1. Главная
  2. Ресурсы
  3. Библиотечный поиск
  4. Журнал «Открытое образование»
  5. Выпуск 2018 г. № 2
Расчет рисковинформационнойбезопасностителекоммуникационногопредприятия Ильченко Лидия МихайловнаБрагина ЕлизаветаКонстантиновнаЕгоров Илья Евгеньевич2018 год

Расчет рисков информационной безопасности телекоммуникационного предприятия
статья из журнала

Заказать копию статьи
База данных: Каталог библиотеки СФУ (Р 248)
Библиографическое описание: Расчет рисков информационной безопасности телекоммуникационного предприятия = Calculation of risks of information security of telecommunication enterprise / Л. М. Ильченко и [др.]. - (Проблемы информатизации экономики и управления). - Текст : непосредственный // Открытое образование. - 2018. - № 2. - С. 61-70 : рис. - Библиогр.: с. 68-70 (20 назв.). - ISSN 1818-4243.
Аннотация: Оценка рисков информационной безопасности для типичной распределенной информационной системы в трех контролируемых областях. Основной акцент, применение информационной безопасности в рассматриваемой информационной системе делается для минимизации ущерба от угроз безопасности, направленных на целостность и доступность аппаратно-программного комплекса информационной системы, а не на конфиденциальность информационных ресурсов, обрабатываемых с их помощью. В исследовании рассмотрены международные и национальные стандарты в области информационной безопасности, которые регулируют вопросы управления рисками информационной безопасности. В частности, были установлены основные требования к оценке и обработке рисков информационной безопасности на основе международного стандарта "ISO 27001: 2013 Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности", а также проведено сравнение данного стандарта с его версией с 2005 года. В качестве ведущего метода оценки и обработки риска был выбран наиболее экономичный качественный метод при отсутствии готовых данных о количестве атак, совершенных в рассматриваемой информационной системе на определенный период времени. При этом были рассмотрены ценные активы организации и основаны на бизнес-процессе телекоммуникационной компании, выделены основные и второстепенные активы, а также соответствующие угрозы информационной безопасности в соответствии с банком данных об угрозах безопасности Федеральной службы для технического и экспортного контроля. Результатом этой работы стал расчет рисков информационной безопасности, основанных на распределении ценных активов организации, степени потенциального ущерба при реализации угроз таким активам и вероятности реализации угроз информационной системе телекоммуникационное предприятие. Кроме того, были определены приемлемые риски, обработка которых не требуется из-за того, что фактическая стоимость их минимизации больше, чем потери от реализации угроз над ними. В заключение были предложены возможные меры по минимизации рисков информационной безопасности, включая систему резервного копирования, систему защиты от несанкционированного доступа, систему антивирусной защиты, межсетевые экраны и организационные меры и меры физической защиты. Предлагаемый метод позволяет разумно оценивать риски информационной безопасности организации в условиях недостаточности исходных данных, а также отсутствие дополнительного аппаратного и программного обеспечения для оценки рисков информационной безопасности, что позволяет применять его для моделирования организаций, основанных только на масштабировании рассматриваемой системы, если в обработанных данных отсутствует секретность информации о состоянии. Процедура управления рисками помогает не только выявлять и устранять анализ уязвимостей и инноваций в области оценки рисков, но и повышать уровень грамотности персонала, участвующего в процессе оценки и управления рисками.
The goal of this work is to identify and assess information security risks for a typical distributed information system within three controlled areas. The main emphasis, application of information security in the considered information system is done to minimize damage from security threats, aimed at the integrity and availability of the hardware and software complex of the information system, and not to the confidentiality of information resources processed with their help. The study examined international and national standards in the field of information security, which regulate issues of information security risks management. In particular, the basic requirements for the assessment and processing of information security risks were established, based on the international standard "ISO 27001: 2013 Information technologies. Methods of protection. Information security management systems", as well as a comparison of this standard with its version from 2005 is made. As a leading method of risk assessment and processing, the most economical the qualitative method was chosen, in the absence of ready data on the number of attacks implemented in the considered information system for a certain period of time. In the process, valuable assets of the organization were considered, and based on the business process of the telecommunication company, major and minor assets were allocated, as well as the corresponding information security threats in accordance with the security threat data bank of the Federal Service for Technical and Export Control. The result of this work was the calculation of information security risks, based on the allocation of valuable assets of the organization, the degree of potential damage in the implementation of threats to such assets and the probability of the implementation of threats to the information system of the telecommunication enterprise. In addition, acceptable risks were identified, the processing of which is not required due to the fact that the actual cost of minimizing them is greater than the losses from the implementation of threats over them. In conclusion, possible measures were proposed to minimize information security risks, including a backup system, a system for protecting against unauthorized access, an anti-virus protection system, firewalling, and organizational measures and physical protection measures. The proposed method makes it possible to reasonably assess information security risks of an organization in conditions of insufficient initial data, as well as the absence of additional hardware and software for assessing information security risks, which allows applying it to model organizations based only on scaling of the considered system, if there is no state information secret in the processed data. The risk management procedure helps not only to identify and eliminate the analysis of vulnerabilities and innovations in the field of risk assessment, but also to increase the literacy level of staff, involved in the assessment and risk management process.
Год издания: 2018
Авторы: Ильченко Лидия Михайловна , Брагина Елизавета Константиновна , Егоров Илья Евгеньевич , Зайцев Святослав Иванович
Источник: Открытое образование
Выпуск: № 2
Номера страниц: 61-70
Количество экземпляров:
  • Книгохранилище научной литературы (пр. Свободный, 79, 3 этаж): свободно 1 из 1 экземпляров