Method of information system’s security level estimation using ISMS "Matrix"

Authors

  • Дмитро Валерійович Домарєв Національний авіаційний університет
  • Валерій Валентинович Домарєв
  • Сергій Дмитрович Прокопенко ТОВ «ЕПОС»

DOI:

https://doi.org/10.18372/2410-7840.15.4223

Keywords:

information system’s security level estimation, information security audit, risk evaluation, risk esti-mation, information security management, ISMS "Ma-trix"

Abstract

Actuality of information system’s security level estimation is proved. For the offered method, the range of application, purpose and procedure are described. The procedure of the offered method consists of primary questioning of the client, determination of assets, determination of assets’ importance using verbal estimations, search for vulnerabilities of the determined assets, determination of threats resulting from found vulnerabilities, determination the found threats’ danger using verbal estimations, translation of assets’ importance and threats’ danger into quantitative estimations, risk assessment and ranking, determination of the most vulnerable assets and the most dangerous threats, ranking of vulnerabilities for every asset, production of recommendations concerning the vulnerabilities’ remediation, compilation of report. For the practical realization of the offered method, the information security management system "Matrix" is applied. Conclusion is made about the advantages of the offered method.

Author Biographies

Дмитро Валерійович Домарєв, Національний авіаційний університет

postgraduate student of the National aviation university.

Валерій Валентинович Домарєв

PhD, associate prof., independent expert in information security

Сергій Дмитрович Прокопенко, ТОВ «ЕПОС»

head of Computer forensics and information security lab., EPOS LLC

References

Домарев, В.В. Безопасность информационных технологий. Системный подход [Текст] / В.В. Домарев. – К.: ООО «ТИД «ДС», 2004. – 992 с. ISBN 966-7992-36-5

Домарєв, В.В. Управління інформаційною безпекою в банківських установах (Теорія і практика впровадження стандартів серії ISO 27k) [Текст] / В.В. Домарєв, Д.В. Домарєв. – Донецьк: «Велстар», 2012. – 146 с. ISBN 978-966-2759-00-6

Інформаційні технології. Методи захисту. Звід правил для управління інформаційною безпекою (ISO/IEC 27002:2005, MOD) [Текст]: ГСТУ СУІБ 2.0/ISO/IEC 27002:2010. – К.: Національний банк України, 2010. – 163 с. – Код УКНД 35.040.

Інформаційні технології. Методи захисту. Систе-ма управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2005, MOD) [Текст]: ГСТУ СУІБ 1.0/ISO/IEC 27001:2010. – К.: Національний банк України, 2010. – 49 с. – Код УКНД 35.040.

Методичні рекомендації щодо впровадження системи управління інформаційною безпекою та методики оцінки ризиків відповідно до стандартів Національного банку України [Текст]: лист департаменту інформатизації Національного банку України банкам України від 03 березня 2011 р. № 24-112/365. – К.: Національний банк України, 2011.

Domarev, D.V. Information security management system “Matrix” based on system approach [Текст] / D.V. Domarev // Проблеми інформатизації та управління: Зб. наук. пр. – К.: НАУ, 2011. – Вип. 2(34). – С. 36 – 39. ISSN 2073-4751

Information Security Management Systems (ISMS) [Текст]: BSI Standard 100-1, Version 2.0. – Bonn: BSI, 2008. – 38 p.

Information technology. Security techniques. Infor-mation security management systems. Overview and vocabulary [Текст]: international standard ISO/IEC 27000:2009(E). – Switzerland: ISO/IEC, 2009. – 26 p.

IT-Grundschutz Methodology [Текст]: BSI Standard 100-2, Version 2.0. – Bonn: BSI, 2008. – 93 p.

Обкладинка

Downloads

Published

2013-03-04

Issue

Vol. 15 No. 1 (2013)

Section

Articles

License

Authors who publish with this journal agree to the following terms:

  1. Authors retain copyright and grant the journal right of first publication with the work simultaneously licensed under a Creative Commons Attribution License that allows others to share the work with an acknowledgement of the work's authorship and initial publication in this journal.

  2. Authors are able to enter into separate, additional contractual arrangements for the non-exclusive distribution of the journal's published version of the work (e.g., post it to an institutional repository or publish it in a book), with an acknowledgement of its initial publication in this journal.

  3. Authors are permitted and encouraged to post their work online (e.g., in institutional repositories or on their website) prior to and during the submission process, as it can lead to productive exchanges, as well as earlier and greater citation of published work (See The Effect of Open Access).