Вопросы информационной безопасности в образовательных программах для цифровой экономики

Размещено на http://www.allbest.ru/

Вопросы информационной безопасности в образовательных программах для цифровой экономики

безопасность информационный организация

Зенченко С.А.

к.т.н., с.н.с., доцент, Минский филиал

Российского экономического университета

zench@tut.by

Ключевые слова: информационные технологии, цифровая экономика, компетенции, образование.

Keywords: information technology; digital economy; competency; education.

Информационная безопасность является важной компонентой Концепции национальной безопасности Республики Беларусь. Указ Президента Республики Беларусь от 9 ноября 2010 г. N575 "Об утверждении Концепции национальной безопасности Республики Беларусь". - http://kgb.by/ru/ukaz575/ Информационная безопасность в этой Концепции определяется как «состояние защищенности сбалансированных интересов личности, общества и государства от внешних и внутренних угроз в информационной сфере».

Среди основных национальных интересов в информационной сфере следует выделить:

· преобразование информационной индустрии в экспортно-ориентированный сектор экономики;

· обеспечение надежности и устойчивости функционирования критически важных объектов информатизации.

В то же время Концепция выделяет внутренние и внешние источники национальной безопасности, такие как:

· зависимость Республики Беларусь от импорта информационных технологий, средств информатизации и защиты информации, неконтролируемое их использование в системах, отказ или разрушение которых может причинить ущерб национальной безопасности;

· недостаточное развитие государственной системы регулирования процесса внедрения и использования информационных технологий;

· попытки несанкционированного доступа извне к информационным ресурсам Республики Беларусь, приводящие к причинению ущерба ее национальным интересам.

И внутренние, и внешние источники национальной безопасности оказывают свое влияние и на информационную безопасность отдельных предприятий и организаций, под которой понимается защищенность информации и всей компании от действий, причиняющих ущерб владельцам или пользователям. При этом возникают такие проблемы, как финансовые убытки, потеря конкурентного преимущества, которые, в конечном счете, могут привести к ликвидации компании.

Декрет № 8 «О развитии цифровой экономики» также требует повышенного внимания к вопросам защиты информации Декрет Президента Республики Беларусь «О развитии цифровой экономики» № 8 от 21 декабря 2017. - http://president.gov.by/ru/official_documents_ru/view/dekret-8-ot-21-dekabrja-2017-g-17716/.

Задачи информационной безопасности состоят в обеспечении четырех основных характеристик информации: доступность, целостность, конфиденциальность и достоверность. Под этими терминами принято понимать соответственно: способность систем представлять своевременный беспрепятственный доступ к информационным ресурсам субъектов, обладающих соответствующими правами; защиту от сбоев, ведущих к потере информации, защиту от несанкционированных изменений или уничтожения данных; ограниченный доступ к информации, предназначенной только для авторизированного пользователя; общую полноту и точность воспринимаемой информации Балановская A.B. Обеспечение информационной безопасности предприятий промышленности // Вестн. Самар. гос. ун-та. - Самара, 2011. - № 3 (84). - С. 72-79..

Еще одним уровнем информационной безопасности является защита персональных данных. В соответствии с Правилами Евросоюза «персональные данные» означают такую информацию, как Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of per-sonal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). - https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:02016R0679-20160504&from=EN:

· ФИО;

· идентификационный номер;

· данные о местоположении;

· сетевой идентификатор,

а также следующие факторы:

· физиологические;

· генетические

· психические;

· экономические;

· культурные или социальные.

Доступ к любым этим данным или их совокупности может нанести вред физическому лицу в его личной, профессиональной или общественной деятельности.

Система обеспечения национальной безопасности включает в себя информационную безопасность, которая осуществляется путем участия Республики Беларусь в международных договорах, регулирующих на равноправной основе мировой информационный обмен, в создании и использовании межгосударственных, международных глобальных информационных сетей и систем. Для недопущения технологической зависимости государство сохраняет роль регулятора при внедрении иностранных информационных технологий.

Составной частью информационного обеспечения государственной политики является информационное противоборство, представляющее собой комплексное использование информационных, технических и иных методов, способов и средств для воздействия на информационную сферу с целью достижения политических, экономических и иных задач либо защиты собственного информационного пространства.

На втором уровне информационной безопасности - информационной безопасности промышленных предприятий - необходимо развивать системы информационного менеджмента на основе международных стандартов ISO серии 27000. Данная серия содержит более 60 стандартов, охватывающих различные аспекты и применения информационной безопасности The ISO27k Standards. - http://www.iso27001security.com/html/iso27000.html. Рассмотрим некоторые стандарты из этой серии, относящиеся к системам менеджмента информационной безопасности (СМИБ) и их сертификации:

· ISO/IEC 27000:2018 - Информационные технологии: Система менеджмента информационной безопасности, Обзор и словарь. Стандарт является введением в стандарты серии ИСО 27000 в целом.

· ISO/IEC 27001:2013 - Системы менеджмента информационной безопасности. Требования. Стандарт формально определяет требования к системам менеджмента информационной безопасности, на основании которых проводится сертификация.

· ISO/IEC 27002:2013 - Свод практических правил для средства контроля информационной безопасности. Стандарт содержит достаточно полный набор целей контроля информационной безопасности и общепринятых проверок безопасности передовой практики.

· ISO/IEC 27003:2017 - Руководство по внедрению системы менеджмента информационной безопасности. Стандарт содержит надежные рекомендации по внедрению стандартов серии ISO27000 с расширением раздел за разделом в соответствии с основным разделом ISO/IEC 27001/

· ISO/IEC 27004:2016 - Менеджмент информационной безопасности. Менеджмент. Стандарт содержит полезные советы по метрикам безопасности.

· ISO/IEC 27005:2018 - Риск-менеджмент информационной безопасности. В стандарте обсуждаются принципы управления информационными рисками в целом без указания конкретных методов.

Комплект этих стандартов позволяет разработать систему менеджмента информационной безопасности, внедрить и сертифицировать ее.

Около 40000 предприятий и организаций в мире к 2018 году сертифицировали свои системы менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001. К сожалению, в Республике Беларусь сертифицировано только 9 организаций, в России - 78. В то же время в Японии сертифицировано более 9000 организаций The ISO Survey 2017. - https://www.iso.org/the-iso-survey.html.

Персональная информационная безопасность определяется не только данными, содержащимися в домашних и рабочих персональных компьютерах. Во многом она определяется доступом к базам данных различных специализированных учреждений - банков, больниц, диспансеров и пр. Установка антивирусных программ повышает персональную информационную безопасность.

Эффективным способом повышения информационной безопасности организаций является создание систем менеджмента информационной безопасности.

В стандарте ISO/IEC 27000:2018 приведены основные определения принципы способствующие успешной реализации СМИБ ISO/IEC 27000:2018 Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary:

a) понимание необходимости системы информационной безопасности;

b) назначение ответственности за информационную безопасность;

c) соединение административных обязанностей и интересов заинтересованных лиц;

d) возрастание социальных ценностей;

e) оценка риска, определяющая соответствующие средства управления для достижения допустимых уровней риска;

f) безопасность как неотъемлемый существенный элемент информационных сетей и систем;

g) активное предупреждение и выявление инцидентов информационной безопасности;

h) обеспечение комплексного подхода к менеджменту информационной безопасности;

i) непрерывная переоценка и соответствующая модификация системы информационной безопасности.

Стандарт ISO/IEC 27001:2013 ISO/IEC 27001:2013 Information technology -- Se 21 декабря 2017 Security techniques -- Information security management systems - Requirements. рассматривает требования по созданию, внедрению, поддержанию и постоянному совершенствованию системы менеджмента информационной безопасности. Принятие системы менеджмента информационной безопасности является стратегическим решением для организации. На создание и внедрение системы управления информационной безопасностью организации влияют потребности и цели организации, требования безопасности, используемые организационные процессы, а также размер и структура организации.

Система менеджмента информационной безопасности сохраняет конфиденциальность, целостность и доступность информации путем применения процесса управления рисками и дает уверенность заинтересованным сторонам в том, что риски адекватно управляются.

Важно, чтобы система менеджмента информационной безопасности была интегрирована и общую структуру управления и чтобы информационная безопасность учитывалась при проектировании процессов, информационных систем и средств управления.

Системы менеджмента информационной безопасности сертифицируются на соответствие данному стандарту.

Стандарт ISO/IEC 27002:2013 ISO/IEC 27002:2013, Information technology -- Security Techniques -- Code of practice for information security controls. предназначен для использования организациями в качестве справочного материала для выбора средств управления в процессе внедрения или в качестве руководящего документа для организаций, реализующих общепринятые средства управления информационной безопасностью.

ISO/IEC 27003:2017 ISO/IEC 27003:2017 Information technology -- Security techniques -- Information security management systems -- Guidance (second edition)., ISO/IEC 27004:2016 ISO/IEC 27004:2016 Information technology -- Security techniques -- Information security management -- Monitoring, measurement, analysis and evaluation. и ISO/IEC 27005:2018ISO/IEC 27005:2018 Information technology -- Security techniques -- Information security risk management. образуют набор стандартов, поддерживающих и обеспечивающих руководство по ISO/IEC 27001: 2013. Среди этих стандартов ISO/IEC 27003:2017 является базовым и всеобъемлющим документом, в котором содержатся рекомендации по всем требованиям ISO/IEC 27001:2013, но нет подробных описаний, касающихся «мониторинга, измерения, анализа и оценки» и «менеджмента рисков информационной безопасности». ISO/IEC 27004:2016 и ISO/IEC 27005:2018 дают более подробное руководство по «мониторингу, измерению, анализу и оценке» и «менеджменту рисков информационной безопасности».

Развитие систем менеджмента информационной безопасности на всех уровнях ставит задачу подготовки специалистов в этой области.

Многие учреждения образования в России и Беларуси ведут подготовку по направлению «Информационная безопасность». В основном программы направлены на подготовку технических специалистов в области аппаратного и программного обеспечения информационной безопасности. Но в современных условиях необходима также подготовка менеджеров систем информационной безопасности. Европейский подход к развитию цифровых компетенций предполагает повышение информированности о безопасности в Интернете, по кибергигиене и медиаграмотности, а также внедрение программ обучения кибер-безопасности Загуменнов Ю.Л. Общеевропейские подходы к использованию технологий информатизации в образовании Информатизация непрерывного образования - 2018 = Informatization of Continuing Education - 2018 (ICE-2018): материалы Международной научной конференции. Москва, 14-17 октября 2018 г. : в 2 т. / Под общ. ред. В.В. Гриншкуна. - М.: РУДН, 2018. - Т. 2. - С. 300-303.

Предлагаемый подход предполагает включение в рабочую программу «Информационный менеджмент» для направлений «Экономика» и «Менеджмент» компетенций по системам информационной безопасности.

Этот раздел программы должен быть основан на изучении Международных стандартов ISO серии 27 000 и их национальных аналогов и включать следующие темы:

1. Семейство стандартов на системы менеджмента информационной безопасности.

2. Разработка системы менеджмента информационной безопасности.

3. Внутренний и внешний аудиты системы менеджмента информационной безопасности.

4. Нормы и правила обеспечения информационной безопасности

5. Риск-менеджмент информационной безопасности.

Целесообразно разработать программу повышения квалификации «Информационная безопасность» для менеджеров организаций, связанных с обслуживанием информационных сетей и компьютеров в организации. В основу программы также должны быть положены международные стандарты ISO серии 27000. Часть этих стандартов доступна на русском языке, что облегчает подготовку учебных материалов.

Размещено на Allbest.ru