Биржи в экономике отрасли - (диплом)

на 95% исключить несанкционированное проникновение внешних неавторизованных пользователей к конфиденциальным инфоресурсам предприятия;

по возможности снизить затраты на восстановления части электронной инфосистемы фирмы, разрушенной в результате хакерской атаки;

предотвратить внутреннее "воровство” информации, путём отслеживания нежелательных контактов сотрудников по глобальной сети;

вести подробный журнал активности сотрудников предприятия в сети, т. е. фискальные функции;

при необходимости (в криминальных случаях) просматривать почту пользователей Для внедрение на предприятие защитного шлюза необходимо провести следующие мероприятия:

Определение основных и побочных источников сети. Обеспечить максимальную пропускную способность для информации с основных источников (режим максимального приоритета) и режим особо сильного контроля для всех остальных источников;

создание подробного журнала адресов входящей информации с мониторингом интенсивности вхождения внешних пользователей во внутреннюю инфосистему предприятия;

    мониторинг исходящих сообщений;

2. 4. 4. Создание внутренней инфраструктуры защиты информации Главными целью внутренней инфраструктуры защиты информации является предотвращение утечки конфиденциальной внутрефирменной информации за пределы фирмы, а также защита накопленной внутренней информации от разрушения. Первый вопрос отчасти решает FireWall (см. предыдущую главу), однако это не панацея. Главную часть инфраструктуры составляет система аудита информационной безопасности. Ниже рассматриваются особенности современных зарубежных стандартов в области аудита и сертификации, введенных в действие в 1998 г, а также действующие в настоящее время Российские руководящие документы в области сертификации и аттестации. Некоторые специалисты [8] предсказывают наступление в скором времени бума добровольной сертификации, полагая, что это позволит резко улучшить положение в области ИБ работающих систем.

Основанием для такого вывода являются данные, представленные на рисунке 16. Британский стандарт со спецификациями системы управления ИБ [11], являющийся основой для проведения аудита ИБ, вышел в 1998 году. Всего за год существования стандарта и, соответственно, начала действия системы сертификации на его основе, около 3% фирм уже прошли сертификацию, около трети имеют твердые планы сделать это в ближайшее время и находятся на различных стадиях подготовки к сертификации. Более трети собирает дополнительную информацию, рассматривает такую возможность. Сознательно не собираются проводить сертификацию только 21% фирм.

Основной причиной добровольной сертификации является желание Рисунок 16 Готовность фирм Великобритании к сертификации.

повысить уровень ИБ, то есть большинство руководителей уверено в действенности подобного мероприятия.

Следует отметить, что приведенные цифры отражают положение дел в Великобритании. В этой стране имеется длительный опыт (с 1993 года) добровольного применения стандарта по управлению информационной безопасностью [9], который в настоящее время применяет более 60 % организаций. Добровольная сертификация на соответствие этим стандартам логичное продолжение установившейся практики.

В других странах желающих пройти добровольную сертификацию меньше, но тенденция та же: независимый аудит ИБ начинают рассматривать как весьма действенное средство обеспечения режима ИБ. Кроме национальных институтов стандартов, работы по выполнению аудита выполняет ряд независимых международных организаций, например, Ассоциация аудита и управления информационными системами (The Information Systems Audit and Control Association & Foundation ISACA) [11].

Ниже рассматриваются основные особенности проведения аудита в соответствии с Британским стандартом [11] и стандартами ассоциации аудита и управления информационными системами.

Организация, решившая провести аудит ИБ, должна провести подготовительные мероприятия, привести в соответствие с требованиями стандарта документацию и систему управления ИБ. После этого приглашается аудитор. Процедура аудита рассматривается ниже, ее трудоемкость для крупных организаций может достигать 25-30 человеко-дней работы аудитора. Сертификаты выдаются после проведения аудита подсистемы ИБ на соответствие стандартам BS7799 [12] и действительны в течение 3 лет.

Задачи аудита состоит в том, что аудиторы должны проанализировать все существенные аспекты с учетом размера проверяемой организации и специфики ее деятельности, а также ценности информации, подлежащей защите. Как следствие, опыт и компетентность аудитора являются очень существенными факторами. В результате проведения аудита создается список замечаний, выявленных несоответствий требованиям стандартов, а также рекомендаций по их исправлению. Аудиторы должны гарантировать, что были выполнены все требования процедуры сертификации.

    2. 4. 5. Подготовка организации к аудиту

Подготовительные мероприятия включают подготовку документации и проведение внутренней проверки соответствия системы управления ИБ требованиям стандарта. Документация должна содержать:

    политику безопасности;
    границы защищаемой системы;
    оценки рисков;
    управление рисками;
    описание инструментария управления ИБ;

ведомость соответствия документ, в котором оценивается соответствие требованиям стандартов поставленных целей в области ИБ и средств управления ИБ. Внутренняя проверка соответствия системы управления ИБ требованиям стандарта состоит в проверке выполнения каждого положения стандарта. Проверяющие должны ответить на два вопроса: выполняется ли данное требование, и если нет, то каковы точные причины невыполнения?

На основе ответов составляется ведомость соответствия. Основная цель этого документа дать аргументированное обоснование имеющим место отклонениям от требований стандарта. После завершения внутренней проверки устраняются выявленные несоответствия, которые организация сочтет нужным устранить. 2. 4. 6. Российские нормативные документы

В 1993-1996 гг. была опубликована серия законов, постановлений правительства и нормативных документов Гостехкомиссии [13] в которых рассмотрены вопросы сертификации и аттестации по требованиям ИБ.

Вначале рассмотрим основные определения, использованные в этих документах. Сертификация средств защиты информации. Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Гостехкомиссией России [13].

Объекты информатизации. Под объектами информатизации понимаются автоматизированные системы (АС) различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены.

Аттестация объектов информатизации по требованиям ИБ. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России [14].

Система аттестации объектов информатизации по требованиям безопасности является составной частью единой системы сертификации и подлежит государственной регистрации в установленном Госстандартом России порядке. Организационная структура систем сертификации и аттестации приводится на рисунке 17, функции определены в РД Гостехкомиссии [14].

Методы управления ИБ интенсивно развиваются. Основные направления развития связаны с совершенствованием:

методологии выбора и формализации целей в области безопасности; инструментария (методик) для построения подсистемы ИБ в соответствии с выбранными целями;

технологий аудита, позволяющих объективно оценить положение дел в области ИБ. Эти составляющие неразрывно связаны и должны соответствовать друг другу. Использование современных методов управления ИБ позволяет поддерживать режим ИБ, соответствующий любым корректно сформулированным целям. Обязательной составной частью таких методов является действенная система аудита ИБ. До недавнего времени лишь сравнительно небольшая доля организаций добровольно проходила аудит ИБ. Сейчас положение меняется. Приведение подсистем ИБ в соответствие с требованиями современных стандартов и добровольная сертификация на соответствие этим требованиям рассматриваются большинством руководителей как основной путь улучшения положения дел в области безопасности. Система сертификации

    Система аттестации
    Я
    Я

Гостехкомиссия России. Федеральный орган по сертификации средств защиты информации

Гостехкомиссия России. Федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям ИБ Я

    Я

Центральный орган системы сертификации средств защиты информации

    Я
    Я
    Я
    Я
    Я
    Органы по сертификации средств защиты информации

Органы по аттестации объектов информатизации по требованиям ИБ Я

    Я
    Испытательные центры (лаборатории)

Испытательные центры (лаборатории) по сертификации продукции по требованиям ИБ Я

    Я

заявители (разработчики, изготовители, поставщики, потребители средств защиты информации)

заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации)

Рисунок 17 Организационная структура систем сертификации и аттестации в России В российских условиях рассмотренные стандарты также применимы, поскольку отличаются от соответствующих Российских РД в основном большей детализацией многих аспектов. Применимы и процедуры и методы проверки на соответствие этим требованиям.

Подчеркнем, что Гостехкомиссия России постоянно совершенствует нормативную базу информационной безопасности. Выпускаются новые Руководящие документы, изучается опыт зарубежных стран. Линия на гармонизациюнациональных и международных стандартов, в том числе в области аудита безопасности информационных систем, представляется правильной и перспективной. 2. 5. Выводы

В этой главе был рассмотрен подробный план разработки информационной системы отрасли, центральным звеном которой являются отдельно взятое предприятие и биржа. Разработка системы должна состоять из четырёх последовательных этапов, последний из которых проистекает всё время, пока система функционирует. Отдельно выделена независимая система аудита информационной безопасности системы, как наиболее слабое место всей инфосистемы в целом. Методика базируется на уже существующей отраслевой инфраструктуре, и это несомненно её плюс, т. к. стоимость и время внедрения значительно сокращаются. Каждый пункт методы представляет собой самостоятельную, довольно сложную и кропотливую но решаемую задачу, решение которой можно найти в специализированной литературе. Таким образом, разработка свелась к конструированию из уже известных, апробированных и широко применяющихся на практике “кирпичиков” общей большой информационной системы, в которой каждая из составляющих органично вплетается в общую структуру. Особо пристальное внимание к новейшим информационным технологиям, применяемым в процессе реализации методы, не только увеличивает её эффективность, но также и отодвигает её моральное старение.

На рисунке 18 показаны взаимосвязи бирж и предприятий отрасли, сформированные в соответствии с предложенной методикой.

    Рисунок 18 Отраслевая инфосистема
    3. Пример применения методики
    3. 1. Разработка эскизного проекта
    3. 1. 1. Цели предприятия

Организация производства помехоустойчивых модемов для подключения потребителей электронных коммуникационных услуг к глобальным сетям посредством провайдера по коммутируемым аналоговым телефонным линиям.

Современное модемное оборудование, выпускаемое зарубежными фирмами, не выдерживает никакой критики применительно к устойчивости соединения между потребителем услуг и провайдером, предоставляющим услуги в сфере телекоммуникаций. Прежде всего, низкая помехоустойчивость импортного оборудования связана с техническими условиями, накладываемыми на параметры модемов, условия, работы которых–высококачественные цифровые телефонные сети развитых стран. Качество наших телефонных сетей кардинально отличается от качества зарубежных сетей, и в ближайшее время при существующих темпах развития в отрасли нельзя рассчитывать на появление в России в скором будущем качественных сетей. Следовательно, логично разработать специальный помехоустойчивый протокол и соответствующее модемное оборудование, ориентированное именно на Российские телефонные линии. Разработка и внедрение данного протокола и модемного оборудования позволит: Надёжно соединяться по телефонным линиям для выхода рядового потребителя к глобальным сетям

Снизить затраты рядового потребителя на оплату телефонного разговора и оплату трафика глобальных сетей

Снизить нагрузку на коммутационное и связное оборудование городских АТС Организовать научную группу из числа сотрудников НИИ и обеспечить их работой Загрузить работой Российские предприятия электронной отрасли Вытеснить импортные модемы с российского рынка

    3. 1. 2. Возможности для бизнеса и стратегии их реализации

В мире в настоящее время отрасль телекоммуникаций переживает бурный рост, не обошёл прогресс и Россию, однако, если во всём мире коммуникационное оборудование и линии связи развивается параллельно, то в России налицо отставание качества каналов связи. Зарубежное связное оборудование не в состоянии обеспечивать надёжное соединение по нашим телефонным линиям, в связи с этим логично предположить, что создание собственного модемного оборудования адаптированного к отечественным линиям связи является единственным верным решением в деле продвижения глобальных сетей на российский рынок. В настоящее время в России активных пользователей сетей например Интернет порядка 4 млн. , и существует постоянная тенденция увеличения, составляющая порядка 170% в год. Если применить западную модель развития телекоммуникаций к России, то даже с учётом постоянного российского кризиса видно, что в ближайшее время рынок электронных информационных услуг будет расширяться семимильными темпами. Развитие будет проходить на базе существующих линий связи, и уже в настоящее время ощущается острая нехватка надёжного связного оборудования, адаптированного под наши телефонные линии.

    Стратегия развития:

Создание группы НИОКР из числа российских специалистов в области проводной связи. Научно исследовательская и конструкторская работа по созданию помехоустойчивого протокола, адаптированного под современные отечественные линии связи. Создание и апробирование на отечественных линиях связи опытной партии модемов.

Производство малой партии модемов на экспериментальном производстве. Внедрение разработанных протоколов связи модемов на государственных глобальных сетях, расположенных в периферии (ГАС “Выборы” и подобные) в качестве стандарта. Наработка статистики устойчивости работы оборудования.

Опубликование информации о новом оборудовании в специализированных СМИ, научные статьи. Рекламная кампания. Выход на Российские и международные компьютерные выставки с результатами работы, заключение контрактов на поставку оборудования и продажу формата протокола.

Серийное производство модемов и продажа их через сеть розничной торговли для конечных потребителей. Бесплатная продажа модемов провайдерам. Вытеснение зарубежных модемов с Российского рынка.

    3. 1. 3. Рынки сбыта

Основными потребителями данного продукта планируются рядовые пользователи Интернета. В настоящее время наблюдается следующая сегментация рынка модемов (рисунок 19)

    Пользователи Интернет
    Пользователи некоммерческих сетей
    Провайдеры
    Ведомственные сети
    Другие
    Рисунок 19 Сегментация рынка модемов (на 1999 год)

Как видно, основные потребители данного продукта (70%) это обычные рядовые пользователи сети Интернет.

Теперь обратимся к темпам роста продаж модемов частным лицам в нашей стране и за рубежом за последние 5 лет и прогноз темпов роста на 2 года вперёд [15]:

    Рисунок 20 Темпы роста продаж модемов

Из графика видно, что рынок США уже пережил бурный рост Интернета (рисунок 20) и находится в состоянии наполненности. Рынок же России наоборот только начал развиваться и восстанавливаться после кризиса 1998 года. К 2001 году ожидается восстановление темпов роста. Период окупания затрат на покупку данного модема должен составить порядка 4 месяцев при средней интенсивности работы. Ценовая стратегия: первый год цены максимально снижены (на уровне себестоимости), затем, когда значительная (>30%) пользователей будут оснащены модемами данного типа поднять цену до высокого уровня: высокая цена– качественный товар. 3. 1. 4. Конкурентное преимущество

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17