Method of information system’s security level estimation using ISMS "Matrix"
DOI:
https://doi.org/10.18372/2410-7840.15.4223Keywords:
information system’s security level estimation, information security audit, risk evaluation, risk esti-mation, information security management, ISMS "Ma-trix"Abstract
Actuality of information system’s security level estimation is proved. For the offered method, the range of application, purpose and procedure are described. The procedure of the offered method consists of primary questioning of the client, determination of assets, determination of assets’ importance using verbal estimations, search for vulnerabilities of the determined assets, determination of threats resulting from found vulnerabilities, determination the found threats’ danger using verbal estimations, translation of assets’ importance and threats’ danger into quantitative estimations, risk assessment and ranking, determination of the most vulnerable assets and the most dangerous threats, ranking of vulnerabilities for every asset, production of recommendations concerning the vulnerabilities’ remediation, compilation of report. For the practical realization of the offered method, the information security management system "Matrix" is applied. Conclusion is made about the advantages of the offered method.
References
Домарев, В.В. Безопасность информационных технологий. Системный подход [Текст] / В.В. Домарев. – К.: ООО «ТИД «ДС», 2004. – 992 с. ISBN 966-7992-36-5
Домарєв, В.В. Управління інформаційною безпекою в банківських установах (Теорія і практика впровадження стандартів серії ISO 27k) [Текст] / В.В. Домарєв, Д.В. Домарєв. – Донецьк: «Велстар», 2012. – 146 с. ISBN 978-966-2759-00-6
Інформаційні технології. Методи захисту. Звід правил для управління інформаційною безпекою (ISO/IEC 27002:2005, MOD) [Текст]: ГСТУ СУІБ 2.0/ISO/IEC 27002:2010. – К.: Національний банк України, 2010. – 163 с. – Код УКНД 35.040.
Інформаційні технології. Методи захисту. Систе-ма управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2005, MOD) [Текст]: ГСТУ СУІБ 1.0/ISO/IEC 27001:2010. – К.: Національний банк України, 2010. – 49 с. – Код УКНД 35.040.
Методичні рекомендації щодо впровадження системи управління інформаційною безпекою та методики оцінки ризиків відповідно до стандартів Національного банку України [Текст]: лист департаменту інформатизації Національного банку України банкам України від 03 березня 2011 р. № 24-112/365. – К.: Національний банк України, 2011.
Domarev, D.V. Information security management system “Matrix” based on system approach [Текст] / D.V. Domarev // Проблеми інформатизації та управління: Зб. наук. пр. – К.: НАУ, 2011. – Вип. 2(34). – С. 36 – 39. ISSN 2073-4751
Information Security Management Systems (ISMS) [Текст]: BSI Standard 100-1, Version 2.0. – Bonn: BSI, 2008. – 38 p.
Information technology. Security techniques. Infor-mation security management systems. Overview and vocabulary [Текст]: international standard ISO/IEC 27000:2009(E). – Switzerland: ISO/IEC, 2009. – 26 p.
IT-Grundschutz Methodology [Текст]: BSI Standard 100-2, Version 2.0. – Bonn: BSI, 2008. – 93 p.
Downloads
Published
How to Cite
Issue
Section
License
The scientific journal adheres to the principles of Open Access and provides free, immediate, and permanent access to all published materials without financial, technical, or legal barriers for readers.
All articles are published in Open Access under the Creative Commons Attribution 4.0 International (CC BY 4.0) license.
Copyright
Authors who publish their works in the journal:
-
retain the copyright to their publications;
-
grant the journal the right of first publication of the article;
-
agree to the distribution of their materials under the CC BY 4.0 license;
-
have the right to reuse, archive, and distribute their works (including in institutional and subject repositories), provided that proper reference is made to the original publication in the journal.
