БАЗОВЫЕ ПОНЯТИЯ УПРАВЛЕНИЯ РИСКОМ В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
DOI:
https://doi.org/10.18372/2410-7840.13.2016Ключові слова:
риск, анализ риска, информационная безопасность, оценка риска, управление риском, угроза, уязвимость, методика,Анотація
Проведен анализ базовых понятий связанных с управлением риска в сфере информационной безопасности. Относительно этого построена схема зависимости процессов связанных с управлением риска и его интегрированными параметрами. Это даст возможность унифицировать процесс исследования существующих методов и методик анализа и оценки риска, повысит эффективность осуществления их выбора. Также приведен пример анализа и оценки наиболее известных методик с использованием интегрированных параметров.Посилання
Caelli W. Information Security for Managers. / Caelli W. D. Longley & M. Shain. // Stockton Press. – UK. – 1989.
CCSDS (Consultative Committee for Space Data Systems) Guide for secure system interconnection informational report CCSDS 350.4-G-1 Green book November 2007 // [Электронный ресурс] – Режим доступа: http://public.ccsds.org/publications/archive/350x4g1.pdf
Control Objectives for IT and reated Technology COBIT 4.1 Framework Control Objectives Management Guidelines Maturity Models.
Hill, Scott & Martin Smith. Computers & Security. Risk Management & Corporate Security – 1995 – Р. 199 – 204.
ISO/IEC Guide 73:2002. Risk management – Vocabulary – Guidelines for use in standards.
Lichtensteir S. Factors in the Selection of a Risk Assessment Method / Lichtensteir S. // Department of Information Systems – Monash University. Australia.
Risk Management Guide for Information Technology Systems. Recommendations of the National Institute of Standards and Technology / NIST, Special Publication 800-30 [Электронный ресурс] – Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
Securing Europe's Information Society Regulation 2004/460 Inventory of risk assessment and risk management methods.
Security Risk Analysis & Assessment, and ISO 17799 / BS7799 Compliance: COBRA. [Электронный ресурс] – Режим доступу: http://www.riskworld.net/.
Security Risk Assessment Methodology for Communities (RAM-C) Cal Jaeger, PhD Security Systems and Technology Center Sandia National Laboratories Albuquerque, New Mexico.
Smith M. Commonsense Computer Security, your practical guide to information security / Smith M // McGraw – Hill. London. 1993 – 105 р.
Анализ и оценка рисков. [Электронный ресурс] – Режим доступа: http://www.risk24.ru/analiz.htm
Бартон Т.Л. Риск-менеджмент / Бартон Т.Л., Шенкир У.Г., Уокер П.Л. // Практика ведущих компаний: пер. с англ.– М. : Издательский дом “Вильямс”, 2008. – 208 с.
Глоссарий [Электронный ресурс] – Режим доступа: http://www.glossary.ru
ГОСТ Р 51897-2002 Менеджмент риска. [Электронный ресурс] / Термины и определения (принят постановлением Госстандарта РФ от 30 мая 2002 г. N 223-ст) Risk management. Terms and definitions – Режим доступа: http://sklad-zakonov.narod.ru/gost/Gr51897-2002.htm
ГОСТ Р 51901-2002 Управление надежностью. Анализ риска технологических систем [Электронный ресурс] – Режим доступа: http://zodchii.ws/normdocs/info-2065.html
Захаров А.И. Информационные системы: оценка рисков [Электронный ресурс] / Захаров А.И., ведущий специалист по информационной безопасности Securance Technologies, к.т.н. // Опубликовано: Журнал “Information Security/ Информационная безопасность” – 2005. №6 – С. 18 – 19 – Режим доступа: http://www.itsec.ru/articles2/actual/inform_sist_ocenka_riskov
Корченко А.Г. Анализ и определение понятия риска для его интерпретации в области информационной безопасности / Корченко А.Г., Иванченко Е.В., Казмирчук С.В. // Научно-технический журнал “Защита информации” – 2010. – №3. – С. 5-10.
Корченко А.Г. Интегрированное представление параметров риска / Корченко А.Г., Иванченко Е.В., Казмирчук С.В. // Научно-технический журнал “Защита информации” – 2011. – №1. – С. 96-101.
Корченко А.Г. Построение систем защиты информации на нечетких множествах. Теория и практические решения / Корченко А.Г. – К. : “МК-Пресс”, 2006. – 320с. (ил. Монография).
Медведовский И. Современные методы и средства анализа и контроля рисков информационных систем компаний CRAMM, RiskWatch и ГРИФ [Электронный ресурс] / Медведовский И. – Режим доступа: http://www.ixbt.com/cm/informationsystem-risks012004.shtml
НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу.
Петренко С. А Управление информационными рисками. Экономически оправданная безопасность / Петренко С. А., Симонов С. В. - М.: Компания АйТи ; ДМК Пресс, 2004. - 384 с.: ил.
Руководство по управлению рисками безопасности. [Электронный ресурс] / Группа разработки решений Майкрософт по безопасности и соответствию, регулятивным нормам и Центр Microsoft security center of excellence. – Режим доступа: http://www.microsoft.com/rus/technet/security/guidance/complianceandpolicies/secrisk/
Словарь бизнес-терминов [Электронный ресурс] – Режим доступа: http://dic.academic.ru/dic.nsf/business/13134
Современные методы и средства анализа и контроля рисков информационных систем компаний [Электронный ресурс] / Илья Медведовский // (Опубликовано на "SecurityLab") – 2004. – Режим доступа: http://www.securitylab.ru/analytics/216326.php
Управление рисками. Метод CRAMM [Электронный ресурс] / Алексеев А. // ЗАО «ИТ Эксперт». – 2010. – С. 1 – 5. – Режим доступа: http://www.itexpert.ru/rus/ITEMS/ITEMS_CRAMM.pdf
Широков К. П. “Большой советской энциклопедии” [Электронный ресурс] / “Советская энциклопедия” в 1969 — 1978 годах в 30 томах. – Режим доступа: http://slovari.yandex.ru
##submission.downloads##
Номер
Розділ
Ліцензія
Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:- Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.
- Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.
- Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).