Методика оцінювання захищеності інформаційних систем за допомогою СУІБ «Матриця»
DOI:
https://doi.org/10.18372/2410-7840.15.4223Ключові слова:
оцінювання захищеності інформаційних систем, аудит інформаційної безпеки, оцінювання ризиків ІБ, оцінка ризику ІБ, управління інформаційною безпекою, СУІБ «Матриця»Анотація
Обґрунтована актуальність питань оцінювання захищеності інформаційних систем. Наведено область застосування, призначення і процедуру пропонованої методики. Власне процедура пропонованої методики складається з первинного опитування клієнта, визначення активів, визначення важливості активів за словесною шкалою, пошуку вразливостей визначених активів, визначення загроз, що походять від знайдених вразливостей, визначення ступеня небезпеки знайдених загроз за словесною шкалою, переводу важливості активів та ступеня небезпеки загроз у кількісні оцінки, підрахування оцінок ризиків, ранжування за сумарними оцінкам ризиків, визначення найбільш вразливих активів та найбільш небезпечних загроз, ранжування вразливостей кожного активу, cкладання рекомендацій щодо усунення вразливостей, оформлення звіту. Для практичної реалізації пропонованої методики застосовано систему управління інформаційною безпекою «Матриця». Зроблено висновки про переваги пропонованої методики.
Посилання
Домарев, В.В. Безопасность информационных технологий. Системный подход [Текст] / В.В. Домарев. – К.: ООО «ТИД «ДС», 2004. – 992 с. ISBN 966-7992-36-5
Домарєв, В.В. Управління інформаційною безпекою в банківських установах (Теорія і практика впровадження стандартів серії ISO 27k) [Текст] / В.В. Домарєв, Д.В. Домарєв. – Донецьк: «Велстар», 2012. – 146 с. ISBN 978-966-2759-00-6
Інформаційні технології. Методи захисту. Звід правил для управління інформаційною безпекою (ISO/IEC 27002:2005, MOD) [Текст]: ГСТУ СУІБ 2.0/ISO/IEC 27002:2010. – К.: Національний банк України, 2010. – 163 с. – Код УКНД 35.040.
Інформаційні технології. Методи захисту. Систе-ма управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2005, MOD) [Текст]: ГСТУ СУІБ 1.0/ISO/IEC 27001:2010. – К.: Національний банк України, 2010. – 49 с. – Код УКНД 35.040.
Методичні рекомендації щодо впровадження системи управління інформаційною безпекою та методики оцінки ризиків відповідно до стандартів Національного банку України [Текст]: лист департаменту інформатизації Національного банку України банкам України від 03 березня 2011 р. № 24-112/365. – К.: Національний банк України, 2011.
Domarev, D.V. Information security management system “Matrix” based on system approach [Текст] / D.V. Domarev // Проблеми інформатизації та управління: Зб. наук. пр. – К.: НАУ, 2011. – Вип. 2(34). – С. 36 – 39. ISSN 2073-4751
Information Security Management Systems (ISMS) [Текст]: BSI Standard 100-1, Version 2.0. – Bonn: BSI, 2008. – 38 p.
Information technology. Security techniques. Infor-mation security management systems. Overview and vocabulary [Текст]: international standard ISO/IEC 27000:2009(E). – Switzerland: ISO/IEC, 2009. – 26 p.
IT-Grundschutz Methodology [Текст]: BSI Standard 100-2, Version 2.0. – Bonn: BSI, 2008. – 93 p.
##submission.downloads##
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Науковий журнал дотримується принципів відкритого доступу (Open Access) та забезпечує вільний, негайний і постійний доступ до всіх опублікованих матеріалів без фінансових, технічних або юридичних обмежень для читачів.
Усі статті публікуються у відкритому доступі відповідно до ліцензії Creative Commons Attribution 4.0 International (CC BY 4.0).
Авторські права
Автори, які публікують свої роботи в журналі:
-
зберігають за собою авторські права на свої публікації;
-
надають журналу право на перше опублікування статті;
-
погоджуються на поширення матеріалів за ліцензією CC BY 4.0;
-
мають право повторно використовувати, архівувати та поширювати свої роботи (у тому числі в інституційних та тематичних репозитаріях) за умови посилання на первинну публікацію в журналі.
