Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

Принимая во внимание очевидное процессное разделение деятельности данных направлений, а также ассоциируемую децентрализацию их реализации, предоставление оперативного и рационального управления этими процессами считается одной из основных задач современной системы защиты информации [24,26]. Управление этими направленностями даст возможность значительно облегчить реализацию механизмов системы защиты информации, следить за планомерностью становления каждого из направлений и предоставит шанс правильно перераспределить материальные средства среди этих направлений, что сможет помочь значительно повысить продуктивность реализованных механизмов защиты информации при сохранении нынешней степени затрат компании на информационную безопасность.

Таким образом, контролирование процессов обеспечения информационной безопасности считается главной, неотъемлемой составляющей каждой системы защиты информации в любой компании.

1.4 Выявление основных направлений управления информационной безопасностью в организациях

Опираясь на итоги проведённого анализа Российской и международной нормативно-правовой документации [7-20,23,33-37,39-43], в рамках проведённого диссертационного исследования, а также с учетом ключевых направлений в области обеспечения информационной безопасности, были установлены главные направления в сфере управления информационной безопасностью в организациях разного вида деятельности. К итоговым направлениям управления информационной безопасностью в организациях разного вида деятельности [1] относятся:

• управление активами организации;

• управление ресурсами системы защиты информации, реализованной в организации;

• управление рисками и угрозами информационной безопасности;

• управление документацией и информационной справочной системой в организации;

• управление аудитом информационной безопасности;

• управление анализом эффективности системы защиты информации;

• управление задачами и деятельностью работников, исполняющих процессы обеспечения информационной безопасности в компании;

• управление процессами обеспечения непрерывной деятельности информационных систем и информационно-телекоммуникационных сервисов;

• управление процессами обеспечения мониторинга, раскрытия и своевременного реагирования на события информационной безопасности;

• управление процессами обеспечения информационной безопасности на разных стадиях развития информационных систем, а также поддержание и продление жизненных циклов информационных систем компании;

• управление процессами обеспечения информационной безопасности при осуществлении работы с работниками компании, повышение их квалификации и общей компетенции по вопросам информационной безопасности;

• управление процессами обеспечения информационной безопасности при осуществлении информационного обмена и взаимодействии с третьими лицами;

• управление процессами обеспечения разграничения прав доступа к данным и информационным системам пользователей компании, а также дальнейшего контроля за этим процессом.

В зависимости от степени зрелости компании в вопросах информационных технологий и защиты информации, а также принимая во внимание различность специфики вида деятельности каждой компании, в связи с чем к ним могут быть применимы различные нормативно-правовые требования в сфере защиты информации, отдельные направления смогут иметь разные приоритеты, но с учетом потребности построения единой системы защиты информации эти направления станут присущи каждой компании. Необходимо сосредоточиться на реализации системы управления [2] информационной безопасностью, она никак не должна преследовать за собой цель обеспечения информационной безопасности и сочетать, либо дублировать средства защиты информации, а должна быть ориентирована только на повышение производительности действующих систем защиты, поддерживать процессы развития информационно-телекоммуникационной структуры компании и предоставлять актуальную информационно-справочную помощь по проблемам обеспечения информационной безопасности, с целью оперативного принятия исправляющих и предостерегающих влияний и заключений, опираясь на:

− регламентации процессов защиты информации;

− учете и классификации защищаемых активов;

− учете и классификации ресурсов системы защиты информации;

− постоянном анализе рисков информационной безопасности и актуализации модели угроз информации;

− мониторинге происшествий информационной безопасности;

− уровне компетенции и профессиональных возможностей работников компании и обслуживающего персонала;

− степени занятости и профессиональной истории экспертов по защите информации;

− анализе собранных данных по вопросам информационной безопасности.

Таким образом, одними из необходимых элементов любой системы управления информационной безопасностью должны являться регламентация и реализация механизмов по:

• централизованному сигнализированию и уведомлению работников компании и экспертов по защите информации о действиях внутри системы управления в частности и системе защиты информации в целом;

• анализу событий внутри системы управления и системы защиты информации, то что даст возможность значительно облегчить управление информационной безопасностью и уменьшить нагрузку на специалистов по информационной безопасности.

1.5 Формулирование задачи исследования

Проанализировав международную и Российскую нормативно-правовую документацию в области информационной безопасности и защиты информации, результаты трудов специалистов и ученных в сфере информационной безопасности, а также с учетом типового подхода к построению систем защиты информации, можно судить о том, что теоретический и практический подход к управлению информационной безопасностью имеет ряд существенных недостатков, что влечет за собой несоответствие представлениям классического контура управления, связывающего по информационным каналам субъекты и объекты управления. В условиях текущего развития информационной безопасности в Российской Федерации любая организация сталкивается со строго фиксированными требованиями и ограничениями при построении системы защиты информации, зафиксированных в виде нормативно-методической документации в области информационной безопасности, включая собственные требования к данной области. Механизмы обеспечения информационной безопасности зачастую не предусматривают реализацию обратной связи между субъектами и объектами взаимодействия, и направлены лишь на выполнение конечного, строго определенного набора функций. При этом возможность совершенствования используемых подходов, а также инструментов для проведения детального анализа изменяющихся со временем данных о состоянии системы защиты информации и возникающих угроза информационной безопасности попросту отсутствуют. Состав и квалификация персонала, ответственного за обеспечение и управление информационной безопасностью существенно варьируются от организации к организации. При этом общее понимание целей и задач по управлению информационной безопасностью могут по-разному трактоваться каждым из специалистов, ввиду отсутствия унифицированных стандартных подходов и научно-методического аппарата по управлению информационной безопасностью. В связи с чем, эффективность принятия решений по информационной безопасности (и их обоснованность) напрямую зависит от совокупности опыта и компетенции экспертов, а также учета специфики связей и логических зависимостей информации внутри процессов обеспечения информационной безопасности, протекающих в системе защиты информации организации. При этом временные затраты необходимые на принятие соответствующих управленческих решений и их обоснование всегда ограничены, а значит время и корректность принятия решения напрямую будут влиять на показатели эффективности системы защиты информации. С учетом постоянно увеличивающихся объемов обрабатываемой информации, а также усложнения логических зависимостей процессов обеспечения информационной безопасности, эффективность реализации системы защиты информации в каждой организации со временем начинает ухудшаться. Разрешение складывающейся ситуации возможно за счет разработки и применения нового научно-методического аппарата по управлению информационной безопасностью, способного привести к сокращению временных затрат на принятие управленческих решений и существенно повысить эффективность системы защиты информации. Таким образом, основная задача настоящего диссертационного исследования может быть сформулирована как разработка метода управления информационной безопасностью типовой организации по заданным требованиям и ограничениям нормативно-методической документации в области информационной безопасности, основанных на экспертных оценках и логических связях процессов обеспечения информационной безопасности, которые бы обеспечили повышение эффективности системы защиты информации за счет сокращения временных затрат на принятие управленческих решений.

1.6 Вывод по главе

Проанализированы международные нормативно-правовые документы, стандартизирующие подход к управлению информационной безопасностью в организациях и определено, что существующий подход, представленный в рамках исследуемых документов не может быть полностью реализован с учетом специфики обеспечения информационной безопасности в Российской Федерации. Так же, проанализированы Российские нормативно-правовые документы, описывающие подходы и принципы обеспечения информационной безопасности в организациях различной величины и видов деятельности и определено, что в Российской Федерации документы, регламентирующие управление информационной безопасностью, а также описывающие основные принципы построения систем управления информационной безопасностью, отсутствуют. Сформулирована задача диссертационного исследования.

2 Определение роли метода управления информационной безопасностью на основе динамических экспертных систем поддержки принятия решений в рамках системы защиты информации

2.1 Формирование принципов управления информационной безопасностью

Создание модели управления информационной безопасностью должно придерживаться общепризнанных концептуальных основ, заложенных при построении любой системы защиты информации. Согласно действующего законодательства Российской Федерации [20,28,43], нормативно-методическими требованиями [11,12,13,40,41], а также ключевыми тенденциями в области обеспечения защиты информации, метод управления информационной безопасностью должен обладать следующими концептуальными принципами:

− правомерность;

− системность;

− процессность;

− комплексность;

− непрерывность;

− преемственность и беспрерывность совершенствования;

− разумная полнота;

− персональная ответственность;

− минимизация возможностей;

− научная аргументированность и техническая исполнимость;

− обязательность контролирования.

Под принципом правомерности подразумевается формирование модели управления информационной безопасностью, её реализация и использование в соответствии с функционирующим законодательством Российской Федерации в сфере информационных технологий и информационной безопасности, иных нормативных актов, утвержденных органами правительства и управления в пределах их полномочий, а также местными организационно-распорядительными документами, установленными внутри компании. По ходу реализации этого концептуального принципа пользователи и обслуживающий штат компании обязаны обладать пониманием ответственности за преступления в области информационной безопасности, а также быть предупрежденными, что собственными поступками они смогут не только нести материальную и административную ответственность, но и уголовную (статьи 272, 273, 274 Уголовного Кодекса Российской Федерации).

Под принципом системности подразумевается такого рода подход к формированию модели управления информационной безопасностью, который будет принимать во внимание все без исключения взаимозависимые, взаимодействующие и меняющиеся в течении времени элементы, условия и факторы, значительно важных для осмысления и решения вопросов управления абсолютно всеми направлениями информационной безопасности в компании. В ходе реализации этого концептуального принципа особый интерес необходимо сосредоточить на связи структур и экспертов по защите информации, а также акцентирование и исследование существующих в их распоряжении данных, с целью более оптимального применения элементов системы, а также мониторинга и учета факторов и условий, действующих на информацию.

Принцип процессности предполагает обособленное изучение и высокоструктурированное распределение абсолютно всех мероприятий по обеспечению информационной безопасности, реализованных и реализуемых в организации. В ходе реализации этого концептуального принципа следует уделить особый интерес детализации отображения каждого из составных процессов информационной безопасности с целью развития более результативных элементов управления ими.

Принцип комплексности предполагает, использование методов и средств управления и контроля информационной безопасности, что означает согласованное применение разнородных средств при построении всей системы управления информационной безопасностью, которая реализует целый необходимый перечень возможностей, согласно любого из процессов обеспечения информационной безопасности. В процессе осуществления данного концептуального принципа необходимо обратить внимание на то, что реализация данного метода управления не должна преследовать за собой цели замещений функций средств защиты информации, а должна лишь управлять ими, что может быть достигнуто посредством интеграции средств защиты информации и механизмов настройки и управления ими в систему управления информационной безопасностью.

Принцип непрерывности модели управления информационной безопасностью подразумевает, что при осуществлении этой модели следует гарантировать постоянный направленный процесс, предусматривающий реализацию контролирования состояния и управления абсолютно всеми элементами системы защиты информации и принятие определённых мер в случае нарушения работоспособности на всех стадиях жизненного цикла системы защиты информации, включая самые преждевременные стадии проектирования и модернизации, а также в ходе её эксплуатации. При реализации данного концептуального принципа необходимо обратить внимание на необходимость сбора и накопления обрабатываемых данных по системе защиты информации в целом и её отдельным компонентам, с целью поддержания работоспособности и своевременного внесения изменений. Большинству программных и технических средств контроля и управления, включая реализации данной модели, с целью результативного исполнения своих функций нужна непрерывная координационная помощь. Паузы в работе данных средств должны сводиться к минимальному времени восстановления их работоспособности, что должно быть закреплено на административном уровне организации.

Принцип преемственности и беспрерывности улучшения подразумевает непрерывное усовершенствование мер и средств контролирования и управления на основе преемственности координационных и технических решений, кадрового состава, анализ функционирования системы управления информационной безопасностью и системы защиты информации с учетом модификаций в способах и программно-технических средствах, нормативных требований, в том числе по защите, накопленного российского и иностранного опыта в данной сфере. В процессе реализации данного концептуально принципа необходимо уделить особое внимание формированию универсальных алгоритмов взаимодействия данных при построении системы управления информационной безопасностью.

Характеристики

Список файлов ВКР