автореферат диссертации по социологии, специальность ВАК РФ 22.00.08
диссертация на тему:
Разработка управленческих решений по формированию основ информационной безопасности в организации

  • Год: 2012
  • Автор научной работы: Поляков, Андрей Владимирович
  • Ученая cтепень: кандидата социологических наук
  • Место защиты диссертации: Москва
  • Код cпециальности ВАК: 22.00.08
Диссертация по социологии на тему 'Разработка управленческих решений по формированию основ информационной безопасности в организации'

Полный текст автореферата диссертации по теме "Разработка управленческих решений по формированию основ информационной безопасности в организации"

005014762

На правах рукописи

Р

ПОЛЯКОВ АНДРЕЙ ВЛАДИМИРОВИЧ

РАЗРАБОТКА УПРАВЛЕНЧЕСКИХ РЕШЕНИЙ ПО ФОРМИРОВАНИЮ ОСНОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ

Специальность 22.00.08 - Социология управления

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата социологических наук

1 2 МДР 2012

Москва - 2012

005014762

Диссертация выполнена на кафедре «Социологии, психологии и педагогики» ФГБОУ ВПО Московского Государственного технологического университета «СТАНКИН».

Научный руководитель: кандидат философских наук, профессор

Алешин Василий Иванович

Официальные оппоненты: доктор социологических наук, профессор

Иванов Анатолий Викторович

кандидат социологических наук, доцент

Шустрова Нелли Шамилевна

Ведущая организация: Московский педагогический государственный

университет

Защита диссертации состоится «07» марта 2012 года в 12 часов на заседании Диссертационного совета Д 212.142.05 ФГБОУ ВПО Московского государственного технологического университета «СТАНКИН» по адресу: 127055, Москва, Вадковский переулок, дом ЗА.

С диссертацией можно ознакомиться в научной библиотеке федерального государственного бюджетного образовательного учреждения высшего профессионального образования Московского государственного технологического университета «СТАНКИН».

Текст автореферата опубликован на сайте Высшей аттестационной комиссии РФ http://vak.ed.gov.ru 2 февраля 2012 г.

Автореферат разослан 6 февраля 2012 г.

И.о. ученого секретаря диссертационного совета Д 212.142.05 доктор политических наук, профессор

А. Феофанов

Общая характеристика работы.

Актуальность темы исследования.

Необходимость обеспечения информационной безопасности организации -это задача, с которой всё чаще сталкиваются руководители современных предприятий. Повышение важности информационных ресурсов, развитие информационных отношений, высокая степень проникновения технических средств передачи и хранения информации - все эти направления получили широкое распространение в последние годы.

Актуальность исследования механизмов разработки управленческих решений в сфере информационной безопасности организации обусловлена следующими факторами:

Во-первых: информационное направление развития общества в целом предусматривает совершенно иной подход к восприятию понятия информации - теперь она становится одним из важнейших ресурсов организации, раскрывающимся в таких понятиях как конфиденциальная информация, ноу-хау, интеллектуальная собственность организации, новые технологии и собственные разработки. Благодаря технологическим изменениям в области распространения и передачи данных, произошёл сильный рост числа источников информации. Для организации это означает необходимость серьёзного отношения к собственным информационным ресурсам.

Во-вторых: сотрудники играют основополагающую роль в обеспечении и поддержании информационной безопасности в организации. При скоординированной работе с персоналом в области информационной безопасности, руководство организации сможет сократить к минимуму большинство угроз для информационной среды. С другой стороны, сотрудники организации являются основным источником угроз для безопасности, что необходимо учитывать при разработке и принятии управленческих решений. Персонал является одним из наиболее эффективных инструментов для поддержания безопасности внутренней среды организации.

В-третьих: во всём мире наблюдается рост числа нарушений в информационной сфере, и, как результат, увеличение финансовых потерь организаций и государственных структур из-за нарушений в области информационной безопасно-

сти. В связи с этим руководство организаций поставлено перед выбором: развитие основных направлений информационной безопасности или функционирование организации в условиях повышенных рисков и угроз. При этом зачастую стоимость решений по информационной безопасности намного ниже, чем потенциально возможные потери организации.

В-четвертых: широкое распространение средств хранения и передачи информации, удешевление их стоимости и появление новых технологических устройств, наряду с повышением важности информационной составляющей в деятельности организации, создаёт дополнительные риски для различных аспектов деятельности предприятия и вынуждает руководство принимать ответственные меры для достижения компромисса между интересами сотрудников и организации. На этом этапе необходимо принятие взвешенных и продуманных мер, находящихся в области управленческих решений по обеспечению информационной безопасности организации.

Степень разработанности проблемы.

Общим вопросам информационной безопасности посвящены работы таких исследователей, как В.В. Домарев, В.А. Галатенко, С.М. Доценко, В.Ф. Шпак, В.И. Ярочкин, A.B. Волоткин, В.Б. Байбурин, А.П. Маношкин, A.B. Петраков, А.Я. Приходько, А.Ю. Щербаков, B.JI. Цирлов, С.Н. Сёмкин, Э.В. Беляков, C.B. Гребенев, В.П. Мельников, С.А. Клейменов, Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, A.A. Шелупанов, A.A. Малюк и других.1

1 См. например, В.И. Ярочкин «Информационная безопасность. Учебник для вузов», М.: «Академический проспект»; «Гаудеамус», - 2-е изд. 2004; В.А. Галатенко «Основы информационной безопасности: курс лекций, учебное пособие», М.: ИНТУИТ.РУ «Интернет-университет Информационных Технологий», 2006; С.А. Леденко, A.C. Марков, И.А. Чикалёв «Статистика внедрения «Общих критериев» в зарубежных странах»//Журнал "Information 8есил1у"/«Информационная безопасность» # 1+2 2006; A.C. Марков, B.JI. Цирлов «Управление рисками - нормативный вакуум информационной безопасности»//Журнал «Открытые системы» №8, 2007; В.П. Мельников, С.А. Клейменов, A.M. Петраков / Под редакцией С.А. Клейменова «Информационная безопасность и защита информации», М.: «Издательский центр «Академия»», 2008; A.B. Петраков «Основы практической защиты информации», М.: Издательство «Радио и связь», 1999; С.Н. Сёмкин, Э.В. Беляков, C.B. Гребенев, В.И. Козачок «Основы организационного обеспечения информационной безопасности объектов информатизации», М.: «Гелиос АРВ», 2005; А.Я. Приходько «Информационная безопасность в событиях и фактах», М.: «Синтег», 2001; A.A. Шумский, A.A. Шелупанов «Системный анализ в защите информации. Учебное пособие», М.: «Гелиос-АРВ», 2005; А.Ю. Щербаков «Введение в теорию и практику компьютерной безопасности», М.: Издательство «Молгачёва C.B.», 2001; A.B. Волоткин, А.П. Маношкин «Информационная безопасность», М.: «НТЦ «ФИОРД-ИНФО»», 2002.

Информационной безопасности предприятий и организаций посвящены работы И.Р. Конеева, A.B. Беляева, В.Ю. Скибы, В.А. Курбатова, В.А. Игнатьева, М.И. Петрова, С. Бармана, В.В. Панкратьева, Н.И. Баяндина, В.А. Пярина, A.C. Кузьмина, С.Н. Смирнова, A.A. Садердинова, В.А. Трайнёва, A.A. Федулова, A.A. Одинцова и ряда других авторов.1

Технические стороны обеспечения информационной безопасности нашли своё отражение в работах П.А. Тимофеева, В.Ф. Шаньгина, Ю.В. Романца, М.Н. Дворского, С.Н. Палатченко, A.B. Соколова, A.A. Хорева, Г.Н. Устинова, В.Г. Проскурина, А.А Голиусова, A.C. Дубровина, В.А. Лавлинского, Т.А. Биячуева, Ю.К. Меныпакова, И.В. Котенко, М.М. Котухова, A.C. Маркова, A.C. Дубровина, О.Ю. Макарова, Е.А. Рогозина, A.A. Торокина и других.2

Информационная безопасность государства представлена в работах A.A. Стрельцова, Ю.С. Уфимцева, К.А. Феофанова, В.Н. Лопатина, И.Н. Панарина, Е.А. Ерофеева, В. Г. Шевченко, И.Ю. Алексеевой, И.В. Авчарова, Д.С. Вотрина и других.3

' См. например, A.A. Одинцов «Защита предпринимательства», М.: Издательство «Международные отношения», 2003; В.А. Пярин, A.C. Кузьмин, С.Н. Смирнов «Безопасность электронного бизнеса», М.: «Гелиос-АРВ», 2002; Н.И. Баяндин «Технологии безопасности бизнеса» М.: «Юристъ», 2002; Г.М. Озеров «Эффективные корпоративные информационные технологии - главные критерий успеха в бизнесе», М: «Управление персоналом», 2002; И.К. Корнеев, В.А. Машурцев «Информационные технологии в управлении», М.: «ИНФРА-М», 2001; В.В. Панкратьев «Корпоративная безопасность. Методическое пособие по спецкурсу», М., 2005; О.Ю. Гаценко «Защита информации. Основы организационного управления», СПб.: «Издательский дом «Сентябрь»», 2001; М.А. Гуриев «Вопросы формирования информационных ресурсов руководителей высшего уровня»// «Информационные ресурсы» №2,2001;

См. например, В.Ф. Шаньгин «Информационная безопасность компьютерных систем и сетей», М.: «ИД «ФОРУМ»»: «ИНФРА-М», 2008; А.А Голиусов, A.C. Дубровин, В.А. Лавлинский и др. «Методические основы проектирования программных систем защиты информации», Воронеж: «ВИРЭ», 2002; A.A. Торокин «Инженерно-техническая защита информации. Учебное пособие», М.: «Гелиос-АРВ», 2005; Б.Ю. Анин «Защита компьютерной информации», СПб.: «БХВ - Санкт-Петербург», 2000; Г.Н. Устинов «Основы информационной безопасности систем и сетей передачи данных», М.: «Синтег», 2000; С.Н. Семкин «Основы информационной безопасности объектов обработки информации. Научно-практическое пособие», Орёл: 2000; Ю.Н. Максимов, В.Г. Сонников и др. «Технические методы и средства защиты информации», СПб.: «Полигон», 2000; A.C. Дубровин, О.Ю. Макаров, Е.А. Рогозин и др. «Методы и средства автоматизированного управления подсистемой контроля целостности в системах защиты информации», Воронеж: «Воронежский государственный университет», 2003.

См. например, К.А. Феофанов «Институциональные механизмы обеспечения безопасности цивилизационного развития России»// Журнал «Социально-гуманитарные знания» №4,2006; Коллектив авторов под редакцией В.К. Сенчагова «Экономическая безопасность России. Общий курс», М.: Издательство «Депо», 2005; В.Н Лопатин «Информационная безопасность России: Человек. Общество. Государство», СПб.: Фонд «Университет», 2000; И.Ю. Алексеева, И.В. Авчаров, Д.С. Вотрин и др./ Под редакцией A.B. Фёдорова и В.Н Цыгичко «Информационные вызовы национальной и международной безопасности», М.: «ПИР-Центр», 2001; Л.А. Василенко «Интернет в информатизации государственной службы России. Социологические аспекты», М.: «РАГС», 2000.

Направлениям защиты коммерческой тайны и созданию службы информационной безопасности посвящены работы A.B. Жукова, А.И. Алексеева, В.А Ко-пылова и других.1

Необходимо отметить, что большинство авторов, чьи работы посвящены области информационной безопасности организаций, говорят о важности применения комплексного подхода в отношении формирования системы информационной безопасности на предприятии, создании службы информационной безопасности, создании критериев (политики) информационной безопасности. При этом остаётся незамеченным такое актуальное направление, как психологические аспекты информационной безопасности, представляющее собой неразработанную и потенциально обширную область исследования.

Предмет и объект диссертационного исследования.

Предметом диссертационного исследования выступает процесс разработки управленческих решений по формированию системы информационной безопасности в организации. Объектом исследования являются социально-управленческие процессы в современной организации, направленные на персонал.

Цель и задачи исследования.

Цель диссертационного исследования состоит в обосновании управленческих способов формирования системы информационной безопасности в организации на примере действующего субъекта предпринимательской деятельности.

Реализация обозначенной цели предопределила круг решаемых задач:

• Раскрыть понятие социального управления в информационной безопасности организации;

• Определить роль участия сотрудников организации в обеспечении информационной безопасности;

• Проанализировать основные способы обеспечения информационной безопасности в современной организации;

1 См. например, Э.Я. Соловьёв «Коммерческая тайна и её защита», М.: «Ось-89», 2002; Степанов Е.

««Кроты» на фирме (персонал и конфиденциальная информация)» // Предпринимательское право №4,

1999; И.Т. Кавеладзе, "Практика защиты коммерческой тайны в США (руководство по защите вашей

деловой информации)", М.: Издательство "ЭКО-консалтинг", 1992; Г.И. Раевский «Угрозы

экономической безопасности предприятия и задачи службы безопасности по их нейтрализации»// Журнал "Частный сыск" №4, М.: «Ось-89», 1994;

6

• Рассмотреть социальные аспекты обеспечения информационной безопасности;

• Проанализировать способы управленческого обеспечения безопасности организации в информационной сфере;

• Рассмотреть процессы функционирования управленческого и информационного взаимодействия на примере действующего субъекта предпринимательской деятельности;

• Разработать комплекс управленческих решений по формированию основ информационной безопасности в организации на примере субъекта предпринимательской деятельности.

Теоретические и методологические основы исследования.

Диссертационное исследование построено на основе фундаментальных теоретических положений социологии, менеджмента, теории информационной безопасности. При проведении исследования использовались такие социологические методы исследования, как включенное наблюдение и интервьюирование, а также общенаучные методы - анализ, синтез, информационный анализ, системный подход, сравнение, обобщение.

Использование междисциплинарных подходов и принципов позволило комплексно рассмотреть проблематику разработки управленческих решений в сфере информационной безопасности современной организации, предложить рекомендации по формированию системы информационной безопасности действующему субъекту предпринимательской деятельности.

Научная новизна работы состоит в выявлении комплекса управленческих решений, направленных на формирование основ информационной безопасности в организации:

• Проведен анализ социально-управленческого аспекта обеспечения информационной безопасности организации;

• Определено место и роль персонала организации в информационной безопасности предприятия;

• Определены и описаны аспекты разработки и принятия управленческих решений по обеспечению информационной безопасности;

• Установлено, что управленческие решения в области информационной безопасности ограничены в рамках законодательных, технических, экономических, социально-управленческих и процедурных аспектов.

Теоретическая и практическая значимость диссертации.

Диссертационная работа является результатом исследования деятельности организации в области информационной безопасности и комплексного анализа теоретических данных по тематике социального управления и информационной безопасности.

Выводы исследования могут быть использованы руководителями предприятий, специалистами в области информационной безопасности, администраторами корпоративных сетей и сотрудниками служб безопасности для выработки оптимальных управленческих решений в области безопасности.

Полученные в исследовании результаты могут быть использованы при подготовке и проведении учебных курсов и занятий, посвящённых информационной безопасности, а также изучении направления управленческих решений по обеспечению безопасности субъектов предпринимательской деятельности.

В соответствии с целью и задачами исследования, на защиту выносятся следующие положения:

1. Понятие социального управления в информационной безопасности организации представляет собой управленческие решения и действия руководства организации и ответственных лиц в области информационной безопасности, направленные на сохранение и поддержание целостности, конфиденциальности и доступности информации. При этом понятие социального управления особым образом раскрывается в различных уровнях информационной безопасности: в техническом уровне это управленческие решения по выбору, приобретению и эксплуатации технических средств защиты; в процедурном - реализация решений руководства организации в области информационной безопасности; в законодательном - контроль соблюдения законодательства в сфере информационной безопасности, а в административном уровне - управленческое воздействие, направленное на обеспечение безопасности организации.

2. Сотрудники организации оказывают противоречивое воздействие на общий уровень информационной безопасности. С одной стороны, персонал пред-8

ставляет собой мощный инструмент защиты информационной среды. При наличии правильной взаимосвязи с персоналом, проведении обучения, ознакомления с нормативной документацией и введении основных правил безопасности в должностные инструкции сотрудников руководство организации сможет избежать большинства нарушений информационной безопасности, так как, согласно статистическим данным, большинство из этих нарушений относятся к неумышленным действиям персонала. С другой стороны, внутренняя информационная среда организации наименее защищена от умышленных действий персонала, который, в таком случае, представляет собой один из основных источников угроз. Нахождение равновесия между процедурными мерами, направленными на персонал организации, является одной из главных задач руководства и специалистов в области информационной безопасности.

3. Важной составляющей функционирования комплексной системы информационной безопасности в организации являются психологические аспекты информационной безопасности. С одной стороны, правильное системное сочетание различных психологических мер позволит предотвратить многие угрозы безопасности еще на начальном этапе, существенно повысить общий уровень сохранности информации, оптимизировать расходы на средства защиты информации, способствовать развитию внутренней культуры организации. С другой стороны, необходимо поддерживать баланс влияния психологических аспектов информационной безопасности во избежание их отрицательного воздействия на деятельность и функционирование организации.

4. При разработке и принятии управленческих решений в области информационной безопасности необходимо учитывать законодательные, технические, экономические, социально-управленческие и процедурные аспекты информационной безопасности.

Апробация и реализация результатов исследования.

Разработанные в диссертации управленческие решения по формированию системы информационной безопасности были использованы при создании системы безопасности общества с ограниченной ответственностью «ТЭБ», что подтверждается приложением № 4 к данному исследованию.

Многие положения и наработки, сформулированные в диссертационном исследовании, были использованы при разработке и построении системы информационной безопасности общества с ограниченной ответственностью «ТЭБ».

Часть материалов диссертации была использована в публикациях автора.

Структура работы.

Диссертация состоит из введения, двух глав, 6 параграфов, заключения, библиографии и 5 приложений.

ОСНОВНОЕ СОДЕРЖАНИЕ ДИССЕРТАЦИИ.

Введение. Во введении обосновывается выбор темы диссертации, актуальность изучаемой проблематики, рассматривается степень разработанности направления информационной безопасности и сопутствующих направлений, описываются цели и задачи исследования, формулируются предмет и объект диссертационного исследования, определяются теоретические и методологические основы, научная новизна, теоретическая и практическая значимость диссертации, апробация и реализация результатов проведенной работы.

Первая глава. В первой главе «Социально-управленческие аспекты информационной безопасности организации» рассматривается понятие информационной безопасности в социальном управлении, описывается место и роль персонала в информационной безопасности организации, а также представление понятия информационной безопасности в технических, экономических и политических научных направлениях.

В первом параграфе первой главы «Понятие информационной безопасности в социальном управлении» раскрывается понятие информационной безопасности в управлении и взаимосвязь социального управления с различными уровнями информационной безопасности.

Информационная безопасность - это защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Информационная безопасность также раскрывается в комплексе мероприятий, обеспечивающих для охватываемой им информации факторы конфиденци-

альности (возможность ознакомиться с информацией имеют в своём распоряжении только те лица, кто владеет соответствующими полномочиями), целостности (возможность внести изменение в информацию должны иметь только те лица, кто на это уполномочен) и доступности (возможность получения авторизованного доступа к информации со стороны уполномоченных лиц в соответствующий санкционированный для работы период времени).

В зависимости от характера и методов деятельности, в понятии информационной безопасности выделяют принципиально различные уровни.

Под техническим уровнем информационной безопасности подразумевается использование технических приспособлений и средств, в том числе программного обеспечения, для защиты информационной среды организации. Административный уровень - это решения руководства организации (приказы, положения, правила безопасности), принимаемые в области информационной безопасности. Под процедурным уровнем понимаются действия сотрудников и руководства организации по реализации стратегии информационной безопасности (работа с персоналом, физическая защита доступа и т.д.), а к законодательному уровню относятся нормативные акты, определяющие меры ответственности за нарушения в области информационной безопасности организации.

Каждый из представленных уровней особым образом взаимодействует с понятием социального управления и реализует решения по информационной безопасности организации, что нашло своё отражение в дальнейшем содержании первого параграфа.

Под понятием информационной безопасности в управлении организацией понимаются решения и действия руководства предприятия и ответственных лиц в области обеспечения информационной безопасности.

Комплекс мер, которые содержат в себя решения и действия руководства предприятия, включает в себя разработку, принятие и контроль исполнения внут-риорганизационной документации (инструкций, правил, положений и т.д.) в области безопасности, создание службы информационной безопасности организации, разработку правил информационной безопасности организации, создание и поддержание корпоративной культуры, управление персоналом организации, построение системы безопасности организации с учетом психологических аспектов информационной безопасности, создание системы безопасного документооборо-

та и другие действия руководства организации и ответственных лиц в области обеспечения информационной безопасности.

Взаимодействие понятий социального управления и информационной безопасности организации носит многосторонний характер и раскрывается в управленческих решениях, принимаемых руководством организации.

Во втором параграфе первой главы «Проблематика информационной безопасности в прикладных научных направлениях» рассмотрено представление о понятии информационной безопасности в политических, технических и экономических научных направлениях.

Политические научные направления в сфере информационной безопасности включают в себя такие области исследования, как государственная безопасность, деятельность средств массовой информации, процесс и проблематика информатизации общества, информационная безопасность в контексте национальной безопасности, разработка законодательства в области информационной безопасности и безопасность политических структур.

Рассмотрены роль и понятие информационной безопасности в политических научных направлениях, определена методология политических наук при исследовании проблем информационной безопасности и круг задач, решением которых занимаются политические научные направления в рамках информационной безопасности.

Также определены области исследования информационной безопасности в политических науках, представлены ресурсы, используемые политическими науками для решения проблематики информационной безопасности, и приведены примеры угроз, которым противодействуют политические научные направления в сфере информационной безопасности.

Экономические научные направления исследуют проблематику информационной безопасности с позиции защиты финансовых интересов государства и организации, а также экономической обоснованности внедрения средств информационной безопасности.

Сформулировано понятие и роль информационной безопасности в экономических науках, определена методология экономических наук при исследовании проблематики информационной безопасности и рассмотрен спектр задач, решаемых политическими науками в рамках информационной безопасности, оп-

ределены области исследования экономических научных направлений в рамках информационной безопасности.

Также приведены ресурсы, используемые экономическими науками для решения проблематики информационной безопасности, и определены угрозы, которым противодействуют экономические научные направления в области информационной безопасности, приведены показатели и данные, используемые экономическими научными направлениями для исследования проблематики информационной безопасности.

Технические научные направления играют большую роль в разработке и производстве средств обеспечения информационной безопасности. При этом эти средства могут быть как исключительно техническими (сетевые экраны, приборы видеонаблюдения, средства контроля доступа), программными (антивирусное программное обеспечение, системы создания защищенных виртуальных сетей, средства защиты персональных данных и конфиденциальной информации) и теоретическими (разработка новых методов шифрования информации, постановка теорий защиты информации). В работе рассмотрены понятие и роль технических научных направлений в решении проблематики информационной безопасности, определена методология технических наук в области информационной безопасности и круг задач, решаемых техническими научными направлениями в рамках информационной безопасности. Также приведены ресурсы, используемые техническими науками для реализации решений в области информационной безопасности, классификация и примеры угроз, которым противодействуют технические науки в области информационной безопасности, представлены данные и показатели, необходимые техническим научным направлениям для решения проблематики информационной безопасности.

В параграфе обобщен материал из области технических, экономических и политических научных направлений, который раскрывает специфику информационной безопасности в каждом из них.

В третьем параграфе первой главы «Место и роль персонала в информационной безопасности организации» рассмотрена степень участия сотрудников организации в формировании и обеспечении информационной безопасности.

В основе работы с персоналом организации лежат два основных принципа, соблюдение которых гарантирует поддержание минимального уровня информа-

ционной безопасности - разделение обязанностей (распределение наиболее важных задач между сотрудниками) и минимизация привилегий (сотрудники имеют доступ только к необходимой для выполнения своей работы информации).

Необходимо создать условия в организации, при которых все сотрудники были строго дифференцированы по данным принципам, что позволит создать основу функционирования комплексной системы информационной безопасности.

Для более полного представления роли персонала в информационной безопасности организации, целесообразно разделить работу с сотрудниками на 3 этапа: 1) этап подбора, или работа с персоналом до приёма в штат организации; 2) работа с действующими сотрудниками организации; 3) работа с увольняемыми и бывшими сотрудниками организации.

Каждый из приведённых этапов характеризуется определенной спецификой взаимодействия с сотрудниками организации, которые рассматриваются с двух противоположных позиций - как основной источник угроз безопасности, и как средство поддержания высокого уровня защищённости информационной среды.

На этапе подбора персонала среди методов информационной безопасности можно выделить проведение собеседования в несколько стадий (например, с представителями различных отделов), проведение различных видов тестирования и проверка сведений, указанных сотрудником, отправка запроса на предыдущее место работы.

Этап работы с действующими сотрудниками организации включает в себя проведение обучения мерам безопасности, оповещение сотрудников о появлении новых угроз, ознакомление сотрудников с законодательной и внутриорганизаци-онной нормативной документацией, регулирование доступа к конфиденциальной информации.

На этапе работы с увольняемыми сотрудниками организации с позиции информационной безопасности необходимо проводить мероприятия по смене учетных записей пользователей, сокращению прав доступа сотрудника к информационным ресурсам, проведение передачи дел увольняемого и оповещение персонала организации о предстоящем увольнении.

Во второй главе «Разработка управленческих решений по формированию основ информационной безопасности в организации» представлен механизм и процесс разработки управленческих решений по формированию системы ин-

формационной безопасности в организации, аспекты принятия управленческих решений, а также пример использования механизма на действующем субъекте предпринимательской деятельности.

В первом параграфе второй главы «Механизм разработки управленческих решений по формированию основ информационной безопасности в организации» описаны основные этапы представленного механизма разработки управленческих решений в области информационной безопасности.

Логика создания механизма обусловлена использованием в процессе исследования актуальных и доступных данных, позволяющих сформировать целостное представление об организации и ее деятельности на момент формирования управленческих решений.

Механизм разработки управленческих решений включает в себя следующие этапы: 1) Анализ организационной структуры; 2) Определение видов критической информации; 3) Анализ критической информации с использованием схемы классификации угроз информационной безопасности ББЕССТ; 4) Разработка управленческих решений в соответствии с характеристиками угроз информационной безопасности; 5) Проверка управленческих решений на соответствие аспектам информационной безопасности; 6) Принятие управленческих решений.

На этапе анализа организационной структуры необходимо графически представить структуру организации для определения полномочий и ответственности сотрудников организации в информационной сфере, доступе к информационным ресурсам, функциональных обязанностях и информационных потребностях сотрудников, использовании программно-технических средств (рабочих станций, серверов), наличии внутренней корпоративной сети, установленных системах идентификации пользователей и технических средств защиты.

На следующем этапе происходит процесс определения критической информации, которая способна оказать существенное влияние на работоспособность организации. Так как количество возможных видов критической информации может достигать внушительного количества, необходимо выделить наиболее актуальную из них. Для этого нужно определить основные задачи, стоящие перед организацией и информацию, связанную с реализацией этих задач. Если для хранения или передачи критической информации используется какая-либо сопутст-

вующая инфраструктура или дополнительные средства, то их также необходимо определить на данном этапе.

На следующем этапе необходимо провести анализ критической информации с использованием схемы классификации угроз информационной безопасности DSECCT, разработанной компанией Digital Security (см. приложение №2). При этом определяются возможные нарушители и источники угроз.

Согласной данной классификации, угрозы информационной безопасности организации дифференцируются по характеру, виду воздействия, источнику и объекту угрозы. По характеру угрозы могут быть технологическими или организационными, в зависимости от того, связано ли возникновение угрозы с техническими (оборудование, программно-аппаратные информационные системы) или организационными (сотрудники организации) факторами.

Для анализа угроз информационной безопасности исследуемой организации используется таблица, построенная на основе схемы классификации угроз DSECCT, с помощью которой определяются наиболее актуальные угрозы для безопасности и можно предложить меры по их нейтрализации. Исходя из таблицы, нужно рассмотреть каждую угрозу по следующим признакам: по характеру, виду воздействия, источнику и объекту угрозы.

На следующем этапе определяются меры защиты и управленческие решения в соответствии с характеристиками угроз информационной безопасности. Согласно классификации DSECCT, все угрозы делятся на технологические и организационные. Следовательно, меры защиты от этих угроз будут технологическими и организационными. Необходимо привести подробное описание каждого из представленных источников угроз для организации и определить меры по нейтрализации данного источника. Полученные таким образом меры и будут являться управленческими решениями.

На следующем этапе происходит проверка управленческих решений на соответствие законодательным, техническим, экономическим, социально-управленческим и процедурным аспектам информационной безопасности, и на последнем этапе - окончательное принятие управленческих решений.

Во втором параграфе второй главы «Аспекты разработки и принятия управленческих решений по обеспечению информационной безопасности» пред-

ставлены направления, в рамках которых осуществляются управленческие решения в сфере информационной безопасности организации.

Управленческие решения в области безопасности являются фундаментом построения системы защиты информации в организации, поэтому представляется важным еще на этапе принятия решений учесть возможные последствия предпринимаемых действий. При формировании управленческих решений необходимо учесть различные аспекты, связанные со спецификой сферы информационной безопасности и оказывающие непосредственное влияние на принимаемые управленческие решения. Можно выделить следующие аспекты принятия управленческих решений в сфере информационной безопасности: законодательные, технические, экономические, социально-управленческие и процедурные.

Законодательные аспекты управленческих решений в области информационной безопасности означают, что любое управленческое решение в рамках информационной безопасности должно опираться на законодательство Российской, не противоречить и не нарушать его.

Технические аспекты информационной безопасности означают, что управленческие решения ограничены возможностями программно-технических средств защиты информации.

Экономические аспекты информационной безопасности представляют собой экономическую обоснованность вложений финансовых средств организации в реализацию программ по защите информации, и возникающие впоследствии этого ограничения, накладываемые на управленческие решения.

Социально-управленческие аспекты представляют собой общие управленческие решения руководства организации в области информационной безопасности, направленные на формирование генеральной стратегии обеспечения информационной.

Процедурные аспекты информационной безопасности означают необходимость придания управленческим решениям формы конкретных действий-процедур, направленных на реализацию общей стратегии обеспечения информационной безопасности организации.

Полученные с использованием механизма, описанного в первой главе, управленческие решения, необходимо проверить на соответствие представленным аспектам информационной безопасности.

В третьем параграфе второй главы «Разработка управленческих решений по формированию основ информационной безопасности в организации» представлен процесс практического использования представленного механизма разработки управленческих решений на примере действующего субъекта предпринимательской деятельности.

Согласно механизму, на первом этапе необходимо провести анализ организационной структуры рассматриваемого предприятия, а также протекания процессов информационного обмена, количественный и качественный состав персонала, его должностные обязанности и полномочия, используемые программно-технические средства передачи данных.

Полученную информацию необходимо использовать на следующем этапе для определения видов критической информации. Так как основным видом деятельности для рассматриваемой организации является разработка программного обеспечения, то критическими угрозами будут угрозы для разработок и поддерживающей инфраструктуры, то есть информации, программно-технических средств и внутренней локальной сети. Также критической информацией будут данные о бухгалтерском и финансовом учете, так как от них зависит операционная деятельность организации. Полный список видов критической информации (и поддерживающей инфраструктуры) для рассматриваемой организации включает в себя: 1) Программные разработки организации, хранящиеся на серверах компании в электронном виде; 2) Данные о бухгалтерском и финансовом учете в бумажном и электронном виде; 3) Наработки сотрудников организации, хранящиеся на их рабочих станциях в электронном виде; 4) Проектная документация организации в электронном и бумажном виде; 5) Внутренняя корпоративная сеть организации.

На следующем этапе необходимо провести анализ угроз для критической информации с использованием схемы классификации угроз ББЕССТ. Каждый вид критической информации анализируется на воздействие со стороны угрозы, которые различаются по характеру, виду воздействия, источнику и объекту.

В результате проведённого анализа, получен следующий список источников угроз, которые необходимо учесть при разработке управленческих решений: к источникам технологических угроз относятся локальный и удалённый нарушитель, отказ оборудования и внутренних систем, форс-мажорные обстоятельства,

человек; к источникам организационных угроз относятся умышленные и неумышленные действия персонала.

На следующем этапе определяются меры защиты от источников угроз, которые будут представлять собой управленческие решения. Для определения мер необходимо использовать методы защиты из теории информационной безопасности, которые являются наиболее подходящими для полученных источников угроз. К примеру, для организации эффективной защиты от локального нарушителя необходимо обеспечить защиту его объектов угрозы - информации, программного обеспечения и операционной системы. В сфере информационной безопасности применяются следующие меры защиты: 1) Управление доступом к информационным ресурсам организации и разграничение полномочий пользователей; 2) Протоколирование и аудит информационных потоков внутренней сети организации с использованием программных и технических средств; 3) Использование антивирусного программного обеспечения; 4) Использование средств шифрования для наиболее критичных видов информации.

На следующем этапе происходит проверка управленческих решений на соответствие аспектам информационной безопасности. На основании анализа и сопоставления приведенных данных, и при использовании механизма, представленного в первой главе, разработаны управленческие решения по формированию основ информационной безопасности. Управленческие решения разделяются на общеорганизационные, направленные на персонал организации и на программно-технические средства.

Общеорганизационные управленческие решения в сфере информационной безопасности включают в себя решения по постоянному использованию системы идентификации пользователей внутренней сети организации, системы протоколирования и аудита информационных потоков во внутренней сети организации. При этом необходимо не реже 1 раза в неделю проводить процедуру резервного копирования критических данных организации. Обязательно к использованию только лицензионное программное обеспечение для нужд организации.

Для всех программно-технических средств организации необходимо использовать источники бесперебойного питания. Обязательны к использованию системы хранения (сейфы) для всей проектной и бухгалтерской документации организации. Среди запрещающих мер, составляющих управленческие решения,

можно выделить запрет на эксплуатацию программно-аппаратных средств, оборудования и внутренней локальной сети организации лицами, не являющимися сотрудниками организации. При трудоустройстве в организацию нового сотрудника (на этапе проведения собеседования) руководство организации устанавливает за собой право проверки кандидата и установления подлинности предоставленной им информации. Обязательно к использованию в организации системы противопожарной сигнализации. Указанные управленческие решения должны быть оформлены в виде приказов и занесены во внутриорганизационную документацию.

Управленческие решения, направленные на персонал, включают в себя реализацию мероприятий по использованию программно-аппаратных средств и оборудования организации исключительно в рабочих целях и запрет на использование программно-аппаратных средств и оборудования в личных и других целях. Важным управленческим решение является закрепление во внутриор-ганизационной документации и трудовых договорах с сотрудниками постановления о том, что информация, созданная и хранящаяся на программно-аппаратных средствах организации, является собственностью данной организации, а также того, что сотрудник организации несёт ответственность за сохранность своего пароля, при этом запрещается передача, запись на бумаге, хранение в сети и другие действия, в результате которых пароль может стать известным сторонним лицам, в том числе другим сотрудникам организации.

Среди запрещающих мер, составляющих управленческие решения, можно отметить введение запрета на самостоятельную установку программного обеспечения на программно-аппаратные средства организации, запрет на изменение, копирование, удаление и другие действия с информацией, хранящейся на рабочих станциях других сотрудников организации, запрещается использование программно-аппаратных средств организации в целях, противоречащих законодательству Российской Федерации, а также запрещается использование сотрудниками организации средств записи и хранения информации. Также руководство организации должно оставлять за собой право проверки и анализа всех программно-аппаратных средств и оборудования организации, что должно быть закреплено во внутриорганизационной документации.

Среди других управленческих решений можно выделить решение об обязательном использовании системы управления доступом и разграничения полномочий сотрудников в использовании информации и информационных систем организации. Также необходимо управленческое решение о внесении дополнений во внутриорганизационные нормативные документы данных о том, что сотрудники организации обязаны строго придерживаться законодательства Российской Федерации при эксплуатации программно-аппаратных средств и оборудования организации, обязаны соблюдать авторские права производителей программного обеспечения и условия использования программных лицензий, а также законодательство в области интеллектуальной собственности. Необходимо принятие управленческого решения о том, что каждый пользователь внутренней сети организации обладает теми привилегиями использования программно-аппаратных средств, которые необходимы для осуществления его деятельности. Необходимо определить привилегии и нормативно установить полномочия сотрудников при использовании информационных систем.

Важным является принятие управленческого решения о том, что все сотрудники организации обязаны проходить обучение основам информационной безопасности, установить соответствующие сроки, время и содержание обучающих программ.

Управленческие решения, направленные на программно-технические средства, включают в себя: решения об обязательном использовании обновляемого антивирусного программного обеспечения на всех серверах и рабочих станциях в организации, периодическом проведении процедур шифрования конфиденциальной информации, находящейся в электронном виде, по мере её поступления, разграничении доступа пользователей к периферийным устройствам в соответствии с должностной инструкцией. Также необходимы управленческие решения о постоянном использовании межсетевого экрана для внутренней локальной сети организации и запрете эксплуатации внутренней локальной сети организации без межсетевого экрана, обязательное использование средств фильтрации входящих и исходящих почтовых сообщений организации и использование системы защиты от спама почтового сервера организации.

Указанные управленческие решения получены с использованием представленного механизма разработки управленческих решений и соответствуют аспектам информационной безопасности.

В заключении подводятся итоги проведенного исследования и даны общие рекомендации по соблюдению правил информационной безопасности.

По теме диссертации опубликованы следующие работы:

Публикации в журналах, рекомендованных ВАК РФ:

1. Поляков A.B. «Информационная безопасность организации: социально-управленческий анализ» // «Социально-гуманитарные знания». - М. - 2010,- № 5. С.173-179.

2. Поляков A.B. «Место и роль персонала в информационной безопасности организации» // «Социально-гуманитарные знания». - М. - 2011.- № 5. С. 131-137.

3. Поляков A.B. «Проблематика информационной безопасности в экономических научных направлениях» [Электронный ресурс] // «Теория и практика общественного развития» - 2011. - №6. URL: http://www.teoria-practica.ru/-6-2011/sociology/ polyakov.pdf (дата обращения: 26.01.2012).

4. Поляков A.B. «Проблематика информационной безопасности в политических научных направлениях» [Электронный ресурс] // «Технологии техносферной безопасности» - 2011. - №3. URL: http://ipb.mos.rU/ttb/2011-3/2011-3.html#3 (дата обращения: 26.01.2012).

5. Поляков A.B. «Механизм разработки управленческих решений по формированию основ информационной безопасности в организации» // «Информационная безопасность регионов». - Саратов. - 2011,- № 2. С. 101-104.

6. Поляков A.B. «О научных направлениях решения проблем информационной безопасности» [Электронный ресурс] // «Технологии техносферной безопасности» - 2011. - №6. URL: http://ipb.mos.ru/ttb/2011-6/#6 (дата обращения: 26.01.2012).

Подписано в печать 27.01.2012

Формат 60x90'/i6 Бумага 80 гр/м2 Гарнитура Times

Объем 1,25 п.л. Тираж 100 экз. Заказ № 68

Отпечатано в «ИПД Триальфа»,

103305, Москва, Зеленоград, проезд 4807, д.1., стр.1

 

Текст диссертации на тему "Разработка управленческих решений по формированию основ информационной безопасности в организации"

61 12-22/120

Федеральное государственное бюджетное образовательное учреждение

Высшего профессионального образования Московский государственный технологический университет «Станкин»

На правах рукописи

Поляков Андрей Владимирович

РАЗРАБОТКА УПРАВЛЕНЧЕСКИХ РЕШЕНИЙ ПО ФОМИРОВАНИЮ ОСНОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В ОРГАНИЗАЦИИ

Специальность 22.00.08 - Социология управления Диссертация на соискание ученой степени кандидата социологических наук

Научный руководитель: кандидат философских наук, проф. В.И. Алешин

Москва-2012

Оглавление

Введение.....................................................................................3

Глава 1. «Социально-управленческие аспекты информационной безопасности организации»

§1. Понятие социального управления в информационной безопасности организации.................................................................................15

§2. Проблематика информационной безопасности в прикладных научных направлениях................................................................................36

§3. Место и роль персонала в информационной безопасности организации.................................................................................56

Глава 2. «Разработка управленческих решений по формированию основ информационной безопасности в организации»

§1. Механизм разработки управленческих решений по формированию основ информационной безопасности в организации............................74

§2. Аспекты разработки и принятия управленческих решений по обеспечению информационной безопасности.....................................89

§3. Разработка управленческих решений по формированию основ информационной безопасности в организации...................................109

Заключение...............................................................................134

Библиография...........................................................................140

Приложения..............................................................................158

Введение

Задачи обеспечения информационной безопасности общества, государства и организации наиболее остро встают в последние годы. Социология ещё несколько десятилетий назад наметила переход западных стран с индустриального на информационный путь развития. Это качественно иное направление, к которому продолжают присоединяться

другие государства.

Изменения, происходящие вслед за этим переходом, касаются не только экономических основ функционирования общества, но также принципов коммуникации, отношений между людьми, несут глубинные перемены в характере человеческой деятельности.

Изменение направления развития общества, помимо своих преимуществ и недостатков, несёт в себе также изменения в характере угроз индивиду, обществу, государству и организации. Можно говорить о целом комплексе угроз информационного свойства, которые продолжают усиливать своё влияние на социальные процессы. Особенно актуальной стала защита информационной безопасности общества и государства в связи с распространением большого количества источников информации, появлением иностранных средств массовой информации, широким использованием различных электронных средств передачи информации. Появились такие понятия как «информационная война» и «информационное оружие».

В связи с этим проблематика информационной безопасности различных социальных систем, в том числе коммерческих организаций, приобретает новое, актуальное значение. Помимо материальных, людских и других видов ресурсов предприятия, особое значение начинают приобретать информационные ресурсы, включающие в себя информацию о деятельности организации, новых разработках и технологиях, конфиденциальные данные и многое другое.

Исходя из определения, информационная безопасность - это защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.1

Все требования к информационным системам со стороны пользователей сводятся к обеспечению доступности, целостности и конфиденциальности информационных ресурсов и сопутствующей инфраструктуры. «Доступность - это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищённость от разрушения и изменения; конфиденциальность - это защита от несанкционированного доступа к информации».2

Следовательно, для удовлетворения потребностей пользователей и нормального функционирования организации, необходимо поддерживать три вышеприведённые категории в рабочем состоянии. С позиции обеспечения безопасности организации, это говорит о том, что систему информационной безопасности нужно строить исходя из интересов поддержания доступности, целостности и конфиденциальности, при этом добиваясь осуществления каждой из трёх категорий на всех этапах реализации программы безопасности.

Коммерческие предприятия, являясь основой стабильности и роста развитых и развивающихся стран, при этом сильно зависят от решений государства в законодательной сфере, в том числе в сфере информационной безопасности. Тем самым создаётся один из основных аспектов информационной безопасности - законодательный. Другие аспекты

1 В. Бетелин, В. Галатенко. «Информационная безопасность России. Опыт составления карты». Jet Info №1, 1998. С. 4-11.

2 В.А. Галатенко «Основы информационной безопасности». М.: Интернет-университет информационных технологий - ИНТУИТ.ру, 2006. С. 13.

информационной безопасности - технологический и организационный (административный), в первую очередь зависят от решений руководства организации.

Основной целью информационной безопасности организации, как субъекта хозяйственной деятельности, является сохранение и поддержание нормального рабочего процесса, повышение конкурентоспособности и содействие развитию организации. Полноценное функционирование предприятия и использование всех доступных ресурсов в новых экономических условиях может быть достигнуто при реализации следующих направлений информационной безопасности:

• Поддержание необходимого уровня сохранности конфиденциальной информации;

• Использование законодательства в целях защиты безопасности организации;

• Анализ рисков и угроз информационной безопасности;

• Использование программно-технических средств для защиты безопасности;

• Создание службы информационной безопасности;

• Разработка правил информационной безопасности организации;

• Оптимизация и изменение организационной структуры предприятия с позиции информационной безопасности;

• Разработка и изменение организационной документации в интересах безопасности предприятия;

• Построение алгоритмов и механизмов реагирования на информационные угрозы;

• Разработка моделей восстановления работоспособности организации при реализации информационных угроз.

Актуальность темы исследования.

Необходимость обеспечения информационной безопасности организации - это задача, с которой всё чаще сталкиваются руководители современных предприятий. Повышение важности информационных ресурсов, развитие информационных отношений, высокая степень проникновения технических средств передачи и хранения информации - все эти направления получили широкое распространение в последние годы.

Актуальность исследования механизмов разработки управленческих решений в сфере информационной безопасности организации обусловлена

следующими факторами:

Во-первых: информационное направление развития общества в целом предусматривает совершенно иной подход к восприятию понятия информации - теперь она становится одним из важнейших ресурсов организации, раскрывающимся в таких понятиях как конфиденциальная информация, ноу-хау, интеллектуальная собственность организации, новые технологии и собственные разработки. Благодаря технологическим изменениям в области распространения и передачи данных, произошёл сильный рост числа источников информации. Для организации это означает необходимость серьёзного отношения к собственным информационным ресурсам.

Во-вторых: сотрудники играют основополагающую роль в обеспечении и поддержании информационной безопасности в организации. При скоординированной работе с персоналом в области информационной безопасности, руководство организации сможет сократить к минимуму большинство угроз для информационной среды. С другой стороны, сотрудники организации являются основным источником угроз для безопасности, что необходимо учитывать при разработке и принятии управленческих решений. Персонал является одним из наиболее эффективных инструментов для поддержания безопасности внутренней среды организации.

В-третьих: во всём мире наблюдается рост числа нарушений в информационной сфере, и, как результат, увеличение финансовых потерь организаций и государственных структур из-за нарушений в области информационной безопасности. В связи с этим руководство организаций поставлено перед выбором: развитие основных направлений информационной безопасности или функционирование организации в условиях повышенных рисков и угроз. При этом зачастую стоимость решений по информационной безопасности намного ниже, чем потенциально

возможные потери организации.

В-четвертых: широкое распространение средств хранения и передачи информации, удешевление их стоимости и появление новых технологических устройств, наряду с повышением важности информационной составляющей в деятельности организации, создаёт дополнительные риски для различных аспектов деятельности предприятия и вынуждает руководство принимать ответственные меры для достижения компромисса между интересами сотрудников и организации. На этом этапе необходимо принятие взвешенных и продуманных мер, находящихся в области управленческих решений по обеспечению информационной безопасности организации. Степень разработанности проблемы.

Общим вопросам информационной безопасности посвящены работы таких исследователей, как В.В. Домарев, В.А. Галатенко, С.М. Доценко, В.Ф. Шпак, В.И. Ярочкин, A.B. Волоткин, В.Б. Байбурин, А.П. Маношкин, A.B. Петраков, А.Я. Приходько, А.Ю. Щербаков, B.JI. Цирлов, С.Н. Сёмкин, Э.В. Беляков, C.B. Гребенев, В.П. Мельников, С.А. Клейменов, Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, A.A. Шелупанов, A.A. Малюк и других.1

1 См. например, В.И. Ярочкин «Информационная безопасность. Учебник для вузов», М.: «Академический проспект»; «Гаудеамус», - 2-е изд. 2004; В.А. Галатенко «Основы информационной безопасности: курс лекций, учебное пособие», M.: ИНТУИТ.РУ «Интернет-университет Информационных Технологий», 2006; С.А. Леденко, A.C. Марков, И.А. Чикалёв «Статистика внедрения «Общих критериев» в зарубежных странах»//Журнал "Information 8есигйу"/«Информационная безопасность» # 1+2 2006; A.C. Марков, В.Л. Цирлов «Управление рисками - нормативный вакуум информационной безопасности»//Журнал «Открытые системы» №8, 2007; В.П. Мельников, С.А. Клейменов, A.M. Петраков / Под редакцией С.А. Клейменова «Информационная безопасность и защита информации», M.: «Издательский центр «Академия»», 2008; A.B. Петраков «Основы практической защиты информации», М.: Издательство «Радио и связь», 1999; С.Н.

Информационной безопасности предприятий и организаций посвящены работы И.Р. Конеева, A.B. Беляева, В.Ю. Скибы, В.А. Курбатова, В.А. Игнатьева, М.И. Петрова, С. Бармана, В.В. Панкратьева, Н.И. Баяндина, В.А. Пярина, A.C. Кузьмина, С.Н. Смирнова, A.A. Садердинова, В.А. Трайнёва, A.A. Федулова, A.A. Одинцова и ряда других авторов.1

Технические стороны обеспечения информационной безопасности нашли своё отражение в работах П.А. Тимофеева, В.Ф. Шаньгина, Ю.В. Романца, М.Н. Дворского, С.Н. Палатченко, A.B. Соколова, A.A. Хорева, Г.Н. Устинова, В.Г. Проскурина, А.А Голиусова, A.C. Дубровина, В.А. Лавлинского, Т.А. Биячуева, Ю.К. Меньшикова, И.В. Котенко, М.М. Котухова, A.C. Маркова, A.C. Дубровина, О.Ю. Макарова, Е.А. Рогозина, A.A. Торокина и других.2

Информационная безопасность государства представлена в работах A.A. Стрельцова, Ю.С. Уфимцева, К.А. Феофанова, В.Н. Лопатина, И.Н. Панарина, Е.А. Ерофеева, В. Г. Шевченко, И.Ю. Алексеевой, И.В. Авчарова, Д.С. Вотрина и других.

Сёмкин, Э.В. Беляков, C.B. Гребенев, В.И. Козачок «Основы организационного обеспечения информационной безопасности объектов информатизации», М.: «Гелиос АРВ», 2005; А.Я. Приходько «Информационная безопасность в событиях и фактах», М.: «Синтег», 2001; A.A. Шумский, A.A. Шелупанов «Системный анализ в защите информации. Учебное пособие», М.: «Гелиос-АРВ», 2005; А.Ю. Щербаков «Введение в теорию и практику компьютерной безопасности», М.: Издательство «Молгачёва C.B.», 2001; A.B. Волоткин, А.П. Маношкин «Информационная безопасность», М.: «НТЦ «ФИОРД-ИНФО»», 2002.

1 См. например, A.A. Одинцов «Защита предпринимательства», М.: Издательство «Международные отношения», 2003; В.А. Пярин, A.C. Кузьмин, С.Н. Смирнов «Безопасность электронного бизнеса», M.: «Гелиос-АРВ», 2002; Н.И. Баяндин «Технологии безопасности бизнеса» М.: «Юристь», 2002; Г.М. Озеров «Эффективные корпоративные информационные технологии - главные критерий успеха в бизнесе», М.: «Управление персоналом», 2002; И.К. Корнеев, В.А. Машурцев «Информационные технологии в управлении», М.: «ИНФРА-М», 2001; B.B. Панкратьев «Корпоративная безопасность. Методическое пособие по спецкурсу», М., 2005; О.Ю. Гаценко «Защита информации. Основы организационного управления», СПб.: «Издательский дом «Сентябрь»», 2001; М.А. Гуриев «Вопросы формирования информационных ресурсов руководителей высшего уровня»// «Информационные ресурсы» №2, 2001;

2 См. например, В.Ф. Шаньгин «Информационная безопасность компьютерных систем и сетей», М.: «ИД «ФОРУМ»»: «ИНФРА-М», 2008; А.А Голиусов, A.C. Дубровин, В.А. Лавлинский и др. «Методические основы проектирования программных систем защиты информации», Воронеж: «ВИРЭ», 2002; A.A. Торокин «Инженерно-техническая защита информации. Учебное пособие», M.: «Гелиос-АРВ», 2005; Б.Ю. Анин «Защита компьютерной информации», СПб.: «БХВ - Санкт-Петербург», 2000; Г.Н. Устинов «Основы информационной безопасности систем и сетей передачи данных», М.: «Синтег», 2000; С.Н. Семкин «Основы информационной безопасности объектов обработки информации. Научно-практическое пособие», Орёл: 2000; Ю.Н. Максимов, В.Г. Сонников и др. «Технические методы и средства защиты информации», СПб.: «Полигон», 2000; A.C. Дубровин, О.Ю. Макаров, Е.А. Рогозин и др. «Методы и средства автоматизированного управления подсистемой контроля целостности в системах защиты информации», Воронеж: «Воронежский государственный университет», 2003;

3 См. например, К.А. Феофанов «Институциональные механизмы обеспечения безопасности цивилизационного развития России»// Журнал «Социально-гуманитарные знания» №4, 2006; Коллектив

Направлениям защиты коммерческой тайны и созданию службы информационной безопасности посвящены работы A.B. Жукова, А.И. Алексеева, В.А Копылова и других.1

Необходимо отметить, что большинство авторов, чьи работы посвящены области информационной безопасности организаций, говорят о важности применения комплексного подхода в отношении формирования системы информационной безопасности на предприятии, создании службы информационной безопасности, создании критериев (политики) информационной безопасности. При этом остаётся незамеченным такое актуальное направление, как психологические аспекты информационной безопасности, представляющее собой неразработанную и потенциально обширную область исследования.

Предмет и объект диссертационного исследования.

Предметом диссертационного исследования выступает процесс разработки управленческих решений по формированию системы информационной безопасности в организации. Объектом исследования являются социально-управленческие процессы в современной организации, направленные на персонал.

Цель и задачи исследования.

Цель диссертационного исследования состоит в обосновании управленческих способов формирования системы информационной безопасности в организации на примере действующего субъекта предпринимательской деятельности.

Реализация обозначенной цели предопределила круг решаемых задач:

авторов под редакцией В.К. Сенчагова «Экономическая безопасность России. Общий курс», М.: Издательство «Депо», 2005; В.Н Лопатин «Информационная безопасность России: Человек. Общество. Государство», СПб.: Фонд «Университет», 2000; И.Ю. Алексеева, И.В. Авчаров, Д.С. Вотрин и др./ Под редакцией A.B. Фёдорова и В.Н Цыгичко «Информационные вызовы национальной и международной безопасности», М.: «ПИР-Центр», 2001; Л.А. Василенко «Интернет в информатизации государственной службы России. Социологические аспекты», М.: «РАГС», 2000.

1 См. например, Э.Я. Соловьёв «Коммерческая тайна и её защита», М.: «Ось-89», 2002; Степанов Е. ««Кроты» на фирме (персонал и конфиденциальная информация)» // Предпринимательское право №4, 1999; И.Т. Кавеладзе, "Практика защиты коммерческой тайны в США (р