Разработка программы комплексного риск-ориентированного управления информационной безопасностью
Аннотация. Акцентировано внимание на необходимости управления информационной безопасностью, основанного на организационном, техническом, риск-ориентированном или правовом подходах. Представлен комплексный подход управления информационной безопасностью, включающий в себя шесть этапов, которые изображены в виде процессов на диаграмме декомпозиции модели IDEF0. Описание информационных активов организации предложено оформлять в виде реестра с указанием ценности ресурса относительно его конфиденциальности, целостности и доступности. Анализ возможного ущерба информационным активам рекомендовано осуществлять по двум группам критериев с привлечением экспертов, опираясь на качественные шкалы. Экспертный анализ угроз информационной безопасности и уязвимостей, через которые они могут быть реализованы, предложено проводить в совокупности с применением качественных шкал, учитывая наличие в организации внедренных механизмов контроля. Результаты проведенного анализа будут выражаться в виде суммарного уровня группы уязвимостей. Построена матрица определения величины риска информационной безопасности. Полученные качественные оценки сопоставлены с количественным показателем ALE – среднегодового ущерба и откалиброваны. В качестве основного маркера эффективности существующих и выбранных для внедрения защитных механизмов, предлагается выбрать коэффициент возврата инвестиций – ROI.
Каждый этап комплексного подхода, описанного в статье, подкреплен примерами, реализованными на практике.
С целью повышения эффективности и удобства проведения экспертной оценки рисков информационной безопасности, автоматизации обработки результатов, полученных в ходе экспертизы, а также расчётов, на которые может опираться лицо, принимающее решение, была создана программная система на базе конфигурации 1С: Предприятие 8.3.
Ключевые слова: риск-ориентированный подход, информационная безопасность, оценка возврата инвестиций, поддержка принятия решений, экспертные оценки.
Содержание не найдено
Список источников
Темникова Е. А., Павлова Е. А. Обзор систем оценки и управления рисками информационной безопасности // Информационные технологии и проблемы математического моделирования сложных систем. Выпуск 18. 2017. С. 33-39.
Дорофеев А. В. Менеджмент информационной безопасности: основные концепции // Вопросы кибербезопасности. 2014. № 1(2). С. 67-73.
Краковский, Ю. М., Затрутина К. В. Выбор и ранжирование компетенций персонала, обслуживающего информационную систему с конфиденциальной информацией // Молодая наука Сибири: электрон. науч. журн. 2021. №1(11). URL: http://mnv.irgups.ru/toma/111-2021References
Temnikova E. A., Pavlova E. A. Obzor sistem ocenki i upravleniya riskami informacionnoj bezopasnosti [Review of information security risk assessment and management systems]. Information technologies and problems of mathematical modeling of complex systems. Issue 18, 2017, pp. 33-39.
Dorofeev A.V. Menedzhment informacionnoj bezopasnosti: osnovnye koncepcii [Information security management: basic concepts]. Cybersecurity issues, 2014, no. 1(2), pp. 67-73.
Krakovsky, Yu. M., Zatrutina K. V. Vybor i ranzhirovanie kompetencij personala, obsluzhivayushchego informacionnuyu sistemu s konfidencial'noj informaciej [Selection and ranking of competencies of personnel serving an information system with confidential information]. Young science of Siberia: electron. scientific journal, 2021. no. 1(11), URL: http://mnv.irgups.ru/toma/111-2021
В связи с глобализацией, всевозрастающей конкуренцией, стремительным развитием информационных технологий, увеличением объёма данных, которыми необходимо управлять, в значительной степени возросло внимание к проблемам информационной безопасности (ИБ).
Информация, являющаяся одним из ключевых ресурсов хозяйствующего субъекта, зачастую подвержена рискам ИБ [1]. Недобросовестные сотрудники, конкуренты, злоумышленники стараются завладеть ценными данными, стремясь нанести значительный репутационный, материальный ущерб или привести к полному банкротству организации. Поэтому управление рисками (УР) ИБ организации очень актуально.
Существует три ключевых свойства информации при управлении ИБ [2]: конфиденциальность (к), целостность (ц) и доступность (д).
Основные подходы управления ИБ представлены н