- •Введение
- •Глава 1. Управление информационной безопасностью экологически опаных и экономически важных объектов на основе инноваций
- •1.1. Краткая историческая справка: предпрогнозные исследования
- •1.2. Оценка состояния вопроса
- •1.3. Информационное обеспечение устойчивости развития объектов
- •Информационная безопасность устойчивости развития
- •Глава 2. Анализ причин противоречивости и несовершенства правового регулирования общественных отношений в информационной сфере
- •2.1. Состояние вопроса по проблеме экологической безопасности
- •Соотношение «выброс/поглощение со2» по странам и
- •Динамика валовых выбросов
- •Динамика валовых выбросов твердых, жидких и газообразных веществ по городу (тыс. Тонн/год)
- •2.2. Рекомендации по путям решения проблемы глобальной оптимизации
- •3.2. Состояние вопроса по проблеме информационного обеспечения устойчивого развития объекта защиты
- •3.3. Метод введения меры информации
- •Сущность методов аналогий, ассоциаций и Асимптотического приближения
- •Ассоциации меры информации с реально складывающейся
- •3.4. Синтаксическое и семантическое моделирование защиты объекта от угроз, теоретические методы
- •Основания для построения классификатора возможных
- •3.5. Основы научно-методического обеспечения исследований по проблеме
- •Глава 4. Теоретические методы математического моделирования взаимосвязанного развития внешней и внутренней среды объекта
- •4.1. Состояние вопроса и постановка задачи
- •4.2. Разработка системы координат и измерительных шкал
- •4.3. Логико-математическое моделирование взаимосвязанного развития внешней и внутренней среды объекта: статика
- •4.4. Логико-математическая модель взаимосвязанного развития внешней и внутренней среды объекта: динамика
- •Глава 5. Эвентологические методы нейро-нечёткого моделирования информационной безопасности объекта
- •5.1. Общие положения
- •5.2. Основы научно-методического обеспечения эвентологических исследований по проблеме
- •Взаимосвязи законов и закономерностей развития внешней
- •5.3. Единая шкала оценки устойчивости развития объекта
- •Заключение
- •Нормативно-правовые документы
- •Библиография
- •Условные обозначения
- •Оглавление
- •394006 Воронеж, ул. 20-лдетия Октября, 84
Информационная безопасность устойчивости развития
объектов (по результатам оценки состояние вопроса)
Оценка состояния вопроса по проблеме обеспечения ИБ экологически опасных и экономически важных производств в свете требований действующих нормативно-правовых документов [ 71,72,73] показала следующее.
Помимо отмеченных в [9] недостатков по проблеме (противоречивость и несовершенство документов; отставание отечественного образования, науки, техники и технологий информатизации) вызывает тревогу отсутствие Политики ИБ компаний. В документе [2] внимание акцентируется на следующих обстоятельствах.
1. «Несмотря на усилившееся внимание к данному вопросу, большинство руководителей организаций по-прежнему имеют не совсем четкое представление о том, что же такое политика ИБ, из чего она состоит и для чего предназначена». Тому способствует «отсутствие до последнего времени (в России и за рубежом) специализированных стандартов и методических рекомендаций по составу и структуре документов, составляющих политику ИБ. Это создало огромное поле для творчества специалистов, занимающихся разработкой документов, в результате чего стали появляться комбинированные документы (инструкции), содержащие положения разного типа документов (политик, процедур, инструкций, стандартов)».
2. «Появилась необходимость уточнить определения, связанные с термином «политика», которые встречаются в международных и российских стандартах по ИБ [3-5].
«политика информационной безопасности представляет собой совокупность документов и практик, отражающих позицию и требования руководства организации и регламентирующих её деятельность по защите информации».
Согласно [2], «под совокупностью документов понимается их многоуровневая система, которая отражает содержание принятой Политики информационной безопасности компании и позволяет обеспечить более гибкий подход к содержанию каждого документа в зависимости от его назначения, аудитории, периодичности его пересмотра и изменения».
3. «Организация, в которой отсутствует такая Политика, похожа на государство, в котором есть полиция, но нет законов, а вместо них используются неформальные соглашения» [2]. Начинают появляться угрозы нарушения ИБ компании, связанные с влиянием человеческого, природного и др. факторов. Такие угрозы могут носить характер, как злонамеренных действий, так и добросовестных заблуждений, в том числе безразличное отношение к проблеме. «Пойманных нарушителей нельзя обвинить, потому что формально не определено, что можно делать, а что нельзя из-за отсутствия основного инструмента управления деятельностью граждан. Именно так все обстоит в настоящее время в большинстве организаций. Технические специалисты «пробивают» бюджеты и приобретают множество самых разнообразных защитных систем (аналог полиции), руководствуясь при этом различными соображениями, в то время как эти средства должны быть лишь технической основой для контроля и реализации требований, заложенных в политике ИБ компании. Такой подход, в конечном счете, приводит к тому, что количество и сложность систем защиты информации растут, а их эффективность остается на невысоком уровне. В результате у руководителей организаций возникает ряд вопросов, ответом на которые должны стать документы, составляющие политику ИБ организации».
Далее в [2] приводятся рекомендации по формированию четырехуровневой системы документов по Политике информационной безопасности компании (ИБК).
А. Документы 1-го уровня – это Общая политика ИБК или иначе её Концепция. Она должна включать:
• определение понятия ИБК, основных целей и области действия;
• стратегические подходы и принципы обеспечения ИБК;
• отраслевые и законодательные требования, относящиеся к компании;
• определение основных ролей и ответственности по обеспечению ИБК;
• подходы организации к проведению мероприятий по анализу и обработке рисков ИБК;
• ссылки на другие документы, содержащие более детальные разъяснения положений политики ИБ (частные политики ИБК);
• санкции в случае нарушения требований политики.
В. Документы 2-го уровня – это Частные политики ИБК и Корпоративные стандарты, которые должны отвечать требованиям Доктрины и др. нормативно-правовых документов по проблеме в заданном контексте, аспектах и условиях.
Корпоративные стандарты выдвигают требования к определенным операциям, защитным системам, принятым в компании практикам.
С. Документы 3-го уровня – это процедуры и инструкции.
Процедуры представляют собой документированное описание процесса, относящегося к той или иной области ИБК, в том числе её реагирования на инциденты. Инструкции в свою очередь дополняют процедуры детальным описанием каждого шага по выполнению той или иной задачи и могут предназначаться как техническому персоналу, так и рядовым пользователям».
D. Документы 4-го уровня – это разного рода рабочие формы, журналы, заявки, протоколы и другие формы документов, используемые в рамках выполнения тех или иных процедур и являющиеся отражением (и подтверждением) выполнения той или иной деятельности.
Разработка и внедрение документов, составляющих Политику ИБК, как и любой другой проект, имеющий общеорганизационное значение, должен быть санкционирован и поддержан руководством. Оно должно отвечать за отслеживание выполнения работ, выделение необходимых ресурсов (людских, денежных и пр.), а также за утверждение разработанных документов.
Непосредственно самой разработкой, как правило, занимается либо специально созданная для этой цели группа внутри организации, либо приглашенная консалтинговая организация. И у того, и у другого подхода есть свои достоинства и недостатки.
Например. Команда, созданная из собственных сотрудников, обладает более четким пониманием бизнеса, принципов ведения работы и внутренней культуры, чем любой внешний консультант. Однако, такая группа должна включать целый ряд специалистов, таких, как аналитики ИБ, IT-инженеры, руководители среднего звена, юристы, технические писатели и др. Собрать такую команду под силу далеко не всем компаниям. Эти люди должны обладать точным пониманием того, для чего и главное как создаются документы, составляющие политику информационной безопасности, что, скорее всего, потребует проведения дополнительного обучения.
Внешней консалтинговой организации потребуется больше времени для того, чтобы вникнуть в суть бизнеса организации, ее потребности, законодательные и договорные обязательства и другие особенности, но в то же самое время у этой организации уже есть готовая команда, выполнившая ни один проект по созданию документов, а значит, работа по непосредственной разработке документов пройдет более оперативно. Очевидно, что в этом случае растут угрозы нарушения ИБК из-за влияния человеческого фактора, т.е. возможности появления злоумышленников как в консалтинговой организации, так и в самой компании из числа её сотрудников, в том числе взаимодействующих с названной организацией. Истина как всегда расположена посередине. Если разработка документов собственными силами представляется слишком трудоемкой работой, то наиболее эффективным подходом будет привлечение консалтинговой организации для первоначальной разработки документов, а уже их внедрение, обкатку и возможную доработку осуществлять собственными силами или опять же с привлечением специалистов все той же консалтинговой организации.
В результате приходим к выводу.
В интересах обеспечения требований действующих НПД по проблеме целесообразно в составе облика экологически опасных и экономически важных объектов предусмотреть систему их ИБ. Она предназначается для управления циклами ИИПЗ объекта от угроз нарушения его ИБ с негативными последствиями в интересах формирования траектории устойчивого развития объекта в реально складывающейся и прогнозируемой обстановке ХХI века [61-67].
В процессе постановки и решения такой задачи необходимо учитывать, что на современном этапе названная система сама будет подвергаться атакам с помощью информационного оружия. К последнему относятся хищения, разрушение и модификация информации, которая необходима нападающей стороне для рефлексивного управления в выгодном для неё направлении намерениями и действиями конкурирующих сторон. Такая информация содержится в системах управления объектами, циркулирует в открытых и закрытых каналах связи, а также телекоммуникационных системах.
Предпрогнозные исследования состояния вопроса по НМО ИБК показал. В свете требований действующих НПД в заданном контексте, аспектах и условиях накоплена следующая база знаний и ресурса по проблеме.
1. Стратегические направления развития теории и практики безопасного и устойчивого развития объектов как функция его информационного обеспечения при наличии угроз нарушения их ИБ в условиях информационного конфликта между договаривающимися сторонами.
Формирование такой теории и практики направлено на устранение недостатков тектоцентрической и холической парадигм в интересах достижения генеральной цели развития мирового сообщества на основе координации усилий его членов по цели, месту, времени, диапазону условий и ППС. Теория базируется на принципе максимальной приемлемости накопленной базы знаний и ресурса по проблеме, их дальнейшем совершенствовании и развитии в рассматриваемом контексте, аспектах и условиях ХХI века. Здесь основополагающими и перспективными являются работы следующих отечественных авторов:
Вернадского В.И. - основоположника теории ноосферы и ноосферогенеза;
Ерёмина А.Л. Ноогенез и теория интеллекта (Электронная гуманитарная библиотека. www.gumfak.ru);
Саркисяна С.А., Лисичкина В.А., Минаева Э.С.и др. Теория прогнозирования и принятия решений;
Бестужева-Лада И.В., Лисицына Ю.П. и др. Рабочая книга по прогнозированию;
Полякова В.В. Мировой рынок: вопросы прогнозирования;
Борисовича В.И. Прогнозирование и планирование экономики.
2. Формируются научные школы по проблеме в рассматриваемом контексте, аспектах и условиях, в том числе:
- Остапенко А.Г. и Остапенко Г.А. (докторская диссертация, ДСП, г.Воронеж, 2010 год) по специальности методы и системы защиты информации;
- Скрыля С.В. по проблеме распознавания и оценки угроз ИБ территориальным сегментам Интегрированной мультисервисной телекоммуникационной системы органов внутренних дел;
- Поповой Л.Г. по проблеме безопасного и устойчивого развития объектов защиты, их систем информационной безопасности в заданном контексте, аспектах и условиях ХХI века.
Фактически созданы основы для решения проблемы обеспечения ИБ приоритетных ОЗ в интересах решения первоочередных задач по проблеме в заданном контексте, аспектах и условиях.
Однако, до сих пор остается целый ряд специфичных интегральных и локальных проблем, а также первоочередных задач по их разрешению в реально складывающейся и прогнозируемой обстановке ХХI века. Это объясняется как недостаточной разработанностью НМО и НПО Программы исследований по проблеме. Главная причина тому – несовершенство как математического моделирования процесса взаимосвязанного развития внешней и внутренней среды рассматриваемых объектов, так и обеспечения автоматизации Программы исследований по проблеме на основе Единого алгоритма и Единой шкалы оценки состояний защищённости ОЗ от угроз нарушения его ИБ с негативными последствиями.
В свете сказанного основными стратегическими направлениями исследований по теме должны стать:
- обоснование парадигмы (концепция, принципы, методология) ИБ систем управления циклами ИИПЗ ОЗ в заданном контексте, аспектах и условиях [50,51];
- разработка системы моделей взаимосвязанного развития внешней и внутренней среды объектов, координат и измерительных шкал для оценки состояний устойчивости, как функции реально получаемой меры информации о намерениях и действиях договаривающихся сторон [49,50,51,57]. При этом необходимо учитывать влияние человеческого, природного и других факторов на реально складывающуюся и прогнозируемую Геополитическую, др. обстановку на международном, межстрановом, внутристрановом и корпоративном уровнях;
- создание и развитие основ теории глобальной оптимизации способов и средств достижения интегральной цели развития мирового сообщества в свете Повестки дня на ХХI век ООН;
- совершенствование и дальнейшее развитие накопленной базы знаний и ресурса по автоматизации процессов управления циклами ИИПЗ безопасности и устойчивости развития в реально складывающейся и прогнозируемой Геополитической, др. обстановке;
- предложения по совершенствованию НПД по проблеме в рассматриваемом контексте, аспектах и условиях в интересах создания эффективных механизмов государственного и адекватного ему корпоративного регулирования разрешения исследуемых проблем в свете требований Государственной информационной политики и Доктрины ИБ РФ.
На современном этапе всё большее распространение получают работы отечественных и зарубежных авторов по автоматизации исследований управленческих процессов в интересах обеспечения устойчивости развития ОЗ. Их внимание концентрируется на совершенствовании и дальнейшем развитии накопленной базы знаний и ресурса по обеспечению ИБ ОЗ в условиях идеологической, информационно-психологической и кибернетической войны между договаривающимися сторонами. Методология таких исследований базируется на [49,83,85,87-89]:
- моделировании и прогнозировании взаимосвязанного развития внешней и внутренней среды ОЗ, их СИБ;
- мониторинге и контроллинге состояния этих сред;
- диагностике устойчивости развития объектов, её экспертизе на соответствие требуемой;
- выявлении диспропорций между необходимым, потенциально возможным и реально достижимым состоянием устойчивости в условиях неопределённости ситуации, ограниченного ресурса и наличия угроз нарушения ИБ ОЗ, их СИБ с негативными последствиями;
- анализе степени опасности таких угроз для устойчивости развития объектов, позволяющем выявить допустимые, критические и неприемлемые последствия;
- синтезе методов и систем защиты информации, адаптивных и близких к оптимальным по ситуации и результатам в реально складывающейся и прогнозируемой Геополитической, др. обстановке ХХI века;
- управленческом консультировании ЛПР по перечисленным выше вопросам с комментариями о последствиях альтернативных вариантов управленческих решений и рекомендациями по адекватной реакции на угрозы нарушения ИБ ОЗ, их СИБ с негативными последствиями.
Возможность автоматизации решения выше перечисленных задач на основе накопленной базы знаний ресурса в этом вопросе можно установить на основе изучения результатов исследования по проблеме следующих авторов.
Фрейдина Е.В. Исследование систем управления. В ней рассматриваются: структурные модели управления, основы формализации систем управления, параметры оценки, диагностика управления организацией. Работа носит фундаментальный характер, содержит: классификатор проблем исследования, структурное и логическое моделирование систем управления, параметрическое исследование их устойчивости с учётом влияния человеческого фактора и состояния внешней среды; экспериментирование в управлении организациями (тестирование, диагностика, само исследование как объект управления, организация НИР, управление их проектами).
Бажин И.И. Информационные системы менеджмента. Автор рассматривает новые инструменты и принципы работы менеджеров, практику применения новых технологий в контексте:
-функции и алгоритмы управления, менеджмент как процесс принятия решений в информационной среде, методы решения проблем;
-математические и стохастические модели в менеджменте, анализ как этап принятия решений, стратегия и методы поиска оптимальных решений;
-компьютерные модели в оптимальном управлении, организация информационных потоков в базах данных;
Грабауров В.А. Информационные технологии для менеджеров. Автор концентрирует своё внимание на:
-поддержке принятия решений (Decosion Support System) и исполнительной информационной системе (Executive Support System), переработке руды данных (Data Mining);
-искусственном интеллекте (Artificial Intelligence), экспертных системах (Expert Systems), нейронных сетях (Neural Networks), виртуальной реальности (Virtual Reality), системе поддержки работы группы (Group Support Systems), географической информационной системе (Geographical Information Systems);
-организации, информационных системах и менеджерах (стратегическая роль и первоочередные задачи, роль информационных технологий), примерах анализа данных о рынке и о положении фирмы (статистические пакеты Statistics, Stat graphics), составлении бизнес–плана (пакет Project Expert), преобразование отсталого предприятия в передовое с помощью Case - технологий и стандартов IDEF;
-современном подходе к качеству (всеобщее управление качеством Total Quality Management, международный стандарт качества ISO 9000 и информационные системы ISO в США);
-менеджер и фирма в информационном обществе (системы поддержки индивидуальной работы и работы команд, программы Microsoft Meeting, Lotus Sametims, поиска информации в Интернете;
-менеджеры и информационные системы в принятии решений, индивидуальные и групповые модели, процесс коммуникаций и эффективность управления, психологические аспекты работы команды, обучение на основе деловых компьютерных игр (игра Дельта).
Черемных С.В - и др. Структурный анализ IDEF-технологии. Приводится сведения о семействе стандартов IDEF технологий. Они образуют совокупность моделей и методик для класса информационных систем менеджмента (MIS) организационного типа, которые поддерживаются адекватными средствами автоматизации. Стандарты применяются в CASE – средствах в интересах описания различных свойств, например автоматизации и количественного описания параметров проектов. Акцентируется внимание на:
-моделировании бизнеса по методологии SADT (в том числе для описания поведения компаний); методологии описания бизнес-процессов (требования к описанию, синтаксис и семантика описания и функционального моделирования с учётом взаимосвязей между стандартами), структурном анализе потоков данных (DFD);
-структурном анализе потоков данных (назначение, синтаксис и семантика, построение потоков данных; стоимостном анализе и имитационном моделировании;
-программном обеспечении IDEF – моделирования с помощью руководства для пользователя Platinum BP win/.
Приводятся примеры использования IDEF – технологий (налогообложение, управленческий учёт, аудиторская деятельность) и приложения: семейство стандартов IDEF, нотация моделирования, программное средство моделирования Design/IDEF, структурный и объектно-ориентированный подход, реинжиниринг.
Ползунова Н.Н., Краев В.Н. Исследование систем управления. В работе внимание сосредоточено на формировании проблемного поля организации, управленческом консультировании, диагностическом инструментарии для решения проблемных ситуаций предприятия, диагностике системы управления ассортиментом выпускаемой продукции.
Майоров С.И. Информационный бизнес: коммерческое распространение и маркетинг. В работе приводятся сведения о:
-технологии коммерческого распространения информации, международном и отечественном рынках интерактивных услуг;
-программе информационного маркетинга и его особенностях при осуществлении различными субъектами (производителями БД, интерактивными службами); взаимоотношениях между субъектами маркетинга и пользователями АБД;
-анализе продукта и рынка, формировании цен на интерактивные услуги и рекламно-пропагандистской деятельности;
-контроле за выполнением программы маркетинга (использование АБД, прибыльность, стратегический контроль).
Ефремов В.С. Стратегическое планирование в бизнес – системах. Приводится исходный код программ «Эксперт» в интересах формирования структуры пространства стратегических позиций фирмы на основе применения системы решающих функций для оценки условий бизнеса с учётом результатов аудита параметров условий бизнеса, проведенного консалтинговой фирмой.
Саркисян С.А., Лисичкин В.А., Минаев Э.С.и др. Теория прогнозирования и принятия решений. Рассмотрена возможность создания Автоматизированной системы прогнозирования развития науки, техники и технологий (АСПНТ) применительно к отрасли народного хозяйства страны в советский период. Акцент сделан на систему показателей: вероятность достижения целей как функция меры получаемой исходной информации – ценность управленческих решений по адекватной реакции на вызовы извне и изнутри (т.е. приемлемости последствий таких решений) – полезность таких решений с точки зрения возможностей достижения конечной (генеральной) цели хозяйствующего субъекта – их приоритетность с точки зрения (критерий): необходимо – потенциально возможно – реально достижимо ПРИ допустимом, критическом. неприемлемом информационном риске и его последствиях.
Кроме того, следует оценить состояние вопроса о возможностях отечественных автоматизированных изобретающих машин требуемого целевого и функционального назначения (школа Альтшулера). Сопоставить их с возможностями моделирования и проектирования с помощью CASE на основе IDEF технологий. Уточнить результаты с учётом последних достижений и наметившихся тенденций дальнейшего развития таких технологий.
Общие выводы. Накопленную базу знаний и ресурса по проблеме математического моделирования и автоматизации процесса исследований на моделях целесообразно принять за основу (аналог, прототип) для решения задач управления циклами информационной и интеллектуальной поддержки устойчивого развития ОЗ по ситуации и результатам в реально складывающейся и прогнозируемой обстановке ХХI века. Перечисленные задачи должны решаться в контексте:
Цель – ситуация – проблема – решение – побочные эффекты – меры по их предупреждению и ликвидации негативных последствий;
Действие – противодействие – ответные меры и т.д.