Содержание к диссертации
ВВЕДЕНИЕ , 5
1 ТЕОРЕТИЧЕСКИЕ ОСНОВЫ УПРАВЛЕНИЯ ПРОМЫШЛЕННЫМ
ПРЕДПРИЯТИЕМ И ВОЗРАСТАНИЕ РОЛИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ 11
І.1 Особенности управления промышленным предприятием и роль
обеспечения информационной безопасности 11
1.2. Современные проблемы обеспечения определённого уровня
информационной безопасности на промышленном предприятии 31
1.3 Концептуальный подход, обеспечивающий формирование эффективной системы информационной безопасности на промышленном предприятии ...47
2 ТЕОРЕТИКО-МЕТОДИЧЕСКИЕ ПОДХОДЫ ПО ФОРМИРОВАНИЮ
ЭФФЕКТИВНОЙ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ 60
Анализ и классификация угроз информационной безопасности на промышленном предприятии 60
Анализ эффективности систем менеджмента обеспечения требуемого уровня информационной безопасности на промышленном предприятии .....74
Примеры формального определения и применения систем менеджмента информационной безопасности на промышленных предприятиях 77
Политики информационной безопасности промышленного предприятия как основа управления информационной безопасность.... 86
2.3 Формирование корпоративных организационных структур,
обеспечивающих требуемый уровень информационной безопасности на
промышленном предприятии 92
3 МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ОБОСНОВАНИЯ
ТРЕБУЕМОГО УРОВНЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ 108
Методика формирования и реализации политики информационной безопасности на промышленном предприятии как основного способа противодействия внутренним угрозам 108
Методика оценки эффективности инвестирования в формирование и функционирование системы информационной безопасности на промышленном предприятии , 119
Методические рекомендации по страхованию информационных рисков как альтернативного способа обеспечения информационной безопасности на
промышленном предприятии 137
ЗАКЛЮЧЕНИЕ 148
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 151
ПРИЛОЖЕНЕНИЕ А - Понятие «информация» в её разных видах в
нормативно-правовых актах Российской Федерации 161
ПРИЛОЖЕНЕНИЕ Б - Организационные формы представления
информации, установленные законодательством РФ 163
ПРИЛОЖЕНЕНИЕ В - Приложение Г - Внутренние ИТ-угрозы в России
ПРИЛОЖЕНЕНИЕ Г - Политика информационной безопасности 172
ПРИЛОЖЕНЕНИЕ Д-Вспомогательные политики 193
ПРИЛОЖЕНЕНИЕ Е - Запрос на изменение политики информационной
безопасности , 194
ПРИЛОЖЕНЕНИЕ Ж - Запрос на предоставление освобождения от
исполнения политики информационной безопасности 195
ПРИЛОЖЕНЕНИЕ 3 - Приказ об обеспечении коммерческой и служебной
тайны 196
ПРИЛОЖЕНЕНИЕ И - Перечень сведений, составляющих коммерческую
тайну предприятия ..., 199
ПРИЛОЖЕНЕНИЕ К - Перечень сведений, составляющих служебную
тайну предприятия 202
ПРИЛОЖЕНЕНИЕ Л - Соглашение о неразглашении информации, составляющей коммерческую или служебную тайну предприятия и его
контрагентов 204
ПРИЛОЖЕНЕНИЕ М - Положение о порядке обращения с информацией,
составляющей коммерческую и служебную тайны предприятия 206
Введение к работе
Актуальность темы исследования. К числу макротенденций, определяющих развитие современного мирового хозяйства, относятся глобализация и развитие информационной экономики. Однако, в настоящее время, стремительно уходит эйфория, возникшая в результате феноменально интенсивного и фронтального развития информационных технологий. Вместе с этим приходит осознание того, что возникают и стремительно растут риски, связанные с их использованием, появляются совершенно новые угрозы потери информации, приводящие к конкретному, материально выразимому, ущербу. В этой связи возникает прагматичная и, в то же время, исключительно интеллектуальная проблема обеспечения информационной безопасности.
Анализ тенденций и перспектив развития промышленности России показывает, что большинство руководителей предприятий уже принимают меры по защите важной для них информации. Однако эти действия не всегда носят системный характер, поскольку направлены на ликвидацию только отдельных угроз, оставляющих за собой множество уязвимых мест.
Таким образом, научные исследования, направленные на повышение эффективности управления промышленным предприятием на основе формирования системы информационной безопасности, способной обеспечить согласованность и эффективность действий между организационными, технологическими, техническими, правовыми и экономическими факторами при создании требуемого уровня информационной безопасности, являются актуальными
Состояние изученности проблемы. Проблемам обеспечения информационной безопасности предприятий в России посвящены работы таких отечественных учёных, как: В. Адрианов, А. Баутов, А. Голов, М. Давлетханов, Д. Дьяконов, В. Исаев, А. Курило, А. Макарова, Е. Мешайкина, Р. Насакин, А. Павлов, П. Покровский, В.М. Савельев, С, Симонов, Е.
6 Смирнов, Н. Столяров, Е. Терехова, И. Филиппова, Р. Хайретдинов и других авторов.
Среди исследователей, рассматривающих проблему информационной безопасности с точки зрения высшего руководства предприятий, наибольший вклад внесли: Дж. Албаниз, С. Беринато, В. Галатенко, Дж. Джейсинг, Г. Лавджой, А. Лукацкий, Дж. Миллер, А. Мицци, М. Мишель, Д. Моррилл, Дж. Риз, В. Сонненрих, Б. Шнайер и некоторые другие.
Вместе с тем, подавляющее большинство работ носит сугубо технический характер и ориентировано, главным образом, на ИТ-персонал. Более того, несмотря на постоянно растущее количество исследований в области информационной безопасности, крайне редко затрагивается вопрос комплексного обеспечения информационной безопасности промышленных предприятий на основе учёта организационных, технологических, технических, правовых и экономических факторов.
Объект исследования - промышленные предприятия, осуществляющие свою деятельность в различных отраслях промышленности.
Предмет исследования - принципы, способы и механизмы управления промышленным предприятием на основе формирования комплексной системы информационной безопасности.
Цель исследования заключается в разработке научных положений и методического обеспечения по совершенствованию управлению промышленным предприятием на основе формирования эффективной системы информационной безопасности.
Для достижения поставленной цели потребовалось решение следующих задач диссертационного исследования:
исследовать комплекс проблем управления промышленным предприятием с позиций всевозрастающей роли информационной безопасности в условиях глобальной информатизации и интеграции общественных отношений;
- разработать концептуальный подход, согласно которому, при
обеспечении требуемого уровня информационной безопасности, необходимо
учитывать системное взаимодействие организационных, технологических,
технических, правовых и экономических факторов;
разработать теоретико-методические подходы по формированию эффективной системы информационной безопасности промышленного предприятия с учётом актуальности внутренних угроз;
предложить методику оценки эффективности инвестиций в создание и функционирование системы информационной безопасности на промышленном предприятии;
- уточнить содержание понятия страхования информационных
рисков как альтернативного способа обеспечения требуемого уровня
информационной безопасности на промышленном предприятии.
Теоретическая и методологическая основа исследования. Основой исследования явилась общенаучная методология, предусматривающая системный и процессный подходы к решению рассматриваемых проблем, экономические, социологические и прочие измерения, а также использование методов экономико-математического моделирования.
Теоретической базой исследования послужили научные труды зарубежных и отечественных учёных в области исследования проблемы обеспечения информационной безопасности, нормативные правовые акты Российской Федерации, а также материалы международных научно-практических конференций.
Информационной основой диссертации явились статистические данные Федеральной службы государственной статистики, российские социологические исследования, материалы исполнительных органов власти, статистические данные Института компьютерной безопасности и Федерального бюро расследований США, отчётность корпораций. Кроме того, использована электронная информация с серверов сети «Интернет».
Научная новизна диссертационного исследования заключается в разработке и обосновании теоретико-методических рекомендаций по совершенствованию управления промышленным предприятием на основе формирования системы информационной безопасности, позволяющей, с позиций комплексного подхода, обеспечить согласованность и эффективность действий между организационными, технологическими, техническими, правовыми и экономическими решениями при создании требуемого уровня информационной безопасности.
Научная новизна диссертационного исследования подтверждается следующими научными результатами, выносимыми на защиту:
исследован комплекс проблем управления промышленным предприятием с позиций всевозрастающей роли информационной безопасности и, на этой основе, разработан концептуальный подход, согласно которому, при обеспечении требуемого уровня информационной безопасности, необходимо учитывать системное взаимодействие организационных, технологических, технических, правовых и экономических решений (п. 15.2 Паспорта специальности 08.00.05);
установлено, что в современных условиях ведения бизнеса необходимо проводить детальный анализ профиля угроз информационной безопасности предприятия, позволяющий предельно чётко установить перечень существующих и перспективных не только внешних, но и обязательно внутренних угроз, которые представляют всё большую опасность и исходят от сотрудников, имеющих доступ к конфиденциальной информации в силу своих служебных обязанностей (п. 15.13 Паспорта специальности 08.00.05);
предложена методика формирования и реализации политики информационной безопасности на промышленном предприятии, которая построена на регламентации деятельности практически всех сфер, обеспечивающих требуемый уровень информационной безопасности, что
9 позволяет эффективно противодействовать не только внешним, но и внутренним угрозам (п. 15.1 Паспорта специальности 08.00.05);
усовершенствована методика оценки эффективности инвестиций в создание и функционирование системы информационной безопасности на промышленном предприятии, отличающаяся от известных подходов тем, что позволяет не только выполнить оценку затрат на обеспечение требуемого уровня информационной безопасности, но и обосновать их эффективность (п.15.13 Паспорта специальности 08.00.05);
уточнено содержание понятия страхования информационных рисков как альтернативного способа обеспечения требуемого уровня информационной безопасности на промышленном предприятии и выявлены случаи, когда наиболее целесообразно использовать такой вид страхования (п. 15.13 Паспорта специальности 08.00.05).
Практическая значимость диссертационного исследования состоит в возможности использования методических положений и рекомендаций в качестве конкретного экономического инструментария, направленного на совершенствование методов управления промышленным предприятием на основе формирования эффективной системы информационной безопасности.
Полученные результаты диссертационного исследования могут быть использованы в учебном процессе при чтении таких дисциплин как: «Корпоративный менеджмент», «Информационные технологии управления», а также в системе подготовке и переподготовки руководителей и специалистов промышленных предприятий.
Апробация и внедрение результатов диссертационного исследования. Основные положения и результаты диссертационного исследования обсуждались и получили положительную оценку на международных и всероссийских научно-практических конференциях и семинарах, в том числе: «Национальная идея и национальная безопасность современной России» (Орёл, 2002 г.), «Методы прикладной математики и компьютерной обработки данных в технике, экономике и экологии» (Орёл,
10 2004 г.), «Компьютерные технологии при моделировании, в управлении и экономике» (Харьков, Украина, 2005 г.), «Современный менеджмент как ключ к подъёму экономики региона» (Орёл, 2006 г.), «Управление общественными и экономическими системами» (Орёл, 2006 г.), «Современные аспекты экономики» (Санкт-Петербург, 2006 г).
Публикации, Основные результаты диссертационного исследования опубликованы в 10 научных работах общим объёмом 3,2 п.л., из них авторских - 2,7 п.л.
Структура и объём диссертации. Диссертация состоит из введения, трёх глав, заключения, списка использованных источников, включающего 170 наименований. Основная часть содержит 157 страниц, 17 рисунков, 2 таблицы, 12 приложений.
