Details

Целью работы является повышение эффективности управления информационной безопасностью субъектов критической информационной инфраструктуры, относящихся к малому и среднему бизнесу. Объектом исследования являются субъекты критической информационной инфраструктуры, относящихся к малому и среднему бизнесу. Задачи, решаемые в ходе исследования: 1. Проанализировать задачу управления информационной безопасностью субъектов КИИ малого и среднего бизнеса. 2. Проанализировать подходы к управлению и методы управления информационной безопасностью. 3. Предложить методику управления информационной безопасностью на основе портфельного подхода. 4. Апробировать методику и разработать методические материалы для повышения квалификации в области управления информационной безопасностью. В ходе работы были сформулированы требования к управлению информационной безопасностью субъектов критической информационной инфраструктуры, относящихся к малому и среднему бизнесу. Проанализированы методы и подходы к управлению ИБ. В результате работы предложена методика выбора мер и средств обеспечения информационной безопасности, проведена апробация методики и разработаны методические указания для закрепления навыков ее применения. Полученные результаты могут быть использованы для повышения эффективности управления информационной безопасностью и подготовки соответствующих специалистов. В процессе работы использовались базы данных уязвимостей, средства моделирования угроз (БДУ ФСТЭК), средства проектного управления.

The purpose of the study is to increase the efficiency of information security management of subjects of critical information infrastructure related to small and medium-sized businesses. The object of the work is the subjects of critical information infrastructure related to small and medium-sized businesses. The research set the following goals: 1. To analyze the task of information security management of small and medium-sized business entities. 2. To analyze approaches to management and methods of information security management. 3. To propose a methodology for information security management based on a portfolio approach. 4. To test the methodology and develop methodological materials for advanced training in the field of information security management. In the course of the work, the requirements for information security management of subjects of critical information infrastructure related to small and medium-sized businesses were formulated. Methods and approaches to information security management are analyzed. As a result of the work, a methodology for selecting measures and means to ensure information security was proposed, the methodology was tested and guidelines were developed to consolidate the skills of its application. The results obtained can be used to improve the efficiency of information security management and to train relevant specialists. Vulnerability databases, threat modeling tools (FSTEC databases), and project management tools were used in the process.