со s
с; <
i с
.о
i ^
ш I-О S
о
Ш
Системный подход в системе управления информационной безопасностью государственного учреждения
Systematic Approach to the Management of Information Security Systems in State Institutions
Удк 004.056:35.07
Ш
I-<
Костин Геннадий Александрович
проректор Санкт-Петербургского университета управления и экономики, доктор технических наук, доцент 190103, Санкт-Петербург, Лермонтовский пр., д. 44, лит. А
Kostin Gennadiy Aleksandrovich
St. Petersburg University of Management and Economics
Lermontovskiy Ave 44/A, St. Petersburg, Russian Federation, 190103
В условиях современности наблюдается зависимость успешной деятельности государственного учреждения от системы управления информационной безопасностью. Она основывается на мероприятиях, направленных на достижение соответствующего уровня конфиденциальности, целостности и доступности. Аудит и управление рисками информационной безопасности является актуальной областью для изучения, постановки новых задач в системе управления информационной безопасностью.
Цель. Разработка методики аудита и управления рисков информационной безопасности государственного учреждения, обеспечивающая повышение уровня информационной безопасности на основе принятия управленческих решений и регулирования рисков информационной безопасности.
Материалы и методы. В исследовании предлагаются технологии и инструменты регулирования рисков и управленческих решений информационной безопасности, основанных на принципах системного анализа, SWOT-анализа, метода структуризации, методов экспертного опроса, статистические методы обработки результатов экспертного оценивания. Правильно выбранное организационно-управленческое решение основывается на анализе существенных мероприятий по устранению угроз и уязвимостей (риски ИБ) не только на организационном и технических уровнях, но и на социально-экономическом.
Результаты. В результате проводимой автором методики углубленной обработки угроз и уязвимо-стей информационной безопасности управленческое решение должно быть направлено на совершенствовании системы экономической, социальной безопасности ГУ.
Ключевые слова: система управления информационной безопасностью (СУИБ), государственное учреждение (ГУ), информационная безопасность (ИБ), система обеспечения информационной безопасности (СОИБ), сотрудник, ответственный за ИБ (сотрудник ОИБ)
In the modern world, a public institution's success depends on the management of its information security system. Such management comprises activities aimed at achieving an appropriate level of confidentiality, integrity, and availability. Auditing and risk management of information security is an important area of study that presents new challenges in the management of information security.
Серова Анастасия Геннадьевна
аспирант Санкт-Петербургского университета управления и экономики 190103, Санкт-Петербург, Лермонтовский пр., д. 44, лит. А
Serova Anastasiya Gennad'evna
St. Petersburg University of Management and Economics
Lermontovskiy Ave 44/A, St. Petersburg, Russian Federation, 190103
Aim. The goal of the study is the development of methods for auditing and management of information security risks in public institutions and for providing high-level information security on the basis of management decision making and risk management in terms of information security.
Materials and methods. The study offers the technology and tools for more effective risk management and information security management solutions based on the principles of system analysis, SWOT-analysis. These include methods of structuring, methods of conducting expert surveys, and statistical methods for processing the results of expert evaluations. Correct organizational administrative decisions are based on an analysis of essential measures to eliminate threats and vulnerabilities (IS risks) not only on the organizational and technical levels but also on the socio-economic level.
Results. As a result of extensive analysis of threats and vulnerabilities faced in information security management, the author concludes that managing decisions should be aimed at improving the system of economic and social security of state institutions (SIs).
Keywords: information security management system (ISMS), state institution (SI), information security (IS), system information security (SIS), information security officer (ISO)
В наши дни успешная деятельность любого государственного учреждения непосредственно зависит от принятой в нем системы управления информационной безопасностью (СУИБ), что обусловлено увеличением объема обрабатываемой в нем информации, возрастанием роли новых компьютерных технологий и увеличением финансовых вложений в информационную систему [1]. Аудит и управление рисками информационной безопасности (ИБ) используются для постановки новых задач в соответствующей системе управления. Под СУИБ понимается совокупность осуществляемых в государственном учреждении (ГУ) мероприятий, направленных на достижение соответствующих уровней конфиденциальности, целостности и доступности информации. Управление рисками ИБ предполагает их идентификацию, оценку и поиск решений, позволяющих добиться снижения их уровня [2]. Эффективное решение задач управления рисками не может быть достигнуто без целенаправленного
управления процессами ИБ, основанного на системном и методологическом подходе. Такую возможность открывает аудит ИБ — системный процесс получения не только количественных, но и качественных оценок текущего состояния информационной безопасности в соответствии с определенными критериями и показателями [3]. В качестве таковых принимаются:
• требования законодательства РФ в области ИБ,
• отраслевые требования к ИБ,
• требования нормативных, методических и организационно-распорядительных документов по обеспечению ИБ,
• требования национальных и международных стандартов в области ИБ.
Требования к эффективному решению задач управления рисками ИБ регламентируются рядом международных и национальных стандартов оценки и управления ИБ: ISO 15408, ISO 17799 (BS 7799), ISO 27001(X), BSI [4] и т. д. Стандарты охватывают все сферы требований, предъявляемых законодательством и нормативными актами. Соответствие стандартам означает достижение понимания того, какими информационными активами обладают организация и внедрение требуемого уровня мер контроля, основанного на оценке рисков.
Принятие стандартов ИБ не означает, что в области управления решены все проблемы. Стандарты в основном затрагивают законодательную, административную и техническую компоненту [5] системы обеспечения ИБ, но решающим звеном формирования и реализации комплексной защиты информации ГУ служит организационно-экономическая компонента (внедрение и управление необходимыми и достаточными ресурсами для обеспечения функционирования системы управления ИБ).
Управление рисками ИБ осуществляется на уровне всей информационной среды ГУ. Без системного управления всеми процессами информационной среды невозможно эффективное управление рисками. Требуется обратить внимание на политику управления рисками ИБ, учитывать не только проблемы обеспечения безопасности самой информационной среды, но и ее качества. С позиции системного анализа информационная среда ГУ представляет открытую систему, образуемую множеством взаимосвязанных информационных элементов, которые обеспечивают получение, хранение, обработку и передачу необходимой информации.
В качестве внутренней информационной среды ГУ выступают субъекты и объекты информационных процессов. К первым из них относятся сотрудники, имеющие доступ к информации, ко вторым — информационные ресурсы и материальные средства обеспечения информационного процесса ГУ. Внешнюю среду информационной среды ГУ представляют объекты и субъекты, процессы и явления внешней среды, оказывающие влияние на элементы внутренней информационной среды учреждения и на относящуюся к нему информацию во внешней среде.
Со стороны системного анализа сложно представить такое понятие, как риск ИБ. Рассмотрим его как следствие принятого решения. Если же ущерб является «внешним», происходящим «извне», из «окружающего мира», то речь идет об опасности. Риск обосновывается как размер потерь от принятого решения.
Такой подход дает возможность представить управление рисками как управление решениями. Следовательно, информационный риск или риск ИБ — это
возможность наступления случайного события в ин- ™ формационной среде, в результате которого будет ^ нанесен ущерб ГУ. Риски ИБ рассматриваются как ^ события во внутренней или внешней среде ГУ, кото- >х рые оказывают негативное влияние не только на ИБ, ^ но и на ее качество, от получения информации до 2 ее использования при выполнении функциональных ^ обязанностей ГУ. Управление рисками ИБ служит для ^ минимизации ущерба от рисков и затрат на управ- ш ление ими. ^
Для управления рисками ИБ может использовать- < ся система управления информационными рисками о (СУИБ), представляющая собой комплекс правовых, ^ экономических и организационных, технических и про- ш граммных норм. В процессе совершенствования СУИБ о необходимо провести ее аудит, т. е. анализ источников ^ рисков и факторов рисков, способствующих реализа- о ции рисковых событий. Анализ приведет к созданию о условий и мероприятий, ведущих к модернизации ^ СУИБ и снижению ущерба от рисковых событий. ^ Мы рассматриваем ГУ с точки зрения системы, 2 имеющей внутреннее и внешнее окружение. Напри- ^ мер, при анализе сложных проблем и разработке 2 по их устранению используется логико-структурный подход (ЛСП), известный также как целевое планирование. В рамках ЛСП применяется и технология SWOT-анализа [6]. Последний представляет собой инструмент оценки, с помощью которого производится анализ СУИБ с четырех сторон:
• сильные стороны — внутренние положительные качества СУИБ;
• слабые стороны — три внутренние отрицательные черты СУИБ;
• возможности — внешние факторы, улучшающие СУИБ;
• угрозы — внешние факторы, которые могут подорвать СУИБ.
Анализ определяется степе
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.