COMPANY INFORMATION SECURITY POLICY

Research article
DOI:
https://doi.org/10.23670/IRJ.2020.96.6.009
Issue: № 6 (96), 2020
Published:
2020/06/17
PDF

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ

Научная статья

Зависляк И.В.1*, Кувылина Т.В.2

1, 2 МИРЭА — Российский технологический университет, Москва, Россия

* Корреспондирующий автор (zavislyak.i.v[at]edu.mirea.ru)

Аннотация

Обеспечение качества производимой продукции на современном этапе развития предприятия требует оценки рисков по широкому спектру предполагаемых воздействий, в частности, требуется оценивать вопросы информационной безопасности исполняемых проектов как с точки зрения наличия внешних угроз, так и с точки зрения существования внутренних угроз. В статье предложены методы разработки документации системы менеджмента качества организации, которая включает в себя в качестве основного документа политику информационной безопасности предприятия.

Ключевые слова: управление информационной безопасностью, политика информационной безопасности, системы менеджмента качества.

COMPANY INFORMATION SECURITY POLICY

Research Article

Zavislyak I.V.1*, Kuvylina T.V.2

1, 2 MIREA – Russian Technological University, Moscow, Russia

*Corresponding author (zavislyak.i.v[at]edu.mirea.ru)

Abstract

Ensuring product quality at the present stage of company development requires a risk assessment for a wide range of expected impacts, in particular, it is required to assess the information security issues of executed projects both from the point of view of the presence of external threats and from the point of view of internal threats existence. The paper suggests methods for developing documentation of the organization quality management system, which includes the company information security policy as the main document.

Keywords: information security management, information security policy, quality management system.

Управление информационной безопасностью как часть системы управления современным предприятием в настоящее время активно исследуется с точки зрения внедрения новых технологий [1], использования и классификации мер по предотвращению угроз, которые могут привести к нарушению конфиденциальности, разрушению целостности или ограничению доступности имеющейся или накопленной информации [2], применение различных моделей описания предприятия, как, например, выявление уровня зрелости [3] с целью выявления имеющихся внутренних угроз и обеспечения наиболее эффективного противостояния этим угрозам, совершенствование нормативно-правового регулирования с целью обеспечения информационной безопасности [4], обеспечение планирования производственных процессов [5]. Разработка вопросов управления, которые решаются на современном уровне при помощи систем менеджмента качества [6], позволяет дать рекомендации для создания систем управления информационной безопасностью [7] как части интегрированной системы менеджмента современного предприятия радиоэлектронной отрасли.

Программа обеспечения информационной безопасности предприятия должна в первую очередь опираться на изучение контекста организации, подробный анализ бизнес–процессов и соответствующей бизнес–среды с учетом перспектив развития современной радиоэлектроники. К наиболее важным процессам и объектам, которые требуют управления и отражения в политике информационной безопасности, следует отнести следующие:

  • доступ к информации и функции ограничения этого доступа, то есть те, которые предусматривают предоставление доступа только тем лицам, которые были соответствующим образом распознаны или выявлены;
  • подотчетность любого объекта, то есть возможность однозначно проследить соответствующие действия, а также (в соответствии со стандартами менеджмента качества) управлять документами, которые описывают, регламентируют и отражают указанные действия;
  • оповещение о нарушениях системы безопасности, которые должны иметь ранжирование или шкалирование, позволяющее использовать мощный аппарат предупреждающих и корректирующих действий, которые подробно разработаны в системах менеджмента качества и активно используются в интегрированных системах менеджмента;
  • ценности организации, к которым следует относить не только материальные ценности и технологии, но и ценности, которые могут быть выражены в организационной культуре или микроклимате, созданном в отдельном подразделении или даже на отдельном рабочем месте, что особенно важно для осуществления поверхностного монтажа и обеспечения качества электронных средств на всех стадиях производства;
  • процесс осуществления проверок или внутреннего аудита, а также выделенный отдельно процесс документирования порядка проведения и результатов указанных проверок с обязательным прямым указанием на основной документ (или комплекс документов), который отражает основные полученные сведения и соответствующую хронологию;
  • процесс признания идентичности, который должен быть распространен не только на признание аутентичности электронной компонентной базы и работающего персонала, но и на признание аутентичности информационных потоков, включающих в себя указания и распоряжения руководства или смежных служб;
  • доступность информационно ценных объектов— это свойство сходно с активно используемым в системах менеджмента качества свойством доступности компонентов на каждом входе, выходе или при осуществлении процесса производства электронных средств, когда весь процесс производства распределен по нескольким предприятиям отрасли;
  • процесс создания и хранения резервных копий информации, который также сходен с аналогичным процессом при обеспечении качества электронных средств;
  • процесс распознавания личности по биометрическим данным, а также плотно связанные с ним процессы создания, хранения и преобразования соответствующих баз данных, что также имеет аналоги в системах менеджмента качества в радиоэлектронной отрасли;
  • процесс ранжирования или классификации информации, включающий в себя имеющуюся или (что является наиболее актуальной частью этого процесса) хронологически изменяющуюся схему, на основании и в соответствии с которой созданная или используемая система должна обеспечить адекватное реагирование на возникшую угрозу или возможность;
  • процесс обеспечение конфиденциальности, то есть описание реакций системы, связанных с отказом в доступе для нераспознанных (или неавторизованных) пользователей, а также дополнительные действия, которые могут быть применены в случае распознания применения активных схем построения запросов с целью получения сведений об имеющихся или предполагаемых путей обхода системы информационной защиты.

Политика информационной безопасности организации включает в себя, кроме перечисленных выше процессов и объектов, набор руководящих принципов, практических методов и процедур, а также совокупность правил информационной безопасности, которые предназначены для использования при обеспечении соответствующей деятельности предприятия.

В заключение следует отметить, что разработка политики информационной безопасности и внедрение на её основе программы информационной безопасности в интегрированную систему менеджмента или (при отсутствии таковой) в систему менеджмента качества предприятия в качестве одного из основных документов при обеспечении управления соответствующими действиями по достижению поставленных целей в этой области позволит снизить или предусмотреть своевременное реагирование на риски, связанные с деятельностью в как на уровне государства, так и при выходе на международный рынок. 

Конфликт интересов Не указан. Conflict of Interest None declared.
 

Список литературы / References

  1. Сизов В.А. Проблемы внедрения siem-систем в практику управления информационной безопасностью субъектов экономической деятельности / В.А. Сизов, А.Д. Киров // Открытое образование. – 2020. – Т. 24. – № 1. – С. 69–79.
  2. Исаева М.Ф. О внутренних угрозах информационной безопасности / М.Ф. Исаева // Международный научно-исследовательский журнал. – 2019. – № 5-1 (83). – С. 26–28.
  3. Поляничко М.А. Применение модели зрелости для противодействия инсайдерским угрозам информационной безопасности / М.А. Поляничко // Международный научно-исследовательский журнал. – 2019. – № 4-1 (82). – С. 57–59.
  4. Малюк А.А. Формирование цифровой экономики и проблемы совершенствования нормативно-правового регулирования в области обеспечения информационной безопасности / А.А. Малюк, А.В Морозов // Безопасность информационных технологий. – 2019. – Т. 26.– № 4. – С. 21–36.
  5. Назаренко М.А. Разработка методов и средств планирования производственных процессов / М.А. Назаренко, М.М. Фетисова // Организатор производства. – 2014.– № 4 (63). – С. 26–34.
  6. Назаренко М.А. Разработка методов и средств управления производственными процессами и их результатами / М.А. Назаренко, М.М. Фетисова // Научное обозрение. – 2014. – № 8-3. – С. 1155–1159.
  7. Сиротюк В.О. Модели, методы и средства разработки и внедрения эффективной системы управления информационной безопасностью патентного ведомства / В.О. Сиротюк // Интернет-журнал Науковедение. – 2017. – Т. 9. – № 6. – С.5.

Список литературы на английском языке / References in English

  1. Sizov V.A. Problemy vnedreniya siem-sistem v praktiku upravleniya informatsionnoy bezopasnost'yu sub"yektov ekonomicheskoy deyatel'nosti [Problems of siem system implementing in practice of managing information security of economic entities] / V.A. Sizov, A.D. Kirov // Otkrytoye obrazovaniye [Open Education]. – 2020. – V. 24. – No. 1. – P. 69-79. [in Russian]
  2. Isaeva M.F. O vnutrennikh ugrozakh informatsionnoy bezopasnosti [On internal threats to information security] / M.F. Isaeva // Mezhdunarodnyy nauchno-issledovatel'skiy zhurnal [International Research Journal]. – 2019. – No 5-1 (83). – P. 26-28. [in Russian]
  3. Polyanichko M.A Primeneniye modeli zrelosti dlya protivodeystviya insayderskim ugrozam informatsionnoy bezopasnosti [Application of maturity model to counter insider threats to information security] / M.A Polyanichko // Mezhdunarodnyy nauchno-issledovatel'skiy zhurnal [International Research Journal]. – 2019. – No 4-1 (82). – P. 57-59. [in Russian]
  4. Malyuk A.A. Formirovaniye tsifrovoy ekonomiki i problemy sovershenstvovaniya normativno-pravovogo regulirovaniya v oblasti obespecheniya informatsionnoy bezopasnosti [Forming digital economy and problems of improving legal regulation in field of ensuring information security] / A.A. Malyuk, A.V. Morozov // Bezopasnost' informatsionnykh tekhnologiy [Information Technology Security]. – 2019. – Vol. 26. – No. 4. – P. 21-36. [in Russian]
  5. Nazarenko M.A. Razrabotka metodov i sredstv planirovaniya proizvodstvennykh protsessov [Development of means and methods of production processes planning] / M.A. Nazarenko, M.M Fetisova. // Organizator proizvodstva [Production Organizer]. – 2014. – No. 4 (63). – P. 26-34. [in Russian]
  6. Nazarenko M.A. Razrabotka metodov i sredstv upravleniya proizvodstvennymi protsessami i ikh rezul'tatami [Development of means and methods of production processes controlling and their results] / M.A. Nazarenko, M.M Fetisova. // Nauchnoye obozreniye [Scientific Review]. – 2014. – No. 8-3. – P. 1155-1159. [in Russian]
  7. Sirotyuk V.O. Modeli, metody i sredstva razrabotki i vnedreniya effektivnoy sistemy upravleniya informatsionnoy bezopasnost'yu patentnogo vedomstva [Models, methods and tools for development and implementation of effective information security management system of patent office] / V.O. Sirotyuk // Internet-zhurnal Naukovedeniye [Internet Journal of Science]. – 2017. – V. 9. – No. 6. – P. 5. [in Russian]