СОВРЕМЕННЫЕ СРЕДСТВА УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
DOI:
https://doi.org/10.18372/2410-7840.14.2054Keywords:
информационная безопасность, риск, анализ риска, оценка риска, управление риском, угроза, уязвимость, интегрированное представление параметров рискаAbstract
В работе проведено исследование широкого спектра существующих методик и программного обеспечения управления информационными рисками относительно набора параметров, характеризующих риск. К этим параметрам принадлежат: событие, действие, характеристика ситуации, мера, вероятность, опасность, затраты и потери. Для этих средств с учетом интегрированных параметров риска составлен кортеж, который даст возможность унифицировать процесс сравнительного анализа соответствующего инструментального программного обеспечения, что повысит эффективность осуществления его выбора.References
A Guide to risk assessment and safeguard selection for Information Technology Systems, [Электронный ресурс] / MG-3, Government of Canada, Communications Security Establishment (CSE) P.O., Terminal, Ottawa, Ontario, Canada, K1G 3Z4 – 1996, Р. 73 – Режим доступа: http://www.cse-cst.gc.ca.
Amril Syalim Comparison of Risk Analysis Methods: Mehari, Magerit, NIST800-30 and Microsoft’s Security Management Guide [Электронный ресурс] // Amril Syalim, Yoshiaki Hori, Kouichi Sakurai – Режим доступа: http://itslab.inf.kyushu-u.ac.jp.
BSI-Standard 100-3: Risk analysis based on IT-Grundschutz // Bundesamt für Sicherheit in der Informationstechnik. – 2008. – version 2.5.
Callio Technologies: программный комплекс управления политикой информационной безопасности компании (международный стандарт BS7799 ISO 17799) [Электронный ресурс] – Режим доступа: http://businesssoft.ru.
Compliant Information Security Risk Assessment Tool [Электронный ресурс] / vsRisk – ISO 27001: 2005 – Режим доступа: http://www.27001.com/products/31
CMS Information Security Risk Assessment (RA) Methodology. – 2002. – Version 1.1
ISO/FDIS 31000:2009(E) international standard Risk management – Principles and guidelines. – 2009.
ISO/IEC 27005 Информационная технология – Методы защиты – Менеджмент рисков информационной безопасности. BS ISO/IEC 27005:2008. – 2008. – Технический перевод v.2.6 от 4.02.2011.
MAGERIT Methodology for Information Systems Risk Analysis and Management Book I [Электронный ресурс] / The Method – version 2 – Режим доступа: https://www.ccn-cert.cni.es/publico /herramientas/pilar44/en/magerit/meth-en-v11.pdf.
Mehari – Overview // Club de la Securit ´ e de l’Information Franc¸ais ´(CLUSIF). – 2010.
NIST 800 – 30 Risk Management Guide for Information Technology Systems. [Электронный ресурс] / Recommendations of the National Institute of Standards and Technologyhttp – Режим доступа: //csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf.
OCTAVE® (Operationally Critical Threat, Asset, and Vulnerability EvaluationSM) [Электронный ресурс] // http://www.cert.org/octave/octavemethod.html – Названия титул. с экрана.
Thomas R. Peltier Information security risk analysis / Thomas R. Peltier – Auerbach Pub, 2001. – Р 281.
Risk Management Tools. Program Risk Management Tools. [Электронный ресурс] – Режим доступа: http://mitre.org/work/systems_engineering/guide/risk_management_tools.html.
Value at Risk: A methodology for Information Security Risk [Электронный ресурс] / Assessment. Jeevan Jaisingh and Jackie Rees Krannert // Graduate School of Management Purdue University West Lafayette – Режим доступа: http://www.gloriamundi.org/picsresources/jjjr.pdf.
Корченко А.Г. Анализ и определение понятия риска для его интерпретации в области информационной безопасности / Корченко А.Г., Иванченко Е.В., Казмирчук С.В. // Защита информации – 2010. – №3. – С. 5-10.
Корченко А.Г. Интегрированное представление параметров риска / Корченко А.Г., Иванченко Е.В., Казмирчук С.В. // Защита информации – 2011. – №1. – С. 96-101.
Костров Д.Д. Анализ рисков и управление ими [Электронный ресурс] / Костров Д.Д. // Byte Россия – 2003. – №10 (62) – Режим доступа: http://www.bytemag.ru/articles/detail.php?ID=6655.
Луцкий М.Г. Базовые понятия управления риском в сфере информационной безопасности / Луцкий М.Г., Иванченко Е.В., Казмирчук С.В. // Защита информации – 2011. – №2. – С. 86-94.
Медведовский И.С. Современные методы и средства анализа и контроля рисков информационных систем компаний CRAMM, RiskWatch и ГРИФ [Электронный ресурс] / И.С. Медведовский // (Опубликовано на "SecurityLab") – 2004. – Режим доступа: http://www.ixbt.com/cm/informationsystem-risks012004.shtml.
Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / Петренко С.А., Симонов С.В. – М.: Компания АйТи ; ДМК Пресс, 2004. - 384 с.
Рекомендации в области стандартизации банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности. РС БР ИББС-2.2-2009. [Электронный ресурс] / Режим доступа: http://dorlov.blogspot.com/2009/07/22-2009.html
Руководство по управлению рисками безопасности. [Электронный ресурс] / Группа разработки решений Майкрософт по безопасности и соответствию, регулятивным нормам и Центр Microsoft security center of excellence. – Режим доступа: http://www.microsoft.com/rus/technet/security.
Симонов С.В. Анализ рисков в информационных системах. Практические аспекты. Защита информации [Электронный ресурс] / Симонов С.В. // Конфидент. Безопасность компьютерных систем – 2001. – №2. – C. 48-53 http://www.compulink.ru/images/complink2.pdf – Названия титул. с экрана.
Частиков А.П. Использование байесовской сети при разработке экспертных систем с нечеткими знаниями / Частиков А.П., Леднева И.Ю. [Электронный ресурс] / Кубанский государственный технологический университет (КубГТУ), г.Краснодар – Режим доступа: http://ito.su/2000/II/5/5152.html.
Downloads
Issue
Section
License
Authors who publish with this journal agree to the following terms:- Authors retain copyright and grant the journal right of first publication with the work simultaneously licensed under a Creative Commons Attribution License that allows others to share the work with an acknowledgement of the work's authorship and initial publication in this journal.
- Authors are able to enter into separate, additional contractual arrangements for the non-exclusive distribution of the journal's published version of the work (e.g., post it to an institutional repository or publish it in a book), with an acknowledgement of its initial publication in this journal.
- Authors are permitted and encouraged to post their work online (e.g., in institutional repositories or on their website) prior to and during the submission process, as it can lead to productive exchanges, as well as earlier and greater citation of published work (See The Effect of Open Access).
