Решение задач информационной безопасности с применением цикл Шухарта – Деминга
ВВЕДЕНИЕ
В современном мире значение информационных технологий возрастает стремительно, что представляет собой не только большие возможности, но и серьезные риски, среди которых одними из главных являются угрозы информационной безопасности.
Современные информационные технологии, как правило, развиваются по одному и тому же сценарию. Начинается все с идеи, которая, будучи актуальной, коммерциализируется, создается продукт, позволяющий создателям получать значительные дивиденды. В том случае, если этот продукт окажется достаточно успешным, он неизбежно привлечет внимание киберпреступников, которые тут же начнут разрабатывать незаконные способы заработка на нем или его пользователях. Понятно, что бизнес не может игнорировать эти угрозы и вынужден на них реагировать, создавая системы защиты.
Специалистам ИБ необходимо быть всегда осведомленными о новых технологиях, которые могут пригодиться как в защите данных, так и в защите самих специалистов. Для реализации такой защиты необходимо
ОГЛАВЛЕНИЕ
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ И ОБОЗНАЧЕНИЙ 6
ВВЕДЕНИЕ 7
ГЛАВА 1. ЗАДАЧИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 9
1.1 Основные принципы информационной безопасности 9
1.2 Виды угроз информационной безопасности 10
1.3 Определение задач информационной безопасности 13
1.4 Законы, регламентирующие вопросы информационной безопасности в Российской Федерации 14
1.5 Методы и средства контроля и управления информационной безопасностью 15
1.6 Выводы по главе 17
ГЛАВА 2. ВОПРОСЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ КАЧЕСТВОМ 18
2.1 Системы менеджмента качества 18
2.2 Универсальные стандарты по управлению качеством 26
2.3 Контроль качества в информационных системах 27
2.4 Выводы по главе 29
ГЛАВА 3. РАЗРАБОТА РЕКОМЕНДАЦИЙ ПО ВНЕДРЕНИЮ ШУХАРТА – ДЕМИНГА ПРИ РЕШЕНИИ ЗАДАЧ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 30
3.1 Стандарты, регламентирующие деятельность в области информационной безопасности 30
3.2 Анализ имеющегося опыта использования цикла Шухарта – Деминга в области информационной безопасности 31
3.3 Разработка рекомендаций по внедрению СУИБ с применением цикла Шухарта – Деминга 34
3.4 Выводы по главе 48
ЗАКЛЮЧЕНИЕ 49
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 50
ПРИЛОЖЕНИЕ А 53
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Гродзенский С. Я. Управление качеством : учебник. – 3-е изд., перераб. и доп. – Москва : Проспект, 2021. – 368 с
2. Гродзенский Я. С. Информационная безопасность : учебное пособие. – Москва : РГ-Пресс, 2020. – 144 с.
3. ГОСТ Р ИСО/МЭК 27000-2021 Системы менеджмента информационной безопасности. Общий обзор и терминология [электронный ресурс]. – URL: https://docs.cntd.ru/document/1200179675 (дата обращения: 10.12.2022).
4. ГОСТ Р ИСО/МЭК 27001-2021 Системы менеджмента информационной безопасности [электронный ресурс]. – URL: https://docs.cntd.ru/document/1200181890 (дата обращения: 10.12.2022).
5. ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы и средства обеспечения безопасности [электронный ресурс]. – URL: https://docs.cntd.ru/document/1200179669 (дата обращения: 10.12.2022).
6. ГОСТ Р ИСО/МЭК 27003-2021 Системы менеджмента информационной безопасности [электронный ресурс]. – URL: https://docs.cntd.ru/document/1200179612 (дата обращения: 10.12.2022).
7. ГОСТ Р ИСО/МЭК 27004-2021 Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание [электронный ресурс]. – URL: https://docs.cntd.ru/document/1200179613 (дата обращения: 10.12.2022).
8. ГОСТ Р ИСО/МЭК 27005-2010 Менеджмент риска информационной безопасности [электронный ресурс]. – URL: https://docs.cntd.ru/document/1200084141 (дата обращения: 10.12.2022).
9. ГОСТ Р ИСО/МЭК 17799-2005. Практические правила управления информационной безопасностью [электронный ресурс]. – URL: https://docs.cntd.ru/document/1200179669 (дата обращения: 10.12.2022).
10. ГОСТ Р ИСО 9000-2015. Основные положения и словарь [электронный ресурс]. – URL: https://docs.cntd.ru/document/1200124393 (дата обращения: 10.12.2022).
11. ГОСТ Р ИСО/МЭК 20000-1-2013. Требования к системе управления услугами [электронный ресурс]. – URL: https://docs.cntd.ru/document/1200144207 (дата обращения 12.12.2022).
12. ГОСТ Р ИСО 22301-2014. Системы менеджмента непрерывности бизнеса. Общие требования [электронный ресурс]. – URL: https://docs.cntd.ru/document/1200113802 (дата обращения 12.12.2022).
13. SWOT Analysis of Information Security Management System ISO 27001 [электронный ресурс]. – URL: https://repository.uel.ac.uk/download/272142c9401b8a3f54f1e76ab8bd10e2bb2eb9335ededa1442df3c36e5cf015f/753064/SWOT%20analysis%20of%20information%20security%20management.pdf (дата обращения 10.12.2022).
14. Карманов
Распределение обязанностей по обеспечению ИБ.
Должно быть четкое разделение ответственностей за защиту различных активов и реализацию определенных процессов, связанных с ИБ. Лица, на которые возложена обязанность по обеспечению безопасности, могут делегировать различные задачи другим лицам, но они в любом случае остаются ответственными за их выполнение.
Осведомленность и обучение в области ИБ.
Все сотрудники организации и, где необходимо, подрядчики и представители третьей стороны, должны пройти соответствующее обучение и получать на регулярной основе обновленные варианты политик и процедур, принятых в организации и необходимых для выполнения их рабочих функций.
Корректирующая обработка в прикладных программах.
Соответствующие меры и средства контроля и управления необходимо предусмотреть в прикладных программах, включая прикладные программы, разработанные пользователем, для обеспечения уверенности в корректности обработки данных. Указанные меры и средства контроля и управления должны также включать возможность подтверждения корректности ввода, обработки и вывода данных. Дополнительные меры и средства контроля и управления могут потребоваться для систем, которые обрабатывают или оказывают воздействие на чувствительную, ценную или критическую информацию. Такие меры и