CC BY
87
УДК 65.012.8
ПРОБЛЕМЫ ИНФОРМАЦИОННО-АНАЛИТИЧЕСКОГО ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИННОВАЦИОННОГО БИЗНЕСА
© А.П. Стерхов1
Иркутский национальный исследовательский технический университет, 664074, Россия, г. Иркутск, ул. Лермонтова, 83.
На основе системного подхода к обеспечению безопасности инновационного бизнеса и сформированной концептуальной модели обеспечения комплексной безопасности бизнеса рассмотрены возможные методы обеспечения информационной безопасности инновационного предприятия. Приведена схема повышения уровня информационной безопасности инновационного бизнеса при системном подходе к управлению. Разработана схема системного подхода к работе аналитической службы безопасности предприятия. Рассмотрен пример использования энтропии в практике управления инновационным предприятием. Приведены особенности ряда стандартов в обеспечении информационной безопасности бизнеса. Обоснована актуальность деятельности аналитической службы и службы деловой разведки для обеспечения комплексной безопасности инновационного бизнеса. Ключевые слова: информационная безопасность бизнеса; инновационный бизнес; системный подход; комплексное обеспечение корпоративной безопасности.
PROBLEMS OF INFORMATION AND ANALYTICAL SUPPORT OF INNOVATIVE BUSINESS SECURITY A.P. Sterkhov
Irkutsk National Research Technical University, 83 Lermontov St., Irkutsk, 664074, Russia.
Possible methods of ensuring the information security of an innovative enterprise are considered on the basis of a systematic approach to security provision of the innovative business and the formed conceptual model of business comprehensive security provision. A scheme of innovative business information security improvement under the systematic approach to management is given. A scheme of the systematic approach to the operation of the enterprise analytical security service is developed. An example of the entropy use in the practice of innovative enterprise management is discussed. Peculiarities of a number of standards in business information security provision are described. The relevance of analytical services and business intelligence services operation to ensure comprehensive security of innovative business is justified.
Keywords: business information security; innovative business; systematic approach; comprehensive provision of corporate security.
Проблемам информационной безопасности посвящено большое количество публикаций. В качестве примера можно привести монографии В.В. Андрианова с соавторами (под ред. А.П. Курило) [1], А.А. Анисимова [2], А.А. Бирюкова [3], Гафнера [4], В.В. Гужова [5], А.М. Кармин-ского [6], В.А. Минаева и А.П. Фисуна [7],
A.А. Одинцова [8], Т.Л. Партыки и И.И. Попова [10], В.В. Садердинова, В.А. Трайнева и В.А. Федулина [11], В.А. Филиппова [18],
B.И. Ярочкина [20], а также актуальные статьи по данной теме целого ряда других авторов [9, 12, 17]. Однако в большинстве перечисленных книг на эту тему приводится лишь малая часть тех сведений, которые необходимы для комплексного обеспече-
ния корпоративной безопасности. В ряде книг по информационной безопасности основное внимание уделяется различным нормативным актам из этой области, но при этом мало говорится о технической реализации угроз и защите от них. Другие книги посвящены чисто техническим аспектам проблемы, но остается за бортом ответ на вопрос, в каких конкретных практических ситуациях эта защита может пригодиться. Пожалуй, удачным исключением из этого списка являются работы В.В. Андрианова и др. (под ред. А.П. Курило) [1], Джона Эрик-сона [19], а также монография А.А. Бирюкова [3], где приводятся как техническая информация, описывающая атаки и защиту от них, так и рекомендации по обеспечению
1
Стерхов Анатолий Петрович, профессор кафедры экономической теории и финансов, кандидат технических наук, доцент, тел.: 89641026955, e-mail: rabota@istu.edu
Sterkhov Anatoly, Professor of the Department of Economic Theory and Finance, Candidate of technical sciences, Associate Professor, tel.: 89641026955, e-mail: rabota@istu.edu
информационной безопасности с соответствующими примерами. Актуальность данной работы связана с тем, что в ней с системных позиций [13-16] делается попытка выработки эффективных методов обеспечения информационной безопасности бизнеса вообще и инновационного бизнеса в особенности.
Развитие инновационного бизнеса в современных условиях требует постоянного изучения конкурентной среды и тенденций рынка, поскольку высокая динамика рынка может свести на нет все предыдущие усилия менеджмента компании, позволившие ей добиться высоких результатов. Особенно быстро по сравнению с другими сферами изменяется рынок информационных технологий, что требует от руководства высокотехнологичных компаний инновационного бизнеса внимания к последним изменениям в отрасли. Серьезные изменения в области информационных технологий, произошедшие за последние годы, существенно усложнили процесс разработки и обслуживания 1Т-инфраструктуры. Появилась даже профессия - системный администратор, в обязанности которого входит поддержка правильной работы компьютерной техники и программных продуктов, а также обеспечение информационной безопасности организации. В связи с этим некоторые авторы [9] выделили отдельно из состава информационной безопасности 1Т-безопасность.
Именно в функции системного администратора входит обеспечение бесперебойной работы всей 1Т-инфраструктуры. Кроме того, на предприятиях малого бизнеса на системного администратора, как правило, также возлагается задача обеспечения информационной безопасности всей компании. Общеизвестно, что на малых предприятиях обслуживают всю 1Т-инфраструктуру всего 1-2 человека, которым практически ежедневно приходится заниматься текущей работой по решению проблем пользователей (замена картриджей в принтерах и бумаги в факсах, подготовка рабочих мест для новых пользователей, обслуживание системы телефонии и
серверов электронной почты, обслуживание веб-ресурсов и пр.). Учитывая эти обстоятельства, приходится констатировать, что они фактически почти не имеют времени на обеспечение безопасной настройки программного обеспечения и оборудования, а также написание инструкций и политик по информационной безопасности для пользователей.
В крупных компаниях вопросами информационной безопасности уже занимаются специальные структурные подразделения в виде отделов или департаментов информационной безопасности. Ответственность за обеспечение информационной безопасности в них возлагается на руководство этих подразделений и/или администраторов по информационной безопасности. Именно администраторы по информационной безопасности готовят инструкции и политики для системных администраторов. Для осуществления проверки защищенности корпоративной информационной системы (КИС) крупные компании, как правило, привлекают профессиональных аудиторов, в задачи которых входит, в том числе, проверка на соответствие требованиям различных стандартов (ГОСТ, ISO, OPSEC и др.). Предприятиям малого бизнеса такой аудит приходится не по карману, и поэтому задача осуществления практического аудита информационной безопасности опять же ложится на системного администратора. Учитывая, что с позиций системного подхода проверку обеспечения информационной безопасности необходимо осуществлять на регулярной основе, это накладывает на системного администратора дополнительную нагрузку.
Характерной особенностью многих корпоративных инфраструктур является то, что они строились на протяжении ряда лет разными специалистами, к тому же на разных моделях оборудования и приложений. Естественно, что в этом случае значительно увеличивается вероятность различных уязвимостей и недостатков, связанных с информационной безопасностью. Дело в том, что большинство информационных систем являются взаимосвязанными. При
этом каждая система должна быть построена с учетом удовлетворения требований информационной безопасности, и плохая защищенность хотя бы одного элемента какой-либо из систем может свести на нет работу всех остальных ее элементов. Для исключения такого рода ситуаций специалистам, работающим с разными системами, часто необходимо обладать обширными знаниями, к тому же еще и в разных областях. Отсюда вытекает необходимость постоянного совершенствования знаний этих специалистов с подтверждением этих знаний соответствующими сертификатами.
Анализ ситуации, сложившейся с обеспечением информационной безопасности на малых и средних предприятиях, показывает, что на многих из них даже ключевые сотрудники не уделяют должного внимания построению отказоустойчивых конфигураций, будь то корпоративный сервер или коммутатор. В ряде компаний не учитывают рекомендации, связанные с использованием элементов социальной инженерии, не внедряют многофакторную авторизацию у пользователей, которые работают удаленно и с которыми ключевые сотрудники, отвечающие за информационную
безопасность, лично не знакомы.
В соответствии с системным подходом предлагается алгоритм повышения уровня информационной безопасности инновационного бизнеса, изображенный на рис. 1.
На первом этапе происходит выделение основных объектов информационной безопасности (что нужно защищать). Из всех информационных ресурсов предприятия нужно выделить информацию, которая может представлять коммерческую ценность, а также интерес для правоохранительных и контролирующих органов. К такой информации можно отнести информацию управленческого характера, плановые документы, данные по рынку, сведения о партнерах, информацию о переговорах, контракты, ценовую информацию, торги, аукционы, информацию производственно-технологического характера и т.д.
В отдельную группу информации с ограниченным доступом входит бухгалтерская информация, доступная только сотрудникам бухгалтерии и руководству. Решение о выделении конфиденциальной информации принимается руководством фирмы.
Рис. 1. Схема повышения уровня информационной безопасности инновационного бизнеса
при системном подходе к управлению
На втором этапе происходит выявление основных угроз и уязвимостей информационной безопасности. Под угрозой будем понимать событие, которое может вызвать нарушение функционирования предприятия, включая искажение, уничтожение или несанкционированное использование обрабатываемой информации. Уязвимости представляют собой слабости защиты, делающие возможным успешную реализацию угроз. В связи с этим на данном этапе определяется, кого может заинтересовать защищаемая информация, а также оцениваются методы, используемые конкурентами для получения этой информации, и вероятные каналы утечки информации.
На третьем этапе происходит определение возможных сценариев развития событий (каким образом могут быть реализованы угрозы, сформулированные на предыдущем этапе). Для определения вероятности наступления возможных событий можно использовать такие методы, как метод аналогий, статистический метод, теорию больших чисел и др. В зависимости от этого далее разрабатывается система мероприятий по пресечению действий конкурента.
Четвертый этап посвящен определению субъектов информационных отношений, заинтересованных в обеспечении информационной безопасности. Субъектами информационных отношений может быть государство или его отдельные ведомства, органы и организации; коммерческие или общественные организации и их объединения (юридические лица), а также отдельные граждане (физические лица). По отношению к той или иной информации субъекты могут выступать (иногда и одновременно) в качестве: источников информации; потребителей информации; собственников, владельцев и обладателей информации и систем ее обработки; участников процессов обработки и передачи информации; физических и юридических лиц, о которых собирается информация.
На пятом этапе проводится внешний и внутренний активный аудит с использо-
ванием элементов социальной инженерии. Социальная инженерия представляет собой метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора и в ряде случаев бывает очень эффективным. Злоумышленник получает информацию, например, путем сбора сведений о служащих объекта атаки с помощью обычного телефонного звонка или проникая в организацию под видом ее служащего. Он может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Другим подспорьем социального хакера является исследование мусора организаций, виртуальных мусорных корзин и т.д. К социальному инжинирингу также можно отнести методы обмана, когда создают страницы-клоны пользователей, после чего начинают проситься в друзья и общаться. В этом случае надо удостовериться, что страница принадлежит именно тому, за кого себя выдает пользователь. Сделать это можно, связавшись с пользователем лично или задав вопрос, ответ на который знают только двое.
Шестой этап посвящен анализу эффективности и рентабельности используемых подсистем безопасности (обеспечение физической безопасности документации, надежности персонала, безопасности используемых для передачи информации линий связи и т.д.). Производится оценка стоимости проводимых для обеспечения информационной безопасности мероприятий.
На седьмом этапе осуществляется выбор оптимальной конфигурации программного и аппаратного обеспечения, а также написание и корректировка инструкций и политик по информационной безопасности для пользователей.
Восьмой этап посвящен внедрению системы управления информационной безопасностью (обучение ключевых сотрудников, получение обратной связи от сотрудников и контрагентов при внедрении новых документов, контроль и оценка работы ис-
полнителей при установке технических средств и т.д.).
На девятом этапе производится контроль функционирования системы управления комплексной безопасности бизнеса, результатом которого является коррекция всех параметров и характеристик, применяемых средств и методов защиты инновационного бизнеса.
Реализация предлагаемого алгоритма представляет собой спиралевидный процесс, оказывающий влияние на саму бизнес-деятельность, обеспечивая при этом системный подход к организации комплексной безопасности инновационного бизнеса. В центре спирали находится анализ оптимальности проводимых мероприятий, который напрямую зависит от творческого потенциала персонала компании. Именно творческий потенциал компании,
уникальный и неповторимый, является потенциальным источником силы и органического роста для любого бизнеса. Существенную роль в обеспечении безопасности любого бизнеса, а инновационного бизнеса в особенности, играет аналитическая работа, организованная на предприятии в рамках обеспечения комплексной безопасности. На рис. 2 приведена схема системного подхода к работе аналитической службы в обеспечении безопасности предприятия.
С учетом системного подхода на рисунке выделяются две петли обратной связи, представляющие собой цепочку причинно-следственных связей, исходящих от руководителя предприятия и возвращающихся к нему же. Одна петля идет от руководителя предприятия через руководителя службы безопасности и подконтрольные
Рис. 2. Системный подход к работе аналитической службы в обеспечении безопасности предприятия
ему подразделения в аналитическую службу. Здесь собранная информация анализируется, и результаты анализа с конкретно выработанными рекомендациями передаются руководителю предприятия. Другая петля от руководителя идет к существующей на предприятии нормативной базе, связанной с обеспечением безопасности, и далее через различные подразделения компании собранная информация поступает в аналитическую службу. Здесь эта информация также анализируется, и с учетом информации из другой петли вырабатываются более конкретные рекомендации для уточнения существующей на предприятии нормативной базы, а также для совершенствования системы управления бизнесом и улучшения предпринимательской деятельности в целом.
Таким образом, наличие петель обратных связей предполагает, что часть выхода из системы снова подается на ее вход. При этом система использует информацию о выходе на предшествующем шаге, чтобы внести изменения в то, что она сделает на следующем. Эти циклы обратной связи одновременно с выравниванием в системе служат источником стабильности и противодействия изменениям.
Задачей аналитической службы предприятия является выделение всех возможных угроз и опасностей для бизнеса. При этом с теоретической точки зрения любая опасность может быть связана с проявлением целого комплекса вредных для бизнеса обстоятельств и факторов, которые можно интерпретировать как своеобразное проявление энтропийных угроз для бизнеса. Энтропия (от греч. Entropia -поворот, превращение) - это понятие, впервые введенное в 1865 году немецким ученым Рудольфом Клаузисом в термодинамике для определения меры необратимого рассеяния энергии. Термин энтропия широко применяется и в других областях науки: статистической физике, теории информации, теории динамических систем, теории управления и т.д. Так, в частности, в теории управления энтропия означает меру неопределенности состояния или по-
ведения системы в данных условиях. Под воздействием энтропии сформированные системы стремятся вернуться в стартовое состояние хаоса. У любого бизнеса, как системы, существует свой уровень энтропии. Чем выше уровень энтропии в экономике, тем труднее вести успешный бизнес. Однако эти процессы могут быть связаны как с внутренними причинами, так и с внешней средой. Поэтому первой задачей аналитической службы является выявление основы проявления разрушительного процесса на предприятии: связано это с самим предприятием или с внешней средой. А отсюда следует и выработка конкретных рекомендаций для руководителя. Результатом этой работы является создание пакета документов, регламентирующих деятельность предприятия; шаблонов типовых документов; схем бизнес-процессов, обеспечивающих безопасность; ТЗ на установку специального оборудования и пр. Нормативные документы, определяющие задачи безопасности, доводятся до подразделений компании - администрации, бухгалтерии, коммерческого отдела, финансового отдела и т.д. При этом руководитель организации отчетливее видит ситуацию по развитию бизнеса.
В условиях рыночной экономики предприятие не может эффективно работать без глубокого понимания процессов, происходящих в бизнес-среде, не располагая новейшей информацией о том, что происходит в занимаемом им сегменте рынка. Поиск, анализ, классификация, распознавание актуальности и достоверности информации фактически являются ключом буквально к любому бизнесу вне зависимости от его сферы и размеров.
Для качественного информационного обеспечения руководителей и владельцев бизнеса создается служба деловой разведки, которая должна быть ориентирована на конкретных лиц, принимающих управленческие решения. При этом сама система должна работать легитимно, без обращения к незаконным и неэтичным методам сбора информации. Основное предназначение службы деловой разведки за-
ключается в обеспечении руководства достоверной объективной и полной информацией о намерениях конкурентов, партнеров, смежников, контрагентов и клиентов; о сильных и слабых сторонах конкурентов. Кроме того, эта служба должна оповещать руководство предприятия о возможном возникновении кризисных ситуаций; собирать данные, позволяющие оказывать влияние на ход деловых переговоров; проводить мониторинг и контролировать ход реализации ранее заключенных договоров и достигнутых соглашений. Вопрос о месте службы деловой разведки в организационной иерархии предприятия в значительной степени зависит от требований, предъявляемых к ней руководством. Однако в любом случае эффективная работа данного подразделения возможна только при постоянном контакте с внешней средой и с руководством предприятия, принимающим решение.
Основными циклами деловой разведки являются: планирование операции; сбор информации; анализ информации; представление аналитических материалов лицу, принимающему решение. На этапе планирования операций формулируется основные задачи, стоящие перед разведкой; оценивается трудоемкость предстоящей работы; выявляются необходимые источники информации; определяются сроки выполнения работы и подбирается коллектив исполнителей. На втором этапе происходит поиск, сбор и предварительная оценка полученной информации, на основе которой будут готовиться аналитические материалы. Третий этап анализа информации считается самым трудоемким и ответственным.
Задачей аналитика в аналитической службе предприятия является оценка полученной на этапе сбора информации, сопоставление ее с уже имеющейся информацией и подготовка возможных вариантов и сценариев развития. Особенность работы
аналитика состоит в том, что, даже имея на руках абсолютно достоверные данные, ему приходится предугадывать ситуацию и представлять обоснованные предположения относительно последствий возможных действий как своей компании, так и конкурентов. При этом аналитику почти всегда приходится восстанавливать картину событий, исходя из неполной информации, и давать прогноз развития по отдельным фрагментам. Именно поэтому с точки зрения принятия руководством предприятия оптимальных решений, роль аналитической службы в деловой разведке является определяющей. От аналитиков всегда требуется четкая и грамотная формулировка своих рекомендаций для руководства.
Подводя итог, следует подчеркнуть, что системный подход к обеспечению безопасности на основе сформированной концептуальной модели обеспечения комплексной безопасности бизнеса позволяет повысить уровень обеспечения информационной безопасности инновационного предприятия. При этом, разумеется, невозможно создать абсолютную защиту на все случаи жизни. Обеспечение безопасности необходимо рассматривать как постоянный процесс совершенствования. Еще одним способом обеспечения информационной безопасности предприятия является использование технологии нейтрализации угроз на ранней стадии. Эта технология основана на комплексном анализе конкурентного поля предприятия. Большое значение для обеспечения информационно-аналитической безопасности бизнеса имеют методы, основанные на использовании слабостей человеческого фактора, а именно - социальной инженерии. Более подробно об этих методах планируется рассказать в следующих статьях, посвященных обеспечению комплексной безопасности бизнеса.
Статья поступила 29.07.2015 г.
Библиографический список
1. Андрианов В.В., Зефиров С.Л., Голованов В.Б., перераб. и доп. М.: Альпина Паблишерз, 2011.
Голдуев Н.А. Обеспечение информационной без- 373 с.
опасности бизнеса / под ред. А.П. Курило. 2-е изд., 2. Анисимов А.А. Менеджмент в сфере информа-
ционной безопасности. М.: Бином, 2010. 176 с.
3. Бирюков А.А. Информационная безопасность: защита и нападение. М.: ДМК Пресс, 2012. 474 с.
4. Гафнер В.В. Информационная безопасность. М.: Феникс, 2010. 336 с.
5. Гужов В.В., Калюжная И.А., Тюнина Н.О., Федорова Т.Н. Разработка политики информационной безопасности в организациях инновационной сферы экономики [Электронный ресурс]. URL: http://www.rssecurity.ru/docs/Rs_mon.pdf (29.09.2014).
6. Карминский А.М. Информационно-аналитическая составляющая бизнеса. М.: Финансы и статистика, 2007. 272 с.
7. Минаев В.А., Фисун А.П. Правовое обеспечение информационной безопасности. М.: Маросейка, 2008. 368 с.
8. Одинцов А.А. Экономическая и информационная безопасность предпринимательства: учеб. пособие для вузов. 2-е изд., испр. и доп. М.: Издательский центр «Академия», 2008. 336 с.
9. Панкратьев В.В. Информационная безопасность [Электронный ресурс]. URL: http://vvpankrat.ru/moistatyiobezopasnosti (30.09.2014).
10. Партыка Т.Л., Попов И.И. Информационная безопасность. М.: Форум, 2012. 432 с.
11. Садердинов А.А., Трайнев В.А., Федулин А.А. Информационная безопасность предприятия. М.: Дашков и К., 2005. 336 с.
12. Сердюк В.А. Информационная безопасность: сегодня и завтра // Аналитический банковский журнал. 2009. № 11. С. 66-68.
13. Стерхов А.П. Инновационные риски и разраба-
тываемые на их основе способы обеспечения безопасности предпринимательства // Вестник ИрГТУ. 2013, № 1 (72). С. 176-180.
14. Стерхов А.П. Использование маркетинговых технологий для обеспечения безопасности инновационного бизнеса // Вестник ИрГТУ. 2013. № 7 (78). С. 206-214.
15. Стерхов А.П. Системный подход в обеспечении безопасности инновационного бизнеса [Электронный ресурс] // Известия Иркутской государственной экономической академии (Байкальский государственный университет экономики и права). 2014. № 5. С. 181-193. URL: http://eizvestia.isea.ru/reader/ article.aspx (11.10.2014).
16. Стерхов А.П. Создание и управление комплексной системой безопасности бизнеса // Вестник ИрГТУ. 2014. № 8 (91). С. 199-208.
17. Филатова И.В. Информационная безопасность инновационной деятельности малого бизнеса как составляющая системы обеспечения экономической безопасности инновационной сферы // Теоретические, организационные, учебно-методические и правовые проблемы: материалы XIX Международной научной конференции (Москва, 25-26 мая 2010 г.). М., 2010. С. 92-97.
18. Филиппов В.А. Информационно-аналитическая поддержка малого инновационного предпринимательства. М.: КомКнига, 2006. 200 с.
19. Эриксон Дж. Хакинг: искусство эксплойта. М.: Символ-Плюс, 2010. 510 с.
20. Ярочкин В.И. Информационная безопасность: учебник для вузов. М.: Академический Проект; Мир, 2008. 544 с.
УДК 658.58
ЭФФЕКТИВНОСТЬ ВОССТАНОВЛЕНИЯ КРУПНОГАБАРИТНЫХ ШИН, ЭКСПЛУАТИРУЕМЫХ НА ГОРНЫХ ПРЕДПРИЯТИЯХ
© И.М. Щадов1, В.Ю. Конюхов2, А.В. Чемезов3, Т.С. Беляевская4
12 4
'' Иркутский национальный исследовательский технический университет, 664074, Россия, г. Иркутск, ул. Лермонтова, 83. 3ООО «Норильскникельремонт», 663305, Россия, г. Норильск, ул. Павлова, 17.
Рассматривается эффективность организации ремонтов крупногабаритных шин самоходного дизельного оборудования, эксплуатируемых в подземных условиях на горных предприятиях. Для того, чтобы более подробно ознакомиться с этим вопросом, приведен технологический процесс восстановления крупногабаритных шин, ука-
1
Щадов Иван Mихайлович, доктор технических наук, заведующий кафедрой управления промышленными предприятиями, тел.: B9G2577G74G, e-mail: Ivanschadov@inbox.ru
Shchadov Ivan, Doctor of technical sciences, Head of the Department of Management of Industrial Enterprises, tel.: 89025770740, e-mail: Ivanschadov@inbox.ru
2Конюхов Владимир Юрьевич, кандидат технических наук, профессор кафедры управления промышленными предприятиями, тел.: B914BB517GG, e-mail: kvu@investS8.com
Konyukhov Vladimir, Candidate of technical sciences, Professor of the Department of Management of Industrial Enterprises, tel.: 89148851700, e-mail: kvu@investS8.com
Чемезов Александр Владимирович, главный инженер, тел.: B9135G44136, e-mail: chemezovav@gmail.com Chemezov Alexander, Chief Engineer, tel.: 891S50441S6, e-mail: chemezovav@gmail.com
4Беляевская Тамара Сергеевна, студентка, тел: B9G413147G2, e-mail: tamara1294@mail.ru Beliaevskaia Tamara, Student, tel.: 89041S14702, e-mail: tamara1294@mail.ru
