Введение к работе
з
Актуальность темы. Внедрение современной компьютерной техники и средств коммуникаций в практику деятельности государственных организаций и коммерческих фирм, кроме существенных положительных сторон, имеет также негативный момент. Предупреждения о возможности реализации преступлений с использованием вычислительной техники появились достаточно давно. Но, вопреки этому, криминальные аспекты процесса компьютеризации рассматривались только в узком кругу специалистов-экспертов, и их мнения относительно опасности последствий существенно расходились.
В качестве объекта компьютерных преступлений выступает, прежде всего, информация, не подлежащая распространению по общедоступным каналам и характеризующая научный, производственный и коммерческий потенциал или конфиденциальные сведения. Кроме того, объектом может быть также персональный компьютер и его активный (процессор) и пассивный (память) ресурсы, компьютерная сеть, базы данных, программное обеспечение и т.д. В отдельных случаях, при реализации компьютерных преступлений, в качестве объекта могут выступать отношения пользователей, нарушение которых приводит к потере доверия к поступающей информации, сокрытию несанкционированного доступа и т.д. Реализацией подобных преступлений могут заниматься индивидуальные и коллективные злоумышленники.
Актуальность данной темы обусловлена множеством фактов нарушения информационной безопасности, которые повлекли за собой огромные материальные потери. В частности, в 1994 году петербургский программист проник в компьютерную систему СИТИБАНКА и незаконно перевел 2.8 миллиона долларов на счета своих сообщников в США, Швейцарии, Нидерландах, Израиле1. В 1993 году была совершена попытка хищения более 68 млрд. рублей (по курсу того времени - порядка 68 млн. долларов США) путем манипуляций с данными в компьютерных сетях Центрального Банка России2. Развитие мировой компьютерной сети InterNet обуславливает появление новых каналов несанкциониро-
1 Никофоров И. Компьютерные преступления/ЛСонфидент. Зашита информации".-1995, Х»5,с.17-24.
2 Отчет Министра Внутренних Дел Российской Федерации перед гражданами РоссииУ/Российская газета
от 11 марта, 1995.
ванного доступа к информационным ресурсам. По оценкам американских специалистов только в США убытки в 1995 году составили порядка 5 млрд. долларов3.
Приведенные примеры констатируют, что опасность несанкционированных действий по отношению к информационным ресурсам является не просто реальной, но принимает угрожающий характер и требует разработки и принятия адекватных мер по их защите.
Основными группами факторов, способствующих распространению компьютерных преступлений являются: экономические, технические и правовые. К первой группе следует отнести внедрение рыночных отношений, изменение форм собственности, отказ от государственного регулирования в экономике, становление новой сферы предпринимательской деятельности - информационного бизнеса и др.
Ко второй группе относят рост используемых персональных компьютеров, развитие компьютерных систем и коммуникаций, "дружественность" и доступность широкого спектра программных продуктов и т.д.
Отдельную группу образуют правовые вопросы. Это объясняется главным образом непроработанностью многих юридических аспектов относительно возможности функционирования информации в качестве специфического товара и ресурса, сложностями закрепления авторского права на программные продукты, а также получившим распространение "компьютерным пиратством".
Отличительной чертой государственных экономических информационных систем (ЭИС) является директивный подход к построению системы информационной безопасности я выбору соответствующих компонентов. Требуемый уровень безопасности определяется прежде всего государственными интересами, и только потом величиной затрат на ее обеспечение. И, наоборот, в ЭИС коммерческого назначения, право выбора средств и методов по обеспечению информационной безопасности принадлежит ее собственнику, который исходит из финансовых возможностей и существующих ограничений. Проектные решения по безопасности ЭИС коммерческого назначения определяются конкретными тре-
5 Казахов Н. Хотите сэкономить - вкладывайте деньги в информационную безопасность. //Компьютер и право.-1996, №14, с. 12-13.
бованиями и условиями эксплуатации ( эффективностью защиты, ее стоимостью, эксплуатационными расходами на подцержание информационной безопасности и др.). Особую важность при проектировании системы информационной безопасности (СИБ) ЭИС коммерческого назначения имеют вопросы экономического обеспечения жизненного цикла СИБ. К компонентам экономического обеспечения относится оптимизация структуры СИБ, оценка экономической эффективности, методики выбора оптимальных вариантов СИБ с экономической точки зрения, оценки инвестиционной привлекательности проектов СИБ и др. Именно эти вопросы на сегодняшний день недостаточно проработаны и исследованы.
Недостаточное научное и методическое обоснование, а также слабая практическая проработка положений по формированию СИБ коммерческих ЭИС обусловили выбор темы исследования, определили цель, структуру и содержание настоящей работы.
Цель и задачи исследования. Целью диссертационного исследования является построение теоретических и методологических положений, математического аппарата, методических подходов и программных средств, позволяющих оптимизировать процессы проектирования и эксплуатации СИБ коммерческих ЭИС.
В соответствии с поставленной целью, в работе сформулированы и решены следующие основные задачи:
проведен анализ современного состояния систем информационной безопасности коммерческих ЭИС, их особенностей и перспектив развития;
исследованы существующие подходы к проектированию систем информационной безопасности, методы организации и управления;
осуществлено исследование преднамеренных угроз безопасности ЭИС коммерческого назначения;
исследованы качественные и количественные параметры средств обеспечения безопасности информации;
разработан формальный аппарат описания оценки экономических аспектов эффективности системы информационной безопасности коммерческих ЭИС;
разработано математическое и программное обеспечение размещения эле-
6 ментов системы информационной безопасности по критерию эффективность-стоимость;
- определены показатели эффективности предлагаемых решений.
Предмет и объект исследований. Предметом исследований являются правовые, организационно- административные, технологические и экономические процессы функционирования системы информационной безопасности ЭИС. В качестве объекта исследования выступает экономическая информационная система коммерческого назначения.
Методика исследования. В процессе исследования проанализированы и использованы достижения отечественных и зарубежных специалистов по вопросам теории и практики проектирования и эксплуатации ЭИС, машинной обработке экономической информации, организации информационно-вычислительного обслуживания, обеспечения безопасности информационных процессов. Теоретическую и методологическую основу исследования составляет системный подход к обеспечению информационной безопасности, методы системного анализа, экономике- математического моделирования н экспертных оценок, элементы теории сложных систем, теории графов, множеств и матричной алгебры.
Научная новизна диссертации. В диссертации поставлена и решена новая актуальная задача по разработке и обоснованию теоретических положений, реализации практических рекомендаций по построению системы информационной безопасности ЭИС коммерческого назначения с экономической точки зрения.
Научную новизну содержат следующие положения и результаты исследования:
концепция системы информационной безопасности ЭИС коммерческого назначения;
классификация программных злоупотреблений;
формализованные постановки задач размещения и анализа элементов системы информационной безопасности;
формальное описание процессов взаимодействия нарушителя и системы информационной безопасности;
методика оценки привлекательности угроз;
методология оценки экономической эффективности СИБ ЭИС коммерческого назначения;
подход к оценке инвестиционной привлекательности СИБ и аппарат оценки предпочтительности вариантов СИБ с точки зрения их экономической целесообразности.
Элементы новизны характерны для разработанного программного обеспечения по выработке рекомендаций размещения элементов системы информационной безопасности ЭИС.
Практическая значимость, апробация и внедрение результатов работы. Результаты проведенного исследования могут быть использованы фирмами и организациями, занимающимися разработкой и внедрением систем информацибн-ной безопасности ЭИС коммерческого назначения.
Практическое значение имеют предложения по совершенствованию процессов проектирования систем информационной безопасности: концепция построения СИБ ЭИС; классификация преднамеренных угроз и программных злоупотреблений; результаты исследования свойств полиморфизма программных злоупотреблений; рекомендации по тактическому и стратегическому опережению действий нарушителя; программное обеспечение системы задач по проектированию СИБ, анализу и размещению элементов информационной безопасности.
Предложенный в работе комплекс подходов к оценке экономической эффективности СИБ ЭИС коммерческого назначения, предпочтительности вариантов СИБ, а также инвестиционной привлекательности вариантов проектов СИБ используется в деятельности НТО "Информационные технологии и системы".
Отдельные положения и рекомендации диссертационной работы использовались при. разработке системы информационной безопасности Национального банка Республики Молдова, проектировании Государственного Регистра населения Республики Молдова, других коммерческих ЭИС, обсуждались и получили положительную оценку на 3-х научных конференциях, семинаре по информационной безопасности.
Публикации. Основные положения диссертации отражены в 10 работах общим объемом 12.3 п.л.
Структура работы. Диссертация состоит из введения, трех глав, заключения, списка используемой литературы и приложений.
