METHODS OF INFORMATION SECURITY RISK MANAGEMENT: ISO/IEC 27001 AND CIS CRITICAL SECURITY CONTROLS

Authors

  • Serhii Horlichenko Institute of special communication and information protection of the National technical university of Ukraine "Ihor Sikorsky Kyiv polytechnic institute" https://orcid.org/0000-0002-8999-7526

DOI:

https://doi.org/10.18372/2225-5036.30.18620

Keywords:

risk management, information security risk assessment, risk response, cybersecurity, information security

Abstract

Information security risk management methods based on two key standards, namely CIS Critical Security Controls and ISO/IEC 27001, are an essential part of a modern approach to ensuring the security of information systems. The analysis and study of these standards in the context of minimizing information security risks are crucial stages in the digital environment. During the writing of the article, a theoretical method was used, specifically the analysis of scientific research and publications related to risk management. The use of this methodological approach allowed a comparative analysis of ISO/IEC 27001 and CIS Critical Security Controls. CIS Critical Security Controls define 18 key control measures for the effective protection of information resources, covering aspects such as monitoring, protection against cyber threats, authentication and other security aspects. ISO/IEC 27001 provides a high-level framework for risk management, establishing security policies and audit procedures. CIS Security Controls, on the other hand, focus on specific actions and control points to ensure security. The pros and cons of both standards are analyzed, demonstrating their applicability in different contexts and in the face of modern information security threats. The use of these standards enables effective risk management under the conditions of modern threats and ensures the reliability of information systems. Their widespread use in commercial enterprises and government institutions demonstrates their universality. This article examines the pros and cons of both approaches. In the context of the increasing number of cyber threats and the importance of information security, both standards prove to be valuable tools, but have their limitations.

References

Cost of a data breach report 2023. IBM. URL: https://www.ibm.com/es-es/reports/data-breach (date of access: 28.01.2024).

Johnson L. Security controls evaluation, test-ing, and assessment handbook (second edition). Else-vier Science, 2019. 788 p. URL: https://doi.org/10.1016/C2018-0-03706-8 (date of ac-cess: 24.01.2024).

About us. CIS The Center for Internet Security. URL: https://www.cisecurity.org/about-us (date of access: 24.01.2024).

. CIS critical security controls. CIS The Center for Internet Security. URL: https: // www.cisecurity.org/ controls (date of access: 24.01.2024).

Рой Я. В., Мазур Н. П., Складанний П. М. Аудит інформаційної безпеки – основа ефективного захисту підприємства. Кібербезпека: освіта, наука, техніка. 2018. Т. 1 № 1. С. 86-93. URL: https: // elibrary. kubg. edu.ua/ id/eprint / 25663 / 1 / Я_Рой_Н_Мазур_П_Складанний_ КБ1(1)2018.pdf (дата звернення: 16.01.2024).

Підхід до оцінювання ризиків інформацій-ної безпеки для автоматизованої системи класу "1" / І. С. Літвінчук та ін. Кібербезпека: освіта, наука, техніка. 2020. Т. 2, № 10. С. 98–112. URL: https://doi.org/10.28925/2663-4023.2020.10.98112 (дата звернення: 24.01.2024).

Носов В. В. Деякі аспекти управління ресур-сами СУІБ. Протидія кіберзлочинності та торгівлі людьми : зб. матеріалів Міжнар. наук.-практ. конф. (м. Харків, 27 трав. 2022 р.), м. Харків, 27 трав. 2022 р. Харків, 2022. С. 57-58. URL: http://dspace.univd.edu.ua/xmlui/ handle/123456789/13115 (дата звернення: 09.01.2024).

Прокопченко С. В. Акредитація та сертифі-кація як типові методи верифікації в Службі безпеки України. Збірник наукових праць Харківського на-ціонального університету Повітряних Сил. 2021. № 4(70). С. 114-117. URL: https: // doi.org / 10.30748 / zhups.2021.70.16. (дата звернення: 10.01.2024).

Таченко І., Коробейнікова Т., Захарченко С. Огляд сучасного стану питання в галузі оцінювання ризиків мережевої безпеки. THEORY AND PRACTICE OF SCIENCE: KEY ASPECTS (November 7-8, 2021) : Scientific Collection «InterConf», Rome, 7–8 November 2021 р. 2021. С. 417-432. URL: https://doi.org/10.51582/interconf.7-8.11. 2021 (дата звернення: 23.01.2024).

Сальник С.В., Сторчак А.С., Крамський А.Є. Аналіз вразливостей та атак на державні інфо-рмаційні ресурси, що обробляються в інформацій-но-телекомунікаційних системах. Системи обробки інформації. 2019. № 2(157). С. 121-128. DOI: 10.30748/soi.2019.157.17.

Information technology. Security techniques. Information security management systems. Require-ments [ISO/IEC 27001:2022].

Chown T. IPv6 implications for network scanning. RFC Editor, 2008. URL: https://doi.org/10.17487 /rfc5157 (date of access: 21.01.2024).

Deraison R., Gula R., Hayton T. Passive vul-nerability scanning introduction to nevo. 9th ed. Tena-ble Network Security Inc., 2003. 13 p. URL: https://markowsky.us/papers/net-papers/gula_passive_scanning_tenable.pdf (date of access: 09.01.2024)

Dynamic host configuration protocol (dhcp-v6). Understanding IPv6. New York. pp. 85-113. URL: https://doi.org/10.1007/0-387-25614-8_7 (date of ac-cess: 21.01.2024).

Thomson S., Narten T., Jinmei T. IPv6 state-less address autoconfiguration. RFC Editor, 2007. 30 p. URL: https: // doi.org / 10.17487 / RFC4862 (date of access: 02.01.2024).

Information technology. Security techniques. Information security management systems. Require-ments [ISO/IEC 27001:2013].

Published

2024-05-15