Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных






НазваниеVii международная научно-практическая конференция студентов, аспирантов и молодых учёных
страница7/50
Дата публикации28.03.2015
Размер3.69 Mb.
ТипДокументы
e.120-bal.ru > Информатика > Документы
1   2   3   4   5   6   7   8   9   10   ...   50

СОВРЕМЕННЫЕ ТЕНДЕНЦИИ ПРОТИВОДЕЙСТВИЯ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
БИЗНЕС-ПРОЦЕССОВ КРЕДИТНЫХ ОРГАНИЗАЦИЙ


Макеев Сергей Александрович

аспирант 2 года обучения

ФГОБУ ВПО «Финансовый университет при Правительстве РФ»

Россия, г. Москва

mak3y1984@gmail.com
Аннотация: в работе рассматриваются бизнес-процессы кредитных организаций с позиций объектов реализации угроз информационной безопасности. Проанализированы подходы к противодействию угрозам информационной безопасности бизнес-процессов кредитной организации и повышению их информационной безопасности.

Ключевые слова: бизнес-процесс, информационная безопасность, информационные операции, информационное противоборство, угрозы информационной безопасности.
Введение

Анализ достижений информатизации показывает, что информация и создаваемые на её основе ресурсы, технологии, процессы, системы стали предметом пристального внимания для субъектов экономической сферы в конкурентной среде. Кроме того, специфика информации как ресурса дает потенциальную возможность использования способов и средств специального воздействия на информацию с целью реализации угроз информационной безопасности (далее – ИБ) и получения кредитной организацией информационного превосходства в определенной среде.

В связи с этим, качественно повышается роль обеспечения информационной безопасности кредитных организаций, в частности её бизнес-процессов (далее – БП).

Целью настоящей работы – определить подходы к повышению ИБ БП кредитных организаций на основании проведенного анализа угроз ИБ БП и практики противодействия им.

1. Бизнес-процесс как объект реализации угрозы ИБ

Функционирование любой организации, в том числе и кредитной, можно представить как набор взаимосвязанных БП, протекающих внутри организации. Качество управления организацией напрямую зависит от эффективности функционирования построенной системы БП.

Стоит отметить, что существует достаточно много подходов к определению понятия «бизнес-процесс». В общем виде любой процесс можно представить как некую очередность потоков работы какого-то объекта, приводящих к достижению определенного результата. Бизнес-процесс отличается от обычного процесса тем, что БП отражает определенную деятельность, связанную с хозяйственной деятельностью организации, в результате которой она получает прибыль. В рамках данной статьи мы будем понимать под БП системно-замкнутый процесс, имеющий вход и выход и включающий в себя взаимосвязанную последовательность стадий по созданию конечного продукта (услуги), целью осуществления которой будет получение прибыли [4].

Положения Стандарта Банка России СТО БР ИББС-1.0-2014 описывают структуру типовой кредитной организации в виде иерархии следующих уровней (перечисление с самого низкого уровня до самого высокого):

  • физический уровень;

  • уровень сетевой инфраструктуры;

  • уровень сетевых сервисов и приложений;

  • уровень операционных систем;

  • уровень систем управления базами данных;

  • уровень банковских технологических процессов и приложений;

  • уровень бизнес-процессов организации.

В Стандарте также отмечается, что главной целью злоумышленника является получение контроля над информационным ресурсом именно на самом высшем уровне – уровне бизнес-процессов организации – путем реализации различных угроз ИБ.

Для дальнейшего анализа предметной области целесообразно перейти к рассмотрению БП с позиций информационного объекта определенной топологии, которая характеризуется следующими элементами: структуры, программы, ресурсы и механизмы управления [1]. Угрозам ИБ подвержен каждый из вышеперечисленных элементов топологии, однако наиболее негативными для владельца БП последствиями оборачивается реализация угроз ИБ на механизмы (контур) управления посредством проведения т.н. «информационных операций» (рис. 1). Реализация таких угроз ИБ сделает БП менее соответствующим своему предназначению.

Информационная обстановка объекта

Источник угрозы

Атака

(информационная операция)

Структура

Ресурс

Программа

Контур управления

Последствия атаки

БП
Рис. 1. Концептуальная модель атаки (информационной операции)
Традиционно при моделировании угроз ИБ информационной системы целью реализации угроз является как нарушение определенных для объекта реализации угроз характеристик безопасности (доступность, конфиденциальность, целостность), так и создание таких условий и факторов, направленных на обострение угроз для информационного объекта (негативная информационная обстановка). Однако необходимо выделить еще одно направление – конфликтное противодействие между субъектами управления в сфере взаимных интересов путем препятствования адекватному восприятию или созданию (обработке, хранению, передаче) информации, что есть не что иное, как информационное противоборство, которое включает в себя выявление угроз ИБ и проведение информационных операций для достижения определенных целей.

Под информационной операцией (далее – ИО) понимается метод реализации угроз ИБ, представляющий собой совокупность взаимосвязанных действий информационного характера, направленных на решение поставленной задачи по перепрограммированию, блокированию, генерации информационных процессов как в технической, так и в гуманитарной сферах [5]. Примерами ИО могут выступать:

  • блокирование Интернет-ресурсов кредитной организации;

  • вывод из строя объектов и инфраструктуры организации с помощью компьютерных вирусных программ и программных закладок;

  • формирование положительного/отрицательного общественного мнения;

  • создание, рекламирование, навязывание конкурентных кредитной организации Интернет-ресурсов и др.

Анализ технических средств и технологий, применяемых в ИО в информационном пространстве глобальной сети Интернет в настоящее время, выявил наличие следующих основных направлений развития и применения [5]:

  • разведка (конкурентная, (Competitive Intelligence, CI);

  • проведение ИО;

  • планирование ИО, управление процессом проведения ИО, оценка эффективности результатов ИО.

При этом стоит отметить, что объектами информационного воздействия по каждому направлению могут быть как информационно-технические объекты кредитной организации (например, сетевые ресурсы, АРМ пользователей), так и информационно-психологические объекты (лица, принимающие решения), непосредственно включенные в контур управления БП организации.

Таким образом, информационная безопасность БП рассматривается как некоторое состояние информационного объекта, которое достигается в ходе информационного противоборства. Поэтому понятие «информационная безопасность» необходимо исследовать с позиций обеспечения безопасности БП и противодействия угрозам ИБ в условиях проведения ИО в рамках информационного противоборства.

2. Практика противодействия угрозам ИБ

Обзор практики противодействия угрозам ИБ БП проводился в рамках двух направлений:

  • анализ отечественной нормативно-методической базы в области противодействия угрозам ИБ;

  • анализ международных стандартов серии ISO в области защиты информации.

Современная отечественная нормативно-методическая база в области защиты информации пополнилась документами по защите персональных данных (приказ ФСТЭК России № 21 от 18.02.2013), по защите информации в государственных информационных системах (приказ ФСТЭК России № 17 от 11.02.2013), которые устанавливают новых подход к формированию состава и содержания организационных и технических мер по обеспечению безопасности информации при её обработке в информационных системах различных типов и классов. В частности, в составе возможных мер защиты информации определена группа мер «Выявление инцидентов и реагирование на них (ИНЦ)», включающая в себя такие направления деятельности, как обнаружение, определение и регистрация инцидентов ИБ с последующим анализом, оценкой последствий, а также планированием и принятием мер по предотвращению повторного возникновения инцидентов ИБ подобных классов.

Несмотря на открывшиеся возможности по формированию гибкого набора мер защиты информации в соответствии с приказами ФСТЭК России, необходимо признать, что данный подход не решает проблемы выявления и нейтрализации негативных информационных воздействий на объекты и БП.

Международный стандарт ISO/IEC 27032:2012 Information technologySecurity techniquesGuidelines for cybersecurity определяет активы информационного («киберпространства») пространства и заинтересованных субъектов, угрозы ИБ, меры и рекомендации по обработке рисков, причем в качестве особой меры выделены руководящие указания по координации действий и обмену информацией между субъектами информационного пространства. Последнее направление представляет для нас повышенный интерес, так как оно является одной из приоритетных задач обеспечения ИБ.

Создание системы обмена информацией и координации действий обусловлено необходимостью быстрого реагирования на инциденты ИБ, которые нередко пересекают границы организаций и даже государств. Реализация такой системы обмена информацией и координации требует:

  • разработки политики безопасности;

  • разработки и внедрения соответствующих процедур и методов;

  • определения участвующих групп лиц и организаций;

  • разработки и реализации соответствующих технических решений.

Предлагается следующий алгоритм организации защищенного информационного взаимодействия между субъектами [3]:

  1. Идентификация участников информационного обмена, формальная или неформальная.

  2. Определение ролей всех субъектов информационного обмена.

  3. Выбор взаимовыгодных механизмов управления.

  4. Классификация и категорирование информации.

  5. Разработка политик безопасности.

  6. Выбор необходимых методов и процессов для каждой из категорий информации.

  7. Определение критериев эффективности, подписание соглашений о неразглашении (NDA).

  8. Выбор необходимых стандартов и технических решений.

  9. Подготовка к работе, установление контактов, обучение участников взаимодействия.

  10. Периодическое тестирование.

  11. Анализ результатов тестирования с целью оптимизации.

В целом, международный стандарт ISO/IEC 27032:2012 представляет собой набор традиционных мер организационно-технического характера, не имеющий комплексной структуры, основанной на системном подходе [3]. Вместе с тем, стандарт найдет свое применение, например, у организаций-провайдеров интернет-услуг.

Резюмируя вышесказанное, отметим, что перспективные исследования должны быть направлены на решение научной задачи по разработке модели нейтрализации негативных информационных воздействий на БП кредитных организаций. Данная модель позволит кредитным организациям повысить эффективность управления БП посредством создания и поддержания безопасной и доверенной информационной сферы организации.

Для этого первоначально необходимо провести уточнение понятийного аппарата в области ИБ и информационного противоборства, развить существующие классификации угроз ИБ с учетом специфики функционирования различных видов БП в кредитных организациях, выбрав в качестве исходного следующий набор угроз информационным объектам: угрозы программам, угрозы ресурсам, угрозы структурам, угрозы механизмам управления [1].

Заключение

Для сохранения устойчивого существования, роста и развития кредитной организации необходимо выстроить гармоничный механизм управления на основе целостного характера деятельности всех БП кредитной организации. Целостность всех БП поддерживается, в том числе и путем обеспечения их ИБ.

Таким образом, для достижения поставленной цели по повышению ИБ БП кредитных организаций необходимо решить ряд следующих задач [2]:

  • проанализировать условия и факторы, оказывающие влияние на ИБ БП кредитных организаций;

  • разработать модель нейтрализации негативных информационных воздействий на бизнес-процессы кредитных организаций;

  • провести оценку эффективности разработанной модели;

  • на основе разработанной модели получить методику нейтрализации негативных информационных воздействий для выработки стратегии поведения в целях обеспечения интересов БП кредитных организаций.

Литература

  1. Дербин Е.А. Информационная безопасность союзного государства как основа его обороноспособности в условиях непрямых действий противника. Вестник Академии военных наук №2(27). – М.: АВН, 2009. С. 18-24.

  2. Макеев С.А. Вопросы обеспечения информационной безопасности бизнес-процессов в условиях экономической конкуренции // «Безопасные информационные технологии». Сборник трудов Четвертой всероссийской научно-технической конференции / под. ред. Матвеева В.А., – М.: НИИ радиоэлектроники и лазерной техники, 2013. – с. 83-85.

  3. Марков А.С., Цирлов В.Л. Руководящие указания по кибербезопасности в контексте ISO 27032 // Вопросы кибербезопасности. 2014. № 1(2). – с. 28-35.

  4. Радченко А.В. Особенности бизнес-процессов на предприятии // Бизнес в законе. 2009. №3. URL: http://cyberleninka.ru/article/n/osobennosti-biznes-protsessov-na-predpriyatii (дата обращения: 23.11.2014).

  5. Расторгуев С.П., Литвиненко М.В. Информационные операции в сети Интернет / Под общ. ред. А.Б. Михайловского. – М.: АНО ЦСОиП, 2014. – 128 с. (– Новая стратегия, 3).



1   2   3   4   5   6   7   8   9   10   ...   50

Похожие:

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconXх І международная научно-практическая конференция для студентов,...
Хі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconXх І і международная научно-практическая конференция для студентов,...
Хіі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconXх І і международная научно-практическая конференция для студентов,...
Хіі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconXх І і международная научно-практическая конференция для студентов,...
Хіі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconРассказов Д. А. 21
Хіі международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconМосковский государственный
Международная межвузовская научно-практическая конференция студентов, магистрантов, аспирантов и молодых учёных

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных iconМосковский государственный
Международная межвузовская научно-практическая конференция студентов, магистрантов, аспирантов и молодых учёных

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных icon«психология и педагогика в современном мире: вызовы и решения» (01. 02. 2014 г.) г. Москва 2013
Международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных icon«современные концепции экономической теории и практики: новые пути исследований и развития»
Международная научно-практическая конференция для студентов, аспирантов и молодых ученых

Vii международная научно-практическая конференция студентов, аспирантов и молодых учёных icon«психология и педагогика в современном мире: вызовы и решения» (13. 12. 2013 г.) г. Москва 2013
Международная научно-практическая конференция для студентов, аспирантов и молодых ученых






При копировании материала укажите ссылку © 2016
контакты
e.120-bal.ru
..На главную