МЕТОДИ УПРАВЛІННЯ РИЗИКАМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ: СТАНДАРТ ISO/IEC 27001 ТА CIS CRITICAL SECURITY CONTROLS
DOI:
https://doi.org/10.18372/2225-5036.30.18620Ключові слова:
управління ризиками, оцінювання ризиків безпеці інформації, реагування на ризик, кібербезпека, інформаційна безпекаАнотація
Методи управління ризиками інформаційної безпеки, що ґрунтуються на двох стандартах – ISO/IEC 27001 та CIS Critical Security Controls, є важливою складовою сучасного підходу до забезпечення безпеки інформаційних систем. Аналіз та вивчення цих стандартів у контексті мінімізації ризиків для інформаційної безпеки є ключовим етапом в цифровому середовищі. Під час написання статті застосовано теоретичний метод, зокрема аналіз наукових досліджень та публікацій, що стосуються управління ризиками. Використання зазначеного методологічного підходу дозволило провести порівняльний аналіз стандартів ISO/IEC 27001 та CIS Critical Security Controls. CIS Critical Security Controls визначає 18 ключових контрольних заходів, орієнтованих на ефективний захист інформаційних ресурсів, включаючи моніторинг, захист від кіберзагроз, аутентифікацію та інші аспекти безпеки. ISO/IEC 27001 надає високорівневий фреймворк для управління ризиками, встановлюючи політику безпеки та процеси аудиту. З іншого боку, CIS Security Controls фокусується на конкретних діях та контрольних точках для забезпечення безпеки. Аналізуються переваги та недоліки обох стандартів, демонструючи їхню застосовність у різних контекстах та в умовах сучасних загроз інформаційної безпеки. Розглянуті аспекти допомагають прийняти обґрунтоване рішення щодо вибору стандарту для конкретної організації. Використання цих стандартів дозволяє ефективно управляти ризиками в умовах сучасних загроз і забезпечити надійність інформаційних систем. Широке застосування цих стандартів у комерційних компаніях та державних установах свідчить про їхню універсальність. Стаття розглядає переваги та недоліки обох підходів в контексті зростаючої кількості кіберзагроз і важливості інформаційної безпеки.
Посилання
Cost of a data breach report 2023. IBM. URL: https://www.ibm.com/es-es/reports/data-breach (date of access: 28.01.2024).
Johnson L. Security controls evaluation, test-ing, and assessment handbook (second edition). Else-vier Science, 2019. 788 p. URL: https://doi.org/10.1016/C2018-0-03706-8 (date of ac-cess: 24.01.2024).
About us. CIS The Center for Internet Security. URL: https://www.cisecurity.org/about-us (date of access: 24.01.2024).
. CIS critical security controls. CIS The Center for Internet Security. URL: https: // www.cisecurity.org/ controls (date of access: 24.01.2024).
Рой Я. В., Мазур Н. П., Складанний П. М. Аудит інформаційної безпеки – основа ефективного захисту підприємства. Кібербезпека: освіта, наука, техніка. 2018. Т. 1 № 1. С. 86-93. URL: https: // elibrary. kubg. edu.ua/ id/eprint / 25663 / 1 / Я_Рой_Н_Мазур_П_Складанний_ КБ1(1)2018.pdf (дата звернення: 16.01.2024).
Підхід до оцінювання ризиків інформацій-ної безпеки для автоматизованої системи класу "1" / І. С. Літвінчук та ін. Кібербезпека: освіта, наука, техніка. 2020. Т. 2, № 10. С. 98–112. URL: https://doi.org/10.28925/2663-4023.2020.10.98112 (дата звернення: 24.01.2024).
Носов В. В. Деякі аспекти управління ресур-сами СУІБ. Протидія кіберзлочинності та торгівлі людьми : зб. матеріалів Міжнар. наук.-практ. конф. (м. Харків, 27 трав. 2022 р.), м. Харків, 27 трав. 2022 р. Харків, 2022. С. 57-58. URL: http://dspace.univd.edu.ua/xmlui/ handle/123456789/13115 (дата звернення: 09.01.2024).
Прокопченко С. В. Акредитація та сертифі-кація як типові методи верифікації в Службі безпеки України. Збірник наукових праць Харківського на-ціонального університету Повітряних Сил. 2021. № 4(70). С. 114-117. URL: https: // doi.org / 10.30748 / zhups.2021.70.16. (дата звернення: 10.01.2024).
Таченко І., Коробейнікова Т., Захарченко С. Огляд сучасного стану питання в галузі оцінювання ризиків мережевої безпеки. THEORY AND PRACTICE OF SCIENCE: KEY ASPECTS (November 7-8, 2021) : Scientific Collection «InterConf», Rome, 7–8 November 2021 р. 2021. С. 417-432. URL: https://doi.org/10.51582/interconf.7-8.11. 2021 (дата звернення: 23.01.2024).
Сальник С.В., Сторчак А.С., Крамський А.Є. Аналіз вразливостей та атак на державні інфо-рмаційні ресурси, що обробляються в інформацій-но-телекомунікаційних системах. Системи обробки інформації. 2019. № 2(157). С. 121-128. DOI: 10.30748/soi.2019.157.17.
Information technology. Security techniques. Information security management systems. Require-ments [ISO/IEC 27001:2022].
Chown T. IPv6 implications for network scanning. RFC Editor, 2008. URL: https://doi.org/10.17487 /rfc5157 (date of access: 21.01.2024).
Deraison R., Gula R., Hayton T. Passive vul-nerability scanning introduction to nevo. 9th ed. Tena-ble Network Security Inc., 2003. 13 p. URL: https://markowsky.us/papers/net-papers/gula_passive_scanning_tenable.pdf (date of access: 09.01.2024)
Dynamic host configuration protocol (dhcp-v6). Understanding IPv6. New York. pp. 85-113. URL: https://doi.org/10.1007/0-387-25614-8_7 (date of ac-cess: 21.01.2024).
Thomson S., Narten T., Jinmei T. IPv6 state-less address autoconfiguration. RFC Editor, 2007. 30 p. URL: https: // doi.org / 10.17487 / RFC4862 (date of access: 02.01.2024).
Information technology. Security techniques. Information security management systems. Require-ments [ISO/IEC 27001:2013].
