Повышение эффективности формирования профессиональных компетенций магистров по направлению «Информационная безопасность» на основе применения CASE-технологий

Цель исследования. В современных условиях для построения эффективной системы информационной безопасности предприятия требуются специалисты, обладающие соответствующими профессиональными компетенциями и навыками системного подхода при анализе совокупности факторов, оказывающих влияние на состояние информационной безопасности предприятия. Для подготовки такого рода специалистов требуются качественные изменения в содержании учебных дисциплин, основанные на использовании в процессе построения системы информационной безопасности методов и средств системного анализа.

Существующие в настоящее время подходы в оценке рисков предприятия основаны на формировании реестра его информационных ресурсов, необходимого для дальнейшей обработки рисков. Адекватная оценка стоимости ресурса невозможна без правильного понимания семантики этого ресурса и его роли в реализуемых бизнес-процессах. Современные подходы к вопросу формирования реестра информационных ресурсов предприятия, по мнению авторов, не предлагают эффективной методики выявления ресурсов и оценки их стоимости.

В настоящей работе рассматривается подход, основанный на применении в подготовке магистров по направлению «Информационная безопасность» методики структурно-функционального анализа и CASE-технологий при формировании реестра информационных ресурсов предприятия.

Материалы и методы. Для формирования реестра информационных ресурсов предприятия предлагается выполнять построение структурно-функциональной модели предприятия с использованием нотации IDEF0. Моделирование бизнес-процессов выполнялось в среде Business Studio компании «Современные технологии управления».

В качестве примера для анализа рисков рассматривалась деятельность типовой компании IT-индустрии, занимающейся разработкой и внедрением информационных систем управления предприятием.

Результаты. Методика прошла успешную апробацию в учебном процессе. По мнению авторов статьи, использование данной методики при проведении лабораторных занятий для магистров, обучающихся по направлению «Информационная безопасность» позволило повысить эффективность формирования у обучающихся профессиональных компетенций и, следовательно, в целом, качество обучения.

Полученные результаты могут быть использованы не только в качестве методики обучения специалистов в области информационной безопасности. Применение рассматриваемой в статье методики формирования реестра информационных ресурсов предприятия в практической деятельности по обеспечению информационной безопасности предприятия позволит повысить обоснованность решений по защите информации предприятия.

Заключение. В работе предложена методика, позволяющая обосновать выбор основных направлений по защите информации предприятия на основе анализа его бизнес-процессов. Отличительной особенностью методики является использование современных CASE-технологий для принятия решений в области информационной безопасности предприятия.

Реализация методики позволяет сформировать реестр информационных ресурсов предприятия, включающий оценку вероятного ущерба по каждому ресурсу. Реестр показывает узкие места в организации защиты, на которые следует обратить первоочередное внимание при планировании мероприятий по защите информации. На основе полученных данных можно сформировать обоснованную с экономической точки зрения стратегию и тактику развития системы защиты информации предприятия. 

1. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Взамен ГОСТ Р ИСО/МЭК ТО 13335-3-2007 и ГОСТ Р ИСО/ МЭК ТО 13335-4-2007; Введ. с 30.11.2010. М.: Стандартинформ, 2011.

2. ГОСТ Р ИСО 31000-2010. Менеджмент риска. Принципы и руководство.; Введен с 01.09.2011. М.: Стандартинформ, 2012.

3. Международный стандарт ISO/IEC 27001- 2013. Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования.

4. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г. № 447-ст.

5. Кривякин К.С., Изотова А.Р., Федоров В.М. Методический подход к оценке рисков информационной безопасности предприятия // Экономинфо. 2018. Т. 15. № 2. С. 82–90.

6. Ильченко Л.М., Брагина Е.К., Егоров И.Э., Зайцев С.И. Расчет рисков информационной безопасности телекоммуникационного предприятия // Открытое образование. 2018. Т. 22. № 2. С. 61–70.

7. Плетнев П.В., Белов В.М. Методика оценки рисков информационной безопасности на предприятиях малого и среднего бизнеса // Доклады Томского государственного университета систем управления и радиоэлектроники. 2012. № 1–2 (25). С. 83–86.

8. Одинцова М.А. Методика управления рисками для малого и среднего бизнеса // Экономический журнал. 2014. № 3 (35).

9. Выборнова О.Н., Давидюк Н.В., Кравченко К.Л. Оценка информационных рисков на основе экспертной информации (на примере ГБУЗ АО «Центр медицинской профилактики») // Инженерный вестник Дона. 2016. № 4 (43). С. 86.

10. Баранова Е.К. Методики анализа и оценки рисков информационной безопасности // Вестник Московского университета им. С.Ю. Витте. 2015. № 1. С. 73–79.

11. Астахов А.М. Искусство управления информационными рисками. М.: ДМК Пресс, 2010. 312 с.

12. Сизов В.А. Применение деловых игр в подготовке магистров по программе «Защита информационного пространства субъектов экономической деятельности» // Открытое образование. 2018. Т. 22. № 6. С. 59–64.

13. Замула А.А., Одарченко А.С., Дейнеко А.А. Методы оценивания и управления информационными рисками // Прикладная радиоэлектроника. 2015. № 3. С. 182–187.

14. Зарипова А. И., Коваленко С.В. Финансовые риски при обеспечении экономической безопасности предприятий [Электрон. ресурс] // Молодой ученый. 2018. № 1. С. 61–63. URL: https://moluch.ru/archive/187/47652/ (дата обращения: 16.05.2019)

15. Р 50.1.028-2001. Методология функционального моделирования. Рекомендации по стандартизации. Приняты и введены в действие Постановлением Госстандарта России от 02.07.2001 № 256 ст.

16. Гаврилов А.В. Методика выбора CASE- средств структурного проектирования для обучения по направлению подготовки «Прикладная информатика» // (ИП&УЗ-2015): сборник научных трудов XVIII научно-практической конференции (21–24 апреля 2015 г., Москва) Под науч. ред. Ю. Ф. Тельнова. М.: Московский государственный университет экономики, статистики и информатики (МЭСИ), 2015. С. 230–241.

17. Гаврилов А.В. Анализ функциональных возможностей бесплатных CASE-средств проектирования баз данных // Открытое образование. 2016. Т. 20. № 4. С. 39–43.

18. Пример функциональной модели (IDEF0) промышленного предприятия в Business Studio. [Электрон. ресурс] URL: http://www.businessstudio.ru/publication/proizv_predpr_abc/businessmodel. php?lang=ru-ru (дата обращения 02.02.2019).

19. Пример функциональной модели компании, осуществляющей деятельность по проектированию, монтажу и обслуживанию инженерно-технических систем. [Электрон. ресурс] URL http://publication.businessstudio.ru/businessmodel.php?lang=ru-ru&oguid=2be70b1c-a108-4228-b272-1c9eefbc464e (дата обращения 02.02.2019).

20. Федеральный государственный образовательный стандарт высшего образования по направлению подготовки 10.04.01 Информационная безопасность (уровень магистратуры). Утвержден приказом Министерства образования и науки Российской Федерации от 01.12.2016 г. № 1513.