Logo Международный форум «Евразийская экономическая перспектива»
На главную страницу
Новости
Информация о журнале
О главном редакторе
Подписка
Контакты
ЕВРАЗИЙСКИЙ МЕЖДУНАРОДНЫЙ НАУЧНО-АНАЛИТИЧЕСКИЙ ЖУРНАЛ English
Тематика журнала
Текущий номер
Анонс
Список номеров
Найти
Редакционный совет
Редакционная коллегия
Представи- тельства журнала
Правила направления, рецензирования и опубликования
Научные дискуссии
Семинары, конференции
 
 
Проблемы современной экономики, N 3 (79), 2021
ЭКОНОМИКА, УПРАВЛЕНИЕ И УЧЕТ НА ПРЕДПРИЯТИИ
Багиев Г. Л.
профессор кафедры менеджмента и инноваций
Санкт-Петербургского государственного экономического университета,
доктор экономических наук, заслуженный деятель науки РФ

Андреевский И. Л.
доцент кафедры информационных систем и технологий
Санкт-Петербургского государственного экономического университета,
кандидат экономических наук

Соколов Р. В.
профессор кафедры информационных систем в экономике
Санкт-Петербургского государственного экономического университета,
доктор экономических наук


Планирование уровня информационной защищенности облачных программных продуктов в цикле производства и внедрения
В статье представлены в обобщенном виде информационные угрозы и методы защиты применительно к облачным программным продуктам (ОПП). Разработан методологический подход к оценке уровня защищенности облачных программных продуктов в процессе планирования цикла их производства и внедрения. Отличительной особенностью этого подхода является охват всех предприятий-участников цикла производства и внедрения облачных программных продуктов, позволяющий достичь необходимого уровня комплексного показателя информационной защищенности
Ключевые слова: планирование, информационная защищенность, облачные программные продукты
УДК 338.5   Стр: 86 - 88

Согласованное планирование деятельности предприятий информатизации в цикле производства и внедрения облачных программных продуктов (ОПП) должно распространяться не только на сроки планирования, но и на уровень информационной защищенности использования этих продуктов.
В состав участников цикла производства и внедрения облачных программных продуктов входят не только предприятие по производству ОПП и предприятие-пользователь, но и предприятие по проектированию облачных информационных систем и предприятие по обработке облачных данных в центре обработки данных [1].
Вопросы обеспечения информационной безопасности облачных программных продуктов рассматриваются в целом ряде работ, в том числе в работах [3–5 и др.]. Однако, в этих работах не рассматривается порядок согласованного планирования деятельности взаимосвязанных предприятий информатизации по повышению защищенности ОПП. В связи с этим остановимся в данной статье на отмеченном аспекте проблем.
Облачный программный продукт реализуется чаще всего как распределенное приложение, в состав которого входит ряд серверных компонентов, компонентов слоя бизнес-логики и слоя доступа к данным и непосредственно самой базы данных. Взаимодействие компонентов, входящих в облачный программный продукт, требует соответствующей дополнительной настройки специализированных облачных компонентов или сервисов для обеспечения необходимого уровня информационной защищенности.
Вопросы обеспечения необходимого уровня информационной защищенности облачных программных продуктов в цикле производства и внедрения должны рассматриваться в нескольких аспектах [6]. Традиционно их три — юридический, организационный и технический.
Ответственность в вопросах информационной защищенности облачных данных, сетевой инфраструктуры и отдельных ее компонентов на практике оказывается распределена между несколькими участниками, и граница зон ответственности чаще всего четко не прописана в соглашениях об уровне предоставления сервисов.
На практике достаточно часто вопросы информационной защищенности реализуются в незначительной мере в силу ряда причин, к числу которых можно отнести сложившийся подход предприятия по производству ОПП, предоставляющего функциональность, но не настройку его под особенности предприятия-пользователя. Предприятие информатизации, связанное с обработкой облачных данных, старается избежать решения вопросов настройки взаимодействия компонентов, входящих в решение, при этом, гарантируя информационную защищенность предприятию-пользователю только используемых облачных данных. Предприятие-пользователь не всегда имеет ИТ специалистов необходимой квалификации. Особенно это актуально для предприятий-пользователей малого и среднего бизнеса [2].
Производство и внедрение защищенных облачных программных продуктов требует от всех участников скоординированных усилий в области информационной безопасности. Следует отметить целесообразность перехода к проактивному управлению. Информационные угрозы и методы защиты в обобщенном виде применительно к облачным программным продуктам представлены в табл. 1.

Таблица 1
Информационные угрозы и методы защиты
Информационные угрозыМетоды защиты по стадиям цикла
1. Производство предприятием информатизации2. Проектирование облачной ИС3. Обработка облачных данных в центре обработки данных4. Внедрение на предприятии-пользователе
Несанкционированный доступ, программы — вредителиАутентификация, биометрические методы контроляАутентификация, разграничение прав доступаЖурнализация событий, журналы аудита безопасности, разграничение физического доступаЖурнализация событий, журналы аудита безопасности, разграничение физического доступа
Подделка, фальсификация данныхИспользование контрольных сумм, шифрование данныхИспользование контрольных сумм, шифрование данныхЛогический контроль результатов, использование контрольных сумм, шифрование данных и носителейЖурнализация событий, журналы аудита безопасности, резервное копирование данных
Перехват информации при передаче и храненииИспользование контрольных сумм, шифрование данных, шифрование траффикаМетоды защиты передаваемой и хранимой информацииМетоды защиты передаваемой и хранимой информацииАнализ траффика, использование криптографических средств для шифрования траффика и данных
Сбои и отказы в работе программно-технического комплекса облачной ИСПовышение надежностиРезервирование, механизмы балансировки нагрузки, механизмы масштабирования ИСИспользование резервных копийПлан аварийного восстановления, использование резервных копий
Незаконное получение административных прав, захват привилегииАвторизацияАвторизация, олицетворениеАвторизация, олицетворение, журнализация событий, журналы аудита безопасностиАвторизация, олицетворение, журнализация событий, журналы аудита безопасности
Ошибки операторов ввода и ошибки во вводимой информацииСовершенствование интерфейсов ОПП, встроенные методы контроля вводимой информацииМетоды контроля вводимой информацииКонтроль входной информации, регистрация ошибокКонтроль правильности вводимой информации, использование регламентов обеспечения информационной безопасности и контроль за их соблюдением
Составлена авторами

Применение этих методов должно быть предусмотрено в планах предприятий-участников цикла производства и внедрения облачных информационных систем.
На основе согласования планирования этих методов между предприятиями-участниками должен быть достигнут необходимый уровень комплексного показателя информационной защищенности облачных программных продуктов.
Комплексный показатель информационной защищенности облачных программных продуктов может быть представлен в следующем виде [7]:

(1) и (2)

где R — комплексный (обобщенный) показатель защищенности, характеризующий уровень (вероятность) отражения атак со стороны всей совокупности возможных угроз, 0 ≤ R ≤ 1;
rj — частный коэффициент защищенности, показывающий, какая часть атак со стороны угрозы j-го вида отражается, 0 ≤ rj ≤ 1;
J — множество видов угроз;
kj — весовой коэффициент j-го частного показателя защищенности в аддитивной свертке.
Величины kj (∀j∈J) характеризуют структуру угроз, то есть состав и относительную интенсивность атак со стороны каждой угрозы.
Вклад каждого звена в цепи производства и внедрения облачных программных продуктов состоит в повышении значения rj или же оставлении его без изменения. То есть величины rj являются неубывающими при переходе от одной стадии к другой в цикле производства и внедрения облачных программных продуктов.
В результате выполнения производства программного продукта ожидаемые величины защищенности достигают значений:

rj = rjn , ∀j∈J (3)

где rjn — частный коэффициент защищенности, достигнутый производителем программного продукта.
После завершения стадии проектирования облачной информационной системы на базе облачных программных продуктов достигается приращение коэффициентов защищенности и величина rj достигает значения:

rj = rjn + Δrjnp , ∀j∈J , (4)

где Δrjnp — приращение частного коэффициента защищенности без учета дублирования защищенности облачного программного продукта, достигнутого на предыдущей стадии.
На стадии обработки облачных данных в центре обработки данных (ЦОД) частный коэффициент защищенности должен быть пересчитан в соответствии с формулой:

rj = rjn + Δrjnp + Δrjцод , ∀j∈J , (5)

где Δrjцод — приращение частного коэффициента защищенности без учета дублирования защищенности облачного программного продукта на предыдущих стадиях.
Наконец, на стадии внедрения облачных программных продуктов в составе облачной информационной системы на предприятии-пользователе итоговая величина rj достигает значений:

rj = rjn + Δrjnp + Δrjцод + Δrjпол , ∀j∈J , (6)

где Δrjпол — вклад предприятия-пользователя в повышение защищенности облачных программных продуктов, измеряемый приращением итоговых значений коэффициентов защищенности (без дублирования результатов, достигнутых на предыдущих стадиях).
Как следует из формул (3)–(6), установление ожидаемых значений rj требует согласования плановых мероприятий по защите облачных программных продуктов между всеми предприятиями — участниками цикла производства и внедрения облачных программных продуктов. На основании формул (3)–(6) определяется порядок согласования этих мероприятий для достижения необходимого уровня комплексного показателя информационной защищенности.
Фактические, а не ожидаемые значения rj могут быть получены только в процессе использования облачных программных продуктов, то есть центрами обработки облачных данных и предприятиями — пользователями облачных информационных систем. Эти значения должны определяться на основе регистрации статистических данных о количестве атак со стороны каждого вида угроз и количестве успешно отраженных атак. Чем выше значение комплексного показателя информационной защищенности, тем меньше потерь в производственно-хозяйственной деятельности предприятия-пользователя облачной информационной системы.
Однако, дополнительные затраты на повышение информационной защищенности отражаются в повышении тарифов, оплачиваемых предприятиями-пользователями в цикле производства и внедрения облачных программных продуктов. В то же время, экономия на вопросах информационной защищенности облачных программных продуктов может в дальнейшем обернуться значительными убытками.
Зависимость потерь от незащищенности ОПП обратно пропорциональна затратам на информационную безопасность, то есть чем больше затрат, тем меньше потерь. Эта зависимость прослеживается в предлагаемой авторами табл. 2.
Как следует из табл.2, экономически оправданный уровень информационной защищенности ОПП лежит в пределах от 0,81 до 0,95 значений комплексного показателя информационной защищенности.
Таким образом, в статье предложен порядок согласованного планирования мероприятий по повышению информационной защищенности облачных программных продуктов. Отличительной особенностью порядка планирования является охват всех предприятий — участников цикла производства и внедрения облачных программных продуктов с целью достижения необходимого уровня комплексного показателя информационной защищенности.

Таблица 2
Зависимость потерь от незащищенности ОПП от затрат на информационную безопасность
Уровень информационной защищенностиЗначение комплексного показателя информационной защищенности (R)Соотношение потерь от незащищенности ОПП и затрат на информационную безопасность
10,00–0,80
Недостаточная
защита
Потери существенно больше затрат.
Необходимый уровень информационной защищенности не обеспечивается.
20,81–0,85
Минимально необходимая защита
Допустимые потери обеспечиваются затратами, которые существенно меньше потерь.
Обеспечивается минимально необходимый уровень информационной защищенности.
30,86–0,90
Защита больше минимально необходимой
Потери существенно меньше допустимых при затратах меньше потерь.
40,91–0,95
Предельно целесообразный уровень защиты
Потери снижаются до величины затрат на их сокращение.
50,96–0,99
Излишняя защита
Снижение величины потерь экономически не оправдано затратами, превышающими потери.
Составлена авторами


Список использованных источников:
1. Андреевский И.Л. Анализ деятельности предприятий информатизации в сфере производства облачных программных продуктов // Сквозные технологии цифровой экономики. Сборник статей. — СПб.: СПбГЭУ, 2019. — С. 19–26.
2. Багиев Г.Л., Буров В.Ю., Дондокова Е.Б., Завьялов Д.В., Рунова Н.Ю., Сагинова О.В. Малое предпринимательство. организация, развитие и управление малым предприятием: учебник. — М: Инфра-М, 2020. — 582 c.
3. Беккер М.Я., Гатчин Ю.А., Кармановский Н.С., Терентьев А.О., Федоров Д.Ю. Информационная безопасность при облачных вычислениях: проблемы и перспективы // Научно-технический вестник Санкт-Петербургского государственного университета информационных технологий, механики и оптики. — 2011. — №1(71). — С. 97–102.
4. Демурчев Н.Г., Ищенко С.О. Проблемы обеспечения информационной безопасности при переходе на облачные вычисления // Информационное противодействие угрозам терроризма. — 2009. — №13. — С. 147–151.
5. Жарова К.А. Правовые проблемы обеспечения безопасности данных в облачных вычислениях // Методы и технические средства обеспечения безопасности информации. — 2015. — № 24. — С.119–120.
6. Интернет портал «Искусство управления информационной безопасностью». (Электронный ресурс). Режим доступа: URL: http://www.iso27000.ru (дата обращения 22.05.21 г.)
7. Соколов Р.В., Андреевский И.Л. Проектирование и эксплуатация информационных систем: учебник. — СПб.: СПбГЭУ, 2017. — 422 с.

Вернуться к содержанию номера

Copyright © Проблемы современной экономики 2002 - 2024
ISSN 1818-3395 - печатная версия, ISSN 1818-3409 - электронная (онлайновая) версия