Библиографическое описание:

Амиров А. Ж., Когай Г. Д., Ашимбекова А. М., Темирова А. Е. Модель для объединения корпоративной и информационной безопасности // Молодой ученый. — 2017. — №9. — С. 24-26. — URL https://moluch.ru/archive/143/40145/ (дата обращения: 24.04.2018).



Есть две разные области безопасности, которые называются корпоративной и информационной безопасностью. Обе эти области были организованы во многих отношениях. Отсутствие общего согласия функций безопасности и компонентов вызвало конфликты между сотрудниками безопасности и ИТ-людей. Без общей структуры также трудно проверить и сертифицировать безопасность. В этой статье представлены некоторые из существующих подходов и их сравнение. В этом исследовании на общем уровне, мы пытаемся найти что можно будет назвать структурой или организацией функций безопасности.

Затем мы представим новую модель, которая сочетает в себе корпоративную и информационную безопасности. Эта модель основана на активах и мерах безопасности. Меры разделены на шесть секций, которые могут быть легко организованы в корпорации.

Ключевые слова: модель безопасности, информационная безопасность, корпоративная безопасность

Есть несколько способов организации информационной безопасности. Хорошая модель является инструментом для планирования, обучения и организации безопасности. Чтобы быть полезной, модель должна соответствовать своей цели. Она должна быть хорошей логической единицой и помогать управлять всей площадью. Эти модели должны изменяться в соответствии с развитием информационных технологий, бизнес-логики и организационной структуры.

Безопасность является вопросом культуры, языка и социальной среды. Для того, чтобы быть эффективными в улучшении безопасности методы должны соответствовать местным способам мышления и организации работы. Люди также должны понимать, что они делают и почему. Отсутствие осведомленности пользователей и менеджеров является проблемой, которая очень трудно охватить с техническим оборудованием [1].

Безопасность должна быть частью бизнес-процессов организации и люди имеют большую роль в этих процессах. Конструкция процессов часто является примечательной частью активов организации. Документация этих процессов зачастую некорректны и отсутствие документации представляет собой угрозу для организации.

Иногда происходят конфликты между органами безопасности и другими менеджерами в организации. Безопасность как функция охватывает столь большую площадь функций организации, что ситуация невозможна без каких-либо ограничений. В то же время трудно быть уверенным, что каждый аспект безопасности были приняты во внимание, если определение или, если площадь органов безопасности было сокращено. Конфликты между сотрудниками охраны и сотрудниками информационной безопасности являются общими. Корпоративная безопасность включается в информационную безопасность и сотрудники службы безопасности для управления этой области, как правило, также входят в информационную безопасность. В то же время многие области информационной безопасности принадлежат к функциям корпоративной безопасности. Так что разумно предположить, что сотрудники информационной безопасности устанавливают требования к этим функциям.

Есть несколько способов организации корпоративной и информационной безопасности. Они могут быть в конкретном отделе безопасности для основных функций или могут быть среди других административных функций. Помимо этих альтернатив основа информационной безопасности может быть также в ИТ-отделе [2].

При проектировании безопасной системы должна существовать модель безопасности. Многие из рассматриваемых моделей информационной безопасности используются в качестве компьютерной безопасности или информационной системы безопасности. В приложениях e-коммерции приходится принимать также помимо технических аспектов во внимание.

В данной работе представлены несколько моделей безопасности / информационной безопасности. Все модели предназначены для конкретной цели. Целью данной работы является, представление новой модели которая объединяют корпоративную и информационную безопасность в одно целое.

ISO-модель (BS7799).

Этот британский стандарт основан на PD 0003, кодексе практики управления информационной безопасностью, разработанный Департаментом торговли и промышленности при содействии ведущих британских компаний и организаций. Указания в этом кодексе практики призывает быть как можно более полным. Не все описанные элементы управления, будут иметь отношение к любой возникшей ситуации связанная с безопасностью.

Безопасность должна быть встроена в бизнес-процессы, и каждый день, быть ответственной за всех вовлеченных людей. Свод правил для управления информационной безопасностью дает одно практическое руководство в разработке, осуществлении и оценке мер по обеспечению информационной безопасности, в техническом, физическом и организационном аспекте.

Свод практических правил делится на десять разделов: политика безопасности, организация безопасности, классификации и контроля, безопасности персонала, экологическую безопасность, управление сетью, система контроля доступа, разработка и обслуживание системы, планирование непрерывности бизнеса и соблюдения, помимо этих разделов существуют десять ключевых элементов управления, которые являются существенными требованиями или считаются основными строительными блоками для обеспечения информационной безопасности.

CobiT-модель.

Информационные системы аудита и контроля сделали CobiT, чтобы помочь преодолеть разрыв между бизнес-рисками, потребностями управления и технических вопросов. Она обеспечивает хорошие практики в разных рамках домена и процесса и представляет деятельность в управляемой и логической структуре.

Для удовлетворения бизнес-целей, информация должна соответствовать определенным критериям, которые CobiT именует бизнес-требованиями, предъявляемых к информации. Существуют требования к качеству (качество, стоимость и доставки), фидуциарных требований (эффективность и эффективность работы, надежность информации и соблюдение законов и правил) и требований безопасности (конфиденциальность, целостность и доступность) [3].

Структура CobiT состоит из целей контроля высокого уровня и общей структуры для их классификации. Есть три уровня ИТ-усилий. Начиная снизу, сперва идут действия и задачи, необходимые для достижения измеримых результатов. Затем определяется один вверхний слой процессов, как ряд соединенных мероприятий или задач, с перерывами естественного контроля. На самом высоком уровне, процессы естественным образом группируются в домены. Их естественная группировка часто подтверждается как ответственность доменов в организационную структуру и в соответствии с циклом управления или жизненного цикла применимы к ИТ-процессам.

ИТ-ресурсы, определенные в CobiT являются данные, прикладные системы, технологии, средства и люди.

Определенные четыре области указаны ниже:

‒ планирование и организация: эта область охватывает стратегию и тактику, и касается идентификации пути, ИТ-специалисты могут наилучшим образом способствовать достижению бизнес-целей;

‒ приобретение и реализация: реализованные ИТ-стратегией, созданные или приобретенные ИТ-решения должны быть идентифицированы, а также реализованы и интегрированы в бизнес-процесс;

‒ доставка и поддержка: этот домен включает фактическую обработку данных с помощью прикладных систем, часто классифицируются под контролем приложений.

‒ мониторинг: контроль управления адресами домена процессов управления организации и независимой гарантии, предоставленной внутренним и внешним аудитом.

Анализ моделей.

Все эти модели безопасности, описанные выше, имеют определенную цель. В каждой модели есть какие-то недостатки и преимущества, поэтому сложно создать хорошую модель основываясь на описанных моделях.

BSI стандарт представляет собой список полезных мер по повышению информационной безопасности, и это облегчает задачу повышения квалификации уровеня организации. Разделение этих мер по разделам не производится систематически и, следовательно, нет никакой логической модели информационной безопасности.

Cobit-модель имеет сильный фон живого цикла. Каждая информационная система имеет проектирование реализации и ежедневную работу. Внутри этих областей существуют процессы, где используются фактические меры безопасности. Каждый процесс имеет список ресурсов, требований и критерии информации которую она выполняет. Есть несколько точек зрения в этих критериях, о том что они не создали простую модель. Можно улучшить такой подход, за счет его упрощения.

Новая модель.

Основным принципом в новой модели является то, что есть активы, угрозы и меры. Активы должны быть классифицированы. Угрозы должны быть обнаружены и проанализированы. Эти меры должны выясниться, для предотвращения угроз или для того чтобы свести к минимуму ущерб которые они причинили [4].

Активы.

Есть четыре различных типа активов: информация, люди, материалы и расположение. Все они частично зависимы друг от друга, потому что люди не могут хранить информацию как машина.

Стоимость актива может поступать из нескольких источников. Источник может быть определен вне организации, как в законодательстве, или деталь может иметь решающее значение для рабочего процесса. Некоторые детали могут иметь чистую денежную стоимость.

Все активы могут быть оценены несколькими способами. Конфиденциальность, доступность и целостность являются не только свойствами информации, но и общей классификационными критериями. Однако в реальной жизни, наличие является наиболее важным свойством всех других активов, чем информация.

Литература:

  1. Бианкина А. О., Орехов В. И., Орехова Т. Р., Корпоративная безопасность по направлению подготовки 38.03.04.62. — ИСН:, 2016 г. — 89 с.
  2. Управление корпоративной безопасностью, Габдуллин Н. М., Киршин И. А. Казань 2014.-112 с.
  3. Информационная безопасность, 2009 г., С. И. Макаренко, Ставрополь 2009.
  4. Информационная безопасность распределённых информационных систем: учеб. / А. И. Моисеев, Д. Б. Жмуров. — Самара: Изд-во Самар. гос. аэрокосм. ун-та, 2013. — 180 с.
  5. Информационная безопасность компьютерных систем и сетей:учеб. пособие. — М.: ИД «ФОРУМ»: ИНФРА-М, 2011. — 416 с
Основные термины (генерируются автоматически): информационной безопасности, информационной безопасностью, модель безопасности, функций безопасности, организации информационной безопасности, сотрудниками информационной безопасности, управления информационной безопасностью, сотрудники информационной безопасности, информационную безопасность, основа информационной безопасности, моделей информационной безопасности, области информационной безопасности, информационной системы безопасности, обеспечению информационной безопасности, модели информационной безопасности, обеспечения информационной безопасности, повышению информационной безопасности, информационную безопасности, согласия функций безопасности, организацией функций безопасности.

Ключевые слова

Информационная безопасность, модель безопасности, корпоративная безопасность

Обсуждение

Социальные комментарии Cackle
Задать вопрос