УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ Текст научной статьи по специальности «Компьютерные и информационные науки»

Захарченко А.Д. студент 3-го курса Шилов А.К., доктор технических наук старший научный сотрудник Институт компьютерных технологий и информационной безопасности Южный федеральный университет Российская Федерация, г. Таганрог УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ Управление информационной безопасностью состоит из приверженности руководства организационных структур, осведомленности пользователей и обязательств, политики, процедур, процессов, технологий и механизмов по обеспечению соблюдения ограничений. Она является частью управления ИТ и корпоративного управления, а также обращается к конфиденциальности, уязвимости и инструментам, показателям и оценке эффективности, а также стратегию информационной безопасности организации, будучи ответственным за принятие стратегических решений в области информационной безопасности. В соответствие с другими компонентами корпоративного управления, плохое управление информационной безопасностью может привести к негативным последствиям на всей деятельности организации.

Управление информационной безопасностью должно раскрывать и распространять обязанности, действия, поведение и убеждения для защиты информации и связанных с нею активов. Концептуализации управления информацией безопасности как создание и поддержание необходимого контроля среды для управления рисками, связанными с информацией и её процессами и системы поддержки, которая может включать в себя определение обязанностей, стратегий и целей, оценки рисков и управления, рациональное использование ресурсов, соблюдение законов, правил, политики, а также связи и отношения действий.

Защита информации и непрерывности организационных операций зависит от модели, поставляемой управлением информационной безопасностью, а также управление информационной безопасностью отвечает за согласование требований информационной безопасности для бизнеса. Это выравнивание требует организационная модель, которая будет создана и должны включать в себя людей, технологии и процессы для программы информационной безопасности.

Управление информационной безопасности считается четвертой волна развития информационной безопасности. Первоначально это считалось чисто техническим вопросом, но возникло движение, которое привело информационную безопасность в рамках управления, когда менеджеры поняли, что речь шла не только о технической части. Позже была его институционализация, характеризуется стандартизацией под влиянием норм

широко принятой по требованию для сертификации и соответствия, концерном для создания культуры информационной безопасности и внутренних рисков в организациях, а также за счет использования метрик для оценки его эффективность. С управления информационной безопасности, есть понимание того, что она также требует стратегических решений с большим акцентом на корпоративное управление, а также нормативно-правовой поддержки, однако, не оставляя в стороне технические, управленческие и организационные вопросы.

Хотя есть в литературе понимание того, что решения о принятии мер, должны быть сделаны по структуре управления информационной безопасности и что меры должны соответствовать принципам, требования и риски организации, внешние факторы могут влиять на решения о принятии мер безопасности. Нами была предложена модель управления, которая интегрирует внутренние и внешние факторы, к действиям по информационной безопасности. Внутренний аспект состоит из "вопросов бизнеса" и "ИТ-инфраструктуры" доменов, и внешнее измерение состоит из «Правовых, регулятивных" доменов. Таким образом, даже с особым упором на управление информационной безопасности, поднимают важность внешних факторов, таких, как законы и правила, опубликованные правительством для руководства действиями и внутренней структуры организаций, а также стандартов в области информационной безопасности и моделей, таких как NBR ISO / IEC 27002 (ABNT, 2005), которые предлагают международной признанной передовой практики, которые будут приняты.

Таким образом, информационная безопасность связана с законами и правилами, а также международными стандартами, которые предписывают практику воспринимаемые по мере необходимости. Это может повлиять на имплантации, определение или создание ролей и обязанностей, стратегий, процессов, организационных структур, политики, технологий и других мер информационной безопасности. Таким образом, меры могут быть приняты не потому, что структура управления принимает решение об этом основано на принципах, рисках и организационных стратегий, а потому, что организации подвергаются внешнему давлению, чтобы принять их, что может привести к принятию неадекватных мер. Тем не менее, неизвестны, факторы, влияющие на принятие мер по информационной безопасности, которые могут подтвердить или опровергнуть это предположение.