WWW.DISS.SELUK.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА
(Авторефераты, диссертации, методички, учебные программы, монографии)

 

Pages:     || 2 | 3 |

«Методы и модели оценки инфраструктуры системы защиты информации в корпоративных сетях промышленных предприятий Монография Санкт-Петербург 2012 1 УДК 004.056 ББК 32.81 К-68 Рецензент: Доктор физико-математических наук, ...»

-- [ Страница 1 ] --

П. П. Парамонов,

А. Г. Коробейников, И. Б. Троников, И. О. Жаринов

Методы и модели оценки инфраструктуры

системы защиты информации в корпоративных сетях

промышленных предприятий

Монография

Санкт-Петербург

2012

1

УДК 004.056

ББК 32.81

К-68

Рецензент:

Доктор физико-математических наук, профессор Ю. А. Копытенко, Санкт-Петербургский филиал Института земного магнетизма, ионосферы и распространения радиоволн им. Н. В. Пушкова (СПбФ ИЗМИРАН) Коробейников А.Г., Троников И.Б., Жаринов И.О.

К68 Методы и модели оценки инфраструктуры системы защиты информации в корпоративных сетях промышленных предприятий: монография / Под ред. П.П. Парамонова. СПб: Изд-во ООО «Студия «НП-Принт», 2012. — 115 с.: ил.

ISBN 978-5-91542-146- В монографии рассмотрены основополагающие принципы построения инфраструктуры системы защиты информации в корпоративных сетях современных промышленных предприятий. Приведены методы и математические модели оценки качества средств защиты. Модели учитывают вероятностную природу угроз и систему бинарных правил специализации каждого средства защиты для соответствующего вида угрозы информационной безопасности предприятия.

Показано, что для парирования угроз несанкционированного доступа к системе безопасности предприятия в модели «злоумышленник– система защиты» может быть использован процессный подход к описанию действий нарушителей и адекватных им механизмов защиты. Приведены виды и классификация используемых сегодня на практике средств защиты, а также рекомендации по порядку их применения.

Монография предназначена для специалистов в области информационной безопасности и защиты информации, а также для аспирантов и студентов старших курсов вузов, обучающихся на приборостроительных специальностях.

УДК 004. ББК 32. © П. П. Парамонов, © А. Г. Коробейников, © И. Б. Троников, © И. О. Жаринов,

СОДЕРЖАНИЕ

Список сокращений.………………………………………………………… Предисловие.…………………………………………………………………..

Введение.……………………………………………………………………….

1. Анализ тенденций и закономерностей развития инфраструктуры системы защиты информации на промышленном предприятии.…..

1.1. Основные понятия и структурные составляющие.………………….. 1.2. Сущность и содержание информационной безопасности промышленного предприятия.…………………………………………………. 1.2.1. Основные задачи информационной безопасности предприятия.…………………………………………………………….... 1.2.2. Классификация угроз информационной безопасности корпоративной бизнес–системы…………………………………........ 1.2.3. Обоснование требований к инфраструктуре системы защиты информации…………………………………………………….. 1.2.4. Система управления информационной безопасностью…….... 1.2.5. Основные процедуры СУИБ…………………………………... 1.3. Идентификация проблемы совершенствования инфраструктуры системы защиты информации на промышленном предприятии…… 1.4. Выводы…………………………………………………………………. 2. Принципы обеспечения информационной безопасности на промышленном предприятии………………………………………………… 2.1. Концептуальные положения обеспечения информационной безопасности на промышленном предприятии…………………………... 2.2. Концептуальная модель формирования инфраструктуры системы защиты информации на промышленном предприятии……………... 2.3. Оптимизация инфраструктуры системы защиты информации на промышленном предприятии……………………………………….... 2.4. Оценка затраты на систему информационной безопасности……….. 2.5. Выводы…………………………………………………………………. 3. Разработка моделей и методов оценки инфраструктуры системы защиты информации на промышленном предприятии……………....

3.1. Анализ моделей формирования инфраструктуры системы защиты информации……………………………………………………………. 3.2. Методы оценки информационной защищенности от несанкционированного доступа…………………………………………………….. 3.3. Модель оценки уровня защищенности информации от перехвата…. 3.3.1. Обоснование целесообразности использования метода нечеткого моделирования для вычисления показателей защищенности информации от перехвата…………………………. 3.3.2. Фаззификация исходных данных…………………………….... 3.3.3. Оценка качества защищенности информации от перехвата..... 3.3.4. Дефаззификация результатов………………………………….. 3.4. Методы оценки защищенности от сбоев……………………………... 3.5. Метод оценки защищенности от несанкционированного вмешательства……………………………………………………………….... 3.6. Метод комплексной оценки информационной защищенности бизнеспроцессов………………………………………………………….. 3.7. Модель выбора оптимизируемых показателей информационной защищенности…………………………………………………………. 3.8. Модель выбора варианта инфраструктуры защиты информации бизнеспроцессов……………………………………………………... 4. Разработка имитационной модели для комплексной оценки средств защиты информации бизнес-процессов на промышленном предприятии………………………………………………………………..

4.1. Основные свойства имитационной модели………………………….. 4.2. Структура имитационной модели…………………………………….. 4.3. Синтез инфраструктуры системы защиты информации промышленного 4.4. Автоматизированная система мониторинга и пути совершенствования 5. Безопасность корпоративных сетей промышленных предприятий…………………………………………………………………………..

5.1. Основные проблемы безопасности на промышленном предприятии…………………………………………………………………….. 5.2. Классификационные признаки корпоративных сетей………………. 5.3. Система управления безопасностью корпоративной сети………….. 5.4. Современные технологии защиты корпоративных сетей………….... 5.5. Внутренние злоумышленники в корпоративных сетях……………… 5.6. Защита корпоративных сетей от внутренних злоумышленников….. 5.6.1. Противодействие пассивным методам воздействия…………. 5.6.2. Противодействие активным методам воздействия…………... Заключение…………………………………………………………………….



Список используемых источников литературы……………………….....

СПИСОК СОКРАЩЕНИЙ

АРМ – автоматизированное рабочее место;

АС – автоматизированная система;

БД – база данных;

ИА – информационные активы;

ИБ – информационная безопасность;

ИЗИ – инфраструктура защиты информации;

ИМ – информационный массив;

ИС – информационная система;

ИТ – информационные технологии;

КИС – корпоративная информационная система;

КС – корпоративная сеть;

ММ – математическая модель;

НСД – несанкционированный доступ;

ОС – операционная система;

ПО – программное обеспечение;

ППП – пакет прикладных программ;

СЗИ – система защиты информации;

СУИБ – система управления информационной безопасностью.

ПРЕДИСЛОВИЕ

Предлагаемая монография подводит промежуточный итог многолетней деятельности авторов в области разработки математических моделей и методов оценки качества средств защиты информации, используемых в корпоративных сетях промышленных предприятий.

Современные промышленные предприятия осуществляют выпуск сложной продукции, интеллектуальной составляющей которой является новое научнотехническое знание (ноу-хау), подлежащее информационной защите. Помимо ноу-хау защита на предприятиях должна осуществляться в отношении коммерческой, банковской, медицинской, государственной и др. видов информации (тайн) в зависимости от сферы деятельности конкретного предприятия.

В этой связи проблема обеспечения информационной безопасности предприятий приобретает особую актуальность, поскольку напрямую влияет на экономическую эффективность работы предприятия, а в ряде случаев, когда деятельность предприятия осуществляется в государственных интересах, и на обороноспособность страны в целом.

Таким образом, проблему обеспечения информационной безопасности предприятия необходимо рассматривать не как отдельную проблему проектирования изолированной системы защиты информации на предприятии, а как звено в цепочке бизнес-операций, осуществляемых предприятием в своей повседневной деятельности. Учет бизнес-операций предприятия при проектировании системы защиты информации приводит к использованию процессного подхода к управлению предприятием, специфике применения которого как раз и посвящена данная монография.

Введение и материалы первой главы написаны д.т.н., профессором А.Г.

Коробейниковым, материалы второй, третьей глав и заключения написаны к.т.н. И.Б. Трониковым, предисловие и материалы четвертой главы написаны д.т.н., доцентом И.О. Жариновым, материалы пятой главы написаны д.т.н., профессором П.П. Парамоновым, кроме того им осуществлена общая редакция материалов всех глав книги.

Авторы чрезвычайно признательны д.т.н., профессору О.Ф. Немолочнову, д.т.н., профессору Ю.А. Гатчину, к.т.н., доценту В.И. Полякову, д.т.н., профессору Ю.И. Сабо, д.т.н., профессору Р.А. Шек-Иовсепянцу, к.т.н., профессору Б.В. Видину, д.т.н., профессору В.О. Никифорову, д.ф.-м.н., профессору Ю.Л.

Колесникову за ценные замечания и рекомендации, сформулированные в процессе написания книги. Отдельно авторский коллектив выражает благодарность И.Г. Архипову за оказанную им помощь в подготовке книги к изданию.

Авторы заранее также выражают искреннюю благодарность читателям, которые сочтут возможным и необходимым прислать в издательство свои предложения относительно содержания книги, что могло бы способствовать улучшению существа обсуждаемых в ней вопросов.

ВВЕДЕНИЕ

На современном этапе состояния общества информационные технологии (ИТ) активно внедряются во все сферы национальной экономики. Сегодня руководство любого промышленного предприятия, по существу, имеет дело с корпоративной информацией, на основе которой принимаются ответственные решения. Такая информация должна соответствовать требованиям актуальности, достоверности, структурированности и конфиденциальности.

ИТ в настоящее время являются необходимым атрибутом повышения эффективности бизнес-процессов, позволяют хозяйствующим субъектам снизить издержки производства, повысить достоверность экономического анализа, правильно выбирать стратегию и тактику проведения мероприятий в условиях наступления форс-мажорных обстоятельств [1]. Одной из наиболее серьезных проблем, затрудняющих применение современных ИТ, является обеспечение их информационной безопасности.

Актуальность и важность проблемы обеспечения безопасности ИТ обусловлены следующими причинами:

— резкое увеличение вычислительной мощности современных компьютеров при одновременном упрощении их эксплуатации;

— высокие темпы роста парка персональных компьютеров, находящихся в эксплуатации в различных сферах человеческой деятельности;

— резкое увеличение объемов информации, накапливаемой, хранимой на электронных носителях (в виде электронных документов) и обрабатываемой с помощью средств вычислительной техники;

— концентрация информации и сосредоточение в единых базах данных (БД) информации различного назначения и различной принадлежности;

— динамичное развитие программных средств, не удовлетворяющих требованиям безопасности;

— резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;

— демократизация доступа к информации, обусловленная развитием как локальных, так и глобальных компьютерных сетей;

— развитие электронной почты и рост электронного документооборота в компьютерных сетях на предприятиях;

— внедрение электронных технологий в различные виды профессиональной деятельности на финансовых и товарных рынках (электронная коммерция, сетевые банковские и финансовые услуги);

— развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире.

В результате возникло острое противоречие между возросшими возможностями методов и средств ИТ и возможностями методов и средств защиты информационных ресурсов.

Усложнение средств, методов, форм автоматизации процессов обработки информации повышает зависимость промышленных предприятий от степени безопасности используемых ими ИТ, при этом качество информационной поддержки управления напрямую зависит от организации инфраструктуры защиты информации (ИЗИ).

Данные мировой и российской статистики свидетельствуют о тенденции роста масштаба компьютерных злоупотреблений, приводящих к значительным финансовым потерям хозяйствующих субъектов различного уровня. Так, количество компьютерных преступлений в Российской Федерации выросло за период 1997-2005 гг. приблизительно в 150 раз (с 100 в 1997 году до 15000 в году со среднегодовым темпом роста 88,2%) [2–4]. Ущерб от компьютерных злоупотреблений в мире ежегодно возрастает на 35%.

При анализе имеющихся статистических данных в области компьютерных преступлений необходимо учитывать латентность (сокрытие компаниями) информации о компьютерных злоупотреблениях. В Российской Федерации это явление достигает 90% случаев всех преступлений, совершаемых в сфере защиты информации. Сохраняющаяся тенденция заставляет вносить изменения в стратегию развития компаний и требует более обоснованной организации ИЗИ.

Анализ результатов исследований, ведущихся в направлении обеспечения информационной безопасности (ИБ) ИТ, показывает, что в настоящее время не до конца решены вопросы научного обоснования структуры системы защиты информации (СЗИ), реализуемой на предприятиях. В первую очередь это касается инфраструктуры защиты бизнес-процессов, которые в свете современных тенденций организации бизнеса играют решающую роль в достижении успеха хозяйствующим субъектом.

Отмеченные обстоятельства обусловливают противоречие между насущной необходимостью научного обоснования концепции построения ИЗИ бизнес-процессов и возможностями теоретико-методологических решений, обеспечивающих это обоснование. При этом необходимо учитывать, что процессный подход к организации и управлению хозяйственной деятельности предприятия требует применения процессно-ориентированных процедур и к формированию самой ИЗИ бизнес-процессов.

Процессно-ориентированный подход к созданию (совершенствованию) ИЗИ бизнес-процессов позволит рассматривать процесс формирования СЗИ как один из вспомогательных процессов, обеспечивающих основные виды деятельности предприятия. Это дает возможность разработки ИЗИ в тесной взаимосвязи с проектированием других бизнес-процессов, что, несомненно, увеличит их интегрированность, гибкость, сбалансированность и управляемость.

Для блокирования и предупреждения наиболее вероятных информационных угроз на промышленном предприятии должна функционировать такая ИЗИ, которая ориентирована на поддержку бизнес-процессов с учетом структуры информационных активов промышленного предприятия, а в силу ограниченности финансовых ресурсов у предприятия, ИЗИ должна формироваться экономически обоснованно (см. рис. 1).

Качественный анализ:

- выявление всего спектра рисков;

- классификация рисков;

- анализ исходных допущений.

Количественный анализ:

- формализация неопределенности;

- расчет рисков;

- оценка рисков;

- учет рисков.

Минимизация рисков:

- проектирование стратегии;

- выбор оптимальной стратегии;

- реализация стратегии.

- мониторинг рисков;

рисков;

- оперативные решения по отклонениям.

Рис. 1. Схема оценки рисков при разработке инфраструктуры системы защиты информации на промышленном предприятии В то же время в отечественной и зарубежной теории и практике отсутствует целостная методология организации ИЗИ, рассматриваемая через призму процессного подхода к управлению промышленным предприятием.

Таким образом, потребность разрешения существующих противоречий в теории и практике создания СЗИ требует дальнейшего развития этих систем и, в частности, ИЗИ бизнес-процессов на промышленном предприятии.

АНАЛИЗ ТЕНДЕНЦИЙ И ЗАКОНОМЕРНОСТЕЙ

РАЗВИТИЯ ИНФРАСТРУКТУРЫ СИСТЕМЫ ЗАЩИТЫ

ИНФОРМАЦИИ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ

Современная сложная, динамичная и агрессивная внешняя среда требует от российских предприятий поддержания своей информационной инфраструктуры, совершенствования корпоративных схем и бизнес-процессов с точки зрения их безопасности и контроля [5–7]. Одним из приоритетных направлений эффективного управления предприятием является применение методологии и инструментария процессного подхода к организации и управлению предприятием, хотя в российской практике сегодня все еще привычно использование структурного подхода к организации и управлению финансово-хозяйственной деятельностью предприятий [8]. Сравнительный анализ процессного и структурного подходов к управлению предприятием представлен в таблице 1.1.

В рамках методологии процессного подхода предприятие рассматривается как совокупность бизнес-систем, каждая из которых представляет собой связанное конечное множество бизнес-операций, целью которых является выпуск на рынок продукции или услуги.

Под бизнес-процессом понимают [3] определенный набор различных видов деятельности предприятия, которые в совокупности создают результат (продукт, услугу, в т.ч. информационный), имеющий ценность для конечного потребителя (клиента или заказчика). В качестве заказчика может также выступать бизнес-процесс более высокого порядка.

С другой стороны [4, 9], бизнес-процесс — это цепочка операций (работ), результатом которой является продукт или услуга. В цепочку могут входить операции, которые выполняются структурными элементами, расположенными на различных уровнях организационной структуры предприятия.

В работе [10] бизнес-процессы определены как совокупность этапов работ, начинающихся от одного и более начальных шагов (входов) и завершающихся созданием продукта (услуги), необходимого клиенту — внешнему или внутреннему.

Таким образом, бизнес-процесс представляет собой совокупность различных видов деятельности, в рамках которой «на входе» используются один и более видов ресурсов, и в результате этой деятельности на «выходе» создается продукт, представляющий ценность для потребителя, а не отдельные операции.

Сравнительный анализ процессного и структурного подходов к управлению промышленным предприятием Ориентирован на бизнес-процессы, Ориентирован на организационконечными целями выполнения которых ную структуру предприятия является создание продуктов и услуг, представляющих ценность для внутренних и внешних потребителей Система управления предприятием Основан на использовании иерарориентирована на управление как каждым хической организационной структуры бизнес-процессом в отдельности, так и предприятия всеми бизнес-процессами в целом Система менеджмента качества пред- Организация и управление деяприятия ориентирована на обеспечение ка- тельностью предприятия осуществляетчества технологий выполнения бизнес- ся по структурным элементам (отделепроцессов в рамках существующей или ниям, отделам, цехам и т.д.) перспективной организационно-штатной и организационной культуры предприятия Имеет место широкое делегирование Разбиение технологий выполнения полномочий и ответственности исполните- работы на отдельные фрагменты, котолям рые реализуются различными структурными элементами организации Сокращение количества уровней Отсутствие цельного описания принятия решений, переход на ресурсос- технологий выполнения работы; в лучберегающую организационную структуру шем случае существует только фрагпредприятия ментальная (на уровне структурных Сочетание принципов целевого Отсутствие ответственного за коуправления с групповой организацией тру- нечный результат и контроль над техда на предприятии нологией в целом, а также ориентация Повышенное внимание к вопросам Отсутствие ориентации на внешобеспечения качества продукции или ус- него клиента, а также внутренних полуг, а также работы предприятия в целом требителей промежуточных результатов Автоматизация технологий выполне- Неэффективность информационния бизнес-процессов ной поддержки, обусловленная наличием «лоскутной» автоматизации деятельности отдельных структурных элементов и неудачными попытками внедрения корпоративных информационных систем Анализ приведенных определений позволяет сделать вывод о том, что с точки зрения процессного подхода бизнес-процесс промышленного предприятия можно определить как совокупность действий, использующую на входе ресурсы различных типов и продуцирующую результат, имеющий определенную ценность для потребителя (клиента).

Понятие «процесс» — ключевое в современной теории управления бизнесом. Международный стандарт ISO 9000:2000 (российский аналог ГОСТ Р ИСО 9000-2001) определяет процесс как совокупность взаимосвязанных и взаимодействующих видов деятельности, преобразующих входы в выходы (рис. 1.1) [11].

Процесс включает одну или более связанных между собой процедур или функций, которые совместно реализуют некоторую задачу бизнеса (обычно в рамках организационной структуры предприятия). Процесс может выполняться в пределах одной организационной единицы, охватывать несколько единиц или даже несколько различных организаций, например, в системе «покупательпоставщик». Процесс обычно связан с операционными отношениями, например, процесс разработки нового изделия или процесс продаж. На рис. 1.1 представлены структура и основные атрибуты бизнес-процесса предприятия.

Различают основные и вспомогательные процессы. Основные процессы — это те процессы, которые добавляют новое качество продукции. Вспомогательные процессы формируют инфраструктуру организации (в том числе информационную). Владелец процесса — лицо (или группа лиц), отвечающее за процесс и имеющее полномочия изменять его с целью усовершенствования. Границы процесса — граница входа и граница выхода. Граница входа предшествует первой операции процесса, граница выхода следует за его последней операцией.

Интерфейс процесса — механизм (организационный, информационный, технический), посредством которого процесс взаимодействует с предшествующим и последующим процессами. В соответствии с процессным подходом к анализу деятельности предприятия, работа должна быть организована именно вокруг его бизнес-процессов.

В процессе своей жизнедеятельности бизнес-система за счет выполнения бизнес-процессов осуществляет достижение определенной совокупности целей, имеющих иерархическую структуру, и каждая цель имеет свой вес и критерии достижимости.

Факторами, обусловливающими бизнес-процессы, являются показатели деятельности предприятия, приведенные на рис. 1.2.

Одним из первых основных этапов построения процессной организации и управления корпорацией является идентификация и классификация бизнеспроцессов.

Как правило, основу для классификации бизнес-процессов (см. рис. 1.3) составляют четыре базовые категории:

— основные бизнес-процессы;

— инфраструктурные (вспомогательные бизнес-процессы);

— бизнес-процессы развития;

— бизнес-процессы управления.

Основными бизнес-процессами являются те процессы, которые ориентированы на производство конечного продукта или услуги, представляющих ценность для конечного потребителя и обеспечивающих получение основного дохода предприятия. Эти процессы формируют «Выходы» процессов как показано на рис. 1.4.

Должность или организационная единица Продукт/услуга Рис. 1.1. Структура и атрибуты бизнес-процесса предприятия Рис. 1.2. Система общих показателей промышленного предприятия, характеризующих его бизнес-процессы Рис. 1.3. Система базовых бизнес-процессов предприятия Инфраструктурные бизнес-процессы — это вспомогательные процессы, которые предназначены для обеспечения выполнения основных бизнеспроцессов предприятия. В общем случае они обеспечивают ресурсами все бизнес-процессы предприятия.

На рис. 1.5 представлено взаимодействие основных и инфраструктурных бизнес-процессов. Понимание данного взаимодействия существенно для выявления роли инфраструктурных бизнес-процессов и их влияния на активы предприятия для определения их рыночной стоимости или доли в рыночной стоимости предприятия [12].

Бизнес-процессы управления — это те бизнес-процессы, которые охватывают весь комплекс функций управления на уровне каждого бизнес-процесса и бизнес-системы в целом. В основе построения технологии выполнения процессов управления лежит концепция контроллинга, которая позволяет сформировать полный цикл управления предприятием, начиная от стратегического планирования до анализа причин отклонений от плана и формирования управляющих воздействий [13].

К процессам развития, как правило, относятся реновации, либо процессы совершенствования готового продукта или услуги, технологии, оборудования, инновации.

Кроме основных бизнес-процессов, формирующих доход предприятия, принято [3] выделять не основные бизнес-процессы, которые также приносят определенную долю дохода. В составе основного бизнес-процесса могут существовать внутренние обеспечивающие подпроцессы, а в составе инфраструктурного бизнес-процесса можно выделить основной обеспечивающий подпроцесс и несколько вспомогательных подпроцессов.

Таким образом, бизнес-система определяется как связанное множество основных типов бизнес-процессов, конечной целью которых является создание продукта1, в том числе информационного, в соответствии с поставленной целью деятельности предприятия на рынке.

Основными отличительными свойствами бизнес-процессов как объектов корпоративной бизнес-системы являются:

— структурируемость;

— возможность объединения и создания сетей;

— делимость на более мелкие бизнес-процессы.

Конструирование бизнес-системы невозможно без такого ее компонента, как информационная инфраструктура, важной составляющей которого является оценка и защита информационных активов в составе активов корпорации.

Так, в ст. 2 Закона «Об участии в международном информационном обмене» [14] утверждается, что информационный продукт — это документированная информация, подготовленная в соответствии с потребностями пользователей и предназначенная или применяемая для удовлетворения их потребностей.

Под продуктом в данном случае понимается любой выход (результат): товары, услуги, а иногда и документы, которые рассматриваются, очевидно, как носители полезного свойства (ГОСТы, сертификаты и т.п.) или информации, хотя в квалификации видов продукции они пока отсутствуют.

Рис. 1.4. Схема взаимодействия бизнес-процессов предприятия и инфраструктурных бизнес-процессов предприятия При этом выделяются следующие особенности информационного продукта, имеющие теоретико-практическое значение [15]:

— информационные активы как продукт — это всегда результат труда, порождение или следствие обработки информационного контента как исходного ресурса;

— информационный ресурс как продукт может быть вовлечен по желанию собственника в экономический оборот в составе нематериальных активов;

— информационный продукт (ресурс, актив) всегда индивидуален и должен соответствовать конкретным требованиям потребителей этого ресурса;

— при формировании информационного контента как ресурса и как продукта должны учитываться две позиции: позиция потребителя информации (заказчика, покупателя), которому требуется информация определенной направленности, и позиция собственника, в том числе производителя информационного ресурса (в силу специального наполнения информационного контента как продукта).

Само понятие бизнес-правил пришло на российский рынок как понятие ключевых элементов из теории инжиниринга бизнеса [4], на базе которых проектируется (моделируется) целостная структура бизнес-процессов предприятия.

В частности, бизнес-правила затрагивают установление одного или нескольких субъектов в качестве собственника процесса или задание типа связей между процессами разного уровня. Изменение изначально установленных бизнесправил приводит к необходимости перепроектирования всей системы. Простой перечень бизнес-процессов, таким образом, не отражает структуры конкретного бизнеса. Каждая бизнес-система потому и уникальна, что даже будучи моделируемой по типовой методике и с едиными бизнес-правилами, требует четкого формулирования этих правил и индивидуального структурирования взаимосвязей бизнес-процессов, что невозможно без информационной составляющей.

Каждый элемент бизнеса является бизнес-объектом и взаимодействует с другими объектами. Когда на рынке появляется новый бизнес-объект, он является самостоятельной единицей в рамках общего взаимодействия. Объектом может быть фирма (директор), клиент, склад и т.д. Бизнес-объектом могут выступать также взаимоотношения между перечисленными объектами (например, заключение договора между фирмой и клиентом, отпуск товара со склада как расходная операция и пр.). Каждый бизнес-проект осуществляет управление и манипулирование набором бизнес-объектов. Каждый объект бизнеса может быть использован несколькими бизнес-процессами в единой технологической цепочке.

Следовательно, под структурой бизнес-процесса следует понимать всю совокупность взаимосвязанных бизнес-операций предприятия, интегрирующих бизнес-объекты, сквозные потоки ресурсов (человеческие, материальные, финансовые, нематериальные, в том числе информационные) через организационную структуру предприятия. Определенная таким образом структура бизнеспроцесса отражает взгляд проектанта системы безопасности на деятельность предприятия в динамике (см. рис. 1.6).

Возможности Рис. 1.6. Графическое представление структуры бизнес-процесса К основным критериям эффективности организации бизнес-процессов предприятия следует отнести:

— минимизацию сроков реализации бизнес-процессов;

— минимизацию издержек реализации бизнес-процессов;

— максимизацию стоимости бизнес-процесса субъектами оценки: клиентами, конечными потребителями, заказчиками.

Нельзя не согласиться с рядом авторов [3, 9–14], что эффективная деятельность корпорации возможна при создании единой корпоративной системы бизнес-процессов, предусматривающей весь спектр решений по управлению бизнес-объектами и бизнес-процессами и объединяющей следующие виды ресурсов:

— материальные ресурсы;

— финансовые ресурсы;

— человеческие ресурсы;

— инвестиционные ресурсы;

— интеллектуальную собственность;

— инфраструктурные активы.

Такие системы необходимы как механизм достижения стратегических целей бизнеса:

— управление всеми видами информационных активов крупных распределенных компаний в рамках корпорации;

— интеграция материальных и нематериальных активов корпорации в единый эффективно работающий механизм;

— обеспечение динамичного выхода на новые рынки и удержание позиций в конкурентной борьбе;

— формирование и поддержание высокого уровня корпоративной культуры.

Развитие нового «сетевого» направления в экономике характеризуется непосредственной организацией в рамках корпоративной сети производственнохозяйственных и информационных связей, основанной на новых принципах управления компаниями или на основах партнерства, договоренностей участников этой сети с учетом взаимных интересов. Структурирование корпоративных связей определяется целесообразностью и мотивацией объединения ресурсов и производственных возможностей.

Методология разработки бизнес-системы корпорации предполагает движение «сверху вниз» (т.н. нисходящее проектирование), начиная с формулирования миссии корпорации на рынке, корпоративных целей, корпоративных и функциональных бизнес-стратегий, с помощью которых определяется необходимый набор бизнес-функций, обеспечивающий взаимосвязи между бизнесобъектами для достижения поставленных задач. Фундаментом, на котором базируются миссия и цель корпорации (см. рис. 1.7), являются бизнес-процессы.

Немаловажную роль при этом играет создание инструментария механизмов управления изменениями (например, управление развитием), что позволяет организовывать такие новые формы бизнеса, как электронная коммерция, связанные, так или иначе, с распространением информационных ресурсов на коммерческой основе, и способствует достижению решающего конкурентного преимущества предприятия за счет точной и быстрой реакции корпорации на изменения внешней среды (или на стратегический прогноз этих изменений).

Поддержка и защита системы управления корпорацией подразумевает поддержку и защиту самих бизнес-процессов. Развитие информационной инфраструктуры бизнес-системы основывается на преодолении инфраструктурной и информационной разобщенности подразделений корпораций. Инвестиции в управление бизнес-процессами могут приносить определенные доходы за счет повышения эффективности работы и ускорения бизнес-процессов, а также за счет повышения рыночной стоимости компании в части нематериальных активов и, прежде всего, информационных [16, 17].

• В чем состоит предназначение корпорации?

• Чего корпорация хочет достичь?

• Как конкретно корпорация будет реализовывать свою миссию и цель?

• Что корпорация обязательно должна сделать для реализации стратегии?

• Как корпорация будет Критические Показатели измерять степень реа- факторы эффективности • Какие бизнеспроцессы наиболее важны для реализации цели и стратегии корпораБизнес-процессы ции?

Рис. 1.7. Укрупненная схема бизнес-системы корпорации Основными экономико-организационными преимуществами процессноориентированного подхода у организации управления предприятием являются следующие:

1. Обеспечивается ориентация всей деятельности предприятия на главный конечный результат — своевременный выпуск высококачественной продукции, которая непременно будет востребована рынком.

2. Обеспечивается существенное сокращение количества уровней в иерархии управления за счет укрупнении процессных операций информационных услуг. Кроме того, упрощается обмен информацией между различными подразделениями предприятия.

3. Обеспечивается сокращение «этажей власти» (за счет обоснованного увеличения нормы управляемости) благодаря точному определению как общих, так и персональных (работников) результатов деятельности предприятия. Данный подход позволяет существенно сократить количество работающих лиц за счет сокращения ненужных структурных подразделений, придать деятельности организации целенаправленность и сформировать эффективную систему мотивации работы персонала.

4. Обеспечивается возможность точного определения конечных результатов деятельности каждого отдельного подразделения предприятия (например, участка, цеха, отдела), которая обеспечивается посредством объединения частых, детализированных процессов в общий, единый процесс.

5. Обеспечивается создание благоприятных условий для уменьшения количества задействованных в процессах лиц вследствие устранения лишних или, иначе, не нужных функций отдельных подразделений. При этом предусматривается закрепление за одним работником вполне определенного комплекса однородных процессов.

6. Обеспечивается высокая мотивация работников предприятия вследствие высокой контролируемости их деятельности и прогрессивной системы оплаты труда.

7. Обеспечивается возможность более высокой адаптации предприятия к автоматизации деятельности всех структурных подразделений; это обстоятельство обусловлено отличительной особенностью процессно-ориентированного подхода — высокой степенью детализации структуры предприятия.

8. Обеспечивается усиление горизонтальных связей между подразделениями предприятия и снижение отрицательного влияния функциональных барьеров, имеющих место при традиционной системе управления.

9. Обеспечивается более детализированное (четкое) определение ответственности работников, что обусловливает лучшее понимание предъявляемых к ним требований и, как следствие, наиболее эффективное использование располагаемых предприятием ресурсов.

10. Обеспечивается возможность организации четкого контроля за деятельностью предприятия, а также единство информационных потоков; это обстоятельство является залогом оперативного устранения причин неэффективности разработанных процессов.

11. Обеспечивается способность процессно-ориентированного подхода самонастраиваться на необходимые качественные показатели деятельности предприятия, что реализуется посредством учета требований, предъявляемых потребителями продукции, работ или услуг. Самонастраиваемостъ — это суть адаптивных высокоавтоматизированных интеллектуальных систем.

12. Обеспечивается сокращение объемов перерабатываемых с помощью современных электронных средств исходных данных и промежуточной информации, реализуемые на практике благодаря концентрации состава работ (процессов), выполняемых работниками предприятия.

13. Обеспечивается реальная возможность автоматизировать и оптимизировать процессы, протекающие на предприятии на основе многоцелевого (многокритериального подхода), что связано с получением синергетического эффекта, достигаемого без привлечения дополнительных инвестиций в формируемую инфраструктуру системы защиты информации на предприятии.

14. Создаются благоприятные условия для построения ресурсосберегающей организационной структуры управления предприятием (Lean production).

Основными характеристиками такой структуры являются:

— широкое делегирование полномочий и ответственности непосредственным исполнителям соответствующих видов работ (процессов);

— сочетание принципа целевого управления с групповой ответственностью и организацией труда;

— оказание первоочередного внимания к вопросам обеспечения высокого качества товаров, работ и услуг, предоставляемых потребителям;

— автоматизация технологий выполнения спроектированных процессов.

15. Обеспечивается необходимая гармонизация отношений между участниками процесса, присутствующими на разных этапах реализации бизнессистемы, за счет сравнительно большей четкости закрепленных функциональных обязанностей или выполняемых работ.

Под гармонизацией следует понимать налаживание такого сотрудничества в отношениях между работниками предприятия на всех уровнях его управлении, с помощью которого удастся избежать (или минимизировать) количество отрицательных взаимодействий (конфликтов) и максимизировать объем положительных связей, а в итоге обеспечить сохранение целостности, устойчивости и эффективности функционирования бизнес-системы. Залогом успешного сотрудничества являются также психологическая, интеллектуальная и духовная совместимость, резонансное взаимодействие всех работников.

16. Создаются благоприятные условия для использования современных ИТ при реализации процессного подхода, сущностную основу которых составляют разнообразные средства коммуникации, компьютерная техника, также программное обеспечение (ПО) (пакеты прикладных программ (ППП)).

17. Обеспечивается возможность простой и наглядной графической интерпретации деятельности предприятия.

18. Достигается строгое соблюдение единой направленности менеджмента, которая не зависит от того, как структурируется организация.

19. Упрощаются условия для разработки эффективной системы мотивации работников предприятия за счет более четкой и однозначной регламентации процесса и состава выполняемых работ.

20. Появляется реальная возможность планирования деятельности предприятия в системе менеджмента качества не в статике, а в динамике.

21. Устраняется обычно имеющая место обособленность подразделений и должностных лиц.

22. Акцентируется внимание менеджмента на взаимодействие подразделений и должностных лиц, что дает возможность устранять «ничейные поля», т.е.

участки деятельности предприятия, выпадающие из-под влияния системы менеджмента качества.

23. Обеспечивается наличие большей возможности к совершенствованию системы менеджмента по сравнению с функциональным (структурным) подходом, что крайне важно в условиях возрастающей конкуренции, с которой постоянно сталкиваются предприятия.

Отдельно хотелось бы отметить, что поддержка и защита бизнес-процессов не является разовым мероприятием, а требует постоянного развития и сопровождения, что нашло отражение в современной концепции реинжиниринга бизнес-процессов.

информационной безопасности промышленного предприятия 1.2.1. Основные задачи информационной безопасности предприятия Одной из основных задач корпоративной информационной системы (КИС) как и любой другой технической системы, является сервисное сопровождение бизнес-процессов. Любая используемая в бизнесе техническая система, являясь важным элементом инфраструктуры, должна предоставлять бизнесу определенный тип сервиса. КИС оказывает бизнесу информационный сервис, но и сама нуждается в поддержке и защите [18–21]. Сервис заключается в предоставлении бизнесу необходимой информации нужного качества, в нужное время и в нужном месте, т.е. в конечном итоге информации, достаточной для управления самим бизнесом.

По сути, информация в таком понимании становится одним из ключевых элементов информационной инфраструктуры [22–29].

Еще одной бизнес-задачей корпоративной системы информационной безопасности предприятия является обеспечение гарантий достоверности информации, или гарантий доверительности информационного сервиса КИС.

Обеспечение информационной безопасности носит комплексный характер и предполагает необходимость сочетания законодательных, организационных и программно-технических мер.

Под информационной безопасностью предприятия следует понимать защищенность его информационных активов (как части инфраструктуры бизнеспроцессов) от случайных или преднамеренных воздействий собственного или искусственного характера, чреватых нанесением ущерба собственникам или пользователям информационных активов в бизнес-системе.

Защита информационных активов предприятия заключается в поддержании целостности, доступности и, если потребуется, конфиденциальности информационных активов в бизнес-системах. Принцип обеспечения информационной безопасности предприятия иллюстрирует рис. 1.8.

В обеспечении информационной безопасности нуждаются разные категории хозяйствующих субъектов. Как следует из табл. 1.2, в зависимости от уровня ответственности хозяйствующих субъектов реализуются соответствующие им уровни обеспечения защищенности информационных активов.

На концептуально-политическом уровне принимаются документы, в которых определяются направления государственной политики информационной безопасности, формулируются цели и задачи обеспечения ИБ всех хозяйствующих субъектов и намечаются пути, методы и средства достижения поставленных целей и решения задач. Примером такого документа является Доктрина информационной безопасности Российской Федерации [30].

На законодательном уровне создается и поддерживается комплекс мер, направленных на правовое регулирование обеспечения ИБ, отражаемых в законах и других правовых актах (указы президента, постановления правительства и т.д.). Одной из важных задач этого уровня является создание механизма, позволяющего согласовать процесс разработки законов с прогрессом ИТ [31].

На нормативно-техническом уровне разрабатываются стандарты, руководящие материалы, методические материалы и другие документы, регламентирующие процессы разработки, внедрения и эксплуатации средств обеспечения ИБ. Важной задачей этого уровня в настоящее время является приведение российских стандартов в соответствие с международным уровнем информационных технологий вообще и уровнем информационной безопасности, в частности [10, 14, 28, 31–42].

На уровне предприятия или другого хозяйствующего субъекта осуществляются конкретные меры по обеспечению ИБ деловой деятельности административного и программно-технического уровня.

Рис. 1.8. Принципы обеспечения информационной безопасности предприятия Распределение уровней защищенности информационных активов по категориям хозяйствующих субъектов Категория хозяйствующего субъекта Уровень защищенности — субъекты хозяйствования (коммерче- — программно-технический.

ские структуры, домашние хозяйства);

— финансовые посредники;

— финансовые рынки.

На административном уровне руководство любой организации реализует меры общего характера и конкретные меры обеспечения ИБ. Основой мер общего характера [43] служат политика безопасности (совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов).

В числе конкретных мер по обеспечению ИБ на предприятии можно выделить:

— управление персоналом;

— осуществление физической защиты территории предприятия;

— поддержание работоспособности ИЗИ;

— реагирование на нарушения режима безопасности;

— планирование восстановительных работ СЗИ.

На программно-техническом уровне реализуются следующие механизмы обеспечения безопасности [44]:

— идентификация и проверка подлинности пользователей;

— управление доступом;

— протоколирование и аудит;

— криптография данных;

— экранирование помещений и линий передачи информации.

На уровне отдельного предприятия (компании, корпорации, фирмы) отдельно рассматриваются вопросы информационной безопасности, относящиеся к административному и программно-техническому уровням [45].

1.2.2. Классификация угроз информационной безопасности Под угрозой информационной безопасности автоматизированной системы понимают возможные воздействия на эту систему, которые прямо или косвенно могут нанести ущерб [46].

Принято считать, что ИБ информационной системы обеспечена в случае, если для любых информационных ресурсов в системе поддерживается определенный уровень конфиденциальности, целостности и доступности информации [47]. Поэтому для информационных систем традиционно рассматривают три основных вида угроз безопасности:

— угроза нарушения конфиденциальности;

— угроза нарушения целостности;

— угроза отказа служб.

Само понятие угрозы в равных ситуациях зачастую трактуется по-разному.

Например, для подчеркнуто открытой организации может просто не существовать угроз конфиденциальности — вся информация считается общедоступной;

однако в большинстве случаев нелегальный доступ считается серьезной опасностью [48, 49].

Знание возможных угроз (см. рис. 1), их анализ, а также знание уязвимых мест защиты, через которые эти угрозы реализуются на практике, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения информационной безопасности предприятия [50].

Самыми распространенными и самыми опасными (с точки зрения ущерба) являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.

Иногда такие ошибки являются угрозами (неправильно введенные данные, ошибка в программе, вызвавшая крах системы), иногда они создают слабости в системе безопасности, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). Согласно [51], 65% потерь — это следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с некомпетентностью и невнимательностью. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками — максимально возможная автоматизация и строгий контроль за правильностью совершаемых операторами действий, а также высокая квалификация персонала.

На втором месте по размерам ущерба располагаются кражи и подлоги.

Можно предположить, что подлинный ущерб намного больше, поскольку многие организации по попятным причинам скрывают такие инциденты. В большинстве расследованных случаев [52, 53] виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Это еще раз свидетельствует о том, что внутренняя угроза гораздо опаснее внешней.

Весьма опасны так называемые «обиженные» сотрудники — работающие и уволенные лица. Как правило, их действиями руководит желание нанести вред организации-обидчику, например:

— повредить оборудование;

— встроить логическую «бомбу», которая со временем разрушит программы и/или данные;

— внести неверные данные;

— удалить данные;

— изменить данные;

— разместить конфиденциальную или другую корпоративную информацию в сети Интернет для открытого доступа;

— попытаться продать конфиденциальную информацию предприятия или часть БД (например, содержащую клиентскую информацию) конкурентам и т.д.

Обиженные сотрудники, даже бывшие (уволенные), знакомы с устоявшимися порядками в организации и способны наносить большой ущерб организации. Необходимо следить за тем, чтобы при увольнении сотрудника (не только за провинности, но и по собственному желанию) его права доступа к информационным ресурсам предприятия аннулировались в полной мере.

Угрозы, исходящие от окружающей среды, к сожалению, отличаются большим разнообразием. В первую очередь следует выделить нарушения технологической инфраструктуры — аварии электропитания, временное отсутствие связи, перебои с водоснабжением и т.п. Опасны также стихийные бедствия, гражданские беспорядки и события, воспринимаемые как стихийные бедствия:

пожары, наводнения, землетрясения, ураганы. По данным [51], на долю огня, воды и аналогичных «внешних врагов» (среди которых самый опасный — низкое качество электропитания и его перебои) приходится 13% потерь, нанесенных информационным системам предприятий.

На современном этапе развития информационных технологий подсистемы с функциями защиты являются неотъемлемой частью внедренных на предприятии комплексов по обработке информации. При этом информация не представляется пользователям в чистом виде. На пути доступа к ней имеется некоторая система защиты, которую необходимо преодолеть атакующей стороне.

Однако не существует абсолютно стойкой системы защиты, вопрос лишь во времени и средствах, требуемых на ее преодоление.

Исходя из данных условий, приемлемой можно считать следующую модель: защита информационной системы считается преодоленной, если в ходе ее исследования определены уязвимости системы. Уязвимость — это некоторое свойство системы, которое делает возможным возникновение и реализацию угрозы ИБ.

Проведенный анализ возможных угроз показал, что информационная инфраструктура должна обладать свойством защищенности информации, используемой в бизнес-процессах предприятия. Данное свойство характеризует способность системы обеспечивать защиту коммерческой, служебной, технологической и иной информации на предприятии от несанкционированного (преднамеренного или случайного) получения, изменения, уничтожения или использования.

С учетом компонентов бизнес-процесса, показанных на рис. 1.1, а также их взаимосвязей, к потенциально опасным ситуациям, которые могут возникнуть при низком уровне защищенности информации на предприятии, относятся:

— несанкционированный доступ нарушителей (не владельцев и участников) к информации, хранящейся и обрабатываемой в средствах автоматизации, с целью ознакомления, искажения или уничтожения. Точками входа при этом могут быть интерфейсы и границы процесса, а также информация, необходимая для реализаций функций (операций, процедур) бизнес-процесса;

— перехват информации при ее приеме (передаче) по каналам связи (сети) функциями процесса, а также за счет хищения носителей информации;

— уничтожение (изменение, искажение) информации за счет случайных помех, сбоев технических (программных) средств при передаче, хранении и обработке информации;

— несанкционированное влияние на бизнес-процесс нарушителей из числа владельцев и (или) участников процесса.

инфраструктуре системы защиты информации На основе проведенного анализа влияния информационной инфраструктуры на реализацию бизнес-процессов (рис. 1.9), анализа содержания ИБ бизнеса, целей и основных принципов функционирования инфраструктуры, можно определить ряд требований, предъявляемых к системе защиты в отношении бизнес-процессов.

Информационные активы являются частью информационной инфраструктуры предприятия и требуют защиты от возможных информационных угроз.

системы защиты информации в бизнес-системе предприятия В состав элементов ИЗИ бизнес-процессов должны быть включены средства управления доступом; регистрации и учета; криптографические; обеспечения целостности информации.

Согласно [36], устанавливается девять классов защищенности автоматизированных систем от несанкционированного доступа к информации. Каждый класс характеризуется соответствующей совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации в автоматизированной системе.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархии классов защищенности автоматизированных систем.

В [36] также определяется номенклатура обязательных требований, реализация которых обеспечивает уровень защиты информации, соответствующий выбранному классу защищенности. Очевидно, что согласно системе классификации, выполнение всех требований соответствует наивысшему классу защищенности (1А). Однако это не означает, что указанный класс является требуемым для любой системы защиты информации. Высокий уровень защищенности может быть обеспечен компенсацией заведомо нецелесообразных требований другими средствами и, что наиболее вероятно, организационными мерами защиты. Так, например, использование сертифицированных криптосредств ведет к существенному повышению стоимости всей системы защиты информации.

При этом стоимость этих средств соизмерима со стоимостью всех остальных средств вместе взятых. Поэтому отсутствие криптосистемы или ее отдельных элементов может быть компенсировано, например, ограничением доступа к конфиденциальной информации, локализацией и (или) отключением информационных массивов от сети, оптимизацией трафика доступа и другими программными и техническими средствами, а также организационными мерами защиты, внедренными на предприятии.

Вместе с тем, сформулированные требования составляют функциональную основу ИЗИ бизнес-процессов, т.е. определяют обязательный (с учетом приведенных замечаний) состав функций по соответствующим подсистемам защиты.

Однако процессный подход к организации и управлению хозяйственной деятельностью предприятия обусловливает необходимость применения процессноориентированного подхода и к формированию самой инфраструктуры защиты бизнес-процессов.

С учетом особенностей, структуры и возможностей процессного подхода ИЗИ должна обеспечивать:

— ориентацию всех процессов защиты информации на главный конечный результат (обеспечение максимального уровня защиты информации);

— выявление, локализацию и устранение последствий реализации всех возможных видов угроз информационной безопасности предприятия;

— интеграцию функций защиты информации на предприятии в единый автоматизированный процесс;

— интеграцию централизованного и ресурсосберегающего управления функцией защиты информации на предприятии;

— регламентацию процессов зашиты информации по приоритету, срочности, рискам и т.д.;

— независимость реализации политики безопасности от организационной структуры предприятия;

— реализацию планово-предупредительной деятельности предприятия по обеспечению защиты информации в бизнес-процессах;

— определение конкретных мер и разграничение ответственности лиц и средств защиты за предотвращение реализации злоумышленником конкретных видов угроз;

— возможность точного определения результатов функционирования СЗИ (учет и отчетность по каждому виду угроз, мониторинг текущего состояния, прогноз развития процессов, оценка рисков и т.д.);

— возможность развития и оптимизации процессов защиты на основе использования средств встроенного контроля;

— возможность адаптации к изменяющейся информационной инфраструктуре предприятия;

— минимально возможное количество уровней в иерархии управления системой защиты информации на предприятии;

— обеспечение простых и удобных в эксплуатации мер и средств защиты информации на предприятии.

Процессно-ориентированный подход к созданию (совершенствованию) ИЗИ бизнес-процессов позволит рассматривать процесс формирования (развития) СЗИ как один из вспомогательных бизнес-процессов, обеспечивающих основные процессы предприятия. Это позволяет проводить разработку ИЗИ в тесной взаимосвязи с проектированием других бизнес-процессов предприятия, что, несомненно, увеличивает их интегрируемость, гибкость, сбалансированность и управляемость.

В настоящее время нормальное функционирование большинства бизнеспроцессов на предприятии невозможно без информационного обеспечения.

Бизнес-процессы современной организации обеспечиваются одной или несколькими информационными системами. Внедрение системы управления информационной безопасностью (СУИБ) — важное мероприятие, целью которого является управление процессами информационного обеспечения организации и предотвращение несанкционированного использования информации.

Требования бизнеса к информационной безопасности (ИБ) оказывают воздействие на IT-подразделения и должны быть отражены в соглашениях об уровне сервиса (SLA — Service Level Agreement). Задачей процесса управления ИБ является постоянное обеспечение безопасности услуг на согласованном с партнером уровне, при этом ИБ — важнейший показатель качества управления.

C точки зрения поставщика услуг или продукции, процесс управления информационной безопасностью способствует интеграции аспектов безопасности в общую IT-структуру. В свою очередь, принципы построения СУИБ содержатся в сборнике практических рекомендаций BS ISO 17799:2005, который предоставляет исчерпывающее руководство пользователям для разработки, внедрения и оценки мер информационной безопасности предприятий.

Процесс управления ИБ имеет важные связи с другими процессами. Так, некоторые виды деятельности на предприятии по обеспечению безопасности осуществляются другими процессами под контролем процесса управления ИБ.

С позиций стандарта BS ISO/IEC 20000 процесс управления информационной безопасностью на предприятии имеет два целеполагающих значения:

— выполнение требований безопасности, закрепленных в SLA, и других требований внешних и внутренних соглашений, законодательных актов и установленных правил (норм);

— обеспечение базового уровня ИБ, независимого от внешних требований.

Входными данными для процесса служат SLA, содержащие требования безопасности, по возможности, дополненные документами, определяющими политику организации в этой области, а также другие внешние требования.

Процесс также получает важную информацию, относящуюся к проблемам безопасности, из других процессов, например, об инцидентах, связанных с нарушением ИБ.

Выходные данные включают информацию о достигнутой реализации SLA вместе с отчетами о нештатных ситуациях с точки зрения установленного на предприятии уровня безопасности, а также информацию о регулярных мероприятиях по совершенствованию СУИБ.

Эффективное информационное обеспечение с адекватной защитой информации важно для организации по ряду причин. Во-первых, эффективное функционирование организации возможно только при наличии доступа к достоверной и полной информации. Уровень ИБ должен соответствовать этому принципу. Во-вторых, в результате деятельности организации создаются продукты и услуги, которые доступны рынку или обществу и нужны для выполнения определенных социально-практических задач. Неадекватное информационное обеспечение влечет производство некачественных продуктов и предоставление некачественных услуг, которые не могут использоваться потребителями и ставят под угрозу существование организации или безопасность зависящих от нее процессов.

Взаимодействие процессов управления. Процесс управления информационной безопасностью имеет связи с другими процессами управления, так как в других процессах также выполняются действия, связанные с обеспечением ИБ.

Эта деятельность проводится в обычном порядке в рамках ответственности определенного владельца процесса. При этом процесс управления информационной безопасностью обеспечивает другие процессы инструкциями о структуре деятельности, связанной с ИБ. Обычно соглашения об этом определяются после консультаций между владельцем процесса управления информационной безопасностью и владельцами других процессов.

Управление конфигурациями. В контексте ИБ процесс управления конфигурациями позволяет классифицировать информационные активы (ИА). Эта классификация определяет связи между ИА и предпринимаемыми на предприятии мерами или процедурами обеспечения ИБ.

Классификация ИА определяет их конфиденциальность, целостность и доступность. Эта классификация основана на требованиях безопасности SLA.

Классификацию определяет заказчик, так как только владелец актива может решить, насколько важны информация или информационные системы для его бизнес-процессов.

При создании классификации ИА заказчик учитывает степень зависимости бизнес-процессов от информационных систем и качества информации. Затем проводится привязка классификации к соответствующим ИА.

Следующий этап — реализация комплекса мероприятий ИБ для каждого уровня классификации. Эти комплексы мероприятий могут быть описаны как процедуры (например, «Процедура обращения с носителями данных, содержащими конфиденциальную информацию») и составлять единую систему в соответствии с требованиями к документации BS ISO/IEC 27001:2005.

В SLA определяются комплексы мер безопасности для каждого уровня классификации. Система классификации совместима со структурой организации-заказчика. Однако для упрощения управления рекомендуется использовать одну общую систему классификации, даже если организация имеет несколько разных заказчиков.

Таким образом, можно сделать вывод, что классификация является ключевым процессом ИБ. Каждый ИА в конфигурационной базе данных должен быть обязательно классифицирован. Эта классификация связывает ИА с соответствующим комплексом мер по защите информации.

Управление проблемами. Процесс управления проблемами отвечает за идентификацию и устранение структурных сбоев СУИБ. Проблема может привести к возникновению риска функционирования СУИБ. Управление проблемами — пролонгируемый процесс, в основе которого лежит анализ событий ИБ. Для того чтобы не возникло новых проблем с ИБ, принятое окончательное или обходное решение должно быть тщательно проверено, подкреплено результатами наблюдений и выявлением закономерностей. Проверка должна основываться на соответствии предлагаемых решений требованиям SLA и внутренним требованиям ИБ.

Управление изменениями. Работы, выполняемые в рамках процесса управления изменениями, тесно связаны с ИБ, так как управление изменениями и управление ИБ взаимозависимы. Если достигнут приемлемый уровень ИБ, который находится под контролем процесса управления изменениями, то можно гарантировать, что этот уровень ИБ будет обеспечиваться и после проведения изменений. Для поддержки уровня ИБ существует ряд стандартных операций.

Каждый запрос на изменения связан с рядом параметров, которые определяют процедуру внесения изменений. Параметры срочности и степени воздействия могут быть дополнены параметром, связанным с безопасностью. Если запрос может оказать значительное воздействие на ИБ, потребуются расширенные приемочные испытания и процедуры.

Мероприятия ИБ, связанные с внесением изменений, должны реализовываться одновременно с проведением самих изменений и тестироваться совместно.

Идеи, заложенные в стандарте ISO/IEC 27001, направлены на предотвращение или существенное снижение возможных ущербов от реализации угроз ИБ.

В соответствии с ISO/IEC 27001 СУИБ — это часть общей системы управления, основанная на оценке бизнес-рисков и предназначенная для разработки, реализации, эксплуатации, мониторинга, анализа, сопровождения и совершенствования ИБ.

Из определения СУИБ следует, что ее ядром является процесс управления рисками ИБ. Этот процесс направлен на прогнозирование реализации угроз ИБ, планирование и внедрение по результатам такого прогноза мер обеспечения ИБ. Тем самым повышается общий уровень ИБ и снижаются риски ИБ.

На предприятии должна быть разработана методика управления рисками ИБ. Она должна быть воспроизводимой, понятной участникам процесса и не слишком сложной. Зачастую под процесс управления рисками ИБ подводится серьезная «псевдоматематическая» основа, предполагая, что таким образом можно будет получить более точные оценки, что называется, «вплоть до копеек». Однако в итоге это может привести к тому, что процесс управления рисками будет «необъективным» и не сможет использоваться как инструмент предотвращения убытков.

С точки зрения содержания методика управления рисками в обязательном порядке должна определять порядок инвентаризации активов и оценки их ценности, порядок выявления уязвимостей активов и угроз, которые могут быть реализованы через выявленные уязвимости. Таким образом, описывается порядок формирования сценария «актив — уязвимость — угроза», для которого необходимо оценить вероятность реализации каждого из них. На основе этих данных определяется уровень риска ИБ. Все риски, превышающие приемлемый уровень риска (который в обязательном порядке определяется руководством компании), должны подвергаться анализу.

Обработка рисков может включать в себя:

— снижение рисков до приемлемого уровня (за счет внедрения дополнительных контрмер по обеспечению ИБ);

— избежание риска (как правило, достигается за счет реинжиниринга бизнес-процессов);

— перевод риска «на третью» сторону (например, за счет страхования или аутсорсинга);

— принятие риска (применимо, например, если стоимость внедрения всех вышеперечисленных способов обработки рисков заметно превышает выявленный риск ИБ).

Принимая решение по обработке рисков, необходимо спрогнозировать остаточный уровень риска, чтобы определить целесообразность конкретного мероприятия по анализу риска. Хорошая практика предусматривает дальнейший мониторинг рисков по результатам внедрения мер по обработке рисков. Это поможет определить, насколько эффективными оказались мероприятия по анализу рисков и достигается ли на предприятии предполагаемый остаточный уровень риска.

В процессе управления рисками ИБ должны участвовать владельцы бизнес-процессов — люди, которые далеки от ИБ и не мыслят категориями обеспечения конфиденциальности, целостности и доступности. Самое важное в этой ситуации — «перевести» методику и сам процесс управления рисками с «технического» языка на «общечеловеческий». Это нужно, прежде всего, для того, чтобы получить достоверные результаты, на которых потом можно будет строить предположения о возможных угрозах ИБ и вероятностях их реализации. Важно задавать «правильные вопросы правильным людям». Не стоит, например, спрашивать у бухгалтера, какова, на его взгляд, вероятность реализации угрозы недоступности системы «1С» из-за конкретных инфраструктурных уязвимостей корпоративной вычислительной сети. Скорее всего, ответ на такой вопрос не будет получен, а в следующий раз и вовсе будет тяжело найти желающих поучаствовать в процессе управления рисками от бухгалтерии. Такие вопросы, безусловно, лучше задать техническим специалистам.

Руководство предприятия обязательно должно понимать, что это за процесс, для чего он необходим, какие выгоды он несет именно для него. Если вовлеченность руководства будет достигнута, то по результатам анализа рисков будут приниматься адекватные текущей ситуации решения. На безопасность будет выделяться необходимое и достаточное количество ресурсов, что в итоге приведет к достижению требуемого уровня ИБ.

Другой серьезный инструмент предотвращения убытков компании от реализации угроз ИБ — процесс, в чем-то противоположный процессу управления рисками ИБ, а именно процесс управления инцидентами ИБ. К сожалению или к счастью, в мире не существует ничего идеального и наличие даже самых совершенных мер по снижению рисков ИБ не может полностью предотвратить возникновение в информационной среде предприятия событий, потенциально несущих угрозу бизнесу компании. Неготовность организации к обработке подобного рода ситуаций может существенно затруднить восстановление нормального функционирования организации и потенциально усилить нанесенный ущерб.

Процесс управления инцидентами ИБ направлен на то, чтобы эффективно обнаруживать подобные события, реагировать на них и разрешать их, а впоследствии определять причины их возникновения и применять меры, предотвращающие их в будущем. При разработке и внедрении данного процесса надо помнить следующее.

Процесс управления инцидентами ИБ — один из самых активно работающих процессов управления ИБ (возможная частота появления событий, связанных с ИБ, — от нескольких раз до нескольких десятков в день). Именно поэтому этот процесс должен быть максимально удобным для всех его участников.

Подразумевается работа совершенно разных подразделений компании — от бизнес-подразделений, которые могут сообщать об инцидентах ИБ, до профильных «технических» подразделений: департамента ИТ, подразделения информационной безопасности, подразделений физической безопасности и т.д., которые должны слаженно работать при разрешении и анализе причин инцидентов. И здесь точно так же, как и в управлении рисками ИБ, необходимо соблюсти все «тонкости перевода».

Для других процессов управления ИБ можно обойтись «бумажной» реализацией процесса. Но если говорить об управлении инцидентами ИБ, то автоматизация этого процесса практически жизненно необходима. Сотрудники могут заметить лишь малую долю инцидентов ИБ, а специальные системы сбора и анализа событий ИБ сделают процесс по-настоящему эффективным. Например, подобные системы могут обнаружить и вовремя сообщить о фактах: использования учетных записей уволенных сотрудников; использования административных привилегий пользователями, которым такой доступ не был предоставлен; аномальных активностей, направленных на отдельные серверы, рабочие станции; создания и удаления системных объектов, а также неудачных попыток доступа к ним и т.д. По этим примерам видно, что без автоматизации сбора событий ИБ не обойтись. Главное, необходимо выбрать систему, соответствующую инфраструктуре предприятия, корректно настроить и «встроить» ее использование в разрабатываемый процесс управления инцидентами ИБ.

Правильно выстроив процессы СУИБ, предприятие может существенно повысить уровень ИБ. В итоге ИБ получает как активный инструмент прогнозирования возможных ущербов (процесс управления рисками ИБ), так и реактивный инструмент, который позволит снизить или предотвратить ущерб от возникновения непредвиденных ситуаций, связанных с ИБ.

Таким образом, процессный подход, заложенный в международных стандартах на системы управления, в том числе и ISO/IEC 27001, может дать существенные выгоды компаниям, их внедряющим, однако требует кропотливой, осознанной работы и не терпит шаблонных решений.

совершенствования инфраструктуры системы защиты информации на промышленном предприятии С середины 90-х гг. 20-го века автоматизация практически всех бизнеспроцессов позволила добиться революционного снижения непроизводительных потерь времени на передачу результатов выполнения функциональных задач на другие рабочие места или в другие подразделения. Повысилась прозрачность управленческих регламентов, их воспроизводимость, что, в итоге, к началу XXI века позволило обеспечить соблюдение стандартов качества ISO 9000 на уровне управления предприятием.

На промышленном предприятии имеются локальные информационные системы (ИС) разного назначения, взаимодействующие между собой с целью поддержания управленческих решений на всех уровнях компетенции.

Миграция локальных внутрипроизводственных компьютерных сетей и ИС с выходами на ИС дочерней компании и структурные подразделения крупного предприятия невозможна без использования ресурсов региональных и глобальных сетей.

В результате создаются корпоративные ИС (КИС). Подобные ИС предоставляют заинтересованному лицу возможность работы как с корпоративной БД, так и с локальными базами данных других структурных подразделений предприятия. В ряде случаев такие пространственно распределенные предприятия, использующие КИС, называют виртуальными предприятиями.

Интеграционные проекты всегда уникальны, поэтому и дорогие, что не всегда оказывается оправданным на практике. Типичные особенности интеграции проектов [54]: синхронизация данных, работа составных приложений и реализация сквозных бизнес-процессов.

Большинство современных корпоративных приложений используют реляционные базы данных как основу для хранения и доступа к прикладным и системным данным [55, 56]. Поэтому часто под интеграцией понимают обмен данными между БД. Целью интеграции становится синхронизация источников данных, с которыми работают различные приложения. Синхронизация данных не означает взаимодействия прикладных процессов и компонентов интегрируемых систем, т.к. имеет место лишь взаимодействие компонентов хранения данных.

Разнообразие целей и задач интегрирования корпоративных приложений привело к большому разнообразию в реализациях программных решений интеграции, имеющих однотипную функциональность, архитектуру, топологию интеграции.

Целесообразно выделить следующие компоненты интегрированной ИС:

— транспортная инфраструктура, проложенная между приложениями;

— адаптеры и коннекторы, привязывающие прикладные системы к транспортной инфраструктуре;

— интеграционный сервер, выполняющий функцию обработки и исполнения вычислительных процедур и процессов, связанных с интеграцией.

Транспортная инфраструктура обеспечивает надежность передачи данных между приложениями и большую гибкость для различных сценариев взаимодействия по сравнению со стандартными сетевыми решениями.

Интеграционный сервер, шлюз или интеграционный брокер, объединенные в единый центральный блок обращения интегрируемых систем и приложений, перераспределяют, обрабатывают и направляют потоки информации.

Централизованное исполнение функций обработки передаваемой информации и данных также означает использование общего репозитория для корпоративных интеграционных бизнес-правил. Правила из общего репозитория обозримы и прозрачны для разработчиков и системных администраторов, могут дополняться и корректироваться при изменении бизнес-процессов и состава вычислительной среды, что позволяет эффективно соединять и динамически управлять принятым интеграционными решением.

Конструирование бизнес–системы невозможно без информационной инфраструктуры, важной составляющей которой является защита информационных активов в составе общих активов предприятия.

Под информационной инфраструктурой следует понимать не только совокупность программно-технических средств и организационноадминистративных мероприятий, обеспечивающих в совокупности безопасную обработку данных и информационное обеспечение бизнес-процессов внутри предприятия, а также адекватные возможности по обмену информацией с внешними организациями, но и информационные системы и сети, научнотехническое обеспечение, технические библиотеки предприятия и саму обрабатываемую информацию.

Поддержка и защита системы управления предприятием подразумевает, прежде всего, поддержку и защиту самих бизнес-процессов и развитие инфраструктурной составляющей бизнес-системы и, в частности, информационной, за счет преодоления инфраструктурной и информационной разобщенности подразделений предприятия. Инвестиции в управление бизнес-процессами могут приносить значительные доходы за счет повышения эффективности работы и ускорения бизнес-процессов, а также за счет повышения рыночной стоимости компании в части ее нематериальных активов (информационных активов в инфраструктурной составляющей нематериальных активов).

Обобщение известных сегодня результатов исследований в области построения систем защиты информации позволило выделить основные перспективные направления процессного подхода, что послужило базисом для формирования новой методологии оценки и оптимизации ИЗИ бизнес-процессов на предприятии.

Необходимость создания оптимальной инфраструктуры СЗИ современных промышленных предприятий обусловлена жесткими требованиями рыночной конкуренции, которые заставляют компании оценивать и внедрять новые методики оптимизации как в основной бизнес-деятельности предприятия, так и в области ИТ и ее интеллектуальной собственности. Особое значение при этом имеет информационная инфраструктура промышленных предприятий, так как ошибки, допущенные при ее формировании, и неумение адаптироваться под новые правила, диктуемые рынком, могут повлечь за собой значительные финансовые потери.

Понятие информационных активов следует использовать в широком смысле, включив в него все техническое и программное обеспечение, патенты, авторские свидетельства и свидетельства на полезные модели, торговые марки и все то, что позволяет работникам предприятия реализовать свой производственный потенциал, а также отношения, сложившиеся между компанией и ее крупными клиентами, государственными структурами, другими хозяйственными субъектами.

На основе оценки влияния возрастающих возможностей новых ИТ на поддержку и защиту бизнес-процессов, состояния существующей организации ИБ, реализации требований к ИЗИ и требований стандартов ИБ в современных бизнес-системах сформулирована научная проблема создания ИЗИ на предприятии, рассматриваемая в монографии. Схема идентификации проблемы построения ИЗИ на промышленном предприятии приведена рис. 1.10.

Научная проблема создания ИЗИ на предприятии заключается в разработке методологии организации ИЗИ на предприятии как целостной системы концептуальных положений, методов, моделей, алгоритмов и практических рекомендаций, обеспечивающих процесс создания и сопровождения системы защиты информации.

Решение сформулированной проблемы позволит обоснованно подходить к организации ИЗИ бизнес-процессов на промышленном предприятии, а также осуществлять оптимальный в смысле заданного критерия синтез структуры и состава СЗИ.

IT-поддержки Требования к инфраструктуре системы Рис. 1.10. Схема идентификации проблемы создания инфраструктуры системы защиты информации на предприятии 1. Определены основные тенденции развития и структурные особенности информационных активов промышленного предприятия во взаимосвязи с его бизнес-процессами.

2. Уточнено понятие информационных активов промышленного предприятия с целью определения направления реализации наиболее вероятных угроз информационной безопасности.

3. Обоснованы принципы организации инфраструктуры защиты информации, ориентированной на поддержку бизнес-процессов промышленного предприятия.

4. Выделены основные перспективные направления процессного подхода, положенные в основу формирования новой методологии оценки и оптимизации ИЗИ бизнес-процессов промышленного предприятия.

Решение сформулированных задач позволит обоснованно подходить к организации ИЗИ бизнес-процессов на промышленном предприятии, а также осуществлять синтез его СЗИ.

ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ

обеспечения информационной безопасности В настоящее время для многих промышленных предприятий очень остро встает вопрос о защите информационных активов от несанкционированного использования, преднамеренного (непреднамеренного) искажения или уничтожения [15].

Информационная безопасность — такое состояние системы, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз, а с другой — ее функционирование не создает информационных угроз для элементов самой системы и внешней среды [57].

Именно такое понятие ИБ положено в основу существующей Доктрины информационной безопасности и законодательства в сфере обеспечения информационной безопасности Российской Федерации (дословно: «Информационная безопасность — это состояние защищенности жизненно-важных интересов общества и государства в информационной сфере от внутренних и внешних угроз»).

Обеспечение ИБ в общей постановке проблемы может быть достигнуто лишь при взаимосвязанном решении трех составляющих:

1. Защита находящейся в системе информации от дестабилизирующего воздействий внешних и внутренних угроз информации.

2. Защита элементов системы от дестабилизирующего воздействия внешних и внутренних информационных угроз.

3. Защита внешней среды от информационных угроз со стороны рассматриваемой системы.

Общая схема обеспечения ИБ может быть представлена как показано на рис. 2.1.

Естественно, что проблемы ИБ являются «производными» относительно более общих проблем информатизации. Поэтому содержание проблем ИБ предприятия должно формироваться в строгом соответствии с содержанием проблем информатизации, а концептуальные подходы к их решению должны рассматриваться в рамках общей концепции информатизации.

Информационные технологии Рис. 2.1. Общая схема обеспечения информационной безопасности К основным концептуальным вопросам информатизации, на базе которых должны решаться и проблемы ИБ, могут быть отнесены:

— сущность информатизации;

— конечные результаты информатизации;

— методы и средства достижения основных результатов информатизации.

Проблема ИБ с технической точки зрения может быть решена имеющимися стандартными способами, т.к. существует огромное множество технических и программных средств, предназначенных для защиты отдельных составляющих информационных активов. С другой стороны (организационноэкономической), нет единого метода построения СЗИ, т.к. никакие из этих средств, даже самые дорогие, не принесут желаемого эффекта, особенно если они будут применяться изолированно, без использования комплексного подхода и экономической оценки уровня защищенности всех информационных активов промышленного предприятия.

Причем, можно говорить только о достаточном уровне безопасности информационных активов предприятия, когда стоимость средств и мер защиты не превышает ценности самих активов, которые, являясь частью нематериальных ресурсов предприятия, способны утратить свою ценность практически мгновенно, и, в итоге, усилия по их защите теряют экономический смысл.

После этапов анализа рисков и определения требуемого уровня защиты формулируется стратегия обеспечения ИБ промышленного предприятия как единой бизнес-системы, включающей разработку и описание следующих комплексных мер и средств защиты [58]:

— законодательные (правовые);

— морально-этические;

— административные (организационные);

— физические средства защиты;

— технические (программно-аппаратные) средства зашиты;

— криптографические средства защиты.

При разработке принципов функционирования информационной инфраструктуры защиты корпоративных бизнес-процессов следует руководствоваться основными принципами ИБ в автоматизированных системах (АС), определенными Гостехкомиссией [37].

Построение концепции ИБ производится в соответствии со следующими принципами:

— системность;

— комплексность;

— непрерывность защиты;

— разумная достаточность;

— гибкость управления и применения;

— простота применения мер и средств защиты.

Принцип системности. Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов:

— при всех видах информационной деятельности, формах и проявлениях информации;

— для всех структурных элементов;

— во всех режимах функционирования;

— на всех этапах жизненного цикла;

— с учетом взаимодействия объекта защиты с внешней средой.

При обеспечении информационной безопасности ИС необходимо учитывать все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников) и пути проникновения в распределенные системы для несанкционированного доступа к информации. Система защиты должна строиться не только с учетом всех известных каналов проникновения, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Принцип комплексности. В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств зашиты компьютерных систем. В частности, это современные средства вычислительной техники, операционные системы (ОС), инструментальные и прикладные программные средства, которые обладают определенными встроенными элементами защиты. Комплексное их использование предполагает согласование разнородных средств при построении целостной системы защиты на предприятии, перекрывающей все прогнозируемые каналы реализации угроз и не содержащей уязвимых мест во взаимодействии отдельных ее компонентов.

Принцип непрерывности защиты. Защита информации — это не разовое мероприятие и даже не конкретная совокупность уже проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС (начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации). Разработка системы защиты должна проводиться параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стоимости) защищенные системы.

Большинству физических и технических средств зашиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка: своевременная замена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п. Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.

Принцип разумной достаточности. Создать абсолютно непреодолимую систему защиты принципиально невозможно: при достаточном времени и средствах можно преодолеть любую защиту. Например, средства криптографической защиты в большинстве случаев не гарантируют абсолютную стойкость, а обеспечивают конфиденциальность информации при использовании для дешифрования современных вычислительных средств в течение приемлемого для защищающейся стороны времени. Поэтому принято говорить о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Поэтому важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска, например по критерию Байеса).

Принцип гибкости системы зашиты. Зачастую приходится создавать систему зашиты в условиях существенной неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровня защищенности средства защиты должны обладать определенной гибкостью. Особенно важно это свойство в тех случаях, когда средства защиты необходимо устанавливать на уже существующую систему, не нарушая процесс ее нормального функционирования. Кроме того, внешние условия и требования с течением времени изменяются. В таких ситуациях свойство гибкости предохраняет владельца АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

Принцип простоты применения средств защиты. Механизмы защиты должны быть интуитивно понятны и просты в эксплуатации. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе разрешенных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей, имен).

Комплексное обеспечение ИБ автоматизированных систем — область науки и техники, охватывающая совокупность криптографических, программноаппаратных, технических, правовых, организационных методов и средств обеспечения безопасности информации при ее обработке, хранении и передаче с использованием современных ИТ [60].

2.2. Концептуальная модель формирования инфраструктуры системы защиты информации на промышленном предприятии Термин «концепция» означает принципы и идеи соответствующей организации работы. Концептуальная модель инфраструктуры защиты информации на промышленном предприятии должна отражать принципиальные подходы к организации такой системы [61–64].

Для построения концептуальной модели выбран метод визуального моделирования с использованием нотации Universal Model Language (UML), что позволяет отобразить процесс моделирования в виде поуровневого (градиентного) спуска от наиболее общей и абстрактной концептуальной модели исходной системы к логической модели (принцип нисходящего проектирования). На рис.

2.2 показаны диаграммы вариантов использования, описывающие функциональное назначение составляющих ИЗИ.

Суть диаграммы вариантов использования состоит в том, что проектируемая система безопасности представляется в форме так называемых вариантов использования (сценариев), с которыми взаимодействуют некоторые внешние сущности (актеры). При этом актером или действующим лицом называется любой объект, субъект или система, взаимодействующая с системой извне. В свою очередь сценарий служит для описания сервисов, которые система предоставляет актеру, т.е. каждый вариант использования определяет некоторый набор действий, совершаемый системой при диалоге с актером.

Рис. 2.2. Концептуальная модель инфраструктуры системы защиты информации бизнес-процессов предприятия При этом не уточняется, каким образом будет реализовано взаимодействие актера с системой и собственно выполнение вариантов использования. Очевидно, в самом общем случае диаграмма вариантов использования представляет собой граф специального вида, который является графической нотацией для представления конкретных вариантов использования, актеров и отношении между этими элементами. Данная модель раскрывает основные функциональные возможности ИЗИ с учетом внешних негативных воздействий на информационные ресурсы.

С другой стороны, для реализации основной функции (обеспечить защиту), показанной на рис. 2.2, учитывая характер возможных угроз, СЗИ должна обладать определенными свойствами. Соответствующая матрица полей целостности СЗИ предприятия показана на рис. 2.3.

Рис. 2.3. Матрица полей целостности системы защиты информации Математически это может быть сформулировано в следующем виде:

где R — обобщенный показатель оценки качества ИЗИ (обобщенный коэффициент защищенности, показывающий уровень отражения атак по всей совокупности возможных угроз); ri — i-й частный показатель оценки качества ИЗИ (частный коэффициент защищенности, показывающий, какая часть атак угрозы iго вида отражается); N — множество частных показателей оценки качества, сводимых в обобщенный показатель; Ki — весовой коэффициент i-го частного показателя качества в аддитивной свертке.

Коэффициент защищенности бизнес-процесса Rб-п может быть представлен выражением:

где Nb — количество наиболее вероятных информационных угроз для b-ой бизнес-операции; ri — коэффициент защищенности от i–ой угрозы; ib — интенсивность потока атак i–го вида угроз на b-ую бизнес-операцию (iNb), для iNb, ib = 0; tb — время выполнения b-ой бизнес–операции; B — количество бизнес– операций в бизнес-процессе; pb — вероятность выполнения бизнес-операции b в бизнес-процессе.

2.3. Оптимизация инфраструктуры системы защиты информации на промышленном предприятии Для постановки задачи оптимизации инфраструктуры защиты информации на промышленном предприятии необходимо ввести частные математические модели.

Модель минимизации затрат на построение инфраструктуры ЗИ. Данная модель может быть представлена в виде задачи целочисленного программирования с булевыми (двоичными) переменными.

Пусть xij = 1, если i-е средство ЗИ разработчик выбирает для защиты j-го информационного актива, и xij = 0 — в противном случае (при этом допускается, что i-е средство используется для защиты от i-ой угрозы). Требуется минимизировать затраты:

при соблюдении системы ограничений:



Pages:     || 2 | 3 |


Похожие работы:

«Федеральное агентство по образованию Тверской государственный технический университет 85-летию Тверского государственного технического университета посвящается Н.И. Гамаюнов, С.Н. Гамаюнов, В.А. Миронов ОСМОТИЧЕСКИЙ МАССОПЕРЕНОС Монография Тверь 2007 УДК 66.015.23(04) ББК 24.5 Гамаюнов, Н.И. Осмотический массоперенос: монография / Н.И. Гамаюнов, С.Н. Гамаюнов, В.А. Миронов. Тверь: ТГТУ, 2007. 228 с. Рассмотрен осмотический массоперенос в модельных средах (капиллярах, пористых телах) и реальных...»

«1 О.А. Печенкина Этика симулякров Жана Бодрийяра (анализ постмодернистской рецепции этического) Жан Бодрийяр Симулякры и симуляция 2 87.7 П31 П31 Печенкина, О.А. Этика симулякров Жана Бодрийяра (анализ постмодернистской рецепции этического)/О.А. Печенкина. – Тула: Тульский полиграфист, 2011. – 204 с. Рецензенты: доктор философских наук, профессор В.Н. Назаров (ТГПУ им. Л.Н. Толстого), доктор философских наук, профессор А.Л. Золкин (Московский университет МВД России) В монографии раскрываются...»

«А.С. Тимощук ЭСТЕТИКА ВЕДИЙСКОЙ КУЛЬТУРЫ Монография Владимир 2003 УДК2 (075.8) ББК 86 Т 41 В текст монографии включена статья Проблемы интерпретации расы, написанная при участии Дворянова С.В. Тимощук А.С. Эстетика ведийской культуры: Монография. ВЮИ Минюста России. Владимир, 2003. 140 с. ISBN 5-93035-061-2 Предназначена для тех, кто интересуется эстетикой традиционного общества. В книге обсуждаются эстетические ориентиры классического ведийского общества и их модификация в региональной...»

«АЛЬФА-ФЕТОПРОТЕИН ББК 53.53 УДК 616 А 59 Черешнев В. А., Родионов С. Ю., Черкасов В. А., Малютина Н. Н., Орлов О. А. Альфа-фетопротеин. Екатеринбург: УрО РАН, 2004. – 376 с. В монографии отражены современные данные о строении, биологической активности, механизмах действия сывороточного белка крови альфа-фетопротеина (АФП). АФП является тонким регулятором гомеостаза в физиологических условиях и при развитии патологических процессов. В книге представлены результаты экспериментальных и клинических...»

«Ю.А.НИСНЕВИЧ ИНФОРМАЦИЯ И ВЛАСТЬ Издательство Мысль Москва 2000 2 УДК 321: 002 ББК 66.0 Н69 Книга выпускается в авторской редакции Нисневич Ю.А. Н 69 Информация и власть. М.: Мысль, 2000. – 175с. ISBN 5-244-00973-7 Монография посвящена системному исследованию информационной политики как феномена, оказывающего существенное влияние как на модернизацию экономических, социальных, культурных, научнотехнических условий жизнедеятельности общества, так и его общественнополитическое устройство,...»

«Федеральное агентство по образованию РФ Омский государственный университет им. Ф.М. Достоевского Федеральное агентство по культуре и кинематографии РФ Сибирский филиал Российского института культурологии Н.Ф. ХИЛЬКО ПЕДАГОГИКА АУДИОВИЗУАЛЬНОГО ТВОРЧЕСТВА В СОЦИАЛЬНО-КУЛЬТУРНОЙ СФЕРЕ Омск – 2008 УДК ББК РЕЦЕНЗЕНТЫ: кандидат исторических наук, профессор Б.А. Коников, кандидат педагогических наук, профессор, зав. кафедрой Таганрогского государственного педагогического института В.А. Гура, доктор...»

«Г.В. ЧУБУКОВ ЗЕМЕЛЬНОЕ ПРАВО РОССИИ УЧЕБНИК ДЛЯ СТУДЕНТОВ ВЫСШИХ УЧЕБНЫХ ЗАВЕДЕНИЙ, ОБУЧАЮЩИХСЯ ПО СПЕЦИАЛЬНОСТИ ЮРИСПРУДЕНЦИЯ МОСКВА 2002 ISBN5-891 94-1 О1 -5 ББК 67.99(2)5 Чу81 9 785891941014 Чубуков Г.В. — Заслуженный деятель науки Российской Федерации, доктор юридических наук, профессор, заведующий кафедрой природоресурсного и предпринимательского права Юридического института Московского государственного университета путей сообщения (МИИТ), действительный член Международной академии наук...»

«Оксана Лаврова ЛЮБОВЬ В ЭПОХУ ПОСТМОДЕРНА Ad hoc коучинг о людях До востребования 2010 ББК УДК Рецензенты: Решетников Михаил Михайлович – профессор, доктор психологических наук, ректор Восточно-Европейского ин-та психоанализа (СанктПетербург), Президент Европейской Конфедерации Психоаналитической Психотерапии (Вена); Филонович Сергей Ростиславович – профессор, доктор физ.-мат. наук, декан Высшей Школы менеджмента гос. ун-та Высшей Школы Экономики (Москва). Рекомендовано к печати. Лаврова...»

«1 МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ НОВГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИМЕНИ ЯРОСЛАВА МУДРОГО РОССИЙСКАЯ АКАДЕМИЯ ЕСТЕСТВЕННЫХ НАУК ЕВРОПЕЙСКАЯ АКАДЕМИЯ ЕСТЕСТВЕННЫХ НАУК ОБЩЕСТВО ГЕРОНТОЛОГОВ КАЗАХСТАНА С. А. САЛЕХОВ ПСИХОЭМОЦИОНАЛЬНАЯ ИНФОРМАЦИОННО-ЭНЕРГЕТИЧЕСКАЯ ТЕОРИЯ ОЖИРЕНИЯ Монография ВЕЛИКИЙ НОВГОРОД - АЛМАТЫ УДК 613.25...»

«Ф. А. УРУСБИЕВА К А Р А Ч А Е В О - Б А Л К А Р С К А Я СКАЗКА ВОПРОСЫ ЖАНРОВОЙ т и п о л о г и и Владикавказ 2 0 1 0 ББК 63.5 У 15 У 15 Урусбиева Ф. А. Карачаево-балкарская сказка. Вопросы жанровой типологии: Монография. УРАН Сев.-осет ин-т гум. и соц. исслед. Владикавказ: НПО СОИГСИ, 2010. 128 с. ISBN 978-5-91480-070-0 Рецензенты: докт. филол. наук З.Ж. Кудоева канд. ист. наук Э.Ф. Кисриев В оформлении обложки использована работа художника Б. Дзиуаты. ISBN 978-5-91480-070-0 © Урусбиева Ф.А.,...»

«Министерство образования и науки Российской Федерации Дальневосточный федеральный университет А.М. Кузнецов, И.Н. Золотухин Этнополитическая история Азиатско-Тихоокеанского региона в ХХ – начале ХХI вв. Владивосток Издательство Дальневосточного федерального университета 2011 1 http://www.ojkum.ru/ УДК 323.1 ББК 66.5(0) К 89 Работа выполнена в рамках Аналитической ведомственной целевой программы Развитие научного потенциала Высшей школы Рецензенты: М.А. Фадеичева, доктор политических наук,...»

«Министерство образования и науки Российской Федерации Горемыкин В.А., Лещенко М.И., Соколов С.В., Сафронова Е.С. Инновационный менеджмент Монография Москва 2012 УДК 338.24 Горемыкин В.А., Лещенко М.И., Соколов С.В., Сафронова Е.С. Инновационный менеджмент. Монография. – М.: 2012 – 208 с. Рассмотрены вопросы управления инновациями, включающие инновационное проектирование, оценку эффективности инноваций и инвестиций и управление их проектами. Изложены основы инновационного планирования....»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное агентство по образованию Государственное образовательное учреждение высшего профессионального образования Пензенский государственный университет архитектуры и строительства Г.Г. Болдырев МЕТОДЫ ОПРЕДЕЛЕНИЯ МЕХАНИЧЕСКИХ СВОЙСТВ ГРУНТОВ. СОСТОЯНИЕ ВОПРОСА Пенза 2008 УДК 624.131.43 ББК 38.58 Б79 Рецензенты: доктор технических наук, про фессор М.В. Малышев (Мос ковский государственный строительный университет); кандидат технических...»

«Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека Федеральное государственное учреждение науки Федеральный научный центр медико-профилактических технологий управления рисками здоровью населения Н.В. Зайцева, М.А. Землянова, В.Б. Алексеев, С.Г. Щербина ЦИТОГЕНЕТИЧЕСКИЕ МАРКЕРЫ И ГИГИЕНИЧЕСКИЕ КРИТЕРИИ ОЦЕНКИ ХРОМОСОМНЫХ НАРУШЕНИЙ У НАСЕЛЕНИЯ И РАБОТНИКОВ В УСЛОВИЯХ ВОЗДЕЙСТВИЯ ХИМИЧЕСКИХ ФАКТОРОВ С МУТАГЕННОЙ АКТИВНОСТЬЮ (на примере металлов, ароматических...»

«ББК 56.1 С 25 Свядощ А. М. Женская сексопатология, Изд-во Штиинца, 1991. Монография написана видным ленинградским ученым доктором медицинских наук, профессором А.М. Свядощем, работы которого в области сексопатологии и неврозов получили известность как в СССР, так и за рубежом. Первое издание книги вышло в 1974 г. в издательстве Медицина (Москва) и в 1978 г. было переведено на венгерский язык и издано в Будапеште. В пятом издании автор на основании клинических наблюдений и анализа современной...»

«Вестник МГТУ, том 14, №1, 2011 г. стр.17-24 УДК 378.4 Об одном примере международного сотрудничества А.М. Ершов1, Ю.Т. Глазунов1, А.И. Кибиткин2 1 Технологический факультет МГТУ, кафедра технологии пищевых производств 2 Экономический факультет МГТУ, кафедра финансов, бухгалтерского учета и управления экономическими системами Аннотация. В 2004 г. между Мурманским государственным техническим университетом (Россия) и Высшей гуманитарно-экономической школой в Эльблонге (Польша) был заключен договор...»

«Федеральное агентство по образованию Государственное образовательное учреждение высшего профессионального образования Ухтинский государственный технический университет ТИМАНСКИЙ КРЯЖ ТОМ 2 Литология и стратиграфия, геофизическая характеристика Земной коры, тектоника, минерально-сырьевые ресурсы Монография УХТА-2009 Геофизическая характеристика земной коры Издана Ухтинским государственным техническим университетом при участии: Российской академии естественных наук Коми регионального отделения;...»

«В.И. НЕЧАЕВ, Е.И. АРТЕМОВА, И.А. БУРСА, А.К. КОЧИЕВА     НАПРАВЛЕНИЯ НАУЧНО-ТЕХНИЧЕСКОГО ПРОГРЕССА В ЖИВОТНОВОДСТВЕ Краснодар, 2011 УДК 316.422.4:636 ББК 66.017.77 Н 27 Рецензенты: доктор экономических наук, профессор А. Б. Мельников; доктор технических наук, кандидат экономических наук, профессор Ю. И. Бершицкий Нечаев В. И., Артемова Е. И., Бурса И. А., Кочиева А. К. Н 27 Направления научно-технического прогресса в животноводстве: Монография / Под ред. д.э.н. профессора В.И. Нечаева. –...»

«Министерство природных ресурсов Российской Федерации Федеральное агентство лесного хозяйства ФГУ НИИ горного лесоводства и экологии леса (ФГУ НИИгорлесэкол) Н.А. БИТЮКОВ ЭКОЛОГИЯ ГОРНЫХ ЛЕСОВ ПРИЧЕРНОМОРЬЯ Сочи - 2007 УДК630(07):630*58 ББК-20.1 Экология горных лесов Причерноморья: Монография / Н.А.Битюков. Сочи: СИМБиП, ФГУ НИИгорлесэкол. 2007. -292 с., с ил. Автор: Битюков Николай Александрович, доктор биологических наук, заслуженный деятель науки Кубани, профессор кафедры рекреационных...»

«ФГУП Российский федеральный ядерный центр – Всероссийский научно-исследовательский институт экспериментальной физики Д. Ю. Файков Закрытые административнотерриториальные образования Атомные города Монография Саров 2010 ББК 31.4 УДК 621.039(1–21) Ф 17 Файков Д. Ю. Закрытые административно-территориальные образования. Атомные города. Монография. – Саров: ФГУП РФЯЦ-ВНИИЭФ, 2010. – 270 с. ISBN 978-5-9515-0148-6 Монография посвящена рассмотрению закрытых административнотерриториальных образований,...»






 
2014 www.av.disus.ru - «Бесплатная электронная библиотека - Авторефераты, Диссертации, Монографии, Программы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.