Методика инвестирования информационной безопасности организации
Автор: Козунова Светлана Сергеевна, Бабенко Алексей Александрович
Журнал: НБИ технологии @nbi-technologies
Рубрика: Инновации в информатике, вычислительной технике и управлении
Статья в выпуске: 4 (27), 2017 года.
Бесплатный доступ
Рассмотрен анализ подходов к инвестированию информационной безопасности (ИБ) организаций. Предложена методика инвестирования, описывающая возможности применения теории управления инвестициями в ИБ с процессами обеспечения ИБ организаций.
Методика инвестирования, информационная безопасность, управление, предприятие, менеджмент информационной безопасности, информационные активы
Короткий адрес: https://sciup.org/149129735
IDR: 149129735 | DOI: 10.15688/jvolsu10.2017.4.2
Текст научной статьи Методика инвестирования информационной безопасности организации
DOI:
В основе построения системы информационной безопасности (СИБ) организации лежит инвестирование проектов обеспечения информационной безопасности (ПОИБ). Финансовый диапазон ИБ, который устанавливается руководством, редко подлежит увеличению. При принятии решения об эффективном инвестировании ПОИБ нужно применять методику, способную реализовать эффективное вложение в СИБ [6]. В исследовании [8] отмечено, что на предприятии задачи ИБ сводятся к корпоративной безопасности, поэтому специалист по безопасности должен быть бизнес-аналитиком. На практике политика инвестирования ИБ является либо частью общей политики инвестирования проектов предприятия, либо частной политикой системы менеджмента качества. Авторами [5] проанализированы под- ходы к оценке затрат на ИБ, результатом анализа явилось то, что ни один из подходов не является универсальным для достижения эффективности инвестиций в ИБ, а также не ориентированным на отечественные организации. В работе [5] исследована специфика российского подхода к оценке затрат в ИБ, согласно которой основными этапами являются: аудит ИБ, идентификация рисков, оценка рисков, определение допустимых уровней рисков. Согласно [4], менеджмент риска ИБ способствует: идентификации и оценке рисков, осознанию и информированию о вероятности и последствиях рисков, проведению регулярного мониторинга и пересмотра процесса менеджмента рисков. На основании [2–8] можно сделать вывод, что проектируемая методика должна соответствовать ГОСТ и бизнес-процессам предприятия.
|
I |
Аудит информационной безопасности / Предпроектное обследование объекта защиты |
|
II |
Разработка проектов по обеспечению информационной безопасности и технического задания |
|
III |
Тестовые испытания разработанной системы и документирование результатов согласно принятой методике проведения тестовых испытаний |
|
IV |
Проведение коррекции проектов по обеспечению информационной безопасности |
|
V |
Ввод в эксплуатацию разработанной системы |
|
VI |
Эксплуатационное сопровождение внедрённой системы |
|
VII |
Разработка новых проектов по обеспечению информационной безопасности по истечении срока аттестации защищаемых объектов |
Методика инвестирования информационной безопасности организации
В работе [4] процесс менеджмента риска ИБ представлен двумя основными составляющими: «коммутация риска» с процессами управления и «мониторинг и переоценка рисков». В статье [7] процесс управления инвестициями в ИБ представлен как «черный ящик». Входными сигналами являются: стоимость активов, затраты на ИБ, коэффициент дисконтирования. Выходными – прогнозирование ущербов, интегральный критерий эффективности, оптимизация затрат.
Предложенная авторами методика (рисунок) включает семь этапов. На первом этапе производится аудит ИБ или предпроектное обследование объектов защиты, результатом работ данного этапа является формирование направлений ИБ (классификация задач обеспечения ИБ) и определение требований по ИБ. На втором этапе определяются сроки и этапы работ по ПОИБ, наем лицензиатов в области обеспечения ИБ (по необходимости), прием на работы специалистов или инженеров ИБ (в случае отсутствия специализированных штатных сотрудников). На третьем этапе выбирается методика проведения тестовых испытаний, проводится тестирование разработанной системы защиты (СЗ), осуществляется развертывание пилот-проекта, результаты тестирований документируются. На четвертом этапе производится согласование результатов тестирований и в случае необходимости вносятся изменения в ПОИБ. Пятый этап включает в себя внедрение разработанной СЗ и подготовку итогового пакета документов. Шестой этап включает: администрирование и мониторинг СЗ, техническую поддержку пользователей, проведение контрольных мероприятий. Заключительным этапом является разработка нового ПОИБ. Таким образом, предложенная методика (см. рисунок) отображает процессы ИБ и процедуры инвестирования. Характеристики инвестирования ИБ могут быть получены при помощи использования какой-либо модели, например, повышающей эффективность инвестиций в ИБ предприятия [6], или подходов, о которых говорилось выше. В работе [1] говорится о ценности информационных активов (ИА). Оценку ценности ИА необходимо проводить на первом этапе. В статье [2] предложена оценка значимости ИА. Оценку информационных рисков и рисков инвестирования ИБ необходимо проводить на втором и четвертом этапах.
Методика инвестирования ИБ, предложенная авторами статьи, содержит структуру, описывающую возможности применения теории управления инвестициями в ИБ, и топологию взаимодействия процедур инвестирования с процессами обеспечения ИБ.
Список литературы Методика инвестирования информационной безопасности организации
- Атаманов, Г. А. О цене и ценности информации / Г. А. Атаманов // Защита информации. Инсайд. - 2016. - № 6. - С. 19-21.
- Бабенко, А. А. Модель оценки и прогнозирования рисков инвестирования информационной безопасности промышленных предприятий / А. А. Бабенко, С. С. Козунова // Научный результат. Серия: Информационные технологии: Сетевой научно-практический журнал. - 2016. - Т. 1, № 4. - С. 29-35.
- ГОСТ Р 54869-2011 Проектный менеджмент. Требования к управлению проектом. - Введ. 2011-12-22. - М.: Стандартинформ, 2011. - 14 с.
- ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. - Введ. 2011-12-01. - М.: Стандартинформ, 2011. - 51 с.
- Жаринова, С. С. Модель эффективности инвестиций в информационную безопасность предприятия / С. С. Жаринова, А. А. Бабенко // Моделирование экономических процессов современной России: отчет о научно-исследовательской работе. В 5 ч. Ч. 4. Разработка микроэкономических моделей. - Волгоград: Волгогр. науч. изд-во, 2014. - С. 88-112.
- Жаринова, С. С. Повышение эффективности инвестиций в информационную безопасность предприятия / С. С. Жаринова, А. А. Бабенко // Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства: материалы III Всерос. науч-практ. конф. (г. Волгоград, 24-25 апр. 2014 г.). - Волгоград: Изд-во ВолГУ, 2014. - С. 119-123.
- Козунова, С. С. Автоматизированная система управления инвестициями в информационную безопасность предприятия / С. С. Козунова // XXI Региональная конф. молодых исследователей Волгоградской области. - Волгоград, 2016. - С. 134-136.
- Савельев, М. Перекосы сознания «ИБ-шника» / М. Савельев // Безопасность деловой информации. - 2015. - № 9. - С. 41-43.
