CC BY
77ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ТЕЛЕКОММУНИКАЦИИ
УДК 004.056
ОСОБЕННОСТИ ПОСТРОЕНИЯ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ
Кожарский Юрий Алексеевич,
технический директор, Ульяновск,, ООО «КОНСАЛТИНГОВЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ».
yuri32173@gmaU.com
Масеев Даниил Дмитриевич,
маркетолог, Ульяновск, ООО «КОНСАЛТИНГОВЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ».
danielm3141592@gmaU.com
Аннотация
В статье рассмотрены ключевые особенности современного процесса разработки и внедрения системы обеспечения информационной безопасности на предприятии. Изучены различные подходы и методологии разработки обеспечения информационной безопасности, выявлена общая характерная особенность, заключающаяся в прохождении основных четырех этапов: аудит, разработка технического задания, проектирование и внедрение. Особое внимание уделено таким важным вопросам проблемы, как экономические затраты на построение системы обеспечения информационной безопасности и роль уязвимостей систем информационной безопасности в их эффективности.
Ключевые слова: информационная безопасность, система менеджмента информационной безопасности, система обеспечения информационной безопасности.
FEATURES OF CONSTRUCTION OF THE SYSTEM OF INFORMATION
SECURITY AT THE ENTERPRISE
Kozharsky Yury Alekseevich,
Technical Director, Ulyanovsk, LLC «CONSULTING INFORMATION TECHNOLOGIES».
yuri32173@gmail.com
Maseev Daniil Dmitrievich,
marketer, Ulyanovsk, LLC «CONSULTING INFORMATION TECHNOLOGIES».
danielm3141592@gmail.com
Abstract
The article discusses the key features of the modern process of developing and implementing an information security system in an enterprise. Various approaches and methodologies for the development of information security have been studied, a common characteristic feature has been identified, which consists in going through the main four stages: audit, development of terms of reference, design and implementation. Particular attention is paid to such important issues of the problem as the economic costs of building an information security system and the role of vulnerabilities in information security systems in their effectiveness.
Keywords: information security, information security management system, information security system.
DOI: 10.58447/2949-0588-2023-1-2-25-32
Введение
За последние годы относительно новое понятие информационной безопасности очень глубоко проникло практически во все сферы и сегменты жизни граждан развитых государств [10, а 670]. Обилие и непрерывный рост объема информации, циркулирующей в локальных и глобальных пространствах, обуславли-
вает острую необходимость в защите ее целостности, аутентичности и доступности. Для подавляющего большинства субъектов, осуществляющих экономическую деятельности, информация и вовсе является ключевым капиталом, который следует защищать от незаконной передачи третьим лицам или каких-либо деструктивных воздействий.
В различное время проблемам информационной безопасности в своих трудах уделяли внимание такие отечественные специалисты, как М.А. Назаренко, А.Н. Шмелева, Р.Р. Шамсутдинов, О.Р. Комиссарова, Н.Н. Пашков, В.Г. Дрозд, Н.В. Зайцева, Я.И. Василина, А.Н. Лазуткин и другие. Однако автором данного исследования при проведении аналитического обзора актуальной научно-теоретической базы, посвященной отдельному аспекту
рассматриваемой научной области - особенностям внедрения инструментов и методов информационной безопасности на современном российском предприятии. В связи с все нарастающей теоретической и практической важностью данной проблемы качественные научные изыскания по ней являются актуальными и необходимыми для обеспечения стабильного экономического развития государства.
Построение системы обеспечения информационной безопасности
на предприятии
Система обеспечения информационной безопасности предприятия - это один из важнейших элементов фундамента организации, нацеленной на стабильное долгосрочное развитие. В связи с этим процесс разработки, внедрения и корректировки данной системы должен быть поставлен в первые ряды приоритетов компании, что может отражаться в стратегическом подходе к построению системы обеспечения информационной безопасности [8, с. 3].
ГОСТ Р ИСО/МЭК 27001-2021 регламентирует подход к построению системы обеспечения информационной безопасности, которая в данном документе именуется системой менеджмента информационной безопасности. Стандарт предполагает трехуровневое управление данной системой - стратегическое, оперативное и тактическое [3].
Стратегический этап является базисом всего процесса построения системы обеспечения информационной безопасно-
сти, так как предполагает долгосрочное планирование с описанием максимально возможного количества альтернатив, что позволяет в значительной мере снизить риск ошибки. На данном этапе происходит заложение основ, разработка концепции всей системы обеспечения информационной безопасности с учетом миссии, цели, корпоративной культуры, производственной системы предприятия [1, с. 95].
Во время разработки стратегии построения системы обеспечения информационной безопасности решаются такие важные задачи, как анализ тенденций в области информационной безопасности; оценка ресурсов и возможностей предприятия; разработка и формулирование стратегических целей системы; аналитика внешней и внутренней сред предприятия и так далее. На стратегическом этапе задается вектор всех дальнейших действий, которые детально описываются и структурируются, подготавливаются подробные оперативные планы с распределением ресурсов и обоснованием бюджета.
Существует достаточно большое количество различных подходов к процессу разработки и построения системы обеспечения информационно безопасности на оперативном уровне. Однако практически все методологии включают в себя четыре ключевых этапа: аудит, разработка технического задания, проектирование и внедрение (рисунок 1).
Л
Формирование требований н системе обеспечений мнформв ци он ной
беДОП«£НОСТН и раарабатив ТЗ нл ее
ЕСиДВМИЯ
Прсекти рсп-пнкс актами обеспечении
■и нфврллв цшэн н □ н ЁЫеПВСНОСТЫ
Внедрение системы ойкспгчг-мич И нф&|> 43 цион И О Н бедопвсностн
Рисунок 1. Этапы построения системы обеспечения информационной безопасности на предприятии
Одной из ключевых характеристик системы обеспечения информационной безопасности, соответствующей мировым стандартам и лучшим практикам, является ее гибкость и способность оперативного реагирования на изменения внешней среды организации. Одним из обязательных условий достижения такого уровня системы является качество кадровых ресурсов [4, а 79].
Если говорить о кадровом аспекте построения системы обеспечения информационной безопасности на предприятии,
то для разработки и внедрения эффективной системы обеспечения информационной безопасности в долгосрочной перспективе необходимо на этапе стратегического планирования отнестись с должной серьезностью к этому вопросу. Сотрудники, ответственные за обеспечение информационной безопасности на предприятии, должны быть не только компетентны в узкой технической области, но и иметь хотя бы базовые навыки управления персоналом и проектной командой.
Уязвимости системы обеспечения информационной безопасности
Для наиболее полного понимания особенностей разработки и внедрения в деятельность предприятия системы информационной безопасности следует сделать акцент на такой важной ее составляющей, как анализ возможных уязвимостей информационных систем организации.
Согласно ГОСТ Р 50922-2006 [2], под уязвимостью в сфере информационной безопасности принято понимать свойство определенной информационной системы, которое обуславливает возможность реализации угроз безопасности обрабатываемой в ней информации. Следовательно, логичным будет предположение о центральном месте анализа возможных уязвимостей в процессе разработки систем обеспечения информационной безопасности в организации.
По субъективному мнению авторов данной статьи, наиболее удачная и приближенная к российским современным реалиям модель уязвимостей системы обеспечения информационной безопасности была предложена отечественными специалистами А. Н. Вознюком, А. В. Кригером, Г. В. Туму-ровым, С.В. Козловым, А.А. Загородни-ковым и А.П. Кишнянкиным (рисунок 2).
Рисунок 2. Модель уязвимостей системы обеспечения информационной безопасности [7]
Согласно современным научным исследованиям проблемы уязвимостей систем обеспечения информационной безопасности, бреши в информационных системах характерны для всех подсистем защиты информации, а также для всей системы обеспечения информационной безопасности предприятия в целом.
Дополнительные сложности и препятствия при разработке системы обеспечения информационной безопасности предприятия возникают на фоне широкого применения российскими специа-
листами защитной техники, в структурный состав которой входят анализаторы спектра зарубежных фирм-изготовителей. Данный факт обуславливает значительные затруднения в процессе поставок наиболее современного оборудования с учетом известных ограничений, что в свою очередь, в значительной мере снижает уровень актуальности используемого на предприятии оборудования, предназначенного для защиты информации, а значит - затрудняет работу и принятие превентивных мер относительно уязвимостей информационных систем [5, с. 131].
Экономические аспекты построения системы обеспечения информационноЁ безопасности
По мнению специалистов в области информационной безопасности, полностью исключить денежные затраты на обеспечение должного уровня защиты информации на предприятии невозможно. Существует целый ряд затрат, которые являются, так называемым, обязательным минимумом и абсолютно необходимы. К таким затратам экономисты относят стоимость оборудования, его обслуживание, обучение персонала технологиям информационной безопасности, услуги сторонних специалистов и т.д.
Однако существуют также затраты, которые можно в значительной мере сократить или же вовсе исключить. К такой категории издержек относятся траты, которых можно избежать при отсутствии пробелов в системе обеспечения информационной безопасности и уменьшения количества
возникающих угроз и уязвимостей вследствие качественного внедрения и контроля системы безопасности [7, с. 198].
Таким образом, грамотное и качественное построение системы обеспечения информационной безопасности позволит предприятию не только защитить свой главный ресурс, коим является информацию, но и в значительной мере снизить сумму издержек, необходимых для поддержания должного уровня информационной безопасности.
Выводы
Таким образом, проблема построения системы обеспечения информационной безопасности очень многогранна и имеет целый ряд своих особенностей и тонкостей.
Для достижения максимального уровня эффективности системы менеджмента информационной безопасности на предприятии следует подходить к этому процессу комплексно и прорабатывать все нюансы на стратегическом, оперативном и тактических уровнях.
Помимо этого, важной составляющей качественной системы обеспечения информационной безопасности является уделение должного внимания и принятие превентивных мер относительно настоящих или потенциальных уязвимостей информационных систем.
Список использованных источников:
1. Беребин, А. Ю. Анализ методик по снижению рисков информационной безопасности на предприятии / А. Ю. Беребин, А. Ю. Юсупова // Современные проблемы механики. - 2020. - № 42(4). - С. 91-98. - EDN HVHIAR.
2. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
3. ГОСТ Р ИСО/МЭК 27001-2021 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
4. Зайцева, Н. В. Разработка прогнозной модели ликвидирования угроз информационной безопасности на предприятии с использованием инструментов нейросетевого моделирования / Н. В. Зайцева, Я. И. Василина // Новое в экономической кибернетике. - 2018. - № 3-4. - С. 77-85. - EDN ХША^.
5. Камшилов, С. В. Оценка эффективности затрат на информационную безопасность предприятий и организаций / С. В. Камшилов, А. А. Афанасьева // Наука в исследованиях молодежи - 2016 : Материалы студенческой научной конференции, Леснико-во, 20 апреля 2016 года. Том Часть 2. - Лесниково: Курганская сельскохозяйственная академия им. Т. С. Мальцева, 2016. - С. 130-132. - EDN WFKOIZ.
6. Лазуткин, А. Н. Экономические аспекты внедрения и эксплуатации системы информационной безопасности на предприятии / А. Н. Лазуткин // Молодежь и XXI век - 2016 : Материалы VI Международной молодежной научной конференции: в 4-х томах, Курск, 25-26 февраля 2016 года / Ответственный редактор Горохов А.А.. Том 3. - Курск: Закрытое акционерное общество «Университетская книга», 2016. - С. 6871. - EDN TKHLLY.
7. Модель уязвимостей системы обеспечения информационной безопасности на предприятии / А. Н. Вознюк, А. В. Кригер, Г. В. Тумуров [и др.] // Электронные средства и системы управления. Материалы докладов Международной научно-практической конференции. - 2015. - № 1-2. - С. 196-200. - EDN VDDWOL.
8. Пашков, Н. Н. Анализ рисков информационной безопасности и оценка эффективности систем защиты информации на предприятии / Н. Н. Пашков, В. Г. Дрозд // Современные научные исследования и инновации. - 2020. - № 1(105). - С. 3. - EDN DWGGTA.
9. Самолкаева, А. М. Управление информационной безопасностью на уровне предприятия / А. М. Самолкаева // Вестник науки. - 2023. - Т. 1, № 6(63). - С. 933-941. - EDN YZXOGN.
10. Шамсутдинов, Р. Р. стратегическое управление информационной безопасностью на основе концепции классической системы стратегического менеджмента на предприятии / Р. Р. Шамсутдинов // Аллея науки. - 2018. - Т. 2, № 2(18). - С. 669-673. -EDN YSXEFU.
© Кожарский Ю.А., Масеев Д.Д., 2023
