Научная статья на тему 'О ситуационном подходе к управлению информационной безопасностью'

О ситуационном подходе к управлению информационной безопасностью Текст научной статьи по специальности «Экономика и бизнес»

CC BY
497
142
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / УПРАВЛЕНИЕ / АВТОМАТИЗАЦИЯ / INFORMATION SECURITY / MANAGEMENT / AUTOMATION

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Земцов И.В.

Обосновывается выбор ситуационного подхода к управлению информационной безопасностью при решении задачи автоматизации управления информационной безопасностью в организации.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ABOUT SITUATIONAL APPROACH TO MANAGING INFORMATION SECURITY

This article explains the choice of a situational approach to managing information security in the organization, in solving the tasks of automation.

Текст научной работы на тему «О ситуационном подходе к управлению информационной безопасностью»

Секция «Методы и средства зашиты информации»

УДК 004.056

О СИТУАЦИОННОМ ПОДХОДЕ К УПРАВЛЕНИЮ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТЬЮ

И. В. Земцов

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева

Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31

E-mail: 9798866@gmail.com

Обосновывается выбор ситуационного подхода к управлению информационной безопасностью при решении задачи автоматизации управления информационной безопасностью в организации.

Ключевые слова: информационная безопасность, управление, автоматизация.

ABOUT SITUATIONAL APPROACH TO MANAGING INFORMATION SECURITY

I. V. Zemtsov

Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: 9798866@gmail.com

This article explains the choice of a situational approach to managing information security in the organization, in solving the tasks of automation.

Keywords: information security, management, automation.

В настоящее время представленные на рынке средства автоматизации управления информационной безопасностью (ИБ) нацелены на управление процессами ИБ, согласно процессному подходу к управлению [1; 2]. Процессная модель управления ИБ основывается на международном стандарте ISO/IEC 27001:2005 [3], который в свою очередь ссылается на аналогичный подход к управлению качеством ISO/IEC 9001 [4]. Однако, в актуальной версии ISO/IEC 27001:2013 [5] было принято решение отказаться от процессного подхода к управлению ИБ, так как применение процессного подхода к управлению ИБ требует от организации достаточного уровня зрелости [6]. Достаточным уровнем зрелости для внедрения автоматизированной системы управления (АСУ) ИБ основанной на процессном подходе считается, когда в организации уже сформированы и функционируют процессы обеспечения ИБ. Внедрение АСУ в таком случае позволяет наиболее эффективно обеспечивать ИБ за счет формирования единого центра управления всеми процессами обеспечения. Однако, при более низком уровне зрелости, то есть когда процессы обеспечения ИБ ещё не сформированы, автоматизация управления ИБ на основе процессного подхода невозможна, а средств автоматизации, использующих другие подходы к управлению, на рынке не представлено.

В рамках научно-исследовательской работы по интеграции и управлению взаимодействием АСУ ИБ с АСУ [2] предприятием принято решение использовать ситуационный подход к управлению ИБ. Ситуационный подход - один из новейших подходов, рассматриваемых в менеджменте [6]. При таком подходе информация о ситуации является основополагающей при принятии управленческого решения. Ситуационных подход не противопоставляется другим подходам, а расширяет сферы применения подходов к управлению. Основная идея состоит в том, что для каждой конкретной ситуации необходимо подбирать наиболее эффективный метод управления [6]. Логическая схема ситуационного подхода к управлению представлена на рисунке.

Входящей информацией для АСУ ИБ, основанной на ситуационном подходе, будут внешние и внутренние факторы.

Под внешними факторами подразумеваются:

- актуальные угрозы для информационных систем на текущий момент времени;

- требования нормативных правовых актов, регламентирующих защиту информации и деятельность организации;

Актуальные проблемы авиации и космонавтики - 2016. Том 1

— требования, организаций тем или иным образом осуществляющих взаимодействие с целевой организацией.

Логическая схема ситуационного подхода

Под внутренними факторами подразумеваются:

- архитектура информационной системы, в которой производится обработка защищаемой информации, ее структурные и функциональные характеристики;

- уязвимости информационной системы, известные на сегодняшний день;

- цели и задачи руководства организации, а также методы достижения этих целей.

Оценка ситуации заключается в анализе рисков, определения политики и профилей защиты, с учетом всех факторов формирующих текущую ситуацию.

Следующий этап заключается в выборе и реализации мер защиты, при этом принятие риска рассматривается как исключительно организационная мера, заключающаяся в издании локального документа, регламентирующего действия заинтересованных лиц при наступлении инцидента согласно принятому риску, а также сроки и условия пересмотра отношения к принятому риску.

Поиск оптимального решения будет основываться на оценке эффективности принимаемой меры. При таком подходе единицей управления предлагается рассматривать конкретную меру защиты информации.

Согласно нормативным документам РФ, ИБ достигается путем реализации конкретных мер. Соответственно при реализации требований, а также контроле и учете целесообразней использовать меру, а не процесс, как единицу управления ИБ. Можно предположить, что при автоматизации управления мерами ИБ возможно упростить процедуру внедрения, снизить трудовые и финансовые затраты на внедрение, а также повысить эффективность управления ИБ за счет адаптированного к современным требованиям подхода к управлению ИБ.

Таким образом, применение ситуационного подхода имеет перспективы при автоматизации управления ИБ в организациях. Полученные с применением такого подхода решения можно будет внедрять в организации, не имеющие сформировавшуюся систему обеспечения ИБ, так как основой для ситуационного подхода является ситуация, которую можно описать для любой организации, а в процессном подходе - процессы обеспечения ИБ, сформированность которых зависит от уровня зрелости организации. Такие АСУ позволят управлять ИБ с меньшими затратами.

Библиографические ссылки

1. Карта услуг и решений по информационной безопасности Softline [Электронный ресурс]. URL: http://services.softline.ru/uploads/booklet_files/files/ (дата обращения: 10.03.2016).

2. Земцов И. В. Об автоматизации процессов управления информационной безопасностью в образовательных организациях // Решетневские чтения : материалы XIX Междунар. науч. конф. (10-14 ноября 2015, г. Красноярск) : в 2 ч. / под общ. ред. Ю. Ю. Логинова ; Сиб. гос. аэрокосмич. ун-т. Красноярск, 2015. С. 286-288.

3. ISO/IEC 27001:2005 Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.

4. ISO 9001:2008 Системы менеджмента качества. Требования.

5. ISO/IEC 27001:2013 Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.

6. Мескон М. Х., Альберт М., Хедоури Ф. Основы менеджмента : пер. с англ. М. ; СПб. ; Киев: Вильямс, 2012. 672 с.

© Земцов И. В., 2016

i Надоели баннеры? Вы всегда можете отключить рекламу.