Содержание к диссертации
ВВЕДЕНИЕ-5
ГЛАВА 1.-КОНТРОЛЛИНГ, КАК СИСТЕМА УПРАВЛЕНИЯ ПРОМЫШЛЕННЫМИ ОРГАНИЗАЦИЯМИ-26
-1.1.-Качество управленческих решений основа управления промышленными организациями-26
-1.2.-Контроллинг, как наиболее перспективная система управления промышленными организациями-28
-1.3.-Контроллинг в процессе управленческих решений-35
ГЛАВА 2.-СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ, КАК СОСТАВНАЯ ЧАСТЬ СИСТЕМЫ УПРАВЛЕНИЯ ПРОМЬШШЕННЬМИ ОРГАНИЗАЦИЯМИ-38
-2.1.-Влияние новой информационной революции на контроллинг-38
-2.2.-Задачи информационного обеспечения контроллинга-41
-2.3.-Понятие информационной безопасности и ее значение-43
-2.4.-Угрозы защищаемой информации и их составные части-49
-2.5.-Политика безопасности организации-63
--2.5.1.-Определение политики безопасности-63
--2.5.2.-Механизмы поддержки политики безопасности-64
--2.5.3.-Средства идентификации и аутентификации пользователей системы-64
--2.5.4.-Средства контроля доступа-65
--2.5.5.-Криптографические средства-67
--2.5.6.-Средства электронно-цифровой подписи-68
--2.5.7.-Средства контроля целостности-69
--2.5.8.-Средства аудита-69
--2.5.9.-Механизмы контроля трафика-71
--2.5.10.-Механизмы управления маршрутизацией-71
--2.5.11.-Оценка защищенности системы-72
ГЛАВА 3.-ГЛАВА 3. МЕТОДОЛОГИЧЕСКИЕ И ПРАКТИЧЕСКИЕ ОСНОВЫ ПОСТРОЕНИЯ СИСТЕМЫ ЗАШИТЫ ИНФОРМАЦИИ ПРОМЫШЛЕННЫХ ОРГАНИЗАЦИЙ-75
-3.1.-Этапы построения СЗИ промышленной организации-75
-3.2.-Методические основы построения СЗИ промышленной организации-81
-3.3.-Практические меры по обеспечению информационной безопасности промышленной организации-84
--3.3.1.-Последовательность действий при разработке СЗИ организации-84
--3.3.2.-Определение границ управления информационной безопасностью организации-85
--3.3.3.-Анализ уязвимости-86
--3.3.4.-Выбор контрмер, обеспечивающих информационную безопасность-87
--3.3.5.-Политика безопасности-90
--3.3.6.-Проверка системы защиты-91
--3.3.7.-Составление плана защиты-92
--3.3.8.-Реализация плана защиты (управление системой защиты)-95
ГЛАВА 4.-РИЖ-КШПЮЛЛИНГ ЗАЩИТЫ ИНФОРМАЦИИ ОРГАНИЗАЦИИ-97
-4.1.-Определение управления риском-97
-4.2.-Развитие концепции управления риском-98
-4.3.-Общая характеристика системы управления риском-99
-4.4.-Этапы управления риском-103
-4.5.-Взаимосвязи между этапами управления риском-ПО
-4.6.-Определение и состав риск-контроллинга-111
-4.7.-Система риск-контроллинга-114
-4.8.-Основные типы рисков для СЗИ-116
-4.9.-Анализа эффективности СЗИ-129
-4.10.-Программа и методика оценки документарного обеспечения системы зашиты информации организации-132
ЗАКЛЮЧЕНИЕ-142
ПРИЛОЖЕНИЕ-144
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ-153
Введение к работе
Наметившийся в России переход к рыночной экономике требует новых подходов к управлению: на первый план выходят экономические, рыночные критерии эффективности, повышаются требования к гибкости. Научно-технический прогресс и динамика внешней среды заставляют современные организации превращаться: во всё более сложные системы, для которых необходимы, новые методы обеспечения управляемости. Практика убеждает, что наилучшим на сегодня инструментом рыночных преобразований всей деятельности организации является система контроллинга, основанная на конкретных условиях рынка, учитывающая его неопределенность и стихийный характер. В настоящее время контроллинг как система экономического управления деятельностью«организаций широко применяется в і экономически развитых странах. Нет практически ни одной крупной или средней і компании, где его использование в той или иной мере не служило бы залогом: успеха на рынке. Все чаще он практикуется и в мелких фирмах. Это обусловлено тем, что контроллинг выступает в качестве эффективного инструмента представляющего реальные шансы выстоять в конкурентной борьбе, обеспечивая выполнение следующих функций:
• координации управленческой деятельности по достижению целей организации;
• информационной и консультационной поддержки принятия; управленческих решений;
• создания условий для функционирования общей; информационной системы управления организации;
• обеспечения рациональности управленческого процесса.
Занимая; особое место в системе управления организации, контроллинг способствует информационному обеспечению (ИО) принятия решений в целях оптимального использования имеющихся возможностей, объективного оценивания5 сильных и слабых сторон? организации а также во избежание банкротства и кризисных ситуаций.
В г тоже время сам контроллинг нуждается в соответствующем ИО. Учитывая важность выводов v и і предложений службы контроллинга очевидно, что информация; с которой 5она работает должнаtбыть достоверна!и,надежно; защищена; Невыполнение последнего приводит к ошибочным і управленческим і решениям, а; следовательно; и к различным финансовыми потерям организации,, вследствие, проявления? различных- рисков. Необходимость в; защите информации! (ЗИ) от постороннего; вмешательства и наблюдениям давно» осознана, разработаны; и? продолжают разрабатываться соответствующие технологии. Однакої увлечение: отдельными5 решениями! из области ЗИ заслоняет сохраняющуюся! фундаментальную; проблему, а именно? достаточность и эффективность систем защиты с точки зрения пользователя; Мерилом потребительских качеств? подобных систем может служить соотношение «стоимость/эффективность», т.е;, в конечномf счете, баланс между возможным ущербом от несанкционированных действий и размером вложений; которые необходимо» потратить для обеспечения защищенности; информационных? ресурсов. По§ мнению автора наиболее острот проблемой; процесса; управления» организации, использующего- автоматизированную систему обработки? информации; (АСОИ)? является 3W т решением? может служить создание. надежной; саморегулирующей системы, защиты информации і (СЗИ). Внедрение контроллинга? в процесс управления организации; в; частности; в і СЗИ, может значительно повысить: эффективность, как самого управления, так, mсоставной- его- частиі — СЗИ; Такое: взаимодействие дало возможность построить» новую систему управления рисками; зависящих от состояния СЗИ; Результатом анализа данной; проблемы! явилось, создание-отдельного направления! контроллинга - это; риск-контроллинг защиты информации (РКЗИ).
Внедрение в организациях РКЗИ позволит значительно улучшить качество управления; Автор проанализировал методологические и практические основы построения СЗИ, возможные риски и их влияние на финансовое состояние, эффективность и рентабельность СЗИ. На основе теоретических данных была разработана программа и методика проведения оценки риска документарного обеспечения СЗИ.
Важность и недостаточная разработанность указанных проблем предопределили выбор темы диссертации, а также целей и задач исследования.
Основной целью настоящей диссертационной работы является обоснование путей повышения эффективности управленческой деятельности на базе использования РКЗИ, а также разработка теоретических и методических аспектов внедрения основополагающих принципов контроллинга в создание СЗИ российских промышленных организаций.
В соответствии с поставленной целью автору потребовалось решать следующие задачи:
• обосновать актуальность внедрения контроллинга в системы управления российскими промышленными организациями;
• обосновать задачи совершенствования контроллинга;
• исследовать пути повышения качества ИО контроллинга;
• исследовать влияние обеспечения ЗИ на качество ИО контроллинга;
• определить методологические основы построения СЗИ в организации;
• определить практические меры по обеспечению ЗИ в организации;
• раскрыть сущность, роль и место РКЗИ в процессе управления промышленной организацией;
• исследовать пути минимизации рисков с помощью внедрения РКЗИ в работу СЗИ;
• исследовать эффективность и рентабельность ЗИ от общих ресурсов организации;
• исследовать эффективность внедрения в промышленные организации РКЗИ;
• исследовать. преимущества внедрения РКЗИ; в систему управления, промышленной организацией;
• разработать программу и методику оценки риска документарного обеспечения СЗИ организации для служб контроллинга или риск-подразделения.
Предметом исследования являются теоретические, методические ш практические вопросы, связанные с внедрением системы контроллинга в российских организациях.
Объектом; исследования; является: система управления? промышленной организацией в условиях рыночной экономики.
Теоретической? и? методологической основою диссертационного исследования являются научные труды: отече ственных и зарубежных ученых и; специалистов в области контроллинга; стратегического; и оперативного» управления? промышленной организацией; информационных систем? ш информационных технологий, а также систем защиты информации.
В ходе; исследования; проведен анализ литературных источников по выбору оптимальных систем управления промышленными? организациями; подсистемам! контроллинга, методикам? расчета эффективностш СЗШ Использовались методы логического, сравнительного, системного анализа, моделирования и прочие общенаучные методы исследования;
Научную новизну результатов исследования: можно? сформулировать следующим образом:
Г... Разработаны теоретические и методические положения по созданию основных подсистем контроллинга: его информационной системы и; риск-контроллинга защиты информации.
21 Разработаны основные этапы; построения? системы управления; промышленной организации на основе внедрения РКЗИ.
31 Установлена? взаимосвязь между финансовыми; потерями промышленных организаций; эффективностью принимаемых управленческих решений» и степенью защиты информации, позволяющая определить рациональность внедрения РКЗИ в системы управления этих организаций!.
4. Разработана программа и методика оценки; риска документарного обеспечения системы защиты информации организации, предназначенные для службы контроллинга (риск-подразделения) промышленной организации.
5; Разработана программа и методика оценки риска документарного обеспечения СЗИ организации, предназначенная для службы контроллинга (риск-подразделения) промышленной организации.
Практическая значимость проведенного исследования» состоит в том, что выводы и предложения, сформулированные автором диссертации, могут быть использованы для повышения эффективности управленческой деятельности? благодаря внедрению системы контроллинга в промышленных организациях любой формы собственности, функционирующих в различных отраслях национальной экономики. Реализация сформулированных, в работе рекомендаций по созданию одной из основных подсистем контроллинга - СЗИ и внедрение РКЗИ позволит повысить эффективность функционирования управления, степень доверия к организациям, значительно снизить правовые и финансовые риски, вызванные недостаточным обеспечением ЗИ и добиться значительных успехов в конкурентной борьбе.
Результаты исследования используются в учебном процессе в качестве лекционного и практического материала в преподавании учебных дисциплин І на кафедре «Менеджмент» МГАПИ.
Отдельные положения диссертации нашли применение в практической деятельности организаций: ЗАО «Рязанский завод автомобильных: агрегатов АМО ЗИЛ», ЗАО «ТЕХМАШ» и ЗАО «Московский конный завод №1». Так, в ЗАО «Московский конный завод №1» на основе внедрения в состав управления риск-подразделения, в обязанности которого входит осуществление РКЗИ организации. В результате значительно улучшилось качество управления,. что выразилось в комплексной оценке рисков ЗИ, их минимизации и за счет этого снижения расходов на обеспечение ЗИ. Руководство МКЗ №1 получило возможность получать информацию о текущем состоянии обеспечения ЗИ, сопутствующих при этом рисках и возможным финансовым потерям в следствии проявления данных рисков. Положения диссертации- легли в основу разработок в организации методик оценки; различных рисков, источниками которых служат недостатки в; обеспечении ЗИ;.Внедрена в;действие методика!обеспечения? оценки; рисков документарного обеспечения СЗИ организации.
Структура и объем работы.. Диссертация состоит из і введения; четырех глав; заключения, списка і литературы и приложения. Объем; диссертационной работы составляет 164 страницы І печатного текста,1 в ітом числе 10 таблиц; 13; рисунков и одно приложение.
Во? введении» обоснована актуальность рассматриваемой темы, определены цели, задачи, предмет, объект и методологическая? основа; исследования, научная? новизна ш практическая значимость результатов? исследования.
В первой главе — «Контроллинг, как система управления промышленной организацией» анализируются основные составляющие качества управления и определяются цели и задачи создания системы контроллинга в промышленнойI организации.
Контроллинг является новым; направлением; в теории? m практике современного» управления. Большинство трудов, изданных В; России за последнее десятилетие и посвященных контроллингу, являются переводными, поскольку контроллинг появилсяи развивался на Западе - в Германии и США. Наиболее заметный ; вклад ВЇ развитие системы» контроллинга и: его? инструментов; внесли иностранные ученые:: Р. Акофф, ИІАнсофф;. Р. Манн, Э;Майер, Ю: Вебер, А. Дайле, К. Друри, X. Кюппер; Е.Майер,. Б. Райан; Т. Райхманн; Т. Скоут, X. Фольмут, Д. Хан, Ш Хорват, Ді Шнайдер, С. Янг и др., а также российские ученые: Е.А. Ананькина; ИАл Бланк, .G.B; Гришунин, С.В; Данилочкин, H.F. Данилочкина, М.С.Зеленский, В.Б.Ивашкевич,. Т.В. Канышева,. А.Мі Карминский; М.Л. Лукашевич, Л.А. Малышева, А.Р. Мшвиладзе, И.В1 Мырынкж, С.А. Николаева, Н:И: Оленев, В.Ф. Палий; А.Г. Примак, С.А. Стуков, Е.Н Тихоненкова, Э.А.Уткин, С.Г. Фалько, Р.А. Фатхутдинов; АІГ. Чермошнюк,. Е.В Чижова, Б.Р. Шакиртханов, А.Л. Шарыкина, ЕМі Шахдинаров, А.Д. Шеремет, СЯ: Юсупова и другие;.
Контроллинг является многогранным средством серьезного улучшения деятельности организации; а его основной? задачей является настройка системы управления организацией на достижение: поставленных целей. Поэтому контроллинг представляет собой! сложную конструкцию, объединяющую, в- себе столь, разные элементы,, как установление целей;, поддержка! процесса планирования; учет, управление информационными потоками; мониторинг, контроль,, анализ и выработку рекомендаций для принятия управленческих решений: Вследствие своей: интегрированностш контроллинг обеспечивает синтетический; целостный взгляд на - деятельность . организации! в прошлом,, настоящем; и і будущем, комплексный подход к выявлению и решению встающих перед организацией проблем;
Развитие рыночной концепции» хозяйствования происходит у нас прш наличии множества проблем; которые являются специфическими5для современного« состояния?российской экономики. Очевидно;, что в» обстановке неопределенности; руководству организацииг функционировать гораздо сложнее, нежели: в\ условиях обычного развитого рыночного хозяйства. Промышленные организацитв Россииші своеш повседневной! деятельностиt вынуждены; постоянно работать в условиях, близких к кризисным. Поэтому в современных российских условиях хозяйствования! необходимы комплексная: методология ш основанный на» нейі инструментарий; которые помогли: бы модернизировать организационную? ш информационную структуру организации? такимі образом,, чтобы, решались, базовые проблемы ее развития; предопределяющие: стабильные успехи не только в настоящем; но? и? ві будущем; В качестве такого инструмента и? предлагаетсяшспользовать достижения контроллинга:
В России? интерес: к контроллингу начал: проявляться» в: самом; начале 1990-х гг., когда в экономике окончательно закрепились как юридически,. так и
фактически рыночные: принципы хозяйствования; На первых порах отношение наших бухгалтеров и экономистов к идее контроллинга было в основном критическим, возможность»его использования! в российской действительности подвергалась сомнению или даже отрицанию.
В: настоящее время можно- считать, что контроллинг как система управления? затратами ш результатами производственно-сбытовой ш финансовой деятельности организаций получил признание и в России. Косвенным свидетельством этого является включение учебной дисциплины «Контроллинг» в государственный? общеобразовательный і стандарт высшего профессионального- образования по специальности: «Финансы? и: кредит», а: также активное участие организаций различных: отраслей в работе Объединения контроллеров і России. Регулярно,, не: менее двух раз: Bi год, в России проводятся симпозиумы по контроллингу, на которых выступают представители науки и практики: Такой обмен! опытом ш новыми! идеями способствует развитию теории контроллинга и снижает рискиЇ при его; практическом внедрении.
В российских условиях, контроллинг все чаще выступает как; система! обеспечения • выживаемости«организации і в краткосрочном плане; нацеленная наї оптимизацию прибыли; в: долгосрочном! - на: поддержание: гармоничных: отношений с: окружающей!средой: Уже стало: очевидным,, что контроллинг имеет огромный; потенциал как совокупность методов оперативного и стратегического менеджмента; учета, анализа и контроля; на? качественно новом этапе развития рынка, как единая система; направленная на достижение стратегических целей организации:.
ВІ настоящий: момент в: России формируются основы: для? широкого/ внедрения Ї контроллинга. Глубокое изучение и использование его • потенциала сегодня: крайне необходимы, поскольку помогают промышленным организациям своевременно реагировать на изменения рынка, определять перспективу своего развития, минимизировать коммерческие: риски,, добиваться; высоких финансовых результатов и не бояться будущего: Внедрение контроллинга в, российских промышленных организациях исключительно эффективный метод рыночного хозяйствования, если его применять с учетом конкретных российских условий. Система контроллинга в организации создается для обеспечения, его руководства актуальной и значимой для; принятия решения информацией. Собственно контроллинг охватывает процессы отбора информации, ее переработку и подготовку для. принятия решений, что составляет наиболее существенную часть общего процесса управления организации.,Контроллинг может рассматриваться как кибернетическийЇ процесс, в котором? достижение равновесия в» отношениях «организация-внешняя среда» обеспечивается самоуправляемым циклом обратной связи:
Контроллинг позволяет построить комплексную систему контроля над рисками. С помощью контроллинга исключается дублирование;выполняемых, задач» отдельными подразделениями организации, исключая» при? этом-нездоровую конкуренцию между ними. Ш самое главное внедрение контроллинга позволяет сократить затраты на минимизацию рисков т.к. риски рассматриваются І не только как; отдельные компоненты, а; как составляющие совокупного риска для организации вследствие этого какими-то компонентами можно пренебречь, исходя из их влияния на общую картину.
Во шторой І главе — «Система защиты • информации, как составная; часть системы управления промышленной организацией» анализируются все составляющие информационного обеспечения? управления, требования к информации, предоставляемой руководству для- принятия решения ш обоснование необходимости ее защиты..
К тому факту, чтo в мире идет, информационная революция, все привыклш - революционные преобразования? в этой» сфере свершаются? уже несколько десятилетий. Люди начинают работать с информацией; на качественно новом уровне. Происходящие перемены позитивно воспринимаются сообществом. Однако происходит не; только совершенствование технологий і - начинается этап революционных изменений • методов і управления, - в -. том числе и управления бизнесом. Современный мир находится на таком этапе своего развития, который специалисты определяют как «информационное общество». Это значит, что во всех сферах деятельности на первый план выходит информация, а, следовательно, и процессы, связанные с ее получением, обработкой и использованием. Информация стала ценным и определяющим ресурсом роста производительности организации, поскольку именно она позволяет:
• устанавливать стратегические цели и задачи организации и использовать открывающие возможности;
• принимать обоснованные и своевременные управляющие решения;
• координировать действия разрозненных подразделений; направляя их усилия на достижение общих поставленных целей.
Утверждение «Кто владеет информацией, тот владеет миром» уже давно стало реальностью.
Внедрение передовых технологий в организациях способствовали увеличению информационного обмена между подразделениями; Происходящие изменения мало затронули деятельность руководителей, которые должны работать с обобщенной информацией качественного характера о текущем и прогнозируемом состояниях внешней и внутренней сред. Это информация о политической, экономической, социальной, экологической ситуации в мире, стране, регионе, ситуациях на международных и локальных рынках, о расстановке сил, намерениях партнеров и конкурентов, конфликтах, проблемах, рисках, угрозах, особенностях взаимоотношений; новых производственных технологиях и т.д. Как правило, такой информации в базах данных организаций нет, а руководство и сотрудники вынуждены иметь дело с различными видами информации, технологии работы с которыми сильно разнятся. В процессе исследования автор пришел к выводу, что во многих организациях отсутствуют системный подход информирования руководителя о происходящих событиях и процессах. Это особенно актуально для нашей страны. Bt организациях принят порядок информирования руководителя по основным вертикалям: производственной; маркетинговой, финансовой; обеспечения (снабжение, охрана и т.д.). В основном руководитель информируется в рамках оперативного управления, а системное представление о происходящих событиях не формируется. Для российских промышленных организаций еще характерно? и несовместимость старых и; новых технологий, применяемых в управлении; бизнесом. Конфликт заключается в том, что технические возможности; по сбору, передаче, обработке,, анализу информации возросли? колоссально, а- управленческие технологии; позволяющие собрать всю необходимую для руководителя информацию; сжать ее и? представить ві удобном; для восприятия виде; отсутствуют.
Недостаток информации для принятия решений некоторыми руководителями не ощущается; они принимают решения, даже не понимая; что ; им требуется для выработки эффективных шагов. Из-за ошибочных или» малоэффективных решений организация может понести значительные финансовые потери, а самое главное трудно установить. причину таких потерь. Контроллинг может существенно облегчить решение этих задач. С его помощью можно увеличить объем анализируемой информации, получать текущую информацию об источниках рисков, а самое главное значительно сократить время; на принятие обоснованных управленческих решений.
Информация, необходимая для эффективного функционирования системы контроллинга, должна отвечать следующим требованиям:
• полнота,.т. е. достаточность имеющейся информации для принятия правильных решений;
• достоверность, т. е. отсутствие в j полученной информации искажений; внесенных случайно или намеренно;
• своевременность, т. е. получение информации именно в тот момент времени, когда она необходима.
Массовое создание, внедрение и эксплуатация информационных систем привели к возникновению спектра новых проблем г в І сфере: безопасности - это проблемы, связанные с обеспечением ЗИ; Внимание к ним: закономерно.. Если коммерческая: организация: допускает утечку более: 20% важной! внутренней? информации; то онаг в: 60 случаях: из; 100- банкротится;. Утверждают также; 93% компаний;, лишившихся: доступа: к собственною информации на срок более 10 дней, покинули бизнес, причем пол овинаиз них заявила о своей несостоятельности немедленно.
Потребность в- обеспечении: ЗИ" связана» с: тем; что: существует множество субъектов ш структур, весьма заинтересованных: в\ чужой\ информации? т готовых: заплатите заг это? высокую цену. Так, стоимость» устройств подслушивания, продаваемых только в ЄША, составляет в І среднем \ около? 9001 млн:, долл. в; год.. Суммарный? урон; нанесенный? организациям,, против которых осуществлялось прослушивание, составляет ежегодно в США около: Ъ млрд;, долл.. Примерная структура? последствий неэффективного обеспечения: информационной! безопасности в американских организациях такова: кража: конфиденциальной! информации;—20-25% от общего годового ущерба;: фальсификация финансовой! информации/ — 21-25%; заражение вредоноснымишрограммами—11-12%; нарушение;доступа;к; Web-сайтам — 1-І 1%; срыв работы информационной;системы—4-10%; незаконный доступ сотрудников: к информации» — 4L9%; другие: виды ущерба; — 14-33%. Ситуация в российских;промышленных:организациях примерно»аналогичная,, особенностью лишь являетсяз то;, что: рост преступлений: в данной; сфере: постоянно: растет. Так, по данным» МВДі РФ (материалы. Всероссийской! конференции! «Информационная: безопасность. России»); количество: преступлений і только в области компьютерной информации постоянно растет, так в; 1997 году их;было всего - 5 а в 2002 году - З 371.
Угрозами дляї ЗИ: являются: как: неумышленные; (случайные), так: и; намеренные действия персонала и/или злоумышленников; Они выражаются в:
• уничтожении информации и (или) ее носителя;;
• несанкционированном получение и (или) распространение конфиденциальной информации;
• модификации информации, т. е.- внесение в нее изменений;
• создание ложных сообщений;
• блокирование доступа к информации или ресурсам системы, в том числе отказ в обслуживании;
• несанкционированном или ошибочном использовании информационных ресурсов системы;
• отказ от получения или отправки информации.
В качестве источников угроз защищаемой информации могут выступать, средства обработки, передачи? и хранения информации, другие технические средства и системы, не связанные непосредственно с обработкой защищаемой информации, стихийные бедствия и природные явления, но наиболее опасным источником угроз является человек. Воздействие со стороны всех остальных источников угроз всегда носит случайный характер. Избежать проявления вышеназванных угроз і и тем самым сократить возможные финансовые потери организации можно путем введения в управление соответствующего обеспечения ЗИ.
В любых автоматизированных системах обработки информации (АСОИ) обеспечение ЗИ должно вестись по следующим направлениям:
• правовое;
• организационное;
• инженерно-техническое;
• программно-аппаратное (в том числе криптография).
В понятие правовой защиты информации входит соблюдение всех норм правовых документов, регулирующих вопросы использования информационных ресурсов.
Организация защиты информации подразумевает создание в организации комплекса административных мер, позволяющих разрешить или запретить доступ: сотрудников к определенной5 информации и средствам ее обработки, выработать правила работы с защищаемой информацией, определить систему наказаний за несоблюдение таких правил и т. п.
Инженерно-техническая защита информации означает обеспечение защиты от технической разведки; установку в организации технических средств охраньїі (охранной сигнализации); а также принятие мер по? обеспечению защиты информацииі от утечкт поі техническим; каналам (акустический; визуальный; электромагнитный).
Программно-аппаратная защита включает в себя комплекс мер по защите информации; обрабатываемой; наї ЭВМ ы том числе: ш в вычислительных сетях.
В третьей і главе; - «Методологические и практические,: основы построения : системы.защиты информации промышленной; организации» разработаны этапы; построения ЄЗИ на основе адаптации международных стандартов.
Основным критерием при создании СЗИ является комплексный подход, основанный на: применении» организационных, технических, правовых и. аппаратно-программных средств ЗИ! Для? эффективного управления ЄЗШ в организации необходимо решить следующие задачи:
1. Отнести! информацию к категории» ограниченного? доступа! (служебной тайне);
2!. Прогнозировать» и і своевременно! выявлять угрозы; безопасности информационным ресурсам, причины и:условия, способствующие нанесению финансового; материального и морального ущерба, нарушению его нормального функционирования и развития;
У. Создать, условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам ш нанесения? различных видов ущерба;:
4. Создать механизм и? условия оперативного реагирования на угрозы информационной? безопасности и проявления! негативных тенденций: в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;
5; Создать условия- для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения ЗИ.
Эффективным;решением для организации, по? мнению автора, будет применение4 моделей на основе адаптации международных стандартов по информационной безопасности ISCVIEC 15408 «Информационная технология -методы защиты - критерии оценки информационной безопасности» и ISO/IEC 17799 «Управление информационной безопасностью».
Представленная модель СЗИ - это совокупность объективных внешних и внутренних факторов и их влияние на состояние ЗИі на объекте и на сохранность материальных или информационных ресурсов.
Для; построения сбалансированной СЗИ предполагается первоначально провести анализ рисков в области ЗИ. Затем определить оптимальный уровень риска для организации на основе заданного критерия. СЗИ (контрмеры) следует построить таким образом, чтобы достичь заданного уровня риска.
Предлагаемая модель является основой для проведения аналитических работ в области обеспечения защиты информации. С помощью разработанной методики можно документально оформить требования, связанные с обеспечением ЗИ; избежать расходов на излишние меры защиты, представить обоснование для выбора мер противодействия, оценить эффективность, контрмер, сравнить различные; варианты контрмер. Оценивая вероятность осуществления угроз, целесообразно учитывать не только среднестатистические данные, но и специфику конкретных информационных систем.
Для проведения анализа уязвимости целесообразно иметь в распоряжении исследователя модели каналов утечки информации И несанкционированного доступа (НСД), методики определения вероятности информационного контакта, модель нарушителя; перечень возможностей информационных инфекций, способы применения и тактико-технические возможности технических средств ведения разведки, методику оценки ЗИ.
Точную количественную оценку защищенности информационных ресурсов в организации получить не всегда удается, однако можно вычленить наиболее уязвимые участки и сделать прогноз о возможных проявлениях угроз. Суть такого подхода заключается в том, что требуемый уровень защиты информации устанавливается в соответствии5 с ситуацией, определяющей соотношение между ценностью перерабатываемой информации, затратами (снижением производительности АСОИ, дополнительным расходом оперативной памяти и др.), которые необходимы для его достижения, и возможными суммарными потерями: (материальными, моральными \ и др.) от искажения и несанкционированного использования информации.
Наиболее приемлемым и эффективным способом оценки эффективности и рентабельности выбранных средств ЗИ? является способ, разработанный доктором технических наук профессором \ Абалмазовым Э.И., подробно рассмотренный в главе IV.
Совершенно ясно, что выбор стратегии защиты облегчается, если при меньших затратах удастся обеспечить равную или даже большую эффективность» защиты. Очевидны и источники экономии затрат: использование более экономичных средств; и решений? универсального характера; рациональное распределение ресурсов и более совершенные формы управления ими; привлечение кооперативных форм обеспечения безопасности идр. Весь этот перечень присущ крупным коммерческим структурам, однако для среднего и малого бизнеса он, к сожалению, существенно сужается. Идеология их СЗИ должна строиться на рентабельной защите лишь от отдельных видов угроз. В противном случае защита может себя не оправдать. Поэтому надо иметь в виду, что экономии ресурсов в этих условиях будут способствовать кооперативные формы защиты в рамках единой местной; или региональной системы безопасности.
Выбирая; защитные меры, приходится? учитывать не только прямые расходы на закупку оборудования І и программ, но и расходы на внедрение новинки и, в; частности, на обучение и переподготовку персонала. Важным обстоятельством является совместимость нового средства со? сложившейся; аппаратно-программной структурой организации.
В г четвертой главе — «Риск-контроллинг защиты; информации промышленной организации»»разработаны основные подходы; к управлению рисками, причинами возникновения; которых могут стать недостатки» в? обеспечении ЗИ;
Риск-контроллинг - это» организационная: и информационно-методическая! система» применения, процедур и способові ограничения ш нейтрализации принимаемых организацией рисков, т.е. возможных убытков от ошибок; управления;функциональными; подразделениями;; и/или; последствий; неблагоприятных событий.
Риск-контроллинг строится как интегрированная система» применения следующих инструментов и методов:;
- организационных инструментов распределения;регламентированной; ответственности! на? всех; этапах; принятия финансовых решений; между подразделениями и должностными лицами организации..
- методов идентификации и оценки уровня принимаемых рисков;
- инструментов установления; лимитов? ш ограничений; Has основные: инструменты и операции организации и процедуры их контроля;
- инструментов хеджирования или страхования рисков;
- инструментов мониторинга ключевых рисков ш их; периодической; оценки, текущего и» последующего контроля; зак качеством\ управления? ш уровнем принимаемых рисков;
- инструментов г информационно-технологического обеспечения; управленческого учета.
Поскольку в процессе управления и ограничения рисков участвуют все основные подразделения организации,. то основным; условием эффективности процесса является«разработка и утверждение таких принципов распределения вышеуказанных функций; которые исключали бы дублирование и; конфликт интересов, и позволили бы оптимизировать процесс управления и ограничения: рисков; выбрать наиболее приемлемые уровни риска;. И? после этого уже придерживаться выбранной политики, корректируя ее в соответствии» с экономической; ситуацией: Для- придания процессу управления! рисками самостоятельного; направления! в организации; целесообразно вводить риск-подразделение.
Основной І задачей такого подразделения является создание, совместно« с: аналитическими - ш информационными І подразделениями \ организации, системы контроллинга, в с остав которой будет входить РКЗИ:
Поскольку мероприятия по уменьшению? риска в общем; случае; приводят к снижению доходности, то задача снижениям суммарных рисков организации тесно связана с задачей достижения доходности и плановых контролируемых показателей; поэтому риск-подразделение при осуществлении своих функций должно взаимодействовать с аналитическими и плановыми; подразделениями организации? в рамках общей? системы; контроллинга.
Для? реализации процедур риск-контроллинга необходимо? создать, и/или= модифицировать соответствующий инструментарий; т.е. специальные аналитические и оптимизационные: модели, пригодные для; идентификации ситуаций, риска? ш подготовки управленческих решений по предотвращению развития потенциальных кризисных,ситуаций. В такойIинтерпретации активное антикризисное управление становится одной из функций риск-подразделения.
К критериям риска, вытекающим, из; оценки рыночной конъюнктуры, относятся: степень, устойчивости рынка; тенденции, скорость и вектор развития рынка; оценка интенсивности конкуренции; оценка цикла; рыночной конъюнктуры; вероятность риска, извлеченная из опыта прошлого и из аналоговых моделей; уровень стабильности политической ситуации и институционально й защищенности предпринимательства.
В работе предлагается все риски, на которые оказывают существенное влияние недостатки в обеспечении ЗИ разделить на четыре группы:
финансовые риски;
правовые риски;
операционные риски;
риски потери репутации.
Вышеуказанные риски являются следствием не только проявления компонентов недостаточного обеспечения ЗИ; а целого спектра различных источников риска, но недостатки в обеспечении ЗИ оказывают на них наибольшее влияние. В общем случае рассмотрение рисков не должно ограничиваться только выявлением и определением возможных финансовых потерь. Исходя из системных характеристик промышленных организаций при изучении проблем, связанных с обеспечением ЗИ, следовало бы развивать методические разработки в направлении оценивания и анализа общих или "системных" рисков. Совокупность таких рисков могла бы включать: риск банкротства организации, риск ограничения отдельных видов деятельности, риск невыполнения обязательств перед партнерами и клиентами, риск нанесения финансового ущерба и др.
Основное предназначение всех перечисленных в диссертации моделей заключается в предоставлении исходной информации руководству организации, для принятия решения по ключевым вопросам, а также: для формирования: службой контроллинга качественного прогноза функционирования организации и осуществления контроллинга рисков.
В плане практического применения проведенных исследований автором была разработана методика оценки документарного обеспечения СЗИ организации, которая была апробирована на ЗАО «Московский конный завод №1». Методика позволила оценить не только качество документарного обеспечения СЗИ, но и на основании полученных результатов сократить затраты на отдельные мероприятия, по ЗИ и тем самым сократить общие затраты на обеспечение ЗИ. В целом внедрение в управление РКЗИ получило положительную оценку руководства ЗАО «Московский конный завод №1».
В заключении приводятся основные результаты, полученные в ходе исследования:
1. В результате поведенного комплексного исследования теоретических и методических проблем, связанных с внедрением контроллинга, обоснована актуальность внедрения системы риск-контроллинга в системы управления отечественными промышленными организациями.
2. На основе анализа существующих концепций контроллинга, а также его целей и задач разработаны этапы построения системы управления промышленной организацией иа\ основе внедрения РКЗИ. Данный подход позволяет сконцентрировать усилия на достижении1 стратегических целей? организации, избежав при этом излишней конкуренции между подразделениями, минимизировать сопутствующие риски и за счет этого перераспределить затраты на обеспечение ЗИ организации.
3. В; процессе исследования установлена взаимосвязь между финансовыми потерями организаций и состоянием ЗИ в данных организациях. Результаты показали, что организации, придающие должное внимание качеству, используемой для І управления информации, и имеющие в своем составе надежную СЗИ, менее подвержены рискам и управленческие решения, на основе; защищенной и достоверной информации являются более эффективными. Так на основе внедрения в систему управления ЗАО «Московский конный завод № 1» системы РКЗИ были выявлены компоненты связанных рисков, что послужило причиной пересмотра всей системы управления и СЗИ в частности. Значительно увеличилась эффективность принимаемых решений, что привело к увеличению доходной части этой организации. Возросло внимание инвесторов к этой организации, увеличилось количество деловых партнеров. Основополагающим критерием послужило повышение доверия к данной организации, т.к. в данном бизнесе особо ценится конфиденциальность сделок и защита сведений.
4. Разработаны пути минимизации рисков с помощью внедрения системы РКЗИ в систему управления организации, позволяющие уменьшить возможные потери вследствие проявления последствий этих рисков.
5. Разработан и обоснован комплекс методических рекомендаций по оценки эффективности внедряемых мер по ЗИ организации, обеспечивающих расчет и снижение возможных убытков организации по причине потери конфиденциальности деловой информации.
6. Разработанные программа и методика оценки документарного обеспечения СЗИ организации, позволяют более рационально и эффективно распределить затраты на отдельные виды обеспечения ЗИ.
