Модель для объединения корпоративной и информационной безопасности | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Библиографическое описание:

Амиров, А. Ж. Модель для объединения корпоративной и информационной безопасности / А. Ж. Амиров, Г. Д. Когай, А. М. Ашимбекова, А. Е. Темирова. — Текст : непосредственный // Молодой ученый. — 2017. — № 9 (143). — С. 24-26. — URL: https://moluch.ru/archive/143/40145/ (дата обращения: 16.12.2024).



Есть две разные области безопасности, которые называются корпоративной и информационной безопасностью. Обе эти области были организованы во многих отношениях. Отсутствие общего согласия функций безопасности и компонентов вызвало конфликты между сотрудниками безопасности и ИТ-людей. Без общей структуры также трудно проверить и сертифицировать безопасность. В этой статье представлены некоторые из существующих подходов и их сравнение. В этом исследовании на общем уровне, мы пытаемся найти что можно будет назвать структурой или организацией функций безопасности.

Затем мы представим новую модель, которая сочетает в себе корпоративную и информационную безопасности. Эта модель основана на активах и мерах безопасности. Меры разделены на шесть секций, которые могут быть легко организованы в корпорации.

Ключевые слова: модель безопасности, информационная безопасность, корпоративная безопасность

Есть несколько способов организации информационной безопасности. Хорошая модель является инструментом для планирования, обучения и организации безопасности. Чтобы быть полезной, модель должна соответствовать своей цели. Она должна быть хорошей логической единицой и помогать управлять всей площадью. Эти модели должны изменяться в соответствии с развитием информационных технологий, бизнес-логики и организационной структуры.

Безопасность является вопросом культуры, языка и социальной среды. Для того, чтобы быть эффективными в улучшении безопасности методы должны соответствовать местным способам мышления и организации работы. Люди также должны понимать, что они делают и почему. Отсутствие осведомленности пользователей и менеджеров является проблемой, которая очень трудно охватить с техническим оборудованием [1].

Безопасность должна быть частью бизнес-процессов организации и люди имеют большую роль в этих процессах. Конструкция процессов часто является примечательной частью активов организации. Документация этих процессов зачастую некорректны и отсутствие документации представляет собой угрозу для организации.

Иногда происходят конфликты между органами безопасности и другими менеджерами в организации. Безопасность как функция охватывает столь большую площадь функций организации, что ситуация невозможна без каких-либо ограничений. В то же время трудно быть уверенным, что каждый аспект безопасности были приняты во внимание, если определение или, если площадь органов безопасности было сокращено. Конфликты между сотрудниками охраны и сотрудниками информационной безопасности являются общими. Корпоративная безопасность включается в информационную безопасность и сотрудники службы безопасности для управления этой области, как правило, также входят в информационную безопасность. В то же время многие области информационной безопасности принадлежат к функциям корпоративной безопасности. Так что разумно предположить, что сотрудники информационной безопасности устанавливают требования к этим функциям.

Есть несколько способов организации корпоративной и информационной безопасности. Они могут быть в конкретном отделе безопасности для основных функций или могут быть среди других административных функций. Помимо этих альтернатив основа информационной безопасности может быть также в ИТ-отделе [2].

При проектировании безопасной системы должна существовать модель безопасности. Многие из рассматриваемых моделей информационной безопасности используются в качестве компьютерной безопасности или информационной системы безопасности. В приложениях e-коммерции приходится принимать также помимо технических аспектов во внимание.

В данной работе представлены несколько моделей безопасности / информационной безопасности. Все модели предназначены для конкретной цели. Целью данной работы является, представление новой модели которая объединяют корпоративную и информационную безопасность в одно целое.

ISO-модель (BS7799).

Этот британский стандарт основан на PD 0003, кодексе практики управления информационной безопасностью, разработанный Департаментом торговли и промышленности при содействии ведущих британских компаний и организаций. Указания в этом кодексе практики призывает быть как можно более полным. Не все описанные элементы управления, будут иметь отношение к любой возникшей ситуации связанная с безопасностью.

Безопасность должна быть встроена в бизнес-процессы, и каждый день, быть ответственной за всех вовлеченных людей. Свод правил для управления информационной безопасностью дает одно практическое руководство в разработке, осуществлении и оценке мер по обеспечению информационной безопасности, в техническом, физическом и организационном аспекте.

Свод практических правил делится на десять разделов: политика безопасности, организация безопасности, классификации и контроля, безопасности персонала, экологическую безопасность, управление сетью, система контроля доступа, разработка и обслуживание системы, планирование непрерывности бизнеса и соблюдения, помимо этих разделов существуют десять ключевых элементов управления, которые являются существенными требованиями или считаются основными строительными блоками для обеспечения информационной безопасности.

CobiT-модель.

Информационные системы аудита и контроля сделали CobiT, чтобы помочь преодолеть разрыв между бизнес-рисками, потребностями управления и технических вопросов. Она обеспечивает хорошие практики в разных рамках домена и процесса и представляет деятельность в управляемой и логической структуре.

Для удовлетворения бизнес-целей, информация должна соответствовать определенным критериям, которые CobiT именует бизнес-требованиями, предъявляемых к информации. Существуют требования к качеству (качество, стоимость и доставки), фидуциарных требований (эффективность и эффективность работы, надежность информации и соблюдение законов и правил) и требований безопасности (конфиденциальность, целостность и доступность) [3].

Структура CobiT состоит из целей контроля высокого уровня и общей структуры для их классификации. Есть три уровня ИТ-усилий. Начиная снизу, сперва идут действия и задачи, необходимые для достижения измеримых результатов. Затем определяется один вверхний слой процессов, как ряд соединенных мероприятий или задач, с перерывами естественного контроля. На самом высоком уровне, процессы естественным образом группируются в домены. Их естественная группировка часто подтверждается как ответственность доменов в организационную структуру и в соответствии с циклом управления или жизненного цикла применимы к ИТ-процессам.

ИТ-ресурсы, определенные в CobiT являются данные, прикладные системы, технологии, средства и люди.

Определенные четыре области указаны ниже:

‒ планирование и организация: эта область охватывает стратегию и тактику, и касается идентификации пути, ИТ-специалисты могут наилучшим образом способствовать достижению бизнес-целей;

‒ приобретение и реализация: реализованные ИТ-стратегией, созданные или приобретенные ИТ-решения должны быть идентифицированы, а также реализованы и интегрированы в бизнес-процесс;

‒ доставка и поддержка: этот домен включает фактическую обработку данных с помощью прикладных систем, часто классифицируются под контролем приложений.

‒ мониторинг: контроль управления адресами домена процессов управления организации и независимой гарантии, предоставленной внутренним и внешним аудитом.

Анализ моделей.

Все эти модели безопасности, описанные выше, имеют определенную цель. В каждой модели есть какие-то недостатки и преимущества, поэтому сложно создать хорошую модель основываясь на описанных моделях.

BSI стандарт представляет собой список полезных мер по повышению информационной безопасности, и это облегчает задачу повышения квалификации уровеня организации. Разделение этих мер по разделам не производится систематически и, следовательно, нет никакой логической модели информационной безопасности.

Cobit-модель имеет сильный фон живого цикла. Каждая информационная система имеет проектирование реализации и ежедневную работу. Внутри этих областей существуют процессы, где используются фактические меры безопасности. Каждый процесс имеет список ресурсов, требований и критерии информации которую она выполняет. Есть несколько точек зрения в этих критериях, о том что они не создали простую модель. Можно улучшить такой подход, за счет его упрощения.

Новая модель.

Основным принципом в новой модели является то, что есть активы, угрозы и меры. Активы должны быть классифицированы. Угрозы должны быть обнаружены и проанализированы. Эти меры должны выясниться, для предотвращения угроз или для того чтобы свести к минимуму ущерб которые они причинили [4].

Активы.

Есть четыре различных типа активов: информация, люди, материалы и расположение. Все они частично зависимы друг от друга, потому что люди не могут хранить информацию как машина.

Стоимость актива может поступать из нескольких источников. Источник может быть определен вне организации, как в законодательстве, или деталь может иметь решающее значение для рабочего процесса. Некоторые детали могут иметь чистую денежную стоимость.

Все активы могут быть оценены несколькими способами. Конфиденциальность, доступность и целостность являются не только свойствами информации, но и общей классификационными критериями. Однако в реальной жизни, наличие является наиболее важным свойством всех других активов, чем информация.

Литература:

  1. Бианкина А. О., Орехов В. И., Орехова Т. Р., Корпоративная безопасность по направлению подготовки 38.03.04.62. — ИСН:, 2016 г. — 89 с.
  2. Управление корпоративной безопасностью, Габдуллин Н. М., Киршин И. А. Казань 2014.-112 с.
  3. Информационная безопасность, 2009 г., С. И. Макаренко, Ставрополь 2009.
  4. Информационная безопасность распределённых информационных систем: учеб. / А. И. Моисеев, Д. Б. Жмуров. — Самара: Изд-во Самар. гос. аэрокосм. ун-та, 2013. — 180 с.
  5. Информационная безопасность компьютерных систем и сетей:учеб. пособие. — М.: ИД «ФОРУМ»: ИНФРА-М, 2011. — 416 с
Основные термины (генерируются автоматически): информационная безопасность, модель, модель безопасности, корпоративная безопасность, BSI, общая структура, организационная структура, организация безопасности, способ организации, хорошая модель.


Ключевые слова

Информационная безопасность, модель безопасности, корпоративная безопасность

Похожие статьи

Анализ бизнес-процессов как один из элементов управления

Многие современные организации являются функциональным и иерархическими; они страдают от отдельных ведомств, плохой координации, а также ограниченной боковой связи. Слишком часто, работа фрагментирована и разобщена, и менеджеры тратят кучу усилий, чт...

Использование цифровых технологий для непрерывного улучшения строительных процессов

Индустрия 4.0 является первой промышленной революцией, о которой было объявлено априори, и поэтому существует значительная двусмысленность, связанная с термином и тем, что он на самом деле влечет за собой. Этот документ направлен на то, чтобы дать че...

Применение компьютерных технологий как процесс совершенствования обучения учеников начальных классов

В настоящее время к школам предъявляются все более высокие требования в попытках обеспечить учащимся хорошую подготовку к будущему детей и навигации в сложном мире. Исследования показывают, что компьютерные технологии могут помочь в обучении и что он...

Финансовое планирование, оценка и управление рисками и доходностью в финансовом менеджменте

Основным звеном организации является планирование, с помощью которого можно выяснить, что данное предприятие является доходным или де расходным. Оно позволяет выбрать самый рациональный и эффективный способ достижения целей, с учетом выявления и упра...

Управление рисками в строительных проектах

В строительной отрасли концепция управления рисками — менее популярный метод. Системный подход к управлению рисками в строительстве включает три основных этапа. Данные этапы включают: а) реагирование на риск; б) анализ и оценка рисков; и в) оценка ли...

Важность цифровой платформы в глобальном опыте

Цифровые платформы стали неотъемлемой частью многих повседневных действий, с которыми сталкиваются люди по всему миру в таких областях, как транспорт, торговля и социальные взаимодействия. Исследования по этой теме в основном были сосредоточены на об...

Обзор криптографических алгоритмов в сетях интернета вещей

Анализируя современные вызовы и потенциал безопасности в сфере интернета вещей (IoT), данная статья обсуждает роль криптографических алгоритмов в защите данных в таких сетях. Она рассматривает как симметричные, так и асимметричные алгоритмы, их преим...

Геймификация учебного процесса в контексте профессионального образования

Системы геймификации могут способствовать вовлечению учащихся и повышению их успеваемости. Хотя литература на сегодняшний день внесла существенный вклад в объяснение того, насколько эффективным может быть дизайн геймификации, несколько исследований н...

Механизм формирования опыта бренда и его возможные результаты: теоретическая основа

В настоящее время и менеджеры, и академики начали рассматривать потребителей как рациональных, а также эмоциональных лиц, принимающих решения. Из-за этого компании начали заново изобретать маркетинг и привлекать потребителей с помощью опыта. Опыт пре...

Зарубежные подходы к аудиту и сертификации

Каждая организация рано или поздно сталкивается с необходимостью проведения проверки всех систем, например, производственных или бухгалтерских. В данной статье мы рассмотрим устройство мероприятий по аудиту в некоторых зарубежных странах, проанализир...

Похожие статьи

Анализ бизнес-процессов как один из элементов управления

Многие современные организации являются функциональным и иерархическими; они страдают от отдельных ведомств, плохой координации, а также ограниченной боковой связи. Слишком часто, работа фрагментирована и разобщена, и менеджеры тратят кучу усилий, чт...

Использование цифровых технологий для непрерывного улучшения строительных процессов

Индустрия 4.0 является первой промышленной революцией, о которой было объявлено априори, и поэтому существует значительная двусмысленность, связанная с термином и тем, что он на самом деле влечет за собой. Этот документ направлен на то, чтобы дать че...

Применение компьютерных технологий как процесс совершенствования обучения учеников начальных классов

В настоящее время к школам предъявляются все более высокие требования в попытках обеспечить учащимся хорошую подготовку к будущему детей и навигации в сложном мире. Исследования показывают, что компьютерные технологии могут помочь в обучении и что он...

Финансовое планирование, оценка и управление рисками и доходностью в финансовом менеджменте

Основным звеном организации является планирование, с помощью которого можно выяснить, что данное предприятие является доходным или де расходным. Оно позволяет выбрать самый рациональный и эффективный способ достижения целей, с учетом выявления и упра...

Управление рисками в строительных проектах

В строительной отрасли концепция управления рисками — менее популярный метод. Системный подход к управлению рисками в строительстве включает три основных этапа. Данные этапы включают: а) реагирование на риск; б) анализ и оценка рисков; и в) оценка ли...

Важность цифровой платформы в глобальном опыте

Цифровые платформы стали неотъемлемой частью многих повседневных действий, с которыми сталкиваются люди по всему миру в таких областях, как транспорт, торговля и социальные взаимодействия. Исследования по этой теме в основном были сосредоточены на об...

Обзор криптографических алгоритмов в сетях интернета вещей

Анализируя современные вызовы и потенциал безопасности в сфере интернета вещей (IoT), данная статья обсуждает роль криптографических алгоритмов в защите данных в таких сетях. Она рассматривает как симметричные, так и асимметричные алгоритмы, их преим...

Геймификация учебного процесса в контексте профессионального образования

Системы геймификации могут способствовать вовлечению учащихся и повышению их успеваемости. Хотя литература на сегодняшний день внесла существенный вклад в объяснение того, насколько эффективным может быть дизайн геймификации, несколько исследований н...

Механизм формирования опыта бренда и его возможные результаты: теоретическая основа

В настоящее время и менеджеры, и академики начали рассматривать потребителей как рациональных, а также эмоциональных лиц, принимающих решения. Из-за этого компании начали заново изобретать маркетинг и привлекать потребителей с помощью опыта. Опыт пре...

Зарубежные подходы к аудиту и сертификации

Каждая организация рано или поздно сталкивается с необходимостью проведения проверки всех систем, например, производственных или бухгалтерских. В данной статье мы рассмотрим устройство мероприятий по аудиту в некоторых зарубежных странах, проанализир...

Задать вопрос