Содержание к диссертации
Введение
ГЛАВА 1. Концептуальные основы информационной безопасности . 9
1.1. Теоретическое обоснование информационной безопасности в эпоху информационного общества 9
1.2. Задачи и уровни обеспечения информационной безопасности 21
1.3. Угрозы информационной безопасности 37
ГЛАВА 2. Разработка методических основ системы информационной безопасности предприятия 50
2.1. Концепция информационной безопасности предприятия 50
2.2. Оценка и планирование информационных рисков предприятия 62
2.3. Формирование плана мероприятий по снижению информационных рисков 76
ГЛАВА 3. Экономическое обоснование затрат на информационную безопасность предприятия 91
3.1. Методические подходы к оценке затрат на информационную безопасность и определению их эффективности 91
3.2. Расчет затрат на информационную безопасность и оценка их эффективности 105
Заключение 120
Список использованной литературы
- Задачи и уровни обеспечения информационной безопасности
- Оценка и планирование информационных рисков предприятия
- Формирование плана мероприятий по снижению информационных рисков
- Расчет затрат на информационную безопасность и оценка их эффективности
Введение к работе
Актуальность темы диссертации определяется обострением проблем информационной безопасности (ИБ) даже в условиях интенсивного совершенствования технологий и инструментов защиты данных. Об этом свидетельствует беспрецедентный рост нарушений информационной безопасности и усиливающаяся тяжесть их последствий. Общее число нарушений в мире ежегодно увеличивается более чем на 100%. В России, по статистике правоохранительных органов, число выявленных преступлений только в сфере компьютерной информации возрастает ежегодно в среднем в 3-4 раза. Статистика свидетельствует также, что если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится.1 93% компаний, лишившихся доступа к собственной информации на срок более 10 дней, покидают бизнес, причем половина из них заявляет о своей несостоятельности немедленно.2
Перечень угроз информационной безопасности, нарушений, преступлений настолько обширный, что требует научной систематизации и специального изучения с целью оценки связанных с ними рисков и разработки мероприятий по их предупреждению.
Исследования свидетельствуют о том, что основной причиной проблем предприятий в области защиты информации является отсутствие продуманной и утвержденной политики обеспечения информационной безопасности, базирующейся на организационных, технических, экономических решениях с последующим контролем их реализации и оценкой эффективности.
Все это предопределяет необходимость разработки научно обоснованных методов обеспечения информационной безопасности предприятий, учитывающих по зитивный практический опыт российских и зарубежных предприятий в этой области.
Степень разработанности проблемы. Проблемы информационной безопасности предприятий рассматривались в работах многих отечественных исследователей и специалистов: Лукацкого А.В., Баутова А., Симонова С, Кононова А., Ловцова Д., Васильева А., Волоткина А., Давлетханова М., Конева И., Беляева А., Манош-кина А., Мельникова В., Трайнева В., Петренко С, Садердинова А., Уфимцева Ю., Шпака В., а также иностранных авторов Р. Уитти, A.M. Уилхайт, С. Норткатт, Ж. Брассар и др.
Вместе с тем проведенные исследования касаются лишь отдельных аспектов обеспечения информационной безопасности, в то время как комплексность этой проблемы предполагает разработку для ее решения более современных и адекватных методов. Все это и предопределило цели и задачи диссертации.
Цель диссертации состоит в разработке методов обеспечения информационной безопасности предприятия, позволяющих снизить его информационные риски.
Поставленная цель обусловила следующие задачи диссертации:
? разработать концепцию информационной безопасности предприятия;
? выявить перечень информационных ресурсов, нарушение целостности или конфиденциальности которых приведет к нанесению наибольшего ущерба предприятию; идентифицировать наиболее значимые хмодели нарушителей и угроз информационным ресурсам предприятий;
? систематизировать информационные риски, разработать методы оценки и подходы к управлению ими;
? разработать алгоритм оценки остаточных информационных рисков на предприятии;
? разработать блок-схему алгоритма оценки затрат на управление информационной безопасностью и расчета их экономической эффективности;
? оценить информационные риски малых предприятий, занимающихся НИ-ОКР в российских условиях.
Объектом исследования выступает система информационной безопасности предприятия.
Предметом исследования в диссертации являются инструментальные и экономические методы обеспечения информационной безопасности, направленные на снижение информационных рисков и оптимизацию затрат предприятия на защиту информации.
Методологической и теоретической основой диссертации явились труды отечественных и зарубежных специалистов в области экономической безопасности, инвестиций, бюджетирования, статистики, теории рисков, информатизации управленческих и экономических процессов. В ходе работы над диссертацией автор использовал информацию, отражающую содержание законов, законодательных актов и нормативных актов, постановлений Правительства РФ, регулирующих защиту информации, международные стандарты по информационной безопасности.
Теоретическая значимость диссертационного исследования состоит в развитии методологии разработки системы информационной безопасности на предприятиях, основанной на концепции риск-анализа.
Практическая значимость диссертации определяется тем, что ее научные результаты позволяют повысить степень защиты информации на предприятиях путем использования предложенных автором методов, алгоритмов и практических процедур при формировании системы информационной безопасности, направленной на снижение информационных рисков.
Научная новизна диссертации заключается в разработке методов и средств обеспечения информационной безопасности предприятия, направленных на выявление и оценку угроз конфиденциальности информации, планирование и расчет информационных рисков, экономическое обоснование целесообразности затрат на информационную безопасность.
Наиболее существенные результаты, полученные автором, состоят в следующем:
? уточнено понятие информационной безопасности, составлена классификация видов информации по пяти критериям, которая выступает в качестве базы при оценке и планировании информационных рисков;
? предложена концепция информационной безопасности предприятия, состоящая из следующих элементов: объекты, цели и задачи защиты информации; источники угроз; принципы построения системы информационной безопасности; мероприятия по обеспечению информационной безопасности; политика информационной безопасности;
? разработан алгоритм оценки информационных рисков, позволяющий определить состав информационных ресурсов предприятия, их ценность, уязвимость, оценить ожидаемые потери от реализации угроз;
? составлена матрица балльной оценки ценности информационного ресурса, в основе которой лежат четыре уровня конфиденциальности, целостности и доступности защищаемой информации;
разработана матрица балльной оценки уязвимости информационного ресурса, инициируемой пятью источниками (сотрудниками, бывшими сотрудниками, конкурентами, преступниками, хакерами);
? предложена модель возможных внутренних и внешних нарушителей информационной безопасности предприятия с учетом их признаков: категории, мотивации, квалификации, возможностей;
? разработана процедура оценки информационных рисков в среде СУБД MS Access, включающая в себя следующие этапы: инвентаризация и категорирование информационных ресурсов предприятия; определение уровней конфиденциальности, целостности и доступности информации и расчет уровня риска для каждого информационного ресурса;
? предложен план мероприятий по снижению информационных рисков предприятия (инженерно-технических, организационных, правовых), включающий перечень контрмер нейтрализации угроз, реализация которых позволяет обеспечить оптимальный уровень затрат на информационную безопасность;
? разработаны рекомендации по расчету экономической эффективности затрат на информационную безопасность предприятия;
? составлена блок-схема алгоритма расчета экономической эффективности и формирования бюджета расходов на информационную безопасность.
Апробация работы. Основные теоретические положения и результаты диссертации доложены, обсуждены и одобрены на заседаниях кафедры Информационных технологий РЭА им. Г.В. Плеханова, на международных научных конференциях «Плехановские чтения» (Москва, РЭА, 2002 г.), «Молодежь и экономика» (Ярославль (Военный финансово-экономический университет, 2002 г.), «Свет науки молодой» (Ярославский государственный университет, 2004 г.), «Инновационное развитие экономики: теория и практика» (Ярославский государственный университет, 2005 г.). Основные результаты исследования успешно применяются в практической
•і
деятельности ОАО «Московское монтажное управление специализированное»,
ЗАО «Доркомтехника».
Публикации. Основные положения диссертации отражены в 8 опубликованных работах общим объемом 2,4 п.л.
Логика и структура исследования. Логика исследования определяет структуру работы, которая состоит из введения, трех глав, заключения, списка литературы и 10 приложений. Диссертация содержит 152 страницы текста, 12 таблиц и 25 рисунков. Список использованной литературы вклю
Задачи и уровни обеспечения информационной безопасности
Информационная безопасность представляет собой сложную и многогранную проблему. Она должна обеспечиваться для всех экономических агентов и хозяйствующих субъектов, т.е. населения - основного носителя информации, предприятий и организаций, а также для государства в целом. Определим, прежде всего, задачи и уровни обеспечения ИБ, включающие в себя заинтересованные в ИБ субъекты (рис. 2).
Задачи ИБ состоят в том, чтобы обеспечить четыре основные характеристики информации, а именно: доступность, целостность, конфиденциальность и достоверность. Под этими терминами принято понимать соответственно: способность систем представлять своевременный беспрепятственный доступ к информационным ресурсам субъектов, обладающих соответствующими правами; защиту от сбоев, ведущих к потере информации, защиту от несанкционированных изменений или уничтожения данных; ограниченный доступ к информации, предназначенной только для авторизированного пользователя; общую полноту и точность воспринимаемой информации.
Наиболее важным и сложным для реализации на практике аспектом ИБ является обеспечение ее конфиденциальности. Существуют три основные причины, приводящие к потере конфиденциальности информации: разглашение, утечка и несанкционированный доступ (рис. 3).
Под разглашением понимается событие, приведшее в результате преднамеренных или неумышленных действий к получению информации субъектами, не обладающими соответствующими правами. Разглашение может осуществляться различными способами. Это могут быть сообщение, передача, пересылка, публикация, утеря и т.п. Осуществляется разглашение формальными и неформальными средствами предоставления информации. К формальным каналам следует отнести переговоры, деловые встречи, совещания и т.п. Неформальными каналами служат личные встречи, переписка, выставки, конференции, средства массовой информации и т.п. Обычно, разглашение конфиденциальной информации происходит в результате некомпетентности сотрудников, невыполнения правил защиты секретных сведений.
Под утечкой мы понимаем неконтролируемый процесс передачи конфиденциальной информации за пределы предприятия или определенного круга лиц. Реализация утечки конфиденциальной информации происходит при помощи технических каналов. Каналом утечки информации называется физический путь конфиденциальных сведений, используя который злоумышленник может получить доступ к охраняемым информационным ресурсам. Каналы утечки информации классифицируются по способу переноса информации на: материально-вещественные, акустические, визуально-оптические и электромагнитные.
Несанкционированным доступом называется преднамеренное действие, направленное на получение конфиденциальной информации лицом, не обладающим соответствующими правами доступа к ней. Осуществляется несанкционированный доступ при помощи различных методов, к которым относятся подкуп сотрудников, насильственное склонение к сотрудничеству, непосредственное проникновение на объект и др.
Оценка и планирование информационных рисков предприятия
В настоящем разделе диссертации предлагаются рекомендации по оценке и планированию информационных рисков предприятия, включая процедуру оценки информационных рисков, предназначенную для исследования состава информационных ресурсов, функционирующих в автоматизированной системе предприятия, определения их ценности, уязвимостей, оценки ожидаемых потерь. Данная методика является основой для формирования комплекса мер по противодействию возможным угрозам. Процедура оценки предполагает проведение ряда последовательных мероприятий (рис. 21), где ключевыми являются инвентаризация всех информационных ресурсов и их точное категорирование.
Для начала проведения информационного исследования формируется специальная рабочая группа, в состав которой входят специалисты, отвечающие за ИБ (при наличии таковых) и администрирование автоматизированной системы предприятия. Руководство предприятия издает распоряжение, в котором наделяет членов рабочей группы определенными полномочиями, а также дает указания начальникам отделов об оказании содействия созданной группе в исследовании.
Процедура оценки информационных рисков Рабочая группа разрабатывает анкеты, в которых предлагается указать: задачи, выполняемые с использованием автоматизированной системы и их описание (приложение 3); информационные ресурсы, необходимые для выполнения работы, с указанием уровня их конфиденциальности, целостности и доступности (приложение 4); технические и программные средства, используемые для решения задач (приложение 5).
В связи с разнообразием хранимых, обрабатываемых информационных ресурсов, различной их ценностью для предприятия и вероятных злоумышленников, введем четыре уровня конфиденциальности, целостности и доступности защищаемой информации, а именно: нулевой уровень - к этой категории относится «не важная» информация, которая не требует введения ограничений на распространение и использование; низкий уровень - к этой категории относится «важная» информация, потеря одного из свойств информации приведет к нанесению незначительного ущерба предприятию; средний уровень - к этой категории относится «очень важная» информация, потеря любого из свойств информации приведет к нанесению значительного ущерба предприятию; высокий уровень - к этой категории относится «жизненно важная» информация, нарушение целостности или конфиденциальности которой приведет к нанесению наибольшего ущерба предприятию.
Введем балльные оценки ценности информационного ресурса (Asset Value, AV) в зависимости от его принадлежности к описанным выше уровням категорирования информации (табл. 1).
Бланки анкет передаются начальникам подразделений, которые, в свою очередь, назначают ответственных лиц из своих отделов за проведение инвентаризации информационных ресурсов. При проведении информационного исследования необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной, но и информацию, подлежащую защите в силу того, что нарушение ее целостности (искажение, фальсификация) или доступности (уничтожение, блокирование) может нанести ощутимый ущерб бизнесу предприятия.
По окончании исследования назначенные лица возвращают заполненные анкеты в рабочую группу. На основании проведенного анкетирования составляется общий перечень информационных ресурсов, циркулирующих в автоматизированной системе. При этом следует учитывать, что одна и та же информация в разных подразделениях может называться по-разному и наоборот.
Используя матрицу балльной оценки ценности информационного ресурса, составим перечень наиболее значимой для предприятия информации (табл. 2).
Формирование плана мероприятий по снижению информационных рисков
Для того чтобы свести к минимуму возможность нарушения ИБ, следует разработать план мероприятий (комплекс мер) по снижению информационных рисков и повышению эффективности системы ИБ (рис. 23). План мероприятий включает меры правового, организационного характера и программно-технические средства защиты, направленные на предотвращение различных типов угроз (табл.
Выбранная мера с заданным уровнем защиты определяет процент снижения информационного риска (табл. 9). Также отметим, что высокий уровень защиты обязательно должен включать все мероприятия предыдущих уровней.
В табл. 7 содержится перечень мероприятий, которые являются широко распространенными на практике и действительно применяются в различных сочетаниях на обследованных автором предприятиях. Автором в данном случае предложен более чем достаточный комплекс контрмер рассмотренным ранее угрозам.
Основная задача настоящего этапа исследования заключается в аргументированном выборе из представленного множества тех контрмер, реализация которых позволит обеспечить оптимальный уровень затрат для поддержания достаточной защищенности информационных ресурсов.
Для каждой из предложенных контрмер автором охарактеризованы уровни защиты информационных ресурсов: низкий - средний - высокий, которые могут быть реализованы путем соответствующего финансирования планируемых контр мер на тех же низком - среднем - высоком уровнях. Например, в вопросе подбора кадров низкий уровень защиты обеспечивается применением со стороны работода теля испытательного срока. Средний уровень защиты достигается путём обучения работника кадровой службы специальным навыкам физиономического контроля и т.д., которые снижают риск приема на работу «случайных» людей. Наконец, высокий уровень защиты гарантирован в наибольшей степени, если испытательный срок и постоянная переподготовка кадровиков сочетаются с наймом потенциального работника, подобранного и рекомендованного кадровым агентством. Естественно, третий вариант найма сотрудника для предприятия является самым дорогостоящим.
Обращает на себя внимание тот факт, что наибольшее количество мероприятий относится к инженерно-техническому обеспечению ИБ, заметно меньше коли-чество организационных мероприятий и еще меньше правовых. Однако это не значит, что важность последних не значительна. Напротив, следует отметить, что первоочередным направлением расходования финансовых ресурсов является финанси рование разработки Положения по ИБ, а также мероприятий по работе с кадрами.
Без достаточной формализации управленческих подходов, организованности и подготовленности персонала в вопросах ИБ не имеют большого смысла существенные денежные вливания в инженерно-техническое обеспечение.
Все представленные в табл. 7 контрмеры закодированы для того, чтобы удобнее было формировать комплексы контрмер S, (где і - порядковый номер) для противостояния конкретным угрозам.
В целях реализации поставленных задач по снижению рисков, представленных в табл. 6, наметим комплекс мероприятий для каждой из рассмотренных ранее моделей нарушителей. Систематизируем эту информацию и представим в виде табл. 8.
Приступая к планированию остаточных (фоновых) рисков, сделаем вполне разумное и исходящее из практики предположение об ограниченности финансовых ресурсов, которые будут выделены службе ИБ предприятия для формирования бюджета по снижению угроз информационным ресурсам. Следуя намеченной логике, примем в качестве допустимого уровень риска не более 108 баллов (табл. 6).
Таблицу 9 скомпонуем в порядке убывания исходного риска ALE сверху вниз (столбец 9), указав в первом столбце порядковый номер строк из табл. 6, в которой были исчислены эти исходные риски. В табл. 9 каждой модели нарушителя соот-ветствует совокупность мероприятий (комплекс контрмер Si), направленных на снижение исходных рисков. Получается, что для противодействия угрозе Т9 всем трём исследуемым информационным ресурсам IR1-IR3, угрозам Т2 и Т6 в отноше ний второго и третьего ресурсов и угрозе ТІ в адрес третьего ресурса при соответствующих моделях нарушителей необходимо задействовать комплексы контрмер S2-S4, S13,S18HS23.
Содержимое первой строки табл. 9, например, следует трактовать следующим образом. Для уменьшения исходного риска несанкционированного копирования или чтения информации ALE = 243 балла до остаточного значения ALEn =81 балл (угроза со стороны нелояльных сотрудников предприятия в сговоре с конкурентами) рекомендуется задействовать комплекс контрмер S18, который включает работу по подбору кадров, ограничению числа пользователей АРС, разграничению доступа, предполагает наличие паролей, идентификацию и проведение ряда других организационных мероприятий и мер инженерно-технической защиты (см. табл. 7 и 8). Аналогичным образом можно «расшифровать» записи следующих строк табл. 9, где курсивом выделены исходные риски, которые планируется понизить путем реализации также указанных курсивом контрмер S2 - S4, S13, S18 и S23.
При формировании реального плана мероприятий по снижению угроз информационным ресурсам рассмотрим более детально все мероприятия, которые охвачены перечисленными контрмерами. Причем сделаем это применительно к условному предприятию, аналогичному тем, которые были обследованы автором в ходе работы над диссертацией.
Расчет затрат на информационную безопасность и оценка их эффективности
Определение затрат на ИБ и оценку их эффективности покажем на примере небольшой компании с годовым оборотом в 148 млн. руб., в которой работают около 50-ти человек. Имеется корпоративная компьютерная сеть с тридцатью рабочими станциями и два сервера, один из которых доступен ограниченному кругу лиц -бухгалтерам и менеджерам по продажам. На этом сервере инсталлирован бухгалтерский комплекс. Второй сервер доступен всем пользователям и содержит информацию широкого профиля: делопроизводство, договоры, служебная документация (протоколы собраний), техническая документация и т.д. Разграничение доступа, наличие паролей, резервное копирование, антивирусная защита и прочие типовые мероприятия организованы силами администратора сети, инженера по ИТ и находятся на примитивном уровне. Если использовать терминологию табл. 7, то можно сказать, что уровень защиты равен единице, т.е. является низким.
Разработанный в разделе 2.3 план мероприятий по повышению ИБ используем для формирования бюджета ИБ, основными статьями которого являются: расходы на программное обеспечение (ПО); расходы на оборудование (аппаратное обеспечение); операционные расходы; административные расходы; расходы на покрытие убытков от простоев.
Расходы на аппаратные средства и программное обеспечение включают затраты на приобретение и содержание серверов, компьютеров пользователей (настольных и мобильных), периферийных устройств и сетевых компонентов.
Операционные расходы - это прямые затраты на оплату труда персонала, услуги сторонних организаций (в том числе по технической поддержке ПО, техническому обслуживанию оборудования и пр.), произведенные компанией в целом, биз-нес-подразделениями или отделом информационных технологий для осуществления технической поддержки и обеспечения инфраструктуры всех составляющих информационной системы компании.
Административные расходы - это затраты на управление системой защиты, которые включают заработную плату администраторов безопасности и другого персонала, связанного с системой обнаружения атак и модернизацией ее программно-аппаратного обеспечения. К этой статье относятся услуги сторонних организаций в сфере реагирования на инциденты безопасности.
Ущерб от простоев обусловливает необходимость осуществления расходов на покрытие последствий технических сбоев корпоративной информационной систе мы.
По данным исследования «ИТ на российских предприятиях: практика и перспективы», проведенного в рамках проекта iOne, уровень затрат на ИТ в российских фирмах колеблется от 0,5 до 2,0% от оборота (объема продаж),1 причем уровень затрат во многом зависит от отрасли, так как разные отрасли требуют соответствующей стратегии автоматизации. Поскольку работа телекоммуникационных компаний в значительной степени зависит от информационных технологий, то и уровень затрат на ИТ в таких компаниях гораздо выше, чем, к примеру, на промышленных предприятиях машиностроения. Финансовые эксперты в области ИТ рекомендуют каждому предприятию выбирать для себя определенный бенчмарк (benchmark - отметка уровня, эталон), в качестве которого может выступать показа 1 Стратегия компании в области информационных технологий//Финансовый директор, 2003, № 7 (июль). тель наиболее эффективно работающих компаний в той отрасли, на которую оно будет ориентироваться.
Учитывая, что на рассматриваемом нами предприятии ИТ носят вспомогательный характер, с достаточной для практических расчетов точностью принимаем уровень затрат на ИТ ниже среднероссийского значения, а именно - 0,8%. Таким образом, годовой бюджет ИТ будет составлять 0,8 х 148,0 =1,184 млн. руб.
Чтобы перейти от годового объема затрат на ИТ к затратам на ИБ, необходимо знать их соотношение. В профессиональной литературе встречаются источники, которые по-разному интерпретируют долю затрат на ИБ в бюджете ИТ. Так, например, проведенное KPMG в 2002 г. исследование «Global Information Security Survey» установило, что в среднем 10,1% бюджетов ИТ было потрачено на ИБ (цифра варьируется по отраслям: финансовый сектор - 11,6%, промышленность и торговля - 8,3%, коммуникации и сфера услуг - 11,6%, госсектор и инфраструктура - 8,7%).1
В соответствии с исследованиями Forrester, проблемы безопасности по-прежнему остаются приоритетом для ИТ-менеджеров. По данным за 2004 г., как американские, так и европейские компании потратили в среднем 7,9% своих ИТ-бюджетов на ИБ.2 По мнению Минаева В. и Карпычева В., стоимость системы ИБ не должна превышать определенную сумму, как правило, не более 20% от стоимости информационной системы.