Системный подход к информационной безопасности требует определения ее субъектов, средств и объектов, источников опас¬ности, направленности опасных информационных потоков и принципов обеспечения информационной безопасности

аспірант Чередниченко А.О.

Харківський національний університет міського господарства імені О.М. Бекетова, Україна

Теоретичні аспекти формування системи управління інформаційною безпекою будівельних підприємств

Забезпечення інформаційної безпеки будівельних підприємств можливо тільки при системному і комплексному управлінні процесами захисту. Повноцінна інформаційна безпека підприємств представляє собою безперервний контроль в реальному часі всіх важливих подій і станів, що впливають на безпеку інформації та інформаційних ресурсів і систем. Захист повинен здійснюватися цілодобово й цілорічно і охоплювати весь життєвий цикл інформації - від її надходження або створення до знищення або втрати актуальності.

Інформаційна безпека, як правило, має велике значення не тільки для стратегічного розвитку підприємства й створення основного продукту, але і для окремих (іноді допоміжних) напрямів діяльності та бізнес-процесів, таких як комерційні переговори й умови контрактів, цінова політика і т.п.

Формальною підставою (передумовою) для здійснення цілеспрямованої діяльності у сфері захисту інформації, крім загальнодержавних вимог до захисту інформації, що становить державну таємницю, також є перелік відомостей, що становлять комерційну таємницю підприємства, який визначається підприємством самостійно з урахуванням вимог чинного законодавства.

Управління інформаційною безпекою полягає в плануванні, розгортанні й підтримці комплексу регламентів і процедур, направлених на мінімізацію ризиків порушення інформаційної безпеки.

Основні функції систем управління інформаційною безпекою наступні:

- виявлення і аналіз ризиків інформаційної безпеки;

- планування й практична реалізація процесів, направлених на мінімізацію ризиків інформаційної безпеки;

- контроль цих процесів;

- внесення в процеси мінімізації інформаційних ризиків необхідних коректувань.

Якісне управління інформаційною безпекою базується на принципах: комплексний підхід; узгодженість з бізнес-задачами і стратегією підприємства; високий рівень керованості; адекватність інформації, що використовується і генерується; ефективність; безперервність управління; процесний підхід.

Для нейтралізації існуючих загроз і забезпечення інформаційної безпеки підприємства організовують систему управління у сфері інформаційної безпеки, в рамках якої (системи) проводять роботу по декількох напрямах:

- формування і практична реалізація комплексної багаторівневої політики інформаційної безпеки підприємства і системи внутрішніх вимог, норм і правил;

- організація департаменту (служби, відділу) інформаційної безпеки;

- розробка системи заходів і дій на випадок виникнення непередбачених ситуацій ("Управління інцидентами");

- проведення аудитів (комплексних перевірок) стану інформаційної безпеки на підприємстві.

Основними етапами побудови системи управління інформаційної безпеки є наступні.

Перший крок побудови системи управління інформаційною безпекою – це визначення області її дії. Система управління інформаційною безпекою може охоплювати всю організацію, єдиний офіс або виділений сервіс.

Очевидно, що «спонтанно несвідома» організація управління непристосована для складних систем, тому система управління інформаційною безпекою ґрунтується на наборі внутрішніх нормативних документів: політиках, процедурах, корпоративних стандартах, керівництві й інструкціях. Політика інформаційної безпеки – це високорівневий документ, призначений для забезпечення управління відповідно до вимог бізнесу, партнерів, клієнтів, законодавчої бази. Документована політика інформаційної безпеки повинна бути затверджена керівництвом і доведена до відома всіх співробітників організації і зовнішніх сторін, до яких вона відноситься.

Третій крок - вибір методу оцінки ризиків, прийнятний для організації й області дії системи управління інформаційної безпеки. Необхідно визначити ризики, включаючи: визначення ресурсів і їх власників; загрози для ресурсів, уразливості, здатні реалізувати загрози; вплив на інформаційні ресурси.

Оцінити ризики, включаючи: вплив на цілісність, конфіденційність і доступність ресурсів; вірогідність настання ризиків; рівень ризиків.

Після завершення оцінки ризиків необхідно ухвалити рішення про подальші дії відносно виявлених ризиків. Можна прийняти ризики, відповідні допустимому рівню системи управління інформаційною безпекою, запропонувати механізми контролю для їх мінімізації, адресувати ризики третій стороні (наприклад, за допомогою страхування). А також можуть бути застосовані додаткові заходи контролю.

Впровадження. Ця частина циклу передбачає управління механізмами контролю, що передбачають перевірку досягнення мети, моніторинг загроз і недоліків, періодичні оцінки і т.п. Крім всього іншого, буде необхідні: процедури управління інцидентами безпеки (виявлення, сповіщення, відповідальності, аналізу і усунення); процедури навчання і «обізнаності» співробітників; процедури впровадження, планування і управління необхідними ресурсами.

Таким чином, перевагу одержує комплексний підхід до захисту інформації, який полягає в одночасному рішенні цілого ряду різнопланових задач шляхом застосування сукупності взаємозв'язаних засобів, методів і заходів. Забезпечення ефективності системи управління інформаційної безпеки на будівельних підприємствах потребує врахування вище представлених базових елементів, що формують модель системи управління.