Аннотації
10.10.2018
Розглянуто деякі аспекти прийняття рішень щодо управління інформаційною безпекою. За основу аналізу і подальшого прийняття рішень розглянуто економічний аналіз, який передбачає вивчення всіх факторів, під впливом яких відбувається розвиток аналізованих систем, закономірностей їх поведінки, динаміки зміни, а також використання універсальної грошової оцінки. Складність завдань економічного аналізу практично у всіх сферах діяльності, як правило, обумовлюється тим, що багато ключових параметрів економічних моделей неможливо достовірно оцінити. Як основний критерій здебільшого використовують функцію віддачі від інвестицій (ROI). Незважаючи на складні розрахунки згідно цієї моделі, пропонована методологія дає змогу менеджерам та спеціалістам у сфері засобів захисту інформації отримувати достовірні результати і правильно оцінювати ефективність засобів захисту інформації, а також визначати напрям їхнього розвитку.
Рассмотрен ряд аспектов принятия решений по управлению информационной безопасностью. В качестве основы для анализа и дальнейшего принятия решений рассматривается экономический анализ. Сложность задач экономического анализа связана с тем, что многие ключевые параметры экономических моделей не могут быть достоверно оценены. В качестве основного критерия принято использовать функцию возврата инвестиций (ROI). Несмотря на сложные расчеты по этой модели, предлагаемая методология позволяет менеджерам и специалистам в области средств информационной безопасности получать достоверные результаты и правильно оценивать эффективность средств защиты информации, а также определять направление их развития.
In this paper, some aspects of decision-making on information security management are considered. As a basis for analysis and further decision-making, economic analysis is considered. The complexity of the tasks of economic analysis is due to the fact that many key parameters of economic models can not be reliably estimated. To ensure greater reliability of calculations in the process of economic analysis, it is necessary to organize a set of work to collect output information. The special complexity of economic analysis in such a sphere as information security is conditioned by such specific factors: rapid development of information and related technologies; the inability to reliably provide all possible scenarios and models of attacks on information systems; the inability to provide a fairly accurate estimate of the cost of information resources and assess the consequences of violations. This requires additional efforts to organize the process of economic analysis. In the course of current activity, enterprises have to constantly face a number of changing factors. The specific forms in which the actions of the manager are manifested may be different. Thus, in a critical situation, there is a need for a clear correlation of costs and benefits during the execution of safety work. As the main criterion, it is customary to use the return on investment (ROI) function. In this case, calculations according to this model can meet considerable difficulties in practice. At the same time, the proposed methodology allows managers and specialists in information security tools to obtain valid results and to make a proper assessment of the effectiveness of information protection tools and also determine the direction of their development.
- Анисимов А.А. Менеджмент в сфере информационной безопасности / А.А. Анисимов. – М.: БИНОМ, 2009.
- Курило А.П., Милославская Н.Г., Сенаторов М.Ю. и др. Основи управления информационной безопасностью / А.П. Курило, Н.Г. Милославская., М.Ю. Сенаторов и др. – М.: Горячая линия-Телеком, 2012.
- Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи, ДМК-Пресс, 2004.
- Артемов В.Ю. Основи менеджменту для інформаційних аналітиків: Курс лекцій. / В.Ю. Артемов – К.: КНТ, 2007.
- Домарев, В. В. Управління інформаційною безпекою в банківських установах (Теорія і практика впровадження стандартів серії ISO 27k) / В. В. Домарєв, В. В. Домарєв. – Донецьк : Велстар, 2012, 2012 – 146 с.
- Милославская Н.Г., Сенаторов М. Ю., Толстой А. П. Управление инцидентами информационной безопасности и непрерывностью бизнеса. – М.: Горячая линия-Телеком, 2014. – 170 с.
- Милославская Н.Г., Сенаторов М. Ю., Толстой А. П. Управление рисками информационной безопасности. – М.: Горячая линия-Телеком, 2013. – 130 с.
- ДСТУ ISO/IEC 27001:2015. Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2013; Cor 1:2014, IDT)
- ДСТУ ISO/IEC 27002:2015. Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки (ISO/IEC 27002:2013; Cor 1:2014, IDT).
- ДСТУ ISO/IEC 27005:2015. Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки (ISO/IEC 27005:2011, IDT).
- ДСТУ ISO/IEC 27006:2015. Інформаційні технології. Методи захисту. Вимоги до організацій, які надають послуги з аудиту і сертифікації систем управління інформаційною безпекою (ISO/IEC 27006:2011, IDT).
- Гордієнко С.Б. Перспективи розвитку сучасних мереж доступу / С.Б. Гордієнко, О.О. Манько, В.О. Манько, О.М. Скубак / //Управління розвитком складних систем. – 2018. – № 33. – С. 122 – 129.
- Anisimov, A.A. (2009). Management in the field of information security. Moscow, Russia: BINOM.
- Kurilo, A.P., Miloslavskaya, N.G., Senatorov, M.Yu. (2012). The basis of information security. Moscow, Russia: Hot line-Telecom.
- Petrenko, S.A. Simonov, S.V. (2004). Information Risk Management. Economically justified safety Moscow, Russia: IT Co., DMK-Press.
- Artemov, V.Yu. (2007). Fundamentals of Management for Information Analysts: Course of lectures. Kyiv, Ukraine: KNT.
- Domarev, V.V. (2012). Management of Information Security in Banking Institutions (Theory and Practice of Implementation of ISO 27k Standards). Donetsk: Velstar, 146.
- Miloslavskaya, N.G., Senatorov, M. Yu., Tolstoy, A.P. (2014). Management of incidents of information security and business continuity. Мoscow, Russia: Hot line-Telecom, 170.
- Miloslavskaya, N.G., Senatorov, M. Yu., Tolstoy, A.P. (2013). Information Security Risk Management. Moscow, Russia: Hot line-Telecom, 130.
- DSTU ISO / IEC 27001: 2015. Information Technology. Methods of protection. Information Security Management Systems. Requirements (ISO / IEC 27001: 2013; Cor 1: 2014, IDT).
- DSTU ISO / IEC 27002: 2015. Information Technology. Methods of protection. A set of practices on information security measures (ISO / IEC 27002: 2013; Cor 1: 2014, IDT).
- DSTU ISO / IEC 27005: 2015. Information Technology. Methods of protection. Information Security Risk Management (ISO / IEC 27005: 2011, IDT).
- DSTU ISO / IEC 27006: 2015. Information Technology. Methods of protection. Requirements for organizations providing audit and certification services for information security management systems (ISO / IEC 27006: 2011, IDT).
- Gordienko, Sergij, Manko, Olexandr, Manko, Volodimir, Skubak, Olexandr & Tverdokhleb, Nikolay. (2018). Perspectives of the development of modern access networks. Management of Development of Complex Systems, (33), 122-129.