Модель управления информационной безопасностью

Автор: Фомченкова Л.В., Леонов А.В.

Журнал: Экономика и бизнес: теория и практика @economyandbusiness

Статья в выпуске: 12-3 (58), 2019 года.

Бесплатный доступ

В статье рассмотрена проблема защиты информации в информационных систем организаций условиях ограниченности имеющихся ресурсов. Показано, что традиционные модели управления информационной безопасностью не учитывают возрастающего количества современных киберугроз, а также рисков достижения целей. Предложена комплексная модель управления информационной безопасностью и обоснована необходимость ее внедрения в организации. Сформулированы предложения по совершенствованию стратегического управления информационной безопасностью производственных организаций.

Информационная безопасность, информационная советующая система, защита информации, деловая репутация организации, киберугрозы, инфраструктура организации, уровни защиты данных, внутренняя среда организации, внешняя среда организации, управление информационной безопасностью, модель управления информационной безопасностью

Еще

Короткий адрес: https://sciup.org/170181417

IDR: 170181417   |   DOI: 10.24411/2411-0450-2019-11527

Текст научной статьи Модель управления информационной безопасностью

Формирование деловой репутации и конкурентоспособности организации во многом зависит от уровня информационной защищенности и безопасности в области информатизации. При функционировании организаций могут возникать инциденты информационной безопасности (ИБ) из-за ограниченности автоматизированных информационных систем (АИС), как на уровне организации, так и на уровне подразделений. Таким образом, актуальность темы исследования заключается в необходимости исключения неправомерного блокирования информации для защиты общедоступной информации, содержащейся внутри организации с помощью комплексного управления информационной безопасностью.

Изучению защиты информации посвящены исследования российских и зарубежных ученых, среди которых следует выделить работы Е. Кожунова [1], Л. Мамаева, О. Кондратьева. Применяемая модель защиты корпоративных ресурсов организации для различных организационных уровней данных базируется на сетевой инфраструктуре и каждодневном исследовании новых уязвимостей, как во внутренней, так и во внешней сре- де. Для обеспечения информационной безопасности организации используется инженерная система, обеспечивающая оценку и управление рисками; соответствие уровня защищенности АИС стандартам или другому (внутриорганизацион-ному) набору требований.

В вышенаписанных подходах, критерием достижения цели в обеспечении информационной безопасности предлагается степень выполнения набора требований, описанных в стандарте, а критерием эффективности - минимальные затраты на выполнение и достижение поставленных требований. Известные алгоритмы и методы защиты информации эффективно работают в случае профессионального выбора мер защиты информации для их реализации в информационной системе еще на стадии проектирования, что позволяет вводить систему приоритетов, которая должна оперативно оценивать уровень инцидентов защиты информации. Недостатком предлагаемых моделей управления ИБ является применение несовершенных методов проектирования «советующих» систем, основанных на нечетком характере хранимой экспертной информации. На основании выше изложенного возникает актуальная научная задача совершенствования модели управления информационной безопасностью с учетом существующих информационных инцидентов и угроз в деятельности организации в условиях ограниченности ресурсов информационной системы.

Предлагаемая модель управления информационной безопасностью, представ- ленная на рисунке 1, предполагает создание в организации отдельной службы контроля и формирование системы информационной безопасности. Главной обязанностью данной службы является разработка комплексной системы информационной безопасности и обеспечение ее поддержания в актуальном состоянии.

Рис. 1. Модель управления информационной безопасностью

В число компетенций службы должны входить работы, подробно описанные в [2]. К ним относятся корректировка, принятие своевременных мер и изменений в систему информационной безопасности, а также изменение стратегии защиты информации; анализ потенциальных угроз собственных информационных ресурсов организации, а также внешних факторов в потенциале уязвимости внешних угроз безопасности; преобразование разработанного программного комплекса комплексной системы информационной безопасности; применение опыта решений инцидентов искусственным интеллектом системы информационной безопасности.

На основе агрегированного идентификатора внутренних угроз и рисков связанных с информационной безопасностью организации, а также с учетом цифрового потенциала, бизнес- и ИТ-стратегиями осуществляется формирование решений в сфере управления ИБ, определяющих степень и способ необходимой информационной защиты. Стратегии управления безопасностью в сфере информатизации представлены на рисунке 2. Полный список стратегий управления информационной безопасностью их основные характеристики согласно представленной выше модели приводится в обзоре компании McKinsey [3], посвященном теме защиты информации. При разработке и реализации стратегий необходимо учитывать положения международных стандартов в области информационной безопасности.

Рис. 2. Стратегии управления информационной безопасностью

Предложенная модель управления информационной безопасности организации, может применяться в алгоритмах уязвимостей в условиях ограниченности ресурсов, снизить риски и многокритери-альность инцидентов защиты информа- предварительной настройки нейронных ции. Модель может найти практическое сетей в условиях относительно малых объемов обучающих примеров, существующих на данный момент времени потоков киберугроз для организаций.

Она позволяет повысить защищенность организации с сфере информатизации, а также устранить большой массив применение в производственных организациях и быть интегрирована в уже существующие информационные системы, а также использоваться в процессе переподготовки сотрудников службы безопасности.

Список литературы Модель управления информационной безопасностью

  • Кожунова Е.А. Обеспечения информационной безопасности на современном предприятии // Школа науки. - 2018. - №2. - С. 19-21.
  • Мамаева Л.Н., Кондратьева О.А. Основные направления обеспечения информационной безопасности предприятия // Информационная безопасность регионов. - 2016. - №2. - С. 5-9.
  • Critical infrastructure companies and the global cybersecurity threat // McKinsey Global Institute. 2019. October. - [Электронный ресурс]. - Режим доступа: https://www.mckinsey.com/business-functions/risk/our-insights/critical-infrastructure-companies-and-the-global-cybersecurity-threat# (дата обращения 20.12.2019).
Статья научная