ПЕРЕЛІК УМОВНИХ СКОРОЧЕНЬ
Модель ПВПД - (плануй-виконуй-перевіряй-дій; англ. Plan-Do-Check-Act, PDCA)
СУІБ - Система управління інформаційною безпекою
ІА – інформаційні активи
ORM– это аббревиатура для Object Relational Mapping (Объектно-реляционное отображение).
ВСТУП
Актуальність. Повсюдне впровадження сучасних інформаційних технологій передбачає поряд з раціональним використання ресурсів розподіленої комп'ютерної мережі ще й організацію ефективної протидії загрозам нападу на її інфраструктуру. Безперервні зміни в конфігурації системи, її параметрів і складу програмного забезпечення вимагають постійного аналізу стану захищеності системи, передбачення і виявлення нових загроз безпеці і застосування превентивних заходів.
Сьогодні, поряд з інтеграцією функціональної, схемотехничної, мережевої, активно розвивається інтегральна безпека, що характеризує такий стан життєдіяльності людини, а також функціонування об'єктів і інформації, при якому вони надійно захищені від усіх можливих видів загроз в ході безперервного життєвого процесу і вирішення поставлених завдань.
Сучасні інформаційні технології не тільки автоматизують основні функції діяльності підприємств (організацій, установ), тим самим сприяючи досягненню цілей діяльності, але й можуть надати їм ряд нових затребуваних функцій та сервісів. Це означає, що інформаційні технології стають активами підприємства і, як будь-які активи, вимагають управління, спрямованого на мінімізацію ризиків його діяльності [1].
Інформаційна безпека являє собою сукупність процесів, спрямованих у тому числі на мінімізацію ризиків інформаційних технологій і, як наслідок, мінімізацію ризиків діяльності підприємства. Кінцевою метою безпеки є забезпечення стану захищеності інтересів і мети діяльності підприємства.
Для успішного використання сучасних інформаційних технологій необхідне надійне та ефективне управління не тільки власне інформаційними системами, але і засобами їх безпеки. Якщо у минулому завдання полягало в забезпеченні управління окремими засобами (наприклад, серверами, мережами та маршрутизаторам), то зараз виникає необхідність забезпечити інформаційну безпеку корпоративних процесів діяльності підприємств.
У зв'язку з цим на перший план виступає завдання створення комплексної системи управління, яка охоплює всю інфраструктуру підприємства і, незалежно від складності та масштабу інформаційної системи, що дозволяє:
-централізовано та оперативно здійснювати управляючі впливина всю інформаційну інфраструктуру;
-проводити регулярний аудит та всеохоплюючий моніторинг, що дає об'єктивну інформацію про стан інформаційної безпеки для прийняття оперативних рішень;
- проводити збір статистичних даних про роботу інформаційної інфраструктури для прогнозування її розвитку.
Відомі підходи до вирішення поставленої задачі. Вирішення завдань для прийняття оперативних рішень при виявленні в процесі моніторингу порушень інформаційної безпеки (ІБ) можливо за допомогою створення спеціалізованих експертних систем для досягнення максимальної синергії та консолідації в системі менеджменту інформаційної безпеки (СМІБ).
Другим підходом до вирішення завдань СМІБ є інтегральна безпека. Інтегральна безпека в межі акумулює в собі всі необхідні для вирішення даного завдання види безпеки (охоронна, пожежна, екологічна, особиста, інформаційна тощо). Поняття інтегральної безпеки передбачає обов'язкову безперервність процесу забезпечення безпеки, як в часі, так і в просторі по всьому технологічному циклу діяльності з обов'язковим урахуванням усіх можливих видів загроз (витоку інформації, несанкціонованого доступу, тероризму, пожежі, аварій, і т.п.). Тому, наприклад, при забезпеченні інтегральної безпеки організації, фірми, будь-якої комерційної структури в обов'язковому порядку повинні враховуватися одночасно питання, як забезпечення інформаційної безпеки, так і захисту об'єкта і персоналу [2].
Мета роботи полягає в удосконаленні програмного модулю для підвищення рівня захищеності інформаційних активів спеціалізованої експертної системи «Портал ESS».
Для досягнення поставленої мети вирішуються такі задачі:
проведення аналізу систематизованої сукупності відомостей про уразливості, загрози та атаки в інформаційних системах;
дослідження методів та засобів управління комплексними системами захисту інформації;
розробка програмного коду модуля інвентаризації інформаційних активів та оцінка підвищення рівня його захищеності.
Галузь застосування. Розроблений програмний продукт відноситься до галузі кібербезпеки і підвищує ефективність роботи СМІБ, що призводить до додаткового економічного ефекту
Об’єктом дослідження є процес моніторингу порушень ІБ для проведення заходів з удосконалення СМІБ.
Предметом дослідження є основні модулі роботи спеціалізованих експертних систем.
Методи дослідження: методи математичної статистики, методи оцінки ризиків, методи управління інформаційної безпеки, об’єктно-орієнтоване програмування (мова програмування Java).
Новизна одержаних результатів полягає в наступному:
впровадження спеціалізованої експертної системи «Портал ESS» (розробник Україна) до якої входить модуль інвентаризації інформаційних активів, істотно підвищує функціональні здатності для рішень, та вперше виключають використання неуніфікованих та затратних процесів підготовки, узгодження, затвердження та реалізації, які використовуються в процесах управління СМІБ.
Практичне значення отриманих результатів:
розроблений програмний код для модуля інвентаризації інформаційних активів дає додаткові можливості виявлення несанкціонованого доступу до інформаційних активів підприємств і установ всіх видів власності та підвищує рівень їх захищеності.
1 2 3 4 5 6 7 8 9