической статистики, и другие хорошо апробированные методы решения прикладных экономических задач.
Источниковедческую базу исследования составили материалы научной периодики, конференций и семинаров, а также данные статистических сборников и проектные разработки ведущих научных школ в области информационной безопасности.
Диссертационная работа выполнена на стыке двух специальностей и по своему содержанию соответствует пунктам 1.5.93 и 1.5100 Паспорта специальности 08.00.05 - Экономика и управление народным хозяйством (экономика, организация и управление предприятиями, отраслями, комплексами: связь и информатизация) и пункту 2.3 Паспорта специальности 08.00.13 - Математические и инструментальные методы экономики.
Новизна научного исследования заключается в разработке комплексной методики оптимизации затрат на создание корпоративной системы защиты информации, в основе которой лежит равновесие риска нецелесообразных затрат на систему и риска потерь от несанкционированного вмешательства в информационную систему.
Наиболее существенные научные результаты, полученные в диссертации:
по специальности 08.00.05
-
Сформулированы требования к комплексной методике создания корпоративной системы защиты информации экономических информационных систем компании, учитывающие специфику обоаботки конфиденциальных данных, свойственных электронному бизнесу. Особенность обработки заключается в обеспечении юридически значимого оформления договоров в электронном виде; взаимодействия банка с клиентами; системы расчетов за товары и услуги; кредитование.
-
Выявлена совокупность объективных внешних и внутренних факторов, влияющих на проектирование системы защиты экономической информации компании и характерных для электронного бизнеса. К числу таких факторов относятся:
- вероятность возникновения и вероятность реализации ситуации
потери информации или несанкционированного обращения к ней при проведении процедуры сделки в электронном виде;
уязвимость информационной системы компании или системы контрмер, влияющих на вероятность осуществления угрозы;
возможный ущерб организации в результате реализации угрозы информационной безопасности при заключении сделок: утечки информации или неправомерного ее использования.
3. Разработана комплексная методика создания СЗИ, которая
включает:
- взаимосвязанные методы установления суммарной стоимости СЗИ
и распределения финансовых средств, обеспечивающие выбор
структуры СЗИ и ее основных составляющих;
- метод оптимизации поэтапных вложений, для случая, если
защищаемая ИС является распределенной и, кроме того, затраты на
создание и эксплуатацию СЗИ лимитированы по временным
промежуткам;
метод оптимизации ставки штрафа за использование нелицензионного программного обеспечения при защите экономической информации.
-
Определен механизм, обеспечивающий выделение сегментов в общей топологии распределенной ЭИС и фильтрацию пакетов с помощью межсетевых экранов, который позволяет минимизировать стоимость системы защиты информации. Новизна механизма заключается в то, что появилась возможность скомпоновать расположение экранов (технических средств защиты) так, чтобы ни в один из периодов рассматриваемого планового периода времени сумма затрат на средства защиты не превзошла бы лимита выделенных финансовых средств, учитывая, при этом, случайный характер угроз.
-
Разработано методическое обеспечение для решения задачи проектирования оптимальной СЗИ, которое включает методические приемы сбора и обработки исходной информации, а также диалоговые процедуры для работы с моделью. Такой комплекс методических приемов позволяет разработчику проводить моделирование различных наборов технических решений с целью выбора оптимальных вариантов СЭИ.
6. Определены условия и выведена анапитическая формула
расчета штрафа за использование не лицензированного продукта.
Необходимость решения этой задачи связана с определением такого
штрафа, при котором пользователям будет не выгодно использовать
контрафактные программные продукты.
по специальности 08.00.13
7. Разработана равновесная экономико-математическая модель
оптимизации затрат на средства защиты информации, новизна которой
заключается в двояком толковании риска экономических издержек, а
именно: риск нецелесообразных затрат на СЗИ и риск потерь от
несанкционированного вмешательства в функционирование ИС. Такое представление риска экономических издержек позволяет найти оптимальный по условию минимизации совокупного риска объем затрат на средства защиты и оптимально распределить эти затраты между средствами защиты. В рамках этой задачи разработаны 3 имитационные модели, а именно: модель размера ожидаемых затрат на средства защиты информации; модель риска завышения, то есть риска неэффективных затрат на средства защиты; модель риска занижения, то есть риска угроз ИС.
8. Разработана экономико-математическая модель булевого программирования защиты РЭИС, отличительной особенность которой является учет- наличия издержек от НСД. Использование процедуры расчета издержек позволяет существенно повысить качество обоснования технических решений.
Теоретическая и практическая значимость исследования. В совокупности, выносимые на защиту результаты можно интерпретировать как дальнейшее развитие методологии и методов управления в области связи и информатизации. Разработанные в диссертации научно-методические подходы могут быть применимы в практической работе различных финансовых и нефинансовых компаний. Выводы и результаты работы представляют собой пример получения количественных оценок:
суммарной стоимости СЗИ, распределения финансовых средств на создание СЗИ, выбора структуры СЗИ и её основных составляющих;
поэтапных вложений в СЗИ распределенной корпоративной ЭИС, а также затрат на создание и эксплуатацию СЗИ, лимитированных по временным промежуткам;
ставки штрафа за использование нелицензионного программного обеспечения при защите экономической информации.
Полученные результаты диссертационного исследования раздвигают границы применения комплексной методики оптимизации затрат на создание корпоративной системы защиты конфиденциальной информации в экономических информационных системах.
Самостоятельное практическое значение имеют:
комплексная методика оптимизация затрат на создание корпоративной системы защиты конфиденциальной информации, а также рекомендации аналитику-медиатору по её практическому применению при проектировании или реорганизации СЗИ;
экономико-математические модели, методы и программные средства.
Апробация и внедрение результатов. Проведенные в диссертации исследования непосредственно связаны с планами научно-исследовательских работ ВНИИПВТИ по информационной безопасности.
Материалы диссертационного исследования Хайретдинова Р.Н.
использовались в НИР по темам:
«Автоматизированная система выявления каналов утечки информации из ЦБД ЄАИС таможенных органов» (заказчик: ГУИТ ФТС России, 2006 г.);
«Разработка Политики информационной безопасности ОАО Татнефть» (заказчик: ОАО Татнефть, 2010 г.);
«Разработка методики классификации конфиденциальной информации, по подготовке заключения о движении конфиденциальных документов в рамках бизнес-процесса 'Геологоразведочные работы'» (заказчик ОАО Сургутнефтегаз, 2009 г.).
Применение методики позволило повысить эффективность систем защиты корпоративной информации, а также существенно снизить уровень ожидаемых потерь.
Основные положения диссертации докладывались и получили одобрение на заседаниях НТС ГУП «Рособоронэкспорт», Научно-практических конференций DLP-Russia, выставках infosecurity Moscow и Инфобез, а также на научных семинарах кафедр «Автоматизированной обработки экономической информации» ВЗФЭИ, «Математическое моделирование экономических процессов» Финансовой академии при Правительстве РФ, «Финансы и кредит» РГГУ и на НТС ВНИИПВТИ.
Теоретические и практические результаты диссертации были использованы при чтении лекций по курсу «Информационные системы в экономике», «Информационные технологии управления» в Международном научном центре информационной безопасности (МНУЦИБ) для повышения квалификации специалистов службы защиты информации различных компаний.
Публикации. Основные положения диссертационного исследования нашли отражение в 12 публикациях общим авторским объемом 4,9 п.л., 5 из них общим объемом 2,9 п.л., размещены в журналах, рекомендованным ВАК.
