ОДЕСЬКА НАЦІОНАЛЬНА АКАДЕМІЯ ЗВ’ЯЗКУ ІМ
ОДЕСЬКА НАЦІОНАЛЬНА АКАДЕМІЯ ЗВ’ЯЗКУ ІМ. О.С. ПОПОВА
ТАРДАСКІНА ТЕТЯНА МИКОЛАЇВНА
УДК 338.47: 65.012.8
ОРГАНІЗАЦІЙНО-ЕКОНОМІЧНІ СКЛАДОВІ
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТЕЛЕКОМУНІКАЦІЙНИХ МЕРЕЖ ЗАГАЛЬНОГО КОРИСТУВАННЯ
08.00.04 – економіка та управління підприємствами
(за видами економічної діяльності)
Автореферат
дисертації на здобуття наукового ступеня
кандидата економічних наук
Одеса – 2008
Дисертацією є рукопис
Робота виконана в Одеській національній академії зв’язку ім. О.С. Попова
Міністерства транспорту та зв’язку України
Науковий керівник | доктор економічних наук, професор
Редькін Олександр Семенович
Одеська національна академія зв’язку ім. О.С. Попо-ва, професор кафедри економіки підприємства та
корпоративного управління
Офіційні опоненти: | доктор економічних наук, професор
Гранатуров Володимир Михайлович
Одеська національна академія зв’язку ім. О.С. Попо-ва, професор кафедри управління проектами та
системного аналізу
доктор економічних наук, доцент
Хрущ Ніла Анатоліївна
Хмельницький національний університет,
професор кафедри обліку і аудиту
Захист відбудеться „15” лютого 2008 р. о 12.00 годині на засіданні спеціалізованої вченої ради К 41.816.03 в Одеській національній академії зв’язку ім. О.С. Попова за адресою: 65029, Одеса, вул. Ковальська, 1, ауд. 222.
З дисертацією можна ознайомитися у бібліотеці Одеської національної академії зв’язку ім. О.С. Попова за адресою: 65029, Одеса, вул. Ковальська, 1.
Автореферат розісланий „11” січня 2008 р.
Вчений секретар
спеціалізованої вченої ради |
Г.А. Отливанська
ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ
Актуальність теми. Глобальний процес інформатизації суспільства, який є відображенням загальних закономірностей генезису цивілізації, сьогодні охопив усі сфери соціокультурної діяльності людини. Стрімкий розвиток і розповсюдження нових інформаційно-комунікаційних технологій обумовлює кардинальні зміни в управлінні господарськими системами різних рівнів. Формування та рівень розвитку інформації, інформаційних ресурсів та всього інформаційного простору є основою та головною характеристикою розвитку будь-якої соціально-економічної системи на макро- та мікрорівнях.
Особливості необмеженого та неконтрольованого впливу, несанкціонованого доступу, а також виникнення комп’ютерних вірусів та інших загроз, викликають необхідність у забезпеченні інформаційної безпеки, яка є головною частиною економічної безпеки держави та національної безпеки в цілому. Життєдіяльність суспільства, його інформаційна безпека залежить від стабільного функціонування, живучості, надійності та готовності телекомунікаційних мереж. Отже, проблема створення ефективного організаційно-економічного механізму забезпечення інформаційної безпеки та живучості мереж в умовах розвитку та впровадження нових інформаційних технологій є актуальною та своєчасною.
Вагомий внесок у становлення і розвиток ефективних організаційно-економічних механізмів забезпечення інформаційної безпеки внесли українські та російські вчені В. Герасименко, В. Домарєв, Д. Зегжда, Г. Конахович, А. Малюк, С. Петренко, С. Расторгуєв, О. Редькін, Ю. Уфімцев, П. Хорєв, В. Хорошко, В. Шорошев. Значний внесок у розвиток цих проблем належить зарубіжним вченим Н. Вінеру, Д. Сяо, Б. Ролкеру, Л. Дж. Хоффману, К. Шеннону. Творчістю цих та багатьох інших вчених напрацьовано величезний науково-теоретичний та методичний матеріал, запропоновано безліч різноманітних практичних рекомендацій щодо розв’язання тих чи інших питань, вирішення прикладних завдань. Разом з тим, аналіз опублікованих праць з даної проблематики дає підстави говорити, що в цілому дослідження зосереджені на формуванні стандартних процедур захисту інформації. Недостатньо науково розкритими залишаються організаційно-економічні аспекти інформаційної безпеки, в Україні ще й досі чітко не установленні регламенти, які визначили б вимоги, характеристики, параметри і поняття, що пов'язані з розробкою концептуальної моделі системи інформаційної безпеки. З цих позицій, розробка організаційно-економічних складових інформаційної безпеки телекомунікаційних мереж загального користування є необхідною, що відповідним чином обумовило вибір теми, мету та завдання дослідження, сформулювало структуру і зміст дисертаційної роботи.
Зв’язок роботи з науковими програмами, планами, темами. Дисертаційна робота виконувалась згідно з тематичним планом науково-дослідних робіт Одеської національної академії зв’язку ім. О.С. Попова відповідно до „Концепції розвитку телекомунікацій в Україні до 2010 року”, Закону України „Про пріоритетні напрямки розвитку науки і техніки”, Закону України „Про національну програму інформатизації”, Закону України „Про телекомунікації”, Закону України „Про захист інформації в інформаційно-телекомунікаційних системах”. Дослідження, викладені у дисертації, відповідають науковому напряму „Розробка програм економічного розвитку зв’язку України”.
Мета і завдання дослідження. Мета роботи полягає в обґрунтуванні теоретичних та методичних підходів щодо визначення цінності інформації та організаційно-економічних складових інформаційної безпеки телекомунікаційних мереж загального користування.
Досягнення поставленої мети передбачає вирішення наступних основних завдань: –
визначити складові інформаційної безпеки телекомунікаційних мереж загального користування, установити зв’язок між процесами конвергенції інформаційних і телекомунікаційних мереж відповідно до сучасних тенденцій впровадження новітніх управлінських технологій з урахуванням інформаційної безпеки;–
на основі оцінки цінності інформації обґрунтувати пріоритетні завдання, які спрямовані на її збереження та захист у телекомунікаційних мережах загального користування;–
визначити особливості побудови архітектури телекомунікаційних мереж з урахуванням організаційно-економічних складових інформаційної безпеки;–
обґрунтувати умови регламентування управлінської діяльності інформаційної безпеки та діяльності персоналу відповідно до вимог інформаційної безпеки;–
визначити та обґрунтувати засади стосовно організації інформаційної безпеки телекомунікаційних мереж загального користування;–
на прикладі цифрової автоматичної телефонної станції (АТС) здійснити функціонально-вартісний аналіз системи забезпечення інформаційної безпеки і з методичних позицій обґрунтувати та здійснити оцінку витрат на її створення і впровадження.
Об’єкт дослідження – процеси функціонування телекомунікаційних мереж загального користування та сукупність умов і факторів формування організаційно-економічних складових інформаційної безпеки.
Предметом дослідження є теоретичні засади, методичні положення та існуюча практика щодо визначення організаційно-економічних складових інформаційної безпеки телекомунікаційних мереж загального користування.
Методи дослідження. Теоретичну і методологічну основу дослідження становить сукупність теоретичних та емпіричних методів пізнання. Вірогідність наукових положень, висновків і практичних рекомендацій ґрунтується на теоретичних і методологічних положеннях, сформульованих у дослідженнях вітчизняних і зарубіжних економістів, фахівців та вчених в галузі економіки зв’язку та інформаційної безпеки.
При розв’язанні конкретних задач дослідження використовувались такі основні методи: історико-логічний (для аналізу й узагальнення світового та вітчизняного досвіду визначення інформації на міждисциплінарному рівні); порівняльний аналіз (для виявлення закономірностей, складових та принципів інформаційної безпеки та захисту інформації); системний (для визначення та обґрунтування складових інформаційної безпеки); аналітичний (у підходах визначення цінності інформації); функціонально-вартісний аналіз (при оцінці питомої ваги витрат на інформаційну безпеку); кількісний та якісний аналіз (при оцінці витрат на прикладі цифрової АТС); економіко-математичний (при оцінці витрат на створення і впровадження інформаційної безпеки на прикладі цифрової АТС).
Інформаційною основою дослідження є праці вітчизняних та зарубіжних вчених, монографії, збірки наукових праць, статті у фахових наукових виданнях, матеріали наукових конференцій, законодавчі та нормативні акти Верховної Ради України, Кабінету Міністрів України, офіційні статистичні дані.
Наукова новизна одержаних результатів. Наукова новизна сформульованих у дисертації основних положень, висновків та рекомендацій полягає в обґрунтуванні теоретичних та методичних підходів щодо визначення цінності інформації та організаційно-економічних складових інформаційної безпеки телекомунікаційних мереж загального користування. Найбільш суттєвими результатами, отриманими особисто автором, що визначають наукову новизну дослідження, є такі:
Вперше: –
визначено та обґрунтовано засади стосовно організації інформаційної безпеки телекомунікаційних мереж загального користування, які містять основні напрями політики інформаційної безпеки; –
здійснено оцінку витрат на створення та впровадження системи забезпечення інформаційної безпеки на прикладі цифрової АТС, в основі якої лежить визначення рівня ефективності витрат на стадіях життєвого циклу (проектування, створення, випробування та впровадження).
Удосконалено:–
понятійний і термінологічний апарат, який використовується для дослідження складових інформаційної безпеки телекомунікаційних мереж загального користування, зокрема: уточнено поняття „інформація”, „глобальна безпека”, „інформаційна безпека”; –
систематичний підхід абстрагування інформації щодо обґрунтування пріоритетних завдань, які спрямовані на її збереження та захист у телекомунікаційних мережах загального користування;–
організаційно-економічні складові інформаційної безпеки шляхом систематизації умов і факторів їхнього формування та обґрунтування складу економічної складової інформаційної безпеки.
Дістало подальший розвиток:–
впровадження новітніх управлінських технологій й архітектура телекомунікаційних мереж з урахуванням цінності інформації та вимог до її захисту відповідно до сучасних тенденцій;–
організаційно-правові умови регламентування управлінської діяльності інформаційної безпеки та система управління персоналом, яка створена відповідно до вимог інформаційної безпеки;–
методи функціонально-вартісного аналізу шляхом уточнення задач аналізу на різних стадіях застосування для обґрунтування оцінки витрат на створення і впровадження системи забезпечення інформаційної безпеки.
Практичне значення одержаних результатів. Основні положення дисертації спрямовані на вирішення актуальних питань, які пов’язані з удосконаленням організаційно-економічних аспектів функціонування та розвитку інформаційної безпеки телекомунікаційних мереж загального користування. Практичне значення дослідження полягає в тому, що основні положення дисертації можуть застосовуватись у діяльності підприємств галузі зв’язку України та підприємств інших галузей, їх впровадження дозволить удосконалити комплексну систему інформаційної безпеки у відповідності з вимогами технічного захисту інформації.
Основні наукові результати дисертаційного дослідження впроваджено в Одеській філії ВАТ „Укртелеком” (акт від 20.02.2007 р.), Одеській залізниці (акт № Ш-08/2737 від 14.09.07 р.), ТОВ „Цифрові Системи Зв’язку” (ЦСЗ) (довідка № 256 від 25.10.2007р.). Результати дослідження використано у навчальному процесі Одеської національної академії зв’язку ім. О.С. Попова (акт № 01-24-492 від 18.09.2007 р.), зокрема при викладанні курсів: „Основи менеджменту, маркетингу та підприємництва”, „Організація виробництва у галузі зв’язку” та „Організація операційних процесів у галузі електрозв’язку”.
Особистий внесок здобувача. Дисертаційна робота є самостійною завершеною роботою. Наукові висновки та результати, що виносяться на захист, одержані автором самостійно. Особистий внесок у працях, опублікованих у співавторстві, наведено у списку робіт.
Апробація результатів дисертації. Основні результати досліджень доповідались і обговорювались на: VIII Міжнародній науково-практичній конференції „Системи та засоби передачі та обробки інформації” (Одеса, 2004 р.); ІХ Міжнародній науково-практичній конференції „Системи та засоби передачі та обробки інформації” (Черкаси, 2005 р.); ХI Міжнародній науково-практичній конференції „Інформаційні технології в економіці, менеджменті і бізнесі. Проблеми науки, практики і освіти” (Київ, 2005 р.); 10-му ювілейному міжнародному молодіжному форумі „Радіоелектроніка і молодь в ХХІ ст.” (Харків, 2006 р.); ІІІ Міжнародній науково-технічній конференції студентства та молоді „Світ інформації та телекомунікацій – 2006” (Київ, 2006 р.); Міжнародній науково-практичній конференції „Міжнародні тенденції розвитку бухгалтерського обліку і аудиту та перспективи для України” (Київ, 2006 р.); Міжнародній науково-практичній конференції „Україна у системі сучасних цивілізацій: трансформації держави та гражданського суспільства” (Одеса, 2006 р.); Az?rbaycan Respublikasinin R?hb?rliyin? g?lm?sinin 37-ci il dцnьmьn? h?sr olunmuє Beyn?lxalq elmi-praktik konfrans (Ming?зevir, 2006); Міжнародній науково-практичній конференції студентів і молодих вчених „Соціально-економічні напрямки розвитку регіонів в контексті сучасних процесів міжнародної інтеграції” (Херсон, 2006 р.), акт апробації від 19.09.06 р.; Міжнародній науково-практичній конференції „Інноваційні технології в науці, підготовці та перепідготовці фахівців” (Одеса, 2007 р.), акт апробації № 008/2 від 18.05.07 р.; Міжнародній науково-технічній конференції присвяченій 50-річчю телебачення і 80-річчю радіо в Азербайджані „Проблеми сучасної радіотехніки, телебачення і зв’язку” (Баку, 2007 г.); наукових і методичних семінарах кафедри менеджменту та маркетингу Одеської національної академії зв’язку ім. О.С. Попова (2004-2007 рр.).
Публікації. За темою дисертації опубліковано 21 наукову роботу, загальним обсягом 35,43 д.а. (особисто автору належить 10,31 д.а.), з яких 6 статей у фахових наукових виданнях, що входять до переліку ВАК України, 2 статті у журналах, 11 публікацій у матеріалах і тезах конференцій та 2 навчальних посібники.
Структура та обсяг дисертації. Дисертація складається зі вступу, трьох розділів, висновків, списку використаних джерел, 3 додатків. Повний обсяг дисертації – 238 с., із них 193 с. основного тексту, додатків – 22 с., список використаних джерел включає 191 найменування і викладений на 18 с. Робота містить 11 таблиць й 16 рисунків. Таблиці і рисунки, що займають повністю сторінку, викладені на 5 с.
ОСНОВНИЙ ЗМІСТ РОБОТИ
У вступі обґрунтовано актуальність теми дослідження і необхідність розробки наукового завдання, визначено мету, завдання та методологію дослідження, наведено дані про отримані результати та рівень їх наукової новизни, апробацію та практичну цінність роботи.
У першому розділі „Теоретичні та методичні засади формування інформаційної безпеки в умовах впровадження новітніх управлінських технологій” викладені сучасні погляди на поняття „інформація”, окреслено сутність конвергенції інформаційних та телекомунікаційних технологій, викладені методичні засади формування інформаційної безпеки телекомунікаційних мереж загального користування.
В ході дослідження проаналізовано розвиток теорії інформації; розглянуто сучасні погляди щодо визначення сутності поняття „інформація” на міждисциплінарному рівні: соціальному (побутовому), філософському, кібернетичному (де виникли сучасні підходи до інформації), загальнонауковому (фізичному, синергетичному), на рівні прикладних наук за галузями – науково-природними, науково-технічними (зокрема, у галузі телекомунікацій) та на економічному рівні; уточнено поняття „інформація” з точки зору інформаційної безпеки.
Автор у ході дослідження розглядає інформаційну безпеку як складову глобальної безпеки (у широкому розумінні) поряд з економічною, військовою, політичною та соціальною безпекою, та на рівні підприємства (у вузькому розумінні) як одну зі складових економічної безпеки. У роботі розкривається сутність категорії „глобальна безпека”, досліджується вплив глобальних процесів на інформаційну безпеку та її взаємозв’язок з економічною, національною та глобальною безпекою в умовах побудови інформаційного суспільства – нового ступеня розвитку людства.
На основі систематизації, автором дані наступні визначення, зокрема: інформаційна безпека держави – це складова національної безпеки, що характеризує стан захищеності національних інтересів в інформаційній сфері від зовнішніх та внутрішніх загроз; інформаційна безпека підприємства – це стан захищеності інформації підприємства від дестабілізуючого впливу зовнішніх та внутрішніх загроз; захист інформації – це діяльність, яка спрямована на забезпечення конфіденційності, цілісності та доступності інформації в процесі одержання, зберігання, оброблення і поширення за допомогою організаційних, правових, технічних та економічних засобів. За допомогою порівняльного аналізу у роботі розмежовано поняття „захист інформації” та „інформаційна безпека”.
На підставі систематизації існуючих наукових досліджень складовими забезпечення інформаційної безпеки визначені наступні (рис. 1): технічна, правова, організаційна, економічна та соціальна.
Правові та технічні складові інформаційної безпеки розглядаються і вирішуються системою технічної експлуатації, системою управління електрозв’язком, системою
Рис. 1. Складові забезпечення інформаційної безпеки
управління якістю та менеджментом телекомунікацій, достатньо розкрита й соціальна складова, в той час як організаційно-економічним складовим не приділялось значної уваги, хоча адекватний рівень інформаційної безпеки може бути забезпечений лише на основі комплексного підходу, що передбачає планомірне використання правових, технічних, соціальних, організаційних та економічних заходів захисту інформації. Тому автор приділяє особливу увагу організаційно-економічним складовим телекомунікаційних мереж загального користування.
Проаналізовані існуючі підходи до визначення цінності інформації. На базі теоретико-інформаційних підходів систематизовані рівні абстрагування інформації та обґрунтовані пріоритетні завдання, які спрямовані на збереження та захист інформації телекомунікаційних мереж загального користування. Грунтуючись на проведеному аналізі, автором запропоновано багатокритеріальну оцінку цінності з урахуванням властивостей інформації з позицій інформаційної безпеки та наведені моделі цінності інформації залежно від показників її обсягу, часу, конфіденційності, цілісності та доступності.
Залежність цінності інформації від її обсягу. Цінність інформації залежить від її обсягу (кількості). Інформація має тенденцію до збільшення конфіденційності, а значить і цінності зі зростанням її кількості. Приміром технологічна інформація в базі даних автоматичної телефонної станції (АТС) має певну цінність. Та ж сама інформація в базі даних міської цифрової мережі, будучи семантично зв’язаною з інформацією щодо інших АТС, має більшу питому цінність.
Залежність цінності інформації від часу. Дані залежності описують процеси старіння інформації, зокрема, під час передавання повідомлень. Процес старіння полягає у тому, що цінність інформації, якщо її виражати в економічних показниках або в показниках ефективності з часом, як правило, зменшується. Наступає момент, коли дане повідомлення вже не може бути використане для управління чи виробництва. Відповідно до своєї цінності, інформація і вихідні дані системи, що підтримують цю інформацію, можуть отримувати певний рівень цінності чи секретності, у відповідності з якою забезпечується певний рівень захищеності. На практиці інформація старіє і має певний період Т життєвого циклу (рис. 2, а), після якого вона має бути утилізована тим чи іншим способом. Більшість процесів старіння можна описати експоненційною функцією (рис. 2, б)
z(t) = 1 – e-Vt, (1)
де z(t) – функція старіння інформації в залежності від часу; V – інтенсивність старіння, яка зв’язана з середнім часом старіння співвідношенням T = 1/V; t – час.
Життєвий цикл будь-якої інформації має особливість: по закінченню життєвого циклу цінність інформації може змінювати знак і її подальше застосування призведе до негативних результатів (рис. 2, в).
Цінність певних видів інформації може з часом збільшуватись. Це стосується перш за все науково-технічної інформації незалежно від того, чи є наукові уявлення вірними. Так зване „моральне старіння” у даному випадку є процесом порівняльного аналізу науково-технічної інформації та застосування на практиці нових знань, а не знецінення попередніх, оскільки часто на їх основі виникають нові знання. З моменту виникнення науково-технічної інформації її цінність збільшується (рис. 2, г) в міру збільшення числа фахівців, які з нею ознайомились, підтвердили її вірність або застосували на практиці. Початкова цінність може виникати, коли приймається рішення щодо досліджень чи публікації результатів.
Рис. 2. Динаміка старіння інформації
Залежність цінності інформації від показників конфіденційності, доступності та цілісності. Як вже зазначалось, показники захищеності не є атрибутивними властивостями інформації. Показники конфіденційності, цілісності, доступності призначаються власником інформації у вигляді відповідних грифів, позначок тощо. Для забезпечення призначеного рівня захищеності інформаційних ресурсів комплексна система захисту інформації (КСЗІ) має реалізовувати відповідні профілі захищеності та підтримувати призначені рівні секретності. На цьому етапі має значення відповідність призначеного рівня захищеності інформації та рівня цінності інформації. В одних випадках цінність інформації вище, якщо вона конфіденційна, в інших навпаки – за результатами застосування інформація більш цінна, коли вона більш відкрита і доступна. Коли рівень захищеності інформації завищено порівняно з її цінністю, виникають втрати у вигляді нераціонального збільшення витрат на її захист. Коли рівень захищеності занижений, можуть виникати втрати внаслідок витоку інформації або несанкціонованого доступу.
У процесі життєвого циклу захищеність інформації може змінюватись за часом, за виконаними операціями, за способом зберігання, за функціонуванням КСЗІ, за цільовим призначенням інформації. Часто інформація перестає бути конфіденційною через деякий проміжок часу, наприклад, коли вона стає загальнодоступною (рис. 2, в). Важливо, щоб весь час дотримувалось оптимальне співвідношення між рівнем захищеності, що забезпечується КСЗІ, і рівнем цінності інформації. В зв’язку з цим доцільно увести показники конфіденційності k, які приймають значення між +1 та –1. Позитивна конфіденційність уводиться як міра необхідної закритості інформації, а негативна – як міра доцільної відкритості інформації. Цінність інформації залежить від її доступності. Доступність, у свою чергу, залежить від співвідношення швидкості передавання інформації і пропускної здатності телекомунікаційної системи, тобто від апаратної й алгоритмічної достатності телекомунікаційної системи. Цінність інформації залежить також від її цілісності. Тобто у своїй сукупності уся інформація цінніша, ніж окремі її частини.
Отже, проведений аналіз показав, що однією з проблемних задач побудови комплексної системи захисту інформації є знаходження можливих втрат від реалізації множини загроз. Визначення цінності інформації є критичним етапом у прийнятті рішень щодо управління обробленням інформації та її захисту.
У другому розділі „Організаційні складові інформаційної безпеки телекомунікаційних мереж загального користування” дисертантом на основі системного аналізу визначено організаційні складові інформаційної безпеки телекомунікаційних мереж загального користування.
У дисертації розглянуто особливості побудови архітектури управління телекомунікаційними мережами з урахуванням складових системи інформаційної безпеки, які визначено у рекомендаціях ITU-805 (рис. 3). Архітектура інформаційної безпеки у телекомунікаційних мережах загального користування є концепцією захисту мережі механізмами захисту в кожній площині інформаційної безпеки з кожним рівнем забезпечення інформаційної безпеки, щоб протидіяти певним загрозам безпеки Така побудова архітектури спрямована на зменшення уразливостей, що існують на кожному рівні та площині і, таким чином, послаблюють атаки на безпеку.
До організаційно-правової складової регламентування управлінської діяльності інформаційної безпеки відносяться: закони України, державні стандарти, нормативні документи, постанови, методики та інструкції, які регулюють та контролюють забезпечення інформаційної безпеки країни. У дисертації, на основі аналізу організаційно-правової складової визначені невирішені задачі щодо забезпечення інформаційної безпеки телекомунікаційних мереж загального користування.
Рис. 3. Архітектура інформаційної безпеки телекомунікаційної мережі
З цього аналізу випливає, що прийнята та діюча в Україні Концепція технічного захисту інформації, відноситься та охоплює тільки питання правового, організаційного та технічного захисту інформації, не враховуючи усі аспекти інформаційної безпеки телекомунікаційних мереж, тому вона потребує перегляду. Єдина концепція системи інформаційної безпеки у багатьох галузях, наприклад у галузі телекомунікацій, поки що відсутня. На нашу думку, розроблені у роботі принципи та засади стосовно організації інформаційної безпеки телекомунікаційних мереж загального користування містять основні напрями політики і концепції інформаційної безпеки, а саме визначені та обґрунтовані: загальні вимоги з забезпечення інформаційної безпеки; мережно-орієнтована модель та цілі інформаційної безпеки; основні напрями робіт з забезпечення інформаційної безпеки; правові засади забезпечення інформаційної безпеки; умови взаємодії з органами влади при забезпеченні інформаційної безпеки; загрози інформаційної безпеки; характеристики порушників інформаційної безпеки; політика інформаційної безпеки в умовах надзвичайних ситуацій, надзвичайного та воєнного стану; політика захисту інтересів користувачів телекомунікаційних мереж.
Автором розкрито та доповнено організаційно-правові умови регламентування управлінської діяльності інформаційної безпеки та система управління персоналом, яка створена відповідно до вимог інформаційної безпеки. На підставі проведеного дослідження дисертант дійшов висновку, що управління персоналом у системі інформаційної безпеки має свої особливості і відмінності та відрізняється від управління персоналом у виробничо-господарській діяльності. Необхідність управління персоналом тісно зв’язана з захистом комерційної таємниці підприємства, тому що персонал є одним з основних носіїв інформації. Найнепередбачені загрози виникають унаслідок навмисної, особливо зловмисної антропогенної діяльності, тому саме захист від таких загроз найбільш складний процес, що потребує особливої уваги. На основі узагальнення вітчизняних та зарубіжних теоретичних та методологічних досліджень в галузі інформаційної безпеки, автором розроблені та подані організаційні рекомендації щодо удосконалення управління персоналом у системі інформаційної безпеки. В дисертації зосереджено увагу на взаємозв’язку працівника і підприємства, запропоновано впровадження кадрового консалтингу в управлінні персоналом у системі інформаційної безпеки. Автор переконаний, що забезпечити захист інформації неможливо без надійного, високопрофесійного, відданого своїй організації персоналу.
У третьому розділі „Економічна оцінка ефективності системи забезпечення інформаційної безпеки телекомунікаційних мереж загального користування” визначені критерії оцінки показників якості варіантів архітектури інформаційної безпеки, на прикладі цифрової АТС здійснено функціонально-вартісний аналіз системи забезпечення інформаційної безпеки і з методичних позицій обґрунтовано та здійснено оцінку витрат на її створення і впровадження.
При застосуванні функціонально-вартісного аналізу (ФВА) для інформаційної безпеки необхідно проведення низки змін в задачах класичного ФВА. Аналіз інформаційної безпеки має суттєві особливості, тому використання класичного ФВА неможливо, потрібно уточнення задач ФВА для такої системи, як інформаційна безпека. Автором доведено, що у системі інформаційної безпеки крім методів підвищення техніко-економічної ефективності й оцінки захищеності та гарантій необхідно ще використовувати метод оцінки живучості та надійності, а також крім удосконалення менеджменту, експертних оцінок, атестації та експертизи необхідно ще використовувати статистичні оцінки. За результатами ФВА обрано функціонально повний набір механізмів захисту інформації необхідних та достатніх для забезпечення заданого рівня захищеності на прикладі цифрової АТС.
В ході дослідження автором визначено, що економічна складова системи забезпечення інформаційної безпеки складається з таких частин: оцінки витрат на інформаційну безпеку, оцінки втрат від можливих перешкод і зловживань, оцінки можливих ризиків та оцінки цінності інформації.
Автор вважає, що система інформаційної безпеки може бути ефективною, якщо витрати на її створення та управління будуть принаймні менші за втрати внаслідок знищення, перекручення, блокування інформації, її несанкціонованого витоку або від порушення установленого порядку маршрутизації інформації. У той самий час, неможливо створити абсолютно надійну систему безпеки, здебільшого, через те, що постійно розробляються нові види загроз, яким система не зможе протидіяти, а також через те, що ефективність системи захисту залежить від обслуговуючого персоналу, а людині властиво помилятися. Вартість подолання захисту повинна бути більше вигоди, що досягається при її зломі. У будь-якому випадку вартість засобів забезпечення безпеки має відповідати ризику і прибутку в середовищі, що оточує даний суб’єкт. З економічної точки зору, вкладення коштів у систему безпеки мають показати прибуток чи скорочення можливих витрат від реалізації загроз, що мали місце. Політика забезпечення інформаційної безпеки має визначати пріоритети інвестицій у напрямку найбільшої уразливості.
Дисертантом вперше здійснено оцінку витрат на створення та впровадження системи забезпечення інформаційної безпеки на прикладі цифрової АТС, в основі якої лежить визначення рівня ефективності витрат на стадіях життєвого циклу (проектування, створення, випробування та впровадження) системи інформаційної безпеки.
Основними показниками, які акумулюють вигоди від впровадження системи інформаційної безпеки, є: чистий дисконтований доход, що поданий, як відвернуті втрати від реалізації загроз інформаційній безпеці; період окупності інвестицій у реалізацію системи інформаційної безпеки; внутрішня норма доходності.
В основу оцінки витрат на створення і впровадження системи забезпечення інформаційної безпеки покладено розрахунок техніко-економічної ефективності впровадження системи забезпечення інформаційної безпеки в АТС, в якому фінансова вигода забезпечується щорічною економією, що отримана завдяки впровадження системи забезпечення інформаційної безпеки:
Aщек=Aвтр E – Aвит, | (2)
де Aщек – величина щорічної економії; Aвтр – показник очікуваних втрат;
E – коефіцієнт ефективності системи захисту (його можна назвати коефіцієнтом психологічної ефективності системи захисту), E = 0,85; Aвит – щорічні витрати на інформаційну безпеку.
Розрахунок оцінки витрат на створення і впровадження системи забезпечення інформаційної безпеки на прикладі цифрової АТС подано в табл. 1.
Таблиця 1
Розрахунок оцінки витрат на створення і впровадження системи забезпечення інформаційної безпеки на прикладі цифрової АТС
№
п.п |
Показники | Початкові витрати,
грн. | Роки
1 | 2 | 3 | Всього,
грн.
1 | Витрати на впровадження, Свпр | 150 000 | 3 500 | 45 000 | 45 000 | 243 500
2 | Накопичені витрати проекту впровадження, Снак | 150 000 | 153 500 | 198 500 | 243 500 | -
Закінч. табл. 1
3 | Накопичений чистий грошовий потік (NPV) витрат на проект впровадження, NPVв | 22 500 | - | - | - | -
4 | Поточний показник ТСО, ТСОп | - | 8 794,58 | 8 794,58 | 8 794,58 | 26 383,74
5 | Цільовий показник ТСО, ТСОц | - | 6 621,64 | 6 621,64 | 6 621,64 | 19 864,92
6 | Фактичний показник ТСО, ТСОф | - | 8 359,99 | 7 273,52 | 6 621,64 | 22255,15
7 | Вигоди при оптимізації показника ТСО, В | 0 | 434,59 | 1521,06 | 2172,94 | 4128,59
8 | Показник очікуваних втрат Автр | 0 | 462 715 | 462 715 | 462 715 | 1 145
9 | Ефективність системи корпоративного захисту, Е | - | 85% | 85% | 85% | -
10 | Величина щорічної економії, Ащек | 0 | 384 ,76 | 386 ,23 | 386 ,11 | 1 ,1
11 | Показник вигод при оптимізації показника ТСО та щорічної економії, Втсо | 0 | 385 , 35 | 387 555,29 | 388 ,05 | 1 ,69
12 | Накопичений показник вигод при оптимізації показника ТСО та щорічної економії, Внак | 0 | 385 , 35 | 772 ,64 | 1 161 ,69 | -
13 | Грошовий потік, CF | - 150 000 | 381 ,35 | 342 ,29 | 343 ,05 | 918 ,69
14 | Накопичений грошовий потік, CFнак | - 150 000 | 231 ,35 | 574 ,63 | 918 ,69 | -
15 | Накопичений чистий грошовий потік (NPV) доходів впровадження NPVд | - 37 500 | - | - | - | -
16 | Внутрішня норма прибутковості, IRR | 18,5% | - | - | - | -
За результатами оцінки витрат на створення і впровадження системи забезпечення інформаційної безпеки на прикладі цифрової АТС можна здійснювати вибір варіантів побудови системи інформаційної безпеки АТС і прогнозів ефективності від їх реалізації; планування та раціональний розподіл ресурсів за етапами життєвого циклу системи інформаційної безпеки АТС при визначенні впливу економічної ефективності системи інформаційної безпеки АТС на економіку підприємства. Запропонована оцінка витрат на створення і впровадження системи забезпечення інформаційної безпеки призначена для працівників підрозділів технічного захисту інформації (ТЗІ) та економістів.
ВИСНОВКИ
У дисертаційній роботі проведено теоретичне узагальнення і нове вирішення наукової задачі, що дає можливість сформулювати принципові положення, висновки і рекомендації (теоретичної і практичної спрямованості) щодо організаційно-економічних складових інформаційної безпеки телекомунікаційних мереж загального користування. Проведені у дисертації всебічні дослідження дають можливість автору дійти наступних висновків:
1. Визначено складові інформаційної безпеки телекомунікаційних мереж загального користування, а саме: технічна, правова, організаційна, економічна та соціальна. установлено зв’язок між процесами конвергенції інформаційних та телекомунікаційних мереж відповідно до сучасних тенденцій впровадження новітніх управлінських технологій з урахуванням інформаційної безпеки. Автором проаналізовано розвиток теорії інформації, сучасні погляди щодо визначення та сутності поняття „інформація” на міждисциплінарному рівні. Досліджено структуру і розподіл „інформації” на різних рівнях абстрагування та процеси конвергенції на сучасних рівнях управління, а саме глобальному, національному, промисловості і виробництва, а також суспільства й особистості. Удосконалено понятійний і термінологічний апарат, який використовується для дослідження складових інформаційної безпеки телекомунікаційних мереж загального користування, зокрема: уточнено поняття „інформація”, „глобальна безпека”, „інформаційна безпека”.
2. Визначено, що обґрунтованість вибору пріоритетних завдань щодо збереження та захисту інформації телекомунікаційних мереж загального користування залежить від оцінки її цінності. У зв’язку з цим, узагальнено існуючі підходи до визначення цінності інформації, а також визначено вплив останніх досягнень інформаційних технологій на вирішення проблем інформаційної безпеки. Отримані результати інтерпретовані для систем, де важливою є інформаційна безпека. Запропоновано багатокритеріальну оцінку цінності з урахуванням властивостей інформації з позицій інформаційної безпеки. Доповнюючи існуючі експоненційні моделі цінності інформації, автором запропоновано моделі цінності інформації, залежно від показників її обсягу, часу, конфіденційності, цілісності та доступності.
3. Визначено особливості побудови архітектури телекомунікаційних мереж з урахуванням організаційно-економічних складових інформаційної безпеки. Здійснено розподіл послуг безпеки за рівнями моделі архітектури взаємодії відкритих систем. Результати аналізу розподілу механізмів інформаційної безпеки можуть бути використані при проектуванні системи захисту інформаційної безпеки телекомунікаційних мереж загального користування та організації її технічної експлуатації. Удосконалено організаційно-економічні складові інформаційної безпеки шляхом систематизації умов і факторів їхнього формування та обґрунтування складу економічної складової інформаційної безпеки.
4. Обґрунтовано умови регламентування управлінської діяльності інформаційної безпеки та діяльності персоналу відповідно до вимог інформаційної безпеки. На підставі проведеного дослідження дисертантом доведено, що управління персоналом у системі інформаційної безпеки має свої особливості і відмінності та відрізняється від управління персоналом у виробничо-господарській діяльності. На основі узагальнення вітчизняних та зарубіжних теоретичних та методологічних досліджень у галузі інформаційної безпеки, автором розроблено та подано організаційні рекомендації щодо удосконалення управління персоналом у системі інформаційної безпеки. Автор особливо зауважує, що українські підприємства всезростаючою мірою повинні змінювати своє ставлення до „людського фактора” і впроваджувати сучасні методи роботи з персоналом.
5. Визначено та обґрунтовано засади стосовно організації інформаційної безпеки телекомунікаційних мереж загального користування. В роботі установлено, що в Україні прийнята та діє Концепція технічного захисту інформації, але ця концепція відноситься та охоплює тільки питання правового, організаційного та технічного захисту інформації, не враховуючи усі аспекти інформаційної безпеки телекомунікаційних мереж, тому вона потребує перегляду. Єдина концепція системи інформаційної безпеки у багатьох галузях, наприклад у галузі телекомунікацій, поки що відсутня. На переконання автора, розроблені принципи та засади містять основні напрями забезпечення безпеки інформаційної сфери телекомунікаційних мереж загального користування та є основою політики і концепції інформаційної безпеки інформаційно-телекомунікаційних мереж.
6. На прикладі цифрової АТС здійснено функціонально-вартісний аналіз системи забезпечення інформаційної безпеки і з методичних позицій обґрунтовано та здійснено оцінку витрат на її створення і впровадження. На основі розкриття доцільності використання функціонально-вартісного аналізу обґрунтовано ефективність його застосування щодо забезпечення інформаційної безпеки. Також установлено, що на практиці багато рішень стосовно захисту інформації часто приймаються на інтуїтивно-понятійному рівні, без будь-яких економічних розрахунків і обґрунтувань тоді, коли сучасні вимоги бізнесу в частині організації режиму інформаційної безпеки підприємства диктують нагальну потребу у використанні більш обґрунтованих техніко-економічних методів і засобів, що дозволяють кількісно вимірювати рівень захищеності підприємства, а також оцінювати економічну ефективність витрат на інформаційну безпеку. З цих міркувань здійснено оцінку витрат на створення і впровадження системи забезпечення інформаційної безпеки на прикладі цифрової АТС, в основі якої лежить визначення рівня ефективності витрат за стадіями життєвого циклу (проектування, створення, випробування та впровадження) системи інформаційної безпеки. Результати оцінки витрат сприяють вибору та розробці варіантів побудови системи інформаційної безпеки АТС і прогнозів ефективності від їх реалізації. Це також стосується планування та раціонального розподілу ресурсів за етапами життєвого циклу системи інформаційної безпеки АТС при визначенні впливу економічної ефективності на економіку підприємства.
СПИСОК ОПУБЛІКОВАНИХ ПРАЦЬ ЗА ТЕМОЮ ДИСЕРТАЦІЇ
Статті у наукових фахових виданнях
1. Тардаскіна Т.М. Управління персоналом системи інформаційної безпеки // Економіка: проблеми теорії та практики: Зб. наук. праць. – Дніпропетровськ, 2005. – Т. І, вип. 208. – С. 290-294. – 0,27 д.а.
2. Редькін О.С., Тардаскіна Т.М. Функціонально-вартісний аналіз системи інформаційної безпеки АТС // Економічний вісник Національного гірничого університету. – 2005. – № 4 (12). – C. 47-53. – 0,6 д.а. (Особистий внесок здобувача: здійснено функціонально-вартісний аналіз системи забезпечення інформаційної безпеки на прикладі цифрової АТС та з методичних позицій обґрунтовано доцільність витрат на її створення і впровадження. – 0,3 д.а.).
3. Тардаскіна Т.М. Оцінка витрат на систему інформаційної безпеки телекомунікаційних мереж // Економіка і управління. – 2006. – № 4. – C. 73-78. – 0,25 д.а.
4. Тардаскіна Т.М. Суть інформації та її роль в економіці та менеджменті // Вісник Хмельницького національного університету. – 2006. – Т.1, № 6. – С. . – 0,65 д.а.
5. Редькін О.С., Тардаскіна Т.М. Вплив глобальних процесів на інформаційну безпеку // Вісник соціально-економічних досліджень: Зб. наук. праць. – Одеса, 2006. – Вип. 22. – С. 307-311. – 0,4 д.а. (Особистий внесок здобувача: проаналізовано вплив глобальних процесів на інформаційну безпеку та її взаємозв’язок з економічною, національною та глобальною безпекою в умовах побудови інформаційного суспільства – нового ступеня розвитку людства. – 0,2 д.а.).
6. Редькін О.С., Тардаскіна Т.М. Кадрова політика системи інформаційної безпеки // Маркетинг: теорія і практика: Зб. наук. праць. – Луганськ, 2006. – № . – C. 199-205. – 0,42 д.а. (Особистий внесок здобувача: обґрунтовано роль та місце менеджменту персоналу в забезпеченні інформаційної безпеки та визначені умови регламентування діяльності персоналу відповідно до вимог інформаційної безпеки. – 0,22 д.а.).
Статті у журналах
7. Пунченко О.П., Тардаскіна Т.М. Стратегія побудови та розвитку інформаційного суспільства // Науковий журнал „Перспективи”. – 2005. – № 2 (30). – С. 8-18. – 1,05 д.а. (Особистий внесок здобувача: досліджено процеси конвергенції інформаційних та телекомунікаційних технологій на сучасних рівнях управління, а саме глобальному, національному, промисловості і виробництва, а також суспільства й особи. – 0,5 д.а.)
8. Тардаскін М.Ф., Кононович В.Г., Тардаскіна Т.М. Основи концепції системи інформаційної безпеки телекомунікаційних мереж загального користування // Зв’язок. – 2006. – № 3. – С. 15-22. – 1,25 д.а. (Особистий внесок здобувача: визначено та запропоновано принципи та засади щодо функціонування системи інформаційної безпеки телекомунікаційних мереж загального користування. – 0,4 д.а.)
Публікації у матеріалах і тезах конференцій
9. Кононович В.Г., Тардаскіна Т.М. Цінність інформації з точок зору інформаційної безпеки // Системы и средства передачи и обработки информации: Труды VIII Международной научно-практической конференции. Одесса, 7-12 сентября 2004 г. – Одесса, 2004. – С. 70-72. – 0,25 д.а. (Особистий внесок здобувача: на основі оцінки цінності інформації обґрунтовано пріоритетні завдання, які спрямовані на збереження та захист інформації телекомунікаційних мереж загального користування – 0,15 д.а.).
10. Тардаскіна Т.М. Роль управління персоналом в системі інформаційної безпеки // Системи і засоби передачі і обробки інформації: Праці ІХ Міжнародної науково-практичної конференції. Черкаси, 5-10 вересня 2005 р. – Черкаси, 2005. – С. 230-232. – 0,15 д.а.
11. Тардаскіна Т.М. Підходи до оцінки витрат на підтримку та створення системи інформаційної безпеки // Інформаційні технології в економіці, менеджменті і бізнесі. Проблеми науки, практики і освіти: Матеріали ХI Міжнародної науково-практичної конференції. Київ, 24-25 листопада 2005 р. – Київ, 2006. – Т. 3.– С. 286-288. – 0,15 д.а.
12. Тардаскіна Т.М. Тенденції становлення інформаційної економіки // Радиоэлектроника и молодежь в XXI веке: Сб. материалов 10-го Международного молодежного форума. Харьков, 10-12 апреля 2006 г. – Харьков, 2006. – С. 660. – 0,06 д.а.
13. Тардаскіна Т.М. Нові підходи до інформаційної безпеки телекомунікаційних мереж // Світ інформації та телекомунікацій-2006: Матеріали ІІІ
