Oснови формування системи менеджменту інформаційної безпеки підприємства

Abstract

У статті розглянуто передумови формування системи інформаційної безпеки підприємства та визначено особливості управління нею, що пов’язані з постійним розвитком інформаційної інфраструктури підприємства, наданням різних видів інформаційних сервісів, автоматизації фінансової та виробничої діяльності, а також бізнес-процесів сучасної організації. Визначено дуальність поглядів на процес формування системи інформаційної безпеки підприємства: які, з однієї сторони – обумовлені обов’язковістю виконання вимог стандартів, нормативів, процесів ліцензування, тощо; з іншого – розумінням власника або вищого керівництва організації необхідності впровадження системи захисту інформації. Тому метою статті стало визначення вимог до формування ефективної моделі інформаційної безпеки підприємства та аналіз особливостей її формування. Відповідно до встановленої мети розглянуто та охарактеризовано основні драйвери формування системи інформаційної безпеки підприємства, серед яких провідне місце займають: необхідність відповідності різним нормативним актам, а також захист приватних та корпоративних даних. На основі проведеного аналізу сучасних підходів до визначення сутності інформаційної безпеки, на основі узагальнення теоретичних положень та досвіду функціонування організацій запропоновано систему інформаційної безпеки підприємства розглядати як модель інформаційного протиборства з факторами внутрішнього та зовнішнього середовища. Відповідно, елементом новизни стало формування моделі системи менеджменту інформаційної безпеки підприємства на основі ризик-орієнтованого підходу з врахуванням рекомендацій ISO / IEC 27003 «Information technology – Security techniques – Information security management system implementation guidance». Запропоновано етапи формування системи менеджменту інформаційної безпеки суб’єкту господарювання, що об’єднуються за трьома основними напрямами: встановлення сфери застосування і політики системи менеджменту інформаційної безпеки підприємства, вибір захисних заходів на основі системи ризик-менеджменту та отримання схвалення керівництва для впровадження засобів та форму- 81 вання заходів обробки ризиків та формулювання рівня можливості застосування вимог з каталогів вимог вітчизняних та міжнародних стандартів.