Методика оценки рисков информационной безопасности с использованием функциональной модели бизнес-процессов предприятия
Введение
Аннотация. Сегодня коммерческая информация предприятия хранится в сети, часто в облачных хранилищах. Для каждого предприятия остаются немаловажными вопросы сохранения конфиденциальности данной информации, а также обеспечения надежной защиты серверов от сбоев, взлома, несанкционированного доступа и других деструктивных воздействий. Применение методики оценки обеспечения информационной безопасности в системе корпоративного управления предприятия позволит руководству компании эффективно взаимодействовать с менеджерами по информационной безопасности, что в свою очередь приведет к эффективному функционированию всего предприятия.
Список литературы:
ГОСТ Р ИСО/МЭК 27005–2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Взамен ГОСТ Р ИСО/МЭК ТО 13335-3-2007 и ГОСТ Р ИСО/ МЭК ТО 13335-4-2007; Введен с 30.11.2010. М.: Стандартинформ, 2011.
ГОСТ Р ИСО 31000–2010. Менеджмент риска. Принципы и руководство.; Введен с 01.09.2011. М.: Стандартинформ, 2012.
ГОСТ Р ИСО/МЭК 17799–2005. Информационная технология. Практические правила управления информационной безопасностью. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г. No447-ст.
ГОСТ Р 53114–2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 532-ст.
ГОСТ Р 50922–2006. Защита информации. Основные термины и определения. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст.
Международный стандарт ISO/IEC 27001–2013. Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования.
Р 50.1.028–2001. Методология функционального моделирования. Рекомендации по стандартизации. Приняты и введены в действие Постановлением Госстандарта России от 2.07.201 No 256 ст.
Официальный сайт компании Microsoft. Инструмент для проектирования – система Microsoft Visio [Электрон. ресурс]. Режим доступа: https://www.microsoft.com/ru-ru/microsoft-365/visio/flowchart-software/ (Дата обращения: 24.03.2023).
Гаврилов А.В. Использование современных CASE-средств структурного проектирования при обучении студентов по направлению подготовки «прикладная информатика» // Открытое образование. 2015. No 4(111). С. 22–27.
Вихорев С.В., Кобцев Р.Ю. // Защита информации. Конфидент. 2002. № 3. С. 80–84.
Главным фактором построения эффективной системы ИБ предприятия является идентификация его активов. Для обнаружения информационных активов, подлежащих защите, производится построение функциональной модели бизнес-процессов с использованием методик IDEF0 и IDEF3 [7]. Моделирование бизнес-процессов выполняется в среде Microsoft Visio [8].Существующие подходы к вопросу формирования реестра активов предприятия, которые подлежат защите, не предполагают использования для решения данной задачи современных методов и программных средств построения и анализа бизнес-процессов. Поэтому в данной работе рассматривается методика оценки рисков информационной безопасности предприятия, отличительной особенностью и новизной которой является применение современных средств и методов построения и анализа бизнес-процессов с целью определения подлежащих защите информационных активов предприятия.