Биржи в экономике отрасли
Биржа - инструмент функционирования отрасли. Классификация товарных бирж. Фьючерсы. Разработка информационной системы отрасли. Отраслевой стандарт на форму представления информации. Безопасность инфосистемы. Разработка эскизного плана инфосистемы.
| Рубрика | Банковское, биржевое дело и страхование |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 30.11.2008 |
| Размер файла | 918,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
В частности, сегодня уже важно решать проблемы стандартизации представления информации в системе ведомственной подотчетности и раскрытия информации, стандартизации форматов сообщений между программными средствами участников рынка, регуляторов, информационных агентств, обеспечения надежности и целостности информации при ее обработке и поставке, выработке протоколов взаимодействия, учитывающих полностью безбумажную обработку информации по рынку ценных бумаг и т.д.
На сегодняшний день эти задачи решаются разрозненно силами различных участников рынка и ФКЦБ России. Ресурсы на создание эффективных стандартов форматов, обработки и поставки информации практически не выделяются - каждый участник рынка, каждое информагентство и даже ФКЦБ России не имеют достаточных ресурсов, чтобы решать эту обще рыночную задачу (ФКЦБ России тоже эпизодически занимается вопросами стандартизации в ходе подготовки тех или иных постановлений, связанных с установлением норм и правил для предоставления информации в целях ведомственной подотчетности и раскрытия информации).
К сожалению, ресурсы, которые могут сегодня выделить регуляторы рынка (ведомства и само регулируемые организации) явно недостаточны для организации нормальной работы по саморегулированию в данной области рынка. В ФКЦБ России этим занимается один эксперт, который не в состоянии обеспечить адекватный уровень обслуживания для участников рынка. Более того, разработки ФКЦБ России и информационных агентств на сегодняшний день недостаточно координируются, что может привести к множеству стандартов на одном рынке - а это явно не стимулирует потребительский спрос на информацию.
В подобной ситуации ФКЦБ России, в конце концов, выдаст очередную серию постановлений, плохо, но регулирующую различные аспекты деятельности участников рынка по сбору и поставке информации в связи с ведомственной подотчетностью и раскрытием. Качество же разрабатываемых Комиссией постановлений может оказаться неприемлемым для участников рынка.
Этот замкнутый круг разорвет организация Консорциума стандартизации информации по рынку ценных бумаг, как единого разработчика стандартов и правил работы с информационными технологиями для участников рынка, регуляторов, информационных и аналитических агентств. Целями Консорциума являются развитие основанной на открытых публичных стандартах инфраструктуры поддержки инвестиционных решений и поощрение сотрудничества в соответствующей отрасли. Роль Консорциума - обеспечивать нейтральное по отношению к поставщикам продуктов, технологий и сервисов архитектурное, инженерное и административное лидерство.
Консорциум стандартизации информации по рынку ценных бумаг может быть создан, как отдельная деятельность какой-либо нейтральной или исследовательской организации. Для ведения этой деятельности будет образован отдельный баланс, который сможет аккумулировать средства, получаемые от участников рынка, информационных агентств, аналитических агентств, спонсорских организаций, озабоченных качеством и содержанием соответствующих стандартов.
Доход Консорциума, больший, чем требуется для покрытия прямых и накладных расходов Консорциума, будет потрачен на инновационные работы по стандартизации инфраструктуры поддержки инвестиционных решений, как будет определено Директором согласно предложений Совета Консорциума (совещательного органа Консорциума).
На собранные в виде членских взносов деньги могут быть наняты дополнительные технические и содержательные сотрудники, закуплено дополнительное оборудование, оплачена аренда мест заседаний, организовано сопровождение списков рассылки и web-сайтов, что резко ускорит сроки разработок стандартов и позволит поднять их качество. Улучшение качества работ происходит за счет формализации отношений между сотрудниками, ответственными за разработку стандартов и остальными участниками рынка (то есть за счет применения формального трех стадийного процесса рассмотрения стандартов, включающего содержательные голосования членов Консорциума). Еще одно преимущество - решения будут приниматься быстро. Эти решения будут являться обоснованными (informed), но не будут следствием "чисто демократической" процедуры.
На сегодняшний день практически нет возможности привлекать к работе регуляторов по стандартизации участников рынка, информационные и аналитические агентства, консультантов. А ведь они не только могли бы принимать участие в разработках стандартов, они могли бы также официально спонсировать эти разработки путем уплаты членских взносов в Консорциум и временным командированием своих сотрудников в Консорциум для выполнения определенных работ. Им было бы выгодно делать это - потому что Консорциум позволил бы им иметь рыночное преимущество перед не членами Консорциума с одной стороны, не теряя при этом общественного имиджа своей деятельности. Достигается это тем, что результаты работы Консорциума являются открытыми и бесплатными, но открываются через месяц после окончания разработки. Процесс работы и промежуточные результаты могут быть доступны только членам Консорциума. Таким образом, члены Консорциума готовы оплачивать дополнительную экспертизу, которые они получают от участия в рабочих группах, а также ускорение доступа к рыночным стандартам, которое они получают по сравнению с не членами Консорциума.
Подобный механизм объединения ресурсов конкурирующих на рынке организаций для выработки общих стандартов в развитых странах получил наименование "industry consortium" и весьма широко распространился. Обычно такие отраслевые консорциумы представляют собой одну из форм саморегулирования на рынках, которые не контролируются государством. В приложении. В можно ознакомится с основными положениями стандарта.
2.4. Безопасность инфосистемы
Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Национальный информационный ресурс является сегодня одним из главных источников экономической мощи государства. Проникая во все сферы деятельности государства, информация приобретает конкретные политические, материальные и стоимостные выражения. На этом фоне все более остроактуальный характер приобретает в последние десятилетия и, особенно в настоящее время, задача обеспечения информационной безопасности Российской Федерации, как неотъемлемого элемента ее национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач.
Защита информации обеспечивается в любом государстве и в своем развитии проходит множество этапов в зависимости от потребностей государства, возможностей, методов и средств ее добывания, правового режима в государстве и реальных усилий его по обеспечению защиты информации.
Обеспечение информационной безопасности (ИБ) компьютерных систем различного назначения продолжает оставаться чрезвычайно острой проблемой. Можно констатировать, что несмотря на усилия многочисленных организаций, занимающихся решением этой проблемы, общая тенденция остается негативной.
На рисунке 10 представлен прогноз роста числа инцидентов в области ИБ, имеющих тяжелые последствия в крупных организациях по данным [8]. Основных причин две:
Возрастающая роль информационных технологий в поддержке бизнес процессов, как следствие возрастающие требования к ИБ автоматизированных систем. Цена ошибок и сбоев информационных систем возрастает.
Возрастающая сложность информационных процессов. Это предъявляет повышенные требования к квалификации персонала, ответственного за обеспечение ИБ. Выбор адекватных решений, обеспечивающих приемлемый уровень ИБ при допустимом уровне затрат, становится все более сложной задачей.
Первая причина носит объективный характер, ей можно противопоставить только способность организации обеспечивать возрастающие требования в области ИБ.
Для нейтрализации воздействия второй причины необходимо отслеживать соответствие квалификации персонала, ответственного за обеспечение ИБ и стоящих задач, получить объективную оценку состояния подсистемы ИБ.
Рисунок 10 Процент организаций, имевших серьёзные инциденты в области информационной безопасности.
Для решения этих задач создаются организации аудиторов в области ИБ, ставящие своей целью проведение экспертизы соответствия системы ИБ некоторым требованиям, оценки системы управления ИБ, повышения квалификации специалистов в области ИБ. Статус таких организаций может быть как государственный (при национальных институтах стандартов) так и независимых международных организаций.
Идея проведения аудита ИБ и аттестации информационной системы на соответствие некоторым требованиям не нова. Система аттестации обычно появляется одновременно с принятием стандартов ИБ.
В последнее время в разных странах появилось новое поколение стандартов в области ИБ, посвященных практическим аспектам организации и управления ИБ, некоторые рассмотрены в. Особого внимания заслуживает британский стандарт BS7799 и ассоциированные документы, как наиболее проработанные и апробированные [9].
Построение системы управления ИБ в соответствии с этими стандартами предполагает наличие (рисунок 11):
явно декларированных целей в области безопасности;
эффективной системы менеджмента ИБ, имеющей совокупность показателей для оценки ИБ в соответствии с декларированными целями, инструментарий для обеспечения ИБ и оценки текущего ее состояния;
некоторой методики проведения аудита ИБ, позволяющей объективно оценить положение дел в области ИБ.
Рисунок 11 Построение системы управления ИБ в соответствии с национальными и международными стандартами.
Технология проведения аудита на соответствие подобным стандартам существенно отличается от технологий, применяемых для предыдущих поколений стандартов, к которым, в частности, относятся Руководящие документы (РД) Гостехкомиссии России 1992-1993 гг. Основное отличие заключается в гораздо большей степени формализации некоторых этапов, использовании поддающихся проверке показателей и критериев, то есть в большей детализации. Это, конечно, эволюционный путь развития, но на него в настоящее время специалистами возлагаются большие надежды: считается, что именно широкое использование процедур добровольной сертификации позволит переломить негативную тенденцию возрастания числа инцидентов в области ИБ, имеющих тяжелые последствия.
Рисунок 12 Ущерб по видам нападений (количество нападений в год).
Рисунок 13 Виды выявленных нападений обнаруженные в течение 1998 года (средний размер убытков, тыс. $)
Рисунок 14 Субъективная оценка вероятных источников нападений.
Следует отметить, что должный эффект может дать только комплексный подход к аудиту, то есть проверка на соответствие определенным требованиям не только программно-технической составляющей некоторой информационной технологии, но и решений на процедурном уровне (организация работы персонала и регламентация его действий) и административном уровне (корректность существующей программы обеспечения ИБ и практика ее выполнения). Иллюстрацией этого положения являются рисунки 12, 13 и 14, построенные на основании данных Института компьютерной безопасности (Computer Security Institute, CSI) [8].
В рамках предприятия предложим следующую схему разработки, внедрения и проверки системы безопасности (рисунок 15):
|
Определение надёжности источников |
|
|
Кодирование информации на канальном уровне |
|
|
Настройка информационного шлюза предприятия |
|
|
Создание внутренней инфраструктуры защиты информации |
|
|
Аудит системы безопасности и ввод её в действие |
|
|
Постоянное совершенствование системы безопасности |
Рисунок 15 Схема внедрения системы безопасности
2.4.1. Определение надёжности источников
В связи с увеличением количества сайтов в сети Интернет, предлагающих русскоязычным инвесторам возможность торговли акциями американских и иных иностранных эмитентов с использованием сети Интернет, ФКЦБ России предупреждает российских инвесторов о том, что инвестирование денежных средств на иностранных фондовых рынках с использованием сети Интернет сопряжено с риском быть вовлеченным в различного рода мошеннические схемы. Данная информация подготовлена с использованием результатов анализа типичных мошеннических действий, выявленных Комиссией по ценным бумагам и биржам США:
Схема "увеличить и сбросить" (Pump&dump) - вид рыночной манипуляции, заключающийся в извлечении прибыли за счет продажи ценных бумаг, спрос на которые был искусственно сформирован. Манипулятор, называясь инсайдером или осведомленным лицом и распространяя зачастую ложную информацию об эмитенте, создает повышенный спрос на определенные ценные бумаги, способствует повышению их цены, затем осуществляет продажу ценных бумаг по завышенным ценам. После совершения подобных манипуляций цена на рынке возвращается к своему исходному уровню, а рядовые инвесторы оказываются в убытке. Данный прием используется в условиях недостатка или отсутствия информации о компании, ценные бумаги которой не часто торгуются.
Схема финансовой пирамиды (Pyramid Schemes) - при инвестировании денежных средств с использованием Интернет-технологии эта схема полностью повторяет классическую финансовую пирамиду: инвестор получает прибыль исключительно за счет вовлечения в игру новых инвесторов.
Схема "надежного" вложения капитала (The "Risk-free" Fraud) - через Интернет распространяются инвестиционные предложения с низким уровнем риска и высоким уровнем прибыли. Как правило, это предложения несуществующих, но очень популярных проектов, таких как вложения в высоколиквидные ценные бумаги банков, телекоммуникационных компаний, в сочетании с безусловными гарантиями возврата вложенного капитала и высокими прибылями.
"Экзотические" предложения (Exotic Offerings) - например, распространение через Интернет предложения акций коста-риканской кокосовой плантации, имеющей контракт с сетью американских универмагов, с банковской гарантией получения через непродолжительный промежуток времени основной суммы инвестиций плюс 15% прибыли.
Мошенничества с использованием банков (Prime Bank Fraud) - заключаются в том, что мошенники, прикрываясь именами и гарантиями известных и респектабельных финансовых учреждений, предлагают инвесторам вложение денег в ничем не обеспеченные обязательства с нереальными размерами доходности.
Навязывание информации (Touting) - часто инвесторов вводят в заблуждение недостоверной информацией об эмитенте, преувеличенными перспективами роста компаний, ценные бумаги которых предлагаются. Недостоверная информация может быть распространена среди широкого круга пользователей сети самыми разнообразными способами: размещена на информационных сайтах, электронных досках объявлений, в инвестиционных форумах, разослана по электронной почте по конкретным адресам.
Анонимность, которую предоставляет своим пользователям сеть Интернет, возможность охвата большой аудитории, высокая скорость и гораздо более низкая стоимость распространения информации по сравнению с традиционными средствами делают Интернет наиболее удобным инструментом для мошеннических действий.
Таким образом, во избежание потерь средств при инвестировании на иностранных фондовых рынках инвестору следует придерживаться следующих правил:
1. Осознанно подходить к выбору объекта инвестиций.
Перед тем, как покупать ценные бумаги эмитентов, инвестору необходимо ознакомиться с профилем деятельности компании-эмитента, провести историческую оценку движения акций, динамики финансовых показателей эмитента, ознакомиться с последними годовыми и квартальными отчетами, получить информацию о последних корпоративных событиях. В этом смысле полезным источником информации для инвесторов будет сайт раскрытия информации Комиссии по ценным бумагам и биржам США EDGAR (www.sec.gov/edgarhp.htm), а также частные сайты (www.financialweb.com, www.companysleuth.com, www.hoovers.com, www.financewise.com, www.bloomberg.com). Сравнить кредитный рейтинг интересующего эмитента с рейтингом других эмитентов можно, используя информацию, размещенную на сайтах рейтинговых агентств Moody`s и Standard & Poors (www.moodys.com, www.standardpoor.com).
2. Обращаться к услугам брокера, к которому есть доверие.
Помимо выбора объекта инвестиций инвестор должен определиться в выборе брокерской компании, через которую он намеревается совершать операции. Для того, чтобы избежать возможных недоразумений и убытков, перед открытием счета в брокерской компании целесообразно:
а) выяснить, имеется ли у компании лицензия Комиссии по ценным бумагам и биржам США - Securities and Exchange Commission (SEC) на осуществление деятельности на рынке ценных бумаг (www.sec.gov);
б) узнать о дисциплинарной истории брокерской компании и нарушениях законодательства о ценных бумагах, выявленных у брокерской компании Комиссией по ценным бумагам и биржам США и Национальной ассоциацией дилеров ценных бумаг - National Association of Securities Dealers (NASD). Такую информацию можно найти на сайтах www.sec.gov, www.nasd.com, www.nasdr.com.
в) узнать, является ли брокерская компания членом Корпорации по защите интересов инвесторов в ценные бумаги - Securities Investor Protection Corporation (SIPC), организации, занимающейся разработкой компенсационных схем и выплатой средств инвесторам в случае неплатежеспособности брокерской компании (www.sipc.org).
3. Тщательно обдумывать различного рода "заманчивые" предложения, обещания высоких гарантированных прибылей, избегать контактов с организациями, которые не дают четких и подробных разъяснений в отношении своих инвестиционных механизмов. Брокеры, профессионально работающие на рынке и заботящиеся о своей репутации, заинтересованы в каждом клиенте и не откажут в предоставлении дополнительной информации о своей компании.
4. Проявлять должную осторожность и осмотрительность при предоставлении информации о паролях доступа к своему инвестиционному счету, номерах банковских счетов, номерах кредитных карт третьим лицам, за исключением случаев, когда есть полная уверенность в том, что получатель информации действует на законных основаниях и ее раскрытие действительно необходимо для совершения сделки.
5. Использовать лимитные приказы во избежание покупки или продажи акций по ценам выше или ниже желаемой. Лимитный приказ на покупку или продажу ценных бумаг предполагает наличие заранее определенной инвестором цены исполнения. В случае размещения рыночного приказа у инвестора отсутствует контроль за ценой исполнения приказа. Брокер может злоупотребить незнанием инвестора относительно цен, сложившихся на рынке, что может привести к непредвиденным финансовым потерям для инвестора.
2.4.2. Кодирование информации на канальном уровне
К важнейшим задачам поддержания безопасности относятся идентификация пользователей, соблюдение конфиденциальности сообщений, управление доступом к секретным документам. Устанавливая контакт, стороны, обменивающиеся электронными сообщениями или документами, должны быть полностью уверены в "личности" партнера и твердо знать, что их документы тайна для третьих лиц. Сегодня уже существуют индустриальные решения этих задач, центральная роль в них принадлежит криптографии.
После того как шифрование с открытыми ключами приобрело популярность, стала вырисовываться потребность в цифровых сертификатах. Сертификат и соответствующий ему секретный ключ позволяют идентифицировать их владельца. Универсальное применение сертификатов обеспечивает стандарт Международного Телекоммуникационного Союза Х.509, который является базовым и поддерживается целым рядом протоколов безопасности [10].
Стандарт Х.509 задает формат цифрового сертификата. Основными атрибутами сертификата являются имя и идентификатор субъекта, информация об открытом ключе субъекта, имя, идентификатор и цифровая подпись уполномоченного по выдаче сертификатов, серийный номер, версия и срок действия сертификата, информация об алгоритме подписи и др. Важно, что цифровой сертификат включает в себя цифровую подпись на основе секретного ключа доверенного центра (Certificate Authority, CA). В настоящее время не существует общепризнанного русского аналога термина, который берет начало в области шифрования с открытыми ключами, Certificate Authority. Это понятие получило множество совершенно разных названий: служба сертификации, уполномоченный по выпуску сертификатов, распорядитель сертификатов, орган выдачи сертификатов, доверенный центр, центр сертификации, сертификатов и т.д. Подлинность сертификата можно проверить с помощью открытого ключа CA.
Однако одного наличия сертификата недостаточно. Защищенный обмен сообщениями, надежная идентификация и электронная коммерция невозможны без инфраструктуры с открытыми ключами (Public Key Infrastucture, PKI) [10]. PKI служит не только для создания цифровых сертификатов, но и для хранения огромного количества сертификатов и ключей, обеспечения резервирования и восстановления ключей, взаимной сертификации, ведения списков аннулированных сертификатов и автоматического обновления ключей и сертификатов после истечения срока их действия. Продукты и услуги, входящие в инфраструктуру с открытыми ключами, предлагаются на рынке целым рядом компаний. Большинство компаний, начинающих использовать технологию PKI, из двух путей выбирают один: они либо создают собственный орган выдачи сертификатов, либо предоставляют это сделать другим компаниям, специализирующимся на услугах PKI, например, VeriSign и Digital Signature Trust. Как правило, создание собственного доверенного центра предполагает выработку и обнародование правил организации сертификации, установку серверов управления сертификатами и серверов каталогов.
В последнее время в развитых странах банки, университеты, правительственные учреждения начали выдавать сотрудникам цифровые сертификаты, которые позволяют отдельным лицам шифровать сообщения электронной почты и электронные документы, а также снабжать их цифровой подписью. По прогнозам специалистов, цифровые сертификаты как способ электронной идентификации получат распространение в корпоративных сетях в течение ближайших двух лет. Со временем создание и распространение цифровых сертификатов должно стать одним из самых важных процессов защиты корпоративных информационных ресурсов, организации безопасного электронного документооборота и защищенного обмена сообщениями.
2.4.3. Настройка информационного шлюза предприятия
Под информационным шлюзом предприятия понимается объект, который связывает внутреннюю инфосистему предприятия с внешним миром. В современном предприятии, как уже говорилось выше, большая часть информации поступает по глобальной сети Интернет, соответственно грамотная настройка Интернет шлюза (более известного под названием FireWall) позволяет следующее:
на 95% исключить несанкционированное проникновение внешних неавторизованных пользователей к конфиденциальным инфоресурсам предприятия;
по возможности снизить затраты на восстановления части электронной инфосистемы фирмы, разрушенной в результате хакерской атаки;
предотвратить внутреннее "воровство” информации, путём отслеживания нежелательных контактов сотрудников по глобальной сети;
вести подробный журнал активности сотрудников предприятия в сети, т.е. фискальные функции;
при необходимости (в криминальных случаях) просматривать почту пользователей
Для внедрение на предприятие защитного шлюза необходимо провести следующие мероприятия:
Определение основных и побочных источников сети. Обеспечить максимальную пропускную способность для информации с основных источников (режим максимального приоритета) и режим особо сильного контроля для всех остальных источников;
создание подробного журнала адресов входящей информации с мониторингом интенсивности вхождения внешних пользователей во внутреннюю инфосистему предприятия;
мониторинг исходящих сообщений;
2.4.4. Создание внутренней инфраструктуры защиты информации
Главными целью внутренней инфраструктуры защиты информации является предотвращение утечки конфиденциальной внутрефирменной информации за пределы фирмы, а также защита накопленной внутренней информации от разрушения.
Первый вопрос отчасти решает FireWall (см. предыдущую главу), однако это не панацея. Главную часть инфраструктуры составляет система аудита информационной безопасности. Ниже рассматриваются особенности современных зарубежных стандартов в области аудита и сертификации, введенных в действие в 1998 г, а также действующие в настоящее время Российские руководящие документы в области сертификации и аттестации. Некоторые специалисты [8] предсказывают наступление в скором времени бума добровольной сертификации, полагая, что это позволит резко улучшить положение в области ИБ работающих систем.
Основанием для такого вывода являются данные, представленные на рисунке 16. Британский стандарт со спецификациями системы управления ИБ [11], являющийся основой для проведения аудита ИБ, вышел в 1998 году. Всего за год существования стандарта и, соответственно, начала действия системы сертификации на его основе, около 3% фирм уже прошли сертификацию, около трети имеют твердые планы сделать это в ближайшее время и находятся на различных стадиях подготовки к сертификации. Более трети собирает дополнительную информацию, рассматривает такую возможность. Сознательно не собираются проводить сертификацию только 21% фирм.
Основной причиной добровольной сертификации является желание
Рисунок 16 Готовность фирм Великобритании к сертификации.
повысить уровень ИБ, то есть большинство руководителей уверено в действенности подобного мероприятия.
Следует отметить, что приведенные цифры отражают положение дел в Великобритании. В этой стране имеется длительный опыт (с 1993 года) добровольного применения стандарта по управлению информационной безопасностью [9], который в настоящее время применяет более 60 % организаций. Добровольная сертификация на соответствие этим стандартам логичное продолжение установившейся практики.
В других странах желающих пройти добровольную сертификацию меньше, но тенденция та же: независимый аудит ИБ начинают рассматривать как весьма действенное средство обеспечения режима ИБ. Кроме национальных институтов стандартов, работы по выполнению аудита выполняет ряд независимых международных организаций, например, Ассоциация аудита и управления информационными системами (The Information Systems Audit and Control Association & Foundation ISACA) [11].
Ниже рассматриваются основные особенности проведения аудита в соответствии с Британским стандартом [11] и стандартами ассоциации аудита и управления информационными системами.
Организация, решившая провести аудит ИБ, должна провести подготовительные мероприятия, привести в соответствие с требованиями стандарта документацию и систему управления ИБ. После этого приглашается аудитор. Процедура аудита рассматривается ниже, ее трудоемкость для крупных организаций может достигать 25-30 человеко-дней работы аудитора. Сертификаты выдаются после проведения аудита подсистемы ИБ на соответствие стандартам BS7799 [12] и действительны в течение 3 лет.
Задачи аудита состоит в том, что аудиторы должны проанализировать все существенные аспекты с учетом размера проверяемой организации и специфики ее деятельности, а также ценности информации, подлежащей защите. Как следствие, опыт и компетентность аудитора являются очень существенными факторами.
В результате проведения аудита создается список замечаний, выявленных несоответствий требованиям стандартов, а также рекомендаций по их исправлению. Аудиторы должны гарантировать, что были выполнены все требования процедуры сертификации.
2.4.5. Подготовка организации к аудиту
Подготовительные мероприятия включают подготовку документации и проведение внутренней проверки соответствия системы управления ИБ требованиям стандарта. Документация должна содержать:
политику безопасности;
границы защищаемой системы;
оценки рисков;
управление рисками;
описание инструментария управления ИБ;
ведомость соответствия документ, в котором оценивается соответствие требованиям стандартов поставленных целей в области ИБ и средств управления ИБ.
Внутренняя проверка соответствия системы управления ИБ требованиям стандарта состоит в проверке выполнения каждого положения стандарта. Проверяющие должны ответить на два вопроса: выполняется ли данное требование, и если нет, то каковы точные причины невыполнения?
На основе ответов составляется ведомость соответствия. Основная цель этого документа дать аргументированное обоснование имеющим место отклонениям от требований стандарта. После завершения внутренней проверки устраняются выявленные несоответствия, которые организация сочтет нужным устранить.
2.4.6. Российские нормативные документы
В 1993-1996 гг. была опубликована серия законов, постановлений правительства и нормативных документов Гостехкомиссии [13] в которых рассмотрены вопросы сертификации и аттестации по требованиям ИБ.
Вначале рассмотрим основные определения, использованные в этих документах.
Сертификация средств защиты информации. Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Гостехкомиссией России [13].
Объекты информатизации. Под объектами информатизации понимаются автоматизированные системы (АС) различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены.
Аттестация объектов информатизации по требованиям ИБ. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России [14].
Система аттестации объектов информатизации по требованиям безопасности является составной частью единой системы сертификации и подлежит государственной регистрации в установленном Госстандартом России порядке. Организационная структура систем сертификации и аттестации приводится на рисунке 17, функции определены в РД Гостехкомиссии [14].
Методы управления ИБ интенсивно развиваются. Основные направления развития связаны с совершенствованием:
методологии выбора и формализации целей в области безопасности;
инструментария (методик) для построения подсистемы ИБ в соответствии с выбранными целями;
технологий аудита, позволяющих объективно оценить положение дел в области ИБ.
Эти составляющие неразрывно связаны и должны соответствовать друг другу. Использование современных методов управления ИБ позволяет поддерживать режим ИБ, соответствующий любым корректно сформулированным целям. Обязательной составной частью таких методов является действенная система аудита ИБ.
До недавнего времени лишь сравнительно небольшая доля организаций добровольно проходила аудит ИБ. Сейчас положение меняется. Приведение подсистем ИБ в соответствие с требованиями современных стандартов и добровольная сертификация на соответствие этим требованиям рассматриваются большинством руководителей как основной путь улучшения положения дел в области безопасности.
|
Система сертификации |
Система аттестации |
||
|
Гостехкомиссия России. Федеральный орган по сертификации средств защиты информации |
Гостехкомиссия России. Федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям ИБ |
||
|
Центральный орган системы сертификации средств защиты информации |
|||
|
Органы по сертификации средств защиты информации |
Органы по аттестации объектов информатизации по требованиям ИБ |
||
|
Испытательные центры (лаборатории) |
Испытательные центры (лаборатории) по сертификации продукции по требованиям ИБ |
||
|
заявители (разработчики, изготовители, поставщики, потребители средств защиты информации) |
заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации) |
Рисунок 17 Организационная структура систем сертификации и аттестации в России
В российских условиях рассмотренные стандарты также применимы, поскольку отличаются от соответствующих Российских РД в основном большей детализацией многих аспектов. Применимы и процедуры и методы проверки на соответствие этим требованиям.
Подчеркнем, что Гостехкомиссия России постоянно совершенствует нормативную базу информационной безопасности. Выпускаются новые Руководящие документы, изучается опыт зарубежных стран. Линия на гармонизациюнациональных и международных стандартов, в том числе в области аудита безопасности информационных систем, представляется правильной и перспективной.
2.5. Выводы
В этой главе был рассмотрен подробный план разработки информационной системы отрасли, центральным звеном которой являются отдельно взятое предприятие и биржа. Разработка системы должна состоять из четырёх последовательных этапов, последний из которых проистекает всё время, пока система функционирует. Отдельно выделена независимая система аудита информационной безопасности системы, как наиболее слабое место всей инфосистемы в целом.
Методика базируется на уже существующей отраслевой инфраструктуре, и это несомненно её плюс, т.к. стоимость и время внедрения значительно сокращаются. Каждый пункт методы представляет собой самостоятельную, довольно сложную и кропотливую но решаемую задачу, решение которой можно найти в специализированной литературе. Таким образом, разработка свелась к конструированию из уже известных, апробированных и широко применяющихся на практике “кирпичиков” общей большой информационной системы, в которой каждая из составляющих органично вплетается в общую структуру. Особо пристальное внимание к новейшим информационным технологиям, применяемым в процессе реализации методы, не только увеличивает её эффективность, но также и отодвигает её моральное старение.
На рисунке 18 показаны взаимосвязи бирж и предприятий отрасли, сформированные в соответствии с предложенной методикой.
Рисунок 18 Отраслевая инфосистема
3. Пример применения методики
3.1. Разработка эскизного проекта
3.1.1. Цели предприятия
Организация производства помехоустойчивых модемов для подключения потребителей электронных коммуникационных услуг к глобальным сетям посредством провайдера по коммутируемым аналоговым телефонным линиям.
Современное модемное оборудование, выпускаемое зарубежными фирмами, не выдерживает никакой критики применительно к устойчивости соединения между потребителем услуг и провайдером, предоставляющим услуги в сфере телекоммуникаций. Прежде всего, низкая помехоустойчивость импортного оборудования связана с техническими условиями, накладываемыми на параметры модемов, условия, работы которых - высококачественные цифровые телефонные сети развитых стран. Качество наших телефонных сетей кардинально отличается от качества зарубежных сетей, и в ближайшее время при существующих темпах развития в отрасли нельзя рассчитывать на появление в России в скором будущем качественных сетей. Следовательно, логично разработать специальный помехоустойчивый протокол и соответствующее модемное оборудование, ориентированное именно на Российские телефонные линии. Разработка и внедрение данного протокола и модемного оборудования позволит:
Надёжно соединяться по телефонным линиям для выхода рядового потребителя к глобальным сетям
Снизить затраты рядового потребителя на оплату телефонного разговора и оплату трафика глобальных сетей
Снизить нагрузку на коммутационное и связное оборудование городских АТС
Организовать научную группу из числа сотрудников НИИ и обеспечить их работой
Загрузить работой Российские предприятия электронной отрасли
Вытеснить импортные модемы с российского рынка
3.1.2. Возможности для бизнеса и стратегии их реализации
В мире в настоящее время отрасль телекоммуникаций переживает бурный рост, не обошёл прогресс и Россию, однако, если во всём мире коммуникационное оборудование и линии связи развивается параллельно, то в России налицо отставание качества каналов связи. Зарубежное связное оборудование не в состоянии обеспечивать надёжное соединение по нашим телефонным линиям, в связи с этим логично предположить, что создание собственного модемного оборудования адаптированного к отечественным линиям связи является единственным верным решением в деле продвижения глобальных сетей на российский рынок.
В настоящее время в России активных пользователей сетей например Интернет порядка 4 млн., и существует постоянная тенденция увеличения, составляющая порядка 170% в год. Если применить западную модель развития телекоммуникаций к России, то даже с учётом постоянного российского кризиса видно, что в ближайшее время рынок электронных информационных услуг будет расширяться семимильными темпами. Развитие будет проходить на базе существующих линий связи, и уже в настоящее время ощущается острая нехватка надёжного связного оборудования, адаптированного под наши телефонные линии.
Стратегия развития:
Создание группы НИОКР из числа российских специалистов в области проводной связи. Научно исследовательская и конструкторская работа по созданию помехоустойчивого протокола, адаптированного под современные отечественные линии связи. Создание и апробирование на отечественных линиях связи опытной партии модемов.
Производство малой партии модемов на экспериментальном производстве. Внедрение разработанных протоколов связи модемов на государственных глобальных сетях, расположенных в периферии (ГАС “Выборы” и подобные) в качестве стандарта. Наработка статистики устойчивости работы оборудования.
Опубликование информации о новом оборудовании в специализированных СМИ, научные статьи. Рекламная кампания. Выход на Российские и международные компьютерные выставки с результатами работы, заключение контрактов на поставку оборудования и продажу формата протокола.
Серийное производство модемов и продажа их через сеть розничной торговли для конечных потребителей. Бесплатная продажа модемов провайдерам.
Вытеснение зарубежных модемов с Российского рынка.
3.1.2. Рынки сбыта
Основными потребителями данного продукта планируются рядовые пользователи Интернета. В настоящее время наблюдается следующая сегментация рынка модемов (рисунок 19)
|
Пользователи Интернет Пользователи некоммерческих сетей Провайдеры Ведомственные сети Другие |
Рисунок 19 Сегментация рынка модемов (на 1999 год)
Как видно, основные потребители данного продукта (70%) это обычные рядовые пользователи сети Интернет.
Теперь обратимся к темпам роста продаж модемов частным лицам в нашей стране и за рубежом за последние 5 лет и прогноз темпов роста на 2 года вперёд [15]:
Рисунок 20 Темпы роста продаж модемов
Из графика видно, что рынок США уже пережил бурный рост Интернета (рисунок 20) и находится в состоянии наполненности. Рынок же России наоборот только начал развиваться и восстанавливаться после кризиса 1998 года. К 2001 году ожидается восстановление темпов роста. Период окупания затрат на покупку данного модема должен составить порядка 4 месяцев при средней интенсивности работы. Ценовая стратегия: первый год цены максимально снижены (на уровне себестоимости), затем, когда значительная (>30%) пользователей будут оснащены модемами данного типа поднять цену до высокого уровня: высокая цена - качественный товар.
3.1.3. Конкурентное преимущество
Здесь приведён список основных конкурентов с описанием их процентной доли на российском рынке. По результатам тестирования модемов этих фирм отечественными специалистами было выяснено, что на российских линиях все модемы работают одинаково неудовлетворительно и показывают примерно одинаково плохие характеристики. Выход в лидеры фирмы объясняется активной рекламной позицией и длительным временем работы на нашем рынке. Несколько лучшие характеристики имеют модемы Zyxel, однако негибкая ценовая политика вытеснила фирму с первых строчек таблойдов. В качестве ориентира можно выбрать продукцию фирмы Zyxel по качеству и продукцию US.
Ранее безусловным лидером на рынке модемов был US Robotics , что можно проследить на рисунке 21, где приведено соотношение предложения модемов различными производителями в те годы. Модемы этой фирмы занимают большую часть рынка во всех исследованных периодах. Летом 1995 г. их доля составляла 62% рынка, двумя годами позже - 57%, в июле 1998 г. - 68%, а сейчас она упала до 49% от общего числа предложений. Предложение модемов фирмы ZyXel, пользовавшихся популярностью в 1995 - 1997 гг. и занимавших второе место рейтинга в указанном периоде, снизилось к прошлому году до 4%, а на текущий момент не превышает 2%. Сейчас они делят шестое место с модемами Eline. На втором месте находится канадская фирма Acorp. Ее модемы более дешевы, чем US Robotics или IDC, и оттеснили IDC на третье место. На четвертом месте находятся модемы Zoltrix, их доля существенно не менялась за последние три года и колеблется в пределах 4-6%. В целом, на рынке представлены более двадцати производителей, но предложения доброй половины из них носят единичный характер и не представляют интереса для анализа.
Сегодня наиболее часто на рынке предлагаются модемы US Robotics (рисунок 20). Они традиционно занимают лидирующую позицию на протяжении последних пяти лет, и сейчас им принадлежит 62% рынка. На втором месте находятся модемы Acorp, доля которых за последние три месяца увеличилась на 3% и составляет сейчас 15%. Ранее, в 1994 - 1997 гг., второе место принадлежало модемам ZyXel, которые не входят теперь даже в первую пятерку. На третье место неожиданно вышли модели Genius, представленные в середине лета единичными предложениями, а на четвертом - модемы IDC, год назад занимавшие второе место. Пятое место делят между собой Zoltrix и Lanbit. Если рассматривать предложение конкретных моделей, то наиболее часто встречаются модемы US Robotics Courier и US Robotics Sportster, имеющие как внутреннее, так и внешнее исполнение.
|
1994 |
1996 |
|
|
1998 |
2000 |
Рисунок 21 Соотношение предложений модемов различных производителей
В таблице 3 приведены средние цены на модемы трех лидеров рынка Санкт-Петербурга. Модемы US Robotics и IDC занимают примерно одну ценовую нишу, в то время как Acorp значительно дешевле. Цены на внутренние модемы ниже, чем на внешние. Их соотношение разное у каждого производителя. Наиболее высокое оно у US Robotics: внешние дороже внутренних примерно в два раза. У Acorp оно составляет 1,3 - 1,4 раза, а у IDC - 1,2. Обращает на себя внимание любопытная деталь: цены на модемы с максимальной скоростью 56000 дешевле, чем со скоростью 33600 Бод (US Robotics и IDC), хотя должно было бы быть наоборот. Это связано с тем, что среди модемов 33600 указанных производителей на рынке остались большей частью более дорогие модели, в результате средняя цена на них оказалась выше, чем в соответствующей группе модемов со скоростью 56000 бод. За два прошедших месяца, на фоне общего снижения цен, средние цены на эти модели возросли (таблица 3).
Средние цены на модемы некоторых производителей
Таблица 3
|
Производитель |
1998 |
1999 |
Изменение |
|
|
USR |
100 |
66 |
34 |
|
|
Acorp |
82 |
56 |
26 |
|
|
IDC |
120 |
87 |
33 |
|
|
Zyxel |
160 |
120 |
40 |
Если посмотреть на рисунок 22, где показано соотношение предложений модемов различных скоростей в октябре за последние три года, то можно заметить, что доля безусловных лидеров 1994 г. к октябрю 1997 снизилась до 19%, годом позже составила всего 4%, а на текущий момент модемы с этой скоростью совсем исчезли из продажи [15]. Напротив, доля самых скоростных на текущий момент моделей с максимальной скоростью 56 Кбит/с, в октябре 1997 г. занимавших 1% рынка, сейчас составляет 72%.
Вытеснение более новыми, совершенными моделями старых - одна из закономерностей компьютерного рынка, причем у разных комплектующих этот процесс идет с разной скоростью. Конечно, лидеры в данной области процессоры, где быстродействие новых моделей возрастает в два раза за каждые восемнадцать месяцев, и, по
Рисунок 22 Соотношение предложения модемов различных скоростей
словам генерального менеджера Intel по Европе, его отрасль сможет поддерживать подобные темпы прироста ближайшие пятнадцать лет. Процессор - сердце компьютера, и с ростом его производительности повышаются требования к другим устройствам, однако для каждого из них существуют свои пределы. Скорость модемов за прошедшие пять лет возросла почти в четыре раза (мы не рассматриваем специализированные некоммутируемые модемы для выделенных линий, способные работать со скоростью 128 Кбит/с) и достигла значений, зачастую превышающих пропускную способность конкретных телефонных линий (рисунок 22). В нашем городе есть как старые, аналоговые линии, скорость передачи данных в которых может достигать значений в 33,6 Кбит/с (4,1 Кбайт/с), так и новые, цифровые, где вполне доступна скорость 56 Кбит/с (6,8 Кбайт/с). Есть мнение, что пределом для современной цифровой телефонной линии является скорость в 65,5 Кбит/с, таким образом, у разработчиков еще есть небольшой запас скорости для совершенствования модемов, а дальше без кардинального улучшения каналов связи не обойтись.
Эти модели устойчиво присутствуют на рынке в течение более чем трех лет, что позволило сопоставить предложение и средние цены на них, приведенные в таблице 3. Легко увидеть, что средние цены на выделенные модели с течением времени снижаются, количество предложений модемов со скоростью 33,6 Кбит/с падает, а 56 Кбит/с увеличивается.
3.1.4. Связь с отраслями
Организация такого производства непосредственно затрагивает две отрасли: отрасль машиностроения (под отрасль радиоэлектроники), и отрасль связи (рисунок 23). Таким образом, такой пример как нельзя лучше подходит для практического описания предложенной методики.
Рисунок 23 Связь производства с отраслями
Для радиотехнической под отрасли предприятие представляет собой потребителя сырья, комплектующих и материалов для производства продукции, а для производства, соответственно, предприятия отрасли являются поставщиками. Ситуация с отраслью связи обратная: фирма поставляет устройства связи, и отрасль является потребителем её продукции. Биржи в этой схеме являются промежуточными звеньями, в которых непрерывно аккумулируются товары и информация по ним.
3.2. Мировая конъюнктура услуг связи
Бурное развитие телекоммуникаций в настоящее время стоит в одном ряду с такими техническими прорывами, как изобретение двигателя внутреннего сгорания и компьютерной революцией. По мере становления и развития "открытого общества", глобализации контактов всех со всеми спрос на услуги связи постоянно нарастает. На сегодняшний день типичная структура расходов на телекоммуникационные услуги среднего гражданина США выглядит следующим образом (таблица 4).
Таким образом, несмотря на внушительный перечень видов услуг связи, они не занимают в бюджете среднего американца подобающего веса. Поэтому потенциальный спрос на расширение номенклатуры и повышение качества телекоммуникаций сохраняется даже в наиболее развитых странах.
Среднегодовые расходы интенсивного потребителя (1998 г. $).
Таблица 4
|
Вид связи |
Затраты |
|
|
Местная связь |
475-525 |
|
|
Междугородняя связь |
375-425 |
|
|
Кабельное телевидение |
300-345 |
|
|
Интерактивные услуги |
200-250 |
|
|
Сотовая связь |
400-450 |
|
|
Персональный компьютер |
200-250 |
|
|
Телерадиовещание |
600-700 |
|
|
Всего |
2350-3100 |
Наиболее перспективным направлением увеличения предложения, на взгляд специалистов является расширение услуг космической связи на основе низкоорбитальных спутников. Именно с прицелом на этот сегмент рынка происходит слияние и поглощение крупнейших телекоммуникационных корпораций, аккумулируются средства под программы "Иридиум" и "Морской старт". В то же время остается актуальным использование традиционных магистральных радиорелейных линий, но с использованием оптоволоконной технологии.
В частности нас интересуют затраты на персональный компьютер и местную связь, - говоря иными словами, это наш рыночный сегмент. Следует заметить, что статья затрат типа местная связь входит в первую тройку и уступает лишь телерадиовещанию.
3.2.1. Место отрасли в национальном хозяйстве РФ
Руководство Советского Союза уделяло серьезное внимание развитию телекоммуникаций в стране, как важнейшему из составляющих военно-промышленного комплекса. Специальное управление КГБ курировало функционирование наиболее технологичных и прогрессивных направлений. В то же время темпы развития услуг связи для населения - телефон, телеграф, почта отставали от показателей оборонной промышленности и государственной безопасности. Исторически сложившиеся тенденции и условия развития связи, политика инвестирования отрасли, закрытость информации привели к межотраслевым и региональным диспропорциям. Последние были закреплены ведомственными барьерами: гражданскую связь курировало Министерство связи, в то время как остальными видами связи занимались оборонные министерства, такие как Минрадиопром и т.п. Административно-территориальная структура отрасли была закреплена системой государственных предприятий связи и информатики (ГПСИ). По существу, они выполняли функции управления и имели в своем составе все средства связи на территории области (края, республики) в виде структурных единиц, а также в виде самостоятельных предприятий, обладающих юридическими полномочиями и правами. Всего имелось 76 ГПСИ, включавших более 2600 структурных единиц основной деятельности и 15 самостоятельных предприятий, обеспечивавших все виды связи регионов с выходом на магистральную сеть [17].
Структура затрат в различных отраслях (в процентах)
Таблица 5
|
Статья затрат |
Всего |
Связь |
Энергетика |
Угле-добыча |
Машиностроение |
Легкая пром. |
|
|
Оплата труда |
15 |
53 |
11 |
50 |
23 |
8 |
|
|
Сырье |
67 |
1 |
5 |
17 |
62 |
88 |
|
|
Топливо и энергия |
6 |
5 |
50 |
6 |
3 |
1 |
|
|
Аморти-зация |
Подобные документы
История создания и эволюция фондовой биржи. Основные принципы организации и функционирования фондовых бирж на примере биржи ценных бумаг во Франкфурте-на-Майне. Характеристика крупнейших мировых фондовых бирж. Гласность и открытость биржевых торгов.
курсовая работа [48,5 K], добавлен 17.10.2010Биржевые союзы, ассоциации, объединения. Лицензия на организацию биржевой торговли. Члены товарной биржи. Устав товарной биржи и включение в перечень товарных бирж. Государственное регулирование деятельности товарных бирж. Комиссия по товарным биржам.
контрольная работа [28,9 K], добавлен 20.01.2009Понятие фондовой биржи. Инструменты и субъекты рынка ценных бумаг. Возникновение и развитие бирж. Анализ специфики функционирования Нью-Йоркской фондовой биржи. История развития российских фондовых бирж. Направления совершенствования их функционирования.
дипломная работа [222,8 K], добавлен 16.07.2010Понятие фондовой биржи. Инструменты и субъекты рынка ценных бумаг. История возникновения и развития бирж за рубежом и в России. Специфика функционирования Нью-Йоркской биржи. Направления совершенствования функционирования российских фондовых бирж.
дипломная работа [92,2 K], добавлен 07.11.2010Сущность и механизмы функционирования бирж. Развитие бирж в России на современном этапе. Основные направления и цели создания товарной биржи. Профессиональные участники рынка. Форма некоммерческого партнерства. Рейтинг ведущих операторов фондового рынка.
реферат [39,8 K], добавлен 22.07.2014История возникновения биржи в смысле собраний для совершения торговых сделок. Биржа как субъект хозяйствования, ее основные признаки и характер деятельности. Различие между биржей и рынком. Роль и место современных товарных бирж в мировой экономике.
курсовая работа [73,9 K], добавлен 12.03.2014Механизм деятельности рынка товаров. Товарная биржа и основы ее функционирования. Становление товарной биржи в Беларуси (во взаимосвязи с мировым опытом). Белорусская универсальная товарная биржа – новая экономическая структура белорусской экономики.
курсовая работа [38,9 K], добавлен 23.09.2011История создания фондовых бирж. Признаки, функции и виды фондовых бирж. Методы организации биржевой торговли. Виды биржевых сделок, фондовые индексы. Российские фондовые биржи и их роль в современной экономике. Ценные бумаги, обращаемые на биржах.
курсовая работа [99,5 K], добавлен 10.05.2016Эволюция форм оптовой торговли и появление товарных бирж. Роль биржевой торговли в современной мировой экономике. Организационно-правовые особенности функционирования биржевой деятельности в Республике Казахстан, проблемы и перспективы ее развития.
курсовая работа [53,3 K], добавлен 27.10.2010Фондовые и товарные биржи в современной России. Организация работы товарных бирж. Основные типы биржевых операций. Функции фондовой биржи. Ценные бумаги как объекты гражданских прав. Фьючерсный контракт, суть опциона. Классификация ценных бумаг.
контрольная работа [40,7 K], добавлен 08.11.2013
