Анотація
Анотація. В статті обґрунтовано важливість на необхідність побудови ефективної політики інформацій-ної безпеки суб’єктів макро- та макрорівнів в умовах інформатизації світових економічних процесів. Метою статті є аналіз існуючих моделей формування політики інформаційної безпеки та розробка моделі політики інформаційної безпеки на основі поєднання концепції “глибинного захисту” та “mind map”. Вирішення постав-лених у статті завдань здійснено за допомогою таких загальнонаукових і спеціальних методів дослідження: аналізу та синтезу, систематизації та узагальнення, діалектичного підходу. Розглянуто традиційні та новітні моделі формування політики інформаційної безпеки, основними серед яких є: модель Bell-LaPadula, модель Biba, модель Clark-Wilson, дискреційна (матрична) модель, модель Адепт-50, модель “MITER ATT & CK ™”, модель “Diamond model”, модель “The pyramid of pain”. Визначено їх переваги на недоліки. Запропоновано модель фор-мування політики інформаційної безпеки на основі концепцій “глибинного захисту” та “mind map”. Концепція “глибинного захисту” полягає в тому, що механізми інформаційної безпеки розшаровані і тим самим підвищу-ють безпеку системи в цілому. Концепція “глибинного захисту” визначає три рівні організації інформаційного захисту: фізичний, технічний, адміністративний. Водночас ця модель включає безліч компонентів: персонал (людей), технологію, операційну систему, моніторинг та різні аспекти захисту як ключові компоненти забезпе-чення інформаційного захисту. Пропонована модель формалізована у вигляді “карти розуму”, яка впорядковує основні категорії як з організаційного, так і технічного аспектів захисту та водночас враховує функціонал клю-чових елементів: людей, політику, моніторинг та показники безпеки. Модель політики інформаційної безпеки на основі концепції “глибинного захисту” рекомендує зосередитися на всіх рівнях та напрямах захисту інформа-ційних ресурсів, а використання “mind map” дозволить визначити та обрати той набір процедур, правил та інструментів, які забезпечать реалізацію найбільш відповідної та оптимальної політики інформаційної безпеки.
Посилання
Богомолов С. А. Модели типовых политик безопасности. - 2016 URL: https://infourok.ru/lekciya-po-zaschite-informacii-modeli-bezopasnosti-927637.html (дата звернення 12.12.2019 р.).
Зегджа Д. П. Основы безопасности информа-ционных систем / Зегджа Д. П., Ивашко А. М. - М. : Горячая линия – Телеком, 2000. – 452 с.
Мельник М. О. Аналіз побудови моделі полі-тики інформаційної безпеки підприємства / Мель-ник М. О., Нікітин Г. Д., Мезенцева К. О. // Системи обробки інформації. – 2017. – Вип. 2(148). – С. 126-128.
Милославская Н. Г. Интрасети: доступ в Internet, защита : учебное пособие для вузов / Мило-славская Н. Г., Толстой А. И. – М. : ЮНИТИ – ДАНА, 2000. – 527 с.
Модели в информационной безопасности. URL: https://habr.com/ru/post/467269/ (дата звернення 19.12.2019 р.).
Петров А. А. Компьютерная безопасность. Криптографические методы защиты информации / Петров А. А. – М. : ДМК, 2000. – 448 с.
Ревнивых А. В. Обзор политик информацион-ной безопасности / Ревнивых А. В., Федотов А. М. // Вестник НГУ. Серия: Информационные технологии. – 2012. – №3. URL: https://cyberleninka.ru/article/n/obzor-politik-informatsionnoy-bezopasnosti (дата звернення 15.12.2019 р.).
Степанов В. Ю. Інформаційна безпека як складова державної інформаційної політики / Степа-нов В. Ю. // Державне будівництво. – 2016. – № 2. URL: http://www.kbuapa.kharkov.ua/e-book/db/2016-2/doc/1/02.pdf (дата звернення 15.12.2019 р.).
Чуруброва С. М. Політика інформаційної без-пеки в системах інформаційно-аналітичного забез-печення підтримки прийняття організаційних рі-шень / Чуруброва С. М. // Проблеми програмування. –2016. – № 4. – С. 97-103.
Ярочкин В. И. Служба безопасности ком-мерческого предприятия / Ярочкин В. И. – М. : Ось-89, 1995. – 144 с.
Caballero A. Information security essentials for it managers: protecting mission-critical systems. Syngress, 2013. URL : https://booksite.elsevier.com/samplechapters/9781597495332/02~Chapter_1.pdf (дата звернення 19.12.2019 р.).
Defense in Depth: A Practical Strategy for Achieving Information Assurance in Today’s Highly Networked Environments. National Security Agency, Information Assurance Solutions Group – STE 6737.
REFERENCES
Bohomolov, S. A. (2016), Modely typovykh polytyk bezopasnosty, available at: https://infourok.ru/lekciya-po-zaschite-informacii-modeli-bezopasnosti-927637.html (data zvernennia 12.12.2019 r.).
Zehdzha, D. P. and Yvashko, A. M. (2000), Osnovy bezopasnosty ynformatsyonnykh system, Horiachaia lynyia – Telekom, M., 452 s.
Mel'nyk, M. O. Nikityn, H. D. and Mezentseva, K. O. (2017), Analiz pobudovy modeli polityky informatsijnoi bezpeky pidpryiemstva, Systemy obrobky informatsii, vyp. 2(148), s. 126-128.
Myloslavskaia, N. H. and Tolstoj, A. Y. (2000), Yntrasety: dostup v Internet, zaschyta : uchebnoe posobye dlia vuzov, YuNYTY – DANA, M., 527 s.
Modely v ynformatsyonnoj bezopasnosty, available at: https://habr.com/ru/post/467269/ (data zvernennia 19.12.2019 r.).
Petrov, A. A. (2000), Komp'iuternaia bezopasnost'. Kryptohrafycheskye metody zaschyty ynformatsyy, DMK, M., 448 s.
Revnyvykh, A. V. and Fedotov, A. M. (2012), Obzor polytyk ynformatsyonnoj bezopasnosty, Vestnyk NHU. Seryia: Ynformatsyonnye tekhnolohyy, №3, available at: https://cyberleninka.ru/article/n/obzor-politik-informatsionnoy-bezopasnosti (data zvernennia 15.12.2019 r.).
Stepanov, V. Yu. (2016), Informatsijna bezpeka iak skladova derzhavnoi informatsijnoi polityky, Derzhavne budivnytstvo, № 2, available at: http://www.kbuapa.kharkov.ua/e-book/db/2016-2/doc/1/02.pdf (data zvernennia 15.12.2019 r.).
Churubrova, S. M. (2016), Polityka informatsijnoi bezpeky v systemakh informatsijno-analitychnoho zabezpechennia pidtrymky pryjniattia orhanizatsijnykh rishen', Problemy prohramuvannia, № 4, s. 97-103.
Yarochkyn, V. Y. (1995), Sluzhba bezopasnosty kommercheskoho predpryiatyia, Os'-89, M., 144 s.
Caballero A. (2013), Information security essentials for it managers: protecting mission-critical systems. Syngress, available at : https://booksite.elsevier.com/samplechapters/9781597495332/02~Chapter_1.pdf (data zvernennia 19.12.2019 r.).
Defense in Depth: A Practical Strategy for Achieving Information Assurance in Today's Highly Networked Environments. National Security Agency, Information Assurance Solutions Group – STE 6737.