Глобальные проблемы экономики и финансов: тезисы докладов VІІІ Международной научно-практической конференции (Киев - Прага - Вена, 28 февраля 2017)
Секція: Економічна безпека
РУСІНА ЮЛІЯ ОЛЕКСАНДРІВНА
кандидат економічних наук
доцент кафедри фінансів та фінансово-економічної безпеки
Київський національний університет технологій та дизайну
ОСТРЯКОВА ВАЛЕНТИНА ЮРІЇВНА
студентка кафедри фінансів та фінансово-економічної безпеки
Київський національний університет технологій та дизайну
УДОСКОНАЛЕННЯ СИСТЕМИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ ПІДПРИЄМСТВА
В умовах сучасної економіки інформація стосовно всіх напрямків діяльності підприємства є найбільш цінним ресурсом, а проблеми інформаційної безпеки – усе складнішими і значущими. Інформаційна безпека є однією зі складових частин економічної безпеки, яка формує систему захищеності підприємства.
Дослідженню питання забезпечення інформаційної безпеки присвячено праці С. Арзуманова, С. Кавуна, І. Конєєва,
О. Тарасової, В. Домарєва, Є. Степанова, С. Петренка, О. Юдіна та ін.
Згідно з міжнародним стандартом ISO/IEC 27001:2005, система управління інформаційною безпекою – це «частина загальної системи управління, яка ґрунтується на підході, що враховує бізнес-ризики, призначена для розроблення, впровадження, функціонування, моніторингу, перегляду, підтримування та вдосконалення інформаційної безпеки» [1]. Її основними цілями є: конфіденційність інформації; неможливість несанкціонованого доступу до інформації; цілісність інформації, та пов’язаних з нею процесів; доступність інформації; мінімізація ризиків інформаційної безпеки шляхом виконання компенсаційних заходів; облік усіх процесів, пов’язаних з ризиками.
На практиці інформаційна безпека підприємства включає сукупність методів, напрямів, засобів і заходів, що знижують вразливість інформації і перешкоджають несанкціонованому доступу до інформації, її розголошенню або витоку. Елементами цієї системи є: правовий, організаційний, інженерно-технічний захисти інформації, а основною її характеристикою – комплексність [2]. Структура системи, зміст і склад елементів, їх взаємозв'язок залежать від обсягу і цінності інформації, що захищається, характеру можливих загроз безпеки інформації, необхідної надійності захисту і вартості системи.
Дослідивши та проаналізувавши публікації М. Журавля, С. Кавуна, І. Конєєва та О. Тарасової [3; 4; 5; 6], можна зазначити, що інформаційній безпеці в сучасних умовах було приділено недостатньо уваги. Про це свідчать важливі недоліки відповідно до забезпечення інформаційної безпеки підприємств:
Для виконання поставлених цілей і вирішення завдань необхідно провести заходи на всіх рівнях інформаційної безпеки (рис. 1).
Рис. 1. Рівні інформаційної безпеки (складено автором на основі джерела [7])
На адміністративному (правовому) рівні для формування системи інформаційної безпеки необхідно розробити та затвердити політику інформаційної безпеки.
Політика безпеки – це сукупність документованих управлінських рішень, спрямованих на захист інформації та асоційованих з нею ресурсів [8].
Залежно від сформульованої політики, можна вибирати конкретні механізми, що забезпечують безпеку системи.
На організаційному рівні необхідно застосувати наступні заходи щодо поліпшення захисту інформації:
Інженерно-технічний рівень передбачає застосування наступних заходів:
Ефективність системи інформаційної безпеки і праці адміністраторів, засобів інформаційної безпеки буде неефективною за відсутності засобів збору, аналізу, зберігання інформації про стан системи, централізованого управління всіма її складовими. Адже, кожен засіб захисту реалізує певну складову політики безпеки, яка на рівні підсистем задається набором параметрів і вимог. Політиці інформаційної безпеки повинні відповідати не тільки кожна підсистема або засіб захисту, але й система в цілому.
Реалізація заходів щодо удосконалення системи інформаційної безпеки на підприємствах дозволить: розмежувати права доступу в систему; підвищити рівень захищеності інформації кожного користувача окремо, і системи в цілому; розробити та впровадити політику інформаційної безпеки, яка буде спрямована на захист інформації та асоційованих з нею ресурсів; зменшити кількість спаму; відображати шкідливі атаки через мережу; підвищити рівень захисту робочих станцій.
Література: