Functional modeling of information security risk management system

Authors

  • Володимир Володимирович Мохор National technical university of Ukraine « Kyiv polytechnic institute»
  • Василь Васильович Цуркан National technical university of Ukraine « Kyiv polytechnic institute»
  • Ярослав Юрійович Дорогий National technical university of Ukraine « Kyiv polytechnic institute»
  • Ольга Миколаївна Крук Pukhov institute for modeling in energy engineering of National academy of sciences of Ukraine

DOI:

https://doi.org/10.18372/2410-7840.18.10115

Keywords:

information security risk, information security risk management system, functional modeling, functional model, IDEF0

Abstract

Preservation of confidentiality, integrity and availability of information in organization is achieved by risk management system designing and implementation. For these purposes, a generic approach described in the international standard ISO/IEC 27005: 2011 is used. In view of above-mentioned, it is specified by the principles and recommendations of the ISO 31000:2009, ISO/TR 31004:2013, IEC 31010:2009. Therefore, the definitions from these legal documents are used for information security risk management system design and implementation. The system is developing by identifying her functional boundaries, functions and terms of their performance. This will be possible by the way of its functional simulation. Thus, resulting functional model will be presented in IDEF0 graphical diagram notation. According to this view, information security risk management activities are formalized by defining objectives, terms of model and set of functions. At last, such approach has given us the possibility to visualize the conditions and results of their execution by the system was simulated, within the prescribed limits.

Author Biographies

Володимир Володимирович Мохор, National technical university of Ukraine « Kyiv polytechnic institute»

doctor of engineering science, professor, head of cybersecurity and application of information systems and technologies academic department, State institution «Institute of special communications and information security National technical university of Ukraine « Kyiv polytechnic institute»

Василь Васильович Цуркан, National technical university of Ukraine « Kyiv polytechnic institute»

candidate of engineering science, leading researcher of State institution «Institute of special communications and information security National technical university of Ukraine «Kyiv polytechnic institute»

Ярослав Юрійович Дорогий, National technical university of Ukraine « Kyiv polytechnic institute»

candidate of engineering science, associate professor, associate professor of cybersecurity and application of information systems and tech-nologies academic department, State institution «Institute of special communications and information security National technical university of Ukraine «Kyiv polytechnic institute»

Ольга Миколаївна Крук, Pukhov institute for modeling in energy engineering of National academy of sciences of Ukraine

junior researcher of Pukhov institute for modeling in energy engineering of National academy of sciences of Ukraine

References

Мохор В. В. Изложение стандарта «ISO 31000:2009. Risk management. Principles and guide-lines» на русском языке / В. В. Мохор, А. М. Богданов / Das Management. – 2011. – № 3. – С. 5-18.

Мохор В. В. BS 31100:2008. Обращение с рисками: общие практические рекомендации / В. В. Мохор, А. М. Богданов / Das Management. – 2011. – № 4. – С. 7-28.

Мохор В. В. Спроба локалізації ISO GUIDE 73:2009 «Risk management – Vocabulary» / В. В. Мохор, О. М. Богданов, О. М. Крук, В. В. Цуркан // Безпека інформації. – 2012. – Том 18, № 2. – С. 12-22.

Information technology. Security techniques. Information security risk management : ISO/IEC 27005:2011. – Second edition 2011-06-10. – Geneva, 2011. – P. 68.

Керування ризиком. Методи загального оцінювання ризику (IEC 31010:2009, IDT) : ДСТУ IEC 31010:2013. – [Чинний від 2014-07-01]. – К. : Міне-кономрозвитку України, 2015. – 73 с. – (Національний стандарт України).

Systems and software engineering. System life cycle processes : ISO/IEC 15288:2015. – Second edition 2015-05-15. – Geneva, 2015. – P. 108.

Цуркан В. В. Функціональний підхід до моделювання процесу менеджування ризику безпеки інформації / В. В. Цуркан // Информационные технологии и безопасность. Оценка состояния: Материалы международной конференции ИТБ-2013. – К. : ИПРИ НАН Украины, 2013. – С. 193 - 194.

Методология функционального моделирования IDEF0 : РД IDEF0:2000. – [Действует с 2001-07-02]. – М. : Госстандарт России, 2000. – 75 с.

Атисков А. Ю. Автоматизация процесса проектирования системы информационной защиты предприятия средствами IDEF и UML / А. Ю. Атисков, Т. В. Mонахова // Труды СПИИРАН. – 2006. – Т. 2, Вып. 3. – С. 115-119.

Зайцев О. Е. Подходы к структурному моделированию основных компонентов безопасности ИТ «Общих критериев» / О. Е. Зайцев, А. В. Любимов, А. В. Суханов // Теория и технология программирования и защиты информации. Применение вы-числительной техники : труды 11-й науч.-техн. конф. (Санкт-Петербург, 18 мая 2007 г.) – С. 56-60.

Любимов А. В. Функциональное моделирование системы управления информационной безопасности организации по семейству стандартов ISO/IEC 2700x / А. В. Любимов, С. В. Шустиков, Н. В. Андреева // Научно-технический вестник информационных технологий, механики и оп-тики. – 2008. – № 7 (52). – С. 251-257.

Криволапов В. Г. Комплексная методика моделирования рисков информационной безопасности открытых систем : автореф. дис. на соискание научной степени канд. техн. наук : спец. 05.13.19 «Методы и системы защиты информации, информационная безопасность» / В. Г. Криволапов. – М., 2009. – 23 с.

Комин Д. С. IDEF модели оценки уровня гарантий информационной безопасности / Д. С. Ко-мин, А. В. Потий // Вісник Харківського національного університету. – 2010. – № 925, вип. 14. – С. 98-105.

Васильев В. И. Система поддержки принятия решений по обеспечению персональных данных / В. И. Васильев, Н. В. Белков / Вестник УГАТУ. – 2011. – Том 15, № 5 (45). – С. 54-65.

Цыбулин А. М. Многоагентный подход к построению автоматизированной системы управления информационной безопасностью предприятия / А. М. Цыбулин // Известия ЮФУ. Технические науки. Информационная безопасность. – 2012. – № 12. – С. 111-116.

Булдакова Т. И. Анализ информационных рисков виртуальных инфраструктур здравоохранения [Электронный ресурс] / Т. И. Булдакова, С. И. Суятинов, Д.А. Миков // Информационное общество. – Режим доступа: http://emag.iis.ru/ arc/infosoc/emag.nsf/BPA/87f599404bc9073d44257c2a00476485. – Дата доступа: февраль 2016. – Название с экрана.

Миков Д. А. Анализ методов изучения потоков данных для оценки рисков информационной без-опасности / Д. А. Миков // Prospero. – 2014. – № 7. – С. 27-33.

Оладько В. С. Программный комплекс для оценки уровня защищенности систем электронной коммерции / В. С. Оладько // Вестник Томского государственного университета. Управление, вычислительная техника и информатика. – 2015. – № 4 (33). – С. 46-53.

Information technology. Security techniques. Information security management systems. Requirements :ISO/IEC 27001:2013. – Second edition 2013-10-01. – Geneva, 2013. – P. 23.

Мохор В. В. Нормативно-правовий аспект розробляння системи менеджовування ризику безпеки інформації / В.В. Мохор, В. В. Цуркан, О. М. Крук // Інформаційна безпека України : зб. наук. доп. та тез науково-технічної конференції (м. Київ, 12-13 бере-зня 2015 р.). – К. : Київський національний університет імені Тараса Шевченка, 2015. – С. 122-123.

Published

2016-03-23

Issue

Section

Articles