Содержание к диссертации
Введение
Глава 1. Концептуальные основы обеспечения информационной безопасности 10
1.1 Информационная составляющая управленческой деятельности 10
1.2 Проблемы обеспечения информационной безопасности промышленных предприятий 22
1.3 Концепция информационной безопасности промышленных предприятий с позиции системного подхода 40
Глава 2. Предпосылки и необходимость развития системы обеспечения информационной безопасности промышленных предприятий 51
2.1 Угрозы информационной безопасности 51
2.2 Особенности обеспечения информационной безопасности в условиях информатизации деятельности промышленных предприятий Самарской области 75
Глава 3. Направления развития системы обеспечения информационной безопасности промышленных предприятий 102
3.1 Организационно-экономические направления обеспечения информационной безопасности предприятий 102
3.2 Политика информационной безопасности как инструмент развития системы обеспечения информационной безопасности промышленных предприятий ... 128
Заключение 150
Библиографический список 157
Приложения 175
- Концепция информационной безопасности промышленных предприятий с позиции системного подхода
- Особенности обеспечения информационной безопасности в условиях информатизации деятельности промышленных предприятий Самарской области
- Организационно-экономические направления обеспечения информационной безопасности предприятий
- Политика информационной безопасности как инструмент развития системы обеспечения информационной безопасности промышленных предприятий
Введение к работе
Актуальность темы исследования. В настоящее время интенсивно развиваются информационные технологии (ИТ), что так же, как глобализация и становление информационной экономики, относится к числу макротенденций современного мирового хозяйства.
За период своего существования, и особенно за последнее десятилетие, в сфере применения информационных технологий произошли коренные перемены. Они принесли бизнесу существенную выгоду, но при этом потребовали более серьезного внимания к сфере безопасности со стороны правительств, коммерческих предприятий, иных организаций и частных пользователей, которые разрабатывают информационные системы, владеют ими, предоставляют их в пользование, управляют ими, обслуживают или используют их.
Актуальность темы исследования определяется и обострением проблем информационной безопасности (ИБ) в условиях, интенсивного совершенствования технолопш и инструментов защшы данных. Об этом свидетельствуют рост нарушений информащюнной безопасности и усиливающаяся тяжесть их последствий. Так, общее число нарушений в мире ежегодно увеличивается более чем на 100%, а в России число выявленных преступлешш в сфере компьютерной информации возрастает ежегодно в несколько наз. Статистика свидетельствует также, что если коммерческая организация допускает утечку важной внутренней информации, то она в 60% случаях становится банкротом.
Таким образом, существуют факторы, определяющие необходимость взвешенного подхода к указанной проблеме. К ним, в первую очередь, необходимо отнести постоянно возрастающее количество информационных угроз и рисков, а также недостаточный уровень обеспечения информационной безопасности существующих информационных систем.
Информационные риски реализуются через уязвимости современных информационных систем, поддерживающих различные виды деятельности социально-экономической системы. В данной ситуации возникает необходимость обеспечения информационной безопасности социально-экономической системы в целом.
Тенденции развития промышленных предприятий России показывают, что руководство уже принимает некоторые меры по защите важной информации, однако эти действия не носят системного характера, поскольку направлены на устранение отдельных угроз, оставляющих за собой множество уязвимых мест. Также одной из основных причин проблем промышленных предприятий в сфере обеспечения информащюнной безопасности является отсутствие в данной сфере продуманной и утвержденной политики, базирующейся на организационных, экономичесигх и технических реше-
ниях с последующим контролем их реализации и оценкой эффективности. Это определяет необходимость разработки системы обеспечения информационной безопасности промышленных предприятий.
Таким образом, являются актуальными научные исследования, направленные на повышение эффективности управления промышленным предприятием на основе формирования системы информационной безопасности, способной обеспечить согласованность действий.
Область исследований. Исследование проведено в рамках п.п. 15.1 "Разработка новых и адаптация существующих методов, механизмов и инструментов функционирования экономики, организации и управления хозяйственными образованиями промышленности"; п.п. 15.15 "Теоретические и методологические основы эффективности развития предприятий, отраслей и комплексов народного хозяйства" по специальности 08.00.05 -Экономика и управление народным хозяйством: экономика, организация и управление предприятиями, отраслями, комплексами промьшшенности Паспорта специальностей ВАК (экономические науки).
Состояние изученности проблемы. Проблемам обеспечения информационной безопасности предприятий в России посвящены работы таких ученых, как А. Абросимов, В. Адрианов, А. Афоничкин, С. Ашма-рина, А. Баутов, А. Голов, М. Давлетханов, А. Добрянин, Д. Дьяконов, А. Еляков, А. Курило, В. Лазарев, А. Макарова, Е. Мешайкина, Р. Наса-кин, Р. Нижегородцев, А. Павлов, А. Пастюшков, П. Покровский, В. Савельев, С. Симонов, Е. Смирнов, Н. Столяров, И. Стрелец, Б. Татарских, Е. Терехова, Ф. Удалов, И. Филиппова, Р. Хайретдинов, В. Ярочкин и др.
Среди исследователей, рассматривавших проблему информационной безопасности с точки зрения высшего руководства предприятий, наибольший вклад внесли Дж. Албаниз, С. Беринато, В. Галатенко, Дж. Джейсинг, Г. Лавджой, А. Лукацкий, Дж. Миллер, А. Мицци, М. Мишель, Д. Моррилл, Дж. Риз, В. Сонненрих, Б. Шнайер, Р. Уитти, А. Унлхайи и некоторые другие.
Вместе с тем подавляющее большинство работ носит сугубо технический характер и ориентировано, главным образом, на ИТ-персонал. Более того, несмотря на постоянно растущее количество исследований в области информационной безопасности, крайне редко затрагивается вопрос комплексного, системного обеспечения информационной безопасности промышленных предприятий на основе учета организационных, технологических, технических, правовых и экономическгк факторов. Проведенные исследования касаются лишь отдельных аспектов обеспечения информационной безопасности, в то время как комплексность этой проблемы предполагает разработку для ее решения более современных и адекватных методов.
Цель исследования заключается в обосновании теоретических и методических положений развития системы обеспечения информационной безопасности промышленных предприятий.
Для достижения поставленной цели потребовалось решение следующих задач диссертационной работы:
исследовать роль информационной безопасности в процессе информационного обеспечения управленческой деятельности предприятий и проанализировать информационные ресурсы промышленных предприятий с позиции необходимости обеспечения их защиты;
изучить информационную безопасность с позиции реализации системного подхода и выделить ее основные составляющие;
выявить требования к информационной безопасности, позволяющие провести оценку защищенности информационных ресурсов, а также оценку достигнутого уровня информационной безопасности;
разработать организационно-экономические мероприятия для развития системы обеспечения информационной безопасности промышленного предприятия.
Объектом исследования являются промышленные предприятия Российской Федерации.
Предметом исследования выступает совокупность организационно-экономичесюгх отношений, возникающих в процессе развития системы обеспечения информационной безопасности промышленных предприятий.
Методологической основой исследования явилась общенаучная методология, предусматривающая системный и процессный подходы к решению рассматриваемых проблем, экономические, социологические и прочие измерения, а также методы экономико-математического моделирования.
Теоретической базой исследования послужили научные труды зарубежных и отечественных ученых в области исследования проблемы обеспечения информационной безопасности, нормативные правовые акты Российской Федерации, а также материалы международных научно-практических конференций.
Информационной основой диссертации явились статистические данные Федеральной службы государственной статистики, российские социологические исследования, материалы исполнительных органов власти, статистические данные Института компьютерной безопасности и Федерального бюро расследований США, отчетность корпораций. Кроме того, использована электронная информация с серверов сети "Интернет".
Научная новизна диссертационного исследования заключается в разработке и обосновании теоретических и методических основ и практических рекомендаций по обеспечению информационной безопасности промьшшенных предприятий на основе развития сбалансированной системы, позволяющей с позиций комплексного подхода обеспечить согласованность и эффективность действий между организационными, технологическими, техническими, правовыми и экономическими решениями для достижения требуемого уровня информационной безопасности.
Научная новизна диссертационного исследования подтверждается следующими научными результатами, выносимыми на защиту.
-
Разработана иерархия комплексной системы информационного обеспечения управления на предприятии промышленности с учетом достижения требуемого уровня его информационной безопасности.
-
Определены задачи и уровни информационной безопасности в единой системе, реализуемой в рамках концепции информационной безопасности промышленных предприятий, устанавливающей системный подход к проблеме безопасности информационных ресурсов и представляющей собой систематизированное изложение целей, задач, принципов проектирования и комплекса мер по ее обеспечению на предприятии.
-
Выявлены требования, соответствие которым позволяет провести оценку защищенности информационных ресурсов и достигнутого уровня информационной безопасности деятельности промышленных предприятий с учетом проведенного автором ранжирования информационных ресурсов промышленного предприятия на классы по степени их важности и необходимости защиты.
-
Проведена оценка достигнутого уровня информационной безопасности промышленных предприятий Самарской области.
-
Разработана матрица организационно-экономических мероприятий развития системы обеспечения безопасности информационных ресурсов промышленного предприятия, исходя из особенностей их создания, обработки, хранения и перераспределения в рамках реализации системы обеспечения информационной безопасности.
Практическая значимость диссертационного исследования состоит в возможности использования методических положений и рекомендаций в качестве конкретного организационного и экономического инструментария, направленного на совершенствование методов управления промышленным предприятием на основе формирования эффективной системы обеспечения его информационной безопасности.
Полученные результаты диссертационного исследования могут быть использованы в учебном процессе при чтении таких дисциплин, как "Информационная безопасность", "Информационные технологии управления", Информационный менеджмент", а также в системе подготовки и переподготовки руководителей и специалистов промышленных: предприятий.
Апробация и внедрение результатов диссертационного исследования. Основные положения и результаты диссертационного исследования прошли апробацию на ряде промышленных предприятий Самарской области, а также обсуждались и получили положительную оценку на международных и всероссийских научно-практических конференциях: V Всероссийской научно-практической конференции "Теоретические проблемы эконо-
мической безопасности России в XXI веке" (Томск, 2008), Всероссийской конференции студентов и молодых ученых "Новой экономике - новые подходы управления" (Самара, 2008), VII Международной научно-практической конференции "Стабилизация экономического развития Российской Федерации" (Пенза, 2008), 5-й Международной научно-практической конференции "Достижения ученых XXI века" (Тамбов, 20 июля 2010 г.), VIII Международной научно-практической конференции "Совершенствование управления научно-технологическим прогрессом в современных условиях" (Пенза, 2010), Международной научно-практической конференции "Инновационная экономика и промышленная политика региона (ЭКОПРОМ-2010)" (Санкт-Петербург, 29 сентября - 3 октября 2010 г.), 9-й Международной научно-практической конференція! "Проблемы развития предприятий: теория и практика" (Самара, 18-19 ноября 2010 г.), II Международной научно-практической конференции "Власть, бизнес, бизнес-образование: интеграция на пути модернизации" (Ульяновск, 7 апреля 2011 г.), IX Международной научію-практической конференции "Совершенствование управления научно-технологическим прогрессом в современных условиях" (Пенза, 2011), II Всероссийской конференции студентов и молодых ученых "Новой экономике - новые подходы управления" (Самара, 2011).
Публикации. Основные результаты диссертационного исследования опубликованы в 20 научных работах общим объемом 12,44 печ. л.
Концепция информационной безопасности промышленных предприятий с позиции системного подхода
Структура информационной системы на коммуникативном уровне отражает логику модели связи (коммуникации). Интеллектуальный уровень связан с постепенной эволюцией характера управленческих информационных процессов от простейшей рутинной работы по сбору и регистрации первичных данных к информационной работе.
Разработанная модель информационного обеспечения процесса управления промышленным предприятием и соответствующий категориальный аппарат предполагает следующие принципиальные положения» и уточнения: информационное обеспечение, поддерживаемое информационной системой, не сводится к техническим вопросам передачи данных и информационным технологиям. В содержание информационного обеспечения заложен более широкий смысл, чем в терминологии, принятой в. теории информации; информационную систему и систему информации необходимо рассматривать как разноуровневые категории.
Система информации, наряду с другими блоками, является частью информационной системы. Процесс информационного обеспечения представлен на физическом уровне как процесс движения и циркулирования информации, на коммуникативном уровне - как процесс связи, на интеллектуальном уровне - как процесс постепенной эволюции информационных процессов от рутинных, конторских, технических и вычислительных операций к информационной работе (творческому, созидательному процессу).
Предложенная модель информационного обеспечения процесса управления, требует конкретизации, ориентированной на определение ключевых системообразующих объектов. Первичным объектом информационной системы является элемент информации. Упорядочение всех элементов важной информации с позиции ее различных принципов — это основа формирования структуры или каркаса информационной системы, позволяющая выстраивать элементарные и общие информационные процессы в зависимости от задач пользователя. Большое разнообразие информации, используемой в практике управления, нуждается в развитии классификационных подходов. Классификация информации преследует разнообразные цели [95]: - развитие системного и комплексного подхода к управлению; - совершенствование технологии управленческой деятельности; - совершенствование системы профессиональных знаний руководителей; - поиски путей повышения эффективности управления. В связи с возникновением правовых отношений в информационной сфере информационные ресурсы предприятия следует подразделять на открытые и с ограничением доступа. Под открытыми информационными ресурсами понимаются массивы информации, которые на основе законодательства или по добровольному решению собственника информации доступны для свободного ознакомления, копирования, тиражирования и т.д. Наряду с открытой информацией на предприятии объективно существует массив информации, к которой необходимо ограничить доступ из» внешней среды, а также лимитировать его внутри предприятия. Причина появления данного вида информации в условиях рыночных отношений - наличие конкуренции между хозяйствующими субъектами. В экономической практике закрытая информация» получила название конфиденциальной, т.е. информации ограниченного распространения. Под конфиденциальностью информации понимают свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам предприятия (руководству, ответственным сотрудникам, пользователям информационной сети предприятия и т.п.) [160]. Объем конфиденциальных информационных ресурсов предприятия, подразделяется-на две основные группы. Первая в виде интеллектуальной собственности, охраняется патентным, лицензионным, авторским и смежными правами. Интеллектуальная собственность включает в себя два вида объектов: объекты промышленной собственности (изобретения, т.е. новые решения технических задач (продукты или способы), товарные знаки, бренды, промышленные образцы, полезные модели, знаки обслуживания, коммерческие наименования и обозначения); объекты авторского права (произведения литературы, искусства, живописи, кинематографии и т.д.). Непосредственно к объектам авторского права, имеющим прямое отношение к экономической деятельности предприятия следует отнести программные продукты, разработанные службой технической поддержки или подразделением данного предприятия, занимающимся научно-исследовательской работой, [94].
Ко второй группе конфиденциальной информации относится информационные ресурсы, составляющие коммерческую тайну предприятия. Коммерческая тайна — конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду [2]. Сюда относится: научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.
Критериями для отнесения информации к категории «коммерческой тайны» считаются следующие свойства информации: она должна быть коммерчески выгодной для предприятия или выгодной для конкурента в случае ее попадания в чужие руки; не должна быть общедоступной и общеизвестной на законных основаниях; эти сведения не должны являться государственными секретами или защищаться нормами патентного или авторского права; информация должна быть зафиксирована в письменной или иной материальной форме или находиться в исключительном ведении предприятия; она должна быть официально отнесена к разряду коммерческой тайны и для сохранения ее конфиденциальности должны быть предприняты необходимые меры; эти сведения не должны напрямую касаться деятельности предприятия, способной нанести ущерб обществу, жизни и здоровью людей, а также использоваться для недобросовестной конкуренции, уклонения от налогообложения, осуществления незаконной или незакрепленной в уставе предприятия деятельности [148].
По нашему мнению, особый, «пограничный» вид конфиденциальной информации» представляют объекты ноу-хау - охраняемые в режиме коммерческой тайны результаты интеллектуальной, деятельности, которые могут быть переданы другому лицу и использованы им на законном основании, в том числе: а) неопубликованные научно-технические результаты, технические решения, методы, способы использования технологических процессов и устройств, которые не обеспечены патентной защитой, в соответствии с законодательством или, по усмотрению лица, обладающего такой информацией на законном основании; б) знания и опыт в области реализации продукции и услуг, сведения о конъюнктуре рынка, результаты маркетинговых исследований; в) коммерческие, методические или организационно-управленческие идеи и решения.
Особенности обеспечения информационной безопасности в условиях информатизации деятельности промышленных предприятий Самарской области
Рассматривая проблемы ИБ, следует подробнее остановиться на таком важном аспекте как угрозы. Ведь именно они являются источником нарушения ИБ. Под информационной угрозой предприятия понимают потенциально существующую опасность случайного или преднамеренного нарушения качества информации, обусловленного особенностями ее хранения и обработки. Происходящие в рамках информационной системы предприятия процессы сбора, накопления, хранения, обработки и распространения информации обуславливают появление пространства информационных угроз; т.е. мест хранения, обработки и передачи информационных ресурсов предприятия [145, 148]. Как правило, угрозы говорят о наличии пробелов; т.е. уязвимостей в системе ИБ. Однако, не всегда это так. Например, угроза перебоя в электропитании или отключении электричества существует в силу зависимости техники от качественного электропитания.
Обеспечение доступности, целостности и конфиденциальности информационных ресурсов является одной из ключевых задач для эффективного функционирования современного предприятия. К подобным ресурсам можно отнести: а) контракты и договоры; информацию- финансового и технического характера; б) информацию о новых проектах, бизнес-планы; в) информацию о сотрудниках; г) информацию- о нематериальных активах; д) данные бухгалтерского учета; е) информацию о текущей деятельности предприятия.
Вся информация подобного рода, в основном, хранится и обрабатывается при помощи автоматизированных информационных систем, а значит, результат деятельности предприятия во многом зависим от устойчивости и защищенности этих систем от действий злоумышленников и конкурентов.
Диверсификация; проникновение на; новые рынки, поиск новых клиентов и поставщиков, создание новых подразделений ведут к усложнению структуры предприятия, что требует совершенствования информационной системы, с применением новых информационных технологий. Но с построением современной автоматизированной- системы возрастает вероятность различного рода угроз, направленных на подрыв ИБ предприятия. Угрозы ИБ;.каюправило; направлены на подрыв целостности, конфиденциальности, доступности: информации. Результатом этих угроз могут быть утечка информации, разглашение, искажение (модификация), уничтожение и т.д.
Основываясь на анализе результатов научных исследований и практических разработок, все. множество потенциальных угроз безопасности информационных систем по природе их возникновения «может быть разделено на, два класса: естественные (объективные)! и искусственные (субъективные): Естественные угрозы - это угрозы,, вызванные воздействием на ИС и ее: компоненты объективных физических процессов или стихийных природных явлений, независящих от субъекта (человека). Искусственные угрозы.. - это угрозы ИС, вызванные деятельностью человека.
Среди них, исходя из мотивации действий, можно выделить: непреднамеренные (неумышленные, случайные) угрозы,. вызванные ошибками в проектировании ИС и ее компонентов, ошибками в ПО, ошибками в действии персонала и т.п.; преднамеренные (умышленные) угрозы, связанные с корыстными, идейными и другими устремлениями людей (злоумышленников).
ЬСосновным непреднамеренным искусственным.угрозам ИС, как правило, относят: а) неумышленные действия;, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов: системы (неумышленная порча оборудования,, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.); б) заражение компьютерными вирусами; в) неосторожные действия, приводящие к разглашению конфиденциальной информации или делающей ее общедоступной; г) разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.); д) неумышленное повреждение каналов связи и т.д.
Основные преднамеренные угрозы, помимо действий указанных выше, но совершаемых умышленно, включают: а) физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов ИС (устройств, носителей важной системной информации, лиц из числа персонала и т.п.); б) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения иі вентиляции, линий связи и- т.п.); в) внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за ИБ); г) хищение носителей информации; д) несанкционированное копирование носителей информации; е) вскрытие шифров криптозащиты информации; внедрение аппаратных и программных закладок и вирусовv («троянских коней», «червей» и т.п.); ж) незаконное подключение к линиям связи с целью подмены законного пользователя и т.д. К внешним угрозам ИБ можно- отнести: а) промышленный и экономический шпионаж, шантаж, дезинформацию, атаки на систему защиты с целью кражи, уничтожения, искажения информации, подрыва нормальной работы подразделений; б)- отсутствие на рынке достаточного количества сертифицированных средств защиты информации; в) неполноценность существующей нормативно-правовой базы ИБ; г) деятельность недобросовестных партнеров; клиентов. К внутренним источникам угроз мы относим: а) несовершенство используемой системы защиты информации; б) устаревшие программно-технические средства хранения и обработки данных; в) низкую квалификацию сотрудников; г) использование «пиратского» программного обеспечения; д) саботаж персонала; е) недостаточную пожарную, техническую безопасность помещений, зданий предприятия. Статистика показывает, что в среднем 17% всех угроз ИБ исходит извне (внешние угрозы), 1% - угрозы со стороны случайных лиц и 82% - угрозы внутренние, т.е. от персонала предприятия (рис. 10).
Организационно-экономические направления обеспечения информационной безопасности предприятий
Сегодня многие российские промышленные предприятия решают задачи создания системы информационной безопасности, которая соответствовала бьь «лучшим практикам» и стандартам в области ИБ и отвечала современным требованиям защиты информации по параметрам конфиденциальности, целостности и доступности. Причем, этот вопрос важен не только для «молодых» предприятий, развивающих свой бизнес с использованием современных информационных технологий управления. Не менее, а скорее и-более важной эта проблема является, для предприятий и организаций, давно работающих на рынке, которые приходят к необходимости модернизировать. существующую у них систему ИБ [50].
Необходимость повышения эффективности системы ИБ связана с обострением проблем защиты информации. Здесь можно упомянуть, растущую потребность обеспечения конфиденциальности данных. Отечественные промышленные предприятия, вслед за своими западными коллегами, приходят к выводу о необходимости учитывать так называемые репутационные риски, нести ответственность по обеспечению конфиденциальности данных своих клиентов, субподрядчиков, партнеров.
Вместе с тем, на большинстве российских промышленных предприятий организационная- составляющая системы ИБ проработана слабо. Например, данные как таковые зачастую не классифицированы, то есть предприятие не имеет четкого представления о том, какие у нее есть типы данных с позиций их конфиденциальности и критичности для бизнеса. А это влечет за собой целый ряд проблем, начиная от сложностей в обосновании адекватности мероприятий по защите информации и заканчивая невозможностью при возникновении инцидента использовать правовые методы» их расследования. Еще одна острая проблема в сфере защиты данных связана с обеспечением непрерывности функционирования информационных систем.
Для многих современных компаний, прежде всего, финансовых организаций, производственных холдингов, крупных дистрибьюторов, а также некоторых промышленных предприятий, бесперебойная работа информационных систем; поддерживающих основной бизнес, и доступность-данных становятся критичным вопросом. Сбои в. работе систем ведут к прерыванию бизнес-процессов и, соответственно, к недовольству клиентов, штрафам, и другим потерям. А в обеспечении доступности данных немаловажную- роль играют системы защиты, предотвращающие злонамеренные- атаки на информационную систему (атаки типа «отказ в обслуживании» и др.). С другой стороны, на большинстве крупных! промышленных предприятиях имеет место унаследованная- «лоскутная» автоматизация.
Развитие информационной системы осуществляется довольно хаотично, немногие предприятия опираются на. продуманную ИТ.-стратегию или планы развития информационной системы. Обычно используется» политика «латания дыр», новые ИТ-сервисы, добавляются без привязки к-уже существующим и без учета их взаимосвязи. И точно так же отсутствует продуманная архитектура системы ИБ, мало кто до настоящего времени определяет, насколько система ИБ полная, насколько она покрывает риски, избыточна она или, наоборот, недостаточна и т.д. И что немаловажно - система ИБ редко бывает обоснованной экономически [151].
Представляется целесообразным утверждать, что при таких подходах, проблема информационной безопасности не только не решается, но и зачастую усугубляется, поскольку решения- направлены на реализацию одной или нескольких специальных задач, но не являются системой взаимодействующих и взаимодополняющих друг друга элементов, которая способна в полной мере обеспечить требуемый уровень информационной безопасности [50].
Степень защиты информационных ресурсов и» достигнутый уровень информационной безопасности можно оценить, анализируя политику безопасности предприятия - набор законов, правил и норм, определяющих, как оно обрабатывает, защищает и распространяет информацию. В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Политика безопасности- — это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия. Также выделяют гарантированность функционирования системы, которая показывает, насколько- корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность можно считать пассивным компонентом защиты информации. Гарантированность — мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность может проистекать как из тестирования, так и из проверки (формальной- или нет) общего замысла и исполнения системы вщелом и ее компонентов [51].
Информационная безопасность служит функциональным элементом системы обеспечения стратегического развития-промышленного предприятия, поэтому ее основная задача - обеспечить стабильность существования предприятия в настоящем и перспективы его устойчивого развития в будущем. Основными предпосылками к созданию системы защиты информации являются ее значимость как инструмента и ресурса бизнеса, а также угроза для предприятия понести материальный ущерб от утечки информации.
Информационные ресурсы промышленного предприятия в зависимости от степени важности и необходимости обеспечения их защиты можно отнести к различным классам (таблица 10). Так, информационные ресурсы, относящиеся» к категории открытой информации, не содержат сведений конфиденциального характера, но в то же время.общедоступны, что делает наиболее уязвимой их целостность.
Другими словами, главная угроза открытой информации заключается в ее несанкционированной модификации, умышленном искажении, злоумышленной неправильной интерпретации, в особенности это характерно для открытой информации, размещенной в глобальной или локальных сетях. Таким образом, при формировании массива открытых информационных ресурсов необходимо обращать внимание прежде всего на тщательную подготовку пресс-релизов, контроль за публикациями в СМИ, обеспечение авторских прав и копирайта на рекламную и агитационную продукцию, создание безопасных для предприятия условий общественного доступа к ее официальному сайту.
Служебная информация обычно содержит элементы конфиденциальности, но считается, что оперативность ее использования полностью компенсирует потенциальный ущерб, который может возникнуть в результате нарушения ее конфиденциальности. Поэтому задача обеспечения-безопасности данного класса информации - защита целостности и доступности сведений. Учитывая, что служебная информация составляет основу коммуникационного процесса организации и управленческого процесса на тактическом уровне, нарушение ее доступности в результате возведения чрезмерных для данного класса сведений барьеров безопасности способно привести к более тяжелому ущербу, чем тот, что потенциально может возникнуть при ее разглашении. Важным аспектом безопасности служебной информации является сохранение ее актуальности и непротиворечивости в течение всего срока существования, и главным виновником нарушения этого свойства может быть персонал предприятия, склонный к умышленной или неумышленной фильтрации. Пользователями данной информации целесообразно признать всех сотрудников предприятия.
Политика информационной безопасности как инструмент развития системы обеспечения информационной безопасности промышленных предприятий
В представленном виде «Критерии» полностью игнорируют коммуникационный аспект, присущий современным распределенным системам. Далее мы покажем, насколько специфична эта область, сколько потенциальных угроз безопасности она содержит, какие новые защитные механизмы следует использовать.
Тем не менее следует подчеркнуть, что данная методика закладывает основы понятийного базиса, без которого даже обсуждение проблем безопасности было бы затруднительным. Именно в этом видится главная ценность данного подхода. Европейские Критерии рассматривают следующие составляющие информационной безопасности: - конфиденциальность, то есть защиту от несанкционированного получения информации; - целостность, то есть защиту от несанкционированного изменения информации; - доступность, то есть защиту от несанкционированного удержания информации и ресурсов. Проводится различие между системами и продуктами. Система — это конкретная аппаратно-программная конфигурация, построенная с вполне определенными целями и функционирующая в известном окружении. Продукт - это аппаратно-программный «пакет», который можно купить и по своему усмотрению встроить в ту или иную систему. Таким образом, с точки зрения информационной безопасности основное отличие между системой и продуктом состоит в том, что система имеет конкретное окружение, которое можно определить и изучить насколько угодно детально, а продукт должен быть рассчитан на использование в различных условиях. Угрозы безопасности системы носят вполне конкретный и реальный характер. Относительно угроз продукту можно лишь строить предположения. Разработчик может специфицировать условия, пригодные для функционирования продукта, дело покупателя - обеспечить выполнение этих условий. Каждая система и/или продукт предъявляет свои требования к обеспечению конфиденциальности, целостности и доступности. Чтобы удовлетворить эти требования, необходимо предоставить соответствующий набор функций (сервисов) безопасности, таких как идентификация и аутентификация, управление доступом или восстановление после сбоев:
Чтобы объект оценки можно было признать надежным; необходима определенная степень уверенности в. наборе функций и механизмов! безопасности: Степень уверенности мы будем называть гарантированностью. Гарантированность может быть большей или меньшей в; зависимости, от тщательности проведения оценки [43].
Гарантированность затрагивает два аспекта - эффективность и корректность средств безопасности. При- проверке эффективности анализируется соответствие между целями, сформулированными для объекта оценки, и имеющимся набором- функций безопасности. Точнее говоря,. рассматриваются вопросы, адекватности функциональности, взаимной согласованности функций, простоты их использования, а также возможные последствия эксплуатации известных слабых, мест защиты. Кроме того, в понятие эффективности входит способность механизмов защиты, противостоять прямым атакам-(мощность механизма). Определяется три градации мощности -базовая, средняя и высокая.
Под корректностью понимается правильность реализации функций и механизмов безопасности. При проверке корректности анализируется весь жизненный цикл объекта оценки - от проектирования до эксплуатации и сопровождения.
Общая оценка системы- складывается из минимальной мощности механизмов безопасности и уровня гарантированности корректности. Теоретически эти два аспекта независимы, хотя на практике нет смысла проверять правильность реализации «по высшему разряду», если механизмы безопасности не обладают даже средней мощностью.
В Европейских Критериях средства, имеющие отношение к информационной безопасности, рассматриваются на трех уровнях детализации. Наиболее абстрактный взгляд касается лишь целей безопасности. На этом уровне мы получаем ответ на вопрос, зачем нужны функции безопасности. Второй уровень содержит спецификации функций безопасности. Мы узнаем, какая функциональность на самом деле обеспечивается. На третьем уровне содержится информация о механизмах безопасности. Мы видим; как реализуется декларированная функциональность.
Спецификации функций безопасности - важнейшая часть описания объекта оценки. Критерии рекомендуют выделить в этих спецификациях разделы со следующими заголовками: а) идентификация и аутентификация; б) управление доступом; в) подотчетность;, г) аудит; д) повторное использование объектов; е) точность информации; ж) надежность обслуживания; з) обмен данными.
Большинство из перечисленных тем мы рассматривали ранее. Здесь.мы, остановимся лишь на моментах, специфичных для Европейских Критериев.
Под идентификацией и аутентификацией понимается не только проверка подлинности пользователей в узком смысле,, но и функции для регистрации новых пользователей и удаления старых, а также функции для генерации;, изменения и проверки аутентификационной информации, в том числе средства контроля целостности. Сюда же относятся функции для ограничения числа повторных попыток аутентификации.
Средства- управления доступом также трактуются Европейскими Критериями достаточно широко. В этот раздел попадают, помимо прочих, функции, обеспечивающие временное ограничение доступа к совместно используемым объектам с целью- поддержания целостности этих объектов -мера, типичная для систем управления базами данных. В этот же раздел попадают функции для управления распространением прав доступа и для контроля за получением информации путем логического вывода и агрегирования данных.