Особенности управления информационной безопасностью предприятия

Информация является важным ресурсом предприятий, необходимым при организации любого бизнеса [12]. Поэтому она рассматривается как объект управления на предприятии, в основные задачи которого входит, прежде всего, защита от случайных или непреднамеренных воздействий, наносящих ущерб. Защита информации заключается в разработке и осуществлении комплекса мероприятий, которые направлены на обеспечение информационной безопасности предприятия. Это составляет многогранную область информационных технологий, содержащую большое число «подводных камней», представляющих скрытые и явные проблемы. Степень актуальности решения задач управления информационной безопасностью предприятия теоретиками и практиками можно оценить как всеобщий и острый, так как исследования в данном направлении проводятся внепланово. Безопасность предприятия оценивается специалистами как одна из главных задач менеджмента, которая будет достаточно долго решаться. В то же время очевидно, что разрешение этой проблематики возможно при условии использования систематического и комплексного подхода, позволяющего достигнуть на высоком уровне этот показатель качества менеджмента на предприятии. С позиций методологии научных исследований определение проблем управления информационной безопасностью предприятия следует начинать с выявления субъектов информационных отношений и их интересов по употреблению информационных систем, которые связаны с обеспечением доступности, целостности и секретности информационного обеспечения предприятия и поддерживающей его инфраструктуры [12]. Субъектами информационных отношений могут выступать: специалист по информационной безопасности, владелец информации, поставщик аппаратных и программных средств, разработчик системы и (или) программного обеспечения, руководитель подразделения. Также исследователи отмечают, что проблемы управления информационной безопасности предприятия необходимо анализировать и группировать следующим образом [12]:

  • • задачи, непосредственно связанные с защитой информации внутри информационной системы;
  • • задачи, обусловленные защитой элементов информационной системы;
  • • задачи, обусловленные защитой внешней среды со стороны информационной системы предприятия.

Также проблемы управления информационной безопасностью необходимо выделять на базе общих проблем в этой сфере, которые, по мнению большинства авторов, заключаются в следующем [12]:

  • • недопонимании руководством смысла и задач обеспечения информационной безопасности, значения и важности системы управления ею;
  • • не имеются в наличии службы и штатный персонал, обеспечивающие информационную безопасность на предприятии;
  • • не имеются в наличии документированные четкие должностные обязанности персонала, обеспечивающего информационную безопасность на предприятии;
  • • в непродуманной политике и тактике по обеспечению информационной безопасности на предприятии;
  • • в отсутствии или формализации внутреннего и внешнего контроля за тем, как обеспечивается информационная безопасность на предприятии;
  • • в применении неадаптированных под потребности и специфику предприятия способов защиты информации;
  • • не имеются в наличии процедуры анализа рисков, как следствие — принятие неправильного решения;
  • • не имеются в наличии дополнительные инвестиции в эту сферу.

Делая акцент именно на управленческих аспектах в области информационной безопасности российских предприятий, выделим три главные проблемы, связанные с кадровым обеспечением предприятий, с финансированием этой сферы и комплексом средств обеспечения. Так, выше уже отмечалось, что от субъектов информационных отношений зависит доступность, целостность и конфиденциальность информационного обеспечения, которую они могут нарушать в случае отсутствия служебной ответственности. Формирование и поддержание на необходимом уровне системы информационного обеспечения предприятия требует финансовых затрат, которые осуществляются в большинстве российских компаний по остаточному принципу. А из всех средств обеспечения информационной безопасности специалисты отечественных предприятий отдают предпочтение техническим средствам, в меньшей степени — организационным мероприятиям. Зарубежная практика же акцентируется на анализе, профилактике и нейтрализации рисков и угроз информационной безопасности. Анализ рисков, по мнению зарубежных специалистов, является исходной информацией для осуществления процесса управления информационной безопасностью. Таким образом, сужая круг проблем управления информационной безопасностью предприятий в России, отметим наиболее актуальные: отсутствие системного подхода в данной области деятельности предприятия и неэффективная организация работы его служб по обеспечению информационной безопасности [12]. Следовательно, основной целью действенного управления информационной безопасностью предприятия должно быть такое состояние его информационной системы, при котором она будет способна противостоять всем факторам внешней и внутренней среды, инициирующим дестабилизацию бизнес-процессов предприятия. Надежный уровень информационной безопасности можно достигнуть путем организации соответствующей деятельности по стадиям [12].

  • 1. Определение стоимости системы обеспечения информационной безопасности.
  • 2. Разработка и осуществление политики информационной безопасности.
  • 3. Квалифицированная подготовка требуемых специалистов.
  • 4. Контроль за выполнением и оценкой эффективности мероприятий, направленных на обеспечение информационной безопасности предприятия.

Целевая ориентация процессом управления информационной безопасностью должна быть следующей [12]:

  • • соблюдение требований информационной безопасности, содержащихся в законодательных актах, имеющихся на предприятии правилах, внешних договорах и прочих документах;
  • • обеспечение базового уровня информационной безопасности, который не зависит от воздействия внешней среды.

Процесс управления информационной безопасностью предприятия должен осуществляться, учитывая соблюдение баланса между средствами безопасности, ценностью информации и существующими угрозами в этой сфере.

Отличительной особенностью реализации данного процесса является его цикличность и непрерывность, при выполнении конкретных действий, планов, проверок, актов, осуществляемых под постоянным надзором.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >