ПІДХІД ДО ОЦІНЮВАННЯ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ДЛЯ АВТОМАТИЗОВАНОЇ СИСТЕМИ КЛАСУ «1»
DOI:
https://doi.org/10.28925/2663-4023.2020.10.98112Ключові слова:
автоматизована система; управління ризиками; система управління інформаційною безпекою; вразливістьАнотація
Стаття присвячена оцінці ризиків інформаційної безпеки в автоматизованих системах класу «1». Запропоновано адаптований підхід до оцінки ризиків інформаційної безпеки в таких АС з використанням Методики та вимог стандартів ГСТУ СУІБ 1.0/ISO/IEC 27001:2010 та ГСТУ СУІБ 2.0/ISO/IEC 27002:2010. Працездатність та способи реалізації підходу доведено на прикладі розгляду реальних загроз та вразливостей АС класу “1”. Основною вимогою при створенні системи управління інформаційною безпекою в організації є оцінювання ризиків та визначення загроз для інформаційних ресурсів, які обробляються в інформаційно-телекомунікаційних системах та АС. Розглянуто базові стандарти щодо інформаційної безпеки в Україні, які дають загальні рекомендації щодо побудови і оцінювання ризиків інформаційної безпеки в рамках СУІБ. Проаналізовано найпоширеніші методи й методології з оцінювання ризиків інформаційної безпеки міжнародного зразка, зокрема, CRAMM, OCTAVE, NIST SP800-30 визначено їх переваги і недоліки. Визначено порядок проведення робіт з оцінки ризиків інформаційної безпеки АС класу «1». Наведено вразливості, що враховуються експертом відповідно до стандарту ISO/IEC 27002:2005 та Методики а також умовну шкалу визначення впливу на реалізацію загроз цілісності, доступності, спостережності. Запропоновані заходи та засоби протидії виникненню загроз. Даний підхід можна використовувати як для безпосереднього оцінювання інформаційного ризику, так і в навчальних цілях. Він дозволяє отримати кінцевий результат незалежно від досвіду та кваліфікації фахівця, що проводить оцінку ризиків, з подальшим впровадженням та удосконаленням існуючої системи управління ризиками в організації..
Завантаження
Посилання
V. Buryachok. Fundamentals of the formation of the state system of cyber security: Monograph. - К .: NAU, 2013. - 432 p.
Ya.V. Roy and N.P. Mazur and P.M. Skladannyi, "Information security audit - the basis of effective enterprise protection", Cybersecurity: education, science, technology. № 1 (1). Pp. 86-93, 2018.
A. Lagun. Risks of information security of IT-enterprises [Electronic resource] / A. Lagun, N. Kukharska // Information protection and security of information systems: VII International scientific and technical conference, Lviv, May 30-31, 2015. - Available: https://webcache.googleusercontent.com/search?Q=cache:_mlalmxnnaej:https://sci.ldubgd.edu.ua/bitstream/handle/123456789/750/11.doc%3Fsequence%3D1% 26isallowed% 3Dy + & cd = 2 & hl = ru & ct = clnk & gl = ua & client = firefox-bd [10.09.2020].
Pastoev A., "Methodologies of IT risk management", Open systems. DBMS. №8. 2006. [Electronic resource] Available: https://www.osp.ru/os/2006/08/3584582 [10.09.2020].
В.В. Yermoshin, Ya.V. Nevoit, "Analysis and assessment of information security risks for banking and commercial systems", Modern information security. № 3. Pp. 26–29. 2014
Methodical recommendations for the implementation of the information security management system and risk assessment methods in accordance with the standards of the National Bank of Ukraine: Letter of the National Bank of Ukraine dated 03.03.2011 № 24-112 / 365 [Electronic resource]. Available: https://zakon.rada.gov.ua/laws/show/v0365500-11#Text [10.09.2020].
S.S. Buchik, S.V. Melnyk, "Methods of assessing information risks in an automated system", Problems of creating, testing, application and operation of complex information systems: a collection of scientific papers. №11. Pp. 33–42, 2015.
