Главная › Новости

Систематизация методологической базы в области информационной безопасности

Опубликовано: 14.10.2018

Макаренко А.С.

выпускник группы MBA CIO-27

Школа IT-менеджмента

РАНХиГС при Президенте РФ

Современный мир, с его возрастающей зависимостью от информационных технологий, все больше становиться похожим на огромную паутину, эластичную по количеству используемых устройств и новым технологиям, и в тоже время жесткую к правилам их использования.

Владельцы активов из покон веков пытались защитить свою собственность от посяганий на неё своих врагов. Двадцать первый век не стали исключением. Информация как актив приобрела достаточно большое распространение во всех сферах жизни, что способствовало росту преступлений связанных с хищением, уничтожением информации.

Мировой рынок информационных продуктов и услуг. Лекция Н. С. Редькиной

В последние годы, тема информационной безопасности стала достаточно популярной в России, и этому есть несколько объяснений:

Рост активности вредоносного программного обеспечения увеличивается в геометрической прогрессии; Постоянное увеличение бюджетов на информационную безопасность; Начало действия штрафных санкций за невыполнение ФЗ РФ от 26 июля 2006 года №152 «О персональных данных».

Множество законов и подзаконных актов, существующих в области информационной безопасности, разные трактовки определений и способов защиты активов  способствует тому, что сотрудники, задействованные в организации защиты информации,  не знают, на каких аспектах надо сконцентрироваться, чтобы построить хорошо сбалансированную систему защиты информации.

Цель настоящей дипломной работы – систематизировать методологическую базу в области информационной безопасности. В качестве важнейших задач этой дипломной работы следует выделить:

Проведение анализа международных стандартов в области защиты информации, лучших практик по построению системы обеспечения информационной безопасности. Обобщение мирового практического опыты по построение надежных систем обеспечения информационной безопасности. Построение единой понятийной методологической базы в области информационной безопасности с использованием системного анализа.

Объектом исследования являются отношения между субъектами, возникающие в процессе информационного взаимодействия.

Предметом исследования в данной дипломной работе выступают международные нормативно-правовые акты и публикации на тему информационной безопасности.

Информационная безопасность является одним из ярких примеров синергетики в науке. Рассмотрение информационной безопасности с позиции системного анализа позволяет выделить цели и задачи информационной безопасности, ее структуру, компоненты и взаимосвязи между целой системой и ее отдельными компонентами.

В процессе работы над дипломом, были рассмотрены различные документы в области защиты информации: руководящие документы ФСТЭК РФ, ГОСТ-ы, документы 27000 серии, стандарты Национального института стандартизации и технологий США, рекомендации различных стран по организации защиты информации, а также публикации известных экспертов.

Бала разработана одноуровневая модель субъектно-объектных информационных взаимоотношений, которая определила 4 уровня субъекта:

Человек Компания Страна Нация

Каждый субъект, как правило, обладает активом, через который, другой субъект информационных отношений воздействует на него. Эти два субъекта находятся в состоянии информационной войны между собой.

Различные защитные механизмы, применяемые при построении комплексной системы защиты информации, были сгруппированы  в три разных домена:

Домен Управления.

Домен управления включает в себя разные дисциплины, способствующие построению менеджмента системы информационной безопасности, взаимодействию специалистов информационной безопасности с первыми лицами. В основу данного домена взяты процессы взаимодействия между бизнесом и сотрудниками информационной безопасности, процесс выделения и классификации активов с последующей их защитой. В данном домене, рассмотрены минимальные требования к отделу информационной безопасности и функциям, которые он должен выполнять. Все процессы в этом домене направлены на обеспечение непрерывности бизнеса.

Домен Экономики.

Домен экономики рассказывает об экономических аспектах в защите информации таких как: бюджетирование, взаимодействие с поставщиками.

Домен Документации.

Настоящий домен объясняет, зачем необходимо вести документирование элементов системы защиты информации, объявляет правила создания внутренних документов предприятия по информационной безопасности. В этом домене делается классификация документируемой информации.

В трех доменах были определены более 10 подсистем касающиеся:

Бюджетированию Рисков; Взаимодействия с поставщиками; Взаимоотношению с бизнесом; Защита человеческих и технических активов; Управление инцидентами и другие.

При построении системы защиты информации следует следовать четырём правилам:

При построении системы информационной безопасности, прогнозируйте действия противника. Реагируйте на возникшие изменения быстро, вносите изменения точечно. Постоянно проводите разъяснительную работу среди людей, разъясняя им, что вы делаете и главное зачем. Ничего лишнего, только самое необходимое. Руководствуйтесь здравым смыслом, и только потом лучшими практиками и рекомендациями.

Проведенная систематизация защитных элементов и механизмов, описанных в настоящей дипломной работе, может использоваться в качестве методического руководства при организации системы защиты информации. Она позволяет моделировать систему защиты информации в зависимости от формы субъекта и выбирать элементы для оптимальной системы защиты информации.

Рубрика: 

Информационная безопасность