ПІДХІД ДО ОЦІНЮВАННЯ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ДЛЯ АВТОМАТИЗОВАНОЇ СИСТЕМИ КЛАСУ «1»

Abstract

Read online

Стаття присвячена оцінці ризиків інформаційної безпеки в автоматизованих системах класу «1». Запропоновано адаптований підхід до оцінки ризиків інформаційної безпеки в таких АС з використанням Методики та вимог стандартів ГСТУ СУІБ 1.0/ISO/IEC 27001:2010 та ГСТУ СУІБ 2.0/ISO/IEC 27002:2010. Працездатність та способи реалізації підходу доведено на прикладі розгляду реальних загроз та вразливостей АС класу “1”. Основною вимогою при створенні системи управління інформаційною безпекою в організації є оцінювання ризиків та визначення загроз для інформаційних ресурсів, які обробляються в інформаційно-телекомунікаційних системах та АС. Розглянуто базові стандарти щодо інформаційної безпеки в Україні, які дають загальні рекомендації щодо побудови і оцінювання ризиків інформаційної безпеки в рамках СУІБ. Проаналізовано найпоширеніші методи й методології з оцінювання ризиків інформаційної безпеки міжнародного зразка, зокрема, CRAMM, OCTAVE, NIST SP800-30 визначено їх переваги і недоліки. Визначено порядок проведення робіт з оцінки ризиків інформаційної безпеки АС класу «1». Наведено вразливості, що враховуються експертом відповідно до стандарту ISO/IEC 27002:2005 та Методики а також умовну шкалу визначення впливу на реалізацію загроз цілісності, доступності, спостережності. Запропоновані заходи та засоби протидії виникненню загроз. Даний підхід можна використовувати як для безпосереднього оцінювання інформаційного ризику, так і в навчальних цілях. Він дозволяє отримати кінцевий результат незалежно від досвіду та кваліфікації фахівця, що проводить оцінку ризиків, з подальшим впровадженням та удосконаленням існуючої системи управління ризиками в організації..

Keywords

• автоматизована система; управління ризиками; система управління інформаційною безпекою; вразливість