引用次数: 0
摘要
导言。在信息安全领域取得的经验和对制定公司信息安全政策的新要求,使我们有可能为建立信息安全管理系统提出相当有效的建议。问题。企业信息安全管理系统的核心流程是事件管理流程。只有对这一过程进行有效组织,才能确保企业信息安全系统有效运作的整个阶段序列达到适当水平,涵盖信息安全事件整个生命周期的所有行动;从规划、培训和提高认识到检测、响应和从信息安全事件中学习。本文旨在从理论和方法上证明,在分析企业信息保护系统的世界实践时,引入信息安全事件管理流程是适宜的。方法。本研究采用了系统方法、理论概括和比较方法、分析和综合方法。信息基础是作者自己的研究、ISO/IEC 2700x 系列国际信息安全标准、科学期刊上的出版物和互联网资源。研究结果本研究分析了组织事件管理流程的两个最有效方案(美国和欧洲)。通过分析,确定了每个流程的组织特点、优缺点,并证明了采用综合方法组织流程的必要性。事实证明,事件管理流程的综合组织方法应考虑到与其他管理流程的相互关联性,并与国际信息安全标准保持一致。采用这种算法可以最大限度地降低与公司信息资源可能丢失有关的潜在风险。因此,它能最大限度地减少因不遵守公司信息安全政策而造成的潜在经济损失。结论。所开展的研究使得在创建企业信息安全管理系统时填补潜在的信息空白成为可能。拟议解决方案的另一个优点是可以将该子流程作为一个独立的子流程使用,这从总体上简化了公司信息安全管理的程序,并有助于降低其建设成本。本文章由计算机程序翻译,如有差异,请以英文原文为准。
Світова практика управління подіями інформаційної безпеки корпорацій
Вступ. Накопичені у сфері захисту інформації досвід, та нові вимоги щодо побудови політики інформаційної безпеки компаній дали змогу виробити досить ефективні рекомендації щодо побудови системи управління інформаційною безпекою.
Проблема. Центральним процесом у системі управління інформаційною безпекою корпорацій є процес «Управління подіями». Тільки компетентна організація цього процесу може забезпечити належний рівень усієї послідовності етапів ефективного функціонування системи захисту корпоративної інформації, що охоплює всі дії протягом усього життєвого циклу події інформаційної безпеки; від планування, навчання та підвищення обізнаності до виявлення, реагування та навчання на подіях інформаційної безпеки.
Метою статті є теоретико-методичне обґрунтування доцільності запровадження процесу Управління подіями інформаційної безпеки в контексті аналізу світової практики системи захисту корпоративної інформації.
Методи. У ході дослідження використано методи системного підходу, теоретичне узагальнення та порівняння, аналіз і синтез. Інформаційною базою є власні дослідження автора, міжнародні стандарти інформаційної безпеки серії ISO/IEC 2700x, публікації в наукових виданнях та інтернет-ресурси.
Результати. У рамках дослідження проаналізовано два найефективніші варіанти (США та Європа) організації процесу Управління подіями. Проведений аналіз дав змогу виявити особливості організації кожного процесу, його переваги та недоліки, довів необхідність формування комплексного підходу до організації процесів.
Обґрунтовано, що комплексний підхід до організації процесу Управління подіями має враховувати взаємопов’язаність з іншими процесами управління та бути гармонізований з міжнародними стандартами інформаційної безпеки.
Впровадження цього алгоритму дає змогу мінімізувати потенційні ризики, пов’язані з можливими втратами інформаційних ресурсів корпорації. А отже, й мінімізує потенційну економічну шкоду, що викликано недотриманням політики інформаційної безпеки корпорації.
Висновки. Проведені дослідження дають можливість на практиці заповнити потенційні прогалини інформації під час створення системи управління інформаційною безпекою корпорацій. Додатковою перевагою запропонованого рішення є можливість задіяння цього підпроцесу як незалежного, що спрощує процедуру управління інформаційною безпекою корпорації загалом і сприяє зниженню витрати на її побудову.
求助全文
通过发布文献求助,成功后即可免费获取论文全文。
去求助
求助内容:
应助结果提醒方式:
京公网安备 11010802042870号
