Стратификации типов предприятий при построении модели угроз информационной безопасности для удаленного режима работы | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 30 ноября, печатный экземпляр отправим 4 декабря.

Опубликовать статью в журнале

Авторы: ,

Рубрика: Экономика и управление

Опубликовано в Молодой учёный №23 (418) июнь 2022 г.

Дата публикации: 05.06.2022

Статья просмотрена: 59 раз

Библиографическое описание:

Мункуева, Э. И. Стратификации типов предприятий при построении модели угроз информационной безопасности для удаленного режима работы / Э. И. Мункуева, А. И. Труфанов. — Текст : непосредственный // Молодой ученый. — 2022. — № 23 (418). — С. 554-557. — URL: https://moluch.ru/archive/418/92668/ (дата обращения: 16.11.2024).



Для построения эффективной системы противодействия угрозам, сопутствующим удаленному режиму работы в исследовании предложено разделение предприятий на три типа, с учетом их специфики и проанализирована полезность такой классификации.

Ключевые слова: стратификация предприятий, удаленный режим работы, модель угроз, модель нарушителя, информационная безопасность.

В условиях развития электронных технологий современного мира происходят существенные изменения в содержании понятия «удаленная работа». Развитие информационных технологий придало значительный стимул для перехода от традиционной формы найма работников и привело к популяризации сравнительно новой формы организации труда — удаленному режиму работы. Повсеместный и срочный перевод сотрудников организаций и предприятий на удаленную работу [1] заметно повлиял на положение дел информационной безопасности (ИБ). Внезапное изменение организации работы побудило клиентов ИБ-компаний немедленно переоценить поставленные цели и задачи, затем перераспределить бюджеты, направляемые на устранение угроз информационной безопасности [2]. В первую очередь речь ведется об утечках конфиденциальной информации, которые связаны с увеличением использования персональных устройств и существенно увеличившимся числом атак на веб-ресурсы компаний и организаций различных отраслей. Для того, чтобы обеспечить необходимый уровень ИБ, удовлетворяющий существующим нормативно-правовым актам и требованиям организации, крайне важно разработать актуальную модель угроз безопасности информации в соответствии с [3], которая бы включала в себя перечень угроз, упорядоченных по выбранным параметрам, источники этих угроз, и негативные последствия, к которым они могут привести, и учитывала специфику данного предприятия.

В настоящее время, к сожалению, недостаточно работ, в которых бы проводились исследования по определению режима безопасности предприятий в зависимости от их специфики. При обеспечении информационной безопасности значимым фактором является специфика, начиная от форм собственности и заканчивая оснащенностью ИКТ, в ней учитываются особенности тех или иных предприятий, именно специфика определяет модель угроз безопасности информации [4]. Дело в том, что невозможно корректно моделировать угрозы ИБ вне зависимости от особенностей конкретного предприятия.

Стратификация типов предприятий при организации удаленного режима работы

В нашей работе, приступая к моделированию угроз безопасности информации в качестве ключевого этапа заявляется классификация предприятий, учитывающая их специфику. Построение модели напрямую зависит от особенностей вида предприятия. Важно, что при этом предлагается деление предприятий на простые, сложные и комплексные по ряду критериев, исходя из оснащенности системами информационных технологий и информационно-коммуникационные технологий, формы собственности, размера предприятия и др. Критерии стратификации предприятий представлены в таблице 1.

Таблица 1

Стратификация предприятий с учетом их специфики

Простые

Сложные

Комплексные

  1. Малые предприятия с численностью работников до 150 человек;
  2. Некоммерческие предприятия;
  3. Отсутствие эффективной системы информационно-коммуникационных технологий, оснащенной средствами защиты для безопасности передачи данных;
  4. Малое количество автоматизированных рабочих мест (АРМ);
  5. Отсутствие отдела информационных технологий (ИБ), как следствие, неразвитая ИТ-инфраструктура;
  6. Недостаточное финансирование ИБ, в результате: отсутствие необходимого оборудования для перехода на удаленную работу;
  7. Корпоративные данные;
  8. Отсутствие или неполная политика ИБ;
  9. Использование инструментов видеоконференций (Zoom, Skype, VooVMeeting и др.);
  10. Концепция Bring
  1. Средние предприятия с численностью работников свыше 150 человек;
  2. Коммерческие предприятия;
  3. Достаточное обеспечение информационными
  4. ресурсами с помощью систем информационно-коммуникационных технологий;
  5. Большое количество автоматизированных рабочих мест (АРМ);
  6. Наличие отдела информационных технологий (ИБ);
  7. Предприятие имеет финансовые средства на инвестиции в области ИБ;
  8. Конфиденциальные данные;
  9. Наличие политики информационной безопасности;
  10. Простая и прозрачная топология взаимодействия между сотрудниками предприятия, контрагентами (партнерами) и потребителями
  1. Крупные предприятия с численностью работников свыше 500 человек;
  2. Предприятия любой формы собственности;
  3. Развитые информационно-коммуникационные технологии, соответствующая современным способам управления организации деятельности предприятия;
  4. Большое количество автоматизированных рабочих мест (АРМ), оснащенных компьютерной техникой, средствами печати и периферийным оборудованием;
  5. Наличие хорошо развитого отдела информационных технологий (ИБ) с высококвалифицированными сотрудниками, и значит, безопасная ИТ-инфраструктура;
  6. Предприятие вкладывает крупные суммы на обеспечение собственной ИБ;
  7. Используется информация

ограниченного доступа, в том числе сведения составляющие гостайну;

  1. Наличие разработанной политики и концепции ИБ;
  2. Собственная система ВКС;
  3. Территория охвата деятельности: в глобальном масштабе;
  4. Конкурентные отношения отдельных сфер подразделений и коллективов предприятия;

Сложная топология взаимодействия между сотрудниками предприятия, контрагентами (партнерами) и потребителями.

Your Own Device (использование личных устройств (ПК, ноутбуков, моб. телефонов сотрудников)), значит, обеспечить безопасность корпоративных данных будет сложнее;

Хорошо известно, что различные информационные системы и их объекты могут подвергаться различному спектру угроз ИБ, которые зависят от особенностей и специфики отдельных информационных систем предприятий и включенных в них элементов. Нами было установлено, что стратификация предприятий на простые, сложные и комплексные оказывается значимым в ходе построения модели угроз безопасности информации, в частности и при осуществлении удаленного формата работы.

Заключение

Удаленная работа предоставляет сотрудникам предприятий целый ряд преимуществ, начиная от экономии личного времени и денежных средств на дорогу до места работы и заканчивая высокой производительностью труда [5], но помимо этого, такая форма труда создает условия для возникновения рисков информационной безопасности.

Для того, чтобы уровень информационной безопасности отвечал всем нормативным требованиям, важно разработать актуальную модель угроз ИБ. Модель угроз безопасности информации является критическим компонентом внутреннего набора документов информационной безопасности, который должен включать определение потенциальных угроз для конкретной информационной системы предприятия. Эта модель является основой для принятия решений о том, как нейтрализовать и противодействовать существующим угрозам. При этом, эффективность противодействия зависит от качества модели угроз безопасности, высокие характеристики которой достигаются, если она построена, исходя из специфики конкретного предприятия. Поскольку описание особенностей предприятия во многом зависит от реализуемых в нем процессов, для этого была введена стратификация (классификация) предприятий, с ориентацией на формат удаленной работы. В связи с этим, было предложено произвести разделение предприятий, поддерживающих этот формат, на простые, сложные и комплексные по определенным критериям, основываясь на оснащенности системами информационных технологий и информационно-коммуникационными технологий, формы собственности, размера предприятия, количества сотрудников и др. Предложенная стратификация способствует детализации модели угроз, что в свою очередь дает возможность формировать надежные стратегии и тактики ИБ, обосновать расходы и более эффективно распределять выделяемые инвестиции в информационную безопасность, в зависимости от типа предприятий, их существенных признаков и характеристик.

Исследование выполнено при финансовой поддержке РФФИ и МОКНСМ в рамках научного проекта № 20–51–00001.

Литература:

  1. Афанасьева Д. В. Информационная безопасность при удаленной работе//Известия ТулГУ. Технические науки. — Выпуск 5. — 2021. — С. 289–292.
  2. ISO 27001 и риски информационной безопасности при переходе на удаленную работу. [Электронный ресурс]. — Режим доступа: https://www.sgs.ru/ru-ru/news/2020/04/iso-27001-i-riski-informacionnoj-bezopasnosti-pri-perehode-na-udalennuyu-rabotu .
  3. Методика оценки угроз безопасности информации. Методический документ. Утвержден ФСТЭК России 5 февраля 2021 г. [Электронный ресурс]. — Режим доступа: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g.
  4. Проталинский O. M., Ажмухамедов И. М. Информационная безопасность вуза//Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техника и информатика. — 2009. — № 1. — С. 18–23.
  5. Малышев А. А., Апенько С. Н., Винец А. В. Особенности удаленной работы//Инновационная экономика и общество. — 2018. — № 3(21). — С. 76–81.
Основные термины (генерируются автоматически): информационная безопасность, предприятие, удаленная работа, удаленный режим работы, автоматизированный рабочий мест, специфика, стратификация предприятий, форма собственности, численность работников, модель угроз безопасности информации.


Ключевые слова

Информационная безопасность, модель угроз, модель нарушителя, стратификация предприятий, удаленный режим работы

Похожие статьи

Исследование и разработка модели оценки информационной безопасности объекта

В статье проведен анализ качественного, количественного и комплексного подходов для минимизации угрозы информационной безопасности, выбран наилучший. На основании проведенного анализа строится математическая модель и алгоритм модели оценки информацио...

Программный модуль моделирования атак в сегменте корпоративной сети с учетом оценки риска

Разработан программный модуль анализа атак в корпоративной сети на основе оценки рисков. В основу данного модуля положен новый метод на основе уязвимостей каждого элемента сети.

Риск-ориентированный подход к оценке и обеспечению надежности и безопасности функционирования объектов транспортной инфраструктуры

В статье анализируется методология управления ресурсами и рисками на основе анализа надежности объектов железнодорожной инфраструктуры (УРРАН). Сделан вывод о необходимости разработки прикладных метод расчета показателей надежности, безопасности и оц...

Управление рисками на химических и нефтехимических предприятиях: модель категорий анализируемого объекта и компетенций сотрудника

Разработан метод для проведения анализа риска возникновения происшествия на обслуживаемом участке производственного процесса химических и нефтехимических предприятий, с учетом компетенций сотрудника. Проведен обзор ключевых факторов, влияющих на уров...

Анализ систем мониторинга вычислительных сетей

В статье рассматриваются основные принципы построения и функционирования систем мониторинга вычислительных сетей, посредством которых осуществляется выявление уязвимостей контролируемых информационных систем. Выделены основные преимущества и недостат...

Методы оценки рисков нарушения целостности информации в сетях передачи данных

В статье проводится анализ методов защиты от нарушения целостности информации в сетях передачи данных. На основе анализа случайных и преднамеренных угроз рассмотрены имитационная модель для исследования методов контроля целостности информации.

Анализ прикладных программ оценки рисков пользовательских систем

Данная статья посвящена вопросам построения модели угроз и модели нарушителя для пользовательских информационных систем в современном цифровом обществе.

Использование риск-ориентированного подхода в службе экономической безопасности предприятия

В научной статье представлены результаты анализа перспектив использования риск-ориентированного подхода в службе экономической безопасности предприятия через механизмы внедрения методов аудита. Актуальность исследования на выбранную проблематику обус...

Совершенствование системы обеспечения информационной безопасности кредитной организации с помощью экономико-математических методов

Рассматриваются системы защиты информации ограниченного доступа банковских систем. Рассматривается задача модификации и улучшения средств и мер защиты для повышения общего уровня защищенности. Предложено решение задачи путем применения экономико-мате...

Применение инструментов OSINT для выявления уязвимостей информационной сети предприятия

В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье способ применения данных инструментов для вы...

Похожие статьи

Исследование и разработка модели оценки информационной безопасности объекта

В статье проведен анализ качественного, количественного и комплексного подходов для минимизации угрозы информационной безопасности, выбран наилучший. На основании проведенного анализа строится математическая модель и алгоритм модели оценки информацио...

Программный модуль моделирования атак в сегменте корпоративной сети с учетом оценки риска

Разработан программный модуль анализа атак в корпоративной сети на основе оценки рисков. В основу данного модуля положен новый метод на основе уязвимостей каждого элемента сети.

Риск-ориентированный подход к оценке и обеспечению надежности и безопасности функционирования объектов транспортной инфраструктуры

В статье анализируется методология управления ресурсами и рисками на основе анализа надежности объектов железнодорожной инфраструктуры (УРРАН). Сделан вывод о необходимости разработки прикладных метод расчета показателей надежности, безопасности и оц...

Управление рисками на химических и нефтехимических предприятиях: модель категорий анализируемого объекта и компетенций сотрудника

Разработан метод для проведения анализа риска возникновения происшествия на обслуживаемом участке производственного процесса химических и нефтехимических предприятий, с учетом компетенций сотрудника. Проведен обзор ключевых факторов, влияющих на уров...

Анализ систем мониторинга вычислительных сетей

В статье рассматриваются основные принципы построения и функционирования систем мониторинга вычислительных сетей, посредством которых осуществляется выявление уязвимостей контролируемых информационных систем. Выделены основные преимущества и недостат...

Методы оценки рисков нарушения целостности информации в сетях передачи данных

В статье проводится анализ методов защиты от нарушения целостности информации в сетях передачи данных. На основе анализа случайных и преднамеренных угроз рассмотрены имитационная модель для исследования методов контроля целостности информации.

Анализ прикладных программ оценки рисков пользовательских систем

Данная статья посвящена вопросам построения модели угроз и модели нарушителя для пользовательских информационных систем в современном цифровом обществе.

Использование риск-ориентированного подхода в службе экономической безопасности предприятия

В научной статье представлены результаты анализа перспектив использования риск-ориентированного подхода в службе экономической безопасности предприятия через механизмы внедрения методов аудита. Актуальность исследования на выбранную проблематику обус...

Совершенствование системы обеспечения информационной безопасности кредитной организации с помощью экономико-математических методов

Рассматриваются системы защиты информации ограниченного доступа банковских систем. Рассматривается задача модификации и улучшения средств и мер защиты для повышения общего уровня защищенности. Предложено решение задачи путем применения экономико-мате...

Применение инструментов OSINT для выявления уязвимостей информационной сети предприятия

В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье способ применения данных инструментов для вы...

Задать вопрос