XS
SM
MD
LG
Державний університет інформаційно-комунікаційних технологій

(Державний університет телекомунікацій)


Адреса:
03110, Україна
м. Київ, вул. Солом'янська, 7
Контактна інформація:
Державний університет інформаційно-комунікаційних технологій

(Державний університет телекомунікацій)

Навчання принципам інтегрованої безпеки (SbD) – вимога часу та нові можливості для управлінців інформаційною та кібербезпекою

17:31, 06-05-2020

Сьогодні вже існують процедури забезпечення кібербезпеки окремої інформаційно-телекомунікаційної системи організації (установи, фірми тощо), які достатньо задокументовані різними стандартами та нормативами. Однак, їх, навіть 100- відсоткова, практична реалізація не дозволяє гарантувати повну безпеку організації. Свідченням цьому є відсутність позитивних тенденцій щодо зменшення результативності кібератак, втрат та негативних наслідків від їх реалізації.

Невирішеними залишаються дві основні проблеми:

  • відсутність дієвих механізмів мотивації та контролю персоналу організації щодо безумовного виконання правил кібербезпеки;
  • реактивність процедур аудиту кібербезпеки (тобто, аудит здійснюється шляхом аналізу подій, які вже відбулися).

Оцінка ризиків та прогнозування майбутніх загроз часто залишаються незрозумілими для керівництва організацій і не мотивують керівництво на вкладення коштів в інновації та розвиток в них кібербезпекової складової.

Цікавий аналіз внутрішньоорганізаційних загроз кібербезпеці проведений міжнародною компанією Ernst & Young Global Limited.

Логотип компанії Ernst & Young Global Limited

В результаті проведення цього аналізу встановлено:

  1. Крім організованих хакерських угрупувань, які є основним джерелом кіберзагроз (23% кібератак), зростає кількість кібератак - 21% проводяться «Хактивістами», вони переслідують політичні чи соціальні цілі. Причому, часто ці «Хактивісти» є співробітниками тих же організацій, проти яких проводяться атаки;
  2. Тільки 26% флагманів світової економіки розглядають питання забезпечення кібербезпеки вже на етапі планування нових бізнес-ініціатив;
  3. Інвестиції в кібербезпеку, в першу чергу, орієнтовані на захист, а не на інновацію та трансформацію (лише 5% від загального бюджету спрямовується на кібербезпеку, і з них 77% ресурсів витрачається на управління ризиками та виконання нормативних вимог);
  4. 59% організацій відмічають, що у службі кібербезпеки «натягнуті» чи, в кращому випадку, нейтральні відносини з іншими підрозділами. Часто різні підрозділи орагнізації взагалі не взаємодіють (з питань кібербезпеки) між собою;
  5. Лише близько 50% організацій, які досліджувались, виносять питання кібербезпеки на наради керівництва; менше половини керівників взагалі розуміють актуальність і необхідність забезпечення кібербезпеки;
  6. Лише 7% організацій вважають, що служба кібербезпеки сприяє розвитку, 93% впевнені, що дотримання безпекових процедур та виконання нормативних вимог тільки стримує розвиток.

Очевидно, що вирішення зазначених проблем стосується докорінно нових підходів в організації менеджменту кібербезпеки.

Одним з таких підходів є впровадження в діяльність організації принципів інтегрованої безпеки (SbD - Secure by Design), розроблених компанією Amazon.

Логотип компанії Amazon

Принципи інтегрованої безпеки компанії Amazon

Ці принципи полягають в:

  • перетворенні кібербезпеки в ключовий елемент цифрової трансформації (урахування аспектів кібербезпеки на етапі планування всіх нових проектів та грамотного використання механізмів забезпечення кібербезпеки для управління всіма ризиками організації, а також своєчасної розробки необхідних продуктів чи послуг);
  • розвитку довірливих відносин служби кібербезпеки з кожним підрозділом організації шляхом спільного аналізу ключових бізнес-процесів, визначення кіберизиків і розуміння того, як служба кібербезпеки може підвищити ефективність роботи кожного підрозділу організації;
  • розробці комплексних показників ефективності роботи організації з урахування кіберризиків, які дозволять керівництву організації чітко зрозуміти важливість заходів забезпечення кібербезпеки.

Практична реалізація принципів інтегрованої безпеки полягає в розробці гнучких механізмів забезпечення кібербезпеки, розробці відповідної політики безпеки, налаштуванні та використанні відповідних програмно-апаратних засобів відповідно до функцій підрозділів організації (тобто виробничі процедури різних підрозділів формують завдання для служби кібербезпеки, а не навпаки).

Виходячи  з цього стає можливим:

  • створення сервісів, недоступних для зміни коростувачами, які не мають відповідного дозволу;
  • організація надійної експлуатації системи контролю процесів організації;
  • безперервний аудит в режимі реального часу;
  • технічна реалізація управління підрозділами організації в формі безпечних програмних скриптів.

Зазначений підхід в організації менеджменту кібербезпеки вже розглядається кафедрою управління інформаційною та кібербезпекою (УІКБ) в навчальному процесі.

В реалізації інноваційного підходу до навчання студентів  в університеті, згідно освітньої моделі «12 кроків до якісної освіти», кафедра здійснює підготовку фахівців на основі сучасного розвитку науки і техніки в галузі інформаційної та кібернетичної безпеки та завжди впроваджує всі ефективні новації та досвід найкращих світових компаній.

*****

Бажаєте дізнаватись про особливості вступу у 2024 році?
Підписуйтесь на спільноти спеціальності "125 Кібербезпека" кафедри Управління інформаційною та кібернетичною безпекою та першим отримуйте новини, сповіщення про важливі події, підготовчі курси, дні відкритих дверей та багато цікавого.
Читайте також

Про кафедру

Кафедра Управління інформаційною та кібернетичною безпекою

Отримати консультацію

Ваш запит на зворотній дзвінок отримає завідуючий кафедрою
Надіслати запит

Абітурієнту

Спеціалізація: Управління інформаційною безпекою

Фахівці з Управління інформаційною безпекою – це еліта інформаційної безпеки, менеджери безпеки інформації вищої ланки. Ці фахівці розуміються як з техничних питань захисту інформації, так й з питань організації роботи колективу, добре розуміють управлінські, законодавчі та економічні аспекти захисту інформації. До сфери специфічних знань та навичок спеціалізації відносяться: основні поняття кібернетичної безпеки, систем технічного захисту інформації, управління проектами, управління ризиками, нормативно-правова база діяльності, управління інцидентами, аудит інформаційної безпеки, інформаційне протиборство, менеджмент та психологія управління.

Спеціалізація: Управління інформаційною безпекою

Фахівці з Управління інформаційною безпекою – це еліта інформаційної безпеки, менеджери безпеки інформації вищої ланки. Ці фахівці розуміються як з техничних питань захисту інформації, так й з питань організації роботи колективу, добре розуміють управлінські, законодавчі та економічні аспекти захисту інформації. До сфери специфічних знань та навичок спеціалізації відносяться: основні поняття кібернетичної безпеки, систем технічного захисту інформації, управління проектами, управління ризиками, нормативно-правова база діяльності, управління інцидентами, аудит інформаційної безпеки, інформаційне протиборство, менеджмент та психологія управління.

Переглядів: 3 561