Содержание к диссертации
Введение
Глава 1. Основы государственного управления политикой информатизации РМД 11
1.1. Макроэкономическая роль рынка долговых обязательств и основы его государственного регулирования 11
1.1.1. Роль рынка в развитых, странах 12
1.1.2. Основные задачи, концепции и метолы государственного регулирования рынка 16
1.1.3. Основные принципы государственного регулирования РМД в России 20
1.2. Информационная прозрачность РМД и его эффективность 22
1.3. Информатизация РМД в России 28
1.3.1. Современные тенденции в мировой практике процесса информатизации рынка 28
1.3.2. Факторы информатизации РМД в России 30
1.3.3. Концепция информатизации РМД 35
1.3.4. Основные направления государственной политики по информатизации РМД 36
Глава 2. Информационная инфраструктура РМД. Информационная безопасность на РМД ... 39
2.1. Информационная инфраструктура РМД 39
2.4.1. Понятие, основные функции и механизмы инфраструктуры РМД 41
2.4.2. Программно-технологическая инфраструктура РМД 44
2.4.3. Концепция создания информационной инфраструктуры РМД 46
2.4.4. Информационно-аналитическая система профессионального участника РМД 48
2.4.5. Структура профессионального участника РМД 51
2.4.6. Структура информационных ресурсов РМД 54
2.4.7. Единое информационное пространство 55
2.4.8. Информационная безопасность РМД 59
2.2. Стандарты информационной безопасности 61
2.2.1. "Оранжевая книга" Министерства обороны СШЛ 63
2.2.2. Гармонизированные критерии европейских стран 67
2.2.3. Государственная политика России в области информационной безопасности 70
2.2.4. Особенности информационной безопасности распределенных систем 75
2.3. Практический подход к созданию режима информационной безопасности РМД 76
2.3.1. Законодательный аспект 78
2.3.2. Управленческий аспект 80
2.3.3. Операционный аспект 82
2.3.4. Программно-технический аспект 84
Глава 3. STRONG Системы хранения и обработки информационных ресурсов. Методология принятия
управленческих решений STRONG 88
3.1. Системы хранения и обработки информационных ресурсов РМД 88
3.1.1. Системы баз данных 88
3.1.2. Централизованное управление данными 90
3.1.3. Распределенные системы паз данных 93
3-1.4. Архитектура клиент/сервер 96
3.1.5. Реллдионные системы баз данных 97
3.1.6. Проектирование баз данных 99
3.1.6. Семантическое моделирование оаз данных 101
3.1.7, Модель типа объект/отношение 103
3.2. Методология принятия управленческих решений на РМД 109
3.2.1. Приложение Loader 117
3.2.2. Приложение AuctionLoader 121
3.2.3. Приложение DebtGraph 127
3.2.4. Приложение YieldCurve 130
Заключение 133
- Основные задачи, концепции и метолы государственного регулирования рынка
- Информационно-аналитическая система профессионального участника РМД
- Практический подход к созданию режима информационной безопасности РМД
- Централизованное управление данными
Введение к работе
Продолжающаяся революция в области информационных технологий остается основной движущейся силой глобализации экономики и се дематериалиации: перехода к более эффективной и не связанной с расходом материальных ресурсов сфере обслуживания н информационной составляющей производимых продуктов. Информационные и телекоммуникационные технологии и средства их обеспечения в настоящее время по-прежнему находятся на пике своего интенсивного развития.
Переход к информационно развитому обществу, основанный па производстве и торговле в области нематериальных услуг и знаний, представляет собой "фазовое изменение" в развитии человечества - создает потенциал для дальнейшего экономического роста, а гакже высокого уровня личного и группового благосостояния - без оіраничений, связанных с физическим потреблением или транспортировкой материальных ресурсов. В данной модели переход к информационно насыщенной экономике сочетается с переходом от национальной к глобальной экономической интеграции. Позитивный эффект проявляется именно от сочетания этих двух процессов: развития информационных технологий и продолжающейся либерализации мировой торговли. Помимо этого, поскольку сфера информационного обслуживания не заменяет промышленного и сельскохозяйственного производства, а внедряется в них, эти сферы будут становиться все более информационно насыщенными.
В настоящее время в России постепенно создается технологическая база информационно развитого рынка муниципального долга (далее - РМД). В связи с этим государству необходимо сформулировать концепцию его построения, в которой были бы определены роль и место основных действующих лиц - государства, коммерческого сектора экономики, а также индивидуальных инвесторов. Концепция информатизации РМД должна дать целостное видение целей и задач экономического развития, предложить конкретные при их достижения.
Проблемы формирования информационно развитого РМД в России по сути имеют много общего с аналогичными процессами в других странах, что объясняется быстрым распространением новейших информационных технологий, а также глобализацией мировых информационно-технологических рынков. Различия связаны с географической протяженностью страны, недостаточно развитой информационной инфраструктурой, общим переходным состоянием экономики. Вместе с тем, можно констатировать, что за последи истоды достигнут существенный прогресс в развитии телекоммуникаций, информатизации государственных и коммерческих организаций, ігнформационном закоіголательсгве. Этот прогресс позволяет говорить о своевременности перехода от политики, направленной на развитие отдельных отраслей информационной индустрии, связи, компьютерного и информационного рынков, к формированию общей стратегии вхождения к информационное общество.
Главная задача на сегодняшний день состоит в том, чтобы создать такое сочетание государственного регулирования и рыночных механизмов, которое привело бы к повышению эффективности РМЛ, рост}' информационного сектора экономики в целом.
Таким образом, актуальность исследуемой в диссертации темы обусловлена продолжающимся глобальным процессом информатизации всех сфер человеческой деятельности, в том числе экономической и финансовой. Без учета новейших тенденций в данной сфере невозможно эффективное функционирование РМЛ, выполнение им своих макроэкономических функций - обеспечение гибкого межотраслевого перераспределения инвестиционных ресурсов и максимально возможного притока инвестиций в отечественную экономику.
Б этой же связи, все более насущный характер приобретает задача обеспеченна информационной безопасности самого рынка, а также всех его участников. Процесс обеспечения информационной безопасности в своем развитии проходит множество этапов в зависимости от потребностей государства, возможностей, методов и средств добывания информации, правового режима в государстве, а также его реальных усилий по обеспечению защиты информации. В настоящее время важность проблемы обеспечени информационной безопасности на РМД очевидна для подавляющего большинства профессиональных участников рынка, а также рядовых инвесторов. Однако, очевидной также является и сложность данной проблемы, проистекающая как из сложности и разнородности современных информационных систем, так и из необходимости комплексного подхода к безопасности с привлечением законодательных, административных и программно-технических мер.
Актуальность исследуемой в диссертации темы вытекает также из следующею факта. Информационные ресурсы РМД являются предметом его информатизации и играют жизненно важную роль в процессе эффективного функционирования рынка. Б этих условиях необходимо изучение основных принципов создания и функционирования информационных систем - систем хранения и обработки информационных ресурсов, яв.іяюшихся, в частности, одним из ключевых компонентов единого рыночного информационною нросгранства. Без понимания принципов функционирования систем, реализующих процессы хранения и обработки информационных ресурсов невозможно провести полный и адекватный анализ различных путей процесса информатизации.
В связи с вышесказанным, представляется весьма актуальным изучение технологии систем баз данных - доминирующего инструмента хранения и обработки информационных ресурсов, концепции централизованного управления данными, принципов построения распределенных систем, реляционных систем баз дэешых, а также концепции логического проектирования баз данных, одной из основных задач которого является поддержка принятия управленческих решений.
При написании диссертации были изучены труды российских специалистов в области информатизации и эффективности фракционирования рынка ценных бумаг, а также его государственного регулирования: Ершовой Т.В., Клеіцева Н.Т., Костикова И.В., Мелюхииа II,, Миркина Я.М., Нисневича Ю.А., Овчинникова В., Родионова И.И., Соколова Д.В., Харченко А.Ф. и др.
Большое внимание при исследовании опыта развитых сіран было уделено работам зарубежных авторов в следующих областях; проблематики рынка государственного лолга и его информатизации: R.Amdursky, P.Din, C.GUiette, R.Lamb, S.K.McLean, G.Pola, S.P.Rappaport, P.B.Spahn, T.Ter-Minassian; создания и оптимизации систем хранения п обработки информационных ресурсов: P.P.-S.Chen, E.F.Codd, С.}.Date, K.Getz.
В качестве источников данных для диссертации были использованы публикации в периодических изданиях "Мировая экономика и международные отношения", "Открытые системы", "Рынок ценных бумаг", "Системы управления базами данных", исследования и отчеты Международного Валютного Фонда, Мирового Банка, статистические данные отчетов Центрального Банка России, Госкомстата РФ, Министерства финансов РФ, Федеральной комиссии по рынку ценных бумаг, Министерства обороны США, профессиональных участников рынка ценных бумаг России - Санкт-Петербургской валютной биржи, Фондовой биржи "Санкт-Петербург", а также материалы различных конференций и симпозиумов, посвященных проблематике настоящей диссертации.
Главной целью диссертации является решение теоретических и методических вопросов создания информационно развитого РМД в России как важнейшего инструмента повышения эффективности принятия управленческих решений всеми ею участниками. Д\я достижения назначенной цели были сформулированы следующие задачи: рассмотреть макроэкономическую роль РМД и проанализировать основные принципы и задачи государственного регулирования процесса ею информатизации; проанализировать вопрос зависимости эффективности функционирования рынка и эффективности принятия управленческих решении его участниками от степени информационной открытости рынка; оценить позитивные и негативные факторы, обуславливающие в настоящее время процесс информатизации РМД в России, определить принципы его осуществления; рассмотреть основные принципы создания, функции и механизмы информационной инфраструктуры рынка; изучить проблему обеспечения информационной безопасности на РМД и обосновать практические рекомендации в отношении ее создания; проанализировать структуру информационных ресурсов рынка, а также системы их хранения и обработки; - рассмотреть основы проектирования, построения и использования важнейшего в настоящее время инструмента хранения и обработки информационных ресурсом - систем баз данных; - разработать программные продукты, использование которых направлено на совершенствование информационного обеспечения РМД.
Основным объектом исследования является процесс создания информационно развитого РМД. Предметом исследования ян.инотся главные принципы разнития процесса информатизации РМД, а также теоретические основы принятия управленческих решений, касающихся различных аспектов его функционирования.
Работа состоит из введения, трех глав и заключения. Построение глав диссертации обусловлено поставленными целями и задачами.
В первой главе - "Основы государстенного управления политикой информатизации РМЛ" - рассмо'фены, в основном, теоретические и методологические вопросы. Изучена макроэкономическая роль РМД, рассмотрена проблема влияния информационной прозрачности рынка на его эффективность, проанализированы основные принципы государственного регулирования процесса информатизации рынка. Помимо этого, проведена оценка факторов, способствующих процессу информатизации рынка в России, а также факторов, имеющих негативное влияние на данный процесс.
Во второй главе - "Информационная инфраструктура РМД. Информационная, безопасность РМД" внимание исследования сосредоточено на устройстве, основных функциях и принципах функционирования информационной инфраструктуры рынка, структуре его информационных ресурсов. Особое внимание уделено вопросу обеспечения информационной безопасности, рассматриваются ее существующие мировые стандарты, а также различные аспекты, в том числе управленческий, построения практического подхода к созданию эффективного режима информационной безопасности на РМД.
В третьей главе - "Системы храпения и обработки информационных ресурсов. Методология принятия управленческих решений" - в широком плане с учетом методологических аспектов рассматриваются принципы организации современных систем хранения и обработки информационных ресурсов - баз данных, а также анализируются важнейшие принципы их проектирования и моделирования. Кроме этого, предлаї-ается ряд программных продуктов, разработанных для использования на РМД в целях повышения степени его информатизнрованпости, и, в конечном счете, в целях роста эффективности процесса принятия управленческих решений.
В заключении диссертации делаются выводы о возрастающем глобальном влиянии процесса информатизации, намечаются основные направления создания информационно развитого РМД в России.
Вклад автора в проведенное исследование заключается в следующем: - рассмотрена макроэкономическая роль РМД, а также основные задачи и принципы его государе гве нн ого р е гул ирования; систематизированы основные направления и цели государственной политики в сфере информатизации РМД, детально проанализирована концепция создания единого информационного пространства, как одной из важнейших целей информатизации РМД; проведен анализ соответствия информационной открытости рынка и эффективности его функционирования; выделены характерные признаки информационно развитого РМД; рассмотрены понятие, задачи и механизмы информационной инфраструктуры РМД: определены основные проблемы, связанные с использованием автоматизированных информационных технологий, а гаюке с оценкой экономической эффективности информационных технологий; - рассмотрены существующие мировые стандарты и критерии информационной безопасности на рынках ценных бумаг, предл ожена концепция формирования и поддержан и я информационной безопасности на РМД; - изучены принципы построения и функционирования систем хранения и обработки информационных ресурсов рынка; рассмотрен вопрос централизованного управления данными и клиент/ серверная архитектура; - проанализированы основы использования систем баз данных, в том числе реляционных, а также важнейшие концепции их проектирования и построения - семантическое моделирование и модель типа объект/отношение.
Научная новизна диссертационного исследования состоит в следующем - разработана концепция создания информационной инфраструктуры РМД; обоснованы подходы и принципы выявления задач создания единого информационного пространства РМД; выявлена система факторов, обуславливающих процесс информатизации РМД; разработаны основные принципы создания режима информационной безопасности, рассмотрены законодательный, управленческий, операционный и нроіраммно-тсхническнії аспекты данного процесса; - спроектирована логическая структура базы данных, хранящей данные о РМД, использованной в качестве необходимого инструмента для принятия управленческих решений, касающихся функционирования рынка.
Практическая значимость диссертационного исследования состоит, прежде всего, в том, что использование на практике разработанных в ней теоретических и методических положений, а также представленных автором программных продуктов будет способствовать решению ключевой экономической задачи - создания информационно развитого РМД; формированию алекватной системы его государственного регулирования; повышению эффективности процесса принятия управленческих решений.
Основные задачи, концепции и метолы государственного регулирования рынка
В свете рассмотренной выше важности роли РМД в условиях осуществления процесса глобального развития го суд ар с та, очевидна необходимость его эффективного государственною регулирования, являющегося главным инструментом государственной политики на этом рынке. Предо является обоснованным рассмотреть классификацию основных стратегических задач такой политики, предлагаемую специалистами ФКЦБ России на основе анализа функционирования рынков муниципального долга в развитых зарубежных странах:
- создание условий для финансирования дефицита государственного бюджета на основе связанных с рынком методов не инфляционного финансирования государственных расходов; - создание и обеспечение эффективного функционирования механизма привлечения инвестиция в частный сектор национальной экономики;
- повышение эффективности функционирования рынка и его интеграция и мировой фондовый рынок с сохранением самостоятельного места национального рынка н системе международных рынков капиталов;
- обеспечение условий и создание надежных механизмов инвестирования средств населення;
- установление правил поведения на рынке для его участников, контроль за финансовой устойчивостью участников рынка и обеспечение защиты прав инвесторов и прочих участников рынка;
- предотвращение негативного воздействия на фондовый рынок других видов государственного регулирования (монетарного, фискального);
- предупреждение чрезмерного развития рынка, отвлекающего часть денежного і ірсддожения инвестиционных ресурсов на покрытие непроизводительных расходов государства. [16, ор. 196-197]
Несмотря на то, что государегеенное реагирование РМД выполняет важные политические функции, оно должно формироваться в четком соответствии с необходимостью обеспечить эффективное выполнение рынком ряда экономических функций, определяющих экономические задачи его регулирования.
Основной стратегической задачей всей системы государственного регулирования рынка является формирование и обеспечение неукоснительного соблюдения таких правил деятельности всех его субъектов, ири которых рынок ценных бумаг наиболее эффективно выполняет свои основные макроэкономические функции - мобилизацию свободных ресурсов для развития экономики и формирование доходных и надежных инструментов сбережения д\я населения. При этом необходимо отметить, что в основе функционирования рынка лежит добровольное вложение инвесторами денежных средств в инструменты рынка. В связи с этим главной практической задачей государственного регулирования, от решения которой зависит само существование рынка, является обеспечение доверия инвесторов к рынку.
Поскольку рынок ценных бумаг вообще, и РМД, в частности, является одним из основных механизмов аккумуляции и перераспределения финансовых ресурсов в экономике страны, при формировании режима его регулирования необходимо также учитывать и
комплекс конкретных экономических и политических задач государства. Б частности, эти задачи выражают необходимость формирования такого государственного контроля, который бы обеспечивал прозрачность и управляемость финансовых потоков в государствен юй экономике - то есть способность государства влиять на финансовые потоки в соответствии с установленным им самим приоритетами. [20]
По мнению аналитиков Международного валютного фонда, принципы взаимоотношений между центральным правительством, с одной стороны, и муниципальными органами власти, с другой, в вопросах государственного регулирования рынка муниципального долга существенно отличаются друг от друга в различных странах, отражая характерные для каждой страны систему взаимоотношений правительственных органов разных уровней и баланс политических сил. Рассматривая данные принципы, можно подразделить их на четыре основных типа:
- использование концепции "совершенного рынка" как единственного или основного регулятора;
- взаимодействие различных уровней центральных и муниципальных властей, обеспечивающее установление правил заимствования и осуществление контроля за рынком;
- законодательное регулирование;
- прямое административное регулирование. [62, стр. 2-3]
Каждый из рассмотренных типов государственного регулирования рынка муниципального долга имеет своп преимущества и недостатки. Их баланс определяется степенью соответствия каждого типа регулирования принятой системе распределения государственных ресурсов, перераспределения доходов и макроэкономического управления, а также экономическим, политическим и социальным факторам конкретной страны.
В условиях продолжающегося и расширяющегося процесса децентрализации и большинстве развитых европейских странах, наибольшую эффективность приобретает взаимолспспяіс различных уровней центральной, региональной и местной власти, обеспечивающее установление правил заимствования и осуществление контроля за рынком.
Б соответствии с классификацией, существующей и развитых странах, в зависимости от специфики деятельности различных участников РМД различают два вида методов его государственного регулирования: методы функционального и институционального регулирования. [20J
Методы институционального регулирования связаны, прежде всего, с регулированием финансового положения конкретных финансовых институтов и качеством управления ими. Институциональное регулирование, таким образом, направлено на предупреждение финансовой несостоятельности объектов реіулирования, и по этой причине охватывает все аспекты деятельности конкретных организаций с точки зрения их влиянии на финансовое положение объектов реіулирования. Институциональное регулирование является основой регллнрованид банковской деятельности, однако широко применяется и на рынке ценных бумаг в тех случаях, когда специфика конкретных видов профессиональной деятельности делает необходимым контроль за финансовым положением участников рынка в целях защиты прав инвесторов и других субъектов рынка. К числу таких видов деятельности относится, например, хранение и обслуживание пенных бумаг.
Информационно-аналитическая система профессионального участника РМД
Любой участник РМД является автономной единицей, действующей и безграничном финансово-экономическом пространстве. В связи с этим, одна из основных задач, стоящих перед участниками рынка - умение должным образом ориентироваться в огромном объёме информации, комплексно оценивать ситуацию и своевременно реагировать на се изменения. Б современной рыночной среде скорость и качество обработки информации стали играть важную роль в процессе принятия управленческих решений в условиях конкурентной борьбы. Всё большее внимание уделяется не только статистическому анализу, но и детальному прогнозированию будущего положения банка или инвестиционной компании. Это определяет необходимость собственной информационно-аналитической системы участника РМД.
Информационно-аналитическая система профессионального участника РМД осуществляет замкнутый, комплексный, последовательный процесс действий, направленных на сбор, обработку, анализ и оценку информации.
При построении логически замкнутой информационно-аналитической системы необходимо руковолствоваться следующими принципами:
- объединение всех информационных процессов внутри организации;
- встраивание системы в уже сложившуюся организационную структуру;
- открытость системы для дальнейшего развития;
- комплексное использование всех доступных методов анализа;
- информационная этика - "от каждого - в общий фонд, из фонда - каждому". [46] Информационно-аналитическая система участника рынка должна включать в себя и объединять в единое целое следующие элементы:
- добывающие структуры - источники информации; - блоки сбора, обработки, анализа и предоставления информации;
- блоки оперативной оценки и предоставления информации;
- блоки управления информационно-аналитической системой.
На входе информационно-аналитической системы информационные потоки распределяется но функциональным блокам, где они детально обрабатываются для выявления ключевых параметров и показателей. На следующем этапе обработанные информационные материалы распределяются и анализируются внутри системы. Далее отфильтрованная информация с ответами на поставленные вопросы представляется в удобной форме и распределяется между потребителями. Наконец, информация, подвергнутая окончательной экспертной оценке, поступает руководству в виде рекомендаций, обеспечивая поддержку принятия управленческих решений.
В информационно-аналитической системе должно чётко прослеживаться различие между информацией оперативного и долгосрочного стратегического управления. Это связано с тем, что можно выделить два уровня организационного управления: тактический, или текущий, и стратегический. Стратегический уровень, возможно, требует менее оперативной, но более интегрированной информации, в то время как тактический - детальной п оперативной ип формации.
Источниками информации для информационно-аналитической системы являются 1) все внутренние источники информации; 2) все независимые внешние по отношению к участнику рынка источники информации. Сопоставление внутренней и внешней информации даёт комплексную картину положения участника рынка и позволяет принимать управленческие решения относительно его дальнейшей деятельности. [46]
При составлении управленческих схем информационных потоков участника рынка представляется обоснованным применение простейшей коммуникационной системы: источник информации — передатчик информации — приемник информации — пользователь информации. При использовании такой системы значительно снижается степень риска возникновения информационных нгумов, что для участника рынка означает снижение степени финансовых рисков, связанных с ошибками прохождением информации внутри системы, Помимо этого, подобная система будет способствовать повышению унификации проходящих в системе сигналов (задачей унификации является снижение объема информационных потоков, up и этом система реагирует лишь на нестандартные ситуации, в то время как стандартные обрабатываются и обычном режиме) и позволит повысить скорость обработки информации, а, соответственно, увеличить возможности основных функциональных подразделений организации. Помимо этого, унификация и увеличение скорости прохождеЕіия сигнала является фактором снижения цены обработки информации. [12]
На базе анализа информационных потоков профессионального участника рынка может быть предложена коммуникационная схема, являющаяся максимально простой, состоящей из двух коммуникационных каналов: горизонтального и вертикального. Горизонтальный коммуникационный канал состоит из следующих этапов прохождения информации: источник (брокер) — передатчик (отдел по работе с клиентскими счетами) — приемник (отдел исполнения операций) — передатчик (отдел корреспондентских отношений) - пользователь (дилер). Данный канал также включает прохождение информации в противоположном направлении. Вертикальный коммуникационный канал состоит из следующих этапов: источник (бухгалтер) — передатчик (отдел по работе с клиентскими счетами/ отдел корреспондентских отношений) — приемник (отдел нсполнения операций) — пользователь (финансовый контролер/финансовое управление). При этом, вертикальный канал так же как и горизонтальный включает в себя и информационный поток противоположного направления.
Наличие двух основных информационных каналов позволяет реализовать преимущества, присущие соответствующим типам управленческих структур. Гак, горизонтальный канал отражает функционирование децентрализованных структур, позволяет эффективно действовать в условиях быстро изменяюищхся ситуаций, что характерно для фондового рынка. При этом, в структуре данного коммуникационного канала предусмотрено существование центрального звена для сортировки и передачи информации, что также резко снижает объем передаваемых данных и ускоряет процесс их обработки и реагирования. Существование горизонтального канала освобождает непосредственно брокера или дилера от жесткого оіраннчения действий, повышает эффективность его функционирования на рынке. Вертикальный коммуникационный канал, присущий главным образом централизованным структурам, необходим профессиональному участнику РМД для осуществления единого контроля за положением фирмы в целом на финансовом рынке, а также за финансовыми рисками. Однако, при этом могут иметь место некоторые осложнения, связанные с искажением информации, которые характерны больше именно для вертикальных каналов, нежели для горизонтальных. Для контроля за качеством информации прелстав.ъяется обоснованным использование традиционных методов: снижение числа уровней прохождения информации, унифицирование основных вилов проходимой информации, использование дублирования и двойного контроля информации- [12]
На основе рассмотрения эффективной информационно-аналитической системы участника РМД имеет смысл рассмотреть соответствующую ей организационную структуру компании.
В соответотши с предложенной выше коммуникационной схемой информационно-аналитической системы участника РМД его организационную структуру представляется обоснованным базировать на линейно-централизованном принципе прохождения информации. Это позволяет сочетать жесткость структуры управления и контроля, что имеет ключевое значение при осуществлении операций на рынке, где высшее звено управления должно осуществлять мониторинг финансовых рисков, с линейные горизонтальными связями, которые обеспечивают прохождение оперативной информации, необходимой для быстрого реагирования на изменяющуюся ситуацию на рынке. Помимо этого, рассматриваемая ниже организационная структура обеспечивает необходимый уровень специализации подразделений и унификацию информационных потоков, что позволяет снизить вероятность системных ошибок. [12]
Практический подход к созданию режима информационной безопасности РМД
В данном разделе рассматривается практический подход к созданию и поддержанию режима информационной безопасности на РМД. Этот подход основывается на понятийном базисе, образованном стандартами информационной безопасности и рекомендации в отношении ее соблюдения, рассмотренными выше.
Необходимо отмстить, что эти документы ориентированы в первую очередь на производителей и "оценщиков" систем и в гораздо меньшей степени - па пользователей. Во-первых, стандарты и рекомендации являются статичными, то естъ они не учитывают постоянную модернизацию защищаемых информационных сие гем и их окружения. Во-вторых, они не дагот ответы на два главных практических вопроса: как приобретать и комплектовать информационную систему участника РМД, чтобы ее можно было считать безопасной; и как практически сформировать режим безопасности на РМД в поддерживать его в условиях постоянно меняющегося окружения и структуры самой системы.
Как отмечалось выше, для обеспечения эффективности функционирования РМД в отношении его информационных ресурсов должны соблюдаться следующие принципы: конфиденциальность, целостность и доступность. В то же время, существующие стандарты и рекомендации несут на себе специфический отпечаток тех организаций, которые их разрабатывали. Гак, во главе утла в "Оранжевой книге" и аналогичных Руководящих документах Гостехкомиссии при Президенте РФ стоит обеспечение конфиденциальности. Этот вопрос, бесспорно, важен, однако, для большинства профессиональных участников РМД целостность и доступность информации - вещи не менее важные.
В связи с вышесказанным, рассмотренные в предыдущем разделе документы являются лить отправной точкой на сложном пути построения эффективного режима информационной безопасности РМД.
Процесс обеспечения информационной безопасности РМД начинается при формировании информационных систем с составления спецификаций на аппаратные средства и программное обеспечение. Чтобы их основные сервисы могли функционировать, необходимо приобрести ряд вспомогательных сервисов, которые включают в себя серверы баз данных, почтовые серверы, сетевые сервисы, мониторы транзакций, операционные системы и оборудование и прочее. И основные, и вспомогательные сервисы, как правило, могут быть подвергнуты декомпозиции - разделению на ряд аппаратно-программных подсистем. Каждую из таких подсистем можно рассматривать как относительно самостоятельный сервис. Сервисы, декомпозиция которых нецелесообразна, определяются как атомарные. [90]
После выявления всех необходимых основных и вспомогательных сервисов, необходимо проанализировать информационные потоки между ними с целью контроля их взаимной совместимости и формулировки требований к пропускной способности коммуникационных каналов. После завершення данного этапа, формирование архитектуры будущей системы с содержательной точки зрения можно считать законченным. Следует перехолить к разработке мер, необходимых для обеспечения безопасности системы.
В защите нуждаются все сервисы и коммуникационные каналы между ними. В то же время, возможно, не все запланированные атомарные сервисы обладают полным набором механизмов безопасности. Интерпретация "Оранжевой книги" для сетевых конфигураций позволяет определить правила, по которым следует объединять сервисы. Идея таких правил состоит в формировании составных сервисов, обладающих полным набором механизмов безопасности и с внешней точки зрения представляющих собой единое целое (то есть характеризующихся отсутствием информационных потоков, идущих к незащищенным компонентам). Совокупность подобных составных сервисов, соединенных защищенными коммуникационными путями, является надежной системой. Необходимо отметить, что при этом важна поллота функциональности каждого компонента, что это яв.ляется теоретическим обоснованием данной методологии анализа безопасности информационных систем.
В том случае, если из сервисов, выбранных на первом этапе, не удается составить надежной конфигурации, неооходимо привлечь дополнительные сервисы, называемые экранирующими. Экранирующие сервисы могут не обладать полезной функциональностью; они нужны лишь для формирования защищенных составных сервисов.
В целом, с тем, чтобы дать ответ на два поставленных выше вопроса - как создать эффективный режим информационной безопасности на РМД и как его поддерживать в изменяющихся условиях - принципы практического подхода к созданию такого режима должны охватывать несколько аспектов безопасности: законодательный, управленческий, операционный и программно-технический. Ниже детально рассматриваются каждый из этих аспектов и предлагаются их принципы.
В отношении законодательного аспекта обеспечения информационной безопасности
РМД необходимо выделить следующие моменты. (
Во-первых, необходимо обеспечить соответствие процесса информационной безопасЕгости РМД развитию технических средств защиты информации. Необходимыми элементами данного процесса является следуюіцес; 1) проведение целенаправленной технической политики по организации сертификации современных средств защиты информации; 2) сопровождение развития системы сертификации нормативными документами, определяющими требования и рекомендации по защите конфиденциальной информации и регламентирующими сертификационные испытания средств защиты информации (прежде всего, это относится к сертификационным испытаниям общесистемного и прикладного программного обеспечения, особенно операционных систем и СУБД). [41J
Во-вторых, следует организовать центры реагирования на нарушения режима информационной безопасности РМД. Существует международная практика создания и функционирования таких центров. Однако, при реализации этой проіраммь! необходимо учитывать, что кроме положительного эффекта такие центры могут иметь нежелательные последствия. Это объясняется тем, что информация о нарушениях систем безопасности должна содержать конкретные условия объекта и способов преодоления систем защиты, так как в противном случае простая констатация факта нарушения может лишь повредить деловой репутации топ или иной информационной системы. Факты нарушений систем безопасности должны подвергаться детальному анализу с целью выявления ошибок систем защиты и поиска путей их устранения. Однако, вопросами сбора и анализа информации о технических нарушениях защиты должны заниматься государственные органы, а сама информация о таких нарушениях должна обладать определенной степенью конфиденциальности. В то же время, разработанные на основе обобщенных и проанализированных сведений о нарушениях рекомендации по защите информации, Безусловно, должны быть известны собственникам информационных систем РМД. [41]
В-третьих, необходимо обеспечить наличие единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям информационной безопасности РМД. Процесс создания такой системы должен учитывать необходимость адекватно сертифицировать средства защиты информации. Необходимыми элементами данного процесса является а) наличие законодательного положения о сертификации средств защиты информации по требованиям безопасности информации; б) использование специальных защитных знаков для защиты сертификатов от подделки; в) разработка инструкций в отношении классификации специальных защитных знаков и маркирования средств защиты информации; г) создание органа, в цели которого входит решение вопросов относительно выполнения средствами защиты своих заявленных функций.
Централизованное управление данными
Концепция централизованного управления данными участником РМД, используюгпим систему" баз данных, предполагает помимо прочего наличие двух должностей - администратора данных и адм ин и сіра- юра баз данных. Администратор данных должен понимать нужды компании в отношении данных на уровне управления высшего руководства компании. К основным его функциям относится принятие решений о составе данных, вносимых в систему баз данных, а также обеспечение порядка при использовании внесенных данных, то есть обеспечение безопасности данных. Весьма важным моментом является необходимость того, чтобы администратор данных работал в качестве управляющего, а не как специалист но техническим вопросам.
В то же время, администратор баз данных является техническим специалистом в области информационных технологий, который отвечает за реализацию решений администратора данных. На і/рактике функции администратора баз данных обычно выполняются командой, состоящей из нескольких человек. К основным функциям администратора баз данных относится следующее:
- определение концептуальной схемы баз данных. Такая схема строится в соответствии с логически спроектированными администратором данных базами данных, то естт с составом той информации, которую должна хранить компания;
- физическое проектирование баз данных (то есть определение их внутренней схемы). Осуществление данной функции означает, что администратор баз данных определяет способ представления хранимых данных;
- взаимодействие с пользователями (обеспечение наличия необходимых пользователям данных, написание необходимых пользовательских схем, консультации но разработке приложений, прочее связанное с системой профессиональное обслуживание);
- определение правил безопасности и целостности данных;
- определение процедур резервного копирования и восстановления. Наличие этой функции обусловлено тем, что доверив свои данные системе баз данных участник РМД становится критически зависимым от ее успешного функционирования, В случае повреждения какой-либо части системы баз данных очень важно иметь возможность восстановить ее с минимальной задержкой и с наименьшим воздействием на остальную часть системы;
- управление производительностью системы баз данных и реагирование на изменяющиеся требования. Администратор баз данных отвечает за такую организацию системы баз данных, при которой обеспечивается наивысшая для участника РМД ее производительность, а также за перенастройку системы в соответствии с изменяющимися требованиями. Б целом, реализация концепции централизованного управления данными позволяет получить значительные преимущества, к которым относится следующее:
- возможность контроля степени избыточности хранимых данных. Б системах, не использующих базы данных, каждое приложение обладает своими собственными данными, что зачастую приводит к избыточности хранимых данных, а, следовательно, к расточительству ресурсов, в частности, компьютерной памяти. При этом не имеется в виду, что избыточность данных должна быть полностью устранена - иногда наличие копни хранимых данных обуславливается вескими практп чески ми и техническими причинами;
- возможность обеспечения целостности данных и устранения противоречивости данных, С целью соблюдения целостности данных администратор данных определяет, а администратор баз данных реализует правила целостности, соблюдение которых становится обязательным при любой попытке вставки, удаления и обновления хранимых данных. Противоречивость данных можно исключить либо обеспечением отсутствия избыточности данных, либо путем осуществления процесса множественного обновления, предполагающего, что при вставке, удалении и обновлении одних данных автоматически обновляются и вес зависимые от этих другие данные;
- обладание данными свойством общности. Свойство общности данных предполагает возможность доступа к ним нескольких существующих приложений баз данных и разработки новых приложений на основе работы с этими же данными;
- возможность соблюдения стандартов данных. Администратор баз данных имеет возможность обеспечить представление данных в определенных стандартах. Стандарты могут быть корпоративными, установочными, ведомственными, промышленными, национальными и международными. Стандартизация представления данных важна как для осуществления обмена данными между различными системами баз данных, так и для совместного использования данных;
- возможность обеспечения централизованной безопасности данных. Благодаря наличию полного контроля над базой банных администратор баз данных имеет возможность обеспечить доступ к базе данных через определенные каналы, а, следовательно, может определить правила безопасности, которые будут проверяться при попытке досіупа к уязвимым данным. Для разных типов доступа (выборки, вставки, удаления и т.д.) и разных частей базы данных можно установить различные правила. Следует отметить, что при отсутствии таких правил соблюдение информационной безопасности при использовании баз данных подвергается большему риску, чем в системах, не являющимися системами баз данных. Таким образом, централизованная природа систем баз данных требует наличия адекватного режима информационной безопасности.
Вышеперечисленные преимущества централизованного управления данными являются достаточно очевидными. Однако существует еще одно преимущество, которое необходимо добавить к этом} списку и которое не является настолько же очевидным. Речь идет об обеспечении независимости данных.
Независимость данных определяется как невосприимчивость приложений, работающих с системами базами данных, к изменениям в структуре хранения данных и организации методов доступа к данным. То есть при обеспечении невосприимчивости данных разница между тем, как приложение "видит" данные и как они хранятся на самом деле, может быть весьма существенной. Главная причина, по которым весьма желательно наличие такой невосприимчивости состоит в том, что администратор баз данных должен иметь возможность изменять структуру данных и организацию методов доступа к данным без изменения существующих приложений, то есть база данных должна иметь возможность развиваться без логического ущерба для существующих приложений.
Различные системы баз данных обеспечивают независимость данных в разной мере или не обеспечивают вообще. В целом, современные системы более развиты в этом направлении по сравнению со старыми, однако и они имеют свои недостатки. f40J