|
| | | | Проблемы современной экономики, N 3/4 (15/16), 2005 | | | | ПРОБЛЕМЫ КОНКУРЕНТОСПОСОБНОСТИ В СОВРЕМЕННОЙ ЭКОНОМИКЕ | | | Стельмашонок Е. В.
доцент кафедры вычислительных систем и программирования
Санкт-Петербургского государственного
инженерно-экономического университета,
кандидат экономических наук
| |
| | | |
Процесс разработки информационных сетей и систем и использование различных информационных продуктов и технологий выходят на новый уровень, требующий разра-ботки концепции обеспечения информационной безопасности корпораций. Необходимо создание безопасной информационной инфраструктуры бизнеса, безопасное функциони-рование не только системы автоматизации документооборота, но и всей системы ведения бизнеса в современных условиях.
Соответственно трансформируется и понятие инфраструктуры. В состав информа-ционной инфраструктуры ныне включают как базовые телекоммуникационные сети и вы-числительную инфраструктуру, так и портфель прав на объекты информационных активов промышленной корпорации, совокупность которых обеспечивает ей конкурентные пре-имущества.
И в России темпы роста рынка информационных технологий, по оценкам экспертов [4], в последнее время превышают 10% в год. Еще более быстрыми темпами развивается сектор информационной безопасности (ИБ)- более чем на 25% в год. Но если в развитых странах на обеспечение комплексной безопасности хозяйствующими субъектами выделя-ется в среднем до 25% годовой прибыли, в том числе и на безопасность в информацион-ной сфере, то у нас на эти цели расходуется менее 1% прибыли, хотя и осознается необхо-димость защиты информационной инфраструктуры бизнес-процессов.
Однако до сих пор не разработана методология оценки обеспечения безопасности корпоративных информационных активов с точки зрения хозяйствующих субъектов, фи-нансовых посредников, финансовых рынков, государства.
Под информационной безопасностью следует понимать защищенность информа-ционных активов как части нематериальных активов от случайных или преднамеренных воздействий естественного или искусственного характера, представляющих угрозу ущер-ба и для собственников, и для менеджмента. Защита этих активов должна осуществляться на принципах целостности, доступности и, если требуется, конфиденциальности.
Защищенность информационных активов целесообразно рассматривать, во-первых с точки зрения концептуально-политической, законодательной, нормативно-технической, административной, программно-технической. Во-вторых, необходимо (на принципах це-лостности, доступности, конфиденциальности) формировать задачи по обеспечению ин-формационной безопасности конкретной корпорации. В-третьих, определять эти задачи для остальных коммерческих структур, домашних хозяйств, государственного сектора, государства в целом, а также для финансовых посредников и финансовых рынков.
На концептуально-политическом уровне при этом принимаются документы, в ко-торых определяются направления государственной политики в области информационной безопасности, формулируются цели обеспечения информационной безопасности (ИБ) всех перечисленных выше субъектов намечаются пути и средства достижения поставлен-ных целей. Такова Доктрина информационной безопасности РФ [5].
На законодательном уровне разрабатывается комплекс мер, направленных на пра-вовое регулирование обеспечения ИБ, отражаемых в законах и других правовых актах (указах президента, постановлениях правительства и т.д.). Одной из важных задач на этом уровне является создание механизма, позволяющего при разработке законов учитывать прогресс в развитии информационных технологий (ИТ) [2].
На нормативно-техническом уровне разрабатываются стандарты, руководящие, ме-тодические и др. документы, регламентирующие процессы разработки, внедрения и экс-плуатации средств обеспечения ИБ. Важной задачей в настоящее время является, в част-ности, приведение российских стандартов в соответствие с международными, отражаю-щими международный уровень ИТ и ИБ.
На уровне корпорации или другого хозяйствующего субъекта осуществляются конкретные меры по программно-техническому обеспечению ИБ.
На административном уровне руководство любой организации реализует меры об-щего характера и конкретные меры по обеспечению ИБ. Основой мер общего характера служит политика безопасности (совокупность документированных управленческих реше-ний, направленных на защиту информации и ассоциированных с нею ресурсов).
Рекомендации по разработке конкретных мер по обеспечению ИБ относятся к управлению персоналом, физической защите, поддержанию всех подразделений промыш-ленной корпорации в рабочем состоянии, к реагированию на нарушения режима безопас-ности, к планированию восстановительных работ.
На программно-техническом уровне необходимы следующие механизмы безопас-ности: по идентификации и проверке пользователей; управлению доступом; протоколиро-ванию и аудиту; по криптографии; по экранированию.
Вопросы информационной безопасности, относящиеся к административному и программно-техническому уровням, рассматриваются непосредственно корпорацией.
Первым этапом в предлагаемой нами оценке информационной инфраструктуры бизнес-процессов является определение требований к системе защиты на основе выявле-ния и анализа возможных угроз информационной безопасности, под которыми понимают-ся воздействия на бизнес-систему промышленной корпорации, непосредственно или опо-средованно наносящие существенный ущерб ее безопасности.
Информационная безопасность всей бизнес-системы будет обеспечена, если по всем ресурсам информационной инфраструктуры корпорации достигается необходимый уровень конфиденциальности, целостности и доступности [7, 10]. Соответственно, необ-ходимо оценивать три вида угроз: нарушение конфиденциальности, нарушение целостно-сти и угрозу отказа служб.
Согласно статистике [8], самыми распространенными и потенциально опасными являются непреднамеренные ошибки пользователей, операторов, системных администра-торов и других лиц, обслуживающих информационные ресурсы корпорации. Такие ошиб-ки являются либо прямыми угрозами (неправильно введенные данные, ошибка в про-грамме и т.п.), либо делают уязвимой систему защиты информации (обычно это ошибки администрирования). По оценке, 65% потерь - следствие непреднамеренных ошибок [8].
По данным USA Today [12], в 2002 году в результате подобных противоправных действий с использованием персональных компьютеров американским организациям был нанесен суммарный ущерб в размере более 800 млн. долл. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, знакомые с режи-мом работы и защитными мерами, но систематически их нарушающие.
В группу риска входят и так называемые `обиженные сотрудники` - нынешние и бывшие. Как правило, их действия направлены на то, чтобы повредить оборудование, на-рушить саму программу, ввести неверные данные, изъять и изменить данные, сделать конфиденциальную или другую корпоративную информацию в Интернете общедоступ-ной, продать ее конкурентам и т.д.
Среди угроз, исходящих от окружающей среды, следует выделить аварии в систе-мах водо- и энергоснабжения (подобные недавней аварии в системе Мосэнерго), времен-ное отсутствие связи и т.п. Опасны, разумеется, и такие бедствия, как пожары, наводне-ния, землетрясения, ураганы. На долю этих угроз (прежде всего на долю низкого качества электроснабжения и его перебоев) приходится 13% потерь, нанесенных информационным системам [10].
Вторым этапом в реализации предлагаемой оценки информационной инфраструк-туры бизнес-процессов является обоснование парадигмы информационной безопасности. Эта парадигма предполагает следующие базовые понятия: `актив`, `собственник`, `зло-умышленник`, `угроза`, `уязвимость`, `риск`, `политика безопасности`, `управление безопасностью`, `мониторинг` [7]. Фундаментальным, как отмечается и в ГОСТ ISO 15408 `Открытые критерии`, является соотношение понятий `актив`, `уязвимость`, `уг-роза`. Пересечение этих понятий порождает понятие `риск`.
Третьим этапом является обоснование системы защиты и снижения риска ущерба. На этом этапе управление безопасностью предполагает согласованное решение задач соб-ственно управления, финансирования, управления рисками, обучения и контроля, аудита и мониторинга.
В настоящее время для многих промышленных корпораций очень острой является проблема защиты информационных активов от несанкционированного использования, преднамеренного или непреднамеренного искажения или уничтожения. С технической стороны она решается довольно просто, так как существует множество технических и программных средств, предназначенных для защиты отдельных составляющих информа-ционных активов. С организационно-экономической же стороны единого рецепта нет, и ни одно из этих средств не принесет желаемого эффекта, если они будут применяться изо-лированно, без экономической оценки всех информационных активов промышленной корпорации. Вместе с тем, приходится принимать во внимание, что если стоимость защи-ты оказывается выше стоимости активов, то усилия по защите теряют экономический смысл.
На основе анализа рисков и определения требуемого уровня защиты определяется стратегия обеспечения информационной безопасности промышленной корпорации как единой бизнес-системы, предусматривающая осуществление следующих комплексных мер защиты: законодательных и морально-этических, административных, по физической защите, технических, криптографических.
Концепция информационной безопасности должна строиться на основе принципов законности, системности, комплексности, непрерывности, своевременности, преемствен-ности, непрерывности совершенствования, разумной достаточности, персональной ответ-ственности, минимизации полномочий, гибкости системы защиты, открытости алгорит-мов и механизмов защиты, обязательности контроля.
Для обоснованного выбора средств защиты необходимо оценить экономическую целесообразность защиты информации путем оценки стоимости информационных акти-вов в инфраструктурной составляющей нематериальных активов промышленной корпо-рации. Для этого требуется комплексная оценка стоимости защиты.
Определение достаточного уровня обеспечения информационной безопасности промышленной корпорации должно исходить из того, что абсолютную защиту создать нельзя; что система защиты информации должна быть комплексной и адаптируемой к из-меняющимся условиям.
Для обеспечения информационной безопасности промышленной корпорации необ-ходимо, чтобы, во-первых, ее система была встроенной частью бизнес-системы корпора-ции, а не простым набором некоторых технических средств и организационных мероприя-тий; во-вторых, системный подход использовался как на этапе подготовки технического задания, так и в процессе оценки стоимости СЗИ в составе информационных активов про-мышленной корпорации, оценки эффективности и качества СЗИ; в-третьих, учитывалась возможность изменения законодательных и нормативных актов, нормативно-справочной информации, национальных и отраслевых стандартов [3].
Единую бизнес-систему промышленной корпорации, частью которой является ин-фраструктурная составляющая и ее информационные активы, необходимо оценивать и защищать в соответствии с выбранной стратегией защиты, добиваясь: оптимального уровня безопасности и защищенности бизнес-системы, поддержания этого уровня (в ус-ловиях изменяющейся внешней среды и изменения структуры самой бизнес-системы) и оптимальной стоимости системы защиты.
Эффективность системы защиты информационных активов (СЗИА) должны оцени-ваться с целью: принятия решения о допустимости ее использования в конкретной ситуа-ции; выявления роли различных факторов в этой защите; определения путей повышения эффективности СЗИА; выявления альтернативных вариантов защиты.
В РФ на сегодняшний день практически полностью отсутствуют количественные показатели, учитывающие как случайные, так и преднамеренные воздействия на инфор-мационные активы. В результате достаточно сложно, а зачастую и невозможно, оценить и качество функционирования всей бизнес-системы промышленной корпорации, и, соответ-ственно, определить, чем один вариант защиты лучше другого.
Для полных стоимостных оценок возможного ущерба промышленная корпорация должна знать как оценку риска ущерба, так и оценку ожидаемой доходности, а также из-держек, например, при альтернативном использовании информационного контента про-мышленной корпорации.
В связи с этим потребность в создании концепции обеспечения информационной безопасности промышленных корпораций становится все более очевидной, поскольку речь идет и о величине инвестиций в информационную безопасность, и об экономической целесообразности таких вложений. |
| |
|
|
