автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.10, диссертация на тему:Управление рисками нарушения информационной безопасности при стратегическом планировании

ВВЕДЕНИЕ.

ГЛАВА 1. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КАК ВАЖНАЯ ЗАДАЧА СТРАТЕГИЧЕСКОГО УПРАВЛЕНИЯ В КРУПНЫХ КОРПОРАЦИЯХ.

1.1. Крупные диверсифицированные корпорации - ядро мировой экономической системы и национальных экономик.

1.2. Экономическая деятельность КДК, факторы риска и информационная безопасность.

1.3. Анализ зарубежного опыта обеспечения информационной безопасности в крупных корпорациях.

1.4 Обеспечение информационной безопасности как функция стратегического планирования и управления в КДК.

ГЛАВА 2. КРУПНАЯ ДИВЕРСИФИЦИРОВАННАЯ КОРПОРАЦИЯ (КДК) КАК ОБЪЕКТ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

2.1. Структурные и информационные особенности крупной диверсифицированной корпорации.

2.2. Угрозы нарушения информационной безопасности в крупной диверсифицированной корпорации.

2.3. Особенности создания и управления системой обеспечения информационной безопасности в ИС КДК.

ГЛАВА 3. МАТЕМАТИЧЕСКАЯ МОДЕЛЬ УПРАВЛЕНИЯ РИСКАМИ НАРУШЕНИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КДК.

3.1. Общие положения.

3.2. Исходная информация.

3.3. Математическое описание модели управления рисками.

3.4 Методика определения экономической оценки эффективности ПИБ и управления рисками нарушения ИБ.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ.

Одной из особенностей экономики переходного периода в России является формирование и развитие финансово-промышленных групп (ФПГ) и крупных диверсифицированных корпораций (КДК). Этот процесс отражает господствующую в настоящее время мировую экономическую тенденцию к диверсификации и укрупнению хозяйствующих объектов и представляет собой естественный путь становления рыночной экономики в нашей стране. Вместе с тем, в условиях переходного периода и кризиса российской экономики процесс образования и развития ФПГ и КДК имеет свои специфические особенности и порождает целый ряд проблем, связанных с планированием и управлением этими экономическими структурами. Среди этих проблем наиболее актуальными являются проблемы информационного обеспечения деятельности ФПГ и КДК. Особенно остро эти проблемы стоят перед КДК, структура и приоритеты хозяйственной деятельности которых еще только формируются.

С точки зрения информационного обеспечения деятельности КДК является уникальной организационно-технической системой. Организационная основа системы определяется иерархической структурой системы управления и уровнем централизации/децентрализации управления, принятого в корпорации. Техническую основу системы представляют различного типа информационно-справочные и информационно-управляющие системы, принадлежащие как каждой входящей в состав корпорации организации, так и единой информационной системе корпорации. Информационные системы (ИС) российских КДК, как правило, представляют собой слабо связанный конгломерат различного типа информационных систем (от систем преимущественно ручной обработки информации до высоко автоматизированных) отдельных субхолдингов и организаций, входящих в состав КДК. Информационные системы отдельных структурных элементов являются локальными системами и не составляют в совокупности единую информационную систему корпорации, поскольку не объединены едиными регламентом, правилами и процедурами информационного обмена.

Эти особенности ИС КДК не только усложняют процессы планирования и управления, но и не позволяют обеспечить на должном уровне информационную безопасность (ИБ) корпорации, как одного из главных условий ее эффективной деятельности. В условиях жесткой конкуренции большая часть информационного обмена носит конфиденциальный характер, поскольку нарушение целостности, конфиденциальности и доступности передаваемой и получаемой информации представляется чрезвычайно заманчивым как для конкурентов, так и для криминальных структур. Это означает, что нарушение ИБ ставит под вопрос не только эффективность деятельности корпорации, на и само ее существование. Хищение или незаконное копирование информации, всех тщательно охраняемых секретов (стратегических планов, патентов, паролей и кодов и др.) - первая, может быть, главная угроза деятельности КДК. Не менее опасными являются угрозы видоизменения информации, нарушение ее целостности, подделка, изменение дат, ошибки в расчетах или статистических данных, т.е. все то, что искажает содержание информации, разрушение информации и информационной инфраструктуры. Отсюда следует, что стратегические цели организации, ее миссия, долгосрочные приоритеты развития, текущие и прогнозируемые ресурсы, планы изменения структуры, технологические ориентации должны тщательно охраняться, а обеспечение информационной безопасности должно рассматриваться как одна из важнейших функций стратегического планирования и управления.

Уровень защиты информации в локальных системах и в ИС в целом определяется принятой в корпорации политикой обеспечения информационной безопасности, которая предусматривает комплекс мер и средств, обеспечивающих требуемый уровень защиты. Однако в российских КДК общая политика обеспечения ИБ как правило отсутствует, а правила и условия ее формирования разработаны недостаточно.

Из сказанного следует, что сегодня обеспечение информационной безопасности становится одним из приоритетов в планировании и управлении КДК, а решение практических и теоретических задач обеспечения ИБ КДК оказывается одним из наиболее актуальных направлений научных исследований.

Выработка политики обеспечения ИБ предполагает прежде всего формирование критериев оценки эффективности защиты информационных ресурсов корпорации и механизма выбора комплекса средств и мер защиты, составляющих систему ИБ, обеспечивающую необходимый уровень информационной безопасности КДК. Выбор средств защиты информации всегда происходит в условиях ограниченных ресурсов, выделяемых для обеспечения ИБ. Ввиду высокой стоимости современных средств защиты информации обеспечить полную безопасность информационных ресурсов корпорации не представляется возможным. Любая система обеспечения ИБ предполагает определенную степень риска нарушения ИБ. В зависимости от количества и совершенства средств защиты меняется и степень риска нарушения ИБ. Рациональный выбор средств защиты информационных ресурсов корпорации связан прежде всего с определением допустимой степени риска нарушения ИБ и получил название «управление рисками информационной безопасности». Механизм и методы управления рисками для выработки эффективной политики информационной безопасности КДК пока не разработаны.

Целью настоящей работы является разработка модели оценки рисков ИБ и методики управления рисками информационной безопасности, выполненная на основе анализа особенностей информационного обеспечения российских КДК на примере АПК «Система».

В настоящее время проблема обеспечения информационной безопасности автоматизированных информационных систем активно разрабатывается у нас в стране и за рубежом. Зарубежные специалисты основное внимание уделяют практическим аспектам обеспечения ИБ, особенно тщательной структуризации проблемы и выделению и классификации угроз ИБ и средств защиты [15]. Теоретические или методические работы по этой проблематике применительно к уровню корпорации практически отсутствуют. Прагматическая ориентация зарубежных специалистов наиболее полно отражена в формировании комплекса общих стандартов по критериям информационной безопасности [16]. Российские исследователи больше внимания уделяют теоретическим аспектам проблемы обеспечения ИБ информационных систем различного назначения. Здесь прежде всего необходимо отметить работы Института системного анализа РАН по широкому комплексу проблем информатизации и защиты информационных ресурсов. Результаты исследования ученых ИСА в области разработки методологии методов и моделей оценки эффективности систем обеспечения ИБ сложных информационных систем [10, 11, 17 ] использованы в настоящей работе. Одной из задач диссертации является адаптация предложенных ими подходов и методов к проблеме управления рисками информационной безопасности КДК,

Диссертация состоит из введения, трех глав и заключения.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

В работе получены следующие основные результаты.

1. Исследована растущая роль КДК в развитии мировых экономических процессов. Показано, что диверсификация стала одним из основных инструментов выживания и процветания корпораций. Создание КДК рассматривается как естественный путь становления в России рыночной экономики.

2. Рассмотрены проблемы стратегического планирования и управления в КДК. Показано, что важное место в стратегическом управлении КДК должно занимать обеспечение информационной безопасности. Дано обоснование необходимости включения проблематики обеспечения ИБ в процедуры стратегического планирования КДК.

3. Определено содержание понятия "информационная безопасность" и ее составляющих - доступности, целостности и конфиденциальности информации применительно к КДК. Под информационной безопасностью понимается защищенность информации и информационной инфраструктуры от воздействий, чреватых нанесением ущерба владельцам или пользователям информации, нарушением функционирования корпорации.

4. Исследована типовая структурно-функциональная схема КДК, на основе анализа которой выявлены основные факторы риска, связанные с угрозами нарушения ИБ в функционировании информационных систем корпорации.

5. Проведен анализ зарубежного опыта деятельности корпораций в области обеспечения информационной безопасности. Выявлен прагматический характер подходов зарубежных специалистов к обеспечению информационной безопасности.

6. Выявлены и проанализированы структурные и информационные особенности КДК как объекта информационной безопасности на примере АФК "Система". Показано, что информационная система АФК представляет собой конгломерат различных типов информационных систем, входящих в КДК и слабо связанных между собой. В АФК "Система" отсутствуют единые правила и процедуры информационного обмена, что не отвечает современным требованиям к обеспечению информационной безопасности КДК.

7. Дана характеристика ИС АФК "Система" как объекта информационной безопасности. Введено понятие локальной среды информационной системы КДК как основы декомпозиции корпорации с целью построения подсистемы ее информационной безопасности и разработки методов моделирования и управления рисками нарушения ИБ.

8. Дана классификация возможных угроз нарушения информационной безопасности КДК и проведен анализ их опасности для корпорации. Разработаны модели угроз и портреты нарушителей.

9. Сформулированы основные принципы построения подсистемы информационной безопасности в КДК. В качестве главного принципа принята концепция "равнопрочной защиты", предполагающая обеспечение и контроль уровня защиты локальной среды не ниже заданного.

10. Применительно к КДК АФК "Система" разработана функциональная структура математической модели подсистемы информационной безопасности корпорации. Модель предназначена для оценки рисков нарушения ИБ, определения комплексов средств защиты, обеспечивающих заданный уровень ИБ при минимальных затратах или максимальный уровень ИБ при заданных ресурсах.

11. Дано математическое описание модели управления рисками нарушения ИБ применительно к КДК. В основу математической структуры на основе принципа равнопрочности положено понятие «удельной эффективности средств защиты».

12. Приведены формальные постановки задачи определения композиции средств защиты по различным критериям обеспечения ИБ КДК в различных условиях. Сформулирована процедура расчета рисков нарушения информационной безопасности во всех звеньях иерархической структуры КДК.

13. Представлена методика определения экономической эффективности подсистемы информационной безопасности и управления рисками нарушения ИБ по критерию "затраты на подсистему информационной безопасности - гарантированный ущерб КДК".

14. Работоспособность математической модели и методики управления рисками нарушения ИБ подтверждена примерами расчета эффективности подсистемы информационной безопасности гипотетического банка, входящего в состав одного из субхолдингов корпорации.

1. Косткж В.Н. Информация как социальный и экономический ресурс. М. 1997.

2. Г.Смолян, Д.Черешкин. Пятая информационная революция. Мир связи и информации. Connect. №7-8.1997.

3. Korten D. When Corporation Rule the WORLD. PCD Forum. 1995.

4. Предприятие в нестабильной экономической среде: риски, стратегии, безопасность // Клейнер Г.Б., Тамбовцев В.Л., Качалов P.M. / Под общей редакцией С.А.Панова. М. Экономика, 1997.

5. Галатенко В.А. Информационная безопасность обзор основных положений. Инф.бюлл. JET INFO, 1-3 M. 1996.

6. М.Кобзарь, И.Калайда. Общие критерии оценки безопасности информационныхтехнологий и перспективы их использования. JET INFO, 1 M. 1998.

7. Психология и безопасность организаций. Материалы конф. М. ИП РАН. 1997.

8. Бурков.В., Ириков В. Модели и методы управления организационными системами. М. Наука. 1994.

9. Ансофф И. Стратегическое управление. М.: Экономика, 1989.

10. Цыгичко В.Н. и др. Оценка эффективности систем информационной безопасности. Препринт. ИСА РАН. 1995.

11. Концепция информационной безопасности Российской Федерации. ИСА РАН. 1996.

12. Мескон М.Х,, Альберт М., Хедурон Ф. Основы менеджмента. М. Дело. 1991.

13. Роль высшего руководства в реструктуризации предприятия. М. Дело. 1996.

14. Г.Смолян, Д.Черешкин Информация без опасности. Мир связи и информации, Connect. №6.1997.

15. Особенности современных информационных систем, существенные с точки зрения безопасности. JET INFO, 1 М. 1999.

16. Common Criteria Version 2.0/ ISO IS 15408, June 1999).

17. Черешкин Д.С. и др. Защита информационных ресурсов в условиях развития мировых информационных сетей. М.: ИСА РАН, 1997.

18. Threats and Countermeasures for Information Technology Systems/ Version 1.0 Natinal Information Assurance Partnership (NIAP), U.S., 1998.

19. Новицкий Е.Г. Управление рисками информационной безопасности в крупных диверсифицированных предприятиях. М., НИЦ «Инженер», 1999.

20. Новицкий Е.Г. Стратегическое планирование в крупных диверсифицированных корпорациях (на примере АФК «Система) Сборник трудов Института системного анализа РАН. -М.: Эдиториал УРСС, 1998, стр. 91-109.

21. Новицкий Е.Г. и др. Методика оценки рисков нарушения информационной безопасности в автоматизированных информационно-вычислительных системах. Препринт ИСА РАН.М., НИЦ «Инженер», 1999.

22. Новицкий Е.Г. Стратегическое планирование в высокодиверсифицированных корпоративных структурах: о мировой практике и опыте АФК «Система» // Российский экономический журнал, №8,1999.