Актуальні питання управління ІТ ризиками на об’єктах критичної інформаційної інфраструктури
DOI: 10.31673/2412-4338.2022.012935
Анотація
На сьогодні актуальним питанням безпекової галузі є спрямування на стан інформаційної безпеки об’єктів критичної інфраструктури з ефективним застосуванням відповідних заходів щодо підтримання її в належному стані.
В даній статті підкреслюється особлива актуальність даних питань з акцентом на найбільш значущі аспекти забезпечення інформаційної безпеки на об’єктах критичної інфраструктури шляхом управління ризиками та стратегії реагування на них. Розкривається сутність способів реагування на ризики та їх обробки.
Попереднє планування процесу управління ризиками, пов'язаними з інформаційною інфраструктурою і є ключовим аспектом процесу управління ризиками безпеки. Грамотно спланований процес передбачає відповідність значущості бізнес-процесу для об'єкту критичної інфраструктури тим затратам, які необхідні для управління ризиками, що впливають на цей бізнес-процес. Всі бізнес-процеси, для яких величина збитку більше деякої заздалегідь визначеної величини, оголошуються критичними.
Діяльність з планування управління ризиками найефективніше здійснює спеціальна робоча група, до складу якої входять топ-менеджер, керівники інших підрозділів та ІТ менеджер. Робоча група формує стратегії реагування на виявлені, оцінені і проранжовані ризики. Необхідно підкреслити, що аналізуючи ризики, потрібно брати до уваги не тільки роботу систем в штатному режимі, але і пікове навантаження на них.
При прийнятті рішень щодо реагування на відповідні ризики мають враховуватись витрати з урахуванням повної оцінки рівня ризиків характерних для функціонування об’єктів критичної інфраструктури.
Коли керівниками бізнес-підрозділів визначаються завдання по боротьбі з ризиками в їх підрозділах, найчастіше вони приймають будь-які ризики не розуміючи наслідків, так як їх реальні цілі пов'язані з виконанням основних службових завдань, які впливають на кінцевий результат діяльності. Варіанти обробки ризику повинні бути оцінені на основі зниження ступеню ризику і ступеню будь-яких створюваних додаткових вигод або можливостей.
Особлива увага звернута на стратегію прийняття ризиків, яка потребує значних професійних та інтелектуальних здібностей осіб, які приймають рішення. З урахуванням особливостей даного способу реагування необхідна розробка підходу адаптованого для конкретного об’єкту інформаційної діяльності з визначенням питання економічної доцільності застосування безпекових заходів стосовно прояву можливих інцидентів інформаційної безпеки.
Ключові слова: об’єкти критичної інфраструктури,стратегія реагування, прийняття ризиків,інформаційна безпека.
Список літератури
1. Постанова КМ України «Про затвердження Загальних вимог до кіберзахисту об’єктів критичної інфраструктури» від 19 червня 2019 р. № 518 Київ {Із змінами, внесеними згідно з Постановою КМ № 991 від 02.09.2022}.
2. Іформаційна та кібербезпека: соціотехнічний аспект: підручник / [В. Л. Бурячок, В. Б. Толубко, В. О. Хорошко, С. В. Толюпа];.— К.: ДУТ, 2015.— 288 с.
3. Домарев, В. В. Управління інформаційною безпекою в банківських установах (Теорія і практика впровадження стандартів серії ISO 27k) / В. В. Домарєв, В. В. Домарєв. – Донецьк: Велстар, 2012, 2012 – 146 с.
4. Богуш В. М. Юдін О. К. Інформаційна безпека держави. Харків: Консум. 2004. С-508.
5. Гарасим Ю.Р. Аналіз процесу управління ризиками інформаційної безпеки в процесі забезпечення властивості живучості систем / Ю.Р. Гарасим, В.А. Ромака,М.М. Рибій // Вісник Національного університету “Львівська політехніка” “Автоматика, вимірювання та керування”. – 2013. – № 756. – С. 105-123.
6. ДСТУ ISO/IEC 27001:2015 Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2013; Cor 1:2014, IDT).
7. ДСТУ ISO/IEC 27002:2015 Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки (ISO/IEC 27002:2013; Cor 1:2014, IDT).
8. ДСТУ ISO/IEC 27005:2015 Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки (ISO/IEC 27005:2011, IDT).
9. ДСТУ ISO/IEC TR 19791:2015 Інформаційні технології. Методи захисту. Оцінювання безпеки операційних систем (ISO/IEC TR 19791:2010, IDT).
10. НАЦІОНАЛЬНИЙ БАНК УКРАЇНИ, Департамент інформатизації, Постанова Правління Національного банку України від 28.10.2010 N 474 (v0474500-10) "Про набрання чинності стандартами з управління інформаційною безпекою в банківській системі України", «Методичні рекомендації щодо впровадження системи управління інформаційною безпекою та методики оцінки ризиків відповідно до стандартів Національного банку України.