Есть две разные области безопасности, которые называются корпоративной и информационной безопасностью. Обе эти области были организованы во многих отношениях. Отсутствие общего согласия функций безопасности и компонентов вызвало конфликты между сотрудниками безопасности и ИТ-людей. Без общей структуры также трудно проверить и сертифицировать безопасность. В этой статье представлены некоторые из существующих подходов и их сравнение. В этом исследовании на общем уровне, мы пытаемся найти что можно будет назвать структурой или организацией функций безопасности.
Затем мы представим новую модель, которая сочетает в себе корпоративную и информационную безопасности. Эта модель основана на активах и мерах безопасности. Меры разделены на шесть секций, которые могут быть легко организованы в корпорации.
Ключевые слова: модель безопасности, информационная безопасность, корпоративная безопасность
Есть несколько способов организации информационной безопасности. Хорошая модель является инструментом для планирования, обучения и организации безопасности. Чтобы быть полезной, модель должна соответствовать своей цели. Она должна быть хорошей логической единицой и помогать управлять всей площадью. Эти модели должны изменяться в соответствии с развитием информационных технологий, бизнес-логики и организационной структуры.
Безопасность является вопросом культуры, языка и социальной среды. Для того, чтобы быть эффективными в улучшении безопасности методы должны соответствовать местным способам мышления и организации работы. Люди также должны понимать, что они делают и почему. Отсутствие осведомленности пользователей и менеджеров является проблемой, которая очень трудно охватить с техническим оборудованием [1].
Безопасность должна быть частью бизнес-процессов организации и люди имеют большую роль в этих процессах. Конструкция процессов часто является примечательной частью активов организации. Документация этих процессов зачастую некорректны и отсутствие документации представляет собой угрозу для организации.
Иногда происходят конфликты между органами безопасности и другими менеджерами в организации. Безопасность как функция охватывает столь большую площадь функций организации, что ситуация невозможна без каких-либо ограничений. В то же время трудно быть уверенным, что каждый аспект безопасности были приняты во внимание, если определение или, если площадь органов безопасности было сокращено. Конфликты между сотрудниками охраны и сотрудниками информационной безопасности являются общими. Корпоративная безопасность включается в информационную безопасность и сотрудники службы безопасности для управления этой области, как правило, также входят в информационную безопасность. В то же время многие области информационной безопасности принадлежат к функциям корпоративной безопасности. Так что разумно предположить, что сотрудники информационной безопасности устанавливают требования к этим функциям.
Есть несколько способов организации корпоративной и информационной безопасности. Они могут быть в конкретном отделе безопасности для основных функций или могут быть среди других административных функций. Помимо этих альтернатив основа информационной безопасности может быть также в ИТ-отделе [2].
При проектировании безопасной системы должна существовать модель безопасности. Многие из рассматриваемых моделей информационной безопасности используются в качестве компьютерной безопасности или информационной системы безопасности. В приложениях e-коммерции приходится принимать также помимо технических аспектов во внимание.
В данной работе представлены несколько моделей безопасности / информационной безопасности. Все модели предназначены для конкретной цели. Целью данной работы является, представление новой модели которая объединяют корпоративную и информационную безопасность в одно целое.
ISO-модель (BS7799).
Этот британский стандарт основан на PD 0003, кодексе практики управления информационной безопасностью, разработанный Департаментом торговли и промышленности при содействии ведущих британских компаний и организаций. Указания в этом кодексе практики призывает быть как можно более полным. Не все описанные элементы управления, будут иметь отношение к любой возникшей ситуации связанная с безопасностью.
Безопасность должна быть встроена в бизнес-процессы, и каждый день, быть ответственной за всех вовлеченных людей. Свод правил для управления информационной безопасностью дает одно практическое руководство в разработке, осуществлении и оценке мер по обеспечению информационной безопасности, в техническом, физическом и организационном аспекте.
Свод практических правил делится на десять разделов: политика безопасности, организация безопасности, классификации и контроля, безопасности персонала, экологическую безопасность, управление сетью, система контроля доступа, разработка и обслуживание системы, планирование непрерывности бизнеса и соблюдения, помимо этих разделов существуют десять ключевых элементов управления, которые являются существенными требованиями или считаются основными строительными блоками для обеспечения информационной безопасности.
CobiT-модель.
Информационные системы аудита и контроля сделали CobiT, чтобы помочь преодолеть разрыв между бизнес-рисками, потребностями управления и технических вопросов. Она обеспечивает хорошие практики в разных рамках домена и процесса и представляет деятельность в управляемой и логической структуре.
Для удовлетворения бизнес-целей, информация должна соответствовать определенным критериям, которые CobiT именует бизнес-требованиями, предъявляемых к информации. Существуют требования к качеству (качество, стоимость и доставки), фидуциарных требований (эффективность и эффективность работы, надежность информации и соблюдение законов и правил) и требований безопасности (конфиденциальность, целостность и доступность) [3].
Структура CobiT состоит из целей контроля высокого уровня и общей структуры для их классификации. Есть три уровня ИТ-усилий. Начиная снизу, сперва идут действия и задачи, необходимые для достижения измеримых результатов. Затем определяется один вверхний слой процессов, как ряд соединенных мероприятий или задач, с перерывами естественного контроля. На самом высоком уровне, процессы естественным образом группируются в домены. Их естественная группировка часто подтверждается как ответственность доменов в организационную структуру и в соответствии с циклом управления или жизненного цикла применимы к ИТ-процессам.
ИТ-ресурсы, определенные в CobiT являются данные, прикладные системы, технологии, средства и люди.
Определенные четыре области указаны ниже:
‒ планирование и организация: эта область охватывает стратегию и тактику, и касается идентификации пути, ИТ-специалисты могут наилучшим образом способствовать достижению бизнес-целей;
‒ приобретение и реализация: реализованные ИТ-стратегией, созданные или приобретенные ИТ-решения должны быть идентифицированы, а также реализованы и интегрированы в бизнес-процесс;
‒ доставка и поддержка: этот домен включает фактическую обработку данных с помощью прикладных систем, часто классифицируются под контролем приложений.
‒ мониторинг: контроль управления адресами домена процессов управления организации и независимой гарантии, предоставленной внутренним и внешним аудитом.
Анализ моделей.
Все эти модели безопасности, описанные выше, имеют определенную цель. В каждой модели есть какие-то недостатки и преимущества, поэтому сложно создать хорошую модель основываясь на описанных моделях.
BSI стандарт представляет собой список полезных мер по повышению информационной безопасности, и это облегчает задачу повышения квалификации уровеня организации. Разделение этих мер по разделам не производится систематически и, следовательно, нет никакой логической модели информационной безопасности.
Cobit-модель имеет сильный фон живого цикла. Каждая информационная система имеет проектирование реализации и ежедневную работу. Внутри этих областей существуют процессы, где используются фактические меры безопасности. Каждый процесс имеет список ресурсов, требований и критерии информации которую она выполняет. Есть несколько точек зрения в этих критериях, о том что они не создали простую модель. Можно улучшить такой подход, за счет его упрощения.
Новая модель.
Основным принципом в новой модели является то, что есть активы, угрозы и меры. Активы должны быть классифицированы. Угрозы должны быть обнаружены и проанализированы. Эти меры должны выясниться, для предотвращения угроз или для того чтобы свести к минимуму ущерб которые они причинили [4].
Активы.
Есть четыре различных типа активов: информация, люди, материалы и расположение. Все они частично зависимы друг от друга, потому что люди не могут хранить информацию как машина.
Стоимость актива может поступать из нескольких источников. Источник может быть определен вне организации, как в законодательстве, или деталь может иметь решающее значение для рабочего процесса. Некоторые детали могут иметь чистую денежную стоимость.
Все активы могут быть оценены несколькими способами. Конфиденциальность, доступность и целостность являются не только свойствами информации, но и общей классификационными критериями. Однако в реальной жизни, наличие является наиболее важным свойством всех других активов, чем информация.
Литература:
- Бианкина А. О., Орехов В. И., Орехова Т. Р., Корпоративная безопасность по направлению подготовки 38.03.04.62. — ИСН:, 2016 г. — 89 с.
- Управление корпоративной безопасностью, Габдуллин Н. М., Киршин И. А. Казань 2014.-112 с.
- Информационная безопасность, 2009 г., С. И. Макаренко, Ставрополь 2009.
- Информационная безопасность распределённых информационных систем: учеб. / А. И. Моисеев, Д. Б. Жмуров. — Самара: Изд-во Самар. гос. аэрокосм. ун-та, 2013. — 180 с.
- Информационная безопасность компьютерных систем и сетей:учеб. пособие. — М.: ИД «ФОРУМ»: ИНФРА-М, 2011. — 416 с
