Анализ моделей организационного управления информационной безопасностью предприятий ракетно-космической промышленности

Язык труда и переводы:
УДК:
338.012
Дата публикации:
08 января 2022, 22:38
Категория:
Секция 08. Экономика космической деятельности
Авторы
Москвичева Наталья Валерьевна
Московский авиационный институт (национальный исследовательский университет)
Захаров Александр Сергеевич
Московский авиационный институт (национальный исследовательский университет)
Аннотация:
Рассмотрены понятия и сущность информационной безопасности и критических информационных систем. Проведен анализ базовой структуры информационной безопасности и моделей организационного управления информационной безопасностью предприятий с учетом отраслевой специфики. На основе анализа сформулированы основные проблемы характерной модели организационного управления. Исследованы основные риски информационной безопасности. Предложены пути совершенствования моделей управления информационной безопасностью.
Ключевые слова:
информационная безопасность, критические информационные системы, промышленное предприятие, риски, угрозы
Основной текст труда

Информационная безопасность промышленных предприятий стратегически важных отраслей экономики является элементом национальной безопасности. Этим объясняется огромное количество нормативно-правовых документов, регулирующих деятельность и действия субъектов в области информационной безопасности, защиты баз данных, конфиденциальной информации и т. д.: не менее десяти федеральных законов, пятнадцати указов Президента, двенадцати постановлений Правительства, двадцати приказов ФСТЭК, семи приказов ФСБ, пятидесяти ГОСТов и девяти международных стандартов (ISO/IEC, NIST SP). Строгие требования по соблюдению мер предъявляются, прежде всего, субъектам критической информационной инфраструктуры, перечень которых содержится в Федеральном Законе от 26 июля 2017 г. № 187–ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [1].

Основной задачей исследования является анализ моделей управления информационной безопасностью на предприятиях, разрабатывающих и выпускающих наукоемкую продукцию. Объектом изучения в исследовании стало предприятие ракетно-космической промышленности и сложившиеся там практики обеспечения защиты информации от внешних и внутренних уязвимостей и угроз. В рамках исследования анализировались работы А.Ю. Попова, Д.А. Зефирова, П.А. Дроговоза, А.А. Бурдиной, К.Б. Добровой, И.В. Бутусова, А.А. Романова, Е.Н. Карташева, В.C. Красовского [2–5].

Систему управления информационной безопасностью составляют организационные структуры, формализованная политика, процедуры по выявлению, идентификации и оценке рисков, разработке модели угроз и модели нарушителя, внешний и внутренний аудит.

Управление информационной безопасностью заключается в руководстве и администрировании, каждое из которых может быть централизованным и децентрализованным. Функции руководства относятся к органам управления, обладающими соответствующими полномочиями и компетенциями для принятия решений в интересах обеспечения информационной безопасности предприятия. К основным задачам относятся разработка высокоуровневых документов, включая политику информационной безопасности, и бюджетирование системы информационной безопасности. Администрирование относится к функциям органа управления, обеспечивающего исполнение процедур системы информационной безопасности в соответствии с утвержденной политикой.

Различают четыре типовые модели организационного управления информационной безопасностью предприятия в зависимости от централизации или децентрализации функций управления и администрирования. Крупными промышленными предприятиями чаще всего используется сочетание «централизованное управление/децентрализованное администрирование» — один центральный орган управления информационной безопасностью отвечает за разработку политик, применяемых во всей организации; все административные функции управления информационной безопасностью выполняются персоналом в рамках нескольких цепочек подчиненности [6].

Организационная инфраструктура управления информационной безопасностью на предприятии должна способствовать инициированию и осуществлению контроля за внедрением системы информационной безопасности. Ключевые участники процесса управления и их основные функции:

  • руководство: поддержка и анализ системы управления информационной безопасностью, утверждение политик информационной безопасности, распределение ключевых ролей и ответственности, определение критериев принятия рисков, общий контроль за управлением информационной безопасностью и т. п.;
  • комитет по управлению вопросами информационной безопасности: стратегическое управление, утверждение ключевых документов и бюджета информационной безопасности;
  • координационный комитет: вопросы внедрения мероприятий по управлению информационной безопасностью;
  • служба информационной безопасности: оперативное управление, реализация мероприятий по обеспечению безопасности и уменьшению соответствующих рисков;
  • служба управления рисками информационной безопасности: анализ и оценка рисков информационной безопасности, подготовка и контроль реализации решений руководства по обработке рисков, коммуникация и мониторинг рисков и т. д.;
  • служба внутреннего аудита: независимый контроль и оценка эффективности деятельности всех подразделений, включая риск-менеджмент, информационную безопасность, ИТ и других участников процессов обеспечения информационной безопасности;
  • служба ИТ: реализация программно-технических средств управления информационной безопасностью в зоне своей ответственности совместно или под контролем службы информационной безопасностью

Основным недостатком модели является риск возможного конфликта интересов участников децентрализованных процессов. Избежать этого можно только за счет четко выстроенной и регламентированной системы взаимодействия. Кроме того, в исследовании отмечается проблема авторитарного стиля руководства, при котором часть предложений и разработок не принимается к рассмотрению по ряду причин: «требует большой объем ресурсов», «не актуально, есть более значимые вопросы и проблемы», «противоречит нашей концепции» и т. п. Часто в «корзине» оказываются потенциально перспективные предложения или проекты. Хуже, если они окажутся у конкурентов.

Важным элементом в системе управления информационной безопасностью является риск-менеджмент. Основные задачи: идентификация, документирование, оценка рисков и их приоритетности, планирование ответных действий, мониторинг. Для промышленных предприятий ракетно-промышленного комплекса характерны три подхода к управлению рисками информационной безопасности:

Для некритичных систем предприятия обычно применяются стандартные требования по обеспечению информационной безопасности, определяемые стандартами, законами, лучшими практиками, опытом. Для критичных систем проводится выбор объектов с наибольшими рисками информационной безопасности; далее требуется проведение высокоуровневой оценки рисков с неформальными качественными подходами с учетом положений регламентирующих документов. Для особо критичных систем организации необходима детальная оценка рисков информационной безопасности для всех объектов [6].

Исследование показало, что данный элемент управления безопасностью требует совершенствования. На предприятии разработано большое количество документов по антикоррупционным рискам. С точки зрения системы управления рисками это самый проработанный элемент. Риски информационной безопасности включены в классификатор, есть карта рисков, проводится оценка.  Приоритет у риска информационной безопасности один из самых низких, с чем сложно согласиться: даже при низком уровне вероятности реализации риска, уязвимость должна оцениваться высоко. Информационные системы сегодня тесно связаны с технологическими и производственными процессами, не говоря уже о разработках наукоемких инновационных продуктов. Утечка информации, сбои системы, кибератаки и т. д. могут весьма существенно повлиять на уровень возможных ресурсных потерь и иных проблем, связанных с критическими системами и государственной тайной.

В исследовании проводится анализ организационной модели управления информационной безопасностью и системы управления рисками защиты информации. Авторами разработана усовершенствованная модель управления информационной безопасностью, предложен классификатор рисков, карта рисков. Назначены владельцы рисков в четком соответствии с организационной структурой управления. Предложена методика оценки рисков, учитывающая обязательный анализ согласованности мнений экспертов.

 

Литература
  1. Федеральный Закон от 26 июля 2017 г. № 187–ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  2. Burdina A.A., Bondarenko A.V. Assessing the strategic efficiency of aviation projects // Russian Engineering Research. 2020. Vol. 40, № 5. Pp. 439–441. DOI: 10.3103/S1068798X2005007X
  3. Братченко А.И., Бутусова И.В., Романова А.А. Безопасность информации предприятий ОПК // Арсенал Отечества. 2019. № 1 (39). URL: https://arsenal-otechestva.ru/article/1213-bezopasnost-informatsii-predpriyatij-opk (дата обращения 15.11.2021).
  4. Drogovoz P.A., Latyshev V.I. Modeling of nonlinear socio-economic processes at critical information infrastructure enterprises // AIP Conference Proceedings. 2021. Vol. 2318, art. no. 070005. DOI: 10.1063/5.0035786
  5. Доброва К.Б. Проблемы обеспечения информационной безопасности инновационной деятельности в интегрированных промышленных структурах // Russian Journal of Innovation Economics. 2017. Т. 7, № 4. С. 349–360. DOI: 10.18334/vinec.7.4.38559
  6. Бирюков А.А. Информационная безопасность: защита и нападение. М.: ДМК Пресс, 2012. 474 с.
Ваш браузер устарел и не обеспечивает полноценную и безопасную работу с сайтом.
Установите актуальную версию вашего браузера или одну из современных альтернатив.