Введение к работе
Актуальность работы. Эффективное функционирование современной национальной банковской, торговой, депозитарной и других систем возможно только на основе автоматизации всех или большинства бизнес-процессов, осуществляемых в рамках развитых автоматизированных информационных систем (АИС). Одной из важнейших проблем, возникших в связи с широким применением современных информационных и телекоммуникационных технологий в сфере экономики, в настоящее время стала проблема обеспечения информационной безопасности (ИБ) финансовых структур. Сосредоточение в АИС огромных масс чрезвычайно важной конфиденциальной информации, опасность ее несанкционированного и злонамеренного использования возводят эту проблему в ранг первостепенных задач обеспечения информационной безопасности.
Для решения этой проблемы в каждом отдельном случае должна быть разработана сильная техническая политика обеспечения ИБ, формирование которой связано с рядом специфических особенностей АИС.
Обслуживая финансовую структуру, АИС концентрирует, хранит, обрабатывает и передает информацию - сведения об инвесторах, вкладчиках, кредиторах и депонентах, ценных бумагах, счетах и сделках. Значительная часть этой информации носит конфиденциальный характер.
Информационная безопасность (ИБ) - такое состояние информации, информационных ресурсов и АИС, при котором с требуемой вероятностью обеспечивается защита информации от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.
Для защиты АИС и информации в ней создается система обеспечения информационной безопасности (СОИБ), которая включает технические (аппаратные) и программные средства защиты, а также организационные мероприятия, проводимые персоналом АИС и службы безопасности.
ИБ АИС при фиксированных ресурсах СОИБ определяется эффективностью технической политики обеспечения информационной безопасности. Поэтому разработка методики формирования технической политики ИБ является актуальной задачей, решению которой посвящена настоящая работа.
Объект и предмет исследования. Объектом исследования
является СОИБ автоматизированной системы депозитарного обслуживания (АСДО) территориально распределенных клиентов Национального Депозитарного Центра (НДЦ). Предмет исследования в диссертации - техническая политика обеспечения ИБ АСДО. Под технической политикой информационной безопасности понимается основополагающие положения, которые определяют решения НДЦ в отношении обеспечения безопасности АСДО техническими и организационными средствами защиты информации.
Научная задача заключалась в разработке и исследовании моделей обеспечения информационной безопасности АСДО, учитывающих эволюцию состояния программных и аппаратно-программных СЗИ в условиях действия потенциальных угроз, и создании на их основе методики обоснования технической политики обеспечения ИБ АСДО. Необходимость и важность решения этой задачи обусловлены тем, что возникло объективное противоречие между весьма высокими требованиями к ИБ АСДО, возможностями современных СЗИ по удовлетворению этих требований и недостаточно полной и глубокой разработкой теории и практики исследования технической политики обеспечения информационной безопасности автоматизированных информационных систем.
Научная новизна задачи. Заключается в разработке и исследовании комплекса оригинальных математических моделей обеспечения ИБ АСДО, основанных на использовании аппарата управляемых полумарковских процессов (УПМП), который применяется для решения задач обоснования технической политики обеспечения ИБ АСДО. Получены новые результаты, которые состоят в том, что в диссертации:
сформулированы основные понятия и определения технической политики обеспечения информационной безопасности сложных АИС;
разработан и исследован комплекс математических моделей обеспечения ИБ АСДО, основанных на методах теории марковских цепей (МЦ) и полумарковских процессов (ПМП),
разработаны статистическая имитационная модель и моделирующий алгоритм, позволяющие снять ограничения стационарности, ординарности и отсутствия последействия, характерные для аналитических моделей процессов взлома системы защиты;
разработаны и исследованы оригинальные итерационный и модифицированный итерационный алгоритмы поиска нерандомизированной стратегии управления, порождающий системотехнические характеристики политики обеспечения ИБ АСДО;
разработана методика оптимального размещения СЗИ на объектах АСДО.
Практическая ценность работы. Заключается в том, что в ней предложены:
методический аппарат, включающий инженерные алгоритмы определения характеристик технической политики обеспечения ИБ АСДО;
методики, позволяющие исследовать эффективность принимаемых решений по защите конфиденциальной информации АСДО на различных стадиях ее жизненного цикла;
технические решения и организационные мероприятия, направленные на совершенствование политики обеспечения ИБ АСДО.
Достоверность полученных теоретических и практических результатов. Обеспечивается строгим доказательством основных теоретических положений и утверждений, проверкой непротиворечивости отдельных результатов диссертации результатам, полученным другими методами и подтвержденных практикой, апробацией результатов в печати, в государственных и коммерческих организациях.
Результаты работы реализованы в промышленности, научных организациях и в учебном процессе:
при разработке концепции политики обеспечения ИБ АСДО, перспективных планов развития АСДО, руководящих документов: "Концепции технического развития НДЦ" и "Перспективного плана технического развития НДЦ";
при разработке и обосновании требований и технических заданий на создание и модернизацию технического комплекса АСДО (МО ПНИЭИ, ООО "ТехИнфорКонсалтинг");
при совершенствовании системы защиты информации АСДО (Компания "СМА Small System АВ", НДЦ);
при организации СОИБ на объектах АСДО (НДЦ).
Апробация работы и публикации. Основные результаты диссертационной работы общетеоретического, и прикладного характера, ежегодно, начиная с 1995, года докладывались на научно-технических конференциях и семинарах, проводимых рядом научно-исследовательских, конструкторских и производственных организаций.
Результаты работы опубликованы в 13 печатных изданиях, в том числе в 6 журнальных статьях, в 3 статьях в научно-методических рекомендациях и в 3 тезисах докладов.