Assessment of organization’s information security on the criterion of confidence
DOI:
https://doi.org/10.18372/2410-7840.21.13445Keywords:
assessment, information security, confidence, trust, Harrington's function, maturity modelAbstract
Currently, the protection of information remains a pressing issue, and the most common approaches to its assessment are verification and risk-oriented method. However, the information security metrics in the relevant methodologies based on these approaches are insufficiently informative, since they take into account only objective aspects of security, completely ignoring the subjective ones. Therefore, they do not allow the development of judgments based on the state of confidentiality, integrity and availability of information and the organization’s information security level as a whole. For that reason, there is a necessity to develop a methodological apparatus for assessing the organization's information security, taking into account objective and subjective aspects of security. The article proposes the approach to assessing information security on the basis of the criterion of confidence that an organization implements its adopted security policy. Assessment of confidence includes assessment of the credibility of organization’s information security, the quality of the trust assessment model and the background of the persons who conducted such an assessment and knowledge assessment regarding threats. As an indicator of confidence, the utility indicator is used as the value of the generalized Harrington’s desirability function. The proposed approach to assessing the organization's information security is fairly simple to be implemented and can be used as a pilot to develop appropriate methods for assessing the security of organizations of various forms of ownership.
References
ISO/IEC 27000:2009, Information security man-agement systems. Overview and vocabulary. [Элек-тронный ресурс]. Режим доступа: https://www.iso. org/standard/41933.html.
И. Чибрикин, "Информационная безопасность для организаций с высоким уровнем риска: новые угрозы и возможные подходы к их нейт-рализации. Организационные и правовые ас-пекты информационной безопасности", JetInfo №1, «Инфосистемы Джет», Москва, 2007.
И. Ажмухамедов, О. Князева, Л. Большакова, "Оценка уровня информационной безопаснос-ти финансовых учреждений", Современные про-блемы науки и образования, № 1, 2015.
Ю. Шеховцова, "О субъективных аспектах по-нятия «безопасность»", Экономика и современный менеджмент: теория и практика: сб. ст. по матер. V междунар. науч.-практ. конф. Новосибирск: СибАК, 2011.
ISO/IEC TR 15443-1:2005 «Information technol-ogy. Security techniques. A framework for IT secu-rity assurance. Part 1: Overview and framework».
ISO/IEC 15408-1:2009 Information technology -- Security techniques. Evaluation criteria for IT security. Part 1: Introduction and general model.
ISO/IEC 21827:2008 Information technology. Security techniques. Systems Security Engineering. Capability Maturity Model® (SSE-CMM®).
П. Шиверов, В. Бондаренко, "Понятие доверия в контексте информационной безопасности", Информационные технологии и нанотехнологии. СГАУ, Самара, С. 414-418, 2016.
Я. Имамвердиев, "Модель оценки доверия к информационной безопасности э-государства", Проблемы информационных технологий. Институт Информационных Технологий НАНА, Баку, Азер-байджан, №1, С. 25-32, 2015.
С. Зефиров, В. Голованов, "Как измерить ин-формационную безопасность организации? Объективно о субъективном", Защита информа-ции, Инсайд. Издательский Дом “Афина”, Санкт-Петербург, № 3 (9), С. 28-35, 2006.
СТО БР ИББС–1.1–2007 «Обеспечение ин-формационной безопасности организаций бан-ковской системы Российской Федерации». [Эле-ктронный ресурс]. Режим доступа: http://www. iso27000. ru/ standarty/ sto- br- ibbs- standarty-banka-rossii-v-oblasti-informacionnoi-bezopasnosti/ st11.pdf/view
C. Скрыль, А. Курило, В. Финько, В. Чашкин, "Конфиденциальность как субъективный пока-затель защищенности информации", Безопасность информационных технологий. «МИФИ» (НИЯУ МИФИ), Том 16, № 3, С. 141-144, 2009.
Ю. Шеховцова, "О субъективных аспектах по-нятия «безопасность»", Экономика и современный менеджмент: теория и практика: сб. ст. по матер. V междунар. науч.-практ. конф. Новосибирск: СибАК, 2011.
О. Зотова, "Научно-практические трактовки проблемы безопасности личности", Прикладная юридическая психология, №3. С. 128-132, 2010.
Canadian Tusted Computer Product Evaluation Criteria, v. 3.0. Canadian System Security Centre, Communications Security Establishment, Govern-ment of Canada, 1993.
E. Harrington, The desirable function, Industrial Quality Control, vol. 21, no. 10, pp. 494-498, 1965.
G. Fechner, Elemente der psychophysik, 2 Vols. Leipzig (Germany): Breitkopf und Härtel, 1860, 571 p.
Ю. Чукова, Закон Вебера-Фехнера, М.: Гигиена, 2009, 144 с.
Ю. Самохвалов, О. Бурба, "Оценка эффектив-ности научных и научно-технических проектов на основе обобщенной функции Харрингтона", Системи управління, навігації та зв′язку, вип.4(50), С. 77-85, 2018.
СТО БР ИББС-1.0-2014. Обеспечение инфор-мационной безопасности организаций банков-ской системы Российской Федерации. Общие положения. [Электронный ресурс]. Режим дос-тупа: http://www. garant.ru/products/ipo/prime/doc/ 70567254/.
Н. Милославская, Р. Сагиров, "Обзор моделей зрелости процессов управления информацион-ной безопасностью", Безопасность информационных технологий. МИФИ (НИЯУ МИФИ), Москва. Том 22, № 2, С. 76-84, 2015.
К. Нарыжный, Cobit 5: модель оценки про-цессов [Электронный ресурс]. Режим доступа: https:// cleverics.ru/subject-field/articles/554-cobit5-pam.
Оценка зрелости процессов обеспечения ин-формационной безопасности в российских ба-нках [Электронный ресурс]. Режим доступа: https:// www.pwc.ru/en/blogs/cybersecurity/posts/27ndpost.pf.
Ю. Самохвалов, Е. Науменко, Экспертное оценива-ние, ДУИКТ, K.: 2007, 268 с
Ю. Самохвалов, "Оценка обоснованности управленческих решений на основе нечеткой логики", Управляющие системы и машины, №3, 2017, C. 26-34.
S. Kent, Strategic Intelligence for American World Policy, Princeton: Princeton University Press, 1949, 226 р.
В. Плэтт, Информационная работа стратегической разведки. Основные принципы. Издательство иностранной литературы, Москва, 1958, 144 с.
Downloads
Published
Issue
Section
License
Authors who publish with this journal agree to the following terms:- Authors retain copyright and grant the journal right of first publication with the work simultaneously licensed under a Creative Commons Attribution License that allows others to share the work with an acknowledgement of the work's authorship and initial publication in this journal.
- Authors are able to enter into separate, additional contractual arrangements for the non-exclusive distribution of the journal's published version of the work (e.g., post it to an institutional repository or publish it in a book), with an acknowledgement of its initial publication in this journal.
- Authors are permitted and encouraged to post their work online (e.g., in institutional repositories or on their website) prior to and during the submission process, as it can lead to productive exchanges, as well as earlier and greater citation of published work (See The Effect of Open Access).