Svetlana Kozunova scite author profile

Рассматриваются аспекты управления рисками информационной системы (ИС). На осно-ве анализа работ российских и зарубежных ученых, а также результатов мировой практики в области управления рисками, утверждается, что существует необходимость в повышении эффективности управления рисками ИС и в разработке метода управления рисками ИС. В качестве решения проблемы эффективного управления рисками ИС предложена фор-мализованная процедура управления рисками ИС. Научной новизной такого решения явля-ется использование пространства решений и оптимизационного пространства для снижения рисков. Данная процедура позволяет оценить ущерб, риск и эффективность управления рис-ками ИС. Определены и проанализированы риски ИС, разработана пирамидальная диаграм-ма рисков, которая позволяет описать взаимосвязь рисков с компонентами ИС. Приведены негативные последствия, к которым могут привести данные риски. Проведен анализ методов и подходов к управлению рисками. По результатам проведенного анализа максимальную оценку набрали методы GRAMM, CORAS, ГОСТ Р ИСО/МЭК. Описаны недостатки этих методов, отмечается сложность применения данных методов на практике. Разработанная формализованная процедура управления рисками ИС может быть использована как элемент системы менеджмента качества информационной безопасности, выполняющей рекоменда-ции ГОСТ Р ИСО/МЭК 27003-2012. В перспективе результаты исследования станут основой для разработки системы управления рисками ИС.Ключевые слова: информационная система, риск, ущерб, оценка, эффективность управ-ления, оптимизация. ВведениеРазработка методологии обеспечения информационной безопасности (ИБ) предприятия яв-ляется одним из самых востребованных направлений современной науки. Причиной тому являют-ся стремительное развитие предприятий; высокая численность информационных систем (ИС) раз-личного типа; большое число сервисов, предоставляемых ИС; строгое регулирование деятельно-сти по защите информации на уровне законодательства; высокие требования ИБ, предъявляемые к ИС. Несмотря на то, что в настоящее время существуют многофункциональные центры монито-ринга, они решают в основном задачи выявления атак, установления инцидентов, нарушения по-литики ИБ, контроля сетевого трафика. Нестабильное управление бизнес-процессами предприя-тия и неоднозначность решения вопросов обеспечения ИБ может привести к развитию рисков нарушения ИБ. Часто на практике принятие решения об управлении рисками осуществляется в условиях полной неопределенности. Поэтому определяющим фактором в управлении рисками является анализ рисков и выбор подходящего метода управления [1].Научные результаты, представленные в данной статье, сформировались в основном на базе научных работ российских и зарубежных ученых: А. А. Финогеева, А. Г. Финогеева, И. М. Ажму-хамедова, В. А. Камаева, О. М. Князевой, О. Н. Выборновой, И. В. Аникина, T. Campbell.Вопросы управления и оценки рисков рассматриваются в работах российских и зарубежных авторов [2][3][4][5][6][7], однако открытым остается ряд вопросов: оценка и анализ рисков ИС, классифика-ция рисков, отсут...

show abstract

The Evaluation Method of the Design Department’s Information Assets

Kozunova

Kravets

Solovieva

2019

View full text Add to dashboard Cite

The Model of Information Security Threat Profile of Corporate Information System

Babenko

Kozunova

2018

NBIT

View full text Add to dashboard Cite

The level of information security of corporate information systems depends on the security of information assets of the enterprise in which the enterprise information systems are implemented. To protect data processed in corporate information systems, it is advisable to ensure the information security of the system, to identify and predict threats to information security violations. Such measures will ensure effective management of information security and high-quality response to threats in corporate information systems in real time. Thus, the research of threats management and information security of corporate information systems allows the authors to develop a model of threat profile. The difference from the previously proposed models is that the present solution defines the actions that need to be taken when threats are detected and to prevent them. Application of the proposed model will allow implementing special procedures of information security management of the enterprise, using private information security policies for corporate information systems. The authors highlight the key aspects of managing threats to information security of corporate information systems. The vulnerabilities typical for corporate information systems have been allocated. The sources of threats have been formed, and the potential violators have been described. A unique model of the profile of threats to information security for corporate information system has been developed.

show abstract

The Model of Information Security Control in State Information Systems

Babenko

Kozunova

2019

NBIT

View full text Add to dashboard Cite

The control of information protection in state information systems is relevant due to the requirements of the legislation of the Russian Federation, to the value of the information processed in them, to its increasing role in the formation of the modern information society in the Russian Federation, as well as the increasing need for procedures for combining information flows of organizations and enterprises. The article deals with the issues related to the control of information security in state information systems. The analysis of works on this subject reveals a solution to particular problems. Therefore, an integrated formalized approach to solving the problem of protecting information in state information systems, taking into account their specifics, threats and requirements of regulators, is relevant. The information leaks, leakage channels in such systems, as well as threats to information security breaches in state information systems have been analyzed. The most likely threats are cyber-attacks, natural disasters, structural failures and human errors. A formalized model for managing information security in state information systems has been developed, which defines an effective set of protection tools in accordance with the requirements of technical protection measures that can be used to automate the process of monitoring. The formal model aimed at solving the problem of optimizing the used protection mechanisms in relation to the overlapping threats has been proposed. The prospects for the development of this study have been determined.

show abstract

scite is a Brooklyn-based organization that helps researchers better discover and understand research articles through Smart Citations–citations that display the context of the citation and describe whether the article provides supporting or contrasting evidence. scite is used by students and researchers from around the world and is funded in part by the National Science Foundation and the National Institute on Drug Abuse of the National Institutes of Health.

Contact Info

customersupport@researchsolutions.com

10624 S. Eastern Ave., Ste. A-614

Henderson, NV 89052, USA

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Blog Terms and Conditions API Terms Privacy Policy Contact Cookie Preferences Do Not Sell or Share My Personal Information

Made with 💙 for researchers

Part of the Research Solutions Family.