ОУИБ
.docxОсновы управления информационной безопасностью
информационная безопасность организации – состояние защищенности интересов организации в условиях угроз ИБ в информационной сфере
Угрозы ИБ:
-
Естественные
-
Искусственные
-
Внутренние
-
Преднамеренные
-
Не преднамеренные
-
-
Внешние
-
Основные задачи организационно-управленческой деятельности в сфере ИБ:
-
Обеспечение комплексности всех решений, реализуемых процессе обеспечения ИБ
-
Обеспечение непрерывности и целостности процессов ИБ
-
Решение методических задач, лежащих в основе эффективного управления ИБ
-
Управление человеческими ресурсами и поведением персонала (с учетом необходимости решения задач по ИБ)
Задачи роли и методы организационной работы в сфере Информационной безопасности а различных уровнях
Название орг уровня |
Основные задачи и роли |
Основные методы орг работы |
Международные организации |
Разработка ПРАВИЛ И СТАНДАРТОВ ИМЕЮЩИХХ ГЛОБАЛЬНОЕ ЗНАЧЕНИЕ Обмен актуальной информаций и предупреждениях о угрозах |
Координация работы специалистов и экспертов представляющих различные заинтересованные стороны |
Крупные ит компании |
Методологическая и организационная поддержка используемых услуг поставляемых на рынок |
Взаимодействие с пользователями с целю повышения качества информационных систем и получения отзывов для дальнейшего повышения качества продуктов и услуг |
Государственные организации |
Регулирование использования информационных систем и распространение информации с целью недопущения противоправных действий, ущерба другим участникам информационного обмена, обществу и гос. Органам |
Разработка национальных правил(законов, конвенций, соглашений) регулирующих отношения в информационной сфере Осуществление контроля в различных формах и правоприменительной деятельности |
Организация пользователей информационных систем по владельцам информации |
Обеспечение безопасности информации |
Выделение подразделений и специалистов отвечающих за это Делегирование внутренних правил безопасности |
Консалтинговая компания работающая в сфере ИБ |
Выполнение некоторых функций информационной безопасности аутсорсинга Разработка и внедрение индивидуальных решений в сфере ИБ И помощь внедрения некоторых продуктов по ИБ |
Накопление и обобщение теоретических знаний и практического опыта с целью создания и внедрения организационных программных и технических решений в интересах клиента |
Деятельность международных организаций в сфере ИБ
В числе международных организаций, оказывающих существенное влияние на функционирование глобальных информационных систем и деятельность всего информационного общества, выделяются организации следующих типов:
-
Крупные международные некоммерческие и неправительственные организации, объединяющие специалистов в определенных областях
-
Отдельные, относительно не большие организации, которые специализируются на более-менее узких вопросах информационной безопасности, имеющих глобальное значение для всего сообщества пользователей информационных систем
-
Совместные структуры в виде комитетов, альянсов и т.д. создаваемые крупными компаниями для решения определенных задач в сфере ИТ и ИБ
Работа международных профессиональных объединений имеет следующие особенности:
-
Деятельность не направленна только на решение задач ИБ, эти задачи решаются в комплексе со множеством других проблем отрасли
-
Деятельность таких организаций в определённой мере может опираться на поддержку гос структур
-
Деятельность таких организаций объединяет большое количество специалистов из различных организаций
-
Большинство участников не имеют конкретных обязательств по достижению определённой цели
Союзы :
-
Международный союз электросвязи (одна из старейших организаций с 1865г , объединяет в себе около 200 государств. Основной задачей союза является управление и координация в сфере передачи информации, а так же в радио связи и телеграфной сети.) Состав:
-
Гос органы (министерства и ведомства отдельных стран)
-
Научные организации и компании производители телекоммуникационного оборудования
-
Региональные международные телекоммуникационные организации
-
Одним из важных направлений работы международного союза является обеспечение телекоммуникационного обмена в различных формах. Всемирный саммит по информационному обществу.
-
Институт инженеров по электронике и электротехники (с 1884 года, насчитывает порядка полумиллиона членов организации из 150 стран мира). Входят вопросы связанные с электротехникой, радиоэлектроникой, вычислительной техникой, информатикой, а так же некоторыми разделами физики и математики.
-
Проведение специализированных профессиональных конференций
-
Публикация специализированных изданий
-
Поддержка образовательной деятельности
-
Поддержка инновационных, технических и методических разработок
-
Разработка и распространение технических стандартов
-
-
Ассоциация вычислительной техники. (Поддержка образовательных проектов в сфере информационных технологий, общественно политическая работа, связанная с ИТ, публикация периодических изданий, создание и поддержка информационного актива в области ИТ)
-
Консоциум всемирной паутины (с 1989 года с целью разработки единых согласованных стандартов обмена информации в глобальных сетях передачи данных) Основные задачи:
-
Обеспечение возможности доступа к сети интернет для как можно большего числа людей
-
Обеспечение возможности подключения к интернет различных технических устройств
-
Обеспечение возможности структурирования и формализации информации доступной через интернет с целью увеличения возможностей автоматизированной обработки этой информации.
-
К работам относится разработка стандарта цифровых подписей для информационных ресурсов, разработка стандартов передачи зашифрованных данных.
-
Международная информация по стандартам (ISO). (Неправительственное объединение национальных организаций по стандартизации)
Управление ИБ на уровне крупный ИТ компаний:
Уровень влияния крупных ИТ компаний на состояние дел в сфере ИБ является очень значительным, хотя направления защиты информации для таких компаний не является приоритетным.
Основные задачи организационной работы крупных ИТ компаний в сфере ИБ:
-
Закрепить свои рыночные позиции путем создания благоприятного имиджа в глазах покупателей и всего сообщества инофрмационных систем;
-
Занять новые рыночные ниши, предъявляющие более строгие требования к уровню ИБ, по сравнению с массовым рынком;
-
Обеспечить эффективную интеграцию поставляемых продуктов в различные информационные системы и бизнес-процессы;
-
Избежать или минимизировать обвинения со стороны потребителей, чьи информационные системы могли бы подвергнуться угрозам ИБ.
Приемы и методы управления ИБ на уровне крупных ИТ компаний в каждом случае могут быть различными и определятся для каждой ИТ компании следующими основными факторами:
-
Характером продуктов, поставляемых на рынок;
-
Состоянием рынка информационно-технологических продуктов данного типа и поведением конкурентов;
-
Политикой государственных структур (как в отношении ИБ вообще, так и в отношении отдельных ИТ компаний в частности);
-
Фактор связанный с задачами, целями и основными способами использования поставляемых продуктов в пользование;
-
Общее состояние дел в сфере ИБ, развитие и распространение преступности;
-
Формирование общественного мнения в отношении вопросов ИБ и отдельных компаний поставщиков.
Организационная работа в сфере ИБ на уровне крупных ИТ компаний делится на два основных направления :
-
Организационная работа внутри компании, направленная на обеспечение ИБ выпускаемых продуктов;
-
Организация внешнего взаимодействия с потребителями, партнерами, гос. структурами и другими участниками.