Научная статья на тему 'Развитие подпроцесса управления информационной безопасностью организации'

Развитие подпроцесса управления информационной безопасностью организации Текст научной статьи по специальности «Экономика и бизнес»

CC BY
636
55
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / INFORMATION SECURITY / ТЕХНОЛОГИИ / TECHNOLOGY / ПРОЦЕДУРЫ / PROCEDURES / ОПЕРАЦИИ / OPERATIONS / ЗАДАЧИ УПРАВЛЕНИЯ / MANAGEMENT TASKS / ФУНКЦИИ УПРАВЛЕНИЯ / MANAGEMENT FUNCTIONS / ИННОВАЦИОННЫЙ ПОТЕНЦИАЛ / INNOVATIVE POTENTIAL

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Герасимов Б. Н.

Рассмотрено содержание и структура подпроцесса управления информационной безопасностью в организации. Разработаны технологии данного подпроцесса на уровне операций и процедур. Приведена шкала инновационного потенциала для элементов подпроцесса управления информационной безопасностью. Представлена модель системного графа выполнения задач управления в рамках подпроцесса управления информационной безопасностью. Дана характеристика некоторых управленческих задач подпроцесса управления информационной безопасностью организации. Предложены мероприятия для повышения эффективности защиты информации в организации.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

THE DEVELOPMENT OF SUBPROCESS MANAGEMENT INFORMATION SECURITY

Reviewed the content and structure of subprocess management of information security in the organization. The developed technology of this subprocess-level operations and procedures. Given the scale of the innovation potential for the elements of subprocess management of information security. The model system graph perform management tasks in the management of information security. The characteristic of some of the tasks of the management cycle management subprocess information security. The proposed activities to improve the effectiveness of information security in the organization

Текст научной работы на тему «Развитие подпроцесса управления информационной безопасностью организации»

РАЗВИТИЕ ПОДПРОЦЕССА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ОРГАНИЗАЦИИ

Б.Н. Герасимов, д-р экон. наук, профессор Международный институт рынка (Россия, г. Самара)

Аннотация. Рассмотрено содержание и структура подпроцесса управления информационной безопасностью в организации. Разработаны технологии данного подпроцесса на уровне операций и процедур. Приведена шкала инновационного потенциала для элементов подпроцесса управления информационной безопасностью. Представлена модель системного графа выполнения задач управления в рамках подпроцесса управления информационной безопасностью. Дана характеристика некоторых управленческих задач подпроцесса управления информационной безопасностью организации. Предложены мероприятия для повышения эффективности защиты информации в организации.

Ключевые слова: информационная безопасность, технологии, процедуры, операции, задачи управления, функции управления, инновационный потенциал.

Важной особенностью нынешнего времени является переход от индустриального общества к информационному, в котором информация зачастую становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и, которое при необходимости могут быть использованы для достижения конкретной цели хозяйственной деятельности. Давно стали привычными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлечены в хозяйственный оборот и их назначение понятно каждому. Но вот появилось понятие «информационные

ресурсы», и хотя оно узаконено, но осознано пока еще недостаточно.

В соответствии с работой [2] в организациях достаточно объемно представлены несколько процессов: управление операциями, управление финансами, управление качеством, управление персоналом и т.д. Важную роль в процессном управлении любой организации в современных условиях играет процесс управления информацией. Во многих продвинутых организациях существуют автоматизированные информационные системы, которые обеспечивают информацией все остальные процессы организации. Модель процесса управления информацией организации в соответствии с работой [6] представлена на рис. 1.

1. Управление - н политихой в сфере информации

2. Управление потреоностью в информации и информационных продуктах

3. Управление портфелем заказов на информацию

4. Управление про ехтиров ани ем ин формал и онных систем

5. Управление использованием ин-формапи онных систем

К. Управление качеством информационных про_цессов_

12. Управление ин формаци онны-ми технологиями

7. Управление

качеством информации

9. Управление ■ продажей информации

б. Управление при о оретени ем информации

10. Управление правовым обеспечением информации

13. Управление информационной безопасностью

правление сопровождением информационных процессов

Рис. 1. Модель процесса управления информацией организации

Представленные подпроцессы управления информацией позволяют обозревать и использовать практически все пространство информационной деятельности организации в целом и обеспечивать продуктивную деятельность всех остальных её процессов и их составных частей.

Информационные ресурсы - отдельные документы и совокупность документов в различных информационных системах (библиотеках, архивах, фондах, базах данных и т.д.). Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету, контролю и защите, так как информацию можно использовать не только для обслуживания продукции и услуг, но и превратить ее в наличность, продав кому-нибудь, или даже совсем уничтожить [1]. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации -весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется, в первую очередь, приносимыми результатами.

Информационная безопасность - это

состояние защищенности информации среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства (Закон РФ «Об участии в международном информационном обмене») [3].

Информационная безопасность - это защита конфиденциальности, целостности и доступности информации [4].

Конфиденциальность - это свойство информационных ресурсов, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц. Целостность - это неизменность информации в процессе её передачи или хранения. Доступность - это свойство информационных ресурсов, определяющее возможность их получения и использования по требованию уполномоченных лиц.

Информационная безопасность - все аспекты, связанные с нормированием, достижением, поддержанием и улучшением конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.

Основные задачи организации в сфере информационной безопасности [3]:

- определение перечня сведений, составляющих коммерческую тайну, а также круга лиц, которые в силу занимаемого служебного положения на предприятии имеют к ним доступ;

- определение участков сосредоточения сведений, составляющих коммерческую тайну; технологического оборудования, выход из строя которого (в т.ч. уязвимого в аварийном отношении) может привести к экономическим потерям;

- формирование требований к системе защиты в процессе создания и участие в проектировании системы защиты, ее испытаниях и в эксплуатацию;

- распределение между пользователями необходимых реквизитов защиты, включая установку и смену паролей, управление средствами защиты коммуникаций и крип-тозащиту предаваемых, хранимых и обрабатываемых данных;

- организация обучения специалистов по информационной безопасности в соответствии с их функциональными обязанностями; обучение пользователей информации правилам безопасной обработки;

- расследование происшедших нарушений защиты, принятие мер реагирования на попытки несанкционированного доступа к информации и нарушениям правил функционирования системы защиты;

- изучение, анализ, оценка состояния и разработка предложений по улучшению системы обеспечения информационной безопасности организации;

- внедрение в деятельность предприятия новейших достижений науки и техники, передового опыта в области обеспечения информационной безопасности;

- постоянная проверка соответствия принятых в организации правил безопасной обработки информации существующим правовым нормам.

Несмотря на принимаемые меры, в организациях существуют проблемы, которые мешают полноценной защите информации:

- слабая защищенность серверов хранения данных;

- несанкционированная утечка информации;

- неэффективность системы безопасности данных.

В настоящее время также участились случаи атак хакеров, эпидемий компьютерных вирусов. Эти угрозы могут привести к необратимым последствиям, например, кража информации или паролей, что может серьезно повлиять на деятельность организации и её экономические показатели.

Подпроцесс управления информационной безопасности в организации занимает важное место, поэтому во многих организациях этому подпроцессу уделяется большое внимание, которое выражается и постоянном развитии в профессиональном, техническом и функциональном отношениях [4].

Поэтому организации необходимо разработать эффективную технологию развития подпроцесса управления информационной безопасностью организации. Технология представляет собой совокупность операции, которые проходят в несколько этапов: подготовка; проведение; заключительные операции; мониторинг (рис. 2) [7].

1, Подготовил

I Л. Принятие p ащ анш по развитию подпроцесса упр ВЕЛ еНИЯ нн-формаиноннои Зезо-п!:но : 1ью (ПУИБ)

1.2. Назнач аш са

OTEzTUEzHHb^í

лип по исполне-

шпо рааот по р £j¡z] ci] [к- ПУЫБ

1.3. Идентификация всох aiTHEOE Е p alliai ЕЫОраННОИ DO— ласти деятельности Dpr ~unri-innr

1 .4. Ппр11ЛИЛИ ЦЕННОСТИ и ис-пиммиттчттнт

1Г~ -УГТ1 Г ~ 1ПП1Г о -

х-знных активов

I.E. Cd здание пл аиа по устранению ут -роз н рисков Е paulas. "5ТГБ

1.9. Назначение сроков реализа-шп[ пл ана

1.1 в. Подготовка ин; груктажа для перс онала ГПГИБ

1.7. Распр едел ение

ннформэшсп по критериям риска и

уТрОЗЫИЗВИе

1.10. Разработка

ИерЕШрНЯТНН ДЛЯ исполнения плана

1.15. Распр еде-л ениа людей по обязанностям

1.в. Опенка рисков it утр оз Е отношении илентифшпср о-ынньл; экгиеое

L .11. По ист: р есур ;de для р еализашш пер опр1[Я1Ш[

1 .Í. Исслвдова-. ниа угроз н уяз-ыочостен информанте

1.12. Ошр едал ение о;кндаемых результатов виедр ания м=р onpiL^iinE

1.14. Подготовка про граммното обеспечение е рамках ГТУИБ

10ДГ О IС БК2

технологического оо орудоьэнгся Е

репкез; Ш~ИБ

1.17. Пр сведение инструктажа парс онал а

1.1Е. Пр оверка усво е-ксся ин:груктажа персонала

1.24. Пар едача сметь: расходов для виелр е-HIL" меропргсяпш пор азЕилоо ПУЛЕ

1.2 Ï. УтверждениЕ спеты расходов ■для Енедр ания ме-ропрпяпш ПУИБ

1.13. Закр епл ение обязанностей е р егдах ПУИБ

1.22. Разработка спеты для кнедре-шн нерппрнятнй р азы ст I ст Ш- .. -Л-

Рис. 2. Технология развития ПУИБ

1.20. Утр недочетов плана р азы си LT ПУИБ

1.21. Утвар -ждение DEOH41-тального плана р азЕития ПУИБ

Технология включает в себя действия по поиску и использованию эффективных методов обработки информации, разработки действенных инструментов защиты информации на всех стадиях её создания, передачи и хранения.

Важнейшей операцией технологии на стадии подготовки развития подпроцесса управления информационной безопасно-

стью организации является подготовка специалистов, участвующих в информационных процессах организации. Кроме того, очень важно очертить круг информации, которая будет иметь соответствующий уровень доступа, не перегружая излишне программные и технические устройства.

I ] С -iniOJI-í HfC о

! pi ¿TDIZZ ИНН

г::: д^дз

].Пракд:ни :

II Фкхкзел-ипе

"г" п~ Tí" ТГИН H ■

: T'ji к; : г J :Î3î

срерстт 1ГУИЕ

13. Ter (ï4ej»qH içon: : н : ■ Ж! СрЧСИ и шиты Ï m lacs я ГГУИЕ

14 Н:::озЯ-к: и '--:

-iji-í шп

гЬгИБ

г™ 2"П Н 30V I л ?й адпнпл г. •*. ~УН

ГГУИЗ

I ~ Фортщ :■!-: нье

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

I^'J.TI OID ^DC

—I ^r:;!.::;-

JJ "H"H"*íi~r*"iT. inffl

2.6. Ti rae-

XM' МС-1СП1 - z'. r ? п и-: : i *

mrm

21. Be iliebzi тп-гг

hhü::-2- ai шп ы

H"Hl""b~r'"iW11ПТП

'!.'■/. Пртдост-и-^ие ík^TH

дт .-jocifl

110 Ea^t-

ПУИ5

LILEe

ПН! ЭШЗФЛЬП п*. lî je ГТУ7С

1]] ..: : i : z : : ipe-

TfJQfT] ДР1ГТС НГ ~ СФ.

ути; -.ъух/ШЕ11 лвс-inv: : ишн ГТУИЗ

i ] ! ijjir:™: до-фв m м. coqejŒi-□п г«т;ль içfjK--ibUHlirt -OC3VT Ь

S. jri:.nnqn:!.ibHi:! :n:p;uuii

ï 1 до-

r : : : z ; : : r: :.

:[■ ÉJ*T-T-j* сшпз^сы л

JC'iK î Í'KH '111И 2B"Qi

i : Z i&sii::™: :¡и in OŒ

::::z: м : : : oqu м iew-о5м:(ж íjinmziíiTMf :h¿ ГТУИЕ

5.6

: л-. м :-э5 s m^o

ID sn>j

.ci mm-: " л ГГУИЕ

i - ОфскосишЕ

4 L^JC ДЬ iiKI-Dd-

-1 z г i _j r. IT : z : юс

л ш jfl я^шш 7T:~Z5

5.4 ! -::гу ■

шшсф. тпмзе^гзогэи шпташшфортацт : : J-: z:: ГГУИБ

: ~ - -- -- -12.-dgí: içccoŒKa влкппв ID

ПУНЬ

;

4 ] .zrcj.

ки: ::и]шш и ps-n^bTfru : : : ?:т эжнг:

КУШ +

4.fi.ï:Mjc2;rac uejo-rçon :нЯ пэ m zuch» qex-:ешк:11 ГГУИЕ

¿.S. z- : :ао ■

biTi^iQlŒïa íf^t m:L KÍ:T :ímm :nn уст-« H^jzíhhe ;«M™

i 9 Пем^та injmt

K. rrrffTl^T 'IHH

' -zr. к zu

ддг^рддт

41 Ставв i-з нзфсиу-

вшкал Ш-ТСБ. ошиШЕ Tj::" ЭШ.тленнЯо: :: z : инил шчи: эоь s

4j n«ei£ qoijiiiŒO®.

ИU-:Tírate Л ' ~ яам um :::::

iIDHi

4J PSTM-KCU иеро-IfUI^DVfEV и-тгая № -л-

i КУШ

44 Исс^^оыше jji}'-ТТУШ

4.-

ськты T1TJ4: и:

Д] ДДГИ!

4.Î. ût^iii

ТГУШ

4.Î. У-мi&s-' адшы ::.r:.v

Окончание рис. 2

В рамках этапа проведения технологии развития подпроцесса управления информационной безопасностью организации практически все операции важны и должны быть выполнены на высоком уровне, в результате чего должна быть высоко поднята планка уровня защищенности информационных потоков и баз данных в организации [8].

В процессе мониторинга осуществляется: контроль с помощью разработанных стандартов и показателей за ходом внедрения мероприятий: контроль за сроками внедрения; контроль за расходованием

средств; оценка и анализ достигнутых результатов, выявление ошибок и отклонений; внесение необходимых корректив [9].

Для эффективной реализации разработанной технологии стоит обратить особое внимание на проведение следующих операций. Для составления новых стандартов, необходимо проанализировать старые стандарты, изучить сильные и слабые стороны, а также выявить существующие отклонения. На основе полученных результатов, требуется принять решение, что нужно дорабатывать.

Разработка технологии реализации всего подпроцесса должна осуществляться с учетом вида деятельности организации (продуктовая, процессная функциональная и др.), области внедрения (производство, услуги, проекты и т.д.), отраслевой специфики и других факторов [10]. Успех внедрения подпроцесса управления информационной безопасностью во многом определяется полнотой и своевременностью обеспечения всеми необходимыми видами информации всех процессов и специалистов организации.

Правильный набор и отбор новых специалистов в организацию может помочь не только в увеличении производительности, прибыли и повышении лояльности сотрудников, но и сохранении заданного уровня циркулируемой информации в организации. Неправильный выбор обычно приводит к большой текучке персонала или недостаточной компетенции сотрудников. Но самое важно, что их надо будет вновь обучать пользоваться информационной системой организации, а это достаточно кропотливая и небыстрая работа [14, 15].

Также особое внимание следует уделять обучению персонала, особенно тех, кто осуществляет постоянную деятельность с информацией. Прохождение обучения на рабочем месте, в стенах организации, являющееся более оперативным и дешевым методом. При этом используются такие методы обучения, как наставничество, копирование, делегирование, ротация.

Организация должна ответственно подходить к подготовке и оформлению документов по реализации мероприятий по развитию подпроцесса управления информационной безопасностью, в т.ч. по предоставлению пользователям дополнительных услуг, а также сервиса по использованию внутриорганизационной и внешней информации. Например. необходимо вести строгий учет денежных средств, кредитов, лизинговых платежей, страхования продукции и других финансовых операций.

После учета всех пользовательских нюансов возможна более эффективная реализация этой технологии, которая приведет к устранению имеющихся проблем и росту экономических показателей организации.

Однако подпроцессами в организации нельзя управлять напрямую. Необходимо определить функциональные задачи (ФЗУ) любого подпроцесса, в т.ч. подпроцесса управления информационной безопасностью в соответствии с методологией, изложенной в работе [2].

Эффективная реализация подпроцесса управления информационной безопасностью предполагает выполнение всех основных функций полного управленческого цикла. К функциям управления в организациях относятся по работе [5] следующие функции: нормирование; прогнозирование; планирование; организация; учет; контроль; анализ; регулирование; координация. Модель подпроцесса управления информационной безопасностью представлена на рис. 3.

Рассмотрим содержание важнейших функций в рамках подпроцесса управления информационной безопасностью организации.

При выполнении функции нормирования осуществляется расчет показателей (нормативов, стандартов и методов) формирования, использования и обновления материальных и трудовых ресурсов. Основными процедурами, которые решаются в рамках реализации этой функции при осуществлении подпроцесса управления информационной безопасностью являются следующие: рассчитываются нормы показателей достоверности, своевременности данных; определяется количество технических средств и точек доступа к ним, а также порядок применения регламента технического и информационного обслуживания подразделений и специалистов; осуществляется расчет времени выполнения управленческих задач других подпроцессов и т.д. [11].

Внепшяя среда

Нормировал не информационной безопасности

Прогнозирование информационной безопасности

Планирование информационной безопасности

i

Р егулиров ал и е информационной безопасности

I

Анализ информационной безопасности

и

Организация информационной безопасности

Контроль информационной безопасности

Т

Учет информационной безопасности

f

П л аниров ани е информационной политики

_I_

Организация ин формалинной политики

Координалия информалионной 5езопасности: информалионной и кадровой политики

Рис. 3. Модель подпроцесса управления информационной безопасностью

Основной целью функции планирования информационной безопасности является наличие разработанных информационных проектов, которые являются частью общей информационной системы организации. План реализации подпроцесса управления информационной безопасностью должен включать следующую информацию: цели и задачи внедрения; взаимоувязанный перечень этапов работ; сроки выполнения работ; перечень необходимых ресурсов и исполнителей. Составной частью нового проекта управления информационной безопасностью является календарный план выполнения каждого этапа рассматриваемого проекта и затраты на их выполнение [12].

Основной целью функции организации является обеспечение условий для эффективной реализации подпроцесса управления информационной безопасностью. Одним из таких условий является разработка и применение технологии, обеспечивающей наиболее рациональное выполнение работ (операций, процедур, действий) при реализации подпроцесса информационной безопасностью.

При реализации функции учета первичная информация о хозяйственных операциях, осуществляемых при реализации подпроцесса управления информационной безопасностью фиксируется. Затем полученные данные группируются по строго определенным признакам, направлениям, периодам. Учет обеспечивает сохранность материальных ценностей, а также формирование информации об имеющихся ресурсах, процессах и событиях. Именно функция учета обеспечивает возможность отслеживания хода и результатов реализации всех процессов, попроцессов и их составных частей в организации. Главной целью этой функции является фиксация и предоставление достоверной информации о ходе всех элементов процессного управления организации [13].

Для обоснованного построения (развития) подпроцесса необходима разработка технологий решения ФЗУ на уровне процедур, когда степень глубины технологи-зации управленческой деятельности выполняется более подробно. В табл. 1. представлена одна из ключевых ФЗУ подпроцесса управления информационной безопасностью организации.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Таблица 1. Технология ФЗУ «Планирование развитие информационной безопасности»

Входные документы

Процедуры решения

Выходные документы

Перспективный план развитию ПУИБ

Список работников организации

Новые управленческие задачи, возможные ситуации, проблемы, вызовы времени

Предложения по улучшению ПУИБ

1. Принятие решения о развитии подпроцесса информационной безопасности (ПУИБ) в организации

2. Издание приказа о развитие ПУИБ в организации

3. Исследование новых управленческих задач, возможных ситуаций, проблем, вызовов времени в организации

4. Разработка (выбор) мероприятий развития ПУИБ организации

5. Обсуждение мероприятий развитии ПУИБ организации

6. Определение соответствия выбранных мероприятий развития ПУИБ организации современным требованиям

7. Внесение предложений по улучшению методики развитии ПУИБ организации

8. Выбор документов и информации для развитии ПУИБ организации

9. Формирование комиссии организации по развитии ПУИБ

10. Ознакомление будущих членов аттестационной комиссии с их функциями в рамках ПУИБ

11. Подготовка семинара для членов комиссии развития ПУИБ организации

12. Ознакомление членами комиссии с методикой развития ПУИБ

13. Изучение списка работников организации

14. Выбор специалистов организации, которые могут участвовать в развитии ПУИБ

15. Согласование перечня выбранных специалистов с руководителями подразделений

16. Разработка годового плана развития ПУИБ в организации

17. Разработка графика развития ПУИБ в организации

18. Утверждение плана развития ПУИБ в организации

19. Доведение планов о развития ПУИБ до подразделений организации

Состав комиссии развития ПУИБ организации

Состав работников организации, участвующих во внедрении мероприятий ПУИБ

Годовой план введения мероприятий по развитию ПУ-ИБ

График внедрения мероприятий ПУИБ

Решение ФЗУ достигается привлечением эффективных инструментов методологического обеспечения, благодаря которым получается заданный результат. К таким инструментам относятся методы выполнения процедур, методы принятия управленческих решений и элементы менеджмента [14].

Для развития любого процесса, подпроцесса или какой-то их части в организации необходимо определение инновационного потенциала - одного из важных факторов при формировании и осуществлении новых целей и задач.

Инновационный потенциал - это совокупность человеческих, материально-технических и информационных ресурсов, предназначенных для создания, поддержания и развития различных видов деятельности организации [6].

Для определения возможностей развития для любого подпроцесса организации необходимо определить его основные элементы. Подпроцесс управления информационной безопасностью включает следующие элементы, которые характеризуют состояние подпроцесса управления информационной безопасностью организации: защита каналов связи, доступ к архивам, резервирование информации, аудит действий специалистов, программное обеспечение, наличие специалистов. квалификация специалистов, повышение квалификации специалистов. Фрагмент инновационного потенциала элементов подпроцесса управления информационной безопасностью организации представлен в табл. 2.

Таблица 2. Инновационный потенциал подпроцесса управления информационной безо-

пасностью

Наименование элемента Состояние

низкое нормальное высокое

Защита каналов связи Не используется защита каналов связи между отдельными подразделениями и сотрудниками Защита каналов связи между различными подразделениями или сотрудниками действует, но возникают непредвиденные сбои Применяются различные меры защиты каналов связи между подразделениями и документальных потоков между ними

Доступ к архивам Отсутствует разграничение доступа к архивам документов, рабочей информации Существуют четкий регламент доступа к архивам Существуют четкий регламент доступа к архивам

Резервирование информации Резервное копирование архивов документов и информации не осуществляется Резервное копирование архивов документов и информации осуществляется в соответствии с регламентом Архивирование и дублирование информации. Введение персональных кодов на рабочем месте. Антивирусные программы

Аудит действий специалистов Не проводится аудит действий сотрудников организации с конфиденциальной информацией Регулярное проведение аудита действий сотрудников с конфиденциальной информацией Регулярное проведение аудита действий сотрудников с конфиденциальной информацией

Программное обеспечение Комплекс программ не соответствует задачам зашиты информации Комплекс программ частично соответствует задачам зашиты информации Комплекс программ соответствует задачам зашиты информации

Наличие специалистов Нет специалиста в штатном расписании по защите информации. Защитой занимается специалист по совместительству Специалист по защите информации существует в штатном расписании Существует отдел по защите любой информации (патенты, авторское право, товарные знаки и т.п.).

Квалификация специалистов Специалисты невысокой квалификации и небольшого опыта Специалисты с соответствующим образованием и опытом Специалисты с соответствующим образованием и опытом

Повышение квалификации специалистов Редкое проведение курсов повышения квалификации Нерегулярное проведение курсов повышения квалификации Регулярное проведение курсов повышения квалификации

Таким образом, элементы подпроцесса управления информационной безопасностью организации позволяют оценить уровень реализации данного подпроцесса в организации, а также создают ориентиры на создание условий и возможностей успешного выполнения основных видов деятельности организации по защите своей информации от несанкционированного вмешательства.

Инновационный потенциал любого подпроцесса позволяет выявить элементы,

которые необходимо улучшить для поддержания или улучшения эффективности того или иного подпроцесса. Выше была представлена технология для развития подпроцесса управления информационной безопасности. Эти два фактора предполагают выявление резервов улучшения подпроцесса управления информационной безопасностью, которые позволяют сформировать следующие мероприятия (табл. 3).

Таблица 3. Мероприятия по развитию подпроцесса управление информационной безо-

пасностью организации

Наименование мероприятия Средства реализации Ожидаемые результаты

Повышение квалификации специалистов по защите информации Соглашения о конфиденциальности с персоналом Курсы Стажировка работников Семинары Улучшение осведомленности по вопросам безопасности Повышение качества системы защиты данных Применение на практике новых методов и технологий

Улучшение технологий защиты данных Использование средств защиты информации Новые средства доступа к средствам информатизации Ведении аппаратного журнала Повышение эффективность системы защиты информации Повышение уровня доступа к информации с учетом конфиденциальности

Улучшение деятельности информационной системы Регламентирование информационных потоков Применение новых технических средств Повышение эффективности информационной деятельности Повышение качества каналов связи

Улучшение системы планирования Составление годовых планов по безопасности Отчеты о внешних договорах и связанных с ними проблемах Улучшение качества работы Улучшение производительности труда

Улучшение контроля процесса защиты данных Привлечение пользователей к разработке процесса Точное определение и разделение ответственностей Разграничение функций пользователей Повышение уровня доступности Обеспечение целостности информации Эффективная работа организации

Разработка рекомендаций в соответствии с требованиями по защите информации Разработка показателей и критериев защиты данных Создание единого документа в соответствии со стандартами Разработка системы выборки по предложенным требованиям Отсутствие ошибок по защите информации Повышение конфиденциальности информации Применение новых технологий и рекомендаций на практике

Повышения качества процесса защиты информации Улучшение технологий защиты данных Приобретение новых технологий Стабилизация технологий по защите информации Повышения уровня защиты данных Установление единого технологического регламента

Фиксация факторов сбоя защиты информации Установление причин возникновения сбоев защиты информации Применение классификации факторов сбоев защиты информации Моделирование процессов защиты информации Повышения уровня обеспеченности в защите

Однако, прежде чем начинать реализацию приведенных выше мероприятий, следует обратить определенное внимание к условиям, благодаря которым организация удастся достичь результатов по повышению эффективности информационной безопасности.

Таким образом, акцентируя внимание на данных мероприятиях, организация сможет реализовать на практике предложенную технологию работы при минимальных издержках, с максимальными возможностями и результативностью для подпроцесса управления информационной безопасностью.

Защита информации представляет в настоящее время одно из ведущих направлений обеспечения безопасности государства, общества и организаций. Последствия от нарушений информационной безопасности могут выразиться колоссальной суммой в денежном выражении. Именно это определяет особое внимание к вопросам применения методов защиты информации, первостепенной составляющей в триаде комплексного обеспечения информационной безопасности, наряду с правовыми и инженерно-техническими методами. Содержание технологий отражает все эти направления деятельности по органи-

зации защиты информации в организациях регламентацию всех направлений защиты России. информации, лицензирование и сертифи-

Организационное обеспечение инфор- кацию в сфере информационных техноло-мационной безопасности включает в себя гий, обеспечение режима секретности при работу по обеспечению выверенной кад- делопроизводстве и деятельности органи-ровой политики, распределения ответст- зации, формирование внутриобъектного венности за назначенные участки работ, режима и охрану объектов организации.

Библиографический список

1. Партыка Т.Л., Попов И.И.. Информационная безопасность. М.: Форум, 2012. 432 с.

2. Герасимов Б.Н. Реинжиниринг процессов организации. М.: Вузовский учебник, ИН-ФРА-М, 2016. 256 с.

3. Основы организованного обеспечения информационной безопасности объектов информатизации / С.Н. Сёмкин, Э.В. Беляков, С.В. Гребенев, В.И. Козачок. М.: Гелиос АРВ, 2015. 198 с.

4. Мельников П.В.. Клейменов С.А., Петраков А.М. Информационная безопасность и защита информации. 6-е изд. М.: ИЦ «Академия», 2012. 223 с.

5. Герасимов Б. Функции управления: состав, содержание, параметры // Проблемы теории и практики управления. 2016. №7. С. 91-100.

6. Герасимов Б.Н., Герасимов К.Б. Производственный менеджмент: процессы, структура, система. Самара: САГМУ, 2014. 272 с.

7. ГерасимовБ.Н., Герасимов К.Б. Производственный менеджмент. М., 2015. 312 с.

8. Герасимов К.Б. Проектирование систем управления процессами организации // Вестник Ленинградского государственного университета им. А.С. Пушкина. 2012. Т. 6. № 1. С. 46-55.

9. Герасимов Б.Н. Чуриков Ю.В. Управление качеством. М.: ИНФРА-М, 2011. 304 с.

10. Герасимов К.Б. Модель проектирования технологии решения функциональных задач управления // Известия Саратовского университета. Новая серия. Серия: Экономика. Управление. Право. 2013. Т. 13. № 3-2. С. 431-438.

11. Герасимов Б.Н., Чумак В.Г. Социальный менеджмент. Самара: СНЦ РАН, МИР, 2004. 218 с.

12. Герасимов Б.Н., Рубцова М.Н. Экономическая устойчивость в деятельности предприятия. Вестник Оренбургского государственного университета. 2006. №8 (58). С. 108111.

13. Gerasimov Boris N., Gerasimov Kirill B. Modeling the Development of Organization Management System // Asian Social Science; Vol. 11, №20; 2015. Р. 82-89.

14. Герасимов Б.Н. Развитие профессионализма управленцев // Управленческие науки, 2015. №4. С. 90-101.

15. Чумак В.Г., Герасимов Б.Н. Проблемно-ситуационные игры в инновационной деятельности организации // Вестник Самарского университета. Аэрокосмическая техника, технологии и машиностроение. 2003. №2(4). С. 68-75.

THE DEVELOPMENT OF SUBPROCESS MANAGEMENT INFORMATION SECURITY

B.N. Gerasimov, doctor of economic sciences, professor International market institute (Russia, Samara)

Abstract. Reviewed the content and structure of subprocess management of information security in the organization. The developed technology of this subprocess-level operations and procedures. Given the scale of the innovation potential for the elements of subprocess management of information security. The model system graph perform management tasks in the management of information security. The characteristic of some of the tasks of the management cycle management subprocess information security. The proposed activities to improve the effectiveness of information security in the organization.

Keywords: information security, technology, procedures, operations, management tasks, management functions, innovative potential.

i Надоели баннеры? Вы всегда можете отключить рекламу.