журнал "Бизнес и безопасность"

Switch to desktop Register Login

Домарєв В. В.

Cистема ситуаційного управління

SSY

Книга присвячена питанням удосконалення процесів гарантування національної безпеки шляхом створення та впровадження системи ситуаційного управління - системи реагування на кризові ситуації. Методологія ситуаційного управління розглядається як складова системи забезпечення національної безпеки України. Запропоновано вирішення проблеми неузгодженості експертно-аналітичного забезпечення процесів прийняття управлінських рішень на державному рівні шляхом застосування єдиної методики обробки інформаційних потоків. Висвітлено теоретичні і практичні питання реалізації системного та процесного підходу до створення нових методів ситуаційного управління безпекою. Розраховано на широке коло читачів.

УДК [004.056+007.51](477)

ISBN 978-966-316-414-4

 

ПРИСВЯЧУЮ

моїй родині та однодумцям, які підтримували мене морально та матеріально під час роботи над книгою.

СПОДІВАЮСЬ,

що наші патріотичні бажання оптимізувати процеси управління безпекою стануть у пригоді для покращення могутності нашої держави та знайдуть практичне використання.

ЩИРО ДЯКУЮ

друзям, колегам та знайомим, які без зайвого пафосу забезпечили можливість видання цієї книги. Також вдячний опонентам і недругам, які своєю протидією та небажанням вислухати спонукали мене до пошуку будь-яких можливостей довести особисте бачення проблем ситуаційного управління та висловити думки щодо можливих шляхів їх вирішення.

 

Зміст

ПЕРЕЛІК СКОРОЧЕНЬ 12

1. ВСТУП: ВИПАДКОВА ЗАКОНОМІРНІСТЬ АБО ЗАКОНОМІРНА ВИПАДКОВІСТЬ.... 14

1.1. Методологія ситуаційного управління - складова процесів гарантування національної безпеки України 15

1.2. Актуальність впровадження систем ситуаційного управління 16

1.3. Безпека інформаційних технологій - проблемна складова ССУ 17

1.4. Наукові аспекти проектування багаторівневих систем ситуаційного управління 19

1.5. Практична цінність запропонованих науково-методичних підходів .... 20

1.6. Висновки 22

2. КОНЦЕПТУАЛЬНО-МЕТОДОЛОГІЧНІ ПІДХОДИ ГАРАНТУВАННЯ НАЦІОНАЛЬНОЇ БЕЗПЕКИ 24

2.1. Актуальність оновлення системи забезпечення національної безпеки 26

2.2. Основні категорії, що складають зміст теорії національної безпеки 28

2.3. Базові концептуально-методологічні підходи щодо гарантування національної безпеки 29

2.4. Визначення системи забезпечення національної безпеки 31

2.5. Основні функції та завдання системи забезпечення національної безпеки 35

2.6. Висновки 36

3. УНІВЕРСАЛЬНА ЛОГІКО-ЛІНГВІСТИЧНА МАТРИЧНА МОДЕЛЬ БЕЗПЕКИ 38

3.1. Актуальність матричної моделі національної безпеки 42

3.2. Типова логіко-лінгвістична матрична модель безпеки 44

3.3. Матрична модель системи забезпечення національної безпеки 46

3.4. Компонента «СКЛАДОВІ» логіко-лінгвістичної матричної моделі безпеки 48

3.5. Компонента «ФУНКЦІЇ» логіко-лінгвістичної матричної моделі безпеки 48

3.6. Компонента «СФЕРИ» логіко-лінгвістичної матричної моделі безпеки 49

3.7. Універсальна матриця системи забезпечення національної безпеки 53

3.8. Моделювання ситуацій та процесів реагування СЗНБ 57

3.9. Системно-процесний підхід матричної моделі СЗНБ 58

3.10. Використання теорії нечіткості для моделювання процесів гарантування національної безпеки 58

3.11. Висновки 60

4. СКЛАДОВІ ЛОГІКО-ЛІНГВІСТИЧНОЇ МОДЕЛІ СИСТЕМИ ЗАБЕЗПЕЧЕННЯ

НАЦІОНАЛЬНОЇ БЕЗПЕКИ 62

4.1. Законодавча та нормативно-методична база системи забезпечення національної безпеки 63

4.1.1. Місце процесів формування законодавчої бази СЗНБ у матриці

національної безпеки 67

4.1.2. Структура керівних документів СЗНБ 68

4.2. Структура органів (суб’єктів) національної безпеки 70

4.2.1. Місце процесів формування структури органів СЗНБ у матриці

національної безпеки 72

4.2.2. Суб'єкти СЗНБ 73

4.2.3. Сектор безпеки і оборони України 75

4.3. Заходи політики гарантування національної безпеки 77

4.4. Комплекси засобів, форм та методів гарантування національної безпеки 83

4.5. Висновки 87

5. ФУНКЦІЇ ЛОГІКО-ЛІНГВІСТИЧНОЇ МОДЕЛІ СЗНБ 88

5.1. Визначення переліку об’єктів небезпеки 90

5.1.1. Місце процесів визначення об'єктів (ресурсів) небезпеки у матриці національної безпеки 91

5.1.2. Об'єкти національної безпеки 94

5.2. Приклад формування переліку об'єктів, важливих для національної безпеки 94

5.3. Оцінка, аналіз, прогнозування загроз національної безпеки 96

5.3.1. Місце процесів виявлення та оцінка загроз (впливів) у матриці

національної безпеки 98

5.3.2. Загрози національній безпеці держави 98

5.4. Приклад формування переліку загроз у сферах національної безпеки 99

5.5. Аналіз ризиків національної безпеки 102

5.5.1. Місце процесів оцінки ризиків у матриці національної безпеки 104

5.5.2. Логіко-лінгвістична матрична модель оцінки ризику 105

5.6. Формування вимог (характеристик) СЗНБ 106

5.7. Ухвалення управлінських рішень з питань гарантування безпеки 109

5.7.1. Місце процесів прогнозування, планування та ухвалення управлінських рішень у матриці національної безпеки 111

5.7.2. Система стратегічного аналізу і прогнозування у сферах

гарантування національної безпеки 113

5.7.3. Процес експертно-аналітичної підтримки ухвалення управлінських рішень 115

5.8. Реалізація заходів гарантування національної безпеки та контроль виконання рішень 117

5.9. Оцінка ефективності СЗНБ України 121

5.9.1. Місце процесів оцінки ефективності СЗНБ у матриці національної безпеки 123

5.9.2. Методи оцінки показників ефективності СЗНБ 124

5.9.3. Оцінка стану національної безпеки 125

5.9.4. Оцінка ефективність функціонування СЗНБ 126

5.9.5. Система показників ефективності СЗНБ 127

5.9.6. Оцінка ефективності СЗНБ з використанням методів нечіткої

логіки 132

5.10. Висновки 136

6. ТЕОРІЯ СИТУАЦІЙНОГО УПРАВЛІННЯ 138

6.1. Визначення ситуаційного управління 140

6.2. Визначення управлінської ситуації 142

6.3. Принципи ситуаційного управління 143

6.4. Сучасні технології ситуаційного управління 144

6.5. Системно-процесний підхід у ситуаційному управлінні 146

6.6. Методологія системно-процесного підходу 148

6.7. Методологія ситуаційного аналізу 149

6.7.1. Етапи ситуаційного аналізу 150

6.7.2. Методи ситуаційного аналізу 151

6.8. Висновки 252

7. СИСТЕМА СИТУАЦІЙНОГО УПРАВЛІННЯ 154

7.1. Поняття та визначення системи ситуаційного управління 159

7.1.1. Ситуаційне управлінське рішення 161

7.1.2. Типи кризових ситуацій 162

7.1.3. Етапи життєвого циклу ССУ 162

7.1.4. Методи та засоби забезпечення живучості ССУ 163

7.2. Системно-процесний підхід до ситуаційного управління 164

7.3. Мета функціонування ССУ 165

7.4. Функції ССУ ^66

7.5. Завдання ССУ 167

7.6. Загальні вимоги до ССУ 169

7.7. Ієрархічні рівні ССУ 170

7.7.1. Стратегічний рівень управління 171

7.7.2. Галузевий рівень управління 171

7.7.3. Регіональний рівень управління 172

7.7.4. Оперативний рівень управління 172

7.7.5. Комунікаційний рівень управління 173

7.8. Моніторинг стану національної безпеки як функція ССУ 175

7.9. Актуальність розробки єдиної методології визначення переліку індикаторів стану національної безпеки 178

7.10. Система індикаторів стану національної безпеки 178

7.11. Приклад системи показників (індикаторів] стану національної безпеки 180

7.12. Системно-процесний підхід до визначення показників стану національної безпеки 183

7.13. Приклад аналітичної обробки інформації щодо загроз 185

7.14. Нормативно-методичні документи ССУ 186

7.15. Структура суб'єктів ССУ 188

7.16. Організаційно-технічні заходи щодо створення ССУ 189

7.17. Першочергові заходи щодо створення ССУ 191

7.18. Очікувані результати від впровадження ССУ 192

7.19. Проблеми створення ССУ 195

7.20. Засоби ССУ . 196

7.21. Технології програмно-методичного комплексу ССУ 197

7.22. Підсистема геопросторового аналізу і картографічного моделювання 200

7.23. Підсистема відеоконференцзв'язку 200

7.24. Підсистема зовнішнього відеоспостереження 201

7.25. Комплекси візуалізації 201

7.26. Висновки 202

8. СИТУАЦІЙНІ ЦЕНТРИ - ІНСТРУМЕНТ РЕАГУВАННЯ НА КРИЗОВІ СИТУАЦІЇ 204

8.1. Досвід створення ситуаційних центрів 206

8.2. Утворення єдиного інформаційно-аналітичного простору 207

8.3. Характеристика ситуаційних центрів галузевого рівня 208

8.4. Види ситуаційних центрів 209

8.5. Режими роботи СЦ 210

8.6. Основні функції та завдання СЦ 211

8.7. Нормативно-методичні документи ситуаційних центрів 212

8.7.1. Адміністративні документи СЦ 213

8.7.2. Документи СЦ верхнього рівня 213

8.7.3. Документи СЦ середнього рівня 214

8.7.4. Документи СЦ нижнього рівня 214

8.7.5. Нормативні документи СЦ щодо захисту інформації з обмеженим доступом 215

8.7.6. Рекомендації щодо оформлення нормативно-методичних документів СЦ 215

8.8. Приклад аналізу об’єктів та ресурсів критичної інфраструктури 216

8.9. Висновки 220

9. ЕКСПЕРТНО-АНАЛІТИЧНЕ ЗАБЕЗПЕЧЕННЯ СИСТЕМИ СИТУАЦІЙНОГО

УПРАВЛІННЯ 222

9.1. Технології експертно-аналітичного забезпечення 224

9.2. Зміст принципів експертно-аналітичної діяльності 225

9.3. Робота з інформаційними потоками 226

9.4. Завдання експертно-аналітичного забезпечення 227

9.5. Аналітика як наука 228

9.6. Методи експертно-аналітичної діяльності 229

9.6.1. Метод аналогій 229

9.6.2. Спостереження 229

9.6.3. Метод вартість-ефективність 230

9.6.4. Методи багатокритеріальноїоцінки альтернатив 230

9.6.5. Метод експертних оцінок 231

9.6.6. Неформальні методи 231

9.7. Мистецтво аналітичної роботи 232

9.8. Прогнозування - процес синтезу знань 233

9.9. Методика аналізу змісту тексту 234

9.10. Методологія роботи з відкритими джерелами інформації 236

9.10.1. Використання власних можливостей з обробки ЗМІ 236

9.10.2. Аналітична обробка 237

9.11. Підготовка довідок та проектів управлінських рішень 238

9.12. Методичні рекомендації написання аналітичних документів 239

9.12.1. Структура йлогічна побудова документа 239

9.12.2. Реферування 239

9.12.3. Заголовок 240

9.12.4. Основна ідея документа 240

9.12.5. Структура аналітичної довідки 241

9.12.6. Додаткові рекомендації щодо аналізу інформації 243

9.13. Висновки 244

10. УНІВЕРСАЛЬНИЙ БАГАТОЦІЛЬОВИЙ ПРОГРАМНО-МЕТОДИЧНИЙ КОМПЛЕКС СИТУАЦІЙНОГО УПРАВЛІННЯ БЕЗПЕКОЮ 246

10.1. Актуальність впровадження універсального багатоцільового ПМКССУ 248

10.2. Призначення та мета створення ПМК ССУ 249

10.3. Модель даних ПМК ССУ 250

10.4. Функціональні модулі ССУ 251

10.5. Приклади програмних модулів ПМК 252

10.5.1. Модуль «Моніторинг стану безпеки» 252

10.5.2. Модуль «Узагальнений аналіз» 255

10.5.3. Модуль «Оцінка ризиків» 256

10.5.4. Модуль «Завдання» 257

10.5.5. Модуль «Графіки» (візуалізації) 259

10.5.6. Модуль «Карта» 260

10.5.7. Модуль «Довідники» 261

10.5.8. Модуль «Документи» 263

10.5.9. Модуль «Пошук інформації» 263

10.5.10. Модуль «Бази даних» 264

10.5.11. Модуль «Ситуаційні оцінки» 266

10.5.12. Модуль безпеки інформаційних технологій 268

10.6. Користувачі ПМК ССУ 269

10.6.1. Типові завдання користувачів 269

10.6.2. Навчання персоналу і користувачів ПМК ССУ 270

10.6.3. Підрозділ забезпечення функціонування ПМК ССУ 271

10.7. Висновки 272

11. БЕЗПЕКА ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ СИТУАЦІЙНОГО УПРАВЛІННЯ 274

11.1. Безпека інформаційних технологій як складова національної безпеки 276

11.2. Завдання безпеки інформаційних технологій 277

11.3. Безпека інформаційних технологій об’єктів критичної інфраструктури 277

11.4. Тенденції розвитку сучасних методичних підходів щодо безпеки інформаційних технологій 278

11.5. Актуальність впровадження систем управління інформаційною безпекою 280

11.6. Система кібернетичної безпеки України 282

11.6.1. Кіберзагрози 283

11.6.2. Чинники посилення кіберзагроз 286

11.6.3. Загрози втручання в роботу комп'ютерних мереж 286

11.6.4. Суб'єкти системи кібербезпеки 287

11.6.5. Функції та завдання системи кібербезпеки 287

11.6.6. Розвиток безпечного, стабільного і надійного кібер- простору 289

11.6.7. Кіберзахист державних електронних інформаційних ресурсів та інформаційної інфраструктури 290

11.6.8. Кіберзахист критичної інфраструктури 291

11.6.9. Розвиток потенціалу сектора безпеки і оборони у сфері забезпечення кібербезпеки 292

11.6.10. Боротьба з кіберзлочинністю 294

11.7. Процеси забезпечення живучості ССУ 295

11.8. Система технічного захисту інформації ССУ 296

11.8.1. Загальні положення 296

11.8.2. Визначення й аналіз загроз 298

11.8.3. Розроблення плану захисту інформації 299

11.8.4. Реалізація плану захисту інформації 300

11.9. Підрозділ технічного захисту інформації СЦ 300

11.9.1. Мета створення підрозділу захисту інформації 300

11.9.2. Завдання підрозділу захисту інформації 301

11.9.3. Функції ПЗІ під час створення комплексної системи захисту інформації 302

11.9.4. Функції ПЗІ під час експлуатації комплексної системи захисту інформації 303

11.9.5. Повноваження та відповідальність підрозділу захисту інформації 305

11.9.6. Відповідальність ПЗІ 306

11.9.7. Взаємодія підрозділу захисту інформації з іншими підрозділами ситуаційного центру та зовнішніми організаціями 307

11.9.8. Штатний розклад та структура підрозділу захисту інформації 308

11.10. Організація проведення обстеження об’єктів ситуаційного центру 309

11.11. Організація розроблення системи захисту інформації 310

11.12. Реалізація організаційних заходів захисту 311

11.13. Атестація системи технічного захисту інформації 311

11.14. Контроль функціонування та керування системою захисту

інформації 313

11.15. Категоріювання об'єктів інформаційної діяльності ситуаційного

центру 315

11.16. Порядок проведення робіт з категоріювання об’єктів 316

11.17. Технічний захист інформації в інформаційно-комунікаційній

системі ситуаційного центру 317

11.17.1. Визначення несанкціонованого доступу 317

11.17.2. Політика безпеки інформації 318

11.18. Створення комплексної системи захисту інформації СЦ 318

11.19. Формування загальних вимог до КСЗІ СЦ 319

11.19.1. Обґрунтування необхідності створення КСЗІ СЦ 319

11.19.2. Обстеження середовищ функціонування ПМК СЦ 320

11.19.3. Формування завдання на створення КСЗІ СЦ 320

11.20. Розробка політики безпеки інформації 321

11.20.1. Вивчення об'єкта, на якому створюється КСЗІ, проведення науково-дослідних робіт 321

11.20.2. Вибір варіанту КСЗІ 321

11.20.3. Оформлення політики безпеки 321

11.20.4. Розробка технічного завдання на створення КСЗІ 321

11.21. Розробка проекту КСЗІ СЦ 322

11.21.1. Ескізний проект КСЗІ СЦ 322

11.21.2. Технічний проект КСЗІ СЦ 322

11.21.3. Розробка документації на КСЗІ СЦ 323

11.21.4. Робочий проект КСЗІ СЦ 323

11.22. Введення КСЗІ в дію та оцінка захищеності інформації у СЦ 323

11.22.1. Підготовка КСЗІ до введення в дію 323

11.22.2. Навчання користувачів 324

11.22.3. Комплектування КСЗІ СЦ 324

11.22.4. Будівельно-монтажні роботи 324

11.22.5. Пусконалагоджувальні роботи 324

11.22.6. Попередні випробування 325

11.22.7. Дослідна експлуатація 325

11.22.8. Державна експертиза КСЗІ СЦ 325

11.22.9. Супроводження КСЗІСЦ 326

11.23. Висновки 326

СЛОВНИК ТЕРМІНІВ ТА ВИЗНАЧЕНЬ 328

ЛІТЕРАТУРА 346

Контакти Автора: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра., т. 067-321-57-05

Опубликовано в Книги
Автор
Подробнее ...

 

Domarev Cover 168 pic

 

В.В. Домарєв, Д.В. Домарєв

УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ В БАНКІВСЬКИХ УСТАНОВАХ

(Теорія і практика впровадження стандартів серії ISO 12k)
ВЕЛСТАР Донецьк 2012


ЗМІСТ
ДЛЯ КОГО ЦЯ КНИГА?    .5

 

Розділ 1. ЖИВУЧІСТЬ ТА БЕЗПЕКА ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМ

1.1 Живучість інформаційно-комунікаційних систем    .10

1.2 Основні поняття та визначення інформаційної безпеки    .11

1.3 Чому треба захищати інформацію    15

1.4 Тенденції розвитку сучасних методичних підходів

до управління інформаційною безпекою    .,    .16


Розділ 2. ТЕОРІЯ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

2.1 Що таке СИСТЕМА?    20

2.2 Методологія системних рішень інформаційної безпеки    .22

2.3 Опис моделі СУІБ    .23


Розділ 3. СИСТЕМА УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ «МАТРИЦЯ»

3.1 Загальна характеристика    26

3.2 Призначення    26

3.3 Основні завдання    27

3.4 Методичні модулі СУІБ    .29

3.5 Функціональні можливості СУІБ «МАТРИЦЯ»    .ЗО


Розділ 4. НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

4.1 Суб'єкти правовідносин інформаційної безпеки    34

4.2 Правовий режим захисту банківської таємниці    .34

4.3 Особливості захисту комерційної таємниці    .36

4.4 Положення про комерційну таємницю і конфіденційну інформацію     37

4.5 Адміністративні документи    38

4.6 Документи верхнього рівня    39

4.7 Документи середнього рівня    .41

4.8 Документи нижнього рівня    45

4.9 Нормативні документи щодо захисту інформації з обмеженим доступом    46

4.10 Рекомендації щодо оформлення документів    46


Розділ 5. СТРУКТУРА І ЗАДАЧІ ПІДРОЗДІЛІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

5.1 Зобов'язання керівництва щодо управління

інформаційною безпекою    49

5.2 Призначення відповідальних осіб за впровадження СУІБ    50

5.3 Розподіл функціональних обов'язків з використанням можливостей СУІБ «Матриця»    56

5.4 Зобов’язання працівників щодо виконання правил та порядків 58

5.5 Навчання користувачів    58

5.6 Заходи у разі звільненні співробітника    59

 

Розділ 6. ОРГАНІЗАЦІЙНО-ТЕХНІЧНІ ЗАХОДИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

6.1 Процедура реєстрації та оброблення інцидентів    62

6.2 Плани реагування на інциденти    63

6.3 Внесення виправлень після компрометації захисту    .64

6.4 Плани відновлення у разі надзвичайних обставин    65


Розділ 7. ВИЗНАЧЕННЯ ІНФОРМАЦІЙНИХ ТА ПРОГРАМНО-ТЕХНІЧНИХ РЕСУРСІВ, ЩО ПІДЛЯГАЮТЬ ЗАХИСТУ

7.1 Класифікація інформації    71

7.2 Банківська та комерційна таємниця    73

7.3 Опис критичних бізнес-процесів та програмно-технічних комплексів, які забезпечують їх функціонування    .75

7.4 Опис організаційної структури банку, яку охоплює СУІБ    78

7.5 Опис структури мережі банку    84

7.6 Опис фізичного середовища    .90

7.7 Забезпечення безперервності роботи    .94


Розділ 8. АНАЛІЗ ЗАГРОЗ І КАНАЛІВ ВИТОКУ ІНФОРМАЦІЇ

8.1 Аналіз загроз та вразливостей    97

8.2 Загальні загрози безпеці банків    98

8.3 Банківське шахрайство і зловживання

службовим становищем працівників банків    .100

8.4 Загрози інформаційній безпеці    .102


Розділ 9. УПРАВЛІННЯ РИЗИКАМИ БЕЗПЕКИ

9.1 Стратегічний ризик    107

9.2 Законодавчі ризики    107

9.3 Ризик репутації    108

9.4 Ризики інформаційної безпеки    109

9.5 Клієнтські ризики    112

9.6 Оцінювання ризиків    113

9.7 Управління ризиками    120


Розділ 10. ФОРМУВАННЯ ВИМОГ ДО СУІБ

10.1. Визначення вимог з інформаційної безпеки банку    .126


Розділ 11. ВПРОВАДЖЕННЯ ТА ОРГАНІЗАЦІЯ ВИКОРИСТАННЯ СУІБ

11.1. Впровадження та функціонування СУІБ    131

11.2. Впровадження та функціонування СУІБ    131

11.3. Положення щодо застосовності    .135


Розділ 12. КОНТРОЛЬ ТА ОЦІНКА ЕФЕКТИВНОСТІ СУІБ

12.1. Процедура моніторингу    .137

12.2. Оцінка ефективності СУІБ    .137

Післямова    .140

Список скорочень:    .141

Список літератури    .142

Про авторів    143


ДЛЯ КОГО ЦЯ КНИГА?

Коли з'явилася можливість надрукувати матеріали цієї книги, я замислився: яким читачам вона може стати в пригоді? Кого ця публікація зацікавить? Хотілося «вбити двох зайців одним пострілом». Натомість з'ясувалося, що під «постріл» потрапила ціла зграя «зайців». Справа в тому, що запропонована модель уявлення процесів та обраний підхід до вирішення задач управління ними, виявилися на диво універсальними. Мова йде про процеси управління безпекою.

Управління безпекою охоплює такі сфери як: безпека бізнес-діяльно-сті, живучість інформаційно-комунікаційних систем, забезпечення безперервності бізнесу, безпека інформаційних технологій, управління ризиками та інцидентами, фізична, технічна, інформаційна, економічна та інші грані питань безпеки. Але для спрощення спілкування з читачем в якості прикладу авторами обрані питання управління інформаційною безпекою в банківських установах України. Чому так?

По-перше: інформаційна безпека є невід'ємною частиною загального процесу забезпечення безперервності бізнесу та інших процесів управління банківськими установами.

По-друге: на сьогодні дуже актуальними є питання впровадження в комерційних, банківських і державних установах міжнародних стандартів управління інформаційною безпекою серії ІЗО/ІЕС 27000, або скорочено «150 27к».

Отже саме фахівці з питань інформаційної безпеки опинилися на перехресті актуальних проблем впровадження вимог зазначених стандартів у конкретних банківських установах України. Проте, запропоновані автором матеріали будуть цікаві широкому колу інших читачів, а саме: топ-менеджерам, ІТ-директорам, адміністраторам комп'ютерних мереж, науковцям, аспірантам, студентам та іншим, хто цікавиться питаннями інформаційної безпеки. Тому дозвольте висловити задум автора окремо для різних категорій читачів.

Для працівників банківських установ

Безпека банку - стан стійкої життєдіяльності, за якого забезпечується реалізація основних інтересів і пріоритетних цілей банку, захист від зовнішніх і внутрішніх дестабілізуючих факторів незалежно від умов функціонування.

Національний банк України запровадив галузеві стандарти управління інформаційною безпекою. Ці документи фактично дублюють міжнародні стандарти І50/ІЕС 27001 та І80/ІЕС 27002, які визначають вимоги і правила впровадження системи управління інформаційною безпекою.

Постанова № 474 Національного банку України прийнята відповідно до статті 7 Закону України «Про Національний банк України», статті 10 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» і статті 10 Закону України «Про стандартизацію», з метою підвищення рівня інформаційної безпеки в банківській системі України.

У запропонованій публікації на прикладі банківських інформаційних технологій розглянуто теоретичні й практичні питання управління інформаційною безпекою з метою забезпечення живучості інформацій-но-комунікаційних систем у банківських установах України, а також надано методичні та практичні рекомендації щодо впровадження вимог галузевих та міжнародних стандартів управління інформаційною безпекою серії 150 27к.

До того ж, у популярній формі висвітлено теоретичні й практичні питання реалізації системного та процесного підходу для вирішення конкретних завдань забезпечення управління інформаційною безпекою з урахуванням особливостей банківських бізнес-процесів. Запропоновано системне рішення для організації взаємодії керівництва банку, підрозділів комп'ютерних (інформаційних) технологій, служби інформаційної безпеки, фахівців внутрішнього аудиту та інших підрозділів у процесі управління інформаційною безпекою банку на підставі вимог стандартів серії 150 27к.

Розглянуто можливості інформаційно-методичного інструменту управління інформаційною безпекою «МАТРИЦЯ», який є простим, універсальним і ефективним засобом створення, управління, контролю й оцінки ефективності процесів управління інформаційною безпекою з метою забезпечення живучості банківських інформаційно-комунікаційних систем.

Впровадження в банках України стандартів з управління інформаційною безпекою дозволить:

• знизити та оптимізувати вартість побудови та підтримки системи інформаційної безпеки;

• постійно відслідковувати та оцінювати ризики з урахуванням цілей бізнесу;

ефективно виявляти найбільш критичні ризики та уникати їх реалізації;

• розробити ефективну політику інформаційної безпеки та забезпечити її якісне виконання;


Національний банк України запровадив галузеві стандарти управління інформаційною безпекою. Ці документи фактично дублюють міжнародні стандарти І80/ІЕС 27001 та І80/ІЕС 27002, які визначають вимоги і правила впровадження системи управління інформаційною безпекою.

Постанова № 474 Національного банку України прийнята відповідно до статті 7 Закону України «Про Національний банк України», статті 10 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» і статті 10 Закону України «Про стандартизацію», з метою підвищення рівня інформаційної безпеки в банківській системі України.

У запропонованій публікації на прикладі банківських інформаційних технологій розглянуто теоретичні й практичні питання управління інформаційною безпекою з метою забезпечення живучості інформацій-но-комунікаційних систем у банківських установах України, а також надано методичні та практичні рекомендації щодо впровадження вимог галузевих та міжнародних стандартів управління інформаційною безпекою серії 180 27к.

До того ж, у популярній формі висвітлено теоретичні й практичні питання реалізації системного та процесного підходу для вирішення конкретних завдань забезпечення управління інформаційною безпекою з урахуванням особливостей банківських бізнес-процесів. Запропоновано системне рішення для організації взаємодії керівництва банку, підрозділів комп'ютерних (інформаційних) технологій, служби інформаційної безпеки, фахівців внутрішнього аудиту та інших підрозділів у процесі управління інформаційною безпекою банку на підставі вимог стандартів серії 180 27к.

Розглянуто можливості інформаційно-методичного інструменту управління інформаційною безпекою «МАТРИЦЯ», який є простим, універсальним і ефективним засобом створення, управління, контролю й оцінки ефективності процесів управління інформаційною безпекою з метою забезпечення живучості банківських інформаційно-комунікаційних систем.

Впровадження в банках України стандартів з управління інформаційною безпекою дозволить:

• знизити та оптимізувати вартість побудови та підтримки системи інформаційної безпеки;

• постійно відслідковувати та оцінювати ризики з урахуванням цілей бізнесу;

ефективно виявляти найбільш критичні ризики та уникати їх реалізації;

• розробити ефективну політику інформаційної безпеки та забезпечити її якісне виконання;

• ефективно розробляти, впроваджувати та тестувати плани відновлення бізнесу;

• забезпечити розуміння питань інформаційної безпеки керівництвом банку та всіма працівниками банку;

• забезпечити підвищення репутації та ринкової привабливості банків.

Для співробітників служб безпеки та топ-менеджерів комерційних структур

Наслідки катастроф, відмов систем безпеки, втрати доступності обслуговування, терористичні акти є предметом аналізу впливів на біз-нес-діяльність комерційних установ України. До того ж, тенденція приваблення іноземних інвестицій змушує комерційні організації впроваджувати міжнародні стандарти управління, в тому числі і стандарти управління інформаційною безпекою.

Впровадження стандартів серії 150 27к дозволяє дати відповіді на такі запитання:

• Які інформаційні ризики існують на підприємстві і як вони впливають на бізнес-процеси? Як ці ризики мінімізувати?

• Які інформаційні активи складають інформаційно-комунікаційну систему компанії, і що захищати в першу чергу?

• Що робити, якщо трапиться непередбачена ситуація?

• Як забезпечити безперервність бізнесу, реагування на інциденти, управління ризиками тощо.

Проведення аудиту та подальше впровадження стандарту дозволить вирішити цілу низку проблем, пов’язаних як з поточною роботою, так і з подальшим розвитком підприємства:

• прихованість інвестицій в ІТ, відсутність економічних показників роботи підрозділів ІТ-компанії;

• неадекватний захист інформації (ресурси кинуті на захист інформації, що не становить реальної цінності компанії, в той час як справді цінна інформація не захищена адекватно);

• фінансові та репутаційні втрати внаслідок слабкої організації управління інформаційною безпекою підприємства;

• постійні штрафні санкції з боку регуляторів;

• придбання, розробка та обслуговування інформаційних систем;

• відсутність об'єктивної інформації про стан інформаційно-комунікаційної системи для вірного прийняття рішень.

Аспекти інформаційної безпеки щодо безперервності бізнесу повинні базуватися на ідентифікації подій, які можуть спричинити переривання бізнес-процесів, наприклад, відмова обладнання, людські помилки, крадіжка, пожежа, природні лиха та терористичні акти.

Для науковців, аспірантів, студентів

Забезпечення живучості ІКС з точки зору інформаційної безпеки потребує координованого використання різних за функціями та складом компонентів, таких як: заходи, методи, засоби, механізми, процедури та ін. Ці компоненти вимагають встановлення жорстких логічних та функціональних зв'язків між собою. Як показує практика, саме якість зазначених зв'язків визначає рівень ефективності систем забезпечення живучості ІКС.

У роботах по забезпеченню живучості ІКС беруть участь фахівці різних напрямків, що висуває специфічні вимоги стосовно координації їх діяльності. Водночас з практичної точки зору потрібні рекомендації, які дають не завжди оптимальні, але досить ефективні рішення щодо захисту інформації.

Сучасні ІКС потребують захисту складних процесів обробки інформації в розподілених комп'ютерних мережах. Ця тенденція вимагає дослідження відповідних методів, моделей та систем забезпечення живучості ІКС. Основу системного підходу до забезпечення живучості ІКС складають задачі системного моделювання та аналізу.

На прикладі банківських інформаційних технологій розглянуто теоретичні й практичні питання управління інформаційною безпекою з метою забезпечення живучості інформаційно-комунікаційних систем в банківських установах України. Запропоновано системне рішення для організації взаємодії керівництва банку, підрозділів комп'ютерних (інформаційних) технологій, служби інформаційної безпеки, фахівців внутрішнього аудиту та інших підрозділів у процесі управління інформаційною безпекою банку на підставі вимог стандартів серії 130 27к.

Окремо треба додати, що запропоновані в наданій публікації матеріали дуже корисні студентам, а саме бакалаврам та магістрам, що навчаються за спеціальністю «Управління інформаційною безпекою». Викладені методичні підходи стануть в пригоді при написанні рефератів, курсових та дипломних робіт.

Опубликовано в Книги
Автор
Подробнее ...