أمن المعلومات: كيف تحمي نفسك وعملائك. أمن المعلومات لحماية معلومات المؤسسة لنشاط الأعمال المهنية في Laspi LLC

10.02.2022 منزل

المراجع

1. Khovanskova V.S.، Rumyantsev K.E.، Khovanskov S.A. طريقة لتحسين حماية أداء الحوسبة الموزعة في شبكات الحاسوب Izvestiya SFU. العلوم التقنية. - 2012. - رقم 4 (129). - س 102-107.

2. Khovanskov S.A.، Norkin O.R. خوارزمية لزيادة أداء حوسبة الشبكة الموزعة // المعلوماتية والاتصال. - 2011. - رقم 3. - س 96-98.

3. Litvinenko V.A.، Khovanskov S.A. حل المشكلات عن طريق تنظيم الحوسبة الموزعة في شبكة Izvestiya SFU. العلوم التقنية. - 2008. - رقم 3 (80). - س 16-21.

4. Khovanskov S.A.، Norkin O.R. التحسين الحسابي لتكوين نظام الحوسبة اللامركزية // الاتصالات السلكية واللاسلكية. - 2012. - رقم 11. - س 2-5.

5. Khovanskov S.A. تنظيم الحوسبة الموزعة مع هيكل هرمي من الاتصالات // رد فعل المعلومات لتهديدات الإرهاب. - 2007. - رقم 9. - س 170-178.

6. Litvinenko V.A.، Khovanskov S.A. خوارزمية لتحسين معلمات شبكة الكمبيوتر لتقليل الوقت لحل مشكلة على أساس نظام متعدد العوامل Izvestiya SFU. العلوم التقنية. - 2007. - رقم 2 (77). - س 186-190.

7. Khovanskov S.A.، Litvinenko V.A.، Norkin O.R. تنظيم الحوسبة الموزعة لحل مشاكل التعقب Izvestiya SFU. العلوم التقنية. - 2010.

- رقم 12 (113). - ص 48-55.

8. Kalashnikov V.A.، Trunov I.L.، Khovanskov S.A. خوارزمية التنسيب المتوازي على نظام كمبيوتر متعدد المعالجات Izvestiya SFU. العلوم التقنية.

1997. - رقم 3 (6). - س 181-184.

Rumyantsev Konstantin Evgenievich - المؤسسة التعليمية الفيدرالية المستقلة للتعليم المهني العالي "الجامعة الفيدرالية الجنوبية" ؛ البريد الإلكتروني: [بريد إلكتروني محمي]؛ 347900، تاجانروج، ش. تشيخوف ، 2 ؛ هاتف: 88634328725 قسم IBTKS. رئيس  قسم، أقسام؛ دكتوراه في العلوم التقنية ؛ أستاذ،

خوفانسكوف سيرجي أندريفيتش - بريد إلكتروني: [بريد إلكتروني محمي]؛ هاتف: 88634642530 ؛ قسم IBTKS. دكتوراة استاذ مساعد.

خوفانسكوفا فيرا سيرجيفنا - البريد الإلكتروني: [بريد إلكتروني محمي]؛ هاتف: 88634676616 طالب علم.

Rumyantsev Constantine Evgen’evich - المؤسسة التعليمية المستقلة المملوكة للدولة الاتحادية للتعليم المهني العالي "الجامعة الفيدرالية الجنوبية" ؛ البريد الإلكتروني: [بريد إلكتروني محمي]؛ 2، Chekhov street، Taganrog، 347900، روسيا؛ هاتف: +78634328725 ؛ قسم IBTKS. رئيس القسم الدكتور. من المهندس. الشوري ؛ دكتور جامعى.

خوفانسكوف سيرجي أندريفيتش - بريد إلكتروني: [بريد إلكتروني محمي] mail.ru ؛ هاتف: 88634642530 ؛ قسم ISTCN ؛ كاند. من المهندس. الشوري ؛ أستاذ مشارك.

خوفانسكوفا فيرا سيرجيفنا - البريد الإلكتروني: [بريد إلكتروني محمي]؛ هاتف: +78634676616 ؛ طالب علم.

إن. إيفيموف ، ج. لابيتسكايا

أمن المعلومات والعمليات التجارية

شركات

الغرض من الدراسة هو إظهار أن أمن المعلومات يجب أن يتم إنشاؤه ووجوده في إطار تحقيق أهداف أعمال الشركة. في الوقت نفسه ، تعد العمليات التجارية المصدر الأساسي للبيانات لتنظيم أمن المعلومات للشركة.

عند تطوير استراتيجية إدارة أمن المعلومات ، تم اقتراح تشخيص شامل لحالة الشركة باستخدام تحليل SWOT مع تقييم كمي مشروط للنتائج التي تم الحصول عليها باستخدام طريقة التحليل الهرمي.

يعد تحديد المخاطر ضروريًا لتقييم أهمية التهديدات وبناء نظام أمان. أظهر التحليل أن مخاطر العمليات التجارية للشركة مجمعة في الفئات التالية: المخاطر في التصميم ، والمخاطر في إعادة الهندسة والمخاطر في عملية استخدام العمليات التجارية.

يُنصح بأتمتة عمليات أمن معلومات الشركة باستخدام نظام فئة GRC (الحوكمة وإدارة المخاطر والامتثال) ، والذي يعتبر اليوم أحد الطرق الفعالة لإدارة تكنولوجيا المعلومات وأمن المعلومات. في الوقت نفسه ، يُنصح بدمج نظام مركز الخليج للأبحاث (GRC) مع أنظمة فئة إدارة عمليات الأعمال ، المصممة لإدارة عمليات أعمال الشركة.

اهداف العمل؛ أمن المعلومات؛ العمليات التجارية.

إن. إيفيموف ، ج. لابيتسكايا

أمن المعلومات والعمليات التجارية للشركة

الغرض من الدراسة هو إظهار أن سلامة المعلومات يجب أن يتم إنشاؤها وتوجد في إطار إنجاز الأعمال - عدد صحيح للشركات. في عمليات الأعمال ، يتم تقديم معلومات مباشرة عن تنظيم سلامة المعلومات للشركات.

عند تطوير استراتيجيات إدارة سلامة المعلومات ، يتم تقديم تشخيصات معقدة للحالة للشركات عن طريق تحليل SWOT مع نتيجة التقدير الكمي الشرطي ، التي تم الحصول عليها عن طريق أسلوب التسلسل الهرمي للتحليل.

مخاطر التحديد المطلوبة لتقدير قيمة التهديدات والمباني الخاصة بالنظام للسلامة. أظهر التحليل أن مخاطر العمليات التجارية للشركات مجمعة في الفئات التالية: المخاطر عند التصميم ، والمخاطر تحت إعادة الهندسة والمخاطر في عملية استخدام العمليات التجارية.

أتمتة العمليات إلى السلامة للشركات المعقولة عن طريق أنظمة من فئة GRC (الحوكمة وإدارة المخاطر والامتثال) ، والتي تعتبر اليوم واحدة من الطرق الفعالة لتكنولوجيا المعلومات الإدارية وسلامة المعلومات. يُعد مركز الخليج للأبحاث (Systems GRC) مرفقًا معقدًا ضروريًا مع نظام فئة إدارة عمليات الأعمال ، والمقصود منه إدارة العمليات التجارية للشركات.

أغراض الأعمال؛ معلومات السلامة؛ العمليات التجارية.

صياغة المشكلة. يجب إنشاء أمن المعلومات وتواجده في إطار تحقيق الأهداف التجارية للشركات. الأعمال الفعالة مستحيلة بدون استخدام تقنيات المعلومات الحديثة (IT) ، والتي تُستخدم لدعم جميع العمليات التجارية لشركة حديثة تقريبًا. ومع ذلك ، فإن الاتجاه اليوم واضح: يتحول أمن المعلومات من حماية شبكات وخوادم وموارد معلومات معينة إلى أمن العمليات التجارية للشركات التي تدعمها تكنولوجيا المعلومات. وهذا يعني وجود مجالين مترابطين لضمان أمن الشركة: من ناحية ، التشغيل الفعال للأعمال من حيث سير العمليات التجارية ؛ من ناحية أخرى ، الأداء الطبيعي للبنية التحتية الداعمة لتكنولوجيا المعلومات. حاليًا ، لا يوجد نهج واحد لأمن المعلومات في هذا السياق بالذات.

لفهم المشاكل الأمنية الرئيسية للشركة ، يُنصح بإجراء تحليل شامل لبيئة الأعمال الخارجية والداخلية ، وتسليط الضوء على المكونات التي تهم حقًا ، وجمع المعلومات وتتبعها لكل مكون ، وبناءً على تقييم حقيقي. الحالة ، تعرف على حالة الشركة وأسباب هذا الموقف. تعتبر التشخيصات الدقيقة والشاملة لحالة الشركة في الوقت المناسب هي المرحلة الأولى في تطوير استراتيجية لإدارة الأنشطة الآمنة.

الطريقة الأكثر شيوعًا لتقييم الموقف الاستراتيجي للشركة هي تحليل SWOT 1. يمكن تمثيل مصفوفة تحليل SWOT على أنها المجموعة التالية:

SWOT = ,

حيث St (Strengths) هي مجموعة نقاط القوة التنظيمية ، St = (St1، St2، ...، Stmt) ؛ W (نقاط الضعف) - مجموعة نقاط الضعف في المنظمة ، W = (W1، W2، ...، Wnw) ؛ Op (الفرص) - مجموعة من إمكانيات التنظيم ، Op = (Op1، Op2،.، Opnop) ؛ Th (Threats) - مجموعة من التهديدات للمنظمة ، Th = (Th1، Th2، ...، Thnth).

في الوقت نفسه ، من المهم أن نفهم أن الأطراف القوية St = (St1، St2، ...، Stnst) والضعيفة W = (W1، W2، ...، Wnw) هي مكونات أنشطة الشركة التي يمكن التحكم ، والفرص Op = (Op1، Op2،.، Opnop) والتهديدات Th = (Th1، Th2، ...، Thnth) عوامل خارجة عن سيطرة الشركة ويمكن أن تؤثر على عملية تطورها.

تسمح لنا نتائج تحليل SWOT بصياغة إستراتيجية أمان الشركة في هذه المرحلة من التطوير. لا يمكن إضفاء الطابع الرسمي على هذه المشكلة ، ومع ذلك ، على أساس هذه البيانات ، يمكن تطوير العديد من استراتيجيات المنظمة S = (S1 ، S2 ،. ، Sn).

للحصول على تقييم كمي مشروط لمصفوفة SWOT ، من الممكن استخدام ، على سبيل المثال ، طريقة تحليل التسلسل الهرمي (AHP). توفر هذه الطريقة الطريقة الأكثر فعالية لتقييم العوامل التي لا يمكن قياسها من الناحية الكمية ، ولكنها في نفس الوقت مهمة ، لاتخاذ قرارات مستنيرة. بالإضافة إلى ذلك ، تعمل الطريقة مع أحكام غير متسقة ولا تتطلب أن تتوافق تفضيلات المستهلكين أو صانع القرار (DM) مع بديهيات المنفعة. يسمح برنامج AHP بدراسة المشكلات المعقدة لتقليصها إلى إجراء بسيط من المقارنات الزوجية المتسلسلة.

على سبيل المثال ، أخذنا في الاعتبار نتائج تحليل SWOT لمؤسسة عاملة في صناعة الاتصالات (JSC Telecom) ، والتي توفر مجموعة كاملة من خدمات الاتصالات (الاتصالات الهاتفية السلكية واللاسلكية ، والوصول إلى الإنترنت ، وخدمات الاتصالات اللاسلكية ، وخدمات المعلومات) في المدينة والمنطقة (لم يرد المقال). يتم عرض متغير من التقييم اللاحق لمصفوفة SWOT باستخدام AHP في الجدول. واحد.

الجدول 1

تقييم مصفوفة SWOT

متجه ذو أولوية St W Op Th ذي الأولوية

المستوى 1 1 0.33 0.33 0.58 0.10

ف 1 1 0.2 0.14 0.41 0.07

المرجع 3 5 1 0.2 1.32 0.24

ثالثا 3 7 5 1 3.20 0.58

مؤشر تناسق IS = 0.14 ونسبة تناسق نظام التشغيل = 15.58< 20 % показывают удовлетворительную согласованность оценок ЛПР.

تكمن قيم المتجه الطبيعي في الداخل ، لذلك يمكن تفسير نتائج حسابات الخبراء على النحو التالي: "تهديدات" المنظمة كبيرة (P = 0.58) ، و "فرص" المنظمة لحل المشكلات مرضية (المرجع = 0.24) ، "نقاط القوة" في المنظمة للتغلب على المشاكل متواضعة (^ = 0.1) ، "نقاط الضعف" في المنظمة غير مهمة (^ = 0.07).

1 SWOT هو اختصار يتضمن الأحرف الأولى من أربع كلمات إنجليزية: القوة ("القوة") ، والضعف ("الضعف") ، والفرص ("الفرص") ، والتهديدات ("التهديدات")

تتيح لنا هذه النظرة لمشكلة أمان الشركة تحديد أهدافها وأهدافها وأغراضها وتهديداتها ، ووضع خطة عمل لتقليل مخاطر العمليات التجارية وتقييم فعالية التدابير المتخذة.

نظرًا لبعض التفاصيل المحددة لبحوث أمن المعلومات من وجهة نظر أمان العمليات التجارية ، يجب على الشركة أولاً تحديد مخاطر العمليات التجارية. الغرض من تحديد المخاطر هو تقييم تعرض الشركة للتهديدات التي يمكن أن تسبب أضرارًا كبيرة. لجمع المعلومات حول المخاطر ، يتم إجراء تحليل للعمليات التجارية للشركة ومسح للخبراء في الموضوع. نتيجة هذه العملية هي قائمة سرية لجميع المخاطر المحتملة.

تحديد مخاطر العمليات التجارية. يمكن تمثيل عملية الأعمال كتحول:

P (X ، X ، X ، I O) ^ Y ، حيث P هي عملية لها شكل مجموعة من الإجراءات P = (Bx ، B2 ، ... ، Br) ؛ X = (Xx ، X2 ، .. . ، X) - تدفقات المدخلات للعملية التجارية ومورديها ؛ Y = (Yx، Y2، ...، Y) - تدفقات مخرجات العملية التجارية والمستهلكين ؛ R = (Rx، R2، ...، R /) - مجموعة من الموارد المستخدمة لأداء عملية تجارية (تقنية ، مادية ، إعلامية) ؛ R = (R1، R2، ...، Rp) هي مجموعة الوظائف المنفذة في عملية الأعمال ؛ أنا = (2 ب 12 ، ... ، 1 م) - مجموعة المشاركين والمنفذين لعملية الأعمال ؛ O = (Ox ، O2 ، ... ، O) - حدود وواجهات العملية.

من هذا التعريف ، يمكن ملاحظة أن العمليات التجارية هي المصدر الأساسي للبيانات لتنظيم أمن المعلومات للشركة.

أولاً ، من الضروري تحديد أهداف الحماية ، أي ماذا ومن أي تهديدات يجب حمايتها. تشمل أهداف الحماية ، بالطبع ، المعلومات والعمليات التجارية والموارد المادية للشركة.

البداية الواضحة للعمل على أمن المعلومات اليوم هي تصنيف بيانات الشركة. التصنيف عملية معقدة تتطلب الكثير من الوقت والمال. لكي يكون التصنيف فعالاً ، يجب صيانته وتحديثه باستمرار. تكمن فائدة التصنيف في حقيقة أنه يسمح لك بتحديد جميع الأماكن التي يتم فيها تخزين المعلومات وتحديد المعلومات التي يجب حمايتها. هذا يسمح لك بتقليل كمية المعلومات السرية. عند إجراء التصنيف ، يتم الكشف عن الوثائق التي كانت سرية في السابق ولكنها فقدت أهميتها الآن. يمكن أرشفتها أو حذفها بشكل دائم.

تتطلب أصول المعلومات (IA) كأهداف للحماية الحفاظ على سلامة المعلومات وتوافرها وسريتها ، إذا لزم الأمر ، في أنظمة الأعمال. أظهر تحليل التهديدات المحتملة أن البنية التحتية للمعلومات يجب أن تمتلك خاصية حماية المعلومات المستخدمة في العمليات التجارية ، أي توفير الحماية ضد الاستلام غير المصرح به (المتعمد أو العرضي) أو التعديل أو التدمير أو الاستخدام للمعلومات التجارية أو المسجلة الملكية أو التكنولوجية. مع الأخذ في الاعتبار وجود مكونات العمليات التجارية ، بالإضافة إلى العلاقات المتبادلة بينها ، تشمل المواقف التي يحتمل أن تكون خطرة: الوصول غير المصرح به من قبل المخالفين (وليس المالكين والمشاركين في العمليات) إلى المعلومات المخزنة والمعالجة في أدوات الأتمتة لغرض التعريف أو التشويه أو التدمير . في الوقت نفسه ، يمكن أن تكون نقاط الدخول هي واجهات وحدود العملية ، فضلاً عن المعلومات اللازمة لتنفيذ وظائف (العمليات ، الإجراءات) الخاصة بالعملية ؛ اعتراض المعلومات أثناء استقبالها (الإرسال) عبر قنوات الاتصال

(الشبكة) وظائف العمليات ، وكذلك من خلال سرقة وسائط التخزين ؛ تدمير (تغيير ، تشويه) المعلومات بسبب التداخل العشوائي ، وفشل الوسائل التقنية (البرمجيات) أثناء نقل المعلومات وتخزينها ومعالجتها ؛ التأثير غير المصرح به على العملية التجارية للمخالفين من بين المالكين و (أو) المشاركين في العملية.

أظهر تحليل مجال الموضوع أنه من المستحسن تحديد مخاطر العمليات التجارية للشركة في جميع المراحل الرئيسية لدورة حياتها: في مراحل التصميم وإعادة الهندسة وفي عملية استخدام العمليات التجارية.

تحديد المخاطر في تصميم وإعادة هندسة العمليات التجارية. حتى الوصف الأولي لعمليات العمل الرئيسية للشركة يجلب نتائج ملموسة لتحسين كفاءة العمل والخسائر المحتملة (المخاطر). هذه ، أولاً وقبل كل شيء ، مخاطر ناجمة عن أخطاء في تصميم العمليات: أخطاء عدم الاكتمال (وجود فجوات في وصف العملية) ؛ أخطاء عدم الاتساق (الاستخدام غير الكافي لمصادر المعلومات في أجزاء مختلفة من العملية ، مما يؤدي إلى تصور مشوه للمعلومات أو إلى غموض التعليمات) ؛ أخطاء عدم التوافق الهرمي أو "الوراثي" (وجود تعارض بين العمليات الرئيسية واللاحقة). من الواضح أنه يجب أيضًا السماح بأنواع أخرى من الأخطاء.

تنشأ السلسلة التالية من المخاطر من أخطاء في منهجية وصف العملية (أو النموذج ". المنهج - النموذج - الترميز - الأدوات"): عند عرض وظائف النظام ؛ العمليات التي تضمن أداء الوظائف ؛ البيانات والهياكل التنظيمية التي تضمن أداء الوظائف ؛ تتدفق المواد والمعلومات في سياق أداء الوظائف.

علاوة على ذلك ، تجدر الإشارة إلى المخاطر الناشئة عن التناقض بين طوبولوجيا العملية ، والتي لا تسمح بتحقيق التدفق الأكثر مفهومًا للعملية ، والذي يعكس إما الحالة الحقيقية للشؤون ، أو الحالة المثلى ، مع مراعاة عبء العمل من فناني الأداء ، وتوافر الموارد ، أو ظروف أخرى. يمكن إجراء تحليل أخطاء طوبولوجيا العملية في العديد من التكرارات. نتيجة لذلك ، يمكن أن تتغير العملية التي تم تحليلها بشكل كبير. على سبيل المثال ، سيتم تنفيذ الوظائف التي تم تنفيذها مسبقًا بالتتابع واحدة تلو الأخرى بشكل متوازٍ. بالطبع ، هذا لا ينبغي أن يشوه منطق العملية والنتيجة التي تم الحصول عليها.

تحديد المخاطر عند استخدام العمليات التجارية. يمكن تعريف المخاطر التشغيلية على أنها مخاطر الخسائر المباشرة أو غير المباشرة نتيجة التنفيذ غير الصحيح للعمليات التجارية ، أو إجراءات الرقابة الداخلية غير الفعالة ، أو الفشل التكنولوجي ، أو الإجراءات غير المصرح بها للأفراد أو التأثيرات الخارجية. تعد المخاطر التشغيلية أمرًا بالغ الأهمية للعمليات المهمة لأنشطة المنظمة ككل ، ولعدد كبير من المعاملات لكل وحدة زمنية ، ونظام معقد من الدعم الفني. عادة ما تكون عوامل الخطر المحددة مماثلة لمؤشرات حالة بيئة التشغيل الداخلية والعمليات التجارية - حجم المعاملات ، معدل الدوران ، النسبة المئوية للإجراءات الخاطئة. تتم إدارة المخاطر التشغيلية من خلال بناء عمليات تجارية شفافة وقابلة للإدارة ، وهيكل تنظيمي صحيح يعتمد على معرفة الخبراء.

لحل مشاكل القضاء على المخاطر التشغيلية للعمليات التجارية ، يمكن استخدام نظام الإنتاج الخالي من الهدر (الإنتاج الخالي من الهدر) - وهو مفهوم إداري تم إنشاؤه على أساس نظام إنتاج Toyota. الهدف من lean هو تحديد وتحليل والقضاء على النفايات في عمليات التصنيع. وفقًا لمفهوم العجاف ، تحدث ثمانية أنواع من الخسائر في العمليات التجارية: الفشل في استخدام إمكانات الموظفين ؛ خسائر

من فائض الإنتاج خسائر النقل الخسائر من الزواج والهدر والتعديلات غير الضرورية ؛ خسائر صيانة المخزون ؛ الخسائر في تحركات وتحركات الأفراد ؛ خسائر وقت التعطل الخسائر بسبب الإفراط في المعالجة. تعتبر الخسائر في هذه الحالة بمثابة عمليات يتم فيها إنفاق الوقت والموارد المادية ، دون إضافة قيمة إلى المنتج أو الخدمة للمستهلك النهائي.

لذلك ، على سبيل المثال ، من الضروري الحماية من الإجراءات غير القانونية للأفراد الذين يؤدون العمليات التجارية ، والتأثير غير المصرح به على الموردين ، وأحجام وشروط توريد الموارد ؛ لوائح تنفيذ العمليات التجارية ، بما في ذلك. تنظيم الواجهات الداخلية والخارجية ؛ تكنولوجيا العمليات التجارية ، إلخ.

وصف العمليات التجارية ونمذجةها ومراقبة المتابعة وتحليل الأداء - نشاط ثابت ومتسق للقضاء على المخاطر التشغيلية ، وبالتالي الخسائر.

يمكنك أتمتة عمليات أمن معلومات الشركة باستخدام أنظمة فئة GRC (الحوكمة وإدارة المخاطر والامتثال) ، والتي تعتبر اليوم واحدة من الطرق الفعالة لإدارة تكنولوجيا المعلومات وأمن المعلومات.

يعتبر مركز الخليج للأبحاث (GRC) وجهة نظر لإدارة شيء ما من ثلاث وجهات نظر: الإدارة العليا (الحوكمة) ، وإدارة المخاطر (إدارة المخاطر) والامتثال للمتطلبات (الامتثال). نتيجة معالجة المعلومات حول أنشطة جميع أقسام الشركة هي تقارير مرئية تمت صياغتها في شروط العمل

على سبيل المثال ، تسمح لك وحدة إدارة المؤسسات الخاصة بمنتج RSA Archer eGRC بجرد أصول الشركة وتصنيفها ، وإنشاء سجل واحد للأصول المترابطة ، بما في ذلك أصول المعلومات والتكنولوجيا ، والعمليات التجارية ، والسلع والخدمات ، والأقسام ووحدات الأعمال الفردية ، مرافق الإنتاج والمعدات ، والاتصالات مع الموظفين المسؤولين في الشركة والشركاء والموردين. لكل أصل ، يتم تحديد مالكها وقيمتها للشركة. يمكن استخدام نتائج هذا العمل في إجراء مزيد من إجراءات تقييم مخاطر أمن المعلومات. يتيح لك التكامل مع أنظمة إدارة الثغرات الأمنية SIEM أو DLP تحديد أولويات معالجة الثغرات الأمنية وتخفيف الحوادث على أساس كل أصل.

ومع ذلك ، فمن المستحيل عمليا تنفيذ جميع وظائف مركز الخليج للأبحاث في سياق أمن عمليات الأعمال بمساعدة حل واحد من حلول تكنولوجيا المعلومات ، حتى لو كان جيدًا. يجب أن يكون النظام الذي يمكن أن يساعد في حل مشاكل هذا المفهوم معقدًا مثل مهام مركز الخليج للأبحاث نفسها .4 للتكامل مع نظام مركز الخليج للأبحاث ، يُنصح باستخدام أنظمة إدارة عمليات الأعمال (BPM) وإدارة أداء الأعمال و فئة ذكاء الأعمال ، مصممة لأتمتة عمليات الأعمال وإدارتها. يظهر الرسم التخطيطي للعلاقة بين العمليات التجارية والموضوعات الرئيسية لأمن المعلومات للشركة في تدوين UML في الشكل 1.

2 Evgeny Bezgodov ما هو SNF وكيف يمكن أن يكون مفيدًا لأمن المعلومات؟ [مورد إلكتروني] http://ru.deiteriy.com/what_is_grc_and_its_ ^ аЬИ-ityJnJnformation_security /.

3 SNF - طريقة لتحسين عمليات إدارة أمن المعلومات // المراجعة المصرفية رقم 9 (176) سبتمبر 2013 [مورد إلكتروني] http://www.bosfera.ru/bo/put-k-optimizatsii-protsessov

4 أصبح مفهوم SNF المرحلة التالية في تطوير سوق أمن المعلومات [مورد إلكتروني] http://www.cnews.ru/reviews/free/security2008/articles/grc.shtml.

أرز. 1. العلاقة بين العمليات التجارية والموضوعات الرئيسية للمعلومات

أمن الشركة

يظهر التفاعل بين العمليات التجارية للشركة والبيئة التي تخلق التهديدات ، بشكل أساسي للعمليات التجارية ، في إطار نظام أمن المعلومات في الرسم البياني أدناه (الشكل 2).

أرز. 2. تفاعل العمليات التجارية والبيئة التي تخلق التهديدات

الاستنتاجات الرئيسية.

تعتبر التشخيصات الشاملة لحالة الشركة هي المرحلة الأولى في تطوير استراتيجية إدارة أمن المعلومات ، والتي يتم إجراؤها بشكل أفضل باستخدام تحليل SWOT مع التقدير الكمي الشرطي المقترح.

أظهر التحليل أن العمليات التجارية هي المصدر الأساسي للبيانات لتنظيم أمن المعلومات للشركة.

يجب أن يبدأ ضمان أمن معلومات العمليات التجارية بتطوير تصنيف البيانات الذي يسمح لك بتحديد المعلومات للحماية ، وتقليل كمية المعلومات السرية ، وتحديد جميع مواقع تخزين المعلومات التي يمكن استخدامها لتحسين العمليات التجارية في الشركة.

سمح لنا تحليل المخاطر المحتملة للعمليات التجارية بتحديد المجموعات التالية: المخاطر في التصميم وإعادة الهندسة وفي عملية استخدام العمليات التجارية.

يُنصح بأتمتة عمليات أمن معلومات الشركة باستخدام نظام فئة GRC (الحوكمة وإدارة المخاطر والامتثال) ، والذي يجب أن يتكامل مع أنظمة إدارة عمليات الأعمال أو إدارة أداء الأعمال أو أنظمة ذكاء الأعمال المصممة لأتمتة عمليات الأعمال وإدارتها.

المراجع

1. Kamennova MS، Gromov A.I.، Ferapontov M.M.، Shmatalyuk A.E. نمذجة الأعمال. منهجية ARIS. - م: Vest-MetaTechnology ، 2001.

2. ساعاتي ت. صنع القرار. طريقة التحليل الهرمي. - م: الإذاعة والاتصالات ، 1993.

3. Stelmashonok E.V. تنظيم أمن المعلومات - العمليات التجارية // المعلوماتية التطبيقية. - 2006. - رقم 2. - ج 42-57.

4. Timokhin A. كيفية العثور على جميع الخسائر: ممارسة تطبيق منهجية Lean في NPO ELSIB // "BOSS" رقم 9 ، 2012.

5. خانوفا أ. نموذج هيكلي وظيفي لبطاقة الأداء المتوازن عند اتخاذ القرارات الإدارية // Vestnik ASTU Ser: الإدارة وعلوم الكمبيوتر والمعلوماتية. - 2012. - رقم 1. - م 200-208.

إيفيموف يفجيني نيكولايفيتش - جامعة روستوف الحكومية للاقتصاد (RINH) ؛ البريد الإلكتروني: [بريد إلكتروني محمي]؛ 344002، Rostov-on-Don، B. Sadovaya، 69، room. 306 أ هاتف: 89525721917 ؛ قسم تكنولوجيا المعلومات وحماية المعلومات ؛ دان. أستاذ.

Lapitskaya Galina Melkonovna - البريد الإلكتروني: [بريد إلكتروني محمي]؛ هاتف: 89286050143 ؛ قسم تكنولوجيا المعلومات وحماية المعلومات ؛ دكتوراه ؛ أستاذ.

إيفيموف يفجيني نيكولايفيتش - جامعة روستوف الاقتصادية الحكومية ؛ البريد الإلكتروني: [بريد إلكتروني محمي]؛ 69، B. Sadovaya street، room 306 a، Rostov-on-Don، 344002، Russia ؛ الهاتف: +79525721917 ؛ قسم تكنولوجيا المعلومات وأمن المعلومات ؛ د. الشوري ؛ دكتور جامعى.

لابيكايا جالينا ميلكوفنا - بريد إلكتروني: [بريد إلكتروني محمي]؛ هاتف: +79286050143 ؛ قسم تكنولوجيا المعلومات وأمن المعلومات ؛ كاند. الشوري ؛ دكتور جامعى.

2019

أولويات الأمن السيبراني للشركات الصغيرة والمتوسطة

يتم جذب شركات قطاع SMB إلى السحابة ، إلى نموذج الخدمة الخاص باستهلاك الخدمة وفقًا لنموذج MSSP (موفر خدمة الأمان المُدار). هذا يساعدهم بشكل كبير على تقليل التكاليف التشغيلية في مجال أمن المعلومات.

الآن يقدم بعض البائعين لعملائهم خدمات أمان المعلومات المستندة إلى مجموعة النظراء على نموذج الاشتراك. في رأيي ، ستنتقل الشركات المتوسطة والصغيرة إلى نموذج خدمة أمن المعلومات ، - يلاحظ ديمتري ليفشيتس ، الرئيس التنفيذي للتصميم الرقمي.

أصبح نموذج الخدمة الخاص باستهلاك نظم المعلومات أكثر وأكثر طلبًا من قبل الشركات الصغيرة والمتوسطة الحجم ، نظرًا لأن هذه الشركات لا تستطيع تحمل عدد كبير من المتخصصين في مجال الأمن.

وفقًا لفلاديمير بالانين ، رئيس قسم أمن المعلومات في I-Teco Group ، أصبح قطاع الشركات الصغيرة والمتوسطة المستهلك الرئيسي لخدمات مزودي الخدمة الذين يقدمون الخدمات على الفور مع خدمات أمن المعلومات المتكاملة: لا توجد تكاليف للإدارة والمراقبة وصيانة البنية التحتية الخاصة بهم ، ويتحمل مزود الخدمة نفسه متطلبات تنظيم المخاطر.

في الوقت نفسه ، يتميز السوق الروسي الآن بإمدادات محدودة للغاية من أمن المعلومات للشركات الصغيرة والمتوسطة. كما يلاحظ Andrey Yankin ، مدير مركز أمن المعلومات في Jet Infosystems ، فإن جميع الخدمات تقريبًا تستهدف كبار العملاء. ووفقًا له ، فإن خدمات أمن المعلومات النموذجية وغير المكلفة ، ولكنها ليست بدائية للشركات الصغيرة والمتوسطة ، غير موجودة عمليًا ، على الرغم من أن هذا السوق متطور جيدًا في عدد من البلدان الأخرى.

في الوقت نفسه ، مع تطوير قطاع خدمات أمن المعلومات المُدارة واحتمال تطوير سوق التأمين ضد مخاطر الإنترنت ، سيكون لهذه الفئة من العملاء تدابير كافية لمواجهة التهديدات الحديثة.

في غضون ذلك ، تقوم الشركات الصغيرة والمتوسطة بتطبيق أمان أساسي لتكنولوجيا المعلومات ، ونادرًا ما يرتقي إلى مستوى العمليات التجارية.

وفقًا لـ Dmitry Pudov ، نائب المدير العام لمجموعة Angara Technologies Group للتكنولوجيا والتنمية ، فإن ممثلي الشركات الصغيرة والمتوسطة ، بميزانياتهم ، لا يتمتعون تقريبًا بإمكانية الوصول إلى حلول عالية التقنية أو معقدة. هذا ليس فقط بسبب تكلفة الحلول ، ولكن بالأحرى سبب النفقات التشغيلية التي تحملها.

يقول ياكوف جرودزينسكي ، رئيس أمن المعلومات في System Software ، إن الحلول الرئيسية التي يشتريها العملاء في قطاع الشركات الصغيرة والمتوسطة هي برامج مكافحة الفيروسات والجدران النارية. بالإضافة إلى ذلك ، أصبحت الشركات في هذا القطاع مهتمة بنشاط بمسائل تدقيق أمن المعلومات والتحقق من صحة المعلومات ، لأن مثل هذه المنظمات لا تحتفظ دائمًا بمتخصص منفصل في أمن المعلومات على الموظفين ، ناهيك عن المتخصصين.

يضيف فياتشيسلاف ميدفيديف ، المحلل الرائد في Doctor Web ، أن الدراسات الاستقصائية للشركات المتوسطة الحجم أظهرت أن مثل هذه الشركات لا تملك أموالًا للحلول الأمنية بخلاف الحلول الأساسية.

أولويات الأمن السيبراني للشركات الكبيرة

من المهم دائمًا للمساهمين والمالكين والإدارة العليا أن يكون لديهم صورة موضوعية لأمن المعلومات والعمليات التكنولوجية داخل المنظمة ، وبالتالي فإن المستوى العام لنضج أمن المعلومات في الشركات ينمو كل عام. ومع ذلك ، لا تزال بعض المؤسسات الكبيرة تفتقر إلى النظام الأساسي في العمليات التجارية التي تضمن تشغيل أنظمة المعلومات ، مما قد يؤدي إلى فوضى في أمن المعلومات. لذلك ، فإن الأولوية الرئيسية للشركات الكبيرة هي حل هذه المشكلات ، كما يقول نيكولاي زابوسوف ، مدير قسم أمن المعلومات والشبكات في Step Logic.

بالإضافة إلى ذلك ، تركز الشركات الكبرى على الامتثال لمتطلبات المنظمين والمعايير الداخلية ، في محاولة لإنشاء بنية تحتية محمية بشكل أو بآخر. تم تطوير وتنفيذ معايير الصناعة في مجال أمن المعلومات في العديد من الشركات.

واجهت الشركات التجارية الكبرى خيارًا أساسيًا: اتباع مسار التحول الرقمي ، أو العمل دون تغيير نموذج الأعمال. لكن في الحالة الثانية ، سيضطرون عاجلاً أم آجلاً إلى التخلي عن مراكزهم في السوق للمنافسين الذين أظهروا قدرًا أكبر من المرونة.

من بين أولويات قطاع المؤسسة ، من ناحية ، يمكنني ملاحظة الزيادة في كفاءة استخدام حلول أمان المعلومات الكلاسيكية ، ومن ناحية أخرى ، إدخال الحماية ضد أنواع جديدة من التهديدات كجزء من تنفيذ مشاريع الرقمنة. هذا الأخير مهم للغاية ، لأن القيود الأمنية غالبًا ما تكون أحد الأسباب الرئيسية للتقدم البطيء على طول مسار التحول الرقمي ، - يلاحظ أوليغ شابوروف ، رئيس قسم أمن المعلومات في Softline.

من وجهة نظر الأمن العملي ، يتحول المتجه بشكل متزايد من منع الهجمات إلى اكتشافها والاستجابة لها ، كما يقول Andrey Zaikin ، رئيس أمن المعلومات في Croc. يؤدي هذا إلى حقيقة أن فئات الحلول الصغيرة نسبيًا أصبحت أكثر شيوعًا وأكثر طلبًا: EDR و IRP. تحتوي أنظمة الاستجابة الآلية على مجموعات مختلفة من البرامج النصية والسيناريوهات وتسمح بمنع محاولات نشر التهديدات.

خدمات الأمن السيبراني

تتبع الشركات الصغيرة والمتوسطة التي تدرك مدى أهمية أمن المعلومات لأعمالها مسار استخدام نماذج الخدمة.

المعلومات السرية ذات أهمية كبيرة للشركات المنافسة. هي التي تصبح سبب التعدي من قبل المتسللين.

ترتبط العديد من المشاكل بالتقليل من أهمية التهديد ، ونتيجة لذلك يمكن أن يؤدي ذلك إلى الانهيار والإفلاس للمشروع. حتى حالة واحدة من إهمال فريق العمل يمكن أن تجلب للشركة خسائر تقدر بملايين الدولارات وتفقد ثقة العملاء.

تعرض التهديدات بيانات عن تكوين الشركة وحالتها وأنشطتها. مصادر هذه التهديدات هم منافسوها والمسؤولون الفاسدون والمجرمون. من الأمور ذات الأهمية الخاصة بالنسبة لهم التعرف على المعلومات المحمية ، وكذلك تعديلها من أجل التسبب في ضرر مالي.

حتى 20٪ من تسرب المعلومات يمكن أن يؤدي إلى مثل هذه النتيجة. في بعض الأحيان ، يمكن أن يحدث فقدان أسرار الشركة عن طريق الصدفة ، بسبب قلة خبرة الموظفين ، أو بسبب نقص أنظمة الأمان.

للحصول على معلومات مملوكة للمؤسسة ، قد تكون هناك تهديدات من الأنواع التالية.

تهديدات سرية المعلومات والبرامج.قد يحدث بعد الوصول غير القانوني إلى البيانات أو قنوات الاتصال أو البرامج. يمكن اعتراض احتواء أو إرسال بيانات من جهاز كمبيوتر من خلال قنوات التسرب.

لهذا الغرض ، يتم استخدام معدات خاصة لتحليل الإشعاع الكهرومغناطيسي المتلقاة أثناء العمل على الكمبيوتر.

خطر حدوث ضرر.يمكن أن تؤدي الإجراءات غير القانونية التي يقوم بها المتسللون إلى تشويه التوجيه أو فقدان المعلومات المرسلة.

تهديد التوفر.مثل هذه المواقف تمنع المستخدم الشرعي من استخدام الخدمات والموارد. يحدث هذا بعد التقاطها أو تلقي البيانات عليها أو حظر الخطوط من قبل المتسللين. قد يؤدي مثل هذا الحادث إلى تشويه موثوقية المعلومات المرسلة وحسن توقيتها.

هناك ثلاثة شروط مهمة تسمح للمواطن الروسي: خطة عمل مثالية ، ومحاسبة مدروسة جيدًا وسياسة موظفين ، وتوافر الأموال المجانية.
يتطلب إعداد المستندات لفتح شركة ذات مسؤولية محدودة قدرًا معينًا من الوقت. يستغرق فتح حساب مصرفي من يوم إلى يومين تقريبًا. اقرأ المزيد حول المستندات المطلوبة لفتح شركة ذات مسؤولية محدودة هنا.

مخاطر رفض تنفيذ المعاملات.رفض المستخدم للمعلومات المنقولة من قبله تجنباً للمسئولية.

التهديدات الداخلية.مثل هذه التهديدات تشكل خطرا كبيرا على المشروع. إنهم يأتون من مديرين عديمي الخبرة أو موظفين غير أكفاء أو غير مؤهلين.

في بعض الأحيان ، يمكن لموظفي المؤسسة التسبب عن عمد في تسرب داخلي للمعلومات ، وبالتالي إظهار عدم رضاهم عن رواتبهم أو عملهم أو زملائهم. يمكنهم بسهولة تقديم جميع المعلومات القيمة الخاصة بالمؤسسة إلى منافسيها ، أو محاولة تدميرها ، أو إدخال فيروس في أجهزة الكمبيوتر عن عمد.

ضمان أمن المعلومات للمؤسسة

تتم أتمتة أهم العمليات المحاسبية بواسطة فئة الأنظمة المقابلة ، والتي يتحقق أمانها من خلال مجموعة كاملة من الإجراءات الفنية والتنظيمية.

وهي تشمل نظامًا مضادًا للفيروسات وحماية جدران الحماية والإشعاع الكهرومغناطيسي. تعمل الأنظمة على حماية المعلومات الموجودة على الوسائط الإلكترونية والبيانات المنقولة عبر قنوات الاتصال وتقييد الوصول إلى المستندات المتنوعة وإنشاء نسخ احتياطية واستعادة المعلومات السرية بعد التلف.

يجب أن يكون التوفير الكامل لأمن المعلومات في المؤسسة تحت السيطرة الكاملة على مدار السنة ، في الوقت الفعلي على مدار الساعة. في الوقت نفسه ، يأخذ النظام في الاعتبار دورة حياة المعلومات بأكملها ، من اللحظة التي تظهر فيها حتى تدميرها الكامل أو فقدان أهميتها للمؤسسة.

من أجل السلامة ومنع فقدان البيانات في صناعة أمن المعلومات ، يجري تطوير أنظمة الحماية. يعتمد عملهم على أنظمة برمجية معقدة مع مجموعة واسعة من الخيارات التي تمنع أي فقدان للبيانات.

خصوصية البرامج هي أنه من أجل عملها بشكل صحيح ، يلزم وجود نموذج مقروء ومزود جيدًا للتداول الداخلي للبيانات والوثائق. يعتمد التحليل الأمني لجميع الخطوات عند استخدام المعلومات على العمل مع قواعد البيانات.

يمكن ضمان أمن المعلومات باستخدام أدوات عبر الإنترنت ، بالإضافة إلى المنتجات والحلول المقدمة على موارد الإنترنت المختلفة.

تمكن مطورو بعض هذه الخدمات من تكوين نظام أمان معلومات بشكل صحيح يحمي من التهديدات الخارجية والداخلية ، مع توفير توازن مثالي بين السعر والوظائف. تجمع المجمعات النمطية المرنة المقترحة بين عمل الأجهزة والبرامج.

أنواع

يتضمن منطق عمل أنظمة أمن المعلومات الإجراءات التالية.

التنبؤ والتعرف بسرعة على التهديدات لأمن البيانات والدوافع والظروف التي ساهمت في الإضرار بالمؤسسة وتسببت في فشل عملها وتطويرها.

خلق ظروف عمل يتم في ظلها تقليل مستوى الخطر واحتمالية إلحاق الضرر بالمؤسسة.

التعويض عن الأضرار والتقليل من تأثير محاولات الضرر المحددة.

يمكن أن تكون أدوات أمن المعلومات:

فني؛
البرمجيات؛
التشفير.
التنظيمية.
تشريعي.

تنظيم أمن المعلومات في المؤسسة

يسعى جميع رواد الأعمال دائمًا لضمان توافر المعلومات والسرية. لتطوير حماية مناسبة للمعلومات ، يتم أخذ طبيعة التهديدات المحتملة ، وكذلك أشكال وطرق حدوثها ، في الاعتبار.

يتم تنظيم أمن المعلومات في المؤسسة بطريقة تمكن المتسلل من مواجهة العديد من مستويات الحماية. نتيجة لذلك ، لا يستطيع المهاجم اختراق الجزء المحمي.

الطريقة الأكثر فعالية لحماية المعلومات هي خوارزمية تشفير قوية أثناء نقل البيانات. يقوم النظام بتشفير المعلومات بنفسه ، وليس الوصول إليها فقط ، وهو أمر مهم أيضًا.

يجب أن يكون هيكل الوصول إلى المعلومات متعدد المستويات ، حيث يُسمح فقط للموظفين المختارين بالوصول إليها. يجب أن يقتصر حق الوصول الكامل إلى الحجم الكامل للمعلومات على أشخاص جديرين بالثقة.

يتم اعتماد قائمة المعلومات المتعلقة بالمعلومات ذات الطبيعة السرية من قبل رئيس المؤسسة. يجب معاقبة أي انتهاكات في هذا المجال بعقوبات معينة.

يتم توفير نماذج الحماية من قبل GOSTs ذات الصلة ويتم توحيدها من خلال عدد من التدابير الشاملة. حاليًا ، تم تطوير أدوات مساعدة خاصة تراقب حالة الشبكة على مدار الساعة وأي تحذيرات لأنظمة أمن المعلومات.

ضع في اعتبارك أن الشبكات اللاسلكية غير المكلفة لا يمكنها توفير المستوى الضروري من الحماية.

لتجنب الفقد العرضي للبيانات بسبب الموظفين عديمي الخبرة ، يجب على المسؤولين إجراء دورات تدريبية. يتيح ذلك للمؤسسة مراقبة استعداد الموظفين للعمل ويمنح المديرين الثقة في أن جميع الموظفين قادرون على الامتثال لتدابير أمن المعلومات.

إن جو اقتصاد السوق والمستوى العالي من المنافسة يجعلان قادة الشركة دائمًا في حالة تأهب ويستجيبون بسرعة لأي صعوبات. على مدار العشرين عامًا الماضية ، تمكنت تكنولوجيا المعلومات من دخول جميع مجالات التطوير والإدارة والأعمال.

من العالم الحقيقي ، تحولت الأعمال التجارية منذ فترة طويلة إلى عالم افتراضي ، فقط تذكر كيف أصبحت شائعة ، والتي لها قوانينها الخاصة. في الوقت الحالي ، يمكن للتهديدات الافتراضية لأمن معلومات المؤسسة أن تلحق بها ضررًا حقيقيًا هائلاً. من خلال التقليل من أهمية المشكلة ، يخاطر القادة بأعمالهم وسمعتهم ومصداقيتهم.

تعاني معظم الشركات بانتظام من خسائر بسبب انتهاكات البيانات. يجب أن تكون حماية معلومات المؤسسة أولوية في تطوير الأعمال وتشغيلها. ضمان أمن المعلومات هو مفتاح النجاح والربح وتحقيق أهداف الشركة.

ضمان أمن معلومات الأعمال Andrianov V.V.

1.3 نموذج أمن معلومات الأعمال

1.3.1. تحفيز

تتألف الممارسة الروسية والعالمية لتنظيم أمن المعلومات (IS) في الماضي القريب من المتطلبات الإلزامية للهيئات الوطنية المصرح لها ، والتي تم وضعها في شكل إرشادات RD. لذلك ، بالنسبة للإدارة العليا ومالكي المنظمات ، كانت هناك مشكلة واحدة فقط تتعلق بالامتثال لهم (الامتثال) وطريقة واحدة فقط لحلها - كيفية تلبية المتطلبات المقترحة بأقل تكلفة. كانت للهيئات المرخصة مشكلتها الخاصة - بسبب استحالة تغطية جميع الأنواع الممكنة من الأنشطة وشروط تنفيذها ، فضلاً عن الاختلافات الكبيرة في أهداف الأنشطة ، لتقديم مجموعة عالمية من المتطلبات. للقيام بذلك ، تم اعتبار مشكلة أمن المعلومات ككيان مكتفي ذاتيًا ، ثابتًا للنشاط والأهداف والظروف ، كما تم تقليل المحتوى بشكل كبير من أجل العالمية.

كلا النهجين (للمنظمات والهيئات التنظيمية) غير مناسبين للواقع الحالي ويقدمانه في شكل مشوه بشكل كبير. وبالتالي ، ترتبط القيود الموضوعية الرئيسية على أنشطة تنظيم الدولة بنموذج تنظيم الدولة التقليدي ، الذي يفترض الوجود الإجباري للمهاجم الذي يسعى إلى إتلاف الأصول (المعلومات) ، وبالتالي ، يركز على حماية المعلومات من أفعال مثل هذا الموضوع. (مجموعة من الموضوعات). في الوقت نفسه ، لا يمكن أن تُعزى الحوادث المتعلقة ، على سبيل المثال ، بالتغييرات المنتظمة في برامج التطبيق ، إلى أحد المهاجمين. أسبابهم المحتملة هي سوء الإدارة وضعف القاعدة التكنولوجية. يعد عدم كفاية المنظمة (الإدارة ، العمليات التجارية الأساسية) للظروف السائدة بشكل عام مصدرًا قويًا للغاية للمشاكل ، والتي يتم تجاهلها بسبب استحالة ربطها بالمهاجم.

ارتبط التطور الإضافي لنماذج IS بتقوية دور المالك (المالك) وانحدر إلى حقيقة أنه هو نفسه اختار (على مسؤوليته ومخاطره) من مجموعة التدابير الوقائية القياسية المقدمة له تلك التي كان بحاجة ، أي تلك التي ، في رأيه ، يمكن أن توفر مستوى مقبول من الأمن. كانت هذه خطوة مهمة إلى الأمام ، لأنها ضمنت ربط أمن المعلومات بكائن معين بشروط محددة لوجوده ، مما أدى جزئيًا إلى حل التناقضات المرتبطة بالاكتفاء الذاتي لمشكلة أمن المعلومات. ومع ذلك ، لم يكن من الممكن تقديم آلية بناءة للمالك ، باستثناء إنشاء كتالوج للكائنات مع تدابير وقائية نموذجية مختارة (ملفات تعريف الحماية). تم إنشاء الملفات الشخصية نفسها باستخدام طريقة إرشادية متخصصة. في الوقت نفسه ، ظل نوع المخاطر التي يتعرض لها المالك غير معروف وتم تحديده في الممارسة العملية.

جاء مزيد من التطور إلى الأطروحة القائلة بأن أمن المعلومات يمكن أن يخلق (يولد) ضررًا لأغراض النشاط ، وبالتالي يجب تنسيق (ربط) مخاطر أمن المعلومات (التي ظلت مكتفية ذاتيًا) مع مخاطر المنظمة. بقي فقط للإشارة إلى كيفية ربطها ودمج نظام إدارة أمن المعلومات (ISMS) في إدارة الشركات ليس كنظام عمليات منعزل ومستقل ، ولكن كمكون متكامل ومتصل بقوة في الإدارة. فشل هذا. ومع ذلك ، فقد أدى هذا النهج إلى تقدم عدد من فئات تقييم نظم المعلومات بشكل جيد ، بما في ذلك مخاطر نظم المعلومات.

نماذج نظم المعلومات العملية معروفة أيضًا ، بناءً على تقييم التكلفة الإجمالية للملكية (فيما يتعلق ب IS) و "عائد" الاستثمارات في نظم المعلومات. في إطار هذا النهج ، تقوم مجموعة من المنظمات المتشابهة من حيث أهداف وظروف النشاط بتقييم مجالات تنفيذ نظم المعلومات بشكل دوري وتشكل نموذجًا يتكون من أفضل الممارسات للمجموعة. علاوة على ذلك ، تحدد كل مؤسسة ، وفقًا لتخلفها عن أفضل الممارسات وظروفها (الحوادث التي وقعت) ، اتجاه وحجم الاستثمارات. يتم تقييم فعالية الاستثمارات في الفترة القادمة من خلال تقليل الأضرار الناجمة عن الحوادث التي انتهت في مجال الاستثمارات التي تم القيام بها وبالتالي لم تتسبب في أضرار كبيرة.

ومع ذلك ، فإن هذا النهج ، مع العديد من مزاياه ، يتطلب تبادلًا واسعًا للمعلومات الحساسة ، كما أن تضارب مصالح المشاركين في التبادل يستبعد إنشاء أي تدابير بناء ثقة عالية الجودة ، لذلك لا يتم استخدامها على نطاق واسع.

لقد أدى نموذج IS المقترح في معيار البنك المركزي للاتحاد الروسي إلى زيادة تقدم المشكلة من حيث تكاملها (المرتبط بأهداف النشاط) ، ومن حيث توسيع تفسير جوهر "الدخيل" . المهاجم هو الشخص القادر على مواجهة المالك وله هدفه الخاص الذي يدركه ، وتحقيق السيطرة على أصول المنظمة.

يوسع هذا النهج بشكل كبير أنواع ومصادر الضرر الذي يلحق بالمنظمة التي تقع في نطاق اعتبارات تنظيم الدولة ، حيث يكون حلها أكثر عقلانية. ومع ذلك ، فقد كان في كثير من النواحي نهجًا توفيقيًا ويتطلب بشكل عاجل مزيدًا من تقريب مشكلات أمن المعلومات للنتيجة النهائية للنشاط (المنتج المنتج). نحن بحاجة إلى نموذج يساعد الشركة حقًا ، ويساهم بشكل مباشر في أدائها والتحسين الضروري من خلال إنشاء وصيانة مجال معلومات آمن وموثوق ، بما في ذلك من خلال مكافحة المتسلل. فقط مثل هذا النموذج يمكن أن تدركه الأعمال. سيتم رفض أي شخص آخر من قبلهم.

هذا النص هو قطعة تمهيدية.من كتاب تطبيق التقنيات المصرفية الإلكترونية: نهج قائم على المخاطر المؤلف Lyamin L.V.

5.4. تكيف أمن المعلومات

المؤلف Andrianov V. V.

1. فلسفة أمن معلومات الأعمال