Русский | English   поискrss RSS-лента

Главная  → Материалы музея с 2013 по 2016 год  → Документы и публикации  → Материалы конференций  → Материалы Международной конференции Sorucom-2014  → История и перспективы развития системы защиты информации на предприятиях России

История и перспективы развития системы защиты информации на предприятиях России

История развития системы защиты информации на предприятиях России, в частности Республики Татарстан

Защита информации в деятельности современного предприятия – одно из основных направлений, которое требует проведения постоянного анализа качества применяемых средств и методов защиты, а также их оперативного изменения и совершенствования. Необходимость обеспечения сохранности коммерческой информации и конфиденциальных данных диктуется условиями современного рынка.

В 1960–1970 гг. в России на территории Татарии одним из ведущих учреждений, курирующих вопросы защиты информации на предприятиях, являлось ФНПЦ «Радиоэлектроника», заместителем генерального конструктора которого был Петровский Владимир Ильич. В 1974 году перед одним из подразделений ФНПЦ «Радиоэлектроника» была поставлена задача по развитию службы информационной безопасности. Решение данной задачи предполагало развитие и модернизацию предприятий по следующим направлениям:

ФНПЦ «Радиоэлектроника» координировало работу более сотни предприятий от Барнаула до Санкт-Петербурга: контролировало службу охраны в части обеспечения безопасности информации предприятий, учреждений, организаций, предлагало (рекомендовало) принципы построения данной службы, выбор технических средств, необходимых для защиты информации, осуществляло повышение квалификации персонала по программам дополнительного профессионального образования, по освоению новых методов защиты информации, по эксплуатации средств защиты информации.

Учитывая важность этого направления работ, руководство Кабинета Министров Республики Татарстан определило ответственного за направление «Информационная безопасность» в лице заместителя Премьер-министра РТ Аллы Максимилиановны Габатдиновой. Ежеквартально Габатдинова А.М. проводила совещания по обсуждению текущих проблем и вопросов, планов и задач на будущее. Совещания проводились с участием коллектива сотрудников ФНПЦ «Радиоэлектроника», Российской Академии наук и других выдающихся ученых, занимающихся проблемами защиты информации.

Благодаря настойчивым требованиям А.М. Габатдиновой, была организована служба "Комплексная система защиты информации и противодействия средствам технических разведок и злоумышленникам" при Кабинете Министров РТ на базе Казанского НИИ Радиоэлектроники. Так, Постановлением Кабинета Министров Республики Татарстан № 651-142 от 02.08.1996 г. впервые был создан Региональный центр по защите информации и проведению специальных экспертиз директором которого был назначен Петровский В.И. Далее Центр был аккредитован Государственной Технической комиссией при Президенте России как Орган по аттестации объектов информатизации, а совместным постановлением Государственной Технической комиссии при Президенте России и Кабинета Министров Республики Татарстан № 690-451 от 10.09.1997 г. руководитель Центра Петровский В.И. был назначен руководителем Лицензионного центра по защите информации. Все это положительно сказалось на обеспечение информационной безопасности в Республике Татарстан. Предприятия не нуждались в специалистах по защите информации других регионов России и беспрепятственно получали лицензии на соответствующий род деятельности на территории Республики Татарстан.

Очень важным было и то обстоятельство, что служба «Комплексная система защиты информации и противодействия средствам технических разведок и злоумышленникам» ставила задачу объединения всех предприятий, организаций, учреждений по идеологическому принципу, разработанному Государственной Технической комиссией России, объединения усилий в деле обеспечения оптимальной информационной безопасности в Республике Татарстан [5].

В истории развития системы защиты информации на предприятиях России можно выделить три периода:

Современное предприятие представляет собой сложную систему, в рамках которой должна осуществляться защита информации. С целью обеспечения надлежащего уровня защиты информации на предприятии целесообразно проведение работ по следующим направлениям:

Перспективы развития системы защиты информации на предприятии

В связи с бурным развитием информационных технологий и технических средств система защиты информации предприятия становится уязвимой и как следствие предприятию может быть нанесен экономический ущерб.

Задача оптимизации комплексной системы защиты информации (КСЗИ) на предприятии становится перспективной и чрезвычайно актуальной. Решение задачи оптимизации КСЗИ на предприятии сводится к:

Условия, которые бы позволяли исключить (значительно снизить) возможность утечки информации на предприятиях различных форм собственности можно представить схемой функционирования комплексной системы защиты информации (КСЗИ) на предприятии (рис.1).

Модели, методы и средства защиты информации, используемые на предприятиях, различны и чаще всего выбираются по правилу:

<Z  → min,Uz Udz> или <Uz → max,  Zd>, (1)

где Z – затраты на разработку, реализацию, внедрение и администрирование КСЗИ на предприятии, Uz – уровень защиты, обеспечиваемый КСЗИ, Zd – приемлемая стоимость КСЗИ на предприятии, Udz – приемлемый уровень качества КСЗИ. Задачи (1) могут быть решены методами многокритериальной оптимизации, однако ограничены в практическом применении.

Для решения задачи оптимизации КСЗИ на предприятии предлагается использовать метод последовательных уступок [6], в котором выделяется ряд частных показателей качества защищенности, имеющих превосходство над остальными показателями, переводимыми в разряд ограничений.

Рассмотрим минимизацию затрат на построение КСЗИ.

Пусть aij = 1 , если i -ое средство информационной безопасности выбрано для защиты j -го информационного ресурса предприятия, и aij = 0 , если i -ое средство информационной безопасности не используется для защиты от угроз.

Требуется минимизировать затраты вида

(2)

при соблюдении граничных условий:

(3)

, где Zij затраты на защиту j -го информационного ресурса i -м средством, i = 1, n, j = 1, m, Zi – затраты для совокупности информационных ресурсов i -м средством, I = {i1 , i2 ,..., in} множество средств КСЗИ на предприятии, J = { j1, j2,..., jm} – множество защищаемых информационных ресурсов, mij – оценка качества защиты i -м средством j -го информационного ресурса, sjкоэффициент j -го информационного ресурса в интегрированной оценке качества КСЗИ, ki переменная бинарного типа, ki Î{0;1}, ki = 1 , если i -е средство КСЗИ может быть использовано, ki = 0 – в противном случае.

Рассмотрим увеличение уровня защищенности, обеспечиваемого КСЗИ. Требуется максимизировать уровень Uz:

(4)

при соблюдении следующих граничных условий:

(5)

Обобщенная схема функционирования службы КСЗИ

Рис.1. Обобщенная схема функционирования службы КСЗИ

При построении интегрированной оценки уровня Uz защищенности информации, обеспечиваемый КСЗИ на предприятии, предложен следующий расчет коэффициентов защищенности отдельных бизнес-процессов Kbi = {kb1, kb2,..., kbs} предприятия [2]:

(6)

где Pi – количество наиболее вероятных информационных угроз для i -ой бизнес-операции на предприятии, ∆w – коэффициент защищенности от w -й угрозы, ωwi – интенсивность потока атак w -го вида угроз на i –ю бизнес-операцию ( wPi ), для w ∉ Pi ,wwi = 0, yi – время выполнения i -й бизнес-операции, O – количество бизнес-операций в бизнес-процессе предприятия, ni – вероятность выполнения бизнес-операции i в совокупности бизнес-процессов предприятия, O = {oj | j = 1,p} , Oj ⊂ kbi.

Рассмотрим выбор оптимального решения по построению КСЗИ на предприятии [3, 4]. Выбор оптимального решения по построению КСЗИ на предприятии основан на анализе многопараметрического критерия, зависящего от ряда частных показателей качества работы КСЗИ. В соответствии с (1) основанием для вывода об абсолютном превосходстве одних показателей над другими служит степень различия отдельных показателей по важности, при которой сравнение оценок вариантов построения системы КСЗИ осуществляется только по самому важному показателю без учета остальных, затем только по второму показателю и т.д.

Особое место в современной системе защиты информации на предприятии имеют информационные ресурсы. Под информационными ресурсами понимаются документы и массивы документов в информационных системах предприятия [7].

Информационные ресурсы предприятия подвержены различного рода угрозам. Для снижения угроз, уязвимостей, рисков на предприятии необходим контроль и эффективное управление информационными ресурсами. Эффективное управление подразумевает принятие решений при оптимизации комплексной системы защиты информации на предприятии (рис. 2).

Структурная схема управления при оптимизации КСЗИ на предприятии

Рис.2. Структурная схема управления при оптимизации КСЗИ на предприятии

Вопросы распределения, использования и защиты информационных ресурсов предприятия возложены на службу КСЗИ, которая формирует стратегию потребностей в информационных ресурсах, оценивает текущее состояние системы защиты информации и эффективность использования информационных ресурсов.

На предприятии защита информационных ресурсов сводится к оптимизации методов защиты информации, технических средств и его состава. Управление информационными ресурсами связано с информационной мощностью предприятия [1]. Информационная мощность предприятия – синергетическая характеристика, описывающая степень эффективности использования существующих информационных активов для увеличения конкурентоспособности предприятия с достижением максимума при:

Заключение

Описаны исторические аспекты развития и становления системы защиты информации на предприятиях России, в частности Республики Татарстан.

Предложен подход к совершенствованию организационных мероприятий по защите информации на предприятии, основанный на минимизации затрат на построение комплексной системы защиты информации на предприятии, увеличении уровня защищенности, обеспечиваемого КСЗИ на предприятии, выборе оптимального решения по построению КСЗИ на предприятиях различных форм собственности.

Оптимизация комплексной системы защиты информации на предприятиях различных форм собственности позволит внедрить и использовать методы и средства защиты информации, защищенные информационные ресурсы, за счет которых увеличится мощность информационной безопасности предприятия.

Список литературы

  1. Абросимов В.К., Канев С.А. Информационная мощность компании // Бизнес-информатика, №3(13), 2010.
  2. Гатчин Ю.А., Жаринов И.О., Коробейников А.Г. Математические модели оценки инфраструктуры системы защиты информации на предприятии // Научно-технический вестник информационных технологий, механики и оптики. № 2 (78). 2012.
  3. Петровский В.И., В.В. Петровский В.В. Помехи в технологии обеспечения информационной безопасности. Монография. Казань: Изд-во Казан. гос. техн. ун-та, 2004. - 282 с.
  4. Петровский В.И, Петровский В.В. Информационная безопасность и электромагнитная совместимость технических средств. Монография. - Казань: Изд-во Казан. гос. техн. ун-та, 2005. - 388с.
  5. Петровский В.И, Тумбинская М.В., Петровский М.В. Оптимизация комплексной системы защиты информации на предприятиях различных форм собственности. Монография. – Казань: «Познание», 2014. - 728 с.
  6. Троников И.Б. Методы оценки информационной безопасности предприятия на основе процессного подхода: дисс. канд. техн. наук … по спец. 05.13.19. – СПб: СПбГУ ИТМО, 2010. 134 с.
  7. Федеральный закон РФ от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации (с последующими изм.) // Собрание законодательства Российской Федерации. – 2006. – № 31 (часть I). – Ст. 3448.

Об авторе: Казанский национальный исследовательский технический университет им. А.Н. Туполева-КАИ
Казань, Россия
ptrvi@mail.ru, tumbinskaya@inbox.ru
Материалы международной конференции Sorucom 2014 (13-17 октября 2014)
Помещена в музей с разрешения авторов 27 Августа 2015

Проект Эдуарда Пройдакова
© Совет Виртуального компьютерного музея, 1997 — 2017