Методика оцінювання захищеності інформаційних систем за допомогою СУІБ «Матриця»

Автор(и)

  • Дмитро Валерійович Домарєв Національний авіаційний університет
  • Валерій Валентинович Домарєв
  • Сергій Дмитрович Прокопенко ТОВ «ЕПОС»

DOI:

https://doi.org/10.18372/2410-7840.15.4223

Ключові слова:

оцінювання захищеності інформаційних систем, аудит інформаційної безпеки, оцінювання ризиків ІБ, оцінка ризику ІБ, управління інформаційною безпекою, СУІБ «Матриця»

Анотація

Обґрунтована актуальність питань оцінювання захищеності інформаційних систем. Наведено область застосування, призначення і процедуру пропонованої методики. Власне процедура пропонованої методики складається з первинного опитування клієнта, визначення активів, визначення важливості активів за словесною шкалою, пошуку вразливостей визначених активів, визначення загроз, що походять від знайдених вразливостей, визначення ступеня небезпеки знайдених загроз за словесною шкалою, переводу важливості активів та ступеня небезпеки загроз у кількісні оцінки, підрахування оцінок ризиків, ранжування за сумарними оцінкам ризиків, визначення найбільш вразливих активів та найбільш небезпечних загроз, ранжування вразливостей кожного активу, cкладання рекомендацій щодо усунення вразливостей, оформлення звіту. Для практичної реалізації пропонованої методики застосовано систему управління інформаційною безпекою «Матриця». Зроблено висновки про переваги пропонованої методики.

Біографії авторів

Дмитро Валерійович Домарєв, Національний авіаційний університет

аспірант Національного авіаційного університету

Валерій Валентинович Домарєв

к.т.н., доц., незалежний експерт з питань інформаційної безпеки

Сергій Дмитрович Прокопенко, ТОВ «ЕПОС»

начальник Лабораторії комп’ютерної криміналістики та інформаційної безпеки, ТОВ «ЕПОС»

Посилання

Домарев, В.В. Безопасность информационных технологий. Системный подход [Текст] / В.В. Домарев. – К.: ООО «ТИД «ДС», 2004. – 992 с. ISBN 966-7992-36-5

Домарєв, В.В. Управління інформаційною безпекою в банківських установах (Теорія і практика впровадження стандартів серії ISO 27k) [Текст] / В.В. Домарєв, Д.В. Домарєв. – Донецьк: «Велстар», 2012. – 146 с. ISBN 978-966-2759-00-6

Інформаційні технології. Методи захисту. Звід правил для управління інформаційною безпекою (ISO/IEC 27002:2005, MOD) [Текст]: ГСТУ СУІБ 2.0/ISO/IEC 27002:2010. – К.: Національний банк України, 2010. – 163 с. – Код УКНД 35.040.

Інформаційні технології. Методи захисту. Систе-ма управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2005, MOD) [Текст]: ГСТУ СУІБ 1.0/ISO/IEC 27001:2010. – К.: Національний банк України, 2010. – 49 с. – Код УКНД 35.040.

Методичні рекомендації щодо впровадження системи управління інформаційною безпекою та методики оцінки ризиків відповідно до стандартів Національного банку України [Текст]: лист департаменту інформатизації Національного банку України банкам України від 03 березня 2011 р. № 24-112/365. – К.: Національний банк України, 2011.

Domarev, D.V. Information security management system “Matrix” based on system approach [Текст] / D.V. Domarev // Проблеми інформатизації та управління: Зб. наук. пр. – К.: НАУ, 2011. – Вип. 2(34). – С. 36 – 39. ISSN 2073-4751

Information Security Management Systems (ISMS) [Текст]: BSI Standard 100-1, Version 2.0. – Bonn: BSI, 2008. – 38 p.

Information technology. Security techniques. Infor-mation security management systems. Overview and vocabulary [Текст]: international standard ISO/IEC 27000:2009(E). – Switzerland: ISO/IEC, 2009. – 26 p.

IT-Grundschutz Methodology [Текст]: BSI Standard 100-2, Version 2.0. – Bonn: BSI, 2008. – 93 p.

Обкладинка

##submission.downloads##

Опубліковано

2013-03-04

Номер

Том 15 № 1 (2013)

Розділ

Статті

Ліцензія

Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:

  1. Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.

  2. Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.

  3. Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).