авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:   || 2 | 3 | 4 |
-- [ Страница 1 ] --

П. П. Парамонов,

А. Г. Коробейников, И. Б. Троников, И. О. Жаринов

Методы и модели оценки инфраструктуры

системы защиты информации в корпоративных сетях

промышленных предприятий

Монография

Санкт-Петербург

2012

1

УДК 004.056

ББК 32.81

К-68

Рецензент:

Доктор физико-математических наук, профессор Ю. А. Копытенко, Санкт-Петербургский филиал Института земного магнетизма, ионосферы и распространения радиоволн им. Н. В. Пушкова (СПбФ ИЗМИРАН) Коробейников А.Г., Троников И.Б., Жаринов И.О.

К68 Методы и модели оценки инфраструктуры системы защиты инфор мации в корпоративных сетях промышленных предприятий: монография / Под ред. П.П. Парамонова. СПб: Изд-во ООО «Студия «НП-Принт», 2012. — 115 с.: ил.

ISBN 978-5-91542-146- В монографии рассмотрены основополагающие принципы построе ния инфраструктуры системы защиты информации в корпоративных се тях современных промышленных предприятий. Приведены методы и ма тематические модели оценки качества средств защиты. Модели учитыва ют вероятностную природу угроз и систему бинарных правил специали зации каждого средства защиты для соответствующего вида угрозы ин формационной безопасности предприятия.

Показано, что для парирования угроз несанкционированного досту па к системе безопасности предприятия в модели «злоумышленник– система защиты» может быть использован процессный подход к описа нию действий нарушителей и адекватных им механизмов защиты. Приве дены виды и классификация используемых сегодня на практике средств защиты, а также рекомендации по порядку их применения.

Монография предназначена для специалистов в области информа ционной безопасности и защиты информации, а также для аспирантов и студентов старших курсов вузов, обучающихся на приборостроительных специальностях.

УДК 004. ББК 32. © П. П. Парамонов, © А. Г. Коробейников, © И. Б. Троников, © И. О. Жаринов, СОДЕРЖАНИЕ Список сокращений.………………………………………………………… Предисловие.…………………………………………………………………..

Введение.……………………………………………………………………….

1. Анализ тенденций и закономерностей развития инфраструктуры систе мы защиты информации на промышленном предприятии.…..

1.1. Основные понятия и структурные составляющие.………………….. 1.2. Сущность и содержание информационной безопасности промышленного предприятия.…………………………………………………. 1.2.1. Основные задачи информационной безопасности предпри ятия.

…………………………………………………………….... 1.2.2. Классификация угроз информационной безопасности корпоратив ной бизнес–системы…………………………………........ 1.2.3. Обоснование требований к инфраструктуре системы защиты ин формации…………………………………………………….. 1.2.4. Система управления информационной безопасностью…….... 1.2.5. Основные процедуры СУИБ…………………………………... 1.3. Идентификация проблемы совершенствования инфраструктуры системы защиты информации на промышленном предприятии…… 1.4. Выводы…………………………………………………………………. 2. Принципы обеспечения информационной безопасности на промышлен ном предприятии………………………………………………… 2.1. Концептуальные положения обеспечения информационной безопасности на промышленном предприятии…………………………... 2.2. Концептуальная модель формирования инфраструктуры системы защиты информации на промышленном предприятии……………... 2.3. Оптимизация инфраструктуры системы защиты информации на промышленном предприятии……………………………………….... 2.4. Оценка затраты на систему информационной безопасности……….. 2.5. Выводы…………………………………………………………………. 3. Разработка моделей и методов оценки инфраструктуры системы защиты информации на промышленном предприятии……………....

3.1. Анализ моделей формирования инфраструктуры системы защиты информации……………………………………………………………. 3.2. Методы оценки информационной защищенности от несанкционирован ного доступа…………………………………………………….. 3.3. Модель оценки уровня защищенности информации от перехвата…. 3.3.1. Обоснование целесообразности использования метода нечеткого моделирования для вычисления показателей защищенности ин формации от перехвата…………………………. 3.3.2. Фаззификация исходных данных…………………………….... 3.3.3. Оценка качества защищенности информации от перехвата..... 3.3.4. Дефаззификация результатов………………………………….. 3.4. Методы оценки защищенности от сбоев……………………………... 3.5. Метод оценки защищенности от несанкционированного вмешательст ва……………………………………………………………….... 3.6. Метод комплексной оценки информационной защищенности бизнес процессов………………………………………………………….. 3.7. Модель выбора оптимизируемых показателей информационной защи щенности…………………………………………………………. 3.8. Модель выбора варианта инфраструктуры защиты информации бизнес процессов……………………………………………………... 3.9. Выводы………………………………………………………………… 4. Разработка имитационной модели для комплексной оценки средств за щиты информации бизнес-процессов на промышленном предпри ятии………………………………………………………………..

4.1. Основные свойства имитационной модели………………………….. 4.2. Структура имитационной модели…………………………………….. 4.3. Синтез инфраструктуры системы защиты информации промышленного предприятия………………………………………………….. 4.4. Автоматизированная система мониторинга и пути совершенствования инфраструктуры защиты информации промышленного предпри ятия……………………………………………………………. 4.5. Выводы…………………………………………………………………. 5. Безопасность корпоративных сетей промышленных предпри ятий…………………………………………………………………………..

5.1. Основные проблемы безопасности на промышленном предпри ятии…………………………………………………………………….. 5.2. Классификационные признаки корпоративных сетей………………. 5.3. Система управления безопасностью корпоративной сети………….. 5.4. Современные технологии защиты корпоративных сетей………….... 5.5. Внутренние злоумышленники в корпоративных сетях……………… 5.6. Защита корпоративных сетей от внутренних злоумышленников….. 5.6.1. Противодействие пассивным методам воздействия…………. 5.6.2. Противодействие активным методам воздействия…………... 5.7. Выводы…………………………………………………………………. Заключение…………………………………………………………………….

Список используемых источников литературы……………………….....

СПИСОК СОКРАЩЕНИЙ АРМ – автоматизированное рабочее место;

АС – автоматизированная система;

БД – база данных;

ИА – информационные активы;

ИБ – информационная безопасность;

ИЗИ – инфраструктура защиты информации;

ИМ – информационный массив;

ИС – информационная система;

ИТ – информационные технологии;

КИС – корпоративная информационная система;

КС – корпоративная сеть;

ММ – математическая модель;

НСД – несанкционированный доступ;

ОС – операционная система;

ПО – программное обеспечение;

ППП – пакет прикладных программ;

СЗИ – система защиты информации;

СУИБ – система управления информационной безопасностью.

ПРЕДИСЛОВИЕ Предлагаемая монография подводит промежуточный итог многолетней деятельности авторов в области разработки математических моделей и методов оценки качества средств защиты информации, используемых в корпоративных сетях промышленных предприятий.

Современные промышленные предприятия осуществляют выпуск сложной продукции, интеллектуальной составляющей которой является новое научно техническое знание (ноу-хау), подлежащее информационной защите. Помимо ноу-хау защита на предприятиях должна осуществляться в отношении коммер ческой, банковской, медицинской, государственной и др. видов информации (тайн) в зависимости от сферы деятельности конкретного предприятия.

В этой связи проблема обеспечения информационной безопасности пред приятий приобретает особую актуальность, поскольку напрямую влияет на экономическую эффективность работы предприятия, а в ряде случаев, когда деятельность предприятия осуществляется в государственных интересах, и на обороноспособность страны в целом.

Таким образом, проблему обеспечения информационной безопасности предприятия необходимо рассматривать не как отдельную проблему проекти рования изолированной системы защиты информации на предприятии, а как звено в цепочке бизнес-операций, осуществляемых предприятием в своей по вседневной деятельности. Учет бизнес-операций предприятия при проектиро вании системы защиты информации приводит к использованию процессного подхода к управлению предприятием, специфике применения которого как раз и посвящена данная монография.

Введение и материалы первой главы написаны д.т.н., профессором А.Г.

Коробейниковым, материалы второй, третьей глав и заключения написаны к.т.н. И.Б. Трониковым, предисловие и материалы четвертой главы написаны д.т.н., доцентом И.О. Жариновым, материалы пятой главы написаны д.т.н., профессором П.П. Парамоновым, кроме того им осуществлена общая редакция материалов всех глав книги.

Авторы чрезвычайно признательны д.т.н., профессору О.Ф. Немолочнову, д.т.н., профессору Ю.А. Гатчину, к.т.н., доценту В.И. Полякову, д.т.н., профес сору Ю.И. Сабо, д.т.н., профессору Р.А. Шек-Иовсепянцу, к.т.н., профессору Б.В. Видину, д.т.н., профессору В.О. Никифорову, д.ф.-м.н., профессору Ю.Л.

Колесникову за ценные замечания и рекомендации, сформулированные в про цессе написания книги. Отдельно авторский коллектив выражает благодарность И.Г. Архипову за оказанную им помощь в подготовке книги к изданию.

Авторы заранее также выражают искреннюю благодарность читателям, ко торые сочтут возможным и необходимым прислать в издательство свои пред ложения относительно содержания книги, что могло бы способствовать улуч шению существа обсуждаемых в ней вопросов.

ВВЕДЕНИЕ На современном этапе состояния общества информационные технологии (ИТ) активно внедряются во все сферы национальной экономики. Сегодня ру ководство любого промышленного предприятия, по существу, имеет дело с корпоративной информацией, на основе которой принимаются ответственные решения. Такая информация должна соответствовать требованиям актуально сти, достоверности, структурированности и конфиденциальности.

ИТ в настоящее время являются необходимым атрибутом повышения эф фективности бизнес-процессов, позволяют хозяйствующим субъектам снизить издержки производства, повысить достоверность экономического анализа, пра вильно выбирать стратегию и тактику проведения мероприятий в условиях на ступления форс-мажорных обстоятельств [1]. Одной из наиболее серьезных проблем, затрудняющих применение современных ИТ, является обеспечение их информационной безопасности.

Актуальность и важность проблемы обеспечения безопасности ИТ обу словлены следующими причинами:

— резкое увеличение вычислительной мощности современных компьюте ров при одновременном упрощении их эксплуатации;

— высокие темпы роста парка персональных компьютеров, находящихся в эксплуатации в различных сферах человеческой деятельности;

— резкое увеличение объемов информации, накапливаемой, хранимой на электронных носителях (в виде электронных документов) и обрабатываемой с помощью средств вычислительной техники;

— концентрация информации и сосредоточение в единых базах данных (БД) информации различного назначения и различной принадлежности;

— динамичное развитие программных средств, не удовлетворяющих тре бованиям безопасности;

— резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;

— демократизация доступа к информации, обусловленная развитием как локальных, так и глобальных компьютерных сетей;

— развитие электронной почты и рост электронного документооборота в компьютерных сетях на предприятиях;

— внедрение электронных технологий в различные виды профессиональ ной деятельности на финансовых и товарных рынках (электронная коммерция, сетевые банковские и финансовые услуги);

— развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире.

В результате возникло острое противоречие между возросшими возможно стями методов и средств ИТ и возможностями методов и средств защиты ин формационных ресурсов.

Усложнение средств, методов, форм автоматизации процессов обработки информации повышает зависимость промышленных предприятий от степени безопасности используемых ими ИТ, при этом качество информационной под держки управления напрямую зависит от организации инфраструктуры защиты информации (ИЗИ).

Данные мировой и российской статистики свидетельствуют о тенденции роста масштаба компьютерных злоупотреблений, приводящих к значительным финансовым потерям хозяйствующих субъектов различного уровня. Так, коли чество компьютерных преступлений в Российской Федерации выросло за пери од 1997-2005 гг. приблизительно в 150 раз (с 100 в 1997 году до 15000 в году со среднегодовым темпом роста 88,2%) [2–4]. Ущерб от компьютерных злоупотреблений в мире ежегодно возрастает на 35%.

При анализе имеющихся статистических данных в области компьютерных преступлений необходимо учитывать латентность (сокрытие компаниями) ин формации о компьютерных злоупотреблениях. В Российской Федерации это явление достигает 90% случаев всех преступлений, совершаемых в сфере защи ты информации. Сохраняющаяся тенденция заставляет вносить изменения в стратегию развития компаний и требует более обоснованной организации ИЗИ.

Анализ результатов исследований, ведущихся в направлении обеспечения информационной безопасности (ИБ) ИТ, показывает, что в настоящее время не до конца решены вопросы научного обоснования структуры системы защиты информации (СЗИ), реализуемой на предприятиях. В первую очередь это каса ется инфраструктуры защиты бизнес-процессов, которые в свете современных тенденций организации бизнеса играют решающую роль в достижении успеха хозяйствующим субъектом.

Отмеченные обстоятельства обусловливают противоречие между насущ ной необходимостью научного обоснования концепции построения ИЗИ биз нес-процессов и возможностями теоретико-методологических решений, обес печивающих это обоснование. При этом необходимо учитывать, что процесс ный подход к организации и управлению хозяйственной деятельности предпри ятия требует применения процессно-ориентированных процедур и к формиро ванию самой ИЗИ бизнес-процессов.

Процессно-ориентированный подход к созданию (совершенствованию) ИЗИ бизнес-процессов позволит рассматривать процесс формирования СЗИ как один из вспомогательных процессов, обеспечивающих основные виды деятель ности предприятия. Это дает возможность разработки ИЗИ в тесной взаимосвя зи с проектированием других бизнес-процессов, что, несомненно, увеличит их интегрированность, гибкость, сбалансированность и управляемость.

Для блокирования и предупреждения наиболее вероятных информацион ных угроз на промышленном предприятии должна функционировать такая ИЗИ, которая ориентирована на поддержку бизнес-процессов с учетом структу ры информационных активов промышленного предприятия, а в силу ограни ченности финансовых ресурсов у предприятия, ИЗИ должна формироваться экономически обоснованно (см. рис. 1).

Качественный анализ:

- выявление всего спектра рисков;

- описание рисков;

Идентификация риска - классификация рисков;

- анализ исходных допущений.

Количественный анализ:

- формализация неопределенности;

Измерение рисков - расчет рисков;

- оценка рисков;

- учет рисков.

Минимизация рисков:

- проектирование стратегии;

Оптимизация - выбор оптимальной стратегии;

- реализация стратегии.

Контроль рисков:

- мониторинг рисков;

- переоценка и корректировка Мониторинг рисков;

- оперативные решения по отклонениям.

Рис. 1. Схема оценки рисков при разработке инфраструктуры системы защиты информации на промышленном предприятии В то же время в отечественной и зарубежной теории и практике отсутству ет целостная методология организации ИЗИ, рассматриваемая через призму процессного подхода к управлению промышленным предприятием.

Таким образом, потребность разрешения существующих противоречий в теории и практике создания СЗИ требует дальнейшего развития этих систем и, в частности, ИЗИ бизнес-процессов на промышленном предприятии.

ГЛАВА АНАЛИЗ ТЕНДЕНЦИЙ И ЗАКОНОМЕРНОСТЕЙ РАЗВИТИЯ ИНФРАСТРУКТУРЫ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ 1.1. Основные понятия и структурные составляющие Современная сложная, динамичная и агрессивная внешняя среда требует от российских предприятий поддержания своей информационной инфраструк туры, совершенствования корпоративных схем и бизнес-процессов с точки зре ния их безопасности и контроля [5–7]. Одним из приоритетных направлений эффективного управления предприятием является применение методологии и инструментария процессного подхода к организации и управлению предпри ятием, хотя в российской практике сегодня все еще привычно использование структурного подхода к организации и управлению финансово-хозяйственной деятельностью предприятий [8]. Сравнительный анализ процессного и струк турного подходов к управлению предприятием представлен в таблице 1.1.

В рамках методологии процессного подхода предприятие рассматривается как совокупность бизнес-систем, каждая из которых представляет собой свя занное конечное множество бизнес-операций, целью которых является выпуск на рынок продукции или услуги.

Под бизнес-процессом понимают [3] определенный набор различных ви дов деятельности предприятия, которые в совокупности создают результат (продукт, услугу, в т.ч. информационный), имеющий ценность для конечного потребителя (клиента или заказчика). В качестве заказчика может также высту пать бизнес-процесс более высокого порядка.

С другой стороны [4, 9], бизнес-процесс — это цепочка операций (работ), результатом которой является продукт или услуга. В цепочку могут входить операции, которые выполняются структурными элементами, расположенными на различных уровнях организационной структуры предприятия.

В работе [10] бизнес-процессы определены как совокупность этапов работ, начинающихся от одного и более начальных шагов (входов) и завершающихся созданием продукта (услуги), необходимого клиенту — внешнему или внут реннему.

Таким образом, бизнес-процесс представляет собой совокупность различ ных видов деятельности, в рамках которой «на входе» используются один и бо лее видов ресурсов, и в результате этой деятельности на «выходе» создается продукт, представляющий ценность для потребителя, а не отдельные операции.

Таблица 1. Сравнительный анализ процессного и структурного подходов к управлению промышленным предприятием Процессный подход Структурный подход Ориентирован на бизнес-процессы, Ориентирован на организацион конечными целями выполнения которых ную структуру предприятия является создание продуктов и услуг, представляющих ценность для внутренних и внешних потребителей Система управления предприятием Основан на использовании иерар ориентирована на управление как каждым хической организационной структуры бизнес-процессом в отдельности, так и предприятия всеми бизнес-процессами в целом Система менеджмента качества пред- Организация и управление дея приятия ориентирована на обеспечение ка- тельностью предприятия осуществляет чества технологий выполнения бизнес- ся по структурным элементам (отделе процессов в рамках существующей или ниям, отделам, цехам и т.д.) перспективной организационно-штатной и организационной культуры предприятия Имеет место широкое делегирование Разбиение технологий выполнения полномочий и ответственности исполните- работы на отдельные фрагменты, кото лям рые реализуются различными струк турными элементами организации Сокращение количества уровней Отсутствие цельного описания принятия решений, переход на ресурсос- технологий выполнения работы;

в луч берегающую организационную структуру шем случае существует только фраг предприятия ментальная (на уровне структурных элементов) и то не всегда актуальная документируемость технологий Сочетание принципов целевого Отсутствие ответственного за ко управления с групповой организацией тру- нечный результат и контроль над тех да на предприятии нологией в целом, а также ориентация на клиента (внешнего и внутреннего) Повышенное внимание к вопросам Отсутствие ориентации на внеш обеспечения качества продукции или ус- него клиента, а также внутренних по луг, а также работы предприятия в целом требителей промежуточных результатов деятельности предприятия Автоматизация технологий выполне- Неэффективность информацион ния бизнес-процессов ной поддержки, обусловленная наличи ем «лоскутной» автоматизации дея тельности отдельных структурных эле ментов и неудачными попытками вне дрения корпоративных информацион ных систем Анализ приведенных определений позволяет сделать вывод о том, что с точки зрения процессного подхода бизнес-процесс промышленного предпри ятия можно определить как совокупность действий, использующую на входе ресурсы различных типов и продуцирующую результат, имеющий определен ную ценность для потребителя (клиента).

Понятие «процесс» — ключевое в современной теории управления бизне сом. Международный стандарт ISO 9000:2000 (российский аналог ГОСТ Р ИСО 9000-2001) определяет процесс как совокупность взаимосвязанных и взаимо действующих видов деятельности, преобразующих входы в выходы (рис. 1.1) [11].

Процесс включает одну или более связанных между собой процедур или функций, которые совместно реализуют некоторую задачу бизнеса (обычно в рамках организационной структуры предприятия). Процесс может выполняться в пределах одной организационной единицы, охватывать несколько единиц или даже несколько различных организаций, например, в системе «покупатель поставщик». Процесс обычно связан с операционными отношениями, напри мер, процесс разработки нового изделия или процесс продаж. На рис. 1.1 пред ставлены структура и основные атрибуты бизнес-процесса предприятия.

Различают основные и вспомогательные процессы. Основные процессы — это те процессы, которые добавляют новое качество продукции. Вспомогатель ные процессы формируют инфраструктуру организации (в том числе информа ционную). Владелец процесса — лицо (или группа лиц), отвечающее за процесс и имеющее полномочия изменять его с целью усовершенствования. Границы процесса — граница входа и граница выхода. Граница входа предшествует пер вой операции процесса, граница выхода следует за его последней операцией.

Интерфейс процесса — механизм (организационный, информационный, техни ческий), посредством которого процесс взаимодействует с предшествующим и последующим процессами. В соответствии с процессным подходом к анализу деятельности предприятия, работа должна быть организована именно вокруг его бизнес-процессов.

В процессе своей жизнедеятельности бизнес-система за счет выполнения бизнес-процессов осуществляет достижение определенной совокупности целей, имеющих иерархическую структуру, и каждая цель имеет свой вес и критерии достижимости.

Факторами, обусловливающими бизнес-процессы, являются показатели деятельности предприятия, приведенные на рис. 1.2.

Одним из первых основных этапов построения процессной организации и управления корпорацией является идентификация и классификация бизнес процессов.

Как правило, основу для классификации бизнес-процессов (см. рис. 1.3) составляют четыре базовые категории:

— основные бизнес-процессы;

— инфраструктурные (вспомогательные бизнес-процессы);

— бизнес-процессы развития;

— бизнес-процессы управления.

Основными бизнес-процессами являются те процессы, которые ориенти рованы на производство конечного продукта или услуги, представляющих цен ность для конечного потребителя и обеспечивающих получение основного до хода предприятия. Эти процессы формируют «Выходы» процессов как показа но на рис. 1.4.

Бизнес-процесс Процесс Основной Владелец Функция Вспомогательный Участник Должность или организацион ная единица Операция Границы Интерфейс Процедура Действие «Входы»

«Выходы»

Продукт/услуга Рис. 1.1. Структура и атрибуты бизнес-процесса предприятия Показатели деятельности предприятия Количество Стоимость Количество Количество типовых издержек потребителей производимого операций на производства продукта продукта предприятии продукта Длительность Капиталовложения выполнения в производство типовых продукта операций Рис. 1.2. Система общих показателей промышленного предприятия, характеризующих его бизнес-процессы Бизнес-процессы управления Управление Бизнес-процессы Основные развития бизнес-процессы Развитие Обеспечение Инфраструктурные бизнес-процессы Рис. 1.3. Система базовых бизнес-процессов предприятия Инфраструктурные бизнес-процессы — это вспомогательные процессы, которые предназначены для обеспечения выполнения основных бизнес процессов предприятия. В общем случае они обеспечивают ресурсами все биз нес-процессы предприятия.

На рис. 1.5 представлено взаимодействие основных и инфраструктурных бизнес-процессов. Понимание данного взаимодействия существенно для выяв ления роли инфраструктурных бизнес-процессов и их влияния на активы пред приятия для определения их рыночной стоимости или доли в рыночной стои мости предприятия [12].

Бизнес-процессы управления — это те бизнес-процессы, которые охваты вают весь комплекс функций управления на уровне каждого бизнес-процесса и бизнес-системы в целом. В основе построения технологии выполнения процес сов управления лежит концепция контроллинга, которая позволяет сформиро вать полный цикл управления предприятием, начиная от стратегического пла нирования до анализа причин отклонений от плана и формирования управляю щих воздействий [13].

К процессам развития, как правило, относятся реновации, либо процессы совершенствования готового продукта или услуги, технологии, оборудования, инновации.

Кроме основных бизнес-процессов, формирующих доход предприятия, принято [3] выделять не основные бизнес-процессы, которые также приносят определенную долю дохода. В составе основного бизнес-процесса могут суще ствовать внутренние обеспечивающие подпроцессы, а в составе инфраструк турного бизнес-процесса можно выделить основной обеспечивающий подпро цесс и несколько вспомогательных подпроцессов.

Таким образом, бизнес-система определяется как связанное множество ос новных типов бизнес-процессов, конечной целью которых является создание продукта1, в том числе информационного, в соответствии с поставленной це лью деятельности предприятия на рынке.

Основными отличительными свойствами бизнес-процессов как объектов корпоративной бизнес-системы являются:

— структурируемость;

— возможность объединения и создания сетей;

— делимость на более мелкие бизнес-процессы.

Конструирование бизнес-системы невозможно без такого ее компонента, как информационная инфраструктура, важной составляющей которого является оценка и защита информационных активов в составе активов корпорации.

Так, в ст. 2 Закона «Об участии в международном информационном обме не» [14] утверждается, что информационный продукт — это документирован ная информация, подготовленная в соответствии с потребностями пользовате лей и предназначенная или применяемая для удовлетворения их потребностей.

Под продуктом в данном случае понимается любой выход (результат): товары, услуги, а иногда и доку менты, которые рассматриваются, очевидно, как носители полезного свойства (ГОСТы, сертификаты и т.п.) или информации, хотя в квалификации видов продукции они пока отсутствуют.

Продукт/услуга Основной производственный бизнес-процесс Ресурсы Инфраструктурный процесс Инфраструктурный процесс Инфраструктурный процесс n Рис. 1.4. Схема взаимодействия бизнес-процессов предприятия Основной бизнес-процесс Функционально стоимостная оценка активов предприятия Инфраструктурный Инфраструктурный Инфраструктурный бизнес-процесс бизнес-процесс 1 бизнес-процесс Инфраструктурный Инфраструктурный бизнес-процесс 4 бизнес-процесс n Рис. 1.5. Взаимодействие основных и инфраструктурных бизнес-процессов предприятия При этом выделяются следующие особенности информационного продук та, имеющие теоретико-практическое значение [15]:

— информационные активы как продукт — это всегда результат труда, по рождение или следствие обработки информационного контента как исходного ресурса;

— информационный ресурс как продукт может быть вовлечен по желанию собственника в экономический оборот в составе нематериальных активов;

— информационный продукт (ресурс, актив) всегда индивидуален и дол жен соответствовать конкретным требованиям потребителей этого ресурса;

— при формировании информационного контента как ресурса и как про дукта должны учитываться две позиции: позиция потребителя информации (за казчика, покупателя), которому требуется информация определенной направ ленности, и позиция собственника, в том числе производителя информационно го ресурса (в силу специального наполнения информационного контента как продукта).

Само понятие бизнес-правил пришло на российский рынок как понятие ключевых элементов из теории инжиниринга бизнеса [4], на базе которых про ектируется (моделируется) целостная структура бизнес-процессов предприятия.

В частности, бизнес-правила затрагивают установление одного или нескольких субъектов в качестве собственника процесса или задание типа связей между процессами разного уровня. Изменение изначально установленных бизнес правил приводит к необходимости перепроектирования всей системы. Простой перечень бизнес-процессов, таким образом, не отражает структуры конкретного бизнеса. Каждая бизнес-система потому и уникальна, что даже будучи модели руемой по типовой методике и с едиными бизнес-правилами, требует четкого формулирования этих правил и индивидуального структурирования взаимосвя зей бизнес-процессов, что невозможно без информационной составляющей.

Каждый элемент бизнеса является бизнес-объектом и взаимодействует с другими объектами. Когда на рынке появляется новый бизнес-объект, он явля ется самостоятельной единицей в рамках общего взаимодействия. Объектом может быть фирма (директор), клиент, склад и т.д. Бизнес-объектом могут вы ступать также взаимоотношения между перечисленными объектами (например, заключение договора между фирмой и клиентом, отпуск товара со склада как расходная операция и пр.). Каждый бизнес-проект осуществляет управление и манипулирование набором бизнес-объектов. Каждый объект бизнеса может быть использован несколькими бизнес-процессами в единой технологической цепочке.

Следовательно, под структурой бизнес-процесса следует понимать всю со вокупность взаимосвязанных бизнес-операций предприятия, интегрирующих бизнес-объекты, сквозные потоки ресурсов (человеческие, материальные, фи нансовые, нематериальные, в том числе информационные) через организацион ную структуру предприятия. Определенная таким образом структура бизнес процесса отражает взгляд проектанта системы безопасности на деятельность предприятия в динамике (см. рис. 1.6).

Организация/ управление Политика, Внешние стратегия ограничения Данные, информация Данные Возможности Потребности Результаты Объекты Бизнес-процесс Знания, опыт Продукты, Материалы услуги Финансовые, Оборудование, кадровые технологии информационные Ресурсы предприятия Рис. 1.6. Графическое представление структуры бизнес-процесса промышленного предприятия К основным критериям эффективности организации бизнес-процессов предприятия следует отнести:

— минимизацию сроков реализации бизнес-процессов;

— минимизацию издержек реализации бизнес-процессов;

— максимизацию стоимости бизнес-процесса субъектами оценки: клиен тами, конечными потребителями, заказчиками.

Нельзя не согласиться с рядом авторов [3, 9–14], что эффективная деятель ность корпорации возможна при создании единой корпоративной системы биз нес-процессов, предусматривающей весь спектр решений по управлению биз нес-объектами и бизнес-процессами и объединяющей следующие виды ресур сов:

— материальные ресурсы;

— финансовые ресурсы;

— человеческие ресурсы;

— инвестиционные ресурсы;

— интеллектуальную собственность;

— инфраструктурные активы.

Такие системы необходимы как механизм достижения стратегических це лей бизнеса:

— управление всеми видами информационных активов крупных распреде ленных компаний в рамках корпорации;

— интеграция материальных и нематериальных активов корпорации в единый эффективно работающий механизм;

— обеспечение динамичного выхода на новые рынки и удержание позиций в конкурентной борьбе;

— формирование и поддержание высокого уровня корпоративной культу ры.

Развитие нового «сетевого» направления в экономике характеризуется не посредственной организацией в рамках корпоративной сети производственно хозяйственных и информационных связей, основанной на новых принципах управления компаниями или на основах партнерства, договоренностей участ ников этой сети с учетом взаимных интересов. Структурирование корпоратив ных связей определяется целесообразностью и мотивацией объединения ресур сов и производственных возможностей.

Методология разработки бизнес-системы корпорации предполагает дви жение «сверху вниз» (т.н. нисходящее проектирование), начиная с формулиро вания миссии корпорации на рынке, корпоративных целей, корпоративных и функциональных бизнес-стратегий, с помощью которых определяется необхо димый набор бизнес-функций, обеспечивающий взаимосвязи между бизнес объектами для достижения поставленных задач. Фундаментом, на котором ба зируются миссия и цель корпорации (см. рис. 1.7), являются бизнес-процессы.

Немаловажную роль при этом играет создание инструментария механиз мов управления изменениями (например, управление развитием), что позволяет организовывать такие новые формы бизнеса, как электронная коммерция, свя занные, так или иначе, с распространением информационных ресурсов на ком мерческой основе, и способствует достижению решающего конкурентного пре имущества предприятия за счет точной и быстрой реакции корпорации на из менения внешней среды (или на стратегический прогноз этих изменений).

Поддержка и защита системы управления корпорацией подразумевает поддержку и защиту самих бизнес-процессов. Развитие информационной ин фраструктуры бизнес-системы основывается на преодолении инфраструктур ной и информационной разобщенности подразделений корпораций. Инвести ции в управление бизнес-процессами могут приносить определенные доходы за счет повышения эффективности работы и ускорения бизнес-процессов, а также за счет повышения рыночной стоимости компании в части нематериальных ак тивов и, прежде всего, информационных [16, 17].

• В чем состоит предназначение корпорации?

Миссия • Чего корпорация хочет достичь?

• Как конкретно корпорация будет Цель реализовывать свою миссию и цель?

• Что корпорация обязательно Стратегия должна сделать для реали зации стратегии?

• Как корпорация будет Критические Показатели измерять степень реа- факторы эффективности лизации стратегии? успеха деятельности • Какие бизнес процессы наи более важны Инфраструктурная часть бизнес-процессов для реализации цели и страте гии корпора Бизнес-процессы ции?

Рис. 1.7. Укрупненная схема бизнес-системы корпорации Основными экономико-организационными преимуществами процессно ориентированного подхода у организации управления предприятием являются следующие:

1. Обеспечивается ориентация всей деятельности предприятия на главный конечный результат — своевременный выпуск высококачественной продукции, которая непременно будет востребована рынком.

2. Обеспечивается существенное сокращение количества уровней в иерар хии управления за счет укрупнении процессных операций информационных услуг. Кроме того, упрощается обмен информацией между различными подраз делениями предприятия.

3. Обеспечивается сокращение «этажей власти» (за счет обоснованного увеличения нормы управляемости) благодаря точному определению как общих, так и персональных (работников) результатов деятельности предприятия. Дан ный подход позволяет существенно сократить количество работающих лиц за счет сокращения ненужных структурных подразделений, придать деятельности организации целенаправленность и сформировать эффективную систему моти вации работы персонала.

4. Обеспечивается возможность точного определения конечных результа тов деятельности каждого отдельного подразделения предприятия (например, участка, цеха, отдела), которая обеспечивается посредством объединения час тых, детализированных процессов в общий, единый процесс.

5. Обеспечивается создание благоприятных условий для уменьшения ко личества задействованных в процессах лиц вследствие устранения лишних или, иначе, не нужных функций отдельных подразделений. При этом предусматри вается закрепление за одним работником вполне определенного комплекса од нородных процессов.

6. Обеспечивается высокая мотивация работников предприятия вследствие высокой контролируемости их деятельности и прогрессивной системы оплаты труда.

7. Обеспечивается возможность более высокой адаптации предприятия к автоматизации деятельности всех структурных подразделений;

это обстоятель ство обусловлено отличительной особенностью процессно-ориентированного подхода — высокой степенью детализации структуры предприятия.

8. Обеспечивается усиление горизонтальных связей между подразделе ниями предприятия и снижение отрицательного влияния функциональных барьеров, имеющих место при традиционной системе управления.

9. Обеспечивается более детализированное (четкое) определение ответст венности работников, что обусловливает лучшее понимание предъявляемых к ним требований и, как следствие, наиболее эффективное использование распо лагаемых предприятием ресурсов.

10. Обеспечивается возможность организации четкого контроля за дея тельностью предприятия, а также единство информационных потоков;

это об стоятельство является залогом оперативного устранения причин неэффектив ности разработанных процессов.

11. Обеспечивается способность процессно-ориентированного подхода са монастраиваться на необходимые качественные показатели деятельности пред приятия, что реализуется посредством учета требований, предъявляемых по требителями продукции, работ или услуг. Самонастраиваемостъ — это суть адаптивных высокоавтоматизированных интеллектуальных систем.

12. Обеспечивается сокращение объемов перерабатываемых с помощью современных электронных средств исходных данных и промежуточной инфор мации, реализуемые на практике благодаря концентрации состава работ (про цессов), выполняемых работниками предприятия.

13. Обеспечивается реальная возможность автоматизировать и оптимизи ровать процессы, протекающие на предприятии на основе многоцелевого (мно гокритериального подхода), что связано с получением синергетического эф фекта, достигаемого без привлечения дополнительных инвестиций в форми руемую инфраструктуру системы защиты информации на предприятии.

14. Создаются благоприятные условия для построения ресурсосберегаю щей организационной структуры управления предприятием (Lean production).

Основными характеристиками такой структуры являются:

— широкое делегирование полномочий и ответственности непосредствен ным исполнителям соответствующих видов работ (процессов);

— сочетание принципа целевого управления с групповой ответственно стью и организацией труда;

— оказание первоочередного внимания к вопросам обеспечения высокого качества товаров, работ и услуг, предоставляемых потребителям;

— автоматизация технологий выполнения спроектированных процессов.

15. Обеспечивается необходимая гармонизация отношений между участ никами процесса, присутствующими на разных этапах реализации бизнес системы, за счет сравнительно большей четкости закрепленных функциональ ных обязанностей или выполняемых работ.

Под гармонизацией следует понимать налаживание такого сотрудничества в отношениях между работниками предприятия на всех уровнях его управле нии, с помощью которого удастся избежать (или минимизировать) количество отрицательных взаимодействий (конфликтов) и максимизировать объем поло жительных связей, а в итоге обеспечить сохранение целостности, устойчивости и эффективности функционирования бизнес-системы. Залогом успешного со трудничества являются также психологическая, интеллектуальная и духовная совместимость, резонансное взаимодействие всех работников.

16. Создаются благоприятные условия для использования современных ИТ при реализации процессного подхода, сущностную основу которых составляют разнообразные средства коммуникации, компьютерная техника, также про граммное обеспечение (ПО) (пакеты прикладных программ (ППП)).

17. Обеспечивается возможность простой и наглядной графической интер претации деятельности предприятия.

18. Достигается строгое соблюдение единой направленности менеджмента, которая не зависит от того, как структурируется организация.

19. Упрощаются условия для разработки эффективной системы мотивации работников предприятия за счет более четкой и однозначной регламентации процесса и состава выполняемых работ.

20. Появляется реальная возможность планирования деятельности пред приятия в системе менеджмента качества не в статике, а в динамике.

21. Устраняется обычно имеющая место обособленность подразделений и должностных лиц.

22. Акцентируется внимание менеджмента на взаимодействие подразделе ний и должностных лиц, что дает возможность устранять «ничейные поля», т.е.

участки деятельности предприятия, выпадающие из-под влияния системы ме неджмента качества.

23. Обеспечивается наличие большей возможности к совершенствованию системы менеджмента по сравнению с функциональным (структурным) подхо дом, что крайне важно в условиях возрастающей конкуренции, с которой по стоянно сталкиваются предприятия.

Отдельно хотелось бы отметить, что поддержка и защита бизнес-процессов не является разовым мероприятием, а требует постоянного развития и сопро вождения, что нашло отражение в современной концепции реинжиниринга бизнес-процессов.

1.2. Сущность и содержание информационной безопасности промышленного предприятия 1.2.1. Основные задачи информационной безопасности предприятия Одной из основных задач корпоративной информационной системы (КИС) как и любой другой технической системы, является сервисное сопровождение бизнес-процессов. Любая используемая в бизнесе техническая система, являясь важным элементом инфраструктуры, должна предоставлять бизнесу опреде ленный тип сервиса. КИС оказывает бизнесу информационный сервис, но и са ма нуждается в поддержке и защите [18–21]. Сервис заключается в предостав лении бизнесу необходимой информации нужного качества, в нужное время и в нужном месте, т.е. в конечном итоге информации, достаточной для управления самим бизнесом.

По сути, информация в таком понимании становится одним из ключевых элементов информационной инфраструктуры [22–29].

Еще одной бизнес-задачей корпоративной системы информационной безо пасности предприятия является обеспечение гарантий достоверности информа ции, или гарантий доверительности информационного сервиса КИС.

Обеспечение информационной безопасности носит комплексный характер и предполагает необходимость сочетания законодательных, организационных и программно-технических мер.

Под информационной безопасностью предприятия следует понимать за щищенность его информационных активов (как части инфраструктуры бизнес процессов) от случайных или преднамеренных воздействий собственного или искусственного характера, чреватых нанесением ущерба собственникам или пользователям информационных активов в бизнес-системе.

Защита информационных активов предприятия заключается в поддержа нии целостности, доступности и, если потребуется, конфиденциальности ин формационных активов в бизнес-системах. Принцип обеспечения информаци онной безопасности предприятия иллюстрирует рис. 1.8.

В обеспечении информационной безопасности нуждаются разные катего рии хозяйствующих субъектов. Как следует из табл. 1.2, в зависимости от уров ня ответственности хозяйствующих субъектов реализуются соответствующие им уровни обеспечения защищенности информационных активов.

На концептуально-политическом уровне принимаются документы, в кото рых определяются направления государственной политики информационной безопасности, формулируются цели и задачи обеспечения ИБ всех хозяйст вующих субъектов и намечаются пути, методы и средства достижения постав ленных целей и решения задач. Примером такого документа является Доктрина информационной безопасности Российской Федерации [30].

На законодательном уровне создается и поддерживается комплекс мер, на правленных на правовое регулирование обеспечения ИБ, отражаемых в законах и других правовых актах (указы президента, постановления правительства и т.д.). Одной из важных задач этого уровня является создание механизма, позво ляющего согласовать процесс разработки законов с прогрессом ИТ [31].

На нормативно-техническом уровне разрабатываются стандарты, руково дящие материалы, методические материалы и другие документы, регламенти рующие процессы разработки, внедрения и эксплуатации средств обеспечения ИБ. Важной задачей этого уровня в настоящее время является приведение рос сийских стандартов в соответствие с международным уровнем информацион ных технологий вообще и уровнем информационной безопасности, в частности [10, 14, 28, 31–42].

На уровне предприятия или другого хозяйствующего субъекта осуществ ляются конкретные меры по обеспечению ИБ деловой деятельности админист ративного и программно-технического уровня.

Принципы обеспечения защищенности информационных активов предприятия Доступность Целостность Конфиденциальность Рис. 1.8. Принципы обеспечения информационной безопасности предприятия Таблица 1. Распределение уровней защищенности информационных активов по категориям хозяйствующих субъектов Категория хозяйствующего субъекта Уровень защищенности — концептуально-политический;

Государство — законодательный;

— нормативно-технический.

Финансовая система: — административный;

— субъекты хозяйствования (коммерче- — программно-технический.

ские структуры, домашние хозяйства);

— финансовые посредники;

— финансовые рынки.

На административном уровне руководство любой организации реализует меры общего характера и конкретные меры обеспечения ИБ. Основой мер об щего характера [43] служат политика безопасности (совокупность документи рованных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов).

В числе конкретных мер по обеспечению ИБ на предприятии можно выде лить:

— управление персоналом;

— осуществление физической защиты территории предприятия;

— поддержание работоспособности ИЗИ;

— реагирование на нарушения режима безопасности;

— планирование восстановительных работ СЗИ.

На программно-техническом уровне реализуются следующие механизмы обеспечения безопасности [44]:

— идентификация и проверка подлинности пользователей;

— управление доступом;

— протоколирование и аудит;

— криптография данных;

— экранирование помещений и линий передачи информации.

На уровне отдельного предприятия (компании, корпорации, фирмы) от дельно рассматриваются вопросы информационной безопасности, относящиеся к административному и программно-техническому уровням [45].

1.2.2. Классификация угроз информационной безопасности корпоративной бизнес–системы Под угрозой информационной безопасности автоматизированной системы понимают возможные воздействия на эту систему, которые прямо или косвенно могут нанести ущерб [46].

Принято считать, что ИБ информационной системы обеспечена в случае, если для любых информационных ресурсов в системе поддерживается опреде ленный уровень конфиденциальности, целостности и доступности информации [47]. Поэтому для информационных систем традиционно рассматривают три основных вида угроз безопасности:

— угроза нарушения конфиденциальности;

— угроза нарушения целостности;

— угроза отказа служб.

Само понятие угрозы в равных ситуациях зачастую трактуется по-разному.

Например, для подчеркнуто открытой организации может просто не существо вать угроз конфиденциальности — вся информация считается общедоступной;

однако в большинстве случаев нелегальный доступ считается серьезной опас ностью [48, 49].

Знание возможных угроз (см. рис. 1), их анализ, а также знание уязвимых мест защиты, через которые эти угрозы реализуются на практике, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения инфор мационной безопасности предприятия [50].

Самыми распространенными и самыми опасными (с точки зрения ущерба) являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.

Иногда такие ошибки являются угрозами (неправильно введенные данные, ошибка в программе, вызвавшая крах системы), иногда они создают слабости в системе безопасности, которыми могут воспользоваться злоумышленники (та ковы обычно ошибки администрирования). Согласно [51], 65% потерь — это следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с некомпетентностью и невнимательностью. Очевид но, самый радикальный способ борьбы с непреднамеренными ошибками — максимально возможная автоматизация и строгий контроль за правильностью совершаемых операторами действий, а также высокая квалификация персонала.

На втором месте по размерам ущерба располагаются кражи и подлоги.

Можно предположить, что подлинный ущерб намного больше, поскольку мно гие организации по попятным причинам скрывают такие инциденты. В боль шинстве расследованных случаев [52, 53] виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Это еще раз свидетельствует о том, что внутренняя угроза гораздо опаснее внешней.


Весьма опасны так называемые «обиженные» сотрудники — работающие и уволенные лица. Как правило, их действиями руководит желание нанести вред организации-обидчику, например:

— повредить оборудование;

— встроить логическую «бомбу», которая со временем разрушит програм мы и/или данные;

— внести неверные данные;

— удалить данные;

— изменить данные;

— разместить конфиденциальную или другую корпоративную информа цию в сети Интернет для открытого доступа;

— попытаться продать конфиденциальную информацию предприятия или часть БД (например, содержащую клиентскую информацию) конкурентам и т.д.

Обиженные сотрудники, даже бывшие (уволенные), знакомы с устоявши мися порядками в организации и способны наносить большой ущерб организа ции. Необходимо следить за тем, чтобы при увольнении сотрудника (не только за провинности, но и по собственному желанию) его права доступа к информа ционным ресурсам предприятия аннулировались в полной мере.

Угрозы, исходящие от окружающей среды, к сожалению, отличаются большим разнообразием. В первую очередь следует выделить нарушения тех нологической инфраструктуры — аварии электропитания, временное отсутст вие связи, перебои с водоснабжением и т.п. Опасны также стихийные бедствия, гражданские беспорядки и события, воспринимаемые как стихийные бедствия:

пожары, наводнения, землетрясения, ураганы. По данным [51], на долю огня, воды и аналогичных «внешних врагов» (среди которых самый опасный — низ кое качество электропитания и его перебои) приходится 13% потерь, нанесен ных информационным системам предприятий.

На современном этапе развития информационных технологий подсистемы с функциями защиты являются неотъемлемой частью внедренных на предпри ятии комплексов по обработке информации. При этом информация не пред ставляется пользователям в чистом виде. На пути доступа к ней имеется неко торая система защиты, которую необходимо преодолеть атакующей стороне.

Однако не существует абсолютно стойкой системы защиты, вопрос лишь во времени и средствах, требуемых на ее преодоление.

Исходя из данных условий, приемлемой можно считать следующую мо дель: защита информационной системы считается преодоленной, если в ходе ее исследования определены уязвимости системы. Уязвимость — это некоторое свойство системы, которое делает возможным возникновение и реализацию уг розы ИБ.

Проведенный анализ возможных угроз показал, что информационная ин фраструктура должна обладать свойством защищенности информации, исполь зуемой в бизнес-процессах предприятия. Данное свойство характеризует спо собность системы обеспечивать защиту коммерческой, служебной, технологи ческой и иной информации на предприятии от несанкционированного (предна меренного или случайного) получения, изменения, уничтожения или использо вания.

С учетом компонентов бизнес-процесса, показанных на рис. 1.1, а также их взаимосвязей, к потенциально опасным ситуациям, которые могут возникнуть при низком уровне защищенности информации на предприятии, относятся:

— несанкционированный доступ нарушителей (не владельцев и участни ков) к информации, хранящейся и обрабатываемой в средствах автоматизации, с целью ознакомления, искажения или уничтожения. Точками входа при этом могут быть интерфейсы и границы процесса, а также информация, необходимая для реализаций функций (операций, процедур) бизнес-процесса;

— перехват информации при ее приеме (передаче) по каналам связи (сети) функциями процесса, а также за счет хищения носителей информации;

— уничтожение (изменение, искажение) информации за счет случайных помех, сбоев технических (программных) средств при передаче, хранении и об работке информации;

— несанкционированное влияние на бизнес-процесс нарушителей из числа владельцев и (или) участников процесса.

1.2.3. Обоснование требований к инфраструктуре системы защиты информации На основе проведенного анализа влияния информационной инфраструкту ры на реализацию бизнес-процессов (рис. 1.9), анализа содержания ИБ бизнеса, целей и основных принципов функционирования инфраструктуры, можно оп ределить ряд требований, предъявляемых к системе защиты в отношении биз нес-процессов.

Информационные активы являются частью информационной инфраструк туры предприятия и требуют защиты от возможных информационных угроз.

Поли тика ИБ Цель защиты информации Стратегия защиты информации Угрозы ИБ Показатели ИБ Инфраструктура защиты информации Бизнес-процессы Рис. 1.9. Роль и место инфраструктуры системы защиты информации в бизнес-системе предприятия В состав элементов ИЗИ бизнес-процессов должны быть включены сред ства управления доступом;

регистрации и учета;

криптографические;

обеспече ния целостности информации.

Согласно [36], устанавливается девять классов защищенности автоматизи рованных систем от несанкционированного доступа к информации. Каждый класс характеризуется соответствующей совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями об работки информации в автоматизированной системе.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархии классов защищенности автоматизированных систем.

В [36] также определяется номенклатура обязательных требований, реали зация которых обеспечивает уровень защиты информации, соответствующий выбранному классу защищенности. Очевидно, что согласно системе классифи кации, выполнение всех требований соответствует наивысшему классу защи щенности (1А). Однако это не означает, что указанный класс является требуе мым для любой системы защиты информации. Высокий уровень защищенности может быть обеспечен компенсацией заведомо нецелесообразных требований другими средствами и, что наиболее вероятно, организационными мерами за щиты. Так, например, использование сертифицированных криптосредств ведет к существенному повышению стоимости всей системы защиты информации.

При этом стоимость этих средств соизмерима со стоимостью всех остальных средств вместе взятых. Поэтому отсутствие криптосистемы или ее отдельных элементов может быть компенсировано, например, ограничением доступа к конфиденциальной информации, локализацией и (или) отключением информа ционных массивов от сети, оптимизацией трафика доступа и другими про граммными и техническими средствами, а также организационными мерами защиты, внедренными на предприятии.

Вместе с тем, сформулированные требования составляют функциональную основу ИЗИ бизнес-процессов, т.е. определяют обязательный (с учетом приве денных замечаний) состав функций по соответствующим подсистемам защиты.

Однако процессный подход к организации и управлению хозяйственной дея тельностью предприятия обусловливает необходимость применения процессно ориентированного подхода и к формированию самой инфраструктуры защиты бизнес-процессов.

С учетом особенностей, структуры и возможностей процессного подхода ИЗИ должна обеспечивать:

— ориентацию всех процессов защиты информации на главный конечный результат (обеспечение максимального уровня защиты информации);

— выявление, локализацию и устранение последствий реализации всех возможных видов угроз информационной безопасности предприятия;

— интеграцию функций защиты информации на предприятии в единый ав томатизированный процесс;

— интеграцию централизованного и ресурсосберегающего управления функцией защиты информации на предприятии;

— регламентацию процессов зашиты информации по приоритету, срочно сти, рискам и т.д.;

— независимость реализации политики безопасности от организационной структуры предприятия;

— реализацию планово-предупредительной деятельности предприятия по обеспечению защиты информации в бизнес-процессах;

— определение конкретных мер и разграничение ответственности лиц и средств защиты за предотвращение реализации злоумышленником конкретных видов угроз;

— возможность точного определения результатов функционирования СЗИ (учет и отчетность по каждому виду угроз, мониторинг текущего состояния, прогноз развития процессов, оценка рисков и т.д.);

— возможность развития и оптимизации процессов защиты на основе ис пользования средств встроенного контроля;

— возможность адаптации к изменяющейся информационной инфраструк туре предприятия;

— минимально возможное количество уровней в иерархии управления системой защиты информации на предприятии;

— обеспечение простых и удобных в эксплуатации мер и средств защиты информации на предприятии.

Процессно-ориентированный подход к созданию (совершенствованию) ИЗИ бизнес-процессов позволит рассматривать процесс формирования (разви тия) СЗИ как один из вспомогательных бизнес-процессов, обеспечивающих ос новные процессы предприятия. Это позволяет проводить разработку ИЗИ в тесной взаимосвязи с проектированием других бизнес-процессов предприятия, что, несомненно, увеличивает их интегрируемость, гибкость, сбалансирован ность и управляемость.

1.2.4. Система управления информационной безопасностью В настоящее время нормальное функционирование большинства бизнес процессов на предприятии невозможно без информационного обеспечения.

Бизнес-процессы современной организации обеспечиваются одной или не сколькими информационными системами. Внедрение системы управления ин формационной безопасностью (СУИБ) — важное мероприятие, целью которого является управление процессами информационного обеспечения организации и предотвращение несанкционированного использования информации.

Требования бизнеса к информационной безопасности (ИБ) оказывают воз действие на IT-подразделения и должны быть отражены в соглашениях об уровне сервиса (SLA — Service Level Agreement). Задачей процесса управления ИБ является постоянное обеспечение безопасности услуг на согласованном с партнером уровне, при этом ИБ — важнейший показатель качества управления.


C точки зрения поставщика услуг или продукции, процесс управления ин формационной безопасностью способствует интеграции аспектов безопасности в общую IT-структуру. В свою очередь, принципы построения СУИБ содержат ся в сборнике практических рекомендаций BS ISO 17799:2005, который предос тавляет исчерпывающее руководство пользователям для разработки, внедрения и оценки мер информационной безопасности предприятий.

Процесс управления ИБ имеет важные связи с другими процессами. Так, некоторые виды деятельности на предприятии по обеспечению безопасности осуществляются другими процессами под контролем процесса управления ИБ.

С позиций стандарта BS ISO/IEC 20000 процесс управления информаци онной безопасностью на предприятии имеет два целеполагающих значения:

— выполнение требований безопасности, закрепленных в SLA, и других требований внешних и внутренних соглашений, законодательных актов и уста новленных правил (норм);

— обеспечение базового уровня ИБ, независимого от внешних требований.

Входными данными для процесса служат SLA, содержащие требования безопасности, по возможности, дополненные документами, определяющими политику организации в этой области, а также другие внешние требования.

Процесс также получает важную информацию, относящуюся к проблемам безопасности, из других процессов, например, об инцидентах, связанных с на рушением ИБ.

Выходные данные включают информацию о достигнутой реализации SLA вместе с отчетами о нештатных ситуациях с точки зрения установленного на предприятии уровня безопасности, а также информацию о регулярных меро приятиях по совершенствованию СУИБ.

Эффективное информационное обеспечение с адекватной защитой инфор мации важно для организации по ряду причин. Во-первых, эффективное функ ционирование организации возможно только при наличии доступа к достовер ной и полной информации. Уровень ИБ должен соответствовать этому принци пу. Во-вторых, в результате деятельности организации создаются продукты и услуги, которые доступны рынку или обществу и нужны для выполнения опре деленных социально-практических задач. Неадекватное информационное обес печение влечет производство некачественных продуктов и предоставление не качественных услуг, которые не могут использоваться потребителями и ставят под угрозу существование организации или безопасность зависящих от нее процессов.

Взаимодействие процессов управления. Процесс управления информаци онной безопасностью имеет связи с другими процессами управления, так как в других процессах также выполняются действия, связанные с обеспечением ИБ.

Эта деятельность проводится в обычном порядке в рамках ответственности оп ределенного владельца процесса. При этом процесс управления информацион ной безопасностью обеспечивает другие процессы инструкциями о структуре деятельности, связанной с ИБ. Обычно соглашения об этом определяются после консультаций между владельцем процесса управления информационной безо пасностью и владельцами других процессов.

Управление конфигурациями. В контексте ИБ процесс управления конфи гурациями позволяет классифицировать информационные активы (ИА). Эта классификация определяет связи между ИА и предпринимаемыми на предпри ятии мерами или процедурами обеспечения ИБ.

Классификация ИА определяет их конфиденциальность, целостность и доступность. Эта классификация основана на требованиях безопасности SLA.

Классификацию определяет заказчик, так как только владелец актива может решить, насколько важны информация или информационные системы для его бизнес-процессов.

При создании классификации ИА заказчик учитывает степень зависимости бизнес-процессов от информационных систем и качества информации. Затем проводится привязка классификации к соответствующим ИА.

Следующий этап — реализация комплекса мероприятий ИБ для каждого уровня классификации. Эти комплексы мероприятий могут быть описаны как процедуры (например, «Процедура обращения с носителями данных, содержа щими конфиденциальную информацию») и составлять единую систему в соот ветствии с требованиями к документации BS ISO/IEC 27001:2005.

В SLA определяются комплексы мер безопасности для каждого уровня классификации. Система классификации совместима со структурой организа ции-заказчика. Однако для упрощения управления рекомендуется использовать одну общую систему классификации, даже если организация имеет несколько разных заказчиков.

Таким образом, можно сделать вывод, что классификация является ключе вым процессом ИБ. Каждый ИА в конфигурационной базе данных должен быть обязательно классифицирован. Эта классификация связывает ИА с соответст вующим комплексом мер по защите информации.

Управление проблемами. Процесс управления проблемами отвечает за идентификацию и устранение структурных сбоев СУИБ. Проблема может при вести к возникновению риска функционирования СУИБ. Управление пробле мами — пролонгируемый процесс, в основе которого лежит анализ событий ИБ. Для того чтобы не возникло новых проблем с ИБ, принятое окончательное или обходное решение должно быть тщательно проверено, подкреплено ре зультатами наблюдений и выявлением закономерностей. Проверка должна ос новываться на соответствии предлагаемых решений требованиям SLA и внут ренним требованиям ИБ.

Управление изменениями. Работы, выполняемые в рамках процесса управ ления изменениями, тесно связаны с ИБ, так как управление изменениями и управление ИБ взаимозависимы. Если достигнут приемлемый уровень ИБ, ко торый находится под контролем процесса управления изменениями, то можно гарантировать, что этот уровень ИБ будет обеспечиваться и после проведения изменений. Для поддержки уровня ИБ существует ряд стандартных операций.

Каждый запрос на изменения связан с рядом параметров, которые определяют процедуру внесения изменений. Параметры срочности и степени воздействия могут быть дополнены параметром, связанным с безопасностью. Если запрос может оказать значительное воздействие на ИБ, потребуются расширенные приемочные испытания и процедуры.

Мероприятия ИБ, связанные с внесением изменений, должны реализовы ваться одновременно с проведением самих изменений и тестироваться совмест но.

1.2.5. Основные процессы СУИБ Идеи, заложенные в стандарте ISO/IEC 27001, направлены на предотвра щение или существенное снижение возможных ущербов от реализации угроз ИБ.

В соответствии с ISO/IEC 27001 СУИБ — это часть общей системы управ ления, основанная на оценке бизнес-рисков и предназначенная для разработки, реализации, эксплуатации, мониторинга, анализа, сопровождения и совершен ствования ИБ.

Из определения СУИБ следует, что ее ядром является процесс управления рисками ИБ. Этот процесс направлен на прогнозирование реализации угроз ИБ, планирование и внедрение по результатам такого прогноза мер обеспечения ИБ. Тем самым повышается общий уровень ИБ и снижаются риски ИБ.

На предприятии должна быть разработана методика управления рисками ИБ. Она должна быть воспроизводимой, понятной участникам процесса и не слишком сложной. Зачастую под процесс управления рисками ИБ подводится серьезная «псевдоматематическая» основа, предполагая, что таким образом можно будет получить более точные оценки, что называется, «вплоть до копе ек». Однако в итоге это может привести к тому, что процесс управления риска ми будет «необъективным» и не сможет использоваться как инструмент пре дотвращения убытков.

С точки зрения содержания методика управления рисками в обязательном порядке должна определять порядок инвентаризации активов и оценки их цен ности, порядок выявления уязвимостей активов и угроз, которые могут быть реализованы через выявленные уязвимости. Таким образом, описывается поря док формирования сценария «актив — уязвимость — угроза», для которого не обходимо оценить вероятность реализации каждого из них. На основе этих данных определяется уровень риска ИБ. Все риски, превышающие приемлемый уровень риска (который в обязательном порядке определяется руководством компании), должны подвергаться анализу.

Обработка рисков может включать в себя:

— снижение рисков до приемлемого уровня (за счет внедрения дополни тельных контрмер по обеспечению ИБ);

— избежание риска (как правило, достигается за счет реинжиниринга биз нес-процессов);

— перевод риска «на третью» сторону (например, за счет страхования или аутсорсинга);

— принятие риска (применимо, например, если стоимость внедрения всех вышеперечисленных способов обработки рисков заметно превышает выявлен ный риск ИБ).

Принимая решение по обработке рисков, необходимо спрогнозировать ос таточный уровень риска, чтобы определить целесообразность конкретного ме роприятия по анализу риска. Хорошая практика предусматривает дальнейший мониторинг рисков по результатам внедрения мер по обработке рисков. Это поможет определить, насколько эффективными оказались мероприятия по ана лизу рисков и достигается ли на предприятии предполагаемый остаточный уро вень риска.

В процессе управления рисками ИБ должны участвовать владельцы биз нес-процессов — люди, которые далеки от ИБ и не мыслят категориями обес печения конфиденциальности, целостности и доступности. Самое важное в этой ситуации — «перевести» методику и сам процесс управления рисками с «технического» языка на «общечеловеческий». Это нужно, прежде всего, для того, чтобы получить достоверные результаты, на которых потом можно будет строить предположения о возможных угрозах ИБ и вероятностях их реализа ции. Важно задавать «правильные вопросы правильным людям». Не стоит, на пример, спрашивать у бухгалтера, какова, на его взгляд, вероятность реализа ции угрозы недоступности системы «1С» из-за конкретных инфраструктурных уязвимостей корпоративной вычислительной сети. Скорее всего, ответ на такой вопрос не будет получен, а в следующий раз и вовсе будет тяжело найти же лающих поучаствовать в процессе управления рисками от бухгалтерии. Такие вопросы, безусловно, лучше задать техническим специалистам.

Руководство предприятия обязательно должно понимать, что это за про цесс, для чего он необходим, какие выгоды он несет именно для него. Если во влеченность руководства будет достигнута, то по результатам анализа рисков будут приниматься адекватные текущей ситуации решения. На безопасность будет выделяться необходимое и достаточное количество ресурсов, что в итоге приведет к достижению требуемого уровня ИБ.

Другой серьезный инструмент предотвращения убытков компании от реа лизации угроз ИБ — процесс, в чем-то противоположный процессу управления рисками ИБ, а именно процесс управления инцидентами ИБ. К сожалению или к счастью, в мире не существует ничего идеального и наличие даже самых со вершенных мер по снижению рисков ИБ не может полностью предотвратить возникновение в информационной среде предприятия событий, потенциально несущих угрозу бизнесу компании. Неготовность организации к обработке по добного рода ситуаций может существенно затруднить восстановление нор мального функционирования организации и потенциально усилить нанесенный ущерб.

Процесс управления инцидентами ИБ направлен на то, чтобы эффективно обнаруживать подобные события, реагировать на них и разрешать их, а впо следствии определять причины их возникновения и применять меры, предот вращающие их в будущем. При разработке и внедрении данного процесса надо помнить следующее.

Процесс управления инцидентами ИБ — один из самых активно работаю щих процессов управления ИБ (возможная частота появления событий, связан ных с ИБ, — от нескольких раз до нескольких десятков в день). Именно поэто му этот процесс должен быть максимально удобным для всех его участников.

Подразумевается работа совершенно разных подразделений компании — от бизнес-подразделений, которые могут сообщать об инцидентах ИБ, до про фильных «технических» подразделений: департамента ИТ, подразделения ин формационной безопасности, подразделений физической безопасности и т.д., которые должны слаженно работать при разрешении и анализе причин инци дентов. И здесь точно так же, как и в управлении рисками ИБ, необходимо со блюсти все «тонкости перевода».

Для других процессов управления ИБ можно обойтись «бумажной» реали зацией процесса. Но если говорить об управлении инцидентами ИБ, то автома тизация этого процесса практически жизненно необходима. Сотрудники могут заметить лишь малую долю инцидентов ИБ, а специальные системы сбора и анализа событий ИБ сделают процесс по-настоящему эффективным. Например, подобные системы могут обнаружить и вовремя сообщить о фактах: использо вания учетных записей уволенных сотрудников;

использования администра тивных привилегий пользователями, которым такой доступ не был предостав лен;

аномальных активностей, направленных на отдельные серверы, рабочие станции;

создания и удаления системных объектов, а также неудачных попыток доступа к ним и т.д. По этим примерам видно, что без автоматизации сбора со бытий ИБ не обойтись. Главное, необходимо выбрать систему, соответствую щую инфраструктуре предприятия, корректно настроить и «встроить» ее ис пользование в разрабатываемый процесс управления инцидентами ИБ.

Правильно выстроив процессы СУИБ, предприятие может существенно повысить уровень ИБ. В итоге ИБ получает как активный инструмент прогно зирования возможных ущербов (процесс управления рисками ИБ), так и реак тивный инструмент, который позволит снизить или предотвратить ущерб от возникновения непредвиденных ситуаций, связанных с ИБ.

Таким образом, процессный подход, заложенный в международных стан дартах на системы управления, в том числе и ISO/IEC 27001, может дать суще ственные выгоды компаниям, их внедряющим, однако требует кропотливой, осознанной работы и не терпит шаблонных решений.

1.3. Идентификация проблемы совершенствования инфраструктуры системы защиты информации на промышленном предприятии С середины 90-х гг. 20-го века автоматизация практически всех бизнес процессов позволила добиться революционного снижения непроизводительных потерь времени на передачу результатов выполнения функциональных задач на другие рабочие места или в другие подразделения. Повысилась прозрачность управленческих регламентов, их воспроизводимость, что, в итоге, к началу XXI века позволило обеспечить соблюдение стандартов качества ISO 9000 на уров не управления предприятием.

На промышленном предприятии имеются локальные информационные системы (ИС) разного назначения, взаимодействующие между собой с целью поддержания управленческих решений на всех уровнях компетенции.

Миграция локальных внутрипроизводственных компьютерных сетей и ИС с выходами на ИС дочерней компании и структурные подразделения крупного предприятия невозможна без использования ресурсов региональных и глобаль ных сетей.

В результате создаются корпоративные ИС (КИС). Подобные ИС предос тавляют заинтересованному лицу возможность работы как с корпоративной БД, так и с локальными базами данных других структурных подразделений пред приятия. В ряде случаев такие пространственно распределенные предприятия, использующие КИС, называют виртуальными предприятиями.

Интеграционные проекты всегда уникальны, поэтому и дорогие, что не всегда оказывается оправданным на практике. Типичные особенности интегра ции проектов [54]: синхронизация данных, работа составных приложений и реализация сквозных бизнес-процессов.

Большинство современных корпоративных приложений используют реля ционные базы данных как основу для хранения и доступа к прикладным и сис темным данным [55, 56]. Поэтому часто под интеграцией понимают обмен дан ными между БД. Целью интеграции становится синхронизация источников данных, с которыми работают различные приложения. Синхронизация данных не означает взаимодействия прикладных процессов и компонентов интегрируе мых систем, т.к. имеет место лишь взаимодействие компонентов хранения дан ных.

Разнообразие целей и задач интегрирования корпоративных приложений привело к большому разнообразию в реализациях программных решений инте грации, имеющих однотипную функциональность, архитектуру, топологию ин теграции.

Целесообразно выделить следующие компоненты интегрированной ИС:

— транспортная инфраструктура, проложенная между приложениями;

— адаптеры и коннекторы, привязывающие прикладные системы к транс портной инфраструктуре;

— интеграционный сервер, выполняющий функцию обработки и исполне ния вычислительных процедур и процессов, связанных с интеграцией.

Транспортная инфраструктура обеспечивает надежность передачи данных между приложениями и большую гибкость для различных сценариев взаимо действия по сравнению со стандартными сетевыми решениями.

Интеграционный сервер, шлюз или интеграционный брокер, объединенные в единый центральный блок обращения интегрируемых систем и приложений, перераспределяют, обрабатывают и направляют потоки информации.

Централизованное исполнение функций обработки передаваемой инфор мации и данных также означает использование общего репозитория для корпо ративных интеграционных бизнес-правил. Правила из общего репозитория обо зримы и прозрачны для разработчиков и системных администраторов, могут дополняться и корректироваться при изменении бизнес-процессов и состава вычислительной среды, что позволяет эффективно соединять и динамически управлять принятым интеграционными решением.

Конструирование бизнес–системы невозможно без информационной ин фраструктуры, важной составляющей которой является защита информацион ных активов в составе общих активов предприятия.

Под информационной инфраструктурой следует понимать не только сово купность программно-технических средств и организационно административных мероприятий, обеспечивающих в совокупности безопасную обработку данных и информационное обеспечение бизнес-процессов внутри предприятия, а также адекватные возможности по обмену информацией с внешними организациями, но и информационные системы и сети, научно техническое обеспечение, технические библиотеки предприятия и саму обраба тываемую информацию.

Поддержка и защита системы управления предприятием подразумевает, прежде всего, поддержку и защиту самих бизнес-процессов и развитие инфра структурной составляющей бизнес-системы и, в частности, информационной, за счет преодоления инфраструктурной и информационной разобщенности подразделений предприятия. Инвестиции в управление бизнес-процессами мо гут приносить значительные доходы за счет повышения эффективности работы и ускорения бизнес-процессов, а также за счет повышения рыночной стоимости компании в части ее нематериальных активов (информационных активов в ин фраструктурной составляющей нематериальных активов).

Обобщение известных сегодня результатов исследований в области по строения систем защиты информации позволило выделить основные перспек тивные направления процессного подхода, что послужило базисом для форми рования новой методологии оценки и оптимизации ИЗИ бизнес-процессов на предприятии.

Необходимость создания оптимальной инфраструктуры СЗИ современных промышленных предприятий обусловлена жесткими требованиями рыночной конкуренции, которые заставляют компании оценивать и внедрять новые мето дики оптимизации как в основной бизнес-деятельности предприятия, так и в области ИТ и ее интеллектуальной собственности. Особое значение при этом имеет информационная инфраструктура промышленных предприятий, так как ошибки, допущенные при ее формировании, и неумение адаптироваться под новые правила, диктуемые рынком, могут повлечь за собой значительные фи нансовые потери.



Pages:   || 2 | 3 | 4 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.