CC BY
123
Федорова Яна Владимировна
кандидат экономических наук, доцент кафедры информационных технологий и защиты информации Ростовского государственного экономического университета (РИНХ)
(e-mail: fyv21@mail.ru)
Попова Людмила Константиновна
кандидат экономических наук, доцент кафедры информационных технологий и защиты информации Ростовского государственного экономического университета (РИНХ)
(e-mail: popova-plk@mail.ru)
Методические подходы к анализу информационной безопасности инфраструктуры корпоративного сектора
Проблема защищенности корпоративных информационных систем актуальна сегодня как никогда. Важной задачей является приведение российских стандартов в соответствие с международными, отражающими международный уровень информационной безопасности. В Российской Федерации на сегодняшний день практически отсутствуют факторы количественного измерения, учитывающие различные воздействия на информационные активы. В результате достаточно сложно, а зачастую и невозможно оценить качество функционирования всей бизнес-системы корпорации.
Ключевые слова: информационная безопасность, корпоративный сектор, комплексный подход, защита активов.
Ya.V. Fedorova, Master of Economics, Assistant Professor of a Chair of Information Technologies and Information Protection of the Rostov State University of Economics (RSUE); e-mail: fyv21@mail.ru;
L.K. Popova, Master of Economics, Assistant Professor of a Chair of Information Technologies and Information Protection of the Rostov State University of Economics (RSUE); e-mail: popova-plk@mail.ru
Methodological approaches to the analysis of the information security of infrastructure of the corporate sector
The problem of protection of corporate information systems today is as relevant as ever. An important task is to bring Russian standards in line with international, reflecting the international level of information security. In the Russian Federation today is almost a complete lack of quantitative indicators, taking into account both random and intentional exposure to information assets. The result is quite difficult, and often impossible, to assess the quality of functioning of the entire business system of corporation.
Key words: information security, corporate sector, integrated approach, asset protection.
Проблема защищенности корпоративных информационных систем актуальна сегодня как никогда. В средствах массовой информации регулярно появляются сообщения о том, как крупнейшие компании теряют деньги и доверие партнеров из-за взлома их информационных систем. При этом каждая из этих компаний вкладывает крупные денежные суммы в информационную безопасность. Однако защита информации может быть весьма дорогостоящей, но при этом неэффективной: ее надежность зависит не только от объема инвестиций, но и от того, как она организована.
Для того чтобы эффективно защитить информационную систему компании от взлома, необходимо управлять уязвимостями и контролировать соответствие требованиям стандартов.
Стандарты информационной безопасности - это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.
Согласно Федеральному закону № 184-ФЗ «О техническом регулировании» целями стандартизации являются:
повышение уровня безопасности жизни и здоровья граждан, имущества физических и юриди-
291
ческих лиц, государственного и муниципального имущества, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;
обеспечение конкурентоспособности и качества продукции, единства измерений, рационального использования ресурсов, взаимозаменяемости технических средств, технической и информационной совместимости, сопоставимости результатов исследований, технических и экономико-статистических данных, проведения анализа характеристик продукции, исполнения государственных заказов;
содействие соблюдению требований технических регламентов;
создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.
Основными областями стандартизации информационной безопасности являются: аудит информационной безопасности; модели информационной безопасности; методы и механизмы обеспечения информационной безопасности; криптография;
безопасность межсетевых взаимодействий; управление информационной безопасностью. Существуют российские стандарты информационной безопасности (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р 51275 и др.), причем Федеральный закон № 184-ФЗ «О техническом регулировании» декларирует принцип «применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим или технологическим особенностям либо Российская Федерация в соответствии с установленными процедурами выступала против принятия международного стандарта или отдельного его положения».
Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения.
Процесс исследования и разработки информационных и телекоммуникационных сетей и си-
стем, а также использование различных информационных и телекоммуникационных продуктов, средств и технологий выходят на качественно новый уровень, требующий исследования и анализа концепции и методологии обеспечения информационной безопасности корпоративного сектора. Появляется необходимость создания защищенной информационной инфраструктуры бизнеса, безопасного функционирования не только системы автоматизации электронного документооборота, но и всей корпоративной, территориально распределенной системы ведения бизнеса в современных условиях.
Следовательно, меняется и само понятие инфраструктуры. В состав информационной инфраструктуры теперь включают как основные телекоммуникационные системы и сети, так и сами права на объекты информационных активов корпорации, совокупность которых обеспечивает ей конкурентные преимущества.
И в России темпы роста ^-рынка, по оценкам экспертов [1, с. 372], в последнее время превышают 10% в год, что говорит о позитивной динамике и перспективах рынка. Что каcается сектора информационной безопасности (ИБ), то, для сравнения, он растет более чем на 25% в год. Но если в развитых странах на обеспечение комплексной безопасности корпорациий выделяется в среднем до 25% годовой прибыли, в том числе и на безопасность в информационной сфере, то в России на эти цели расходуется менее 1% прибыли, хотя и понимается необходимость защиты информационной инфраструктуры бизнес-процессов.
На сегодняшний день нет четко разработанной методологии оценки обеспечения безопасности корпоративных информационных активов с точки зрения корпораций, финансовых посредников, финансовых рынков.
Под информационной безопасностью следует понимать защищенность информационных активов как части нематериальных активов от всякого рода воздействий естественного или искусственного характера, представляющих угрозу ущерба для пользователей. Защита этих активов должна осуществляться на принципах целостности, доступности и конфиденциальности.
В Российской Федерации на сегодняшний день практически полностью отсутствуют количественно измеряемые параметры, учитывающие различные воздействия на информационные активы. В результате довольно сложно, а зачастую и невозможно оценить качество функционирования всей бизнес-системы корпорации и, соответственно, определить полезность альтернативных вариантов.
292
В связи с этим потребность в создании концепции методологии обеспечения информационной безопасности корпоративного сектора становится все более очевидной и актуальной, поскольку речь идет и о величине инвестиций в информационную безопасность и защиту активов, а также экономической целесообразности таких вложений.
Основной задачей исследования являются изучение и разработка комплексного подхода и методики проведения анализа защищенности корпоративной инфраструктуры.
Первоначальным моментом в оценке информационной инфраструктуры корпоративного сектора является определение требований и ограничений к системе защиты на основе выявления и анализа возможных угроз информационной безопасности.
Информационная безопасность всей бизнес-системы будет обеспечена, если по всем различным ресурсам информационной инфраструктуры корпорации достигается определенный уровень конфиденциальности [2]. Соответственно, необходимо оценивать три вида угроз: нарушение конфиденциальности, нарушение целостности и угрозу отказа служб.
Одними из самых распространенных и потенциально опасных являются непреднамеренные ошибки пользователей и других лиц, непосредственно работающих с информационными ресурсами корпорации. Такие ошибки, как правило, либо являются прямыми угрозами, либо делают уязвимой систему защиты информации. По статистике, 65% потерь - следствие непреднамеренных ошибок [2].
Вторым этапом в реализации предлагаемой оценки информационной инфраструктуры корпоративного сектора является обоснование методологии информационной безопасности.
На следующем этапе необходимо обоснование системы защиты и снижения риска ущерба. В этом вопросе управление безопасностью предполагает согласованное решение задач управления, финансирования, управления рисками, обучения и контроля, аудита и мониторинга.
1. Федорова Я.В., Рогачев А.Ф. Процессный подход к нечеткому моделированию безопасности эколого-экономических систем // Экология. Экономика. Информатика (7-12 сент. 2014 г.): сб. ст. Системный анализ и моделирование экономических и экологических систем. Ростов н/Д, 2014.
Работа с инцидентами включает в себя 3 направления:
выявление инцидентов в области информационной безопасности;
реакция на инциденты в области информационной безопасности;
предупреждение инцидентов в области информационной безопасности.
Выявление необходимой и достаточной степени обеспечения информационной безопасности корпорации должно исходить из того, что абсолютную защиту создать нельзя, что система защиты информации должна быть комплексной и адаптируемой к изменяющимся условиям.
Для создания условий информационной безопасности корпорации необходимо, чтобы, во-первых, ее система была составляющей частью всей бизнес-системы корпорации; во-вторых, комплексный подход использовался на всех этапах и в процессе оценки стоимости средств защиты информации в составе информационных активов корпорации; в-третьих, учитывалась возможность изменения законодательных и нормативных актов, нормативно-справочной информации, отраслевых стандартов [3].
При организации защиты IT-инфраструктуры компании часто возникают сложности: информационные системы становятся все сложнее и разнороднее, а атаки на них - все более изощренными. При этом ошибки в конфигурации делают систему уязвимой.
Для крупного бизнеса и особенно для организаций, работающих с конфиденциальными данными, потребность в информационной безопасности назрела давно, однако по-настоящему эффективные комплексные решения появились и начали внедряться относительно недавно.
Для того чтобы схема эффективно работала, необходимо придерживаться некоторых формальных принципов, которые необходимо принять в компании. Международный стандарт ISO 27001:2005 говорит о необходимости вовлечения высшего руководства в процессы создания и управления системы ИБ, без этого идея создания системы мониторинга и управления инцидентами обречена на провал.
1. Fedorova Ya.V., Rogachev A.F. Process approach to fuzzy modeling security ecological-economic systems // Ecology. Economics. Informatics (Sept. 7-12, 2014): coll. of papers. System analysis and modelling of economic and ecological systems. Rostov-on-Don, 2014.
293
2. Хубаев Г.Н. Оценка времени вскрытия защиты информационных систем: статистический подход // Проблемы экономики. 2008. № 6. С. 135-138.
3. Доктрина информационной безопасности Российской Федерации: утв. решением Президента РФ от 9 сент. 2000 г. № Пр-1895// Рос. газ. 2000. 28 сент.
2. Khubaev G.N. Estimated time of opening of protecting information systems: a statistical approach // Problems of economics. 2008. № 6. P. 135-138.
3. The Information security doctrine of the Russian Federation: approved with decision of the President of the Russian Federation of Sept. 9, 2000 № PR-1895 // Rus. newsp. 2000. Sept. 28.
294
