URN: http://vtn.chdtu.edu.uaurn:2306:44551.2018.153279

DOI: https://doi.org/10.24025/2306-4412.1.2018.153279

АНАЛІЗ МЕТОДІВ І ЗАСОБІВ ДЛЯ РЕАЛІЗАЦІЇ РИЗИК-ОРІЄНТОВАНОГО ПІДХОДУ В КОНТЕКСТІ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ПІДПРИЄМСТВА

Т. В. Савельєва, О. М. Панаско, О. М. Пригодюк

Анотація


Стаття присвячена актуальній проблемі сучасності – розвитку інформаційної безпеки з урахуванням ризик-орієнтованого підходу для вирішення задач управління інформаційною безпекою підприємства. Сучасні тенденції розвитку підприємств обумовлюють необхідність управління ризиками. Авторами досліджено методи та засоби, що дають можливість реалізувати ризик-орієнтований підхід у контексті забезпечення інформаційної безпеки підприємства і провести аналіз та оцінювання інформаційних ризиків системи захисту інформації. В роботі розглянуто серію представників інструментальних засобів, найбільш поширених в зазначеній сфері, а також проаналізовано кілька методологій, за допомогою яких здійснюється оцінювання ризиків, зокрема, методологія аналізу і управління ризиками CRAMM (Великобританія), оцінювання активів і уразливості інформаційної безпеки OCTAVE тощо, а також серію регулятивних документів, серед яких NIST SP800-30 (управління ризиками в системі інформаційних технологій); ISO/IEC 27005:2011 (методи управління ризиками інформаційної безпеки); ENISA (оцінювання ризиків інформаційної безпеки) і багато інших. В роботі представлено аналіз переваг та недоліків програмного забезпечення для визначення і оцінювання ризиків інформаційної безпеки (CRAMM, CORAS, Risk Watch, OCTAVE, Oracle Crystal Ball) і сформовано ряд рекомендацій щодо доцільності застосування розглянутих програмних засобів та управляючої документації з урахуванням відповідних потреб і критеріїв підприємств та організацій.


Ключові слова


інформаційні технології; інформаційна безпека; загрози; вразливість; інформаційні ризики; оцінювання ризику

Повний текст:

PDF

Пристатейна бібліографія ГОСТ


1. ISO/IEС 17799:2000 Международный стандарт Информационные технологии практические правила управления информационной безопасностью. С. 87.


2. Замула А. А., Северинов А. В., Корниенко М. А. Анализ моделей оценки рисков информационной безопасности для построения системы защиты информации. Наука і техніка Повітряних Сил Збройних Сил України. 2014. № 2 (15). С. 133–138.


3. Гарасим Ю. Р., Ромака В. А., Рибій М. М. Аналіз процесу управління ризиками ін-
формаційної безпеки в процесі забезпечення властивості живучості систем. Вісник Національного університету "Львівська політехніка". Сер.: Автоматика, вимірювання та керування. 2013. № 753. С. 90–99.


4. Левадний С. М. Оцінка інформаційних ризиків. URL: http://www.rusnauka.com/ 21_SEN_2014/Informatica/4_174674.doc. 


5. ІТ ринок. Дослідження та рекомендації. IT Ukraine Association. URL: http:// itukraine. org.ua/it-rynok


6. Левченко М. О. Використання інформаційних технологій в управлінні ризиками машинобудівних підприємств. Актуальні проблеми економіки. 2012. № 4. С. 305–311.


7. Мельник Г. Модель оценивания уровня информационных рисков в корпоративных системах. Вісник Київського національного університету імені Тараса Шевченка. Сер.: Економіка. 2015. № 6 (171). С. 48–54.


8. Астахов А. Искусство управления информационными рисками. Москва: ДМК Пресс Год, 2010. 312 с.


9. Гловацький В. В., Методи оцінювання стану безпеки та загроз інформаційних ресурсів. Зв’язок. 2016. № 5. С. 13–16.


10. Медведовский И. С. Современные методы и средства анализа и контроля рисков информационных систем компаний CRAMM, Risk Watch и ГРИФ (Опубликовано на "SecurityLab"). 2004. URL: http://www.ixbt.com/cm/informationsystem-risks012004.shtml


11. Axoft. Oracle Crystal Ball. URL: http://oracle.axoft.ru/catalog/rubric.php?RU
BRIC_ID=488


12. Сертифікація систем менеджменту ISO 27001:2005. URL: http://www.qmsc. com.ua/index.php/iso-27001





Copyright (c) 2018 Т. В. Савельєва, О. М. Панаско, О. М. Пригодюк