Студент Гудков А.А.
Федеральное Государственное
Бюджетное Образовательное Учреждение Высшего Образования «Поволжский
государственный университет сервиса»
К.э.н. Николаева Н.А.
Федеральное Государственное
Бюджетное Образовательное Учреждение Высшего Образования «Поволжский
государственный университет сервиса»
Студент Мищенко Н.В.
Федеральное Государственное
Бюджетное Образовательное Учреждение Высшего Образования «Поволжский
государственный университет сервиса»
менеджмент
информационной безопасности: особенности применения в современных условиях
Сегодня вопросам информационной безопасности
уделяется повышенное внимание.
Информационная безопасность рассматривается
как часть экономической безопасности, провозглашенной Доктриной [1] и
Стратегией [2] национальной защищенности страны, отмеченная Указом президента
РФ одним из приоритетных направлений развития современной экономики в условии
рыночных отношений.
Обоснованием актуальности рассматриваемых
вопросов является широкое распространение компьютерных и коммуникационных
технологий, интеллектуализация труда и информатизация. Сегодня появилось
множество законодательных и нормативных документов, являющихся обязательными
для построения в организациях, осуществляющих профессиональную торговую
деятельность, эффективной системы защиты информации от несанкционированного
доступа.
В связи с этим, следует отметить
значительную роль персонала, владеющего навыками менеджмента информационной
безопасности на различных уровнях экономического управления.
На индивидуальном уровне, например, это
может быть менеджмент информационной безопасности, осуществляемый на рабочих
местах. В этих случаях имеет место организация защита данных компьютерным
путем. При помощи специальных защитных средств операционной системы, либо
специально разработанных пользователем инструментов, представленных в виде
информационных систем [3].
На микроуровне экономического
управления это может быть аналитическая система информационной безопасности,
включающая в себя комплекс специальных средств: например, экспертную систему
оценки информационной безопасности всех структурных подразделений организации,
или программу, выполняющую аудит средств вычислительной техники на предмет
несанкционированного доступа. Таких программных продуктов достаточно много. Они
включают и технические и программные инструменты. Их основная цель состоит в
организации системной и целенаправленной защиты информационных потоков внутри
структуры управления деятельностью хозяйствующего субъекта.
На мезоуровне экономического управления
должна быть построена инфраструктура системы информационного обеспечения
деятельности организации при возникновении контактов обмена данными среди
других субъектов рыночных отношений. Здесь может идти речь о защите
корпоративных данных, поступающих посредством корпоративного обмена
информацией.
Рассмотрим некоторые особенности
использования инструментов управления рисками, описанными нормативными
документами, знание которых персоналу организации необходимы [4, 5].
Будем проектировать требования ГОСТ Р
ИСО/МЭК 31010 "Менеджмент риска. Методы оценки риска." на
деятельность системного администратора, в функционал которого входит
организация эффективного продвижения Web-приложения. Проанализировав типовой
функционал Web-приложений и угроз, характерных для данного функционала
в процессе работы типовой бизнес-структуры, построим модель нарушителя. В
процессе анализа причин возникновения рисковых ситуаций было выявлено, что
внешними нарушителями могут стать как легальный пользователь (обозначим его
ВЛП) приложения (например, партнер по бизнесу), так и сознательный
"взломщик" системы (хакер), обозначим его условно ВСВ. Тогда, для анализируемого
Web приложения характерна модель нарушителя вида: ВЛП -
ВСВ.
Отметим, что для категории "ВЛП" свойственны
такие параметры нарушителя: квалификация доступа к функционалу Web-приложения; отсутствие
целей ущерба компании (партнеру);
невнимательность и халатность взаимодействия с системой; недостаточный уровень
квалификации в области менеджмента информационной безопасности.
В свою очередь, для категории "ВСВ"
характерны такие личностные свойства нарушителя, как: высокий профессионализм в
области вычислительной техники и операционных систем; наличие специфических технических
компетенций для эксплуатации возможностей сети Internet и Web - сервиса;
наличие профессиональных навыков и опыта использования уязвимостей ОС; опыт
обнаружения "узких мест" в деятельности ОС и распространенного
прикладного ПО; намерение нанести организации финансовый ущерб.
В Таблице 1 показаны идентифицированные возможности
выявленного вида ущерба от данной модели злоумышленника. Также в таблице отражены
функции менеджмента, на которые должны быть направлены действия персонала
организации с целью повышения уровня информационной безопасности.
Таблица 1
Анализ ситуаций для управленческого
регулирования (фрагмент)
|
Объект защиты
|
Идентифицированная
угроза |
Рекомендованные
действия персонала |
Функция
менеджмента |
|
База
данных |
Утечка
информации, нарушение целостности, нарушение конфиденциальности |
Планирование
действий по предотвращению атак операторов SQL, контроль переполнения буфера
СУБД |
Планирование,
организация, контроль |
|
Web-сервера |
Нарушение
доступности сервера Web, Угроза
аутентификации, угроза авторизации. атака на клиентов Web |
Планирование
мероприятий по блокировки атак при межсайтовом соединении (сценарии XSS,
запросы XSRF), организация мониторинга шторма сетевых пакетов, контроль
формирования некорректных пакетов |
В таблице 2 показаны угрозы, которые могут возникнуть в организаций при
использовании WEB- приложений с типовым функционалом.
Таблица 2
Анализ
возможных угроз для Web-приложений с типовым функционалом
(фрагмент)
|
Функционал |
Угрозы
аутентификация |
Угрозы
авторизации |
Угроза
атаки на клиентов |
Угроза
выполнения кода |
Угроза
возникновения логической атаки |
|
Организация
процесса загрузки файлов на сервер |
+ |
+ |
+ |
+ |
- |
|
Организация
работы в личном кабинете |
+ |
+ |
- |
+ |
+ |
|
Интеграция
с ИС организации |
+ |
+ |
- |
- |
+ |
|
Интеграция
с платежными системами |
+ |
+ |
- |
+ |
+ |
Таким образом, можно сделать вывод о
наиважнейшей необходимости подготовки сотрудников промышленных комплексов к
изучению обязательных нормативных документов, сведения которых направлены на
предотвращение рисков деятельности компании в едином информационном
пространстве предприятия [5].
В связи с чем для организаций приобретает
важное значение процесс управления знаниями персонала. В таблице 3 предложим
систему управленческих решений для персонала, в зависимости от потребностей экономического
управления, рассмотренного выше. В таблице выделены три взаимосвязанных уровня
управления (менеджмента) знаниями: стратегический, тактический и оперативный. Эта
иерархия, на наш взгляд, характеризует
структуру менеджмента знаний в области информационной безопасности в
организации (табл. 3).
Таблица 3
Структура менеджмента знаний
|
Стратегический
менеджмент |
|||
|
Планирование
корпоративной стратегии менеджмента риска информационной безопасности |
Планирование,
создание и реализация новой продукции, основывающейся на знании стандартов
информационной безопасности |
Переориентация
бизнеса на использование методов и средств предотвращения рисков
информационной безопасности |
Создание
совместных корпоративных систем информационной безопасности и инфраструктуры безопасного бизнеса |
|
Практический
менеджмент |
|||
|
Создание
комплексной информационно-аналитической системы защиты информации |
Мониторинг
процессов управления информационной безопасностью и связанных с ними
практических функций |
Политика
управления информационной безопасностью в организации |
Планирование
целей и инструментов менеджмента для их достижения в плане реализации
политики информационной безопасности |
|
Оперативный
менеджмент |
|||
|
Анализ
уровня защищенности организации от несанкционированного доступа к данным |
Формирование
человеческих ресурсов в области менеджмента информационной безопасности через
образование и обучение |
Построение
модели нарушителя информационной безопасности и оценка рисков |
Интеграция
нормативной базы и нематериальных
активов в сфере защиты информации |
|
Создание
системы учета активов, подлежащих защите |
Организация
процесса обучения менеджменту информационной безопасности |
Создание
и развертывание нормативной базы менеджмента |
Применение
менеджмента информационной безопасности к рабочим объектам |
Таким образом, потребность в постоянном
обновлении знаний и формировании нормативной базы в области менеджмента
информационной безопасности позволит существенно снизить риски корпоративной
деятельности в условиях развитой сетевой инфраструктуры.
Список литературы:
1. Доктрина информационной безопасности
Российской Федерации» (утв. Президентом РФ 09.09.2000 № Пр-1895)
2. Указ Президента РФ от 12.05.2009 № 537 «О
Стратегии национальной безопасности Российской Федерации до 2020 года»
3. Глухова Л.В. Методология оценки и
управления качеством функционирования информационных систем // Вестник
Казанского технологического университета, 2008, № 4, с.174-181
4.
Губанова С.Е. Особенности работы
корпоративного Удостоверяющего центра крупного промышленного предприятия //
Информационные системы и технологии: управление и безопасность. Сборник статей II Международной заочной научно-практической
конференции / Поволжский гос. ун-т сервиса - Тольятти-Русе, : Изд-во ПВГУС. 2013 № 2, с.185-191
5.
Гудков А. А. Стандартизация деятельности
IT-компаний: необходимость и реальность [Текст] / А. А. Гудков // Инновационные
технологии в науке и образовании : материалы IV Междунар. науч.-практ. конф.
(Чебоксары, 18 дек. 2015 г.) / редкол.: О. Н. Широков [и др.]. — Чебоксары: ЦНС
«Интерактив плюс», 2015. — № 4 (4). — С. 281–284. — ISSN 2413-3981.