Функціональне моделювання системи керування ризиком безпеки інформації
DOI:
https://doi.org/10.18372/2410-7840.18.10115Ключові слова:
ризик безпеки інформації, система керування ризиком безпеки інформації, функціональне моделювання, функціональна модель, IDEF0Анотація
Збереження конфіденційності, цілісності та доступності інформації в організації здійснюється шляхом розробляння та впроваджування системи керування ризиком. Для цього використовується узагальнений підхід, що описується в міжнародному стандарті ISO/IEC 27005:2011. З огляду на це, він уточнюються принципами та рекомендаціями ISO 31000:2009, IEC 31010:2009, ISO/TR 31004:2013. Тому означенні в цих нормативно-правових документах положення взаємодоповнюються та використовуються для розробляння та впроваджування системи керування ризиком безпеки інформації. Така система розробляється шляхом визначання для неї функціональних меж, функцій та умов їх виконання. Це стане можливим завдяки її функціональному моделюванню. Отримана при цьому функціональна модель представляється діаграмою в графічній нотації IDEF0. Відповідно до такого відображення, формалізується діяльність із керування ризиком безпеки інформації шляхом визначання мети, точки зору моделі та множини її функцій. Це дозволило наочно відобразити умови та результати їх виконання системою, що моделювалася, у встановлених межах.Посилання
Мохор В. В. Изложение стандарта «ISO 31000:2009. Risk management. Principles and guide-lines» на русском языке / В. В. Мохор, А. М. Богданов / Das Management. – 2011. – № 3. – С. 5-18.
Мохор В. В. BS 31100:2008. Обращение с рисками: общие практические рекомендации / В. В. Мохор, А. М. Богданов / Das Management. – 2011. – № 4. – С. 7-28.
Мохор В. В. Спроба локалізації ISO GUIDE 73:2009 «Risk management – Vocabulary» / В. В. Мохор, О. М. Богданов, О. М. Крук, В. В. Цуркан // Безпека інформації. – 2012. – Том 18, № 2. – С. 12-22.
Information technology. Security techniques. Information security risk management : ISO/IEC 27005:2011. – Second edition 2011-06-10. – Geneva, 2011. – P. 68.
Керування ризиком. Методи загального оцінювання ризику (IEC 31010:2009, IDT) : ДСТУ IEC 31010:2013. – [Чинний від 2014-07-01]. – К. : Міне-кономрозвитку України, 2015. – 73 с. – (Національний стандарт України).
Systems and software engineering. System life cycle processes : ISO/IEC 15288:2015. – Second edition 2015-05-15. – Geneva, 2015. – P. 108.
Цуркан В. В. Функціональний підхід до моделювання процесу менеджування ризику безпеки інформації / В. В. Цуркан // Информационные технологии и безопасность. Оценка состояния: Материалы международной конференции ИТБ-2013. – К. : ИПРИ НАН Украины, 2013. – С. 193 - 194.
Методология функционального моделирования IDEF0 : РД IDEF0:2000. – [Действует с 2001-07-02]. – М. : Госстандарт России, 2000. – 75 с.
Атисков А. Ю. Автоматизация процесса проектирования системы информационной защиты предприятия средствами IDEF и UML / А. Ю. Атисков, Т. В. Mонахова // Труды СПИИРАН. – 2006. – Т. 2, Вып. 3. – С. 115-119.
Зайцев О. Е. Подходы к структурному моделированию основных компонентов безопасности ИТ «Общих критериев» / О. Е. Зайцев, А. В. Любимов, А. В. Суханов // Теория и технология программирования и защиты информации. Применение вы-числительной техники : труды 11-й науч.-техн. конф. (Санкт-Петербург, 18 мая 2007 г.) – С. 56-60.
Любимов А. В. Функциональное моделирование системы управления информационной безопасности организации по семейству стандартов ISO/IEC 2700x / А. В. Любимов, С. В. Шустиков, Н. В. Андреева // Научно-технический вестник информационных технологий, механики и оп-тики. – 2008. – № 7 (52). – С. 251-257.
Криволапов В. Г. Комплексная методика моделирования рисков информационной безопасности открытых систем : автореф. дис. на соискание научной степени канд. техн. наук : спец. 05.13.19 «Методы и системы защиты информации, информационная безопасность» / В. Г. Криволапов. – М., 2009. – 23 с.
Комин Д. С. IDEF модели оценки уровня гарантий информационной безопасности / Д. С. Ко-мин, А. В. Потий // Вісник Харківського національного університету. – 2010. – № 925, вип. 14. – С. 98-105.
Васильев В. И. Система поддержки принятия решений по обеспечению персональных данных / В. И. Васильев, Н. В. Белков / Вестник УГАТУ. – 2011. – Том 15, № 5 (45). – С. 54-65.
Цыбулин А. М. Многоагентный подход к построению автоматизированной системы управления информационной безопасностью предприятия / А. М. Цыбулин // Известия ЮФУ. Технические науки. Информационная безопасность. – 2012. – № 12. – С. 111-116.
Булдакова Т. И. Анализ информационных рисков виртуальных инфраструктур здравоохранения [Электронный ресурс] / Т. И. Булдакова, С. И. Суятинов, Д.А. Миков // Информационное общество. – Режим доступа: http://emag.iis.ru/ arc/infosoc/emag.nsf/BPA/87f599404bc9073d44257c2a00476485. – Дата доступа: февраль 2016. – Название с экрана.
Миков Д. А. Анализ методов изучения потоков данных для оценки рисков информационной без-опасности / Д. А. Миков // Prospero. – 2014. – № 7. – С. 27-33.
Оладько В. С. Программный комплекс для оценки уровня защищенности систем электронной коммерции / В. С. Оладько // Вестник Томского государственного университета. Управление, вычислительная техника и информатика. – 2015. – № 4 (33). – С. 46-53.
Information technology. Security techniques. Information security management systems. Requirements :ISO/IEC 27001:2013. – Second edition 2013-10-01. – Geneva, 2013. – P. 23.
Мохор В. В. Нормативно-правовий аспект розробляння системи менеджовування ризику безпеки інформації / В.В. Мохор, В. В. Цуркан, О. М. Крук // Інформаційна безпека України : зб. наук. доп. та тез науково-технічної конференції (м. Київ, 12-13 бере-зня 2015 р.). – К. : Київський національний університет імені Тараса Шевченка, 2015. – С. 122-123.
##submission.downloads##
Опубліковано
Номер
Розділ
Ліцензія
Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:- Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.
- Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.
- Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).
