СОВРЕМЕННЫЕ СРЕДСТВА УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ

Автор(и)

  • М.Г. Луцкий
  • Е.В. Иванченко
  • С.В. Казмирчук
  • А.А. Охрименко

DOI:

https://doi.org/10.18372/2410-7840.14.2054

Ключові слова:

информационная безопасность, риск, анализ риска, оценка риска, управление риском, угроза, уязвимость, интегрированное представление параметров риска

Анотація

В работе проведено исследование широкого спектра существующих методик и программного обеспечения управления информационными рисками относительно набора параметров, характеризующих риск. К этим параметрам принадлежат: событие, действие, характеристика ситуации, мера, вероятность, опасность, затраты и потери. Для этих средств с учетом интегрированных параметров риска составлен кортеж, который даст возможность унифицировать процесс сравнительного анализа соответствующего инструментального программного обеспечения, что повысит эффективность осуществления его выбора.

Посилання

A Guide to risk assessment and safeguard selection for Information Technology Systems, [Электронный ресурс] / MG-3, Government of Canada, Communications Security Establishment (CSE) P.O., Terminal, Ottawa, Ontario, Canada, K1G 3Z4 – 1996, Р. 73 – Режим доступа: http://www.cse-cst.gc.ca.

Amril Syalim Comparison of Risk Analysis Methods: Mehari, Magerit, NIST800-30 and Microsoft’s Security Management Guide [Электронный ресурс] // Amril Syalim, Yoshiaki Hori, Kouichi Sakurai – Режим доступа: http://itslab.inf.kyushu-u.ac.jp.

BSI-Standard 100-3: Risk analysis based on IT-Grundschutz // Bundesamt für Sicherheit in der Informationstechnik. – 2008. – version 2.5.

Callio Technologies: программный комплекс управления политикой информационной безопасности компании (международный стандарт BS7799 ISO 17799) [Электронный ресурс] – Режим доступа: http://businesssoft.ru.

Compliant Information Security Risk Assessment Tool [Электронный ресурс] / vsRisk – ISO 27001: 2005 – Режим доступа: http://www.27001.com/products/31

CMS Information Security Risk Assessment (RA) Methodology. – 2002. – Version 1.1

ISO/FDIS 31000:2009(E) international standard Risk management – Principles and guidelines. – 2009.

ISO/IEC 27005 Информационная технология – Методы защиты – Менеджмент рисков информационной безопасности. BS ISO/IEC 27005:2008. – 2008. – Технический перевод v.2.6 от 4.02.2011.

MAGERIT Methodology for Information Systems Risk Analysis and Management Book I [Электронный ресурс] / The Method – version 2 – Режим доступа: https://www.ccn-cert.cni.es/publico /herramientas/pilar44/en/magerit/meth-en-v11.pdf.

Mehari – Overview // Club de la Securit ´ e de l’Information Franc¸ais ´(CLUSIF). – 2010.

NIST 800 – 30 Risk Management Guide for Information Technology Systems. [Электронный ресурс] / Recommendations of the National Institute of Standards and Technologyhttp – Режим доступа: //csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf.

OCTAVE® (Operationally Critical Threat, Asset, and Vulnerability EvaluationSM) [Электронный ресурс] // http://www.cert.org/octave/octavemethod.html – Названия титул. с экрана.

Thomas R. Peltier Information security risk analysis / Thomas R. Peltier – Auerbach Pub, 2001. – Р 281.

Risk Management Tools. Program Risk Management Tools. [Электронный ресурс] – Режим доступа: http://mitre.org/work/systems_engineering/guide/risk_management_tools.html.

Value at Risk: A methodology for Information Security Risk [Электронный ресурс] / Assessment. Jeevan Jaisingh and Jackie Rees Krannert // Graduate School of Management Purdue University West Lafayette – Режим доступа: http://www.gloriamundi.org/picsresources/jjjr.pdf.

Корченко А.Г. Анализ и определение понятия риска для его интерпретации в области информационной безопасности / Корченко А.Г., Иванченко Е.В., Казмирчук С.В. // Защита информации – 2010. – №3. – С. 5-10.

Корченко А.Г. Интегрированное представление параметров риска / Корченко А.Г., Иванченко Е.В., Казмирчук С.В. // Защита информации – 2011. – №1. – С. 96-101.

Костров Д.Д. Анализ рисков и управление ими [Электронный ресурс] / Костров Д.Д. // Byte Россия – 2003. – №10 (62) – Режим доступа: http://www.bytemag.ru/articles/detail.php?ID=6655.

Луцкий М.Г. Базовые понятия управления риском в сфере информационной безопасности / Луцкий М.Г., Иванченко Е.В., Казмирчук С.В. // Защита информации – 2011. – №2. – С. 86-94.

Медведовский И.С. Современные методы и средства анализа и контроля рисков информационных систем компаний CRAMM, RiskWatch и ГРИФ [Электронный ресурс] / И.С. Медведовский // (Опубликовано на "SecurityLab") – 2004. – Режим доступа: http://www.ixbt.com/cm/informationsystem-risks012004.shtml.

Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / Петренко С.А., Симонов С.В. – М.: Компания АйТи ; ДМК Пресс, 2004. - 384 с.

Рекомендации в области стандартизации банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности. РС БР ИББС-2.2-2009. [Электронный ресурс] / Режим доступа: http://dorlov.blogspot.com/2009/07/22-2009.html

Руководство по управлению рисками безопасности. [Электронный ресурс] / Группа разработки решений Майкрософт по безопасности и соответствию, регулятивным нормам и Центр Microsoft security center of excellence. – Режим доступа: http://www.microsoft.com/rus/technet/security.

Симонов С.В. Анализ рисков в информационных системах. Практические аспекты. Защита информации [Электронный ресурс] / Симонов С.В. // Конфидент. Безопасность компьютерных систем – 2001. – №2. – C. 48-53 http://www.compulink.ru/images/complink2.pdf – Названия титул. с экрана.

Частиков А.П. Использование байесовской сети при разработке экспертных систем с нечеткими знаниями / Частиков А.П., Леднева И.Ю. [Электронный ресурс] / Кубанский государственный технологический университет (КубГТУ), г.Краснодар – Режим доступа: http://ito.su/2000/II/5/5152.html.

##submission.downloads##

Номер

Розділ

Статті