Статья
Название статьи МОДЕЛЬ ЭФФЕКТИВНОЙ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КОНТЕКСТЕ ПРАКТИКИ УПРАВЛЕНИЯ
Авторы Бейдина Т.Е. ,
Кухарский А.Н. ,
Новикова А.В. ,
Библиографическое описание статьи
Категория Политология
УДК 327
DOI 10.21209/2227-9245-2022-28-1-75-87
Тип статьи Научная
Аннотация Статья посвящена политике управления информационной безопасностью. Тема исследования является актуальной. В работе содержится оценка эффективности модели управления информационной безопасностью. Обзор литературы по управлению информационной безопасностью выявил четыре основных недостатка, которые снижают пользу рекомендательных характеристик для государственных и муниципальных органов власти, внедряющих методы управления информационной политикой. Объект исследования – практики управления информационной безопасностью. Предмет исследования – разработка эффективной модели управления политикой информационной безопасности для органов власти. Целью данной статьи является всесторонний обзор управления политикой информационной безопасности и разработка модели, основанной на обобщении практики. Обзор зарубежной литературы показывает, что целесообразно охарактеризовать эффективную модель управления информационной политикой для органов власти. Однако существует ряд недостатков, которые снижают полезность и эффективность модели информационной политики для органов власти при реализации политики безопасности. В литературе отсутствует целостное представление о модели информационной политики; не существует единообразия в терминологии и семантике; используются различные уровни детализации при описании действий по управлению политикой; затруднено использование руководства по управлению информационной политикой из других областей практики, таких как управление рисками, обучение информационным практикам и осведомленность в области безопасности. Авторы структурируют статью следующим образом. Во-первых, рассматривают существующие жизненные циклы управления политикой информационной безопасности. Во-вторых, объясняют методологию исследования, используемую для обзора и анализа литературы. В-третьих, предлагают модель управленческих практик, связанных с политикой информационной безопасности. В-четвертых, объясняют как предлагаемая модель устраняет выявленные недостатки. Из исследования можно сделать два вывода: 1) модель практики управления политикой информационной безопасности предполагает принудительное применение власти, направленное на руководство рисками; 2) модель ориентирована на выделение трех этапов институализации – разработку, внедрение и оценку управления
Ключевые слова Ключевые слова: политика информационной безопасности, политика управления безопасностью, информационная безопасность, методы защиты информации, государственное и муниципальное управление, модели эффективной политики, практики управления, информация, управленческая деятельность, жизненный цикл политики
Информация о статье Бейдина Т. Е., Кухарский А.Н., Новикова А.В. Модель эффективной политики информационной безопасности в контексте практики управления // Вестник Забайкальского государственного университета. 2022. Т. 28, № 1. С. 75-87. DOI: 10.21209/2227-9245-2022-28-1-75-87.
Список литературы 1. Ahmad A., Bosua R., Scheepers R. Protecting Organizational Competitive Advantage: A Knowledge Leakage Perspective // Computers & Security. 2014. № 42. Р. 27‒39. 2. Ahmad A., Maynard S. B., Shanks G. A. Case Analysis of Information Systems and Security Incident Responses // International Journal of Information Management, 2015. Р. 717‒723. 3. Al-Mayahi I. H., Sa’ad P. M. Information Security Policy Development // Journal of Advanced Management Science. 2014. № 2:2. June. Р. 135‒139. 4. Alshaikh M., Ahmad A., Maynard S.B., Chang S. Towards a Taxonomy of Information Security Management Practices in Organisations // 25th Australasian Conference on Information Systems. Auckland. New Zealand. 2014. Р. 40‒42. 5. Anderson Consulting. Policy Framework for Interperting Risk in Ecommerce Security // Center for Education and Research in Information Assurance and Security, Purdue University. 2000. 320 p. 6. Bañares-Alcántara R. Perspectives on the Potential Roles of Engineers in the Formulation, Implementation and Enforcement of Policies // Computers & Chemical Engineering. 2010. № 34:3. Р. 267‒276. 7. Baskerville R., Siponen M. An Information Security Meta-Policy for Emergent Organizations // Logistics Information Management. 2002. № 15:5/6. Р. 337‒346. 8. Bayuk J. Security Through Process Management // Morristown, NJ, Price Waterhouse. 1997. 385 p. 9. Bin Muhaya F. An Approach for the Development of National Information Security Policies, 2010. 10. CengageBrain. Whitman M. E., Townsend A. M. and Aalberts R. J. Considerations for an Effective Telecommunications-Use Policy // Communications of the ACM № 42:6. 1999. Р. 101-108. 11. Doherty N.F., Fulford H. Aligning the Information Security Policy with the Strategic Information Systems Plan // Computers & Security. 2006. № 25:1. Р. 55‒63. 12. Gaunt N. Installing an Appropriate Information Security Policy // International Journal of Medical Informatics. 1998. № 49:1. Р. 131‒134. 13. Hare C. Policy Development // Information Security Management Handbook Fourth Edition. 2002. Vol. 3. CRC Press. Р. 353‒383. 14. Hassan N. H., Ismail Z. A Conceptual Model for Investigating Factors Influencing Information Security Culture in Healthcare Environment // Procedia ‒ Social and Behavioral Sciences. 2012. № 65:0. Р. 1007‒1012. 15. Höne K., Eloff J.H.P. Information Security Policy  What Do International Information Security Standards Say? // Computers & Security. 2002. №1:5. Р. 402‒409. 16. ISO/IEC27002. Australian/New Zealand Standard: Information Technology  Security Techniques- Code of Practice for Information Security Management. 2006. 17. Kadam A.W. Information Security Policy Development and Implementation // Information Systems Security. 2007. № 16:5. Р. 246‒256. 18. Karyda M., Kiountouzis E., Kokolakis S. Information Systems Security Policies: A Contextual Perspective // Computers & Security. 2005. № 24:3. Р. 246‒260. 19. Klaic A., Hadjina N. Methods and Tools for the Development of Information Security Policy - a Comparative Literature Review. MIPRO, 2011 // Proceedings of the 34th International Convention. 2011. Р. 1532‒1537. 20. Knapp K. J., Ferrante C. J. Policy Awareness, Enforcement and Maintenance: Critical to Information Security Effectiveness in Organizations // Journal of Management Policy and Practice. 2012. № 13:5. Р. 66‒80. 21. Knapp K. J., Franklin Morris Jr R., Marshall T. E., Byrd T. A. Information Security Policy: An Organizational-Level Process Model // Computers & Security. 2009. № 28:7. Р. 493‒508. 22. Li H., Sarathy R., Zhang J., Luo X. Exploring the Effects of Organizational Justice, Personal Ethics and Sanction on Internet Use Policy Compliance // Information Systems Journal. 2014. № 24:6. Р. 479‒502. 23. Lim Ahmad A., Chang S., Maynard S. Embedding Information Security Culture Emerging Concerns and Challenges // PACIS 2010 Proceedings. Рaper 43. 2010. Р. 463‒474. 24. Lindup K. R. A New Model for Information Security Policies // Computers & Security. 1995. № 14:8. Р. 691‒695. 25. Lowery J. Developing Effective Security Policies. Dell power solutions. 2002. Р. 147‒217. 26. Maynard S., Ruighaver A. Development and Evaluation of Information System Security Policies // Information Systems: The Challenges of Theory and Practice. 2003. Р. 366‒393. 27. Ølnes J. Development of Security Policies // Computers & Security. 1994. № 13:8. Р. 628‒636. 28. Oost D., Chew E.K. Investigating the Concept of Information Security Culture // Strategic and Practical Approaches for Information Security Governance: Technologies and Applied Solutions. IGI Global. 2012. Р. 1‒12. 29. Palmer M. E., Robinson C., Patilla J. C., Moser E. P. Information Security Policy Framework: Best Practices for Security Policy in the E-Commerce Age // Information Systems Security. 2001. № 10:2. Р. 1‒15. 30. Park S., Ruighaver A.B., Maynard S.B., Ahmad A. Towards Understanding Deterrence: Information Security Managers\' Perspective // Proceedings of the International Conference on IT Convergence and Security. Suwon, Korea. 2012. 31. Patrick D. H. The Security Policy Life Cycle // Information Security Management Handbook, Fourth Edition, vol. 4. Auerbach Publications. 2002. Р. 297‒311. 32. Peltier T. R. Information Security Policies, Procedures, and Standards: Guidelines for Effective Information Security Management // CRC Press. 2013. 33. Puhakainen P., Siponen M. Improving Employees\' Compliance through Information Systems Security Training: An Action Research Study // Mis Quarterly. 2010. № 34:4. Р. 757‒778. 34. Ramachandran S., Rao C., Goles T., Dhillon G. Variations in Information Security Cultures across Professions: A Qualitative Study // Communications of the Association for Information Systems. 2012. № 33:11. Р. 163‒204. 35. Rees J., Bandyopadhyay S., Spafford E. H. PFIRS: A Policy Framework for Information Security // Communications of the ACM. 2003. № 46:7. Р. 101‒106. 36. Ruighaver Maynard S. B., Chang S. Organisational Security Culture: Extending the End- User Perspective // Computers & Security. 2007. № 26:1. Р. 56‒62. 37. SANS Institute. Security Policy Roadmap ‒ Process for Creating Security Policies. 2001. Р. 48‒96. 38. Siponen M., Adam Mahmood, M. Pahnila S. Employees’ Adherence to Information Security Policies: An Exploratory Field Study // Information & Management. 2014. № 51:2. Р. 217‒224. 39. Siponen M., Pahnila S., Mahmood A. Employees’ Adherence to Information Security Policies: An Empirical Study // New Approaches for Security, Privacy and Trust in Complex Environments. 2007. Р. 133‒144. 40. Stahl B. C., Doherty N. F., Shaw M. Information Security Policies in the Uk Healthcare Sector: A Critical Evaluation // Information Systems Journal. 2012. № 22:1. Р. 77‒94. 41. Webb J., Ahmad A., Maynard S.B., Shanks G. A. Situation Awareness Model for Information Security Risk Management // Computers & Security. 2014. № 44. Р. 1‒15. 42. Whitman M. E. Security Policy: From Design to Maintenance. Information Security: Policy, Processes, and Practices // D. W. Straub, S. E. Goodman R. Baskerville (eds.). Advances in Management Information Systems. London, England Armonk, New York : M.E. Sharpe, 2008. Р. 123‒151. 43. Whitman M. E., Mattord H. J. Management of Information Security. 2010. 44. Whitman M. E., Townsend A. M., Aalberts R .J. Information Systems Security and the Need for Policy. 2001. 45. Wood C. C. Information Security Policies Made Easy // A Comprehensive Set of Information Security Policies. Houston: InformationShield. Version 10.0. 2005. 46. Wood C.C. Writing Infosec Policies // Computers & Security. 1995. № 14:8. Р. 667‒674. 47. Wood C.C., Lineman D. Information Security Policies Made Easy Version 11 // Information Shield, Inc. 2009. 478 p.
Полный текст статьиМОДЕЛЬ ЭФФЕКТИВНОЙ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КОНТЕКСТЕ ПРАКТИКИ УПРАВЛЕНИЯ