Помощь студентам в учебе
ФОРМИРОВАНИЕ СТРАТЕГИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БИЗНЕС-ПРОЦЕССОВ ОРГАНИЗАЦИИ
|
ЗАДАНИЕ 4
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ И ОБОЗНАЧЕНИЙ 5
ВВЕДЕНИЕ 6
1 Теоретические основы современных методик регистрации и
идентификации информационных угроз бизнес-процессам 9
1.1 Основы кибербезопасности и современные проблемы теории 9
1.2 Описание бизнес-процесса организации для целей создания
моделей информационных угроз 16
1.3 Факторы влияющие на разработку стратегии информационной
безопасности в организации 34
1.4 Выводы по разделу 37
2 Теоретические основы стратегического моделирования
информационной безопасности организации 38
2.1 Разработка модели угроз для бизнес-процесса организации 38
2.2 Методы регистрации инцидентов и их последствия воздействия на
информационную безопасность 48
2.3 Методика обоснования оптимальной стратегии информационной
безопасности (методом оптимального программирования) 52
2.4 Выводы по разделу 73
3 Методические рекомендации по выбору условно-оптимальной
стратегии информационной безопасности организации 74
3.1 Расчет итоговых значений комбинаторики стратегии
информационной безопасности организации 74
3.2 Технико-экономическое обоснование выбора стратегии
информационной безопасности бизнес-процесса 82
3.3 Выводы по разделу 86
ЗАКЛЮЧЕНИЕ 88
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ И ОБОЗНАЧЕНИЙ 5
ВВЕДЕНИЕ 6
1 Теоретические основы современных методик регистрации и
идентификации информационных угроз бизнес-процессам 9
1.1 Основы кибербезопасности и современные проблемы теории 9
1.2 Описание бизнес-процесса организации для целей создания
моделей информационных угроз 16
1.3 Факторы влияющие на разработку стратегии информационной
безопасности в организации 34
1.4 Выводы по разделу 37
2 Теоретические основы стратегического моделирования
информационной безопасности организации 38
2.1 Разработка модели угроз для бизнес-процесса организации 38
2.2 Методы регистрации инцидентов и их последствия воздействия на
информационную безопасность 48
2.3 Методика обоснования оптимальной стратегии информационной
безопасности (методом оптимального программирования) 52
2.4 Выводы по разделу 73
3 Методические рекомендации по выбору условно-оптимальной
стратегии информационной безопасности организации 74
3.1 Расчет итоговых значений комбинаторики стратегии
информационной безопасности организации 74
3.2 Технико-экономическое обоснование выбора стратегии
информационной безопасности бизнес-процесса 82
3.3 Выводы по разделу 86
ЗАКЛЮЧЕНИЕ 88
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
Кибербезопасность представляет одним из высших приоритетов в промышленности, научных кругах и правительствах любой страны, в которой национальная безопасность учитывает киберугрозы.
Обмен информацией об уже имеющихся киберугрозах между различными коммерческими компаниями и государственными организациями может обеспечить максимальное обнаружение уязвимостей при минимальных затратах. Налаженный обмен информацией о киберугрозах имеет ряд преимуществ.
Во-первых, это уменьшает вероятность того, что злоумышленник будет использовать одну и ту же уязвимость для атак в разных организациях. Во- вторых, это снижает вероятность того, что злоумышленник может обойти защиту организацию и собрать данные, которые помогут ему начать атаку на другие организации.
Киберпространство имеет множество взаимосвязей, и владельцы особенно важных инфраструктур зависят друг от друга. Эта известная проблема кибервзаимозависимости усугубляется в общедоступной облачной вычислительной платформе. Совместные усилия коммерческих компаний и государственных организаций по разработке контрмер для кибер-нарушения снижают затраты каждой фирмы на инвестиции в кибер-защиту.
Несмотря на многочисленные преимущества, обмен информацией о киберугрозах сопряжен с определенными издержками и рисками. Когда фирма передаёт в банк угроз свои обнаруженные уязвимости в общее хранилище данных с другими компаниями и организациями, существует риск того, что эта информация будет перехвачена злоумышленниками, что приведет к потере репутации, доли рынка и доходов.
Поэтому, в этой стратегической среде организации, лица обязанные делиться информацией о киберугрозах, могут не делиться правдивой информацией из-за своих собственных интересов.
Кроме того, некоторые эгоистично действующие фирмы могут намеренно ограничивать свои инвестиции в кибербезопасность и полагаться на информацию, которую предоставят другие организации, чтобы защитить себя. Это может привести к недостаточным инвестициям в кибербезопасность, если все участники примут одну и ту же стратегию.
Ущерб, причиняемый кибератаками, становится все больше, шире и серьезнее и включает в себя финансовые и стратегические потери. Некоторые кибератаки, предположительно, являются частью интересов национальных или государственных кампаний.
Российские компании активно инвестируют в защиту от хакерских атак. В 2018 году инвестиции в информационную безопасность в IT-бюджетах увеличились до 22%. Средний IT-бюджет бизнеса в Российской Федерации составил $1,1 млн. В ближайшие три года произойдёт рост ещё на 18% из -за того, что инфраструктура информационных технологий в компаниях развивается, и им необходимы профессиональные знания по кибербезопасности, говорится в проведённом исследовании «Лаборатории Касперского».
Финансовый ущерб российских компаний от утечек данных возрос за последние полгода. Для крупного бизнеса он примерно составил $246 тыс., на 2,5% больше, чем в прошлом году, говорится в исследовании «Лаборатории Касперского». Для среднего - вырос втрое - до $74 тыс.
Однако, рассматривая развитие технологий и навыков злоумышленников, и потенциала других стран, считается, что более важно пересмотреть национальную стратегию по укреплению потенциала кибербезопасности и обеспечить адекватное развитие национального потенциала в ближайшие годы.
В ходе выполнения работы необходимо решить следующие частные задачи:
- анализ развития современного состояния зарубежного опыта и законодательства в области регистрации информационных угроз и кибербезопасности,
- разработка рекомендаций (предложений и мероприятий) по мониторингу, регистрации, идентификации информационных угроз и моделированию стратегии кибербезопасности организации,
- оценка предложенных мероприятий для моделирования эффективной стратегии кибербезопасности организации.
Объектом исследования является действующая система информационной безопасности бизнес-процесса организации.
Предметом исследования является действующий бизнес-процесс и текущая стратегия информационной безопасности организации.
Целью исследования является разработка методики выбора стратегии информационной безопасности бизнес-процесса организации, посредством комбинаторного подбора факторов математической модели минимально- достаточного уровня защищенности информационных активов организации для противостояния угрозам бизнес-процессу в рамках стратегии разноуровневых предложений по восстановлению и противодействию информационным угрозам организации
Обмен информацией об уже имеющихся киберугрозах между различными коммерческими компаниями и государственными организациями может обеспечить максимальное обнаружение уязвимостей при минимальных затратах. Налаженный обмен информацией о киберугрозах имеет ряд преимуществ.
Во-первых, это уменьшает вероятность того, что злоумышленник будет использовать одну и ту же уязвимость для атак в разных организациях. Во- вторых, это снижает вероятность того, что злоумышленник может обойти защиту организацию и собрать данные, которые помогут ему начать атаку на другие организации.
Киберпространство имеет множество взаимосвязей, и владельцы особенно важных инфраструктур зависят друг от друга. Эта известная проблема кибервзаимозависимости усугубляется в общедоступной облачной вычислительной платформе. Совместные усилия коммерческих компаний и государственных организаций по разработке контрмер для кибер-нарушения снижают затраты каждой фирмы на инвестиции в кибер-защиту.
Несмотря на многочисленные преимущества, обмен информацией о киберугрозах сопряжен с определенными издержками и рисками. Когда фирма передаёт в банк угроз свои обнаруженные уязвимости в общее хранилище данных с другими компаниями и организациями, существует риск того, что эта информация будет перехвачена злоумышленниками, что приведет к потере репутации, доли рынка и доходов.
Поэтому, в этой стратегической среде организации, лица обязанные делиться информацией о киберугрозах, могут не делиться правдивой информацией из-за своих собственных интересов.
Кроме того, некоторые эгоистично действующие фирмы могут намеренно ограничивать свои инвестиции в кибербезопасность и полагаться на информацию, которую предоставят другие организации, чтобы защитить себя. Это может привести к недостаточным инвестициям в кибербезопасность, если все участники примут одну и ту же стратегию.
Ущерб, причиняемый кибератаками, становится все больше, шире и серьезнее и включает в себя финансовые и стратегические потери. Некоторые кибератаки, предположительно, являются частью интересов национальных или государственных кампаний.
Российские компании активно инвестируют в защиту от хакерских атак. В 2018 году инвестиции в информационную безопасность в IT-бюджетах увеличились до 22%. Средний IT-бюджет бизнеса в Российской Федерации составил $1,1 млн. В ближайшие три года произойдёт рост ещё на 18% из -за того, что инфраструктура информационных технологий в компаниях развивается, и им необходимы профессиональные знания по кибербезопасности, говорится в проведённом исследовании «Лаборатории Касперского».
Финансовый ущерб российских компаний от утечек данных возрос за последние полгода. Для крупного бизнеса он примерно составил $246 тыс., на 2,5% больше, чем в прошлом году, говорится в исследовании «Лаборатории Касперского». Для среднего - вырос втрое - до $74 тыс.
Однако, рассматривая развитие технологий и навыков злоумышленников, и потенциала других стран, считается, что более важно пересмотреть национальную стратегию по укреплению потенциала кибербезопасности и обеспечить адекватное развитие национального потенциала в ближайшие годы.
В ходе выполнения работы необходимо решить следующие частные задачи:
- анализ развития современного состояния зарубежного опыта и законодательства в области регистрации информационных угроз и кибербезопасности,
- разработка рекомендаций (предложений и мероприятий) по мониторингу, регистрации, идентификации информационных угроз и моделированию стратегии кибербезопасности организации,
- оценка предложенных мероприятий для моделирования эффективной стратегии кибербезопасности организации.
Объектом исследования является действующая система информационной безопасности бизнес-процесса организации.
Предметом исследования является действующий бизнес-процесс и текущая стратегия информационной безопасности организации.
Целью исследования является разработка методики выбора стратегии информационной безопасности бизнес-процесса организации, посредством комбинаторного подбора факторов математической модели минимально- достаточного уровня защищенности информационных активов организации для противостояния угрозам бизнес-процессу в рамках стратегии разноуровневых предложений по восстановлению и противодействию информационным угрозам организации
В первом разделе выпускной работы рассмотрены:
- основы информационной безопасности бизнес-процессу организации и современные проблемы данной теории,
- цель обеспечения информационной безопасности информационных активов организации участвующих в бизнес-процессе,
- методологические основы информационной безопасности для выбора стратегии ИБ,
- типы современных угроз информационной безопасности,
- компоненты, подлежащие защите информационной безопасности.
Также перечислены тактические мероприятия по обеспечению информационной безопасности организации.
Представлена динамика угроз информационной безопасности в 2018 году на примере нескольких организаций, которая включила в себя всевозможное оборудование, которое контактирует с сетью.
Более подробно рассмотрен зарубежный опыт разработки стратегии информационной безопасности, а также, опыт регистрации угроз и законодательство о киберпреступлениях, где указаны статьи и сроки наказаний Уголовного кодекса в различных странах.
Приведены наглядные примеры факторов, влияющих на разработку стратегии информационной безопасности для организаций.
Во втором разделе описаны теоретические основы моделирования стратегии и методологические проблемы определения целей стратегического моделирования информационной безопасности для бизнес-процесса организации.
Представлены рисунки расположения субъектов управления информационной системой бизнес-процесса организации, объединённых единым киберпространством. Указаны возможные атаки по зонам бизнес- процесса, а также разработаны необходимые мероприятий по противодействию кибератакам извне среды организации.
Представлено вербальное математическое описание факторной модели информационной безопасности для бизнес-процесса с использованием входных и выходные величин вероятности угроз для всей системы информационной безопасности, а также любые влияющие на них факторы со стороны внешней среды. Вероятные угрозы приводят в простою бизнес- процесса на величину времени, а меры противодействия имеют время необходимое для реализации типа стратегии ИБ.
В третьем разделе представлена методика расчета математической модели подбора факторов противодействия угрозам, их оценка, и расчет уровня защищенности информационной системы бизнес-процесса в рамках тех предложений стратегии безопасности которые противостоят угрозам, а именно методические рекомендации по выбору оптимально-достаточной стратегии информационной безопасности в среде организации с позиции необходимых ресурсов.
Исходя из деятельности организации, представлены расчёты технико-экономического обоснования использования данных рекомендаций.
Таким образом, цель работы достигнута, применение разработанных рекомендаций дает возможность методом Парето выбрать одну из предлагаемых стратегий - минимальную или максимальную защищенность информационных активов.
Теоретическая значимость работы состоит в основах моделирования стратегии кибербезопасности организации и в оценке технико-экономической оценке разработанных рекомендаций.
Практическая значимость работы заключается в возможности использования разработанной модели угроз для бизнес-процесса стратегии организации ООО «Кронвел», а также применение методики обоснования оптимальной политики информационной безопасности (методом оптимального программирования).
- основы информационной безопасности бизнес-процессу организации и современные проблемы данной теории,
- цель обеспечения информационной безопасности информационных активов организации участвующих в бизнес-процессе,
- методологические основы информационной безопасности для выбора стратегии ИБ,
- типы современных угроз информационной безопасности,
- компоненты, подлежащие защите информационной безопасности.
Также перечислены тактические мероприятия по обеспечению информационной безопасности организации.
Представлена динамика угроз информационной безопасности в 2018 году на примере нескольких организаций, которая включила в себя всевозможное оборудование, которое контактирует с сетью.
Более подробно рассмотрен зарубежный опыт разработки стратегии информационной безопасности, а также, опыт регистрации угроз и законодательство о киберпреступлениях, где указаны статьи и сроки наказаний Уголовного кодекса в различных странах.
Приведены наглядные примеры факторов, влияющих на разработку стратегии информационной безопасности для организаций.
Во втором разделе описаны теоретические основы моделирования стратегии и методологические проблемы определения целей стратегического моделирования информационной безопасности для бизнес-процесса организации.
Представлены рисунки расположения субъектов управления информационной системой бизнес-процесса организации, объединённых единым киберпространством. Указаны возможные атаки по зонам бизнес- процесса, а также разработаны необходимые мероприятий по противодействию кибератакам извне среды организации.
Представлено вербальное математическое описание факторной модели информационной безопасности для бизнес-процесса с использованием входных и выходные величин вероятности угроз для всей системы информационной безопасности, а также любые влияющие на них факторы со стороны внешней среды. Вероятные угрозы приводят в простою бизнес- процесса на величину времени, а меры противодействия имеют время необходимое для реализации типа стратегии ИБ.
В третьем разделе представлена методика расчета математической модели подбора факторов противодействия угрозам, их оценка, и расчет уровня защищенности информационной системы бизнес-процесса в рамках тех предложений стратегии безопасности которые противостоят угрозам, а именно методические рекомендации по выбору оптимально-достаточной стратегии информационной безопасности в среде организации с позиции необходимых ресурсов.
Исходя из деятельности организации, представлены расчёты технико-экономического обоснования использования данных рекомендаций.
Таким образом, цель работы достигнута, применение разработанных рекомендаций дает возможность методом Парето выбрать одну из предлагаемых стратегий - минимальную или максимальную защищенность информационных активов.
Теоретическая значимость работы состоит в основах моделирования стратегии кибербезопасности организации и в оценке технико-экономической оценке разработанных рекомендаций.
Практическая значимость работы заключается в возможности использования разработанной модели угроз для бизнес-процесса стратегии организации ООО «Кронвел», а также применение методики обоснования оптимальной политики информационной безопасности (методом оптимального программирования).