Підхід до оцінювання ризиків інформаційної безпеки для автоматизованої системи класу «1»

Літвінчук, Ірина and Корчомний, Руслан and Коршун, Наталія Володимирівна and Ворохоб, Максим Віталійович (2020) Підхід до оцінювання ризиків інформаційної безпеки для автоматизованої системи класу «1» Кібербезпека: освіта, наука, техніка, 2 (10). pp. 98-112. ISSN 2663-4023

[thumbnail of I_Litvinchuk_R_Korchomnyi_N_Korshun_M_Vorokhob_2_10_CEST.pdf]
Preview
Text
I_Litvinchuk_R_Korchomnyi_N_Korshun_M_Vorokhob_2_10_CEST.pdf

Download (1MB) | Preview

Abstract

Стаття присвячена оцінці ризиків інформаційної безпеки в автоматизованих системах класу «1». Запропоновано адаптований підхід до оцінки ризиків інформаційної безпеки в таких АС з використанням Методики та вимог стандартів ГСТУ СУІБ 1.0/ISO/IEC 27001:2010 та ГСТУ СУІБ 2.0/ISO/IEC 27002:2010. Працездатність та способи реалізації підходу доведено на прикладі розгляду реальних загроз та вразливостей АС класу “1”. Основною вимогою при створенні системи управління інформаційною безпекою в організації є оцінювання ризиків та визначення загроз для інформаційних ресурсів, які обробляються в інформаційно-телекомунікаційних системах та АС. Розглянуто базові стандарти щодо інформаційної безпеки в Україні, які дають загальні рекомендації щодо побудови і оцінювання ризиків інформаційної безпеки в рамках СУІБ. Проаналізовано найпоширеніші методи й методології з оцінювання ризиків інформаційної безпеки міжнародного зразка, зокрема, CRAMM, OCTAVE, NIST SP800-30 визначено їх переваги і недоліки. Визначено порядок проведення робіт з оцінки ризиків інформаційної безпеки АС класу «1». Наведено вразливості, що враховуються експертом відповідно до стандарту ISO/IEC 27002:2005 та Методики а також умовну шкалу визначення впливу на реалізацію загроз цілісності, доступності, спостережності. Запропоновані заходи та засоби протидії виникненню загроз. Даний підхід можна використовувати як для безпосереднього оцінювання інформаційного ризику, так і в навчальних цілях. Він дозволяє отримати кінцевий результат незалежно від досвіду та кваліфікації фахівця, що проводить оцінку ризиків, з подальшим впровадженням та удосконаленням існуючої системи управління ризиками в організації.

Item Type: Article
Uncontrolled Keywords: автоматизована система; управління ризиками; система управління інформаційною безпекою; вразливість
Subjects: Статті у наукометричних базах > Index Copernicus
Статті у журналах > Фахові (входять до переліку фахових, затверджений МОН)
Divisions: Факультети > Факультет інформаційних технологій та управління > Кафедра інформаційної та кібернетичної безпеки
Depositing User: Павло Миколайович Складанний
Date Deposited: 28 Dec 2020 10:29
Last Modified: 28 Dec 2020 10:32
URI: https://elibrary.kubg.edu.ua/id/eprint/34065

Actions (login required)

View Item View Item