Informacijos apsaugos valdymas e-versle
Mogodia, Tomas |
Šis darbas svarbus teorine bei praktine prasme dėl analizuojamos temos naujumo ir svarbos šiuolaikiniame pasaulyje, tai yra informacijos apsaugos valdymas organizacijoje veikiančioje elektroninėje erdvėje. Autorius išanalizavo informacijos apsaugos valdymo geriausias praktikas bei tarptautinius informacijos apsaugos standartus pripažįstamus IT pramonėje. Išanalizavus minėtus šaltinius autorius siūlo kompleksinį požiūrį į informacijos apsaugą, tai yra apimanti fizinį saugumą, kibernetinį saugumą, procedūrinį saugumą, saugumo incidentų valdymą susitelkiant ties e-verslo organizacijomis. Tyrimo tikslas buvo išanalizuoti informacijos apsaugos valdymo užtikrinimą e-versle. Šio tyrimo pagrindinis tikslas buvo patvirtinti arba paneigti hipotezes, kurias autorius pateikė, tai yra informacijos saugumo valdymo procedūrų trūkumas e-versle sąlygoja konfidencialios informacijos praradimą, bei informacijos saugumo valdymo metodų trūkumas sąlygoja incidentų valdymo procesų trūkumus e-versle. Mokslinio tyrimo eigoje autorius panaudojo teorinius ir empirinius duomenų analizės ir rinkimo metodus bei atliko atvejo analizę. Teorinėje dalyje buvo panaudoti mokslinės literatūros, archyvuose, oficialiuose dokumentuose esančios informacijos analizė ir informacinių technologijų bei informacijos apsaugos specialistų apklausa. Galutinis autoriaus atlikto tyrimo tikslas buvo patvirtinti suformuluotas hipotezes. Darbo išvadose teigiama, kad e-verslas privalo implementuoti savo veikloje iniciatyvų bei lankstų informacijos apsaugos modelį kurio sudėtinės dalys būtų principai kaip "saugumas projektuojant" (ang. – security by design) ir "saugumas nuodugniai" (ang. – security in depth). Taipogi svarbus aspektas yra rizikos valdymo vertinimo vykdymas ir šio vertinimo pastovus pasikartojantys vykdymas bei pateikiamų rizikų įvertinimas bei diegimas į informacijos apsaugos valdymo sistemas siekiant sumažinti galimo pažeidžiamumo riziką. Kitos svarbios išvados yra paslaugų valdymo procedūrų kaip incidentų valdymas, pakeitimų valdymas, poreikio valdymas implementavimas kasdieninėje e-verslo veikloje bei techninių ir valdymo kompetencijų subalansavimas tarp personalo atsakingo už informacijos apsaugos organizavimą.
The topic of this master thesis is both theoretical and practical importance. Due to the examination of both theoretical and practical points of view on information security, the author generated new ground and knowledge and analysed existing information security standards which are addressing information security management. Researched topics analysed information security in a complex way (including all basic dimensions of information security like physical security, cyber security, security incident management, etc.) with concentration for organisations which operate in electronic environment (e-business). Research was conducted through analysis of a single case study and an interview of information security and IT experts. Research included an analysis of the best practices and international standards while the case study was done based on information leakage incident which happened to a major government organisation which operates in cyber environment. The object of the research was information security management assurance in E-business. The aim of this research was to confirm either deny the hypothesis which author addressed, that is information security management deficiency in E-business leads to loss of sensitive information and lack of information security management techniques leads to a lack of effective incident management processes in e-business. Objectives of the research included analysis of scientific literature, archived information, official documentation and questionnaire based interview. In the period of the research author analysed numerous international standards and best practices which are industry proven standards. Final outcome of the research confirmed all the proposed hypotheses. While conclusions, addressed that e-business would follow a flexible and proactive information security management model which would implement in itself principals like “security by design” and “security in depth” and stressed the importance of risk management assessment execution on a constant frequency and its trending to information security threats. Key points that were addressed further are the need of service management processes which would be adjusted for security incidents, the importance of balancing technical expertise and managerial skills for personnel which is responsible for information security management/implementation in the organization.