Электронная библиотека Веда
Цели библиотеки
Скачать бесплатно
Доставка литературы
Доставка диссертаций
Размещение литературы
Контактные данные
Я ищу:
Библиотечный каталог российских и украинских диссертаций

Вы находитесь:
Диссертационные работы России
Технические науки
Управление в социальных и экономических системах

Диссертационная работа:

Калашников Андрей Олегович. Организационные механизмы управления информационной безопасностью корпораций : Дис. ... канд. техн. наук : 05.13.10 Воронеж, 2006 161 с. РГБ ОД, 61:06-5/1248

смотреть содержание
смотреть введение
Содержание к работе:

ВВЕДЕНИЕ 4

1 ПРОБЛЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ КОРПОРАЦИЙ
13

1.1 Проблемы обеспечения информационной безопасности корпораций ..13

  1. Актуальность проблемы обеспечения информационной безопасности 13

  2. Основные цели обеспечения информационной безопасности 18

  3. Угрозы информационной безопасности 21

  4. Виды и взаимосвязь мер обеспечения информационной безопасности 23

1.2 Управление информационной безопасностью корпораций 25

  1. Уровень зрелости компании и управление информационной безопасностью 25

  2. Основные этапы управления информационной безопасностью....28

  3. Модель построения комплексной системы обеспечения информационной безопасности 35

1.3 Организационное управление информационной безопасностью
корпораций 38

  1. Организационная структура системы обеспечения информационной безопасности 38

  2. Основные организационные меры по управлению информационной безопасностью 41

  3. Особенности управления информационной безопасностью в зависимости от организационной структуры корпораций 46

1.4 Краткие выводы по первой главе 49

2 МОДЕЛИ И МЕТОДЫ ОРГАНИЗАЦИОННОГО УПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ КОРПОРАЦИЙ
50

2.1 Постановка задачи организационного управления информационной
безопасностью корпораций 50

2.2 Модель «сильный центр-слабые агенты» 54

2.2.1 Общий анализ задачи 55

  1. Существование и единственность «максимально стимулирующего» решения (МС - решения) 62

  2. МС — решения в некоторых частных случаях 73

  3. Анализ «пропорционального» решения 81

  1. Модель «средний центр - средние агенты» 84

  2. Модель «слабый центр - сильные агенты» 98

  3. Построение эффективной системы информационной безопасности... 102

  4. Краткие выводы по второй главе 105

3 ВНЕДРЕНИЕ ОРГАНИЗАЦИОННЫХ МЕХАНИЗМОВ
УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
КОРПОРАЦИИ
107

  1. Методика организации проектных работ в области информационной безопасности и оценки информационных рисков корпораций 107

  2. Внедрение организационных механизмов управления информационной безопасностью корпорации на примере ООО «Лентрансгаз» 120

  3. Краткие выводы по третьей главе 141

ЗАКЛЮЧЕНИЕ 142

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 144

ПРИЛОЖЕНИЕ А 158

ПРИЛОЖЕНИЕ Б 160

Введение к работе:

Эффективное управление в настоящее время является ключевым требованием, предъявляемым к предприятиям и организациям со стороны рынка. Постоянные перемены (прежде всего в экономической среде) ведут к непрерывному поиску и совершенствованию стратегии и тактики ведения бизнеса. С другой стороны, в современных условиях невозможно достичь эффективного ведения бизнеса без использования информационных технологий (ИТ), которые, в свою очередь, бурно и интенсивно развиваются именно под воздействием стоящих перед бизнесом стратегических и тактических задач [14].

За последнее десятилетие в сфере применения ИТ произошли коренные изменения. Эти перемены принесли бизнесу существенную выгоду, однако при этом они потребовали и гораздо более серьезного внимания к сфере безопасности со стороны правительств, коммерческих предприятий, иных организаций и частных пользователей, которые разрабатывают информационные системы и сети, владеют ими, предоставляют их в пользование, управляют ими, обслуживают или используют их. К основным факторам, определяющим необходимость взвешенного подхода к указанной проблеме, можно отнести, в первую очередь, постоянно возрастающее количество информационных угроз и рисков, а также недостаточный уровень обеспечения информационной безопасности (ИБ) в существующих информационных системах (ИС).

Риск и опасность потерь присущи любой экономической деятельности. Из всего разнообразия рисков в настоящее время особо выделяются риски информационные, которые реализуются через уязвимости в современных ИС, поддерживающих различные виды деятельности экономического субъекта (управленческий, производственный, сбытовой, инвестиционный, торговый, кредитный). Существование информационных рисков делает в свою очередь необходимым управление ими. Управление информационными рисками или другими словами, управление информационной безопасностью (под которой в соответствии с международным стандартом ISO|IEC 17799 «Управление информационной безопасностью» будем понимать обеспечение для защищаемой информации таких ее свойств как конфиденциальность, целостность и доступность), определяет возможность обеспечения устойчивости экономического объекта, его способности противостоять неблагоприятным ситуациям. Управление информацион-

ными рисками должно быть неотъемлемым элементом экономической стратегии и тактики организации. Разработка методологии снижения информационных рисков делает возможным повышение общей (в том числе - финансовой) безопасности предприятия.

Однако очень часто возникает ситуация, когда финансовых (или иных ресурсов) для полного решения всех проблем недостаточно и приходится либо решать проблемы снижения информационных рисков поэтапно, либо пытаться бороться с отдельными угрозами. Таким образом, перед руководителем организации возникает задача оптимального распределения ресурсов для снижения информационных рисков.

Ключевым элементом управления информационными рисками, является эффективная методология их снижения за счет реализации определенных контрмер, направленных на ликвидацию уязвимостей и ликвидацию угроз в ИС. Основой указанной методологии должен стать механизм эффективного использования имеющихся в наличии ресурсов (финансовых, организационных, технологических и т.д.), которые, как правило, находятся в дефиците.

Проблемы риска в экономике, изложены в трудах российских ученых [7, 8, 9, 11, 12, 15, 19], а также зарубежных исследователей [10, 13, 17].

В большинстве указанных работ информационный риск, как отдельная категория не рассматривается, или рассматривается крайне узко, как риск, связанный с нарушением конфиденциальности информации [21, 23, 27,28,31,36,38].

Управление ИБ (Information Security Management) является той областью, необходимость теоретического осмысления которой была осознана совсем недавно. Первые исследования в этой области начались в конце 1980-х г.г., а к концу 1990-х г.г. появились первые национальные и международные стандарты (ISO/IEC 17799, BSI). Однако факт появления стандартов не означает, что в области управления ИБ решены все проблемы. Напротив, задачи управления ИБ усложняются с каждым днем по мере все более интенсивного использования ИТ практически во все сферы человеческой деятельности [95].

Проблемам управления ИБ посвящены работы российских [1, 2, 37, 40, 43, 81, 82, 83, 84, 86, 88, 95, 143, 144, 145, 146, 147] и зарубежных авторов [26, 85]. Большинство указанных работ касается конкретных вопросов реализации тех или иных механизмов ИБ.

Вопросам создания эффективных систем ИБ посвящены работы [46, 47, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 67] (см. обзор в разделе 1.2.2). В указанных работах рассматриваются вопросы построения эффективных систем ИБ. Как правило, предполагается, что все ресурсы, требуемые для построения системы ИБ, имеются в наличии, а задача снижения потерь от реализации информационных рисков рассматривается как некая задача оптимизации общего количества ресурса необходимого для реализации контрмер направленных на снижение информационных рисков до допустимого уровня [1].

Вопросам оптимального распределения ресурсов посвящено значительное количество работ как российских, так и зарубежных авторов [97, 103, 104, 105, 106, 108, 112, 114, 115, 117, 120, 122, 123] (см. обзор в разделе 2.3). Значительное число исследований посвящено корпоративному управлению {корпорация — от позднелатинского «corporatio» — объединение: 1) объединение, союз, общество; 2) в праве - совокупность лиц, объединившихся для достижения какой-либо цели, является юридическим лицом) [14,89,103,118,137]. Однако в данных работах практически не уделялось внимания ИБ (в отличие от промышленной безопасности [148], экологической безопасности [37, 68], финансовых рисков [101] и т.д.).

Таким образом, можно констатировать, что проблема организационного управления информационными рисками в условиях дефицита корпоративных ресурсов в настоящее время изучена недостаточно полно, что обусловливает актуальность темы настоящей работы, посвященной разработке и исследованию организационных механизмов (процедур принятия управленческих решений в организации) эффективного управления ИБ корпораций.

Цель работы состоит в разработке, исследовании и внедрении организационных механизмов эффективного управления ИБ корпораций.

Достижение поставленной цели требует последовательного решения следующих задач:

  1. Исследование специфики ИБ корпораций как объекта управления. Изучение особенностей системы управления ИБ в зависимости от организационной структуры корпораций. Разработка системы классификаций задач организационного управления ИБ корпораций.

  2. Разработка и исследование моделей и методов анализа и синтеза организационных механизмов управления ИБ в зависимости от организационной структуры корпораций, включая следующие типовые структуры и

соответствующие им модели: бюрократическая («сильный центр-слабые агенты»), переходная («средний центр — средние агенты») и органическая («слабый центр - сильные агенты»).

  1. Разработка методов построения эффективной комплексной системы обеспечения ИБ (КСОИБ) корпорации.

  2. Внедрение предложенных организационных механизмов управления ИБ в деятельность корпораций.

Основным методом исследования является математическое моделирование с использованием подходов и результатов системного анализа, теории принятия решений, имитационного моделировани, теории игр и теории активных систем.

Связь с планом. Исследования по теме диссертационной работы проводились в соответствии с плановой тематикой работ Воронежского государственного архитектурно - строительного университета (в рамках федеральной комплексной программы «Исследования и разработки по приоритетным направлениям науки и техники граждансткого назначения»).

Научная новизна работы заключается в следующем: на основе исследования теоретико-игровых и оптимизационных моделей разработаны организационные механизмы эффективного управления ИБ корпораций. В частности:

  1. Выявлена специфика управления ИБ корпораций, в том числе - зависимость организации управления ИБ от уровня зрелости корпораций; перечислены основные этапы жизненного цикла управления ИБ, и предложена модель построения КСОИБ корпораций.

  2. Исследована роль организационного управления как ключевого элемента управления ИБ корпораций, в том числе - организационной структуры системы обеспечения ИБ; выявлены и классифицированы основные организационные меры по управлению ИБ, а также особенности системы управления ИБ в зависимости от организационной структуры корпораций.

  3. Сформулированы и решены задачи анализа и синтеза организационных механизмов управления ИБ, используемых для различных типов структур управления корпорациями. В том числе:

- для модели «сильный центр — слабые агенты» сформулированы и обоснованы аксиоматические требования, которым должно удовлетворять решение задачи распределения ресурса, и доказано, что класс таких реше-

ний не пуст. Предложена общая арбитражняа схема, основанная на принципах «стимуляции» и «неподавления», и доказано существование, единственность и Парето-эффективность «максимально стимулирующего» решения (МС - решения). Рассмотрен ряд практически важных частных случаев в рамках модели общей арбитражной схемы, для которых удалось получить МС-решение в конкретной аналитической форме. Проведен анализ широко распространенного «пропорционального» решения, найдены условия, при которых оно является монотонным МС - решением;

для модели «средний центр - средние агенты» получено решение обратной задачи распределения корпоративного ресурса на мероприятия по обеспечению ИБ, заключающейся в нахождении минимального суммарного количества распределяемого ресурса, при котором диктаторами (получающими абсолютно оптимальное для себя количество ресурса) является заданное множество агентов, при условии, что предпочтения каждого агента зависят от того суммарного количества ресурса, которое подлежит распределению;

для модели «слабый центр - сильные агенты» сформулирована и решена задача рефлексивного управления в ситуации, когда агенты имеют иерархию взаимных представлений о требуемых количествах ресурса. Найдены оптимальные информационные воздействия - представления о типах оппонентов, которые центру следует сформировать у агентов, чтобы агенты сообщили заявки (являющиеся стабильным информационным равновесием их игры), приводящие к требуемому центру распределению ресурса.

4. Сформулирована и решена задача реализации эффективных контрмер в рамках выделенных агентам ресурсов, на основании которой предложены методы построения эффективной КСОИБ корпорации.

На защиту выносится:

  1. Организационные механизмы эффективного управления ИБ корпораций.

  2. Модель построения КСОИБ корпораций.

  3. Классификация основных организационные меры по управлению ИБ.

  4. Задачи анализа и синтеза организационных механизмов управления ИБ, используемых для различных типов структур управления корпорациями.

5. Задача выбора эффективных контрмер в рамках выделенных агентам ресурсов, на основании которой предложены методы построения эффективной КСОИБ корпорации.

Практическая значимость. Результаты диссертационной работы позволяют разрабатывать и обосновывать механизмы эффективного управления ИБ корпораций. Предложенные модели и методы имеют особую актуальность при их использовании для повышения эффективности управления ИБ в крупных добывающих, перерабатывающих, финансовых и наукоемких корпоративных структурах.

Реализация результатов работы. Результаты диссертационного исследования внедрены в деятельность ООО «Информационные бизнес системы» (ООО «ИБС») в виде корпоративного стандарта «Методика организации проектных работ в области информационной безопасности и оценки информационных рисков», а также внедрены в системе управления ИБ ООО «Лентрансгаз». Эффективность реализации результатов работы подтверждена актами о внедрении.

Личный вклад автора в работах, опубликованных в соавторстве, заключается в том, что в [7, 10] автором предложена методика организации проектных работ в области аудита информационной безопасности и оценки информационных рисков; в [2-4] - доказана теорема существования и единственности «максимально-стимулирующего» решения для случая игры трех и более лиц; в [5, 6] - предложены алгоритмы выбора наиболее эффективных решений с учетом результатов стохастического имитационного моделирования; в [1] построен пример, показывающий, как разрешается парадокс Аллэ в рамках модели предпочтения, порождаемой квадратичным функционалом; в [12-14] - механизмы распределения ресурса на мероприятия по обеспечению информационной безопасности корпораций..

Апробация результатов работы. Основные результаты, полученные в диссертационной работе, докладывались на семинарах ИПУ РАН и МФТИ, а также на следующих научных конференциях: всесоюзном симпозиуме «Современные проблемы математической экономики» (Вильнюс, 1984), всероссийской научно-практической конференции «Методы и средства технической защиты информации» (Обнинск, 2004), международной конференции и Российской научной школе «Системные проблемы надежности, качества информационных и электронных технологий. Информационные бизнес системы» (Сочи 2004), международных научных конференциях «Современные сложные системы управления» (Воронеж, 2005;

Краснодар, 2005), международной научно-практической конференции «Теория активных систем» (Москва, 2005).

Публикации. По теме диссертационного исследования опубликовано 15 печатных работ общим объемом 5,6 п.л.

Объем и структура работы. Диссертация состоит из введения, трех глав, заключения, списка литературы, включающего 153 наименования. Она изложена на 161 страницах, включая 19 рисунков, 7 таблиц и приложения содержащее акты, подтверждающие практическую реализацию и внедрение результатов диссертационной работы.

Краткое содержание работы.

В первой главе, результаты которой опубликованы в [3, 41, 42, 44, 151, 152] рассматриваются проблемы:

обеспечения ИБ корпорации (раздел 1.1), в том числе - вопросы актуальности проблемы обеспечения ИБ для современных корпораций (раздел 1.1.1), основные цели обеспечения ИБ (раздел 1.1.2) и угрозы ИБ (раздел 1.1.3), а также виды и взаимосвязь мер обеспечения ИБ (контрмер) (раздел 1.1.4);

управления ИБ корпораций в целом (раздел 1.2), в том числе-вопросы зависимости организации управления ИБ от уровня зрелости корпораций (раздел 1.2.1), основные этапы жизненного цикла управления ИБ (раздел 1.2.2) и модель построения КСОИБ корпораций (раздел 1.2.3);

организационного управления ИБ корпораций, как ключевого элемента управления ИБ корпораций (раздел 1.3), в том числе-

организационная структура системы обеспечения ИБ (раздел 1.3.1), основные организационные меры по управлению ИБ (раздел 1.3.2) и особенности системы управления ИБ в зависимости от организационной структуры корпораций (раздел 1.3.3),

а также формулируются теоретические задачи диссертационного исследования.

Во второй главе, результаты которой опубликованы в [5, 6, 41, 42, 62, 63, 64, 96, 149, 150, 151, 153] рассматриваются общая постановка задачи организационного управления ИБ корпораций.

В разделе 2.1 приводится формальная постановка задачи организационного управления ИБ корпорации: определяется жизненный цикл основных организационных мер по управлению ИБ корпорации, основные свойства неизвестных функций риска, формулируются цели решения и

критерии выбора решения. Далее изучаются конкретные организационные механизмы управления ИБ, используемые для различных типов структур управления корпорациями: бюрократическая («сильный центр-слабые агенты») (раздел 2.2), переходная («средний центр — средние агенты») (раздел 2.3) и органическая («слабый центр - сильные агенты») (раздел 2.4).

В разделе 2.2 проводится общий анализ задачи организационного управления ИБ корпорации в рамках модели «сильный центр-слабые агенты», формулируется и обосновывается ряд естественных требований аксиоматического характера, которым должно удовлетворять «хорошее» решение и доказывается, что класс таких решений не пуст (раздел 2.2.1). Рассматривается математическая модель общей арбитражной схемы, основанной на принципах «стимуляции« и «неподавления«, обосновывается ее соответствие модели «сильный центр —слабые агенты» и доказывается существование и единственность решения специального вида: «максимально стимулирующего» решения (МС — решения), являющегося эффективным решением задачи распределения ресурса в рамках модели «сильный центр-слабые агенты» (раздел 2.2.2). Рассматривается ряд практически важных частных случаев в рамках модели общей арбитражной схемы, для которых удается получить МС-решение в конкретной аналитической форме (раздел 2.2.3). Проводится анализ популярного «пропорционального» решения с целью определения условий его монотонности, а так же условий когда «пропорциональное» решение оказывается одновременно МС - решением (раздел 2.2.4).

В разделе 2.3 проводится обзор результатов исследования механизмов распределения ресурса в условиях асимметричной информированности (неполной информированности центра и принятии им решений на основании информации, сообщаемой агентами). Получено решение обратной задачи распределения ресурса на мероприятия по обеспечению ИБ - задачи нахождения минимального суммарного количества распределяемого ресурса, при котором диктаторами (получающими абсолютно оптимальное для себя количество ресурса) является заданное множество агентов, при условии, что предпочтения каждого агента зависят от того суммарного количества ресурса, которое подлежит распределению.

В разделе 2.4 рассматривается задача рефлексивного управления при распределении корпоративных ресурсов на мероприятия по повышению ИБ в ситуации, когда подразделения корпорации (агенты) имеют иерархию

взаимных представлений о том, кому из них какое количество ресурса необходимо. Сформулирована и решена задача рефлексивного управления - какие представления о типах оппонентов следует центру сформировать у агентов, чтобы агенты сообщили такие заявки (являющиеся стабильным информационным равновесием их игры), которые привели бы к требуемому центру распределению ресурса.

В разделе 2.5 с использованием методов стохастического имитационного моделирования рассматривается проблема реализации эффективных контрмер в рамках выделенных агентам ресурсов.

В третьей главе, результаты которой опубликованы в [3, 44, 152] рассматриваются:

-разработанная на основании результатов теоретических исследований, представленных в первой и второй главах, «Методика организации проектных работ в области информационной безопасности и оценки информационных рисков», принятая в ООО «ИБС» в качестве корпоративного стандарта (раздел 3.1);

- вопросы практического внедрения организационных механизмов управления ИБ корпорации на примере ООО «Лентрансгаз» (раздел 3.2).

Заключение содержит основные результаты работы, акты о внедрении вынесены в Приложения.

Подобные работы
Клюйков Борис Владимирович
Способ и алгоритмы структурно-параметрического синтеза автоматизированной системы управления региональной службой безопасности корпорации
Шевченко Юрий Александрович
Модели и механизмы партнерства в научно-технической корпорации
Цветков Александр Васильевич
Механизмы стимулирования в управлении проектами
Сапико Михаил Игоревич
Модели и механизмы многокритериального стимулирования в управлении строительными проектами
Зеленская Светлана Геннадьевна
Управление экономикой региона через механизм регулирования налогообложения
Дронова Лидия Анатольевна
Разработка децентрализованного механизма принятия оперативных решений в управлении производством на предприятии
Остапенко Михаил Дмитриевич
Модели и механизмы распределения доходов и затрат при управлении строительным предприятием
Игнатьев Андрей Владимирович
Развитие методов и механизмов системной организации экономической информации в управлении региональной компанией
Измалков Александр Владимирович
Управление безопасностью социально-экономических систем
Кулаков Владимир Григорьевич
Региональная система информационной безопасности: угрозы, управление и обеспечение

© Научная электронная библиотека «Веда», 2003-2013.
info@lib.ua-ru.net