Содержание к диссертации
Введение 5
РАЗДЕЛ I. ПРОБЛЕМЫ СОВЕРШЕНСТВОВАНИЯ ИНФРАСТРУКТУРЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ 14
Глава 1. Тенденции и закономерности развития инфраструктуры защиты информации на промышленном предприятии 14
1.1. Основные понятия и структурные составляющие бизнес-процессов 14
1.2. Тенденция влияния информационной инфраструктуры на реализацию бизнес-процессов 33
1.3. Закономерности развития информационных активов бизнес-процессов промышленного предприятия 46
1.4. Сущность и содержание информационной безопасности промышленного предприятия 63
1.5. Обоснование требований к инфраструктуре защиты информации бизнес-процессов 72
Глава 2. Идентификация проблемы совершенствования инфраструктуры защиты информации на промышленном предприятии 79
2.1. Оценка влияния возможностей новых информационных технологий на поддержку и защиту бизнес-процессов 79
2.2. Оценка существующей системы организации информационной безопасности на промышленном предприятии 97
2.3. Обоснование необходимости соблюдения требований стандартов информационной безопасности бизнес-процессов 103
2.4. Постановка научной проблемы организации инфраструктуры защиты информации на промышленном предприятии 106
Выводы по разделу I ПО
РАЗДЕЛ П. ТЕОРИЯ ОРГАНИЗАЦИИ ИНФРАСТРУКТУРЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ 112
Глава 3. Концептуальные положения обеспечения информационной безопасности на промышленном предприятии 112
3.1. Принципы обеспечения информационной безопасности 112
3.2. Концептуальная модель формирования инфраструктуры защиты информации бизнес-процессов на промышленном предприятии 121
3.3. Оценка уровня защищенности бизнес-процесса 131
3.4. Обоснование системы показателей информационной безопасности бизнес-процессов на промышленном предприятии 134
Глава 4. Теоретические аспекты определения ценности информационных активов и эффективности инфраструктуры защиты информации на промышленном предприятии 139
4.1. Оценка информационных активов методами доходного подхода 139
4.2. Определение стоимости информационных активов методами затратного подхода 147
4.3. Оценка информационных активов на основе методики совокупной стоимости владения 152
4.4. Оценка эффективности инфраструктуры защиты информации и ее влияния на основные показатели производственно-хозяйственной деятельности предприятия 163
Выводы ПО РАЗДЕЛУ II 168
РАЗДЕЛ III. МЕТОДОЛОГИЯ ОРГАНИЗАЦИИ ИНФРАСТРУКТУРЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ 170
Глава 5. Модели и методы оценки и оптимизации инфраструктуры защиты информации бизнес-процессов 170
5.1. Методологические положения формирования инфраструктуры защиты информации на промышленном предприятии 170
5.2. Модель оценки информационной защищенности бизнес-процессов от несанкционированного доступа 174
5.3. Модель оценки уровня защищенности информации от перехвата 180
5.4. Модель оценки уровня защищенности информации от уничтожения (повреждения) при сбоях 190
5.5. Модель оценки уровня информационной защищенности от несанкционированного вмешательства в бизнес-процесс 196
5.6. Модель формирования комплексного показателя информационной защищенности бизнес-процессов 200
5.7. Методы управления информационными рисками в бизнес-процессах 211
5.8. Модель оптимизации (выбора оптимизируемых) показателей информационной защищенности 232
5.9. Модель выбора варианта инфраструктуры защиты информации бизнес-процессов 238
Глава 6. Инструментальные методы организации инфраструктуры защиты информации на промышленном предприятии 242
6.1. Имитационная модель функционирования инфраструктуры защиты информации 242
6.2. Синтез инфраструктуры защиты информации крупного промышленного предприятия 249
6.3. Организация автоматизированной системы мониторинга и пути совершенствования инфраструктуры защиты информации на промышленном предприятии 268
Выводы ПО РАЗДЕЛУ III 281
Заключение 284
Библиографический список 287
ПРИЛОЖЕНИЕ 1 307
ПРИЛОЖЕНИЕ2 .316
Введение к работе
Информатизация является характерной чертой жизни современного общества. Новые информационные технологии активно внедряются во все сферы национальной экономики.
По мере развития и усложнения средств, методов, форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий.
Информационные технологии (ИТ) в настоящее время являются необходимым атрибутом повышения эффективности бизнес-процессов, в частности, позволяют хозяйствующим субъектам снизить издержки производства, повысить достоверность экономического анализа, правильно выбирать стратегию и тактику проведения мероприятий в условиях наступления форс-мажорных обстоятельств. Одной из наиболее серьезных проблем, затрудняющих применение современных информационных технологий, является обеспечение их информационной безопасности.
Актуальность и важность проблемы обеспечения безопасности информационных технологий обусловлены следующими причинами:
• резкое увеличение вычислительной мощности современных компьютеров при одновременном упрощении их эксплуатации;
• высокие темпы роста парка персональных компьютеров, находящихся в эксплуатации в самых различных сферах деятельности;
• резкое увеличение объемов информации, накапливаемой, хранимой на электронных носителях (в виде электронных документов) и обрабатываемой с помощью компьютеров;
• концентрация информации - сосредоточение в единых базах данных информации различного назначения и различной принадлежности;
• динамичное развитие программных средств, не удовлетворяющих даже минимальным требованиям безопасности;
• резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;
• демократизация доступа к информации, обусловленная развитием компьютерных сетей как локальных, так и глобальных;
• развитие электронной почты и рост электронного документооборота в компьютерных сетях;
• внедрение электронных технологий в различные виды профессиональной деятельности на финансовых и товарных рынках (электронная коммерция, сетевые банковские и финансовые услуги);
• развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире.
В результате указанных причин возникло острое противоречие между возросшими возможностями методов и средств информационных технологий и возможностями методов и средств защиты информационных ресурсов.
Данные мировой и российской статистики свидетельствуют о тенденции роста масштаба компьютерных злоупотреблений, приводящих к значительным экономическим потерям хозяйствующих субъектов различного уровня. По оценкам [91, 92, 117] количество компьютерных преступлений в России выросло приблизительно в 140 раз (с 100 в 1997 году до 13700 в 2004 году со среднегодовым темпом роста 88,2%.). Ущерб от компьютерных злоупотреблений в мире ежегодно возрастает на 35% и в 2004 году составил 411 млрд. долл. США [91] , средняя сумма потерь от одного компьютерного преступления составляет 560 тыс. долл. США [91]. При анализе имеющихся статистических данных в области компьютерных преступлений необходимо учитывать латентность (сокрытие компаниями) информации о компьютерных злоупотреблениях. В США латентность составляет 80%, в Великобритании - 85%, в Германии - 75%), в России - 90% [117]. Тем не менее, имеющиеся тенденции заставляют вносить изменения в стратегии развития компаний и требуют более обоснованной организации инфраструктуры защиты информации.
Анализ результатов исследований [27, 43, 47, 49, 53, 80, 92, 113, 131, 134 и др.], ведущихся в направлении обеспечения информационной безопасности информационных технологий показывает, что в настоящее время не до конца решены вопросы научного обоснования структуры системы защиты информации. В первую очередь это касается инфраструктуры защиты бизнес-процессов, которая в свете современных тенденций организации бизнеса играет решающую роль в достижении успеха хозяйствующим субъектом.
Отмеченные обстоятельства обусловливают противоречие между насущной необходимостью научного обоснования концепции построения инфраструктуры защиты информации бизнес-процессов и возможностями теоретико-методологических решений, обеспечивающих это обоснование.
При этом необходимо учитывать, что процессный подход к организации и управлению хозяйственной деятельностью предприятия требует применения процессно-ориентированного подхода и к формированию самой инфраструктуры защиты информации бизнес-процессов. Процессно-ориентированный подход к созданию (совершенствованию) инфраструктуры защиты информации бизнес-процессов позволит рассматривать процесс формирования (развития) системы защиты информации, как один из вспомогательных процессов, обеспечивающих основные процессы предприятия. Это дает возможность разработки инфраструктуры защиты информации в тесной взаимосвязи с проектированием других бизнес-процессов, что несомненно увеличит их интегрированность, гибкость, сбалансированность и управляемость.
Для блокирования и предупреждения наиболее вероятных информационных угроз на промышленном предприятии должна функционировать такая инфраструктура защиты информации, которая ориентирована на поддержку бизнес-процессов с учетом структуры информационных активов промышленного предприятия, а в силу ограниченности финансовых ресурсов у предприятия инфраструктура защиты информации должна формироваться экономически обоснованно.
В то же время в отечественной и зарубежной теории и практике отсутствует целостная методология организации инфраструктуры защиты информации, рассматриваемая через призму процессного подхода к управлению промышленным предприятием.
Таким образом, потребность разрешения существующих противоречий в теории и практике создания систем защиты информации требует дальнейшего их развития и, в частности, формирования инфраструктуры защиты информации бизнес-процессов на промышленном предприятии, что подтверждает актуальность темы диссертационной работы.
Все сказанное определило цели и задачи диссертационного исследования.
Целью исследования является разработка теории и методологии организации экономически обоснованной инфраструктуры защиты информации на промышленном предприятии на основе использования перспективных концепций обеспечения информационной безопасности и процессного подхода к организации управления, моделей и математических методов.
Для достижения данной цели в диссертационном исследовании были поставлены и решены следующие задачи:
• разработка теоретических и методологических основ организации инфраструктуры защиты информации на промышленном предприятии;
• анализ связи современных концепций производственного менеджмента с инфраструктурой защиты информации;
• обоснование требований к инфраструктуре защиты информации на промышленном предприятии;
• уточнение понятия информационных активов промышленного предприятия;
• определение путей влияния инфраструктуры защиты информации на основные показатели производственно-хозяйственной деятельности промышленного предприятия;
• обоснование принципов организации инфраструктуры защиты ин- " формации;
• разработка концептуальной модели инфраструктуры защиты информации;
• анализ состава затрат на создание инфраструктуры защиты информации промышленного предприятия;
• обоснование системы показателей информационной безопасности;
• разработка комплекса математических моделей оценки и оптимиза- +/ ции инфраструктуры защиты информации бизнес-процессов на промышленном предприятии;
• построение имитационной модели функционирования инфраструктуры защиты информации;
• выработка практических рекомендаций по организации инфраструктуры защиты информации и системы мониторинга безопасности информационных активов промышленного предприятия.
Объектом исследования являются процессы управления промышленным .. предприятием и их информационная поддержка.
Предметом исследования являются теоретические и методологические положения, модели и методы организации инфраструктуры защиты информации, реализуемой в рамках современного процессно-ориентированного подхода к управлению производственно-хозяйственной деятельностью предприятия.
Научная новизна диссертационного исследования состоит в разработке теории и методологии, моделей и методических положений организации инфраструктуры защиты информации бизнес-процессов на промышленном предприятии.
Получены следующие основные научные результаты: ±, 1. На основе определения закономерностей влияния информационной ин фраструктуры на реализацию бизнес-процессов и выявления тенденций развития информационных активов промышленного предприятия сфор мированы основные принципы функционирования инфраструктуры защиты информации и определены структурные особенности информационных активов.
2. Уточнено понятие информационных активов промышленного предприятия с учетом инфраструктуры защиты информации.
3. Разработаны теоретические и методологические положения организации инфраструктуры защиты информации на промышленном предприятии в соответствии с требованиями процессного подхода к управлению.
4. Сформулированы принципы организации инфраструктуры защиты информации, поддерживающей бизнес-процессы на промышленном предприятии, являющиеся основой методологии формирования инфраструктуры защиты информации.
5. Предложена концептуальная модель инфраструктуры защиты информации на промышленном предприятии, учитывающая требования и принципы ее организации.
6. Разработана система показателей информационной безопасности, позволяющая оценивать степень информационной защищенности бизнес-процессов как по отдельным свойствам инфраструктуры защиты информации, так и в целом.
7. Разработана система математических моделей оценки инфраструктуры защиты информации, включающая в себя модели:
• оценки защищенности от несанкционированного доступа к информации бизнес-процесса, от перехвата при передаче (приеме), а также хищения носителей информации, от случайных помех и сбоев аппаратно-программных средств, от несанкционированного вмешательства в бизнес-процесс;
• формирования комплексного показателя защищенности;
• оптимизации показателей защищенности;
• выбора наиболее целесообразного варианта инфраструктуры защиты информации.
8. Разработана имитационная модель функционирования инфраструктуры защиты информации как инструментальный метод оценки и прогнозирования уровня защищенности информации на промышленном предприятии.
9. Предложена система мониторинга безопасности информационных активов промышленного предприятия, направленная на оценку и анализ текущих значений разработанной системы показателей информационной безопасности, а также выработку необходимых корректирующих воздействий на инфраструктуру защиты информации.
Диссертационная работа является результатом обобщения и логического продолжения исследований, выполненных автором, начиная с 1997 года.
Практическая значимость заключается в том, что предложенные в диссертации результаты исследований могут быть использованы при разработке инфраструктуры защиты информации, обеспечивающей повышение экономической эффективности работы промышленного предприятия. С помощью выполненных разработок процесс формирования инфраструктуры защиты информации приобретает научно обоснованный характер. Разработанная система моделей и механизмов их реализации в условиях промышленного предприятия позволяет сформировать рациональную инфраструктуру защиты информации в соответствии с предложенными экономическими и функциональными критериями и ограничениями.
Достоверность научных результатов и обоснованность научных положений, выводов и рекомендаций обеспечивается полнотой анализа теоретических и практических разработок, положительной оценкой на научных конференциях и семинарах, практической проверкой и внедрением результатов исследования на ряде промышленных предприятий, а также положительными от зывами на отчеты о НИР, в которые включены основные результаты исследований.
Апробация работы. Основные положения диссертационного исследования, полученные на всех стадиях его проведения, докладывались и обсуждались на конференциях различного уровня:
Международная научно-практическая конференция «Экономика и менеджмент: проблемы и перспективы» (г. Санкт- Петербург, 2005 г.) [169];
III международная научно-практическая конференция «Экономика и промышленная политика России» (г. Санкт- Петербург, 2004 г.) [64];
IV международная научно-практическая конференция «Актуальные проблемы экономики и новые технологии преподавания (Смирновские чтения» (Санкт- Петербург, 2005г.) [65];
ITIB 2005 Information Technology in Business 2nd Conference (Saint-Petersburg, 2005) [74];
Международная методической и научно-практической конференции «Экономические и управленческие технологии XXI века: теория и практика, подготовка специалистов», 9-11 ноября 2005 г. (Санкт- Петербург, 2005г.) [166];
Всероссийская научно-практическая конференция «Обучение и воспитание: путь к самостоятельному мышлению специалиста» (Санкт- Петербург, 2005г.) [170];
Ежегодная региональная научно-практическая конференция студентов и аспирантов «Молодежь, образование, и наука в XXI веке». СПб.: СПбГТУРП, 2004. (Санкт- Петербург, 2004г.) [103];
Межвузовская научно-практическая конференция «Инновации и инвестиции в экономике России» ноябрь, 2005 г. (Санкт- Петербург, 2005г.) [165];
Региональная научно-практическая конференция «Проблемы экономического образования студентов технических вузов» (Санкт- Петербург, 2004г.) [66].
Важнейшие положения диссертации использовались при выполнении на- І • учно-исследовательской работы «Теоретические и методологические подходы к определению ценности информационных ресурсов при решении проблемы информационной безопасности в компьютерных системах» (Отчет по гранту № ГО 2-4.1-15).
Результаты исследований реализованы в СПбГИЭУ и используются в учебном процессе при проведении занятий по дисциплинам: «Защита информации», «Информационная безопасность», «Информационная безопасность и защита информации», «Информационные технологии в управлении качеством и защита информации».
Публикации. По теме диссертации опубликованы монография, учебник, практикум, 4 учебных пособия, 30 статей в изданиях центральной и ведомственной печати, подготовлено 10 тезисов выступлений на конференциях и семинарах, проводимых в г. Санкт- Петербурге общим объемом авторских 49 п.л.
Структура и объем работы. Диссертация состоит из введения, шести глав, заключения и двух приложений, изложенных на 352 листах машинописного текста, содержит 73 рисунка и 39 таблиц. Объем приложений 46 листов. Г Список литературы включает 226 наименований.
