ОУИБ

Основы управления информационной безопасностью

информационная безопасность организации – состояние защищенности интересов организации в условиях угроз ИБ в информационной сфере

Угрозы ИБ:

• Естественные

• Искусственные

  • Внутренние

    • Преднамеренные

    • Не преднамеренные

  • Внешние

Основные задачи организационно-управленческой деятельности в сфере ИБ:

• Обеспечение комплексности всех решений, реализуемых процессе обеспечения ИБ

• Обеспечение непрерывности и целостности процессов ИБ

• Решение методических задач, лежащих в основе эффективного управления ИБ

• Управление человеческими ресурсами и поведением персонала (с учетом необходимости решения задач по ИБ)

Задачи роли и методы организационной работы в сфере Информационной безопасности а различных уровнях

Название орг уровня	Основные задачи и роли	Основные методы орг работы
Международные организации	Разработка ПРАВИЛ И СТАНДАРТОВ ИМЕЮЩИХХ ГЛОБАЛЬНОЕ ЗНАЧЕНИЕ Обмен актуальной информаций и предупреждениях о угрозах	Координация работы специалистов и экспертов представляющих различные заинтересованные стороны
Крупные ит компании	Методологическая и организационная поддержка используемых услуг поставляемых на рынок	Взаимодействие с пользователями с целю повышения качества информационных систем и получения отзывов для дальнейшего повышения качества продуктов и услуг
Государственные организации	Регулирование использования информационных систем и распространение информации с целью недопущения противоправных действий, ущерба другим участникам информационного обмена, обществу и гос. Органам	Разработка национальных правил(законов, конвенций, соглашений) регулирующих отношения в информационной сфере Осуществление контроля в различных формах и правоприменительной деятельности
Организация пользователей информационных систем по владельцам информации	Обеспечение безопасности информации	Выделение подразделений и специалистов отвечающих за это Делегирование внутренних правил безопасности
Консалтинговая компания работающая в сфере ИБ	Выполнение некоторых функций информационной безопасности аутсорсинга Разработка и внедрение индивидуальных решений в сфере ИБ И помощь внедрения некоторых продуктов по ИБ	Накопление и обобщение теоретических знаний и практического опыта с целью создания и внедрения организационных программных и технических решений в интересах клиента

Деятельность международных организаций в сфере ИБ

В числе международных организаций, оказывающих существенное влияние на функционирование глобальных информационных систем и деятельность всего информационного общества, выделяются организации следующих типов:

1. Крупные международные некоммерческие и неправительственные организации, объединяющие специалистов в определенных областях

2. Отдельные, относительно не большие организации, которые специализируются на более-менее узких вопросах информационной безопасности, имеющих глобальное значение для всего сообщества пользователей информационных систем

3. Совместные структуры в виде комитетов, альянсов и т.д. создаваемые крупными компаниями для решения определенных задач в сфере ИТ и ИБ

Работа международных профессиональных объединений имеет следующие особенности:

1. Деятельность не направленна только на решение задач ИБ, эти задачи решаются в комплексе со множеством других проблем отрасли

2. Деятельность таких организаций в определённой мере может опираться на поддержку гос структур

3. Деятельность таких организаций объединяет большое количество специалистов из различных организаций

4. Большинство участников не имеют конкретных обязательств по достижению определённой цели

Союзы :

1. Международный союз электросвязи (одна из старейших организаций с 1865г , объединяет в себе около 200 государств. Основной задачей союза является управление и координация в сфере передачи информации, а так же в радио связи и телеграфной сети.) Состав:

   1. Гос органы (министерства и ведомства отдельных стран)

   2. Научные организации и компании производители телекоммуникационного оборудования

   3. Региональные международные телекоммуникационные организации

Одним из важных направлений работы международного союза является обеспечение телекоммуникационного обмена в различных формах. Всемирный саммит по информационному обществу.

2. Институт инженеров по электронике и электротехники (с 1884 года, насчитывает порядка полумиллиона членов организации из 150 стран мира). Входят вопросы связанные с электротехникой, радиоэлектроникой, вычислительной техникой, информатикой, а так же некоторыми разделами физики и математики.

   1. Проведение специализированных профессиональных конференций

   2. Публикация специализированных изданий

   3. Поддержка образовательной деятельности

   4. Поддержка инновационных, технических и методических разработок

   5. Разработка и распространение технических стандартов

3. Ассоциация вычислительной техники. (Поддержка образовательных проектов в сфере информационных технологий, общественно политическая работа, связанная с ИТ, публикация периодических изданий, создание и поддержка информационного актива в области ИТ)

4. Консоциум всемирной паутины (с 1989 года с целью разработки единых согласованных стандартов обмена информации в глобальных сетях передачи данных) Основные задачи:

   1. Обеспечение возможности доступа к сети интернет для как можно большего числа людей

   2. Обеспечение возможности подключения к интернет различных технических устройств

   3. Обеспечение возможности структурирования и формализации информации доступной через интернет с целью увеличения возможностей автоматизированной обработки этой информации.

К работам относится разработка стандарта цифровых подписей для информационных ресурсов, разработка стандартов передачи зашифрованных данных.

5. Международная информация по стандартам (ISO). (Неправительственное объединение национальных организаций по стандартизации)

Управление ИБ на уровне крупный ИТ компаний:

Уровень влияния крупных ИТ компаний на состояние дел в сфере ИБ является очень значительным, хотя направления защиты информации для таких компаний не является приоритетным.

Основные задачи организационной работы крупных ИТ компаний в сфере ИБ:

1. Закрепить свои рыночные позиции путем создания благоприятного имиджа в глазах покупателей и всего сообщества инофрмационных систем;

2. Занять новые рыночные ниши, предъявляющие более строгие требования к уровню ИБ, по сравнению с массовым рынком;

3. Обеспечить эффективную интеграцию поставляемых продуктов в различные информационные системы и бизнес-процессы;

4. Избежать или минимизировать обвинения со стороны потребителей, чьи информационные системы могли бы подвергнуться угрозам ИБ.

Приемы и методы управления ИБ на уровне крупных ИТ компаний в каждом случае могут быть различными и определятся для каждой ИТ компании следующими основными факторами:

1. Характером продуктов, поставляемых на рынок;

2. Состоянием рынка информационно-технологических продуктов данного типа и поведением конкурентов;

3. Политикой государственных структур (как в отношении ИБ вообще, так и в отношении отдельных ИТ компаний в частности);

4. Фактор связанный с задачами, целями и основными способами использования поставляемых продуктов в пользование;

5. Общее состояние дел в сфере ИБ, развитие и распространение преступности;

6. Формирование общественного мнения в отношении вопросов ИБ и отдельных компаний поставщиков.

Организационная работа в сфере ИБ на уровне крупных ИТ компаний делится на два основных направления :

1. Организационная работа внутри компании, направленная на обеспечение ИБ выпускаемых продуктов;

2. Организация внешнего взаимодействия с потребителями, партнерами, гос. структурами и другими участниками.