ISSN 2304-120X
ниепт
научно-методический электронный журнал
Тимиргалеева Р. Р., Гришин И. Ю. Проблемы обеспечения информационной безопасности и непрерывности бизнеса // Научно-методический электронный журнал «Концепт». - 2017. - № 9 (сентябрь). - 0,4 п. л. - URL: http://e-koncept.ru/2017/174008. htm.
ART 174008 УДК 332.024:004.056.5
Тимиргалеева Рена Ринатовна,
доктор экономических наук, профессор ФГБОУ ВО «Кубанский государственный технологический университет», г. Краснодар [email protected]
Гришин Игорь Юрьевич,
доктор технических наук, профессор ФГБОУ ВО «Кубанский государственный технологический университет», г. Краснодар igugri@ gmail.com
Проблемы обеспечения информационной безопасности и непрерывности бизнеса
Аннотация. В статье выявляются наиболее актуальные проблемы обеспечения информационной безопасности и непрерывности бизнеса. Рассмотрены преимущества пилотных проектов внедрения ИБ-продуктов, проанализированы критерии их выбора. Отдельное внимание уделено стоимостному подходу к выбору решения. Ключевые слова: информационная безопасность, непрерывность бизнеса, угрозы, информационные технологии. Раздел: (04) экономика.
Когда компания достигает определенных успехов в своем бизнесе, возникает реальная угроза ее информационной безопасности и непрерывности бизнеса, связанной с интересом, который к ней начинают проявлять конкуренты. Данные аспекты не только определяют актуальность защиты информации, но и становятся важнейшей частью формирования современной системы безопасности и непрерывности бизнеса. Этот вопрос особенно актуален в период информационной эпохи, которая активными темпами сменяет постиндустриальную эпоху. Технологическую революцию переживает весь мир, что заставляет компании отвечать на ее вызовы [1-7]. Совершенно очевидно, что для успешного противодействия угрозам информационной безопасности и непрерывности бизнеса необходимо, прежде всего, понять основу данного явления, а затем - искать пути решения.
Данные аспекты определили актуальность и цель исследования, которая заключается в выявлении проблем обеспечения информационной безопасности и непрерывности бизнеса и поиске возможных направлений их решения.
Как показало исследование рассматриваемой проблемы, современный бизнес не может существовать без информационных технологий [8, 9]. Общеизвестный факт, что около 70% мирового совокупного национального продукта определенным образом зависит от информации, которая хранится в информационных системах. Ни у кого не вызывает сомнения и тот факт, что повсеместное внедрение компьютеров кроме безусловного удобства привело к серьезным проблемам, одной из которых является проблема защиты информации и обеспечения безопасности бизнеса.
Говоря об отечественном бизнесе в данном аспекте, отметим, что в России, к сожалению, не проводятся исследования, направленные на выявление нарушений информационной безопасности бизнеса. Связано это с тем, что компании, пострадавшие от хакерских атак, стараются не афишировать данные факты, а это не позволяет выявить несанкционированные проникновения в их информационные сети.
Вместе с тем из появляющихся в средствах массовой информации данных по этой проблеме следует, что имеется большое разнообразие слабых точек в защите
ISSN 2Э04-120Х
ниепт
научно-методический электронный журнал
Тимиргалеева Р. Р., Гришин И. Ю. Проблемы обеспечения информационной безопасности и непрерывности бизнеса // Научно-методический электронный журнал «Концепт». - 2017. - № 9 (сентябрь). - 0,4 п. л. - URL: http://e-koncept.ru/2017/174008. htm.
информационных атак [10-12]. Кроме того, хакерами часто выступают люди, не имеющие даже специального образования в данной сфере.
Итак, прежде всего, необходимо определиться с тем, какая именно информация может представлять интерес для конкурентов. Важность решения данной задачи заключается в том, что от ее решения зависит эффективность формируемой системы защиты безопасности и непрерывности бизнеса. В данном аспекте необходимо провести SWOT-анализ бизнеса, который позволит выявить конкурентные преимущества, представляющие интерес как для собственного бизнеса, так и для конкурентов [13]. При этом необходимо учесть, что в качестве конкурентных преимуществ могут быть технологии, схемы движения финансовых и материальных потоков, стратегии развития, новые продукты, персонал, клиенты, партнеры и т. д.
Кроме того, нужно учесть, что данная деятельность будет иметь смысл только в том случае, если информация, которую следует защищать, представляет действительный интерес со стороны конкурентов и усилия по ее защите будут экономически целесообразны.
Также необходимо выявить, какую информацию, в каком объеме, с какой периодичностью и в каком виде все-таки нужно представлять во избежание других негативных последствий, среди которых наиболее серьезные - появление недоверия со стороны контактной аудитории (потребители, партнеры, органы государственного управления и регулирования, деловая среда бизнеса, инвесторы).
Что касается выявления лиц и организаций, для которых представляет интерес информация о бизнесе, то здесь следует отметить, что основную опасность для бизнеса с точки зрения обеспечения его информационной безопасности представляют именно конкуренты, стремящиеся завоевать как можно большие объемы рынка [14, 15]. Также необходимо отдельное внимание уделить таким элементам безопасности и непрерывности бизнеса, как возможность уничтожения и искажения информации, копирование конфиденциальной информации, закрытие или ограничение доступа к информации, необходимой компании, несанкционированный доступ к ней и т. д.
Отдельно следует учесть тот факт, что в компаниях малого и среднего бизнеса до сих пор вопросы защиты информации и непрерывности бизнеса решаются в рамках автоматизации деятельности и не выделяются в отдельное направление [16]. При таком подходе в данных компаниях ИТ-руководители одновременно отвечают и за информационную безопасность. Кроме того, не все подобные компании имеют ИТ-руководителей в своей организационной структуре.
Исследование позволило выявить два наиболее актуальных вопроса, решение которых оказывает непосредственное влияние на реализацию проектов компаний, направленных на обеспечение информационной безопасности и непрерывности бизнеса:
- стоимость необходимых продуктов и услуг;
- сохранение бюджета на безопасность.
За последние три года стоимость необходимых продуктов и услуг выросла в среднем на 10-20% в основном за счет роста цен по отрасли на программное обеспечение. Вместе с тем имеет место и тот факт, что продавцы ИБ-продуктов (защищенные с точки зрения требований информационной безопасности продукты) практикуют гибкую ценовую политику, когда цена регулируется исходя из бюджета и потребностей конкретного заказчика. Такой гибкий подход позволяет продавцам ИБ-продуктов удерживать приемлемый для себя уровень прибыльности и сохранять рыночную долю.
С другой стороны, повышение стоимости ИБ-продуктов заставило заказчиков изменить и собственный подход к выбору конкретных управленческих решений, направленных на обеспечение информационной безопасности и непрерывности бизнеса. Так, в
ISSN 2304-120X
ниепт
научно-методический электронный журнал
Тимиргалеева Р. Р., Гришин И. Ю. Проблемы обеспечения информационной безопасности и непрерывности бизнеса // Научно-методический электронный журнал «Концепт». - 2017. - № 9 (сентябрь). - 0,4 п. л. - URL: http://e-koncept.ru/2017/174008. htm.
каждой пятой компании увеличились сроки реализации ИБ-проектов, а также удлинился процесс выбора ИБ-продуктов. При этом 14% заказчиков начали в обязательном порядке тестировать решения до их приобретения, чего раньше не практиковалось.
11% компаний стали заказывать пилотный проект, позволяющий заказчикам либо убедиться в правильности сделанного выбора, либо сравнить несколько предлагаемых рынком продуктов. Основное преимущество пилотного проекта заключается в том, что он, как правило, является бесплатным для заказчика. Кроме того, специалисты компании-заказчика имеют возможность в максимальной степени познакомиться с возможностями внедряемых ИБ-продуктов, осваивают и настраивают их под собственную инфраструктуру. Они также могут отказаться с минимальными негативными последствиями от эксплуатации тех ИБ-продуктов, которые не отвечают требованиям. Также специалисты компании имеют возможность оценить соответствие ИБ-продуктов техническому заданию и собственным ожиданиям, они понимают и оценивают удобство пользования системой.
Следует отметить, что за несколько последних лет изменились критерии выбора ИБ-продуктов в двух направлениях:
- компании-заказчики стали больше внимания уделять локализации. Несмотря на отсутствие прямого запрета на поставку иностранных решений, отечественные разработчики оказываются в более выгодной ситуации;
- предметом более вдумчивого изучения для компании-заказчика стала стоимость решения. При этом речь идет не о «прайсовой стоимости», а о совокупной стоимости владения (ТСО - Total Cost of Ownership).
Со своей стороны отметим важность именно стоимостного подхода к выбору решения. Но несмотря на это большинство компаний-заказчиков не используют не только стоимостную оценку, но и еще одну такую важную метрику, как ROI (return of investment - окупаемость инвестиций), которая, кроме прочего, учитывает еще и эффективность закупаемого ИБ-продукта.
Такое отношение к рассматриваемым метрикам со стороны компаний-заказчиков вызвано прежде всего тем, что между «прайсовой ценой» и ТСО разница достаточно большая.
Увеличение стоимости ИБ-продукта вызвано, с одной стороны, удлинением цепочки «разработчик - потребитель», а с другой - и тактикой самих разработчиков, которые делают цену привлекательной для заказчиков с одновременным увеличением платы за техническую поддержку, а также ограничивают срок действия лицензии. Такой подход со стороны разработчиков приводит к более высокой общей стоимости ТСО. Для иллюстрации вышеприведенной информации отметим, что, например, в сегменте DLP стоимость технической поддержки варьируется от 20-30% (большинство вендоров) до 50% годовой стоимости лицензий. При этом и стоимость технической поддержки разбивается также на части путем отделения стоимости работ по обновлению ИБ-продуктов и стоимости работ собственно на поддержку. Именно такой подход разработчиков к политике ценообразования на свои продукты и услуги, когда учитываются дополнительно услуги по установке, настройке решений и других работ, ведет к тому, что стоимость ТСО становится существенно выше первоначальной «прайсовой стоимости» ИБ-продуктов даже напрямую от разработчиков. Таким образом, с целью сокращения издержек и разработчики, и потребители стараются больше пользоваться прямыми каналами.
Не стоит оставлять без внимания такую проблему, как квалификация партнеров или отсутствие интереса с их стороны. Данное обстоятельство не позволяет внедрять действительно сложные решения корпоративного уровня. Еще одна важная проблема - политика финансирования информационной безопасности и непрерывности бизнеса
ISSN 2Э04-120Х
ниепт
научно-методический электронный журнал
Тимиргалеева Р. Р., Гришин И. Ю. Проблемы обеспечения информационной безопасности и непрерывности бизнеса // Научно-методический электронный журнал «Концепт». - 2017. - № 9 (сентябрь). - 0,4 п. л. - URL: http://e-koncept.ru/2017/174008. htm.
компании. Исследование показало, что в целом большинство компаний не склонно сокращать расходы на ИБ в ущерб уровню информационной безопасности и непрерывности своего бизнеса.
Нельзя оставить без внимания и такой важный аспект, как кадры для обеспечения информационной безопасности и непрерывности бизнеса. Во многих компаниях ощущается нехватка квалифицированных кадров, а в некоторых компаниях вообще отсутствуют выделенные в организационной структуре ИБ-подразделения. Также проблематично найти качественного ИБ-специалиста с должным опытом и необходимым для соответствия должности образованием. Еще один важный момент, связанный с кадровым обеспечением, - конфиденциальность информации, к которой имеет доступ ИБ-специалист. Особенно данный фактор оказывает серьезное влияние в случае увольнения данных работников. Также значимой проблемой является увеличение объема работы ИТ-специалистов, вызванное несколькими объективными факторами, которые руководство компаний не берут во внимание, оценивая затраты на обеспечение информационной безопасности и непрерывности бизнеса:
- увеличение количества и качества угроз; нежелание руководства в целях экономии автоматизировать часть работ или отдавать их на аутсорсинг;
- усложнение и удлинение процесса выбора необходимых ИБ-продуктов и ИБ-услуг, что вызвано большим количеством предложений со стороны разработчиков;
- недостаточное количество сотрудников службы ИБ, за счет чего растет нагрузка на каждого из специалистов.
Отдельного внимания и соответствующего решения требует проблема сетевых средств обеспечения информационной безопасности и непрерывности бизнеса, которые можно рассматривать с позиции двух аспектов:
- сертификация средств криптографической защиты информации, обеспечивающих защиту всех каналов связи участников взаимодействия;
- сертификация межсетевых экранов, обеспечивающих защиту доступа к электронным сервисам информационных систем участников взаимодействия.
Особенно данная проблема касается необходимости обеспечения безопасности системы межведомственного электронного взаимодействия единой сети, объединяющей все федеральные и региональные информационные системы и обеспечивающей доступность государственных электронных услуг. При этом основные проблемы связаны с увеличением числа подключаемых систем. При этом следует отметить, что данная проблема порождена таким фактором, как стандартизация. Несмотря на попытки стандартизации, подключаемые системы бывают часто разными, что приводит к многочисленным проблемам в процессе их интеграции в единую сеть. Сложность решения данной проблемы заключается в том, что опыт решения нарабатывается фактически в действующей сети, что тормозит ее работу. Кроме того, в результате такого оперативного вмешательства снижается управляемость и надежность функционирования отдельных элементов системы. В итоге - реализованная архитектура сети, в которой центральный узел играет ключевую роль и участвует практически во всех этапах взаимодействия, становится очень уязвимым к отказам любых систем данного узла.
Кроме того, проблема усложняется за счет того, что по мере увеличения числа подключенных систем буквально в геометрической прогрессии растет количество обращений, обрабатываемых в единой сети. Это касается также расширения перечня информации, которая должна передаваться между организациями-участниками в электронном виде. Так, например, Распоряжением Правительства РФ от 29 июня 2012 г. № 1123р было определено уже 40 категорий сведений, подлежащих передаче через систему межведомственного электронного взаимодействия.
ISSN 2304-120X
ниепт
научно-методический электронный журнал
Тимиргалеева Р. Р., Гришин И. Ю. Проблемы обеспечения информационной безопасности и непрерывности бизнеса // Научно-методический электронный журнал «Концепт». - 2017. - № 9 (сентябрь). - 0,4 п. л. - URL: http://e-koncept.ru/2017/174008. htm.
Для более реального осмысления сложности и масштабности данной проблемы отметим, что система межведомственного электронного взаимодействия сегодня включает 85 федеральных, 1300 региональных и 8600 муниципальных органов власти, а также более 1000 кредитных организаций, что в целом составляет более 12 тысяч участников с тенденцией роста их числа. Такое количество участников единой сети в итоге дает более 5 миллиардов запросов в год, которое также имеет тенденцию к активному росту.
Увеличение количества запросов ведет к увеличению числа обращений к системе, которое составляет в среднем более одного миллиона в час. Такое количество обращений и запросов оказывает негативное влияние на деятельность всех участников единой системы, приводит к более частому появлению нарушений в работе отдельных компонентов системы, и особенно ее центрального узла. Таким образом, мы видим, что данная проблема порождает новую - необходимость повышения надежности средств обеспечения информационной безопасности и непрерывности бизнеса, которой до сегодняшнего времени еще не уделяется необходимого внимания. А ведь решение данной проблемы может быть не самым сложным - необходимо предусматривать наличие резервных каналов связи, которые можно и нужно использовать не только при возникновении отказа основного канала, но и как превентивную меру - для балансировки нагрузки между каналами.
Также хорошим решением должно стать выявление приоритетных трафиков и управление полосой пропускания информации, проведение полномасштабного нагрузочного тестирования и проверка работы кластеров горячего резервирования устройств безопасности.
Отметим, что подобные работы по модернизации систем межведомственного электронного взаимодействия направлены на решение целого ряда важных задач, связанных с обеспечением информационной безопасности и непрерывности бизнеса:
- повышение надежности процессов электронного взаимодействия и пропускной способности единой системы;
- совершенствование механизмов контроля и мониторинга единых сетей;
- снижение трудозатрат на подключение новых элементов (компонентов) к единой системе.
Так, уже запланированы и определенным образом решаются вопросы перехода на геораспределенную архитектуру, в результате чего каждый узел системы способен замыкать на себя обслуживание части участников взаимодействия, сохраняя при этом информационную и функциональную целостность единой системы.
Рассмотренные проблемы являются наиболее существенными и требуют поиска соответствующих решений. Как видим, все выявленные методы защиты информации и непрерывности бизнеса следует условно разделить на такие большие группы, как технические, организационно-экономические и управленческие. Не вдаваясь в особенности технических методов, отметим, что в основе организационно-экономических и управленческих методов должны быть комплексные и экономически обоснованные программы обеспечения непрерывности бизнеса. При этом следует разделять бизнес-процессы компании: основные, которые ориентируются на производство продукции/услуг, представляют ценность для потребителя и обеспечивают получение дохода для компании; обеспечивающие, которые, по сути, являются вспомогательными и предназначены для обеспечения выполнения основных бизнес-процессов.
Ссылки на источники
1. Информационное общество: информационные войны. Информационное управление. Информационная безопасность / под ред. М. А. Вуса. - М.: Изд-во СПб. ун-та, 2006.
Тимиргалеева Р. Р., Гришин И. Ю. Проблемы обеспечения информационной безопасности и непрерывности бизнеса // Научно-методический электронный журнал «Концепт». - 2017. - № 9 (сентябрь). - 0,4 п. л. - URL: http://e-koncept.ru/2017/174008. htm.
' 1 научно-методический электронный журнал
2. Тимиргалеева Р. Р., Гришин И. Ю. Информационно-логистическое обеспечение процесса управления сложными организационно-экономическими системами. - Симферополь, 2013. - 2-е изд., перераб. и доп.
3. Тимиргалеева Р. Р. Интерактивное бизнес-управление взаимоотношениями в социально-экономической системе «туристско-рекреационный регион» // Актуальные проблемы современной науки: IV Междунар. науч.-практ. конф. - Краснодар, 2015. - С. 378-381.
4. Таланов А. Я., Тимиргалеева Р. Р. Использование системного подхода при разработке стратегии предприятия // Актуальные проблемы экономики современной России. - 2015. - Т. 2. - № 2. - С. 365-370.
5. Ам^ан В. Н., Тимиргалеева Р. Р., Птюшенко В. Л. Лопстиза^я процеав в оргаызацшно-еко-номiчних системах. - Донецьк, 2003.
6. Ларина Р. Р., Гришин И. Ю. Метод динамического программирования и принцип максимума в задачах оптимизации маркетинг-логистических решений // Труды X междунар. ФАМЭТ'2010 конф. -Красноярск, 2011. - С. 119-123.
7. Тимиргалеева Р. Р., Гришин И. Ю. Модель информационного обеспечения процесса управления развитием курортных территорий регионов юга России на основе геоинформационных технологий // Проблемы и перспективы развития туризма в Южном федеральном округе сб. науч. тр. - Симферополь, 2016. - С. 304-307.
8. Тимиргалеева Р. Р., Гришин И. Ю. Обеспечение информационной безопасности и непрерывности бизнес-процессов при использовании мобильных технологий // Цифровая экономика и «Индустрия 4.0»: проблемы и перспективы: тр. науч.-практ. конф. с междунар. участием. - СПб., 2017. - С. 489-493.
9. Степанов Е. А., Корнеев И. К. Информационная безопасность и защита информации. - М.: ИНФРА-М, 2008.
10. Информационное общество: информационные войны. Информационное управление. Информационная безопасность.
11. Тимиргалеева Р. Р., Гришин И. Ю. Обеспечение информационной безопасности ...
12. Степанов Е. А., Корнеев И. К. Указ. соч.
13. Тимиргалеева Р. Р., Гришин И. Ю. Современные тенденции управления развитием организационно-экономических систем (новый взгляд) / под ред. проф. Р. Р. Тимиргалеевой. - Симферополь, 2014.
14. Таланов А. Я., Тимиргалеева Р. Р. Указ. соч.
15. Тимиргалеева Р. Р., Гришин И. Ю. Модель информационного обеспечения процесса управления ...
16. Тимиргалеева Р. Р., Гриш И. Ю. Обеспечение информационной безопасности ...
к« ниегп
R. Timirgaleeva,
Doctor of Economic Sciences, Professor, Kuban State Technological University, Krasnodar
I. Grishin,
Doctor of Engineering Sciences, Professor, Kuban State Technological University, Krasnodar [email protected]
Problems of information security and business continuity providing
Abstract. The article reveals the most urgent problems of ensuring information security and business continuity. The authors examine the advantages of IS-products pilot projects introduction, analyze the criteria for their selection. Special attention is paid to the cost approach to choosing a solution. Key words: information security, business continuity, threats, information technologies. References
1. Vus, M. A. (ed.) (2006). Informacionnoe obshhestvo: informacionnye vojny. Informacionnoe upravlenie. Informacionnaja bezopasnost', Izd-vo SPb. un-ta, Moscow (in Russian).
2. Timirgaleeva, R. R. & Grishin, I. Ju. (2013). Informacionno-logisticheskoe obespechenie processa uprav-lenija slozhnymi organizacionno-jekonomicheskimi sistemami, Simferopol', 2-e izd., pererab. i dop. (in Russian).
3. Timirgaleeva, R. R. (2015). "Interaktivnoe biznes-upravlenie vzaimootnoshenijami v social'no-jekonomicheskoj sisteme "turistsko-rekreacionnyj region", Aktual'nye problemy sovremennoj nauki: IV Mezhdunar. nauch.-prakt. konf, Krasnodar, pp. 378-381 (in Russian).
4. Talanov, A. Ja. & Timirgaleeva, R. R. (2015). "Ispol'zovanie sistemnogo podhoda pri razrabotke strategii predprijatija", Aktual'nye problemy jekonomiki sovremennoj Rossii, t. 2, № 2, pp. 365-370 (in Russian).
5. Amitan, V. N., Timirgaleeva, R. R. & Piljushenko, V. L. (2003). Logistizacija procesiv v organizacijno-ekonomichnih sistemah, Donec'k (in Ukrainian).
6. Larina, R. R. & Grishin, I. Ju. (2011). "Metod dinamicheskogo programmirovanija i princip maksimuma v zadachah optimizacii marketing-logisticheskih reshenij", Trudy X mezhdunar. FAMJeT'2010 konf, Kras-nojarsk, pp. 119-123 (in Russian).
ISSN 2304-120X
ниепт
научно-методический электронный журнал
Тимиргалеева Р. Р., Гришин И. Ю. Проблемы обеспечения информационной безопасности и непрерывности бизнеса // Научно-методический электронный журнал «Концепт». - 2017. - № 9 (сентябрь). - 0,4 п. л. - URL: http://e-koncept.ru/2017/174008. htm.
7. Timirgaleeva, R. R. & Grishin, I. Ju. (2016). "Model' informacionnogo obespechenija processa upravlenija razvitiem kurortnyh territorij regionov juga Rossii na osnove geoinformacionnyh tehnologij", Problemy i perspektivy razvitija turizma v Juzhnom federal'nom okruge sb. nauch. tr, Simferopol', pp. 304-307 (in Russian).
8. Timirgaleeva, R. R. & Grishin, I. Ju. (2017). "Obespechenie informacionnoj bezopasnosti i nepreryvnosti biznes-processov pri ispol'zovanii mobil'nyh tehnologij", Cifrovaja jekonomika i "Industrija 4.0": problemy iperspektivy: tr. nauch.-prakt. konf. s mezhdunar. uchastiem, St. Petersburg, pp. 489-493 (in Russian).
9. Stepanov, E. A. & Korneev, I. K. (2008). Informacionnaja bezopasnost' i zashhita informacii, INFRA-M, Moscow (in Russian).
10. Vus, M. A. (ed.) (2006). Op. cit.
11. Timirgaleeva, R. R. & Grishin, I. Ju. (2017). Op. cit.
12. Stepanov, E. A. & Korneev, I. K. (2008). Op. cit.
13. Timirgaleeva, R. R. & Grishin, I. Ju. (2014). Sovremennye tendencii upravlenija razvitiem organizacionno-jekonomicheskih sistem (novyj vzgljad), Simferopol' (in Ukrainian).
14. Talanov, A. Ja. & Timirgaleeva, R. R. (2015). Op. cit.
15. Timirgaleeva, R. R. & Grishin, I. Ju. (2016). Op. cit.
16. Timirgaleeva, R. R. & Grishin, I. Ju. (2017). Op. cit.
Рекомендовано к публикации:
Некрасовой Г. Н., доктором педагогических наук, членом редакционной коллегии журнала «Концепт»
Поступила в редакцию Received 15.07.17 Получена положительная рецензия Received a positive review 30.07.17
Принята к публикации Accepted for publication 30.07.17 Опубликована Published 30.09.17
© Концепт, научно-методический электронный журнал, 2017 © Тимиргалеева Р. Р., Гришин И. Ю., 2017
77 2 0
www.e-koncept.ru