ПОРІВНЯННЯ МОДЕЛЕЙ ЗРІЛОСТІ ПРОЦЕСІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ОРГАНІЗАЦІЇ (КОМПАНІЇ)

Олександр  Торошанко; Юрій Щебланін; Олег Курченко

doi:10.17721/ISTS.2024.7.24-30

Автор(и)

Олександр Торошанко Київський національний університет імені Тараса Шевченка Автор https://orcid.org/0000-0002-2354-0187
Юрій Щебланін Київський національний університет імені Тараса Шевченка Автор https://orcid.org/0000-0002-3231-6750
Олег Курченко Київський національний університет імені Тараса Шевченка Автор https://orcid.org/0000-0002-3507-2392

DOI:

https://doi.org/10.17721/ISTS.2024.7.24-30

Ключові слова:

модель, оцінювання зрілості, загроза, інформаційна безпека

Анотація

Вступ. Зростання зловмисної активності в інформаційному та кібернетичному просторах ставить перед керівниками підприємств (організацій) і власниками компаній додаткові завдання та вимоги щодо захисту своїх активів. Втрата активів, наприклад, фінансового або технологічного, може призвести до неможливості виконання компанією своєї базової функції – приносити прибуток. Методи. Використано методи аналізу ризиків інформаційної безпеки. Результати. Організації витрачають значні фінансові ресурси на придбання й експлуатацію технологій захисту, створюють відповідні структурні підрозділи, завданнями яких є оцінювання та забезпечення відповідного рівня інформаційної безпеки підприємства (компанії). Водночас існує ризик настання ситуації, коли, використовуючи сучасніші технології, зловмисники зможуть подолати систему захисту компанії та завдати неповоротних втрат як фінансових, так і репутаційних. Висновки. Одним із напрямів розв'язання цієї проблеми є створення системи управління інформаційною безпекою (СУІБ), яка є складовою загальної системи управління організації (компанії) і ґрунтується на оцінюванні бізнес-ризиків, яка створює, реалізує, експлуатує, здійснює моніторинг, перегляд, супровід і вдосконалення інформаційної безпеки організації (підприємства). СУІБ містить організаційну структуру організації (компанії), її політики, питання планування, контроль за дотриманням вимог посадових обов'язків, впровадження сучасних практик, контроль та супроводження процесів ресурсів. Кращі світові практики, для оцінювання рівня інформаційної безпеки організації, рекомендують використовувати підхід, що базується на можливостях моделей зрілості процесів. Отримані результати можна використовувати для вдосконалення або оптимізації створеної системи інформаційної безпеки організації (компанії). Нині для організацій (компаній) доступний великий набір моделей оцінювання зрілості інформаційної безпеки, побудованих на схожих принципах. Причому реальне використання таких моделей досить обмежене, в першу чергу через слабке прив'язування до особливостей конкретних організацій. В роботі розглянуто моделі зрілості процесів, їхню структуру та можливості використання у процесі оцінювання рівня інформаційної безпеки.

Завантажити

Дані для завантаження поки недоступні.

Посилання

Гребенніков, А., & Щебланін, Ю. (2018). Аналіз використання моделей зрілості процесів у ході оцінювання рівня інформаційної безпеки. Сучасний захист інформації, 1(33), 33–37.

Рой, Я. В., Рябчун, О. П., & Єрмошин, В. В. (2020). Модель зрілості можливостей системи кібербезпеки на об'єктах критичної інфраструктури енергетичного сектору ES-C2M2. Кібербезпека: освіта, наука, техніка, 2(10), 67–72.

Department of Energy: Cybersecurity Capability Maturity Model (2014). Version 1.1, Department of Homeland Security. https://www.energy.gov/ceser/cybersecurity-capability-maturity-model-c2m2.