К.е.н., доцент Терешко Ю.В.
Методы оценки эффективности обеспечения безопасности в экономических информационных системах
Одесская национальная академия связи им. А.С. Попова
Методы оценки эффективности обеспечения безопасности в экономических информационных системах
-->В современных условиях динамично развивающихся экономических, социальных, общественно-политических, технологических процессов коммерческое предприятие должно обеспечивать себе стабильное положение и авторитет на рынке, должно уметь защитить свой бизнес и, соответственно, свою информацию.
Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла тогда, когда владельцу этой информации по каким-либо причинам не захотелось ею с кем-либо делиться. С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцам получить какой-либо выигрыш: материальный, политический, военный и т.д.
С переходом на использование технических средств связи информация подвергается воздействию случайных процессов: неисправностям и сбоям оборудования, ошибкам операторов и т.д., которые могут привести к ее разрушению, изменениям на ложную, а также создать предпосылки к доступу к ней посторонних лиц. С дальнейшим усложнением и широким распространением технических средств связи возросли возможности для преднамеренного доступа к информации.
С развитием сложных автоматизированных систем управления, связанных с автоматизированным вводом, хранением, обработкой и выводом информации, проблема ее защиты приобретает еще большее значение. В этих условиях, информация становится потенциальным объектом различных злоупотреблений, что в свою очередь, приводит к необходимости разработки средств противодействия этому.
Таким образом, проблема выбора и построения эффективной системы информационной безопасности для предприятий, функционирующих в различных сферах экономики, является одной из самых актуальных задач, требующих безотлагательного, грамотного, научно обоснованного решения.
В качестве объекта компьютерных преступлений выступает экономическая информационная система и, соответственно, циркулирующая в ней производственная, научная, коммерческая информация.
Экономическая информационная система (ЭИС) - это совокупности внутренних и внешних потоков прямой и обратной информационной связи экономического объекта, методов, средств, специалистов, участвующих в процессе обработки информации и выработке управленческих решений.
Взаимосвязь информационных потоков прямой и обратной информационной связи, средства обработки, передачи и хранения данных, а также сотрудников управленческого аппарата, выполняющих операции по переработке данных, и составляет информационную систему экономического объекта.
Таким образом, любой системе управления экономическим объектом соответствует своя информационная система, называемая экономической информационной системой.
Современный уровень информатизации общества предопределяет использование новейших технических, технологических, программных средств в различных информационных системах экономических объектов. Экономический объект - это объект, обязанный с производством материальных или нематериальных благ, имеющий свою систему управления. Система управления представляет собой совокупность объекта управления, например предприятия или субъекта управления — управленческого аппарата. Последний объединяет в себе сотрудников, формирующих цели, разрабатывающих планы, вырабатывающих требования к принимаемым решениям, а также контролирующих их выполнение. В задачу же объекта управления входит выполнение планов, выработанных управленческим аппаратом, то есть реализация той деятельности, для которой создавалась система управления. Оба компонента системы управления связаны прямой и обратной связями. Прямая связь выражается потоком директивной информации, направляемой от управленческого аппарата к объекту управления, а обратная представляет собой поток отчетной информации о выполнении принятых решений, направляемый в обратном направлении. Компьютерные преступления могут быть направлены непосредственно на персональный компьютер (его процессор и оперативную память), локальную сеть, базу данных, системное программное обеспечение и т.д. В отдельных случаях, при реализации компьютерных преступлений, в качестве объекта воздействия могут выступать отношения пользователей, нарушение которых приводит к потере доверия к поступающей информации, сокрытию несанкционированного доступа и т.д.
Таким образом, ЭИС является объектом пристального внимания со стороны различного рода нарушителей, и обеспечение безопасности информационных систем является актуальной задачей.
В числе факторных групп, которые могут инициировать распространение компьютерных преступлений, следует выделить: экономические, технические и правовые.
К первой группе следует отнести развитие рыночных отношений, изменение форм собственности, отказ от государственного регулирования в экономике, развитие такой сферы предпринимательской деятельности, как информационный бизнес и др. Конкуренция выдвигает на первый план необходимость владения соответствующей информацией, характеризующей многие аспекты деятельности. Это могут быть сведения относительно цен и объема поставок товаров по контрактам, финансовое положение фирмы и перспективы ее развития, содержание и время ввода нормативных актов, и многое другое. Причем данная информация может относиться как к деятельности государственных органов и коммерческих структур, так и отдельных лиц. В любом случае, обладая необходимой информацией, ее владелец в состоянии предпринять соответствующие меры по исключению и недопущению негативных последствий изменения ситуации в свою пользу. Таким образом, если пользователь получает какую-либо информацию и при этом нарушает правовые и этические нормы, то подобные действия должны пресекаться и преследоваться, что предусмотрено в соответствующих статьях Уголовного кодекса.
Ко второй группе относят следующие факторы: рост парка персональных компьютеров, развитие компьютерных систем и коммуникаций, открытость и доступность широкого спектра программных продуктов и т.д.
И, наконец, третью группу, образуют правовые вопросы. Это объясняется, во многом, не проработанностью многих юридических аспектов относительно возможности функционирования информации в качестве специфического товара и ресурса, сложностями закрепления авторского права на программные продукты.
Анализ зарубежной и отечественной практики свидетельствует о важности решения проблемы обеспечения информационной безопасности применительно к ЭИС. В ЭИС право выбора средств и методов по обеспечению информационной безопасности принадлежит ее собственнику, который исходит из финансовых возможностей и существующих ограничений. Проектные решения по обеспечению безопасности ЭИС основываются на определенных требованиях и условиях эксплуатации (эффективности защиты, ее стоимости, эксплуатационных расходах на поддержание информационной безопасности и др.). Особую важность при проектировании системы информационной безопасности (СИБ) ЭИС имеют вопросы экономического обеспечения и увеличения жизненного цикла СИБ. К компонентам экономического обеспечения относится оптимизация структуры СИБ с учетом эффективности и затрат на обеспечение информационной безопасности, оценка экономической эффективности СИБ, методика выбора оптимальных вариантов СИБ с экономической точки зрения, модель оценки инвестиционной привлекательности проектов СИБ и др.
Оценка экономической эффективности СИБ ЭИС представляет собой комплекс различных подходов и методов: как классических, общих подходов к оценке экономической эффективности, так и специфических, с учетом особенностей применения для СИБ ЭИС. Исходной посылкой при разработке моделей эффективности СИБ является предположение, что с одной стороны, при нарушении системы защиты информации наносится ущерб, с другой стороны - формирование и обеспечение информационной безопасности сопряжено с расходованием средств. Отношение стоимости защиты и потерь от ее нарушения с учетом необходимого уровня защищенности и допустимых потерь, позволяет определить экономический эффект от использования СИБ. Затраты на создание и эксплуатацию СИБ сходны с инвестициями, поскольку они связаны с вложением средств, риском и получением прибыли. Эти вопросы на сегодняшний день недостаточно проработаны и изучены, что несомненно, обуславливает необходимость дальнейшим научных исследований в данном направлении.