Journals Conferences Monographies Textbooks Regulatorys Event GQW
Submit manuscript
Home / Journals / Vestnik of Astrakhan State Technical University. Series: Management, computer science and informatics / Volume 2018 Issue 2 / FORMALIZED DESCRIPTION OF THE PROCEDURE OF INFORMATION SYSTEM RISK MANAGEMENT
FORMALIZED DESCRIPTION OF THE PROCEDURE OF INFORMATION SYSTEM RISK MANAGEMENT
Submit manuscript
To cite
Citations:

FORMALIZED DESCRIPTION OF THE PROCEDURE OF INFORMATION SYSTEM RISK MANAGEMENT
Kozunova Svetlana Sergeevna 1
Kravets Alla Grigorievna 2
Authors:
1.  Volgograd State Technical University

2.  Volgograd State Technical University (Doctor of Technical Sciences, Professor; Professor of the Department of Computer-Aided Design and Search Engineering Systems )

Type:
Article
DOI:
https://doi.org/10.24143/2072-9502-2018-2-61-70
Pages:
from 61 to 70
Status:
Published
Received:
05.04.2018
Accepted:
28.02.2020
Published:
25.04.2018
Subject area:
VAC 05.12.2013 Системы, сети и устройства телекоммуникаций
VAC 05.13.01 Системный анализ, управление и обработка информации (по отраслям)
VAC 05.13.06 Автоматизация и управление технологическими процессами и производствами (по отраслям)
VAC 05.13.10 Управление в социальных и экономических системах
VAC 05.13.18 Математическое моделирование, численные методы и комплексы программ
VAC 05.13.19 Методы и системы защиты информации, информационная безопасность
UDK 004.942
GRNTI 20.01 Общие вопросы информатики
GRNTI 28.01 Общие вопросы кибернетики
GRNTI 49.01 Общие вопросы связи
GRNTI 50.01 Общие вопросы автоматики и вычислительной техники
GRNTI 82.01 Общие вопросы организации и управления
Language:
Russian
Keywords:
information system, risk, damage, evaluation, management effectiveness, optimization
Abstract and keywords
Abstract (English):
The article highlights the aspects of risk management in the information system. According to the analysis of the work of Russian and foreign scientists and world practices in the field of risk management, it is stated that there is a need to improve the effectiveness of risk management of information system and to develop a method for managing the risks of the information system. As a solution to the problem of effective risk management of the information system, there has been proposed a formalized procedure for managing the risks of the information system. The scientific novelty of this solution is the use of decision space and optimization space to reduce risks. This procedure allows to assess the damage, risk and effectiveness of risk management of the information system. The risks of the information system are determined and analyzed; a pyramidal risk diagram is developed. This diagram allows you to describe the relationship of risks with the components of the information system. The negative consequences to which these risks can lead are given. The analysis of methods and approaches to risk management has been carried out. Based on the results of the analysis, the methods GRAMM, CORAS, GOST R ISO / IEC scored to the maximum. The weak points of these methods and the difficulty of applying these methods in practice are described. The developed formalized risk management procedure to control the risks of information system can be used as management system’s element of the information security quality that complies with the recommendations of GOST R ISO / IEC 27003-2012. The prospect of further development of the research results is the development of management systems of risk of information system.

Keywords:
information system, risk, damage, evaluation, management effectiveness, optimization
Text
Введение Разработка методологии обеспечения информационной безопасности (ИБ) предприятия является одним из самых востребованных направлений современной науки. Причиной тому являются стремительное развитие предприятий; высокая численность информационных систем (ИС) различного типа; большое число сервисов, предоставляемых ИС; строгое регулирование деятельности по защите информации на уровне законодательства; высокие требования ИБ, предъявляемые к ИС. Несмотря на то, что в настоящее время существуют многофункциональные центры мониторинга, они решают в основном задачи выявления атак, установления инцидентов, нарушения политики ИБ, контроля сетевого трафика. Нестабильное управление бизнес-процессами предприятия и неоднозначность решения вопросов обеспечения ИБ может привести к развитию рисков нарушения ИБ. Часто на практике принятие решения об управлении рисками осуществляется в условиях полной неопределенности. Поэтому определяющим фактором в управлении рисками является анализ рисков и выбор подходящего метода управления [1]. Научные результаты, представленные в данной статье, сформировались в основном на базе научных работ российских и зарубежных ученых: А. А. Финогеева, А. Г. Финогеева, И. М. Ажмухамедова, В. А. Камаева, О. М. Князевой, О. Н. Выборновой, И. В. Аникина, T. Campbell. Вопросы управления и оценки рисков рассматриваются в работах российских и зарубежных авторов [2-7], однако открытым остается ряд вопросов: оценка и анализ рисков ИС, классификация рисков, отсутствие методики комплексного управления рисками, прогнозирование рисков. В ходе анализа работ [4, 5, 7-10] установлено, что основной локализацией рисков нарушения ИБ являются ИС предприятия. В связи с требованиями российского федерального законодательства РФ и регуляторов в области ЗИ в части правового обеспечения ИБ управление рисками ИС и организация защиты информации (ЗИ), обрабатываемой в ИС, являются актуальными задачами, которые необходимо решать на любом предприятии. Об этом свидетельствуют ФЗ от 27 июля 2006 г. № 149-ФЗ [11], Приказ ФСБ РФ № 416, ФСТЭК РФ № 489 от 31 августа 2010 г. [12], Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) России от 11 февраля 2013 г. № 17 (ред. от 15 февраля 2017 г.) [13] и другие документы [14, 15]. Анализируя результаты исследований [1-10], можно сделать вывод об актуальности разработки метода управления рисками ИС и повышения эффективности управления рисками нарушения ИБ в ИС. Исходя из вышесказанного, сформулируем цель исследования: предложить формализованное описание процедуры управления рисками ИС. Анализ рисков в информационной системе Все риски ИС полностью нейтрализовать нельзя, но можно спрогнозировать их периодичность, снизить нанесенный ими ущерб, [4-5, 16]. Для управления рисками необходимо придерживаться определенной методики, алгоритма или управленческой процедуры. Анализ рисков является процессом выявления опасностей и оценки негативных последствий в результате возникновения нарушений в работе ИС [5]. Для ИС характерно двенадцать рисков, которые можно разделить на три типа: бизнес-риски, технические риски и риски нарушения ИБ. Данные риски могут привести к локальным (на уровне ИС) или глобальным (на уровне решения задач автоматизации и поддержки бизнес-процессов предприятия) негативным последствиям. Основываясь на типовой архитектуре ИС [22] и модели профиля угроз нарушения ИБ ИС [23], мы разработали пирамидальную диаграмму рисков ИС, представленную на рис. 1 (ЛВС - локальная вычислительная сеть; ИТ - информационные технологии). Рис. 1. Пирамидальная диаграмма рисков информационной системы Пирамидальная диаграмма позволила классифицировать риски ИС на бизнес-риски, технические риски и риски нарушения ИБ. Бизнес-риски соответствуют компоненту ИС «бизнес-процессы» и связаны они с задачами, которые решает ИС. Бизнес-риски необходимо анализировать и прогнозировать на этапе формирования производственных задач, выбора средств автоматизации производства и стратегии оптимизации. Технические риски относятся к компонентам ИС: ИТ, ЛВС и аппаратной архитектур; топологии данных; программному и техническому обеспечению. Такой вид рисков связан с жизненным циклом ИС. Риск, относящийся к топологии данных, возникает по причине того, что структуризация данных не соответствует общепринятым рекомендациям и отраслевым стандартам. Риск на уровне программного обеспечения (ПО) возникает из-за отсутствия необходимого ПО или когда ПО не совместимо с модулями ИС. Техническое обеспечение и аппаратная архитектура могут осложнять управленческие процессы, это связано с наличием систем хранения данных, кластерами и другими составляющими, что создает необходимость приобретения и внедрения дополнительных средств управления, а также их интеграции в ИС. Риски нарушения ИБ связаны с архитектурой системы защиты информации (СЗИ) - наличие уязвимостей в СЗИ приводит к возникновению риска попадания критически важной информации к третьим лицам. Возникновение рисков ИС, описанных на рис. 1, может спровоцировать экономические и управленческие риски, что является глобальными рисками на уровне предприятия. Наступление любого риска ИС может принести инвестиционные, экономические и репутационные потери, а совокупность рисков ИС может остановить непрерывный управленческий процесс - качество управления производственными и бизнес-процессами снижается. В условиях риска возможны производственные задержки и наступление ситуации полной неопределенности, что осложняет принятие качественного решения по управлению рисками и непрерывностью бизнес-процессов. Методы и подходы к управлению рисками В настоящее время существует несколько методов и подходов, применяемых к управлению информационными рисками и рисками нарушения ИБ. Данные подходы и методы можно разделить на две группы: стандартизированные и качественно-количественные. Стандартизированные методы и подходы включают в себя управленческую процедуру, основанную на модели PDCA «Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)», используемую для структурирования процессов менеджмента. Процедура управления рисками осуществляется в соответствии с определенными этапами и рекомендациями, регламентированными в стандартах. Применение стандартизированных методов и подходов на практике позволяет реализовать «единое окно» системы менеджмента информационной безопасности. Качественно-количественные методы и подходы определяют процедуру управления рисками на основе частной методики, ориентированной на специфику системы (или деятельность предприятия), а также решающей частную задачу. В связи с тем, что существует большое число исследований по вопросу управления рисками и их оценки [1-6, 10, 16, 19-21], результаты современных исследований порождают определенные противоречия. С одной стороны, существуют противоречия между высокой значимостью методов и моделей управления рисками ИС и ИБ, с другой стороны - практикой оценки рисков и прогнозирования ущербов. В изученных работах предложены некоторые методы и подходы к управлению рисками, основанные на числовых оценках рисков [2, 3, 6, 20], стратегии снижения уровня рисков [2], контура управления рисками [4], «туманных» вычислений [5] и др. Однако рассмотренные работы имеют ряд недостатков: предложенные решения направлены на управление рисками нарушения ИБ и информационных рисков, при этом частная задача управления рисками ИС не исследуется; отсутствует систематизированный подход к оценке эффективности управления рисками; не определен механизм снижения рисков и ущербов, авторами [2] предложена только стратегия снижения уровня риска; отсутствует комплексный подход к управлению рисками. Основываясь на стандартах [15, 22-24] и научных работах в сфере управления рисками [4, 5, 16, 20, 21, 25], мы проанализировали методы управления рисками. Результаты анализа представлены в таблице (выполнение условия критерия оценки обозначено «1», невыполнение условия критерия оценки принято обозначать «0»). Анализ методов и подходов к управлению рисками Метод или подход Идентификация рисков Оценка рисков Анализ рисков Определение степени критичности рисков Возможность построения отчета о рисках Общая оценка FERMA:2002 1 1 0 0 0 2 COSO:2004 0 1 0 0 0 1 ISO 31000:2009 1 1 1 0 0 3 GRAMM 1 1 0 1 1 4 BS 7799-3:2006 0 1 1 0 1 3 OCTAVE 0 1 1 1 0 3 RiskWatch 0 1 0 1 1 3 CORAS 1 1 1 0 1 4 ГОСТ Р ИСО/ МЭК 27005-2010 1 1 1 0 1 4 Экспертный 0 1 1 0 0 2 Процессный подход 1 0 1 0 0 2 По результатам анализа методов и подходов наибольшую оценку набрали GRAMM, CORAS, ГОСТ Р ИСО/МЭК. Общим недостатком этих методов является невозможность их применения для управления рисками ИС и отсутствие в них специальной процедуры прогнозирования рисков. Также стоит отметить, что применение зарубежных методов и подходов осложняется спецификой российского документооборота и организации взаимодействия ИС (как с другими ИС, так и со средствами защиты информации). Таким образом, разрабатывая собственную процедуру управления рисками ИС, мы будем опираться на требования ГОСТ Р ИСО/МЭК 27005-2010 и [11-14]. Формализованное описание процедуры управления рисками информационной системы Управление рисками ИС должно обеспечивать снижение и прогнозирование рисков [5, 19, 26]. Поиск минимального риска ИС осуществляется в пространстве решений D. Существуют допустимые риски ИС - риски, которые не являются критическими для функционирования ИС. Множество допустимых рисков ИС определим как А = {a1, a2, …, am}, где m - мощность А,. Если существует конечное число допустимых рисков ИС, то A - перечисление допустимых рисков. Процесс оптимизации рисков ИС поделим на критерии оптимизации N. Критерии N представим как совокупность функций {f1, f2, …, fN}, заданных на D. Оптимизационное пространство обозначим как D′. Совокупность функций задает некоторое отображение f = (f1, f2, …, fN), действующее из D в D′. Так, процесс оптимизации рисков ИС можно определить как функцию вида y = f(a) критериального пространства D′. Выбор наилучшего решения осуществляется с помощью анализа рисков ai Î A. Оптимальное значение рисков ИС опишем как Y = f (A) = {y | y = f (a), a Î A}. Таким образом, оптимизация рисков ИС представляет собой снижение рисков путем достижения эффективного критерия оптимизации: f(a) ® max, где a Î A. Для оценки эффективности управления рисками ИС применим функцию B, B = E(U, QR, T), где QR - оценка рисков ИС; T - время применения управленческого механизма (или время принятия решения); U - ущерб, нанесенный риском; E - правило расчета эффективности. Для каждой управленческой меры получена взвешенная сумма E критериев, представляющих собой K - комплексный критерий оценки эффективности управления K={k1, …, kk}, где k1, …, kk - частные критерии оценки эффективности управления, при этом k ≥ 2. Взвешенная сумма E(k│w) = w1k1 + … + wikk, где wi - весовой коэффициент частного критерия. На основании E производится стабилизация функционирования ИС. При достигнутом стабильном состоянии ИС производится оценка потенциального ущерба, нанесенного риском ИС. Потенциальный ущерб определяется как U = piwv, (1) где pi - вероятность возникновения i-го риска ИС; w - воздействие риска на ИС (либо на информацию, обрабатываемую в ИС); v - ценность информационного актива (или звена ИС, который подвергся риску). Риск ИС количественно можно определить как Rj = pjU , (2) где pj - вероятность реализации j-го риска ИС. Оценка рисков ИС проводится методом весовых коэффициентов: (3) где j Î [1, r], i Î [1, m]. Процедура управления рисками оценивается значением критериев эффективности b Î B: count1 = b1(q), …, bm = b(q). Значение критерия count1 составляет комплексную оценку процедуры управления рисками ИС: count = (count1, …, countm). Таким образом, было получено формализованное описание процедуры управления рисками ИС. На основе полученных результатов в настоящее время проектируются алгоритмы программного комплекса управления рисками ИС. Методика снижения рисков информационной системы Мы предлагаем методику снижения рисков ИС, представленную на рис. 2. Рис. 2. Методика снижения рисков информационной системы Методика включает в себя четыре задачи: идентификацию рисков, определение факторов рисков, анализ источников рисков, анализ последствий рисков. Каждой задаче соответствуют уникальные процессы. Данная методика ориентирована на лицо, принимающее решение, которое руководит группой аналитиков, специализирующихся на управлении рисками ИС предприятия. Идентификация рисков позволяет комплексно выявить и проанализировать риски, характерные для ИС. Результатом определения факторов рисков должен быть список выявленных факторов рисков с уточнением их локализации в ИС. Для ИС в качестве факторов риска выступают угроза, уязвимость, источник риска, ущерб, который может быть нанесен ИС или предприятию в случае возникновения рискового события. Следовательно, важным аспектом является анализ источников рисков и их последствий. Последовательное осуществление процессов (рис. 2) позволит реализовать мероприятия, направленные на повышение эффективности управления рисками ИС. Для снижения рисков ИС необходимо управлять факторами рисков. В основе управления факторами рисков ИС лежит анализ ресурсов. Поэтому определение значимости ресурсов ИС (программно-технических средств; информационных ресурсов, которые обрабатывает ИС) формально можно описать в виде где CO - стоимость ресурса ИС; C - капитал, вложенный в эксплуатацию этого ресурса. Значимость ресурсов позволяет определить ценность информационных активов и других ресурсов ИС. Управление угрозами основывается на построении частной модели угроз для ИС и контроля защищенности ресурсов [9, 27, 28]. При разработке модели угроз можно руководствоваться базовой моделью угроз безопасности [29] и методикой определения актуальных угроз безопасности [30], разработанными ФСТЭК. Список уязвимостей необходимо формировать исходя из инфраструктуры предприятия, к которой относится ИС [9, 27]. Авторами [18] предложена модель профиля угроз нарушения ИБ ИС корпоративного типа, в которой показана взаимосвязь между угрозами ИС, уязвимостями и источниками угроз. Источник рисков позволяет определить локализацию рисков в ИС. Потенциальный ущерб U оценивается по формуле (1). Риск определяется согласно (2), оценка рисков производится по формуле (3). Взаимосвязь между факторами рисков и механизмами нейтрализации рисков формализовано опишем как , (4) где - элементы из множества факторов рисков и механизмов нейтрализации рисков ИС соответственно, при этом factfaÎFACT, (где factfa - факторы рисков ИС; FACT - множество факторов рисков ИС; qfact - мощность множества факторов рисков ИС) и standstÎSTAND, (где standst - единичный механизм нейтрализации рисков; STAND - множество применяемых механизмов нейтрализации рисков ИС; qst - мощность множества STAND). Значения, которые может принимать (4), опишем как принимает значение «0», если риск ИС устраняется при помощи механизма нейтрализации рисков. принимает значение «1», если риск ИС невозможно устранить, используя механизм нейтрализации рисков. Контроля обеспечения рисков ИС, а также их снижения можно достичь, управляя рискоустойчивостью. Авторами [31] дано определение рискоустойчивости. Формально рискоустойчивость ИС опишем в виде Для управления уровнем рискоустойчивости введем оценочную шкалу. Качественно данную шкалу опишем следующим образом: низкая рискоустойчивость, средняя рискоустойчивость и высокая рискоустойчивость. Таким образом, уровень рискоустойчивости ИС будет складываться исходя из: где . Оценка уровня рискоустойчивости ИС позволит сравнивать уровни рискоустойчивости при возникновении различных рисковых событий. Таким образом, предложенная методика позволяет не только снизить риски ИС, но и анализировать факторы риска ИС. Заключение В настоящее время актуальной является проблема ликвидации рисков ИС. Особенности решения сложившейся проблемы заключаются в применении специального подхода или процедуры к управлению рисками ИС. Управленческие подходы или процедуры должны быть ориентированы не только на минимизацию рисков, но и на выполнение требований федерального законодательства РФ и регуляторов в области ЗИ. Формализованная процедура управления рисками ИС, предложенная авторами статьи, соответствует рекомендации ГОСТ Р ИСО/МЭК 27005-2010. Такая процедура позволяет оптимизировать риски ИС, оценить риски, ущерб и эффективность управления. Разработанная процедура управления рисками ИС может быть использована как часть системы менеджмента качества ИБ, выполняющей рекомендации ГОСТ [32]. В перспективе полученные результаты исследования можно использовать для разработки программного комплекса управления рисками ИС.
References

1. Mikov D. A. Analiz metodov i sredstv, ispol'zuemyh na razlichnyh etapah ocenki riskov informacionnoy bezopasnosti // Vopr. kiberbezopasnosti. 2014. № 4 (7). S. 49-54.

2. Vybornova O. N., Azhmuhamedov I. M. Sintez upravlencheskih resheniy po snizheniyu riskov v nechetkih usloviyah pri ogranichennyh resursah // Fundamental'nye issledovaniya. 2016. № 5. Ch. 1. S. 18-22.

3. Popov G. A., Popov A. G. Rezul'tiruyuschaya ocenka pri nalichii neskol'kih variantov ocenivaniya na primere zadach informacionnoy bezopasnosti // Vestn. Astrahan. gos. tehn. un-ta. Ser.: Upravlenie, vychislitel'naya tehnika i informatika. 2017. № 1. S. 48-61.

4. Kravets A. The Risk Management Model of Design Department’s PDM Information System // Creativity in Intelligent Technologies and Data Science. Second Conference, CIT&DS 2017 (Volgograd, Russia, September 12-14, 2017): Proceedings (Ser. Communications in Computer and Information Science. Vol. 754) / ed. by A. Kravets, M. Shcherbakov, M. Kultsova, Peter Groumpos. Volgograd State Technical University [et al.]; [Germany]: Springer International Publishing AG, 2017. P. 490-500.

5. Finogeev A. A., Finogeev A. G., Nefedova I. S., Finogeev E. A., Kamaev V. A. Analiz informacionnyh riskov v sistemah obrabotki dannyh na osnove «tumannyh» vychisleniy // Vestn. Astrahan. gos. tehn. un-ta. Ser.: Upravlenie, vychislitel'naya tehnika i informatika. 2015. № 4. S. 38-46.

6. Atkina V. S., Vorob'ev A. E. Podhod k ocenke riskov narusheniya informacionnoy bezopasnosti s ispol'zovaniem ierarhicheskogo podhoda k ranzhirovaniyu resursov predpriyatiya // Informacionnye sistemy i tehnologii. 2015. № 1 (87). S. 125-131.

7. Kiseleva I. A., Iskadzhyan S. O. Informacionnye riski: metody ocenki i analiza. URL: http://itportal.ru/science/economy/informatsionnye-riski-metody-otsenk/ (data obrascheniya: 03.12.2017).

8. Belozerova A. A., Olad'ko V. S., Mikova S. Yu., Nesterenko M. A. Arhitektura programmy ocenki riskov informacionnoy bezopasnosti v ERP-sistemah // Vestn. nauki i obrazovaniya. 2016. № 9 (21). S. 31-33.

9. Gneushev V. A., Kravec A. G., Kozunova S. S., Babenko A. A. Modelirovanie setevyh atak zloumyshlennikov v korporativnoy informacionnoy sisteme // Promyshlennye ASU i kontrollery. 2017. № 6. S. 51-60.

10. Vahrameev Ya. M., Bogatenkov D. S. Upravleniya riskami i problemami na proektah po vnedreniyu otechestvennyh ERP-sistem // Nauch.-metod. elektron. zhurn. «Koncept». 2016. T. 17. S. 103-108. URL: http://e-koncept.ru/2016/46184.htm (data obrascheniya: 03.12.2017).

11. Ob informacii, informacionnyh tehnologiyah i o zaschite informacii: Federal'nyy Zakon ot 27 iyulya 2006 g. № 149-FZ. URL: http://fstec.ru/component/attachments/download/277 (data obrascheniya 03.12.2017).

12. Ob utverzhdenii Trebovaniy o zaschite informacii, soderzhascheysya v informacionnyh sistemah obschego pol'zovaniya»: Prikaz FSB RF № 416, FSTEK RF № 489 ot 31 avgusta 2010 g. URL: http://fstec.ru/component/attachments/download/283 (data obrascheniya: 03.12.2017).

13. Ob utverzhdenii Trebovaniy o zaschite informacii, ne sostavlyayuschey gosudarstvennuyu taynu, soderzhascheysya v gosudarstvennyh informacionnyh sistemah: Prikaz FSTEK Rossii ot 11 fevralya 2013 g. № 17 (red. ot 15.02.2017). URL: http://fstec.ru/component/attachments/download/567 (data obrascheniya: 03.12.2017).

14. Ob utverzhdenii Doktriny informacionnoy bezopasnosti Rossiyskoy Federacii: Ukaz Prezidenta RF ot 05 dekabrya 2016 g. № 646. URL: http://base.garant.ru/71556224/ (data obrascheniya: 11.04.2017).

15. GOST R ISO/MEK 27005-2010. Informacionnaya tehnologiya. Metody i sredstva obespecheniya bezopasnosti. Menedzhment riska informacionnoy bezopasnosti. M.: Standartinform, 2011. URL: http://docs.cntd.ru/document/gost-r-iso-mek-27005-2010 (data obrascheniya: 03.12.2017).

16. Baranova E., Mal'ceva A. Analiz riskov informacionnoy bezopasnosti dlya malogo i srednego biznesa // Direktor po bezopasnosti. 2015. Vyp. 9. S. 58-63.

17. Surkova N. E., Ostrouh A. V. Metodologiya strukturnogo proektirovaniya informacionnyh sistem: monogr. Krasnoyarsk: Nauch.-innovac. centr. 2014. 190 s. URL: http://lib.madi.ru/fel/fel1/fel16S061.pdf (data obrascheniya: 06.12.2017).

18. Kozunova S. S., Babenko A. A. Model' postroeniya zaschischennoy informacionnoy sistemy korporativnogo tipa // Informacionnye sistemy i tehnologii. 2016. № 3 (95). S. 112-120.

19. Azhmuhamedov I. M., Knyazeva O. M. Kompleksnaya ocenka kachestva informacionnyh sistem na osnove nechetkogo kognitivnogo modelirovaniya // Nauchnye tendencii: Voprosy tochnyh i tehnicheskih nauk: sb. nauch. tr. po materialam X Mezhdunar. nauch. konf. (Sankt-Peterburg, 12 oktyabrya 2017 g.). SPb.: Izd-vo CNK MNIF «Obschestv. nauka». S. 10-12.

20. Pomorcev A. S. Metodika ocenki riskov narusheniya informacionnoy bezopasnosti organizacii s uchetom kvalifikacii ekspertov // Dokl. TUSURa. 2014. № 2 (32). S. 167-169.

21. Azhmuhamedov I. M., Vybornova O. N. Formalizaciya ponyatiy priemlemogo i tolerantnogo riska // Inzhenernyy vestnik Dona. 2015. T. 37. № 3. S. 63.

22. BS 7799-3. Information security management systems. Guidelines for information security risk management.

23. COSO 2004. Enterprise Risk Management - Integrated Framework.

24. ISO 31000:2009. Risk management - Principles and guidelines.

25. Azhmuhamedov I. M., Knyazeva O. M. Ocenka sostoyaniya zaschischennosti dannyh organizacii v usloviyah vozmozhnosti realizacii ugroz informacionnoy bezopasnosti // Prikaspiyskiy zhurnal: upravlenie i vysokie tehnologii. 2015. № 3 (31). S. 24-39.

26. Campbell T. The Information Security Manager // Practical Information Security Management. 2016. P. 31-42.

27. Anikin I. V., Emaletdinova L. Yu., Kirpichnikov A. P. Metody ocenki i upravleniya riskami informacionnoy bezopasnosti v korporativnyh informacionnyh setyah // Vestn. Kazan. tehnolog. un-ta. 2015. T. 18. № 6. S. 195-197.

28. Anikin I. V. Metody ocenki i upravleniya riskami informacionnoy bezopasnosti v korporativnyh informacionnyh setyah: monogr. Kazan': Redakc.-izdat. centr «Shkola», 2015. 224 s.

29. Bazovaya model' ugroz bezopasnosti personal'nyh dannyh pri ih obrabotke v informacionnyh sistemah personal'nyh dannyh (vypiska) (utv. zam. direktora FSTEK Rossii 15 fevralya 2008 g.). URL: https://fstec.ru/component/attachments/download/289 (data obrascheniya: 06.02.2018).

30. Metodika opredeleniya aktual'nyh ugroz bezopasnosti personal'nyh dannyh pri ih obrabotke v informacionnyh sistemah personal'nyh dannyh (utv. zam. direktora FSTEK Rossii 14 fevralya 2008 g.). URL: https://fstec.ru/component/attachments/download/290 (data obrascheniya: 06.02.2018).

31. Kozunova S. S., Kravec A. G. Upravlenie riskoustoychivost'yu informacionnoy sistemy konstruktorskogo byuro // Upravlenie informacionnoy bezopasnost'yu v sovremennom obschestve: materialy Vseros. molodezhnoy nauch. shkoly-konf. po problemam informac. bezopasnosti (Volgograd, 26-28 aprelya 2017 g.). Volgograd: Volgogr. gos. un-t, 2017. C. 203-207.

32. GOST R ISO/MEK 27003-2012. Informacionnaya tehnologiya (IT). Metody i sredstva obespecheniya bezopasnosti. Sistemy menedzhmenta informacionnoy bezopasnosti. Rukovodstvo po realizacii sistemy menedzhmenta informacionnoy bezopasnosti. M.: Standartinform, 2014. URL: http://docs.cntd.ru/document/1200103165 (data obrascheniya: 06.12.2017).

This work is licensed under Creative Commons Attribution 3.0 Unported

Support Powered by Editorum,  Instructions
Login or Create
* Forgot password?