CC BY
99
МОДЕЛЬ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Л.В. Фомченкова, д-р экон. наук, доцент А.В. Леонов, студент
Национальный исследовательский университет «МЭИ», филиал в г. Смоленске (Россия, г. Смоленск)
DOI: 10.24411/2411-0450-2019-11489
Аннотация. В статье рассмотрена проблема защиты информации в информационных систем организаций условиях ограниченности имеющихся ресурсов. Показано, что традиционные модели управления информационной безопасностью не учитывают возрастающего количества современных киберугроз, а также рисков достижения целей. Предложена комплексная модель управления информационной безопасностью и обоснована необходимость ее внедрения в организации. Сформулированы предложения по совершенствованию стратегического управления информационной безопасностью производственных организаций.
Ключевые слова: информационная безопасность, информационная советующая система, защита информации, деловая репутация организации, киберугрозы, инфраструктура организации, уровни защиты данных, внутренняя среда организации, внешняя среда организации, управление информационной безопасностью, модель управления информационной безопасностью.
Формирование деловой репутации и конкурентоспособности организации во многом зависит от уровня информационной защищенности и безопасности в области информатизации. При функционировании организаций могут возникать инциденты информационной безопасности (ИБ) из-за ограниченности автоматизированных информационных систем (АИС), как на уровне организации, так и на уровне подразделений. Таким образом, актуальность темы исследования заключается в необходимости исключения неправомерного блокирования информации для защиты общедоступной информации, содержащейся внутри организации с помощью комплексного управления информационной безопасностью.
Изучению защиты информации посвящены исследования российских и зарубежных ученых, среди которых следует выделить работы Е. Кожунова [1], Л. Мамаева, О. Кондратьева. Применяемая модель защиты корпоративных ресурсов организации для различных организационных уровней данных базируется на сетевой инфраструктуре и каждодневном исследовании новых уязвимостей, как во внутренней, так и во внешней сре-
де. Для обеспечения информационной безопасности организации используется инженерная система, обеспечивающая оценку и управление рисками; соответствие уровня защищенности АИС стандартам или другому (внутриорганизацион-ному) набору требований.
В вышенаписанных подходах, критерием достижения цели в обеспечении информационной безопасности предлагается степень выполнения набора требований, описанных в стандарте, а критерием эффективности - минимальные затраты на выполнение и достижение поставленных требований. Известные алгоритмы и методы защиты информации эффективно работают в случае профессионального выбора мер защиты информации для их реализации в информационной системе еще на стадии проектирования, что позволяет вводить систему приоритетов, которая должна оперативно оценивать уровень инцидентов защиты информации. Недостатком предлагаемых моделей управления ИБ является применение несовершенных методов проектирования «советующих» систем, основанных на нечетком характере хранимой экспертной информации. На основании
выше изложенного возникает актуальная научная задача совершенствования модели управления информационной безопасностью с учетом существующих информационных инцидентов и угроз в деятельности организации в условиях ограниченности ресурсов информационной системы.
Предлагаемая модель управления информационной безопасностью, представ-
■D
В число компетенций службы должны входить работы, подробно описанные в [2]. К ним относятся корректировка, принятие своевременных мер и изменений в систему информационной безопасности, а также изменение стратегии защиты информации; анализ потенциальных угроз собственных информационных ресурсов организации, а также внешних факторов в потенциале уязвимости внешних угроз безопасности; преобразование разработанного программного комплекса комплексной системы информационной
ленная на рисунке 1, предполагает создание в организации отдельной службы контроля и формирование системы информационной безопасности. Главной обязанностью данной службы является разработка комплексной системы информационной безопасности и обеспечение ее поддержания в актуальном состоянии.
безопасности; применение опыта решений инцидентов искусственным интеллектом системы информационной безопасности.
На основе агрегированного идентификатора внутренних угроз и рисков связанных с информационной безопасностью организации, а также с учетом цифрового потенциала, бизнес- и ИТ-стратегиями осуществляется формирование решений в сфере управления ИБ, определяющих степень и способ необходимой информационной защиты. Стратегии
Сведения о факторах и потенциальных угрозах инф ормационной безопасности
Данные об информационном потенциале партнеров
| Бизнес-стратегия |— | ИТ-стратегия |—
Инновационные Ресурсы организации Материальные
i— —1
Информационные
Инвестиционные
Кадровые
Потенциал
Уязвимости
Стандарты обеспечения информационной безопасности
Служба контроля и формирования системы информационной безопасности
X
Анализ рисков информационной безопасности
I
Выбор стратегий управления безопасностью в сфере информатизации, определяющих степень необходимой информационной защиты и способ обеспечения информационной безопасности
I
Разработка мероприятий в области информационной безопасности
Сопоставления стоимости формируемой системы информационной безопасности со стоимостью защищаемых ресурсов организации
Стоимость ресурсов для формирования системы информационной безопасности
Рис. 1. Модель управления информационной безопасностью
управления безопасностью в сфере информатизации представлены на рисунке 2. Полный список стратегий управления информационной безопасностью их основные характеристики согласно представленной выше модели приводится в
обзоре компании МсК^еу [3], посвященном теме защиты информации. При разработке и реализации стратегий необходимо учитывать положения международных стандартов в области информационной безопасности.
Стратегня формирования комплексной системы информационной безопасности
Рис. 2. Стратегии управления информационной безопасностью
Предложенная модель управления информационной безопасности организации, может применяться в алгоритмах предварительной настройки нейронных сетей в условиях относительно малых объемов обучающих примеров, существующих на данный момент времени потоков киберугроз для организаций.
Она позволяет повысить защищенность организации с сфере информатиза-
уязвимостей в условиях ограниченности ресурсов, снизить риски и многокритери-альность инцидентов защиты информации. Модель может найти практическое применение в производственных организациях и быть интегрирована в уже существующие информационные системы, а также использоваться в процессе переподготовки сотрудников службы безопасности.
ции, а также устранить большой массив
Библиографический список
1. Кожунова Е.А. Обеспечения информационной безопасности на современном предприятии // Школа науки. - 2018. - №2. - С. 19-21.
2. Мамаева Л.Н., Кондратьева О.А. Основные направления обеспечения информационной безопасности предприятия // Информационная безопасность регионов. - 2016. - №2. -С. 5-9.
3. Critical infrastructure companies and the global cybersecurity threat // McKinsey Global Institute. 2019. October. - [Электронный ресурс]. - Режим доступа: https://www.mckinsey.com/business-functions/risk/our-insights/critical-infrastructure-companies-and-the-global-cybersecurity-threat# (дата обращения 20.12.2019).
INFORMATION SECURITY MANAGEMENT MODEL
L.V. Fomchenkova, Doctor of Economic Sciences, Associate Professor A.V. Leonov, Student
Moscow Power Engineering Institute (MPEI), Branch in Smolensk (Russia, Smolensk)
Abstract. The article discusses the problem of information protection in information systems of organizations in conditions of limited available resources. It has been shown that traditional information security management models do not take into account the increasing number of modern cyber threats, as well as the risks of achieving goals. A comprehensive information security management model has been proposed and the need to implement it in the organization has been justified. Proposals to improve the strategic management of information security of production organizations have been formulated.
Keywords: information security, information advisory system, information security, business reputation of the organization, cyber threats, infrastructure of the organization, levels of data protection, internal environment of the organization, external environment of the organization, information security management, model of information security management.
