Чирва Владислав Сергійович
Державний ВУЗ
"Національний гірничий університет", Україна
АНАЛІЗ
СИСТЕМ УПРАВЛІННЯ ІНФОРМАЦІЙНОЇ
БЕЗПЕКИ З ВИКОРИСТАННЯМ ПРОЦЕСНОГО ПІДХОДУ
ВСТУП
Забезпечення інформаційної
безпеки (ІБ) комп'ютерних систем різного призначення продовжує залишатися
надзвичайно гострою проблемою. Можна констатувати той факт, незважаючи на
зусилля численних організацій, займаються вирішенням цієї проблеми, загальна
тенденція залишається негативною.
ПРИНЦИПИ АНАЛІЗУ
Основних причин дві:
– зростаюча роль інформаційних
технологій в підтримці процесів, як наслідок зростаючі вимоги до
автоматизованих ІБ систем;
Ціна помилок і збоїв
інформаційних систем зростає:
– зростаюча складність
інформаційних процесів.
Це висуває підвищені вимоги до
кваліфікації персоналу, відповідального за забезпечення ІБ. Вибір адекватних
рішень, що забезпечують прийнятний рівень ІБ при допустимому рівні витрат, стає
все більш складним завданням.
Аудит інформаційної безпеки є
одним з найбільш актуальних і динамічно розвиваються напрямків менеджменту в
галузі інформаційної безпеки (ІБ). Його основним завданням є об'єктивна оцінка поточного
стану інформаційної безпеки організації, а також її адекватність поставленим
цілям і завданням бізнесу з метою збільшення ефективності і рентабельності
економічної діяльності підприємства [1]. Результати якісно виконаного аудиту
дозволяють побудувати оптимальну по ефективності і витрат корпоративну систему
захисту, адекватну її поточним завданням і цілям бізнесу.
Основні завдання проведення
аудиту безпеки включають в себе:
– контроль ефективності витрат на
системи інформаційної безпеки;
– перевірка планових етапів
розвитку СУІБ;
– контроль дотримання
інтелектуальної власності;
– інвентаризація і деталізація
інформаційних ресурсів (фінансові
звіти, плани);
– визначення законності та
ефективності використання інформаційно-
них ресурсів;
– виявлення недоліків з точки
зору інформаційної безпеки;
– усунення недоліків та внесення
необхідних рекомендація;
– виявлення порушень в АСУ.
В даний час існує досить велика
кількість як вітчизняних, так і зарубіжних методик та підходів щодо проведення
аудиту інформаційної безпеки. Всі існуючі методики багато в чому залежать від
знань і компетентності аудитора [2].
Саме тому існує проблема
отримання об'єктивних результатів у області оцінки інформаційної безпеки.
Для вирішення даної проблеми
виникає необхідність у розробці формальних засобів (моделей і алгоритмів), що
дозволяють здійснювати аналіз системних процесів щодо забезпечення
інформаційної безпеки підприємства. З
їх допомогою можна ефективно
відображати і аналізувати моделі діяльності широкого спектру складних систем в
різних розрізах. При цьому широта і глибина обстеження процесів в системі
визначається самим оцінювачем, що дозволяє не перевантажувати створювану модель
зайвими даними.
У зв'язку з цим постає питання
про використання процесного підходу при дослідженні діяльності як ІТ-служб, так
і служб інформаційної безпеки, в основі якого лежать моделі процесів управління
ІТ-підтримкою і систем ІБ.
Для розробки процесної системи
управління, в першу чергу необхідно побудова динамічної моделі інформаційної
безпеки підприємства.
При розробці моделі
проектувальники визначають ролі учасників і функції процесів, реалізацією яких
займаються конкретні служби досліджуваного підприємства. Формування служб ІБ на
підприємствах відбувається шляхом розподілу функцій процесів і ролей учасників
за конкретним співробітникам штатних підрозділів і включення опису процесів у
нормативнорегламентные документи підприємств, а функцій – в посадові інструкції
співробітників.
На першому етапі під керівництвом
групи компетентних осіб, силами штатних працівників досліджуваного
підприємства, будується модель системних процесів за принципом "як
є", де дається максимально об'єктивна оцінка стану системних процесів [3].
Така модель представляє підприємство з позиції співробітників, які в ньому
працюють і досконально знають всі нюанси, в тому числі і неформальні, що
дозволяє враховувати питання по аппаратнотехническому оснащення фірми. По суті,
моделювання системних процесів "як є" являє собою реєстрацію
фактичного стану наявних системних процесів, що дозволяють виявити
невідповідності вимогам стандарту щодо проведення аудиту. Моделювати системні
процеси повинні тільки ті особи, які потенційно можуть бути відповідальні за їх
виконання і мають закріплені за ними ролі.
ВИСНОВОК
СУІБ і сертифікації дає компанії
такі переваги як управління інформаційною безпекою компанії в рамках єдиної
корпоративної політики, управління ризиками та їх своєчасне виявлення, зниження
ризиків від зовнішніх і внутрішніх загроз, систематизація процесів забезпечення
ІБ, встановлення пріоритетів компанії в області ІБ. У свою чергу це забезпечує
компанії конкурентну перевагу, демонструючи здатність керувати інформаційними
ризиками, при цьому також збільшується капіталізація компанії.
Перелік
літератури:
1. ISO 27001:2005 «Информационные
технологии - Методы обеспечения безопасности - Системы управления
информационной безопасностью - Требования».
2. Ярочкин В.І. Безпека
інформаційних систем. - М.: вид. "Вісь-89", 2006.