Статья

Название статьи АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Автор М.И. Тенетко, О.Ю. Пескова
Рубрика РАЗДЕЛ II. АНАЛИЗ ЗАЩИЩЕННОСТИ И ЗАЩИТА ИНФОРМАЦИОННЫХ СИСТЕМ И ОБЪЕКТОВ
Месяц, год 12, 2011
Индекс УДК 004.056; 004.8
DOI
Аннотация Рассматриваются различные методы анализа рисков информационной безопасности, выделяются их особенности и недостатки. Сделан вывод, что наиболее эффективными из рассмотренных являются качественные методы. Предложен метод анализа рисков информационной безопасности на основе нечётких предикатов и нечёткого логического вывода, позволяющего классифицировать риски и получать наилучшие рекомендации по рискам с помощью категорий естественного языка и с учётом оттенков категорий. Приведены результаты исследования возможных нечётких импликаций, обладающих свойством настройки оттенка заключения в зависимости от изменения оттенка посылки и пригодных для решения задач классификации рисков и выработки наилучших рекомендаций по рискам.

Скачать в PDF

Ключевые слова Управление информационной безопасностью; управление рисками; анализ рисков; нечеткая логика.
Библиографический список 1. Астахов А. CISA, 2006. Как управлять рисками информационной безопасности? [Электронный ресурс]. – Режим доступа: http://www.iso27000.ru/chitalnyi-zai/upravlenie-
riskami-informacionnoi-bezopasnosti/kak-upravlyat-riskami-informacionnoi-bezopasnosti, свободный. – Загл. с экрана. – Яз. Рус.
2. ISO/IEC FDIS 27005:2008. Information technology. Security techniques. Information security risk management. – Geneva: ISO, 2008. – 55 p.
3. Саати Т. Принятие решений. Метод анализа иерархий / Томас Саати: Пер. с англ. Р. Вачнадзе. – М.: Радио и связь, 1993. – 320 с. – Перевод изд.: The analytic hierarchy process: planning setting priorities, resource allocation / Thomas L. Saaty. New York, 1980.
4. Харитонов Е.В. Согласование исходной субъективной информации в методах анализа иерархий // Математическая морфология. –1999. – Т. 3. – Вып. 2. – C. 41-51.
5. Петренко С.А., Петренко А.А. Аудит безопасности Intranet.– М.: ДМК Пресс, 2002. – 416 с.
6. Корченко А.Г. Построение систем защиты информации на нечетких множествах. Теория и практические решения – К.: МК-Пресс, 2006.
7. Federal Information Processing Standards Publication 65. Guideline for Automatic Data Processing Risk Analysis. – Washington, DC: U.S. General Printing Office, 1979. – 56 p.
8. Endorf C.F. Measuring ROI on security / Carl F. Endorf // Information security management handbook / Edited by Harold F. Tipton and Micki Krauze. – 6th edition. – Boca Raton: Auerbach Publications, 2007. – Part 1, Section 1.1, Ch. 12. – P. 133-137.
9. Henry K. Risk management and analysis / Kevin Henry // Information Security Management Handbook / Edited by Harold F. Tipton, Micki Krauze. – 6th edition. – Boca Raton : Auerbach Publications, 2007. – Part 1, Section 1.4, Ch. 28. – P. 321-329.
10. Rittinghouse J.W. Business continuity and disaster recovery for infosec managers / John W. Rittinghouse, James F. Ransome. – Oxford: Elsevier, 2005. – 408 p.
11. Spedding L. Business risk management handbook: a sustainable approach / Linda Spedding, Adam Rose. – Oxford: Elsevier, 2008. – 768 p.
12. ISO/IEC FDIS 17799:2005. Information technology. Security techniques. Code of practice for information security management. – Geneva: ISO, 2005. – 115 p.
13. ГОСТ Р ИСО/МЭК 17799–2005. Информационная технология. Практические правила управления информационной безопасностью. – Введ. 2006–01–01. – М.: Стандартинформ, 2006. – 61 с.
14. СТО БР ИББС–1.0–2008. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения [Электронный ресурс]. – Введ. 2009–05–01. – М.: Банк России, 2008. – Режим доступа:
http://www.cbr.ru/credit/Gubzi_docs/st10-08.pdf, свободный. – Загл. с экрана. – Яз. рус.
15. СТО БР ИББС–1.1–2007. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности [Электронный ресурс]. – Введ. 2007–05–01. – М.: Банк России, 2007. – Режим доступа: http://www.cbr.ru/credit/Gubzi_docs/st11.pdf, свободный. – Загл. с экрана. – Яз. рус.
16. СТО БР ИББС–1.2–2009. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации. Требованиям СТО БР ИББС–1.0–2008 [Электронный ресурс]. – Введ. 2009–06–01. – М.: Банк России, 2009. – Режим доступа: http://abiss.ru/upload/iblock/749/sto_br_ibbs-1.2-
2009.pdf, свободный. – Загл. с экрана. – Яз. рус.
17. Payment Card Industry (PCI) Data Security Standard . Requirements and Security Assessment Procedures. Version 1.2. [Электронный ресурс]. – Effective date October 1 2008. – Wakefield, MA: PCI Security Standards Council, 2008. – 73 p. – Режим доступа: https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml, свободный. – Загл. с экр. – Яз. англ.
18. Ragan S. Does the Heartland breach prove PCI useless? [Электронный ресурс] / Steve Ragan // The Tech Herald. – 2009. – January, 26. – Режим доступа: http://www.thetechherald.com/article.php/200905/2849/Does-the-Heartland-breach-prove-PCI-useless, свободный.
19. Events unfold after Heartland breach // Computer Fraud & Security. – 2009. – Vol. 2. – P. 2, 20.
20. Landoll D. The security risk assessment handbook: a complete guide for performing security risk assessments / Douglas J. Landoll. – Boca Raton: Auerbach Publications, 2006. – 504 p.

Comments are closed.