СОВРЕМЕННЫЕ СРЕДСТВА УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ

Authors

  • М.Г. Луцкий
  • Е.В. Иванченко
  • С.В. Казмирчук
  • А.А. Охрименко

DOI:

https://doi.org/10.18372/2410-7840.14.2054

Keywords:

информационная безопасность, риск, анализ риска, оценка риска, управление риском, угроза, уязвимость, интегрированное представление параметров риска

Abstract

В работе проведено исследование широкого спектра существующих методик и программного обеспечения управления информационными рисками относительно набора параметров, характеризующих риск. К этим параметрам принадлежат: событие, действие, характеристика ситуации, мера, вероятность, опасность, затраты и потери. Для этих средств с учетом интегрированных параметров риска составлен кортеж, который даст возможность унифицировать процесс сравнительного анализа соответствующего инструментального программного обеспечения, что повысит эффективность осуществления его выбора.

References

A Guide to risk assessment and safeguard selection for Information Technology Systems, [Электронный ресурс] / MG-3, Government of Canada, Communications Security Establishment (CSE) P.O., Terminal, Ottawa, Ontario, Canada, K1G 3Z4 – 1996, Р. 73 – Режим доступа: http://www.cse-cst.gc.ca.

Amril Syalim Comparison of Risk Analysis Methods: Mehari, Magerit, NIST800-30 and Microsoft’s Security Management Guide [Электронный ресурс] // Amril Syalim, Yoshiaki Hori, Kouichi Sakurai – Режим доступа: http://itslab.inf.kyushu-u.ac.jp.

BSI-Standard 100-3: Risk analysis based on IT-Grundschutz // Bundesamt für Sicherheit in der Informationstechnik. – 2008. – version 2.5.

Callio Technologies: программный комплекс управления политикой информационной безопасности компании (международный стандарт BS7799 ISO 17799) [Электронный ресурс] – Режим доступа: http://businesssoft.ru.

Compliant Information Security Risk Assessment Tool [Электронный ресурс] / vsRisk – ISO 27001: 2005 – Режим доступа: http://www.27001.com/products/31

CMS Information Security Risk Assessment (RA) Methodology. – 2002. – Version 1.1

ISO/FDIS 31000:2009(E) international standard Risk management – Principles and guidelines. – 2009.

ISO/IEC 27005 Информационная технология – Методы защиты – Менеджмент рисков информационной безопасности. BS ISO/IEC 27005:2008. – 2008. – Технический перевод v.2.6 от 4.02.2011.

MAGERIT Methodology for Information Systems Risk Analysis and Management Book I [Электронный ресурс] / The Method – version 2 – Режим доступа: https://www.ccn-cert.cni.es/publico /herramientas/pilar44/en/magerit/meth-en-v11.pdf.

Mehari – Overview // Club de la Securit ´ e de l’Information Franc¸ais ´(CLUSIF). – 2010.

NIST 800 – 30 Risk Management Guide for Information Technology Systems. [Электронный ресурс] / Recommendations of the National Institute of Standards and Technologyhttp – Режим доступа: //csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf.

OCTAVE® (Operationally Critical Threat, Asset, and Vulnerability EvaluationSM) [Электронный ресурс] // http://www.cert.org/octave/octavemethod.html – Названия титул. с экрана.

Thomas R. Peltier Information security risk analysis / Thomas R. Peltier – Auerbach Pub, 2001. – Р 281.

Risk Management Tools. Program Risk Management Tools. [Электронный ресурс] – Режим доступа: http://mitre.org/work/systems_engineering/guide/risk_management_tools.html.

Value at Risk: A methodology for Information Security Risk [Электронный ресурс] / Assessment. Jeevan Jaisingh and Jackie Rees Krannert // Graduate School of Management Purdue University West Lafayette – Режим доступа: http://www.gloriamundi.org/picsresources/jjjr.pdf.

Корченко А.Г. Анализ и определение понятия риска для его интерпретации в области информационной безопасности / Корченко А.Г., Иванченко Е.В., Казмирчук С.В. // Защита информации – 2010. – №3. – С. 5-10.

Корченко А.Г. Интегрированное представление параметров риска / Корченко А.Г., Иванченко Е.В., Казмирчук С.В. // Защита информации – 2011. – №1. – С. 96-101.

Костров Д.Д. Анализ рисков и управление ими [Электронный ресурс] / Костров Д.Д. // Byte Россия – 2003. – №10 (62) – Режим доступа: http://www.bytemag.ru/articles/detail.php?ID=6655.

Луцкий М.Г. Базовые понятия управления риском в сфере информационной безопасности / Луцкий М.Г., Иванченко Е.В., Казмирчук С.В. // Защита информации – 2011. – №2. – С. 86-94.

Медведовский И.С. Современные методы и средства анализа и контроля рисков информационных систем компаний CRAMM, RiskWatch и ГРИФ [Электронный ресурс] / И.С. Медведовский // (Опубликовано на "SecurityLab") – 2004. – Режим доступа: http://www.ixbt.com/cm/informationsystem-risks012004.shtml.

Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / Петренко С.А., Симонов С.В. – М.: Компания АйТи ; ДМК Пресс, 2004. - 384 с.

Рекомендации в области стандартизации банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности. РС БР ИББС-2.2-2009. [Электронный ресурс] / Режим доступа: http://dorlov.blogspot.com/2009/07/22-2009.html

Руководство по управлению рисками безопасности. [Электронный ресурс] / Группа разработки решений Майкрософт по безопасности и соответствию, регулятивным нормам и Центр Microsoft security center of excellence. – Режим доступа: http://www.microsoft.com/rus/technet/security.

Симонов С.В. Анализ рисков в информационных системах. Практические аспекты. Защита информации [Электронный ресурс] / Симонов С.В. // Конфидент. Безопасность компьютерных систем – 2001. – №2. – C. 48-53 http://www.compulink.ru/images/complink2.pdf – Названия титул. с экрана.

Частиков А.П. Использование байесовской сети при разработке экспертных систем с нечеткими знаниями / Частиков А.П., Леднева И.Ю. [Электронный ресурс] / Кубанский государственный технологический университет (КубГТУ), г.Краснодар – Режим доступа: http://ito.su/2000/II/5/5152.html.

Downloads

How to Cite

Луцкий, М., Иванченко, Е., Казмирчук, С., & Охрименко, А. (2012). СОВРЕМЕННЫЕ СРЕДСТВА УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ. Ukrainian Information Security Research Journal, 14(1 (54). https://doi.org/10.18372/2410-7840.14.2054

Issue

Vol. 14 No. 1 (54) (2012)

Section

Articles

License

The scientific journal adheres to the principles of Open Access and provides free, immediate, and permanent access to all published materials without financial, technical, or legal barriers for readers.

All articles are published in Open Access under the Creative Commons Attribution 4.0 International (CC BY 4.0) license.

Copyright

Authors who publish their works in the journal:

  • retain the copyright to their publications;

  • grant the journal the right of first publication of the article;

  • agree to the distribution of their materials under the CC BY 4.0 license;

  • have the right to reuse, archive, and distribute their works (including in institutional and subject repositories), provided that proper reference is made to the original publication in the journal.