Вы находитесь на странице: 1из 116

П. П. Парамонов, А. Г. Коробейников, И. Б. Троников, И. О. Жаринов

Методы и модели оценки инфраструктуры системы защиты информации в корпоративных сетях промышленных предприятий

Монография

Санкт-Петербург

2012

1

УДК 004.056

ББК 32.81

К-68

Рецензент:

Доктор физико-математических наук, профессор Ю. А. Копытенко, Санкт-Петербургский филиал Института земного магнетизма, ионосферы и распространения радиоволн им. Н. В. Пушкова (СПбФ ИЗМИРАН)

Коробейников А.Г., Троников И.Б., Жаринов И.О. К68 Методы и модели оценки инфраструктуры системы защиты инфор- мации в корпоративных сетях промышленных предприятий: монография / Под ред. П.П. Парамонова. СПб: Изд-во ООО «Студия «НП-Принт», 2012. — 115 с.: ил.

ISBN 978-5-91542-146-1

В монографии рассмотрены основополагающие принципы построе- ния инфраструктуры системы защиты информации в корпоративных се- тях современных промышленных предприятий. Приведены методы и ма- тематические модели оценки качества средств защиты. Модели учитыва- ют вероятностную природу угроз и систему бинарных правил специали- зации каждого средства защиты для соответствующего вида угрозы ин- формационной безопасности предприятия. Показано, что для парирования угроз несанкционированного досту- па к системе безопасности предприятия в модели «злоумышленниксистема защиты» может быть использован процессный подход к описа- нию действий нарушителей и адекватных им механизмов защиты. Приве- дены виды и классификация используемых сегодня на практике средств защиты, а также рекомендации по порядку их применения. Монография предназначена для специалистов в области информа- ционной безопасности и защиты информации, а также для аспирантов и студентов старших курсов вузов, обучающихся на приборостроительных специальностях.

УДК 004.056

ББК 32.81

П. П. Парамонов, 2012 А. Г. Коробейников, 2012 И. Б. Троников, 2012 И. О. Жаринов, 2012

2

СОДЕРЖАНИЕ

Список сокращений.…………………………………………………………

5

Предисловие.…………………………………………………………………

6

Введение.……………………………………………………………………….

7

1. Анализ тенденций и закономерностей развития инфраструктуры систе- мы защиты информации на промышленном предприятии.…

10

1.1. Основные понятия и структурные составляющие.…………………

10

1.2. Сущность и содержание информационной безопасности промышленного предприятия.………………………………………………….

23

1.2.1. Основные задачи информационной безопасности предпри- ятия.……………………………………………………………

23

1.2.2. Классификация угроз информационной безопасности корпоратив- ной бизнессистемы…………………………………

25

1.2.3. Обоснование требований к инфраструктуре системы защиты ин- формации……………………………………………………

27

1.2.4. Система управления информационной безопасностью……

30

1.2.5. Основные процедуры СУИБ…………………………………

32

1.3. Идентификация проблемы совершенствования инфраструктуры системы защиты информации на промышленном предприятии……

35

1.4. Выводы…………………………………………………………………. 38

2. Принципы обеспечения информационной безопасности на промышлен- ном предприятии…………………………………………………

39

2.1. Концептуальные положения обеспечения информационной безопасности на промышленном предприятии…………………………

39

2.2. Концептуальная модель формирования инфраструктуры системы защиты информации на промышленном предприятии……………

43

2.3. Оптимизация инфраструктуры системы защиты информации на промышленном предприятии………………………………………

46

2.4. Оценка затраты на систему информационной безопасности………

50

2.5. Выводы…………………………………………………………………. 52

3. Разработка моделей и методов оценки инфраструктуры системы защиты информации на промышленном предприятии……………

3.1. Анализ моделей формирования инфраструктуры системы защиты информации…………………………………………………………….

3.2. Методы оценки информационной защищенности от несанкционирован- ного доступа……………………………………………………

3.3. Модель оценки уровня защищенности информации от перехвата….

53

53

56

57

3.3.1. Обоснование целесообразности использования метода нечеткого

3

моделирования для вычисления показателей защищенности ин- формации от перехвата………………………….

57

3.3.2. Фаззификация исходных данных……………………………

59

3.3.3. Оценка качества защищенности информации от перехвата

59

3.3.4. Дефаззификация результатов…………………………………

60

3.4. Методы оценки защищенности от сбоев……………………………

61

3.5. Метод оценки защищенности от несанкционированного вмешательст- ва………………………………………………………………

62

3.6. Метод комплексной оценки информационной защищенности бизнес- процессов…………………………………………………………

63

3.7. Модель выбора оптимизируемых показателей информационной защи- щенности………………………………………………………….

66

3.8. Модель выбора варианта инфраструктуры защиты информации бизнес- процессов……………………………………………………

71

3.9. Выводы………………………………………………………………… 73

4. Разработка имитационной модели для комплексной оценки средств за- щиты информации бизнес-процессов на промышленном предпри- ятии………………………………………………………………

75

4.1. Основные свойства имитационной модели…………………………

75

4.2. Структура имитационной модели……………………………………

77

4.3. Синтез инфраструктуры системы защиты информации промышленного предприятия…………………………………………………

78

4.4. Автоматизированная система мониторинга и пути совершенствования инфраструктуры защиты информации промышленного предпри- ятия…………………………………………………………….

83

4.5. Выводы…………………………………………………………………. 89

5. Безопасность корпоративных сетей промышленных предпри- ятий…………………………………………………………………………

90

5.1. Основные проблемы безопасности на промышленном предпри- ятии……………………………………………………………………

90

5.2. Классификационные признаки корпоративных сетей……………….

94

5.3. Система управления безопасностью корпоративной сети…………

96

5.4. Современные технологии защиты корпоративных сетей…………

98

5.5. Внутренние злоумышленники в корпоративных сетях………………

99

5.6. Защита корпоративных сетей от внутренних злоумышленников

103

5.6.1. Противодействие пассивным методам воздействия………….

103

5.6.2. Противодействие активным методам воздействия…………

103

5.7. Выводы…………………………………………………………………. 107

Заключение……………………………………………………………………. 109

110

Список используемых источников литературы………………………

4

СПИСОК СОКРАЩЕНИЙ

АРМ автоматизированное рабочее место; АС автоматизированная система; БД база данных; ИА информационные активы; ИБ информационная безопасность; ИЗИ инфраструктура защиты информации; ИМ информационный массив; ИС информационная система; ИТ информационные технологии; КИС корпоративная информационная система; КС корпоративная сеть; ММ математическая модель; НСД несанкционированный доступ; ОС операционная система; ПО программное обеспечение; ППП пакет прикладных программ; СЗИ система защиты информации; СУИБ система управления информационной безопасностью.

5

ПРЕДИСЛОВИЕ

Предлагаемая монография подводит промежуточный итог многолетней деятельности авторов в области разработки математических моделей и методов оценки качества средств защиты информации, используемых в корпоративных сетях промышленных предприятий. Современные промышленные предприятия осуществляют выпуск сложной продукции, интеллектуальной составляющей которой является новое научно- техническое знание (ноу-хау), подлежащее информационной защите. Помимо ноу-хау защита на предприятиях должна осуществляться в отношении коммер- ческой, банковской, медицинской, государственной и др. видов информации (тайн) в зависимости от сферы деятельности конкретного предприятия. В этой связи проблема обеспечения информационной безопасности пред- приятий приобретает особую актуальность, поскольку напрямую влияет на экономическую эффективность работы предприятия, а в ряде случаев, когда деятельность предприятия осуществляется в государственных интересах, и на обороноспособность страны в целом. Таким образом, проблему обеспечения информационной безопасности предприятия необходимо рассматривать не как отдельную проблему проекти- рования изолированной системы защиты информации на предприятии, а как звено в цепочке бизнес-операций, осуществляемых предприятием в своей по- вседневной деятельности. Учет бизнес-операций предприятия при проектиро- вании системы защиты информации приводит к использованию процессного подхода к управлению предприятием, специфике применения которого как раз и посвящена данная монография. Введение и материалы первой главы написаны д.т.н., профессором А.Г. Коробейниковым, материалы второй, третьей глав и заключения написаны к.т.н. И.Б. Трониковым, предисловие и материалы четвертой главы написаны д.т.н., доцентом И.О. Жариновым, материалы пятой главы написаны д.т.н., профессором П.П. Парамоновым, кроме того им осуществлена общая редакция материалов всех глав книги. Авторы чрезвычайно признательны д.т.н., профессору О.Ф. Немолочнову, д.т.н., профессору Ю.А. Гатчину, к.т.н., доценту В.И. Полякову, д.т.н., профес- сору Ю.И. Сабо, д.т.н., профессору Р.А. Шек-Иовсепянцу, к.т.н., профессору Б.В. Видину, д.т.н., профессору В.О. Никифорову, д.ф.-м.н., профессору Ю.Л. Колесникову за ценные замечания и рекомендации, сформулированные в про- цессе написания книги. Отдельно авторский коллектив выражает благодарность И.Г. Архипову за оказанную им помощь в подготовке книги к изданию. Авторы заранее также выражают искреннюю благодарность читателям, ко- торые сочтут возможным и необходимым прислать в издательство свои пред- ложения относительно содержания книги, что могло бы способствовать улуч- шению существа обсуждаемых в ней вопросов.

6

ВВЕДЕНИЕ

На современном этапе состояния общества информационные технологии (ИТ) активно внедряются во все сферы национальной экономики. Сегодня ру- ководство любого промышленного предприятия, по существу, имеет дело с корпоративной информацией, на основе которой принимаются ответственные решения. Такая информация должна соответствовать требованиям актуально- сти, достоверности, структурированности и конфиденциальности. ИТ в настоящее время являются необходимым атрибутом повышения эф- фективности бизнес-процессов, позволяют хозяйствующим субъектам снизить издержки производства, повысить достоверность экономического анализа, пра- вильно выбирать стратегию и тактику проведения мероприятий в условиях на- ступления форс-мажорных обстоятельств [1]. Одной из наиболее серьезных проблем, затрудняющих применение современных ИТ, является обеспечение их информационной безопасности. Актуальность и важность проблемы обеспечения безопасности ИТ обу- словлены следующими причинами:

резкое увеличение вычислительной мощности современных компьюте- ров при одновременном упрощении их эксплуатации;

высокие темпы роста парка персональных компьютеров, находящихся в эксплуатации в различных сферах человеческой деятельности;

резкое увеличение объемов информации, накапливаемой, хранимой на

электронных носителях (в виде электронных документов) и обрабатываемой с

помощью средств вычислительной техники;

концентрация информации и сосредоточение в единых базах данных

(БД) информации различного назначения и различной принадлежности;

динамичное развитие программных средств, не удовлетворяющих тре- бованиям безопасности;

резкое расширение круга пользователей, имеющих непосредственный

доступ к вычислительным ресурсам и массивам данных;

демократизация доступа к информации, обусловленная развитием как

локальных, так и глобальных компьютерных сетей;

развитие электронной почты и рост электронного документооборота в компьютерных сетях на предприятиях;

внедрение электронных технологий в различные виды профессиональ-

ной деятельности на финансовых и товарных рынках (электронная коммерция, сетевые банковские и финансовые услуги);

развитие глобальной сети Интернет, практически не препятствующей

нарушениям безопасности систем обработки информации во всем мире. В результате возникло острое противоречие между возросшими возможно- стями методов и средств ИТ и возможностями методов и средств защиты ин- формационных ресурсов.

7

Усложнение средств, методов, форм автоматизации процессов обработки информации повышает зависимость промышленных предприятий от степени безопасности используемых ими ИТ, при этом качество информационной под- держки управления напрямую зависит от организации инфраструктуры защиты информации (ИЗИ). Данные мировой и российской статистики свидетельствуют о тенденции роста масштаба компьютерных злоупотреблений, приводящих к значительным финансовым потерям хозяйствующих субъектов различного уровня. Так, коли- чество компьютерных преступлений в Российской Федерации выросло за пери- од 1997-2005 гг. приблизительно в 150 раз (с 100 в 1997 году до 15000 в 2005 году со среднегодовым темпом роста 88,2%) [2–4]. Ущерб от компьютерных злоупотреблений в мире ежегодно возрастает на 35%. При анализе имеющихся статистических данных в области компьютерных преступлений необходимо учитывать латентность (сокрытие компаниями) ин- формации о компьютерных злоупотреблениях. В Российской Федерации это явление достигает 90% случаев всех преступлений, совершаемых в сфере защи- ты информации. Сохраняющаяся тенденция заставляет вносить изменения в стратегию развития компаний и требует более обоснованной организации ИЗИ. Анализ результатов исследований, ведущихся в направлении обеспечения информационной безопасности (ИБ) ИТ, показывает, что в настоящее время не до конца решены вопросы научного обоснования структуры системы защиты информации (СЗИ), реализуемой на предприятиях. В первую очередь это каса- ется инфраструктуры защиты бизнес-процессов, которые в свете современных тенденций организации бизнеса играют решающую роль в достижении успеха хозяйствующим субъектом. Отмеченные обстоятельства обусловливают противоречие между насущ- ной необходимостью научного обоснования концепции построения ИЗИ биз- нес-процессов и возможностями теоретико-методологических решений, обес- печивающих это обоснование. При этом необходимо учитывать, что процесс- ный подход к организации и управлению хозяйственной деятельности предпри- ятия требует применения процессно-ориентированных процедур и к формиро- ванию самой ИЗИ бизнес-процессов. Процессно-ориентированный подход к созданию (совершенствованию) ИЗИ бизнес-процессов позволит рассматривать процесс формирования СЗИ как один из вспомогательных процессов, обеспечивающих основные виды деятель- ности предприятия. Это дает возможность разработки ИЗИ в тесной взаимосвя- зи с проектированием других бизнес-процессов, что, несомненно, увеличит их интегрированность, гибкость, сбалансированность и управляемость. Для блокирования и предупреждения наиболее вероятных информацион- ных угроз на промышленном предприятии должна функционировать такая ИЗИ, которая ориентирована на поддержку бизнес-процессов с учетом структу- ры информационных активов промышленного предприятия, а в силу ограни- ченности финансовых ресурсов у предприятия, ИЗИ должна формироваться экономически обоснованно (см. рис. 1).

8

Качественный анализ:

 

- выявление всего спектра рисков;

- описание рисков;

- описание рисков ;

- классификация рисков;

 

- анализ исходных допущений.

Количественный анализ:

 

- формализация неопределенности;

- расчет рисков;

- оценка рисков;

- учет рисков.

Минимизация рисков:

 

- проектирование стратегии;

- выбор оптимальной стратегии;

- реализация стратегии.

Контроль рисков:

 

- мониторинг рисков;

переоценка и корректировка рисков;

-

 

оперативные решения по отклонениям.

-

Идентификация риска

Измерение рисков

Оптимизация

Мониторинг

Рис. 1. Схема оценки рисков при разработке инфраструктуры системы защиты информации на промышленном предприятии

В то же время в отечественной и зарубежной теории и практике отсутству- ет целостная методология организации ИЗИ, рассматриваемая через призму процессного подхода к управлению промышленным предприятием. Таким образом, потребность разрешения существующих противоречий в теории и практике создания СЗИ требует дальнейшего развития этих систем и, в частности, ИЗИ бизнес-процессов на промышленном предприятии.

9

ГЛАВА 1 АНАЛИЗ ТЕНДЕНЦИЙ И ЗАКОНОМЕРНОСТЕЙ РАЗВИТИЯ ИНФРАСТРУКТУРЫ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРОМЫШЛЕННОМ ПРЕДПРИЯТИИ

1.1. Основные понятия и структурные составляющие

Современная сложная, динамичная и агрессивная внешняя среда требует от российских предприятий поддержания своей информационной инфраструк- туры, совершенствования корпоративных схем и бизнес-процессов с точки зре- ния их безопасности и контроля [5–7]. Одним из приоритетных направлений эффективного управления предприятием является применение методологии и инструментария процессного подхода к организации и управлению предпри- ятием, хотя в российской практике сегодня все еще привычно использование структурного подхода к организации и управлению финансово-хозяйственной деятельностью предприятий [8]. Сравнительный анализ процессного и струк- турного подходов к управлению предприятием представлен в таблице 1.1. В рамках методологии процессного подхода предприятие рассматривается как совокупность бизнес-систем, каждая из которых представляет собой свя- занное конечное множество бизнес-операций, целью которых является выпуск на рынок продукции или услуги. Под бизнес-процессом понимают [3] определенный набор различных ви- дов деятельности предприятия, которые в совокупности создают результат (продукт, услугу, в т.ч. информационный), имеющий ценность для конечного потребителя (клиента или заказчика). В качестве заказчика может также высту- пать бизнес-процесс более высокого порядка. С другой стороны [4, 9], бизнес-процесс это цепочка операций (работ), результатом которой является продукт или услуга. В цепочку могут входить операции, которые выполняются структурными элементами, расположенными на различных уровнях организационной структуры предприятия. В работе [10] бизнес-процессы определены как совокупность этапов работ, начинающихся от одного и более начальных шагов (входов) и завершающихся созданием продукта (услуги), необходимого клиенту внешнему или внут- реннему. Таким образом, бизнес-процесс представляет собой совокупность различ- ных видов деятельности, в рамках которой «на входе» используются один и бо- лее видов ресурсов, и в результате этой деятельности на «выходе» создается продукт, представляющий ценность для потребителя, а не отдельные операции.

10

Таблица 1.1

Сравнительный анализ процессного и структурного подходов к управлению промышленным предприятием

Процессный подход

Структурный подход

Ориентирован на бизнес-процессы, конечными целями выполнения которых является создание продуктов и услуг, представляющих ценность для внутренних и внешних потребителей

Ориентирован на организацион- ную структуру предприятия

Система управления предприятием ориентирована на управление как каждым бизнес-процессом в отдельности, так и всеми бизнес-процессами в целом

Основан на использовании иерар- хической организационной структуры предприятия

Система менеджмента качества пред- приятия ориентирована на обеспечение ка- чества технологий выполнения бизнес- процессов в рамках существующей или перспективной организационно-штатной и организационной культуры предприятия

Организация и управление дея- тельностью предприятия осуществляет- ся по структурным элементам (отделе- ниям, отделам, цехам и т.д.)

Имеет место широкое делегирование полномочий и ответственности исполните- лям

Разбиение технологий выполнения работы на отдельные фрагменты, кото- рые реализуются различными струк- турными элементами организации

Сокращение количества уровней принятия решений, переход на ресурсос- берегающую организационную структуру предприятия

Отсутствие цельного описания технологий выполнения работы; в луч- шем случае существует только фраг- ментальная (на уровне структурных элементов) и то не всегда актуальная документируемость технологий

Сочетание принципов целевого управления с групповой организацией тру- да на предприятии

Отсутствие ответственного за ко- нечный результат и контроль над тех- нологией в целом, а также ориентация на клиента (внешнего и внутреннего)

Повышенное внимание к вопросам обеспечения качества продукции или ус- луг, а также работы предприятия в целом

Отсутствие ориентации на внеш- него клиента, а также внутренних по- требителей промежуточных результатов деятельности предприятия

Автоматизация технологий выполне- ния бизнес-процессов

Неэффективность информацион- ной поддержки, обусловленная наличи- ем «лоскутной» автоматизации дея- тельности отдельных структурных эле- ментов и неудачными попытками вне- дрения корпоративных информацион- ных систем

11

Анализ приведенных определений позволяет сделать вывод о том, что с точки зрения процессного подхода бизнес-процесс промышленного предпри- ятия можно определить как совокупность действий, использующую на входе ресурсы различных типов и продуцирующую результат, имеющий определен- ную ценность для потребителя (клиента). Понятие «процесс» — ключевое в современной теории управления бизне- сом. Международный стандарт ISO 9000:2000 (российский аналог ГОСТ Р ИСО 9000-2001) определяет процесс как совокупность взаимосвязанных и взаимо- действующих видов деятельности, преобразующих входы в выходы (рис. 1.1)

[11].

Процесс включает одну или более связанных между собой процедур или функций, которые совместно реализуют некоторую задачу бизнеса (обычно в рамках организационной структуры предприятия). Процесс может выполняться

в пределах одной организационной единицы, охватывать несколько единиц или даже несколько различных организаций, например, в системе «покупатель- поставщик». Процесс обычно связан с операционными отношениями, напри- мер, процесс разработки нового изделия или процесс продаж. На рис. 1.1 пред- ставлены структура и основные атрибуты бизнес-процесса предприятия. Различают основные и вспомогательные процессы. Основные процессы это те процессы, которые добавляют новое качество продукции. Вспомогатель- ные процессы формируют инфраструктуру организации (в том числе информа- ционную). Владелец процесса лицо (или группа лиц), отвечающее за процесс и имеющее полномочия изменять его с целью усовершенствования. Границы процесса граница входа и граница выхода. Граница входа предшествует пер- вой операции процесса, граница выхода следует за его последней операцией. Интерфейс процесса механизм (организационный, информационный, техни- ческий), посредством которого процесс взаимодействует с предшествующим и последующим процессами. В соответствии с процессным подходом к анализу деятельности предприятия, работа должна быть организована именно вокруг его бизнес-процессов. В процессе своей жизнедеятельности бизнес-система за счет выполнения бизнес-процессов осуществляет достижение определенной совокупности целей, имеющих иерархическую структуру, и каждая цель имеет свой вес и критерии достижимости. Факторами, обусловливающими бизнес-процессы, являются показатели деятельности предприятия, приведенные на рис. 1.2. Одним из первых основных этапов построения процессной организации и управления корпорацией является идентификация и классификация бизнес- процессов. Как правило, основу для классификации бизнес-процессов (см. рис. 1.3) составляют четыре базовые категории:

основные бизнес-процессы;

инфраструктурные (вспомогательные бизнес-процессы);

бизнес-процессы развития;

12

бизнес-процессы управления. Основными бизнес-процессами являются те процессы, которые ориенти- рованы на производство конечного продукта или услуги, представляющих цен- ность для конечного потребителя и обеспечивающих получение основного до- хода предприятия. Эти процессы формируют «Выходы» процессов как показа- но на рис. 1.4.

Бизнес-процесс

Процесс
Процесс
Процесс

Процесс

Процесс
Процесс

Функция

Функция
Функция
Бизнес - процесс Процесс Функция Основной Вспомогательный
Бизнес - процесс Процесс Функция Основной Вспомогательный

Основной

Вспомогательный

Основной Вспомогательный Владелец Участник Должность
Основной Вспомогательный Владелец Участник Должность
Владелец Участник
Владелец Участник
Владелец Участник
Владелец Участник
Владелец Участник

Владелец

Владелец
Владелец Участник

Участник

Участник
Владелец Участник Должность или организацион -
Владелец Участник Должность или организацион -

Должность или

организацион-

ная единица

Границы

Интерфейс

«Входы»

«Выходы»

Операция

Процедура

Действие

» Операция Процедура Действие Продукт / услуга Рис . 1.1.
» Операция Процедура Действие Продукт / услуга Рис . 1.1.
» Операция Процедура Действие Продукт / услуга Рис . 1.1.
» Операция Процедура Действие Продукт / услуга Рис . 1.1.
» Операция Процедура Действие Продукт / услуга Рис . 1.1.

Продукт/услуга

Рис. 1.1. Структура и атрибуты бизнес-процесса предприятия

13

Показатели

деятельности

предприятия

деятельности предприятия Количество потребителей
деятельности предприятия Количество потребителей
деятельности предприятия Количество потребителей

Количество

потребителей

продукта

потребителей продукта Количество типовых операций

Количество

типовых

операций на

предприятии

операций на предприятии Количество производимого

Количество

производимого

продукта

Стоимость

издержек

производства

продукта

Длительность

выполнения

типовых

операций

Капиталовложения в производство продукта

Рис. 1.2. Система общих показателей промышленного предприятия, характеризующих его бизнес-процессы

Бизнес-процессы управления Бизнес-процессы Основные развития
Бизнес-процессы
управления
Бизнес-процессы
Основные
развития
Развитие
бизнес-процессы
Инфраструктурные
бизнес-процессы
Управление
Обеспечение

Рис. 1.3. Система базовых бизнес-процессов предприятия

14

Инфраструктурные бизнес-процессы это вспомогательные процессы, которые предназначены для обеспечения выполнения основных бизнес- процессов предприятия. В общем случае они обеспечивают ресурсами все биз- нес-процессы предприятия. На рис. 1.5 представлено взаимодействие основных и инфраструктурных бизнес-процессов. Понимание данного взаимодействия существенно для выяв- ления роли инфраструктурных бизнес-процессов и их влияния на активы пред- приятия для определения их рыночной стоимости или доли в рыночной стои- мости предприятия [12]. Бизнес-процессы управления это те бизнес-процессы, которые охваты- вают весь комплекс функций управления на уровне каждого бизнес-процесса и бизнес-системы в целом. В основе построения технологии выполнения процес- сов управления лежит концепция контроллинга, которая позволяет сформиро- вать полный цикл управления предприятием, начиная от стратегического пла- нирования до анализа причин отклонений от плана и формирования управляю- щих воздействий [13]. К процессам развития, как правило, относятся реновации, либо процессы совершенствования готового продукта или услуги, технологии, оборудования, инновации. Кроме основных бизнес-процессов, формирующих доход предприятия, принято [3] выделять не основные бизнес-процессы, которые также приносят определенную долю дохода. В составе основного бизнес-процесса могут суще- ствовать внутренние обеспечивающие подпроцессы, а в составе инфраструк- турного бизнес-процесса можно выделить основной обеспечивающий подпро- цесс и несколько вспомогательных подпроцессов. Таким образом, бизнес-система определяется как связанное множество ос- новных типов бизнес-процессов, конечной целью которых является создание

продукта 1 , в том числе информационного, в соответствии с поставленной це- лью деятельности предприятия на рынке. Основными отличительными свойствами бизнес-процессов как объектов корпоративной бизнес-системы являются:

структурируемость;

возможность объединения и создания сетей;

делимость на более мелкие бизнес-процессы.

Конструирование бизнес-системы невозможно без такого ее компонента, как информационная инфраструктура, важной составляющей которого является оценка и защита информационных активов в составе активов корпорации. Так, в ст. 2 Закона «Об участии в международном информационном обме- не» [14] утверждается, что информационный продукт это документирован- ная информация, подготовленная в соответствии с потребностями пользовате- лей и предназначенная или применяемая для удовлетворения их потребностей.

1 Под продуктом в данном случае понимается любой выход (результат): товары, услуги, а иногда и доку- менты, которые рассматриваются, очевидно, как носители полезного свойства (ГОСТы, сертификаты и т.п.) или информации, хотя в квалификации видов продукции они пока отсутствуют.

15

Продукт/услуга Основной производственный бизнес-процесс
Продукт/услуга
Основной производственный
бизнес-процесс
бизнес-процесс Ресурсы Инфраструктурный
Ресурсы
Ресурсы

Инфраструктурный процесс 1

Инфраструктурный процесс 2

1 Инфраструктурный процесс 2 Инфраструктурный процесс n Рис .
1 Инфраструктурный процесс 2 Инфраструктурный процесс n Рис .

Инфраструктурный процесс n

Рис. 1.4. Схема взаимодействия бизнес-процессов предприятия

Основной бизнес-процесс

Функционально-

стоимостная оценка активов предприятия

Инфраструктурный бизнес-процесс 2
Инфраструктурный
бизнес-процесс 2

Инфраструктурный бизнес-процесс 4

Инфраструктурный бизнес-процесс 1

Инфраструктурный бизнес-процесс 3

Инфраструктурный бизнес-процесс n

Рис. 1.5. Взаимодействие основных и инфраструктурных бизнес-процессов предприятия

16

При этом выделяются следующие особенности информационного продук- та, имеющие теоретико-практическое значение [15]:

информационные активы как продукт это всегда результат труда, по-

рождение или следствие обработки информационного контента как исходного ресурса;

информационный ресурс как продукт может быть вовлечен по желанию

собственника в экономический оборот в составе нематериальных активов;

информационный продукт (ресурс, актив) всегда индивидуален и дол-

жен соответствовать конкретным требованиям потребителей этого ресурса;

при формировании информационного контента как ресурса и как про-

дукта должны учитываться две позиции: позиция потребителя информации (за- казчика, покупателя), которому требуется информация определенной направ- ленности, и позиция собственника, в том числе производителя информационно- го ресурса (в силу специального наполнения информационного контента как продукта). Само понятие бизнес-правил пришло на российский рынок как понятие ключевых элементов из теории инжиниринга бизнеса [4], на базе которых про- ектируется (моделируется) целостная структура бизнес-процессов предприятия. В частности, бизнес-правила затрагивают установление одного или нескольких субъектов в качестве собственника процесса или задание типа связей между процессами разного уровня. Изменение изначально установленных бизнес- правил приводит к необходимости перепроектирования всей системы. Простой перечень бизнес-процессов, таким образом, не отражает структуры конкретного бизнеса. Каждая бизнес-система потому и уникальна, что даже будучи модели- руемой по типовой методике и с едиными бизнес-правилами, требует четкого формулирования этих правил и индивидуального структурирования взаимосвя- зей бизнес-процессов, что невозможно без информационной составляющей. Каждый элемент бизнеса является бизнес-объектом и взаимодействует с другими объектами. Когда на рынке появляется новый бизнес-объект, он явля- ется самостоятельной единицей в рамках общего взаимодействия. Объектом может быть фирма (директор), клиент, склад и т.д. Бизнес-объектом могут вы- ступать также взаимоотношения между перечисленными объектами (например, заключение договора между фирмой и клиентом, отпуск товара со склада как расходная операция и пр.). Каждый бизнес-проект осуществляет управление и манипулирование набором бизнес-объектов. Каждый объект бизнеса может быть использован несколькими бизнес-процессами в единой технологической цепочке. Следовательно, под структурой бизнес-процесса следует понимать всю со- вокупность взаимосвязанных бизнес-операций предприятия, интегрирующих бизнес-объекты, сквозные потоки ресурсов (человеческие, материальные, фи- нансовые, нематериальные, в том числе информационные) через организацион- ную структуру предприятия. Определенная таким образом структура бизнес- процесса отражает взгляд проектанта системы безопасности на деятельность предприятия в динамике (см. рис. 1.6).

17

Организация/

управление

Политика,

стратегия

Внешние

ограничения

Данные, Данные информация Бизнес-процесс Знания, опыт
Данные,
Данные
информация
Бизнес-процесс
Знания,
опыт
Материалы
Продукты,
услуги
Объекты
Результаты

Оборудование,

технологии

Финансовые,

кадровые

информационные

Возможности

Потребности

Возможности Потребности Ресурсы предприятия Рис . 1.6.
Возможности Потребности Ресурсы предприятия Рис . 1.6.

Ресурсы предприятия

Рис. 1.6. Графическое представление структуры бизнес-процесса промышленного предприятия

К основным критериям эффективности организации бизнес-процессов предприятия следует отнести:

минимизацию сроков реализации бизнес-процессов;

минимизацию издержек реализации бизнес-процессов;

максимизацию стоимости бизнес-процесса субъектами оценки: клиен-

тами, конечными потребителями, заказчиками. Нельзя не согласиться с рядом авторов [3, 9–14], что эффективная деятель-

ность корпорации возможна при создании единой корпоративной системы биз- нес-процессов, предусматривающей весь спектр решений по управлению биз- нес-объектами и бизнес-процессами и объединяющей следующие виды ресур- сов:

материальные ресурсы;

18

финансовые ресурсы;

человеческие ресурсы;

инвестиционные ресурсы;

интеллектуальную собственность;

инфраструктурные активы.

Такие системы необходимы как механизм достижения стратегических це- лей бизнеса:

управление всеми видами информационных активов крупных распреде- ленных компаний в рамках корпорации;

интеграция материальных и нематериальных активов корпорации в

единый эффективно работающий механизм;

обеспечение динамичного выхода на новые рынки и удержание позиций

в конкурентной борьбе;

формирование и поддержание высокого уровня корпоративной культу-

ры.

Развитие нового «сетевого» направления в экономике характеризуется не- посредственной организацией в рамках корпоративной сети производственно- хозяйственных и информационных связей, основанной на новых принципах управления компаниями или на основах партнерства, договоренностей участ- ников этой сети с учетом взаимных интересов. Структурирование корпоратив- ных связей определяется целесообразностью и мотивацией объединения ресур- сов и производственных возможностей. Методология разработки бизнес-системы корпорации предполагает дви- жение «сверху вниз» (т.н. нисходящее проектирование), начиная с формулиро- вания миссии корпорации на рынке, корпоративных целей, корпоративных и функциональных бизнес-стратегий, с помощью которых определяется необхо- димый набор бизнес-функций, обеспечивающий взаимосвязи между бизнес- объектами для достижения поставленных задач. Фундаментом, на котором ба- зируются миссия и цель корпорации (см. рис. 1.7), являются бизнес-процессы. Немаловажную роль при этом играет создание инструментария механиз- мов управления изменениями (например, управление развитием), что позволяет организовывать такие новые формы бизнеса, как электронная коммерция, свя- занные, так или иначе, с распространением информационных ресурсов на ком- мерческой основе, и способствует достижению решающего конкурентного пре- имущества предприятия за счет точной и быстрой реакции корпорации на из- менения внешней среды (или на стратегический прогноз этих изменений). Поддержка и защита системы управления корпорацией подразумевает поддержку и защиту самих бизнес-процессов. Развитие информационной ин- фраструктуры бизнес-системы основывается на преодолении инфраструктур- ной и информационной разобщенности подразделений корпораций. Инвести- ции в управление бизнес-процессами могут приносить определенные доходы за счет повышения эффективности работы и ускорения бизнес-процессов, а также за счет повышения рыночной стоимости компании в части нематериальных ак- тивов и, прежде всего, информационных [16, 17].

19

Миссия Цель Стратегия Критические Показатели факторы
Миссия
Цель
Стратегия
Критические
Показатели
факторы
эффективности
успеха
деятельности
Инфраструктурная часть бизнес-процессов
Бизнес-процессы

В чем состоит предназначение корпорации?

Чего корпорация хочет достичь?

Как конкретно корпорация будет реализовывать свою миссию и цель?

Что корпорация обязательно должна сделать для реали-

зации стратегии?

Как корпорация будет измерять степень реа- лизации стратегии?

Какие бизнес- процессы наи- более важны для реализации цели и страте- гии корпора- ции?

Рис. 1.7. Укрупненная схема бизнес-системы корпорации

Основными экономико-организационными преимуществами процессно- ориентированного подхода у организации управления предприятием являются следующие:

1. Обеспечивается ориентация всей деятельности предприятия на главный конечный результат своевременный выпуск высококачественной продукции, которая непременно будет востребована рынком. 2. Обеспечивается существенное сокращение количества уровней в иерар- хии управления за счет укрупнении процессных операций информационных услуг. Кроме того, упрощается обмен информацией между различными подраз- делениями предприятия. 3. Обеспечивается сокращение «этажей власти» (за счет обоснованного увеличения нормы управляемости) благодаря точному определению как общих, так и персональных (работников) результатов деятельности предприятия. Дан- ный подход позволяет существенно сократить количество работающих лиц за счет сокращения ненужных структурных подразделений, придать деятельности организации целенаправленность и сформировать эффективную систему моти- вации работы персонала. 4. Обеспечивается возможность точного определения конечных результа- тов деятельности каждого отдельного подразделения предприятия (например,

20

участка, цеха, отдела), которая обеспечивается посредством объединения час- тых, детализированных процессов в общий, единый процесс.

5. Обеспечивается создание благоприятных условий для уменьшения ко-

личества задействованных в процессах лиц вследствие устранения лишних или, иначе, не нужных функций отдельных подразделений. При этом предусматри- вается закрепление за одним работником вполне определенного комплекса од- нородных процессов.

6. Обеспечивается высокая мотивация работников предприятия вследствие

высокой контролируемости их деятельности и прогрессивной системы оплаты труда.

7. Обеспечивается возможность более высокой адаптации предприятия к

автоматизации деятельности всех структурных подразделений; это обстоятель-

ство обусловлено отличительной особенностью процессно-ориентированного подхода высокой степенью детализации структуры предприятия.

8. Обеспечивается усиление горизонтальных связей между подразделе-

ниями предприятия и снижение отрицательного влияния функциональных

барьеров, имеющих место при традиционной системе управления.

9. Обеспечивается более детализированное (четкое) определение ответст-

венности работников, что обусловливает лучшее понимание предъявляемых к ним требований и, как следствие, наиболее эффективное использование распо-

лагаемых предприятием ресурсов.

10. Обеспечивается возможность организации четкого контроля за дея-

тельностью предприятия, а также единство информационных потоков; это об-

стоятельство является залогом оперативного устранения причин неэффектив- ности разработанных процессов.

11. Обеспечивается способность процессно-ориентированного подхода са-

монастраиваться на необходимые качественные показатели деятельности пред- приятия, что реализуется посредством учета требований, предъявляемых по- требителями продукции, работ или услуг. Самонастраиваемостъ это суть адаптивных высокоавтоматизированных интеллектуальных систем.

12. Обеспечивается сокращение объемов перерабатываемых с помощью

современных электронных средств исходных данных и промежуточной инфор- мации, реализуемые на практике благодаря концентрации состава работ (про-

цессов), выполняемых работниками предприятия.

13. Обеспечивается реальная возможность автоматизировать и оптимизи-

ровать процессы, протекающие на предприятии на основе многоцелевого (мно- гокритериального подхода), что связано с получением синергетического эф- фекта, достигаемого без привлечения дополнительных инвестиций в форми- руемую инфраструктуру системы защиты информации на предприятии.

14. Создаются благоприятные условия для построения ресурсосберегаю-

щей организационной структуры управления предприятием (Lean production). Основными характеристиками такой структуры являются:

широкое делегирование полномочий и ответственности непосредствен- ным исполнителям соответствующих видов работ (процессов);

21

сочетание принципа целевого управления с групповой ответственно-

стью и организацией труда; — оказание первоочередного внимания к вопросам обеспечения высокого качества товаров, работ и услуг, предоставляемых потребителям; — автоматизация технологий выполнения спроектированных процессов.

15. Обеспечивается необходимая гармонизация отношений между участ-

никами процесса, присутствующими на разных этапах реализации бизнес- системы, за счет сравнительно большей четкости закрепленных функциональ- ных обязанностей или выполняемых работ. Под гармонизацией следует понимать налаживание такого сотрудничества в отношениях между работниками предприятия на всех уровнях его управле- нии, с помощью которого удастся избежать (или минимизировать) количество отрицательных взаимодействий (конфликтов) и максимизировать объем поло-

жительных связей, а в итоге обеспечить сохранение целостности, устойчивости и эффективности функционирования бизнес-системы. Залогом успешного со- трудничества являются также психологическая, интеллектуальная и духовная совместимость, резонансное взаимодействие всех работников.

16. Создаются благоприятные условия для использования современных ИТ

при реализации процессного подхода, сущностную основу которых составляют разнообразные средства коммуникации, компьютерная техника, также про-

граммное обеспечение (ПО) (пакеты прикладных программ (ППП)).

17. Обеспечивается возможность простой и наглядной графической интер-

претации деятельности предприятия.

18. Достигается строгое соблюдение единой направленности менеджмента,

которая не зависит от того, как структурируется организация.

19. Упрощаются условия для разработки эффективной системы мотивации

работников предприятия за счет более четкой и однозначной регламентации процесса и состава выполняемых работ.

20. Появляется реальная возможность планирования деятельности пред-

приятия в системе менеджмента качества не в статике, а в динамике.

21. Устраняется обычно имеющая место обособленность подразделений и

должностных лиц.

22. Акцентируется внимание менеджмента на взаимодействие подразделе-

ний и должностных лиц, что дает возможность устранять «ничейные поля», т.е. участки деятельности предприятия, выпадающие из-под влияния системы ме- неджмента качества.

23. Обеспечивается наличие большей возможности к совершенствованию

системы менеджмента по сравнению с функциональным (структурным) подхо- дом, что крайне важно в условиях возрастающей конкуренции, с которой по- стоянно сталкиваются предприятия. Отдельно хотелось бы отметить, что поддержка и защита бизнес-процессов не является разовым мероприятием, а требует постоянного развития и сопро- вождения, что нашло отражение в современной концепции реинжиниринга бизнес-процессов.

22

1.2. Сущность и содержание информационной безопасности промышленного предприятия

1.2.1. Основные задачи информационной безопасности предприятия

Одной из основных задач корпоративной информационной системы (КИС) как и любой другой технической системы, является сервисное сопровождение бизнес-процессов. Любая используемая в бизнесе техническая система, являясь важным элементом инфраструктуры, должна предоставлять бизнесу опреде- ленный тип сервиса. КИС оказывает бизнесу информационный сервис, но и са- ма нуждается в поддержке и защите [18–21]. Сервис заключается в предостав- лении бизнесу необходимой информации нужного качества, в нужное время и в нужном месте, т.е. в конечном итоге информации, достаточной для управления самим бизнесом. По сути, информация в таком понимании становится одним из ключевых элементов информационной инфраструктуры [22–29]. Еще одной бизнес-задачей корпоративной системы информационной безо- пасности предприятия является обеспечение гарантий достоверности информа- ции, или гарантий доверительности информационного сервиса КИС. Обеспечение информационной безопасности носит комплексный характер и предполагает необходимость сочетания законодательных, организационных и программно-технических мер. Под информационной безопасностью предприятия следует понимать за- щищенность его информационных активов (как части инфраструктуры бизнес- процессов) от случайных или преднамеренных воздействий собственного или искусственного характера, чреватых нанесением ущерба собственникам или пользователям информационных активов в бизнес-системе. Защита информационных активов предприятия заключается в поддержа- нии целостности, доступности и, если потребуется, конфиденциальности ин- формационных активов в бизнес-системах. Принцип обеспечения информаци- онной безопасности предприятия иллюстрирует рис. 1.8. В обеспечении информационной безопасности нуждаются разные катего- рии хозяйствующих субъектов. Как следует из табл. 1.2, в зависимости от уров- ня ответственности хозяйствующих субъектов реализуются соответствующие им уровни обеспечения защищенности информационных активов. На концептуально-политическом уровне принимаются документы, в кото- рых определяются направления государственной политики информационной безопасности, формулируются цели и задачи обеспечения ИБ всех хозяйст- вующих субъектов и намечаются пути, методы и средства достижения постав- ленных целей и решения задач. Примером такого документа является Доктрина информационной безопасности Российской Федерации [30]. На законодательном уровне создается и поддерживается комплекс мер, на- правленных на правовое регулирование обеспечения ИБ, отражаемых в законах и других правовых актах (указы президента, постановления правительства и

23

т.д.). Одной из важных задач этого уровня является создание механизма, позво- ляющего согласовать процесс разработки законов с прогрессом ИТ [31]. На нормативно-техническом уровне разрабатываются стандарты, руково- дящие материалы, методические материалы и другие документы, регламенти- рующие процессы разработки, внедрения и эксплуатации средств обеспечения ИБ. Важной задачей этого уровня в настоящее время является приведение рос- сийских стандартов в соответствие с международным уровнем информацион- ных технологий вообще и уровнем информационной безопасности, в частности [10, 14, 28, 31–42]. На уровне предприятия или другого хозяйствующего субъекта осуществ- ляются конкретные меры по обеспечению ИБ деловой деятельности админист- ративного и программно-технического уровня.

Принципы обеспечения защищенности информационных активов предприятия

активов предприятия Целостность Доступность

Целостность

активов предприятия Целостность Доступность Конфиденциальность

Доступность

Конфиденциальность

Рис. 1.8. Принципы обеспечения информационной безопасности предприятия

Таблица 1.2 Распределение уровней защищенности информационных активов по категориям хозяйствующих субъектов

Категория хозяйствующего субъекта

Уровень защищенности

 

концептуально-политический;

Государство

законодательный;

нормативно-технический.

Финансовая система:

административный;

субъекты хозяйствования (коммерче- ские структуры, домашние хозяйства); — финансовые посредники; — финансовые рынки.

программно-технический.

На административном уровне руководство любой организации реализует меры общего характера и конкретные меры обеспечения ИБ. Основой мер об- щего характера [43] служат политика безопасности (совокупность документи- рованных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов).

24

В числе конкретных мер по обеспечению ИБ на предприятии можно выде- лить:

управление персоналом;

осуществление физической защиты территории предприятия;

поддержание работоспособности ИЗИ;

реагирование на нарушения режима безопасности;

планирование восстановительных работ СЗИ.

На программно-техническом уровне реализуются следующие механизмы обеспечения безопасности [44]:

идентификация и проверка подлинности пользователей;

управление доступом;

протоколирование и аудит;

криптография данных;

экранирование помещений и линий передачи информации.

На уровне отдельного предприятия (компании, корпорации, фирмы) от- дельно рассматриваются вопросы информационной безопасности, относящиеся к административному и программно-техническому уровням [45].

1.2.2. Классификация угроз информационной безопасности корпоративной бизнессистемы

Под угрозой информационной безопасности автоматизированной системы понимают возможные воздействия на эту систему, которые прямо или косвенно могут нанести ущерб [46]. Принято считать, что ИБ информационной системы обеспечена в случае, если для любых информационных ресурсов в системе поддерживается опреде- ленный уровень конфиденциальности, целостности и доступности информации [47]. Поэтому для информационных систем традиционно рассматривают три основных вида угроз безопасности:

угроза нарушения конфиденциальности;

угроза нарушения целостности;

угроза отказа служб.

Само понятие угрозы в равных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации может просто не существо- вать угроз конфиденциальности вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ считается серьезной опас- ностью [48, 49]. Знание возможных угроз (см. рис. 1), их анализ, а также знание уязвимых мест защиты, через которые эти угрозы реализуются на практике, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения инфор- мационной безопасности предприятия [50]. Самыми распространенными и самыми опасными (с точки зрения ущерба) являются непреднамеренные ошибки пользователей, операторов, системных

администраторов и других лиц, обслуживающих информационные системы.

25

Иногда такие ошибки являются угрозами (неправильно введенные данные, ошибка в программе, вызвавшая крах системы), иногда они создают слабости в системе безопасности, которыми могут воспользоваться злоумышленники (та- ковы обычно ошибки администрирования). Согласно [51], 65% потерь это следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с некомпетентностью и невнимательностью. Очевид- но, самый радикальный способ борьбы с непреднамеренными ошибками максимально возможная автоматизация и строгий контроль за правильностью совершаемых операторами действий, а также высокая квалификация персонала. На втором месте по размерам ущерба располагаются кражи и подлоги. Можно предположить, что подлинный ущерб намного больше, поскольку мно- гие организации по попятным причинам скрывают такие инциденты. В боль- шинстве расследованных случаев [52, 53] виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Это еще раз свидетельствует о том, что внутренняя угроза гораздо опаснее внешней. Весьма опасны так называемые «обиженные» сотрудники работающие и уволенные лица. Как правило, их действиями руководит желание нанести вред организации-обидчику, например:

повредить оборудование;

встроить логическую «бомбу», которая со временем разрушит програм- мы и/или данные;

внести неверные данные;

удалить данные;

изменить данные;

разместить конфиденциальную или другую корпоративную информа-

цию в сети Интернет для открытого доступа;

попытаться продать конфиденциальную информацию предприятия или

часть БД (например, содержащую клиентскую информацию) конкурентам и т.д. Обиженные сотрудники, даже бывшие (уволенные), знакомы с устоявши- мися порядками в организации и способны наносить большой ущерб организа- ции. Необходимо следить за тем, чтобы при увольнении сотрудника (не только за провинности, но и по собственному желанию) его права доступа к информа- ционным ресурсам предприятия аннулировались в полной мере. Угрозы, исходящие от окружающей среды, к сожалению, отличаются большим разнообразием. В первую очередь следует выделить нарушения тех- нологической инфраструктуры аварии электропитания, временное отсутст- вие связи, перебои с водоснабжением и т.п. Опасны также стихийные бедствия, гражданские беспорядки и события, воспринимаемые как стихийные бедствия:

пожары, наводнения, землетрясения, ураганы. По данным [51], на долю огня, воды и аналогичных «внешних врагов» (среди которых самый опасный низ- кое качество электропитания и его перебои) приходится 13% потерь, нанесен- ных информационным системам предприятий. На современном этапе развития информационных технологий подсистемы

26

с функциями защиты являются неотъемлемой частью внедренных на предпри-

ятии комплексов по обработке информации. При этом информация не пред- ставляется пользователям в чистом виде. На пути доступа к ней имеется неко- торая система защиты, которую необходимо преодолеть атакующей стороне. Однако не существует абсолютно стойкой системы защиты, вопрос лишь во времени и средствах, требуемых на ее преодоление. Исходя из данных условий, приемлемой можно считать следующую мо- дель: защита информационной системы считается преодоленной, если в ходе ее исследования определены уязвимости системы. Уязвимость это некоторое свойство системы, которое делает возможным возникновение и реализацию уг- розы ИБ. Проведенный анализ возможных угроз показал, что информационная ин- фраструктура должна обладать свойством защищенности информации, исполь-

зуемой в бизнес-процессах предприятия. Данное свойство характеризует спо- собность системы обеспечивать защиту коммерческой, служебной, технологи- ческой и иной информации на предприятии от несанкционированного (предна- меренного или случайного) получения, изменения, уничтожения или использо- вания. С учетом компонентов бизнес-процесса, показанных на рис. 1.1, а также их взаимосвязей, к потенциально опасным ситуациям, которые могут возникнуть при низком уровне защищенности информации на предприятии, относятся:

несанкционированный доступ нарушителей (не владельцев и участни-

ков) к информации, хранящейся и обрабатываемой в средствах автоматизации,

с целью ознакомления, искажения или уничтожения. Точками входа при этом

могут быть интерфейсы и границы процесса, а также информация, необходимая для реализаций функций (операций, процедур) бизнес-процесса;

перехват информации при ее приеме (передаче) по каналам связи (сети) функциями процесса, а также за счет хищения носителей информации;

уничтожение (изменение, искажение) информации за счет случайных

помех, сбоев технических (программных) средств при передаче, хранении и об- работке информации;

несанкционированное влияние на бизнес-процесс нарушителей из числа владельцев и (или) участников процесса.

1.2.3. Обоснование требований к инфраструктуре системы защиты информации

На основе проведенного анализа влияния информационной инфраструкту- ры на реализацию бизнес-процессов (рис. 1.9), анализа содержания ИБ бизнеса, целей и основных принципов функционирования инфраструктуры, можно оп- ределить ряд требований, предъявляемых к системе защиты в отношении биз- нес-процессов. Информационные активы являются частью информационной инфраструк- туры предприятия и требуют защиты от возможных информационных угроз.

27

Поли- тика ИБ Цель защиты информации Стратегия защиты
Поли-
тика ИБ
Цель защиты
информации
Стратегия защиты
информации
Угрозы ИБ
Показатели ИБ
Инфраструктура защиты информации
Бизнес-процессы
Рис. 1.9. Роль и место инфраструктуры
системы защиты информации в бизнес-системе предприятия

В состав элементов ИЗИ бизнес-процессов должны быть включены сред-

ства управления доступом; регистрации и учета; криптографические; обеспече- ния целостности информации. Согласно [36], устанавливается девять классов защищенности автоматизи- рованных систем от несанкционированного доступа к информации. Каждый класс характеризуется соответствующей совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями об- работки информации в автоматизированной системе.

В пределах каждой группы соблюдается иерархия требований по защите в

зависимости от ценности (конфиденциальности) информации и, следовательно,

иерархии классов защищенности автоматизированных систем.

В [36] также определяется номенклатура обязательных требований, реали-

зация которых обеспечивает уровень защиты информации, соответствующий выбранному классу защищенности. Очевидно, что согласно системе классифи- кации, выполнение всех требований соответствует наивысшему классу защи- щенности (1А). Однако это не означает, что указанный класс является требуе- мым для любой системы защиты информации. Высокий уровень защищенности может быть обеспечен компенсацией заведомо нецелесообразных требований другими средствами и, что наиболее вероятно, организационными мерами за-

28

щиты. Так, например, использование сертифицированных криптосредств ведет к существенному повышению стоимости всей системы защиты информации. При этом стоимость этих средств соизмерима со стоимостью всех остальных средств вместе взятых. Поэтому отсутствие криптосистемы или ее отдельных элементов может быть компенсировано, например, ограничением доступа к конфиденциальной информации, локализацией и (или) отключением информа- ционных массивов от сети, оптимизацией трафика доступа и другими про- граммными и техническими средствами, а также организационными мерами защиты, внедренными на предприятии. Вместе с тем, сформулированные требования составляют функциональную основу ИЗИ бизнес-процессов, т.е. определяют обязательный (с учетом приве- денных замечаний) состав функций по соответствующим подсистемам защиты. Однако процессный подход к организации и управлению хозяйственной дея- тельностью предприятия обусловливает необходимость применения процессно- ориентированного подхода и к формированию самой инфраструктуры защиты бизнес-процессов. С учетом особенностей, структуры и возможностей процессного подхода ИЗИ должна обеспечивать:

ориентацию всех процессов защиты информации на главный конечный

результат (обеспечение максимального уровня защиты информации);

выявление, локализацию и устранение последствий реализации всех возможных видов угроз информационной безопасности предприятия;

интеграцию функций защиты информации на предприятии в единый ав- томатизированный процесс;

интеграцию централизованного и ресурсосберегающего управления функцией защиты информации на предприятии;

регламентацию процессов зашиты информации по приоритету, срочно- сти, рискам и т.д.;

независимость реализации политики безопасности от организационной структуры предприятия;

реализацию планово-предупредительной деятельности предприятия по обеспечению защиты информации в бизнес-процессах;

определение конкретных мер и разграничение ответственности лиц и

средств защиты за предотвращение реализации злоумышленником конкретных видов угроз;

возможность точного определения результатов функционирования СЗИ

(учет и отчетность по каждому виду угроз, мониторинг текущего состояния, прогноз развития процессов, оценка рисков и т.д.);

возможность развития и оптимизации процессов защиты на основе ис- пользования средств встроенного контроля;

возможность адаптации к изменяющейся информационной инфраструк- туре предприятия;

минимально возможное количество уровней в иерархии управления системой защиты информации на предприятии;

29

обеспечение простых и удобных в эксплуатации мер и средств защиты информации на предприятии. Процессно-ориентированный подход к созданию (совершенствованию) ИЗИ бизнес-процессов позволит рассматривать процесс формирования (разви- тия) СЗИ как один из вспомогательных бизнес-процессов, обеспечивающих ос- новные процессы предприятия. Это позволяет проводить разработку ИЗИ в тесной взаимосвязи с проектированием других бизнес-процессов предприятия, что, несомненно, увеличивает их интегрируемость, гибкость, сбалансирован- ность и управляемость.

1.2.4. Система управления информационной безопасностью

В настоящее время нормальное функционирование большинства бизнес- процессов на предприятии невозможно без информационного обеспечения. Бизнес-процессы современной организации обеспечиваются одной или не- сколькими информационными системами. Внедрение системы управления ин- формационной безопасностью (СУИБ) — важное мероприятие, целью которого является управление процессами информационного обеспечения организации и предотвращение несанкционированного использования информации. Требования бизнеса к информационной безопасности (ИБ) оказывают воз- действие на IT-подразделения и должны быть отражены в соглашениях об уровне сервиса (SLA — Service Level Agreement). Задачей процесса управления ИБ является постоянное обеспечение безопасности услуг на согласованном с партнером уровне, при этом ИБ важнейший показатель качества управления. C точки зрения поставщика услуг или продукции, процесс управления ин- формационной безопасностью способствует интеграции аспектов безопасности в общую IT-структуру. В свою очередь, принципы построения СУИБ содержат- ся в сборнике практических рекомендаций BS ISO 17799:2005, который предос- тавляет исчерпывающее руководство пользователям для разработки, внедрения и оценки мер информационной безопасности предприятий. Процесс управления ИБ имеет важные связи с другими процессами. Так, некоторые виды деятельности на предприятии по обеспечению безопасности осуществляются другими процессами под контролем процесса управления ИБ. С позиций стандарта BS ISO/IEC 20000 процесс управления информаци- онной безопасностью на предприятии имеет два целеполагающих значения:

выполнение требований безопасности, закрепленных в SLA, и других требований внешних и внутренних соглашений, законодательных актов и уста- новленных правил (норм); — обеспечение базового уровня ИБ, независимого от внешних требований. Входными данными для процесса служат SLA, содержащие требования безопасности, по возможности, дополненные документами, определяющими политику организации в этой области, а также другие внешние требования. Процесс также получает важную информацию, относящуюся к проблемам

30

безопасности, из других процессов, например, об инцидентах, связанных с на- рушением ИБ. Выходные данные включают информацию о достигнутой реализации SLA вместе с отчетами о нештатных ситуациях с точки зрения установленного на предприятии уровня безопасности, а также информацию о регулярных меро- приятиях по совершенствованию СУИБ. Эффективное информационное обеспечение с адекватной защитой инфор- мации важно для организации по ряду причин. Во-первых, эффективное функ- ционирование организации возможно только при наличии доступа к достовер- ной и полной информации. Уровень ИБ должен соответствовать этому принци- пу. Во-вторых, в результате деятельности организации создаются продукты и услуги, которые доступны рынку или обществу и нужны для выполнения опре- деленных социально-практических задач. Неадекватное информационное обес- печение влечет производство некачественных продуктов и предоставление не- качественных услуг, которые не могут использоваться потребителями и ставят под угрозу существование организации или безопасность зависящих от нее процессов