Moluch 114 c indd


Факторы, влияющие на эффективность управления информационной безопасностью



Download 2,33 Mb.
bet32/59
Sana20.07.2022
Hajmi2,33 Mb.
#829409
1   ...   28   29   30   31   32   33   34   35   ...   59
Bog'liq
moluch 114 ch1 2

Факторы, влияющие на эффективность управления информационной безопасностью


Макеев Андрей Сергеевич, студент
Дальневосточный федеральный университет
В статье рассмотрены основные факторы, которые влияют на эффективность управления информаци- онной безопасностью.
Ключевые слова: управление ИБ, Политика информационной безопасности, экономическое обоснование, внутренний аудит.


В
наши дни трудно представить работу современной ор- ганизации без информационных технологий. Инфор- мация представляет собой актив, который имеет ценность для организации и поэтому должен быть защищен. Гипо- тетически могут быть реализованы конкретные контр- меры, нейтрализующие основные, на первый взгляд, ин- формационные угрозы. Однако, в этом случае, ошибочно полагать, что защищаемый объект в безопасности. Это связано, в первую очередь, с тем, что не учитываются все возможные угрозы. У людей, далеких от безопасности, может сложиться впечатление, что угрозы, приносящие незначительный для организации ущерб, можно не рас- сматривать. Однако, в случае реализации нескольких таких угроз в совокупности организация может «постра- дать», причем значительно. Кроме того, со временем за- щищенность объекта ослабевает. Появляются новые угрозы и уязвимости, что снижает эффективность вне- дрённых средств защиты при отсутствии изменений. В связи с этим, важно осознать, что реализация контрмер не является последним этапом защиты объекта. Пони- мание необходимости внедрения мероприятий по обе- спечению информационной безопасности организации, как непрерывного процесса, обуславливает потребность
в управлении данной деятельностью.

Уровни управления информационной безопасностью


При проектировании информационных систем во- просы обеспечения безопасности не всегда принимаются во внимание [1]. Однако, последующее встраивание си- стемы безопасности в информационную систему может быть трудным и дорогостоящим. Кроме того, важно по- нимать, что вопросы управления информационной безо- пасностью (ИБ) включают в себя не только техническую составляющую. Без поддержки руководства и выделения


необходимых ресурсов невозможно обеспечить эффек- тивную защиту от информационных угроз.
Процесс управления ИБ носит циклический характер и заключается в следующем:

  • описание защищаемых активов

  • выявление и формализация возможных угроз ин- формационной безопасности

  • анализ рисков информационной безопасности

  • разработка контрмер

Управление ИБ включает в себя 3 уровня (Рис.1). Стратегический уровень характеризует обеспечение интересов организации в области безопасности. На данном уровне определяются стратегия и основные меро- приятия по обеспечению информационной безопасности. На тактическом уровне осуществляется планирование и обеспечение выполнения Политики информационной безопасности. Разрабатываются необходимые регла- менты, правила и инструкции. Проводятся расследования и анализ инцидентов информационной безопасности. На- конец, уровень оперативного управления включает в себя реализацию конкретных контрмер, нейтрализу- ющих информационные угрозы.

Приверженность руководства


Основополагающим аспектом, без которого бессмыс- ленно говорить об управлении ИБ, является понимание руководством необходимости обеспечения информаци- онной безопасности организации. Руководство должно де- монстрировать поддержку мероприятий по обеспечению информационной безопасности посредством разработки Политики информационной безопасности. Данный доку- мент должен быть утвержден руководством и доведен до сведения сотрудников организации. Политика представ- ляет собой документ, описывающий общие намерения,






Рис. 1. Уровни управления ИБ





официально выраженные руководством. Организация может иметь несколько политик для каждой сферы дея- тельности. В области безопасности, политики, как пра- вило, иерархически организованы. Обычно Политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными полити- ками, включая Политику информационной безопасности. В свою очередь, Политика информационной безопас- ности может подкрепляться более детальными полити- ками по конкретным предметам, относящимся к аспектам информационной безопасности [2]. Типовая структура Политики информационной безопасности представлена на рисунке 2.
Все обязанности по обеспечению информационной безопасности должны быть распределены в соответствии с Политикой информационной безопасности. При необ- ходимости обязанности дополняются более детальными руководствами. Лица, на которых возложена обязанность
по обеспечению безопасности могут делегировать опре- деленные задачи другим лицам, однако, они остаются от- ветственными за их выполнение.

Роль экономического обоснования


В рамках мероприятий по обеспечению информаци- онной безопасности организации должно осуществляться управление рисками с целью защиты от информационных угроз. Данный процесс позволяет определить необхо- димый размер вложений в информационную безопасность для обеспечения максимального возврата инвестиций. Это осуществляется путем оценки рисков и выбора опти- мального по эффективности варианта защиты.


Самым большим препятствием на пути принятия ка- ких-либо мер по обеспечению информационной безопас- ности в компании являются две причины: ограничение бюджета и отсутствие поддержки со стороны руковод-




Рис. 2. Структура Политики информационной безопасности






ства [3]. Обе причины возникают из-за непонимания ру- ководством серьезности вопроса. Зачастую, основная проблема заключается в том, что специалисты по ин- формационной безопасности и руководители разговари- вают на разных языках — техническом и финансовом. Для преодоления этой преграды специалистам по инфор- мационной безопасности необходимо четко представлять, сколько компания может потерять денег в случае реали- зации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег. В случае, если всё это подтверждено документально, то решение задачи убедить руководство выделить средства на обеспечение информационной безопасности стано- вится более реальным.
Первым шагом реализации программы информаци- онной безопасности является разработка экономического обоснования с учетом потребностей организации. Этот документ подтверждает, что организация понимает важ- ность информационной безопасности. Как правило, со- став экономического обоснования будет зависеть от вы- сокоуровневой оценки рисков, которая позволит выявить основные угрозы. Экономическое обоснование может включать следующие основные компоненты, но не огра- ничиваться ими [4]: приоритетные последствия, приори- тетные угрозы, ожидаемое годовое влияние на деятель- ность организации, стоимость контрмер. Понимание этих компонентов основывается на статистических данных о прошлых инцидентах, а также на знаниях о роли рас- сматриваемой системы в деятельности организации, учи- тывая ее особенности и имеющиеся ресурсы.
В зависимости от требований принятия решений в кон- кретной организации экономическое обоснование может быть, как детальным, так и кратким. Однако, оно не явля- ется результатом детальной оценки рисков, а, скорее, со- держит такое описание рисков, которого будет достаточно для оправдания необходимости проведения мероприятий по обеспечению информационной безопасности. В эконо- мическом обосновании могут быть приведены также пре- имущества, которые вытекают из управления ИБ. Ос- новные из них включают в себя: минимизацию рисков, сокращение возможных потерь от реализации инцидентов информационной безопасности, а также непрерывное обеспечение защищенности организации от информаци- онных угроз.

Мониторинг внедренных контрмер


Комплекс мер по обеспечению информационной без- опасности должен оцениваться с постоянным интер- валом путем внутреннего и независимого аудита [3]. Внутренний аудит проводится для определения эффек- тивности внедренных контрмер. Такие проверки, прежде всего, должны быть направлены на устранение недо- статков. Они должны тщательно подготавливаться для обеспечения как можно более эффективного достижения


их целей, в то же время, не вызывая нарушения штатной работы организации. По результатам действий по мо- ниторингу руководству должен быть представлен отчет. Данный документ должен содержать перечень рекомен- дуемых действий, с четко определенными приоритетами, вместе с реальной оценкой предполагаемых затрат на выполнение каждого из этих действий. Это обеспечи- вает возможность принятия руководством решений без лишних задержек.
Выбор аудиторов для внутреннего аудита может ока- заться сложным для небольших компаний. Дело в том, что для проведения проверочных мероприятий важно на- значить сотрудников, не участвовавших в планировании и разработке мер по обеспечению информационной без- опасности в силу необъективности такой проверки. Не- обходимо также учитывать субъективность принятия решений при оценке деятельности своих коллег по ра- боте. В этом отношении, если руководство готово выде- лить деньги, можно привлечь внешних аудиторов. Взгляд со стороны всегда позволяет выявить определённые аспекты, которые могут быть упущены при проведении проверок собственными силами. Важно отметить, что внешние аудиторы компетентны в своей области, однако, могут учесть не все особенности организационной среды проверяемой компании. Безусловно, собственные сотруд- ники лучше знают «тонкости» процессов, протекающих в организации. Поэтому для эффективного мониторинга защищенности объекта от информационных угроз по- лезно чередовать периодические проверки, проводимые собственными силами, с проверками, осуществляемыми внешними аудиторами.

Вывод

В статье обосновывается необходимость рассмотрения мероприятий по обеспечению информационной безопас- ности, как непрерывного процесса, которым надо управ- лять. На эффективность управления влияет позиция ру- ководства организации в отношении безопасности. В первую очередь, необходимо разработать Политику информационной безопасности для того, чтобы офици- ально задокументировать намерения руководства в этой области. Все остальные документы, которые будут раз- рабатываться в организации и затрагивать вопросы ин- формационной безопасности должны быть согласованы с Политикой. После этого важно обосновать необходи- мость реализации определенных мероприятий по обеспе- чению информационной безопасности посредством раз- работки экономического обоснования. Данный документ является основным средством для того, чтобы убедить ру- ководство в финансировании предлагаемых мероприятий. Также необходимо уделять особое внимание мониторингу внедренных контрмер. С целью повышения эффектив- ности проведения проверочных мероприятий важно пери- одически привлекать внешних аудиторов для внутренних проверок.


Литература:





  1. ГОСТ Р ИСО/МЭК 27000–2012 Информационная технология. Методы и средства обеспечения безопас- ности. Системы менеджмента информационной безопасности. Общий обзор и терминология.

  2. ГОСТ Р ИСО/МЭК 27003–2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента ин- формационной безопасности.

  3. Современные методы и средства анализа и управление рисками информационных систем компаний // Dig- ital Security. URL: http://dsec.ru/ipm-research-center/article/modern_methods_and_means_for_analysis_and_ risk_management_of_information_systems_of_companies/

  4. ГОСТ Р МЭК 62443–2–1–2015 Сети коммуникационные промышленные. Защищенность (кибербезопас- ность) сети и системы. Часть 2–1. Составление программы обеспечения защищенности (кибербезопасности) системы управления и промышленной автоматики.




Download 2,33 Mb.

Do'stlaringiz bilan baham:
1   ...   28   29   30   31   32   33   34   35   ...   59




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish