Оцінка інформаційної безпеки організації за критерієм впевненості
DOI:
https://doi.org/10.18372/2410-7840.21.13445Ключові слова:
оцінка, інформаційна безпека, впевненість, довіра, функція Харрінгтона, модель зрілостіАнотація
На даний час захист інформації залишається актуальною проблемою, а найбільш поширеними підходами до її оцінки є верифікаційний і ризик-орієнтований. Однак, метрики інформаційної безпеки (ІБ) у відповідних методиках, які засновані на цих підходах недостатньо інформативні, так як враховують лише об'єктивні аспекти безпеки, абсолютно ігноруючи суб'єктивні. Тому вони не дозволяють виробити основні судження про стан конфіденційності, цілісності та доступності інформації та рівні ІБ організації в цілому. У зв'язку з цим виникає необхідність в розробці методичного апарату оцінки ІБ організації з урахуванням об'єктивних і суб'єктивних аспектів безпеки. У статті пропонується підхід до оцінки ІБ на основі критерію впевненість в тому, що в організації реалізується прийнята політика безпеки. Оцінка впевненості включає оцінку довіри до інформаційної безпеки організації, якості моделі оцінки довіри і бекграунду осіб, які проводили таку оцінку і оцінку знань щодо загроз. У якості показника впевненості використовується показник корисності, як значення узагальненої функції бажаності Харрінгтона. Запропонований підхід до оцінки ІБ організації є досить простим в реалізації і може бути використаний в якості пілотажу для розробки відповідних методик оцінки ІБ організацій різних форм власності.
Посилання
ISO/IEC 27000:2009, Information security man-agement systems. Overview and vocabulary. [Элек-тронный ресурс]. Режим доступа: https://www.iso. org/standard/41933.html.
И. Чибрикин, "Информационная безопасность для организаций с высоким уровнем риска: новые угрозы и возможные подходы к их нейт-рализации. Организационные и правовые ас-пекты информационной безопасности", JetInfo №1, «Инфосистемы Джет», Москва, 2007.
И. Ажмухамедов, О. Князева, Л. Большакова, "Оценка уровня информационной безопаснос-ти финансовых учреждений", Современные про-блемы науки и образования, № 1, 2015.
Ю. Шеховцова, "О субъективных аспектах по-нятия «безопасность»", Экономика и современный менеджмент: теория и практика: сб. ст. по матер. V междунар. науч.-практ. конф. Новосибирск: СибАК, 2011.
ISO/IEC TR 15443-1:2005 «Information technol-ogy. Security techniques. A framework for IT secu-rity assurance. Part 1: Overview and framework».
ISO/IEC 15408-1:2009 Information technology -- Security techniques. Evaluation criteria for IT security. Part 1: Introduction and general model.
ISO/IEC 21827:2008 Information technology. Security techniques. Systems Security Engineering. Capability Maturity Model® (SSE-CMM®).
П. Шиверов, В. Бондаренко, "Понятие доверия в контексте информационной безопасности", Информационные технологии и нанотехнологии. СГАУ, Самара, С. 414-418, 2016.
Я. Имамвердиев, "Модель оценки доверия к информационной безопасности э-государства", Проблемы информационных технологий. Институт Информационных Технологий НАНА, Баку, Азер-байджан, №1, С. 25-32, 2015.
С. Зефиров, В. Голованов, "Как измерить ин-формационную безопасность организации? Объективно о субъективном", Защита информа-ции, Инсайд. Издательский Дом “Афина”, Санкт-Петербург, № 3 (9), С. 28-35, 2006.
СТО БР ИББС–1.1–2007 «Обеспечение ин-формационной безопасности организаций бан-ковской системы Российской Федерации». [Эле-ктронный ресурс]. Режим доступа: http://www. iso27000. ru/ standarty/ sto- br- ibbs- standarty-banka-rossii-v-oblasti-informacionnoi-bezopasnosti/ st11.pdf/view
C. Скрыль, А. Курило, В. Финько, В. Чашкин, "Конфиденциальность как субъективный пока-затель защищенности информации", Безопасность информационных технологий. «МИФИ» (НИЯУ МИФИ), Том 16, № 3, С. 141-144, 2009.
Ю. Шеховцова, "О субъективных аспектах по-нятия «безопасность»", Экономика и современный менеджмент: теория и практика: сб. ст. по матер. V междунар. науч.-практ. конф. Новосибирск: СибАК, 2011.
О. Зотова, "Научно-практические трактовки проблемы безопасности личности", Прикладная юридическая психология, №3. С. 128-132, 2010.
Canadian Tusted Computer Product Evaluation Criteria, v. 3.0. Canadian System Security Centre, Communications Security Establishment, Govern-ment of Canada, 1993.
E. Harrington, The desirable function, Industrial Quality Control, vol. 21, no. 10, pp. 494-498, 1965.
G. Fechner, Elemente der psychophysik, 2 Vols. Leipzig (Germany): Breitkopf und Härtel, 1860, 571 p.
Ю. Чукова, Закон Вебера-Фехнера, М.: Гигиена, 2009, 144 с.
Ю. Самохвалов, О. Бурба, "Оценка эффектив-ности научных и научно-технических проектов на основе обобщенной функции Харрингтона", Системи управління, навігації та зв′язку, вип.4(50), С. 77-85, 2018.
СТО БР ИББС-1.0-2014. Обеспечение инфор-мационной безопасности организаций банков-ской системы Российской Федерации. Общие положения. [Электронный ресурс]. Режим дос-тупа: http://www. garant.ru/products/ipo/prime/doc/ 70567254/.
Н. Милославская, Р. Сагиров, "Обзор моделей зрелости процессов управления информацион-ной безопасностью", Безопасность информационных технологий. МИФИ (НИЯУ МИФИ), Москва. Том 22, № 2, С. 76-84, 2015.
К. Нарыжный, Cobit 5: модель оценки про-цессов [Электронный ресурс]. Режим доступа: https:// cleverics.ru/subject-field/articles/554-cobit5-pam.
Оценка зрелости процессов обеспечения ин-формационной безопасности в российских ба-нках [Электронный ресурс]. Режим доступа: https:// www.pwc.ru/en/blogs/cybersecurity/posts/27ndpost.pf.
Ю. Самохвалов, Е. Науменко, Экспертное оценива-ние, ДУИКТ, K.: 2007, 268 с
Ю. Самохвалов, "Оценка обоснованности управленческих решений на основе нечеткой логики", Управляющие системы и машины, №3, 2017, C. 26-34.
S. Kent, Strategic Intelligence for American World Policy, Princeton: Princeton University Press, 1949, 226 р.
В. Плэтт, Информационная работа стратегической разведки. Основные принципы. Издательство иностранной литературы, Москва, 1958, 144 с.
##submission.downloads##
Опубліковано
Номер
Розділ
Ліцензія
Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:- Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.
- Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.
- Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).