Журналы
НЕФТЕГАЗОВЫЕ ТЕХНОЛОГИИ И ЭКОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ Серия: Морская техника и технология Серия: РЫБНОЕ ХОЗЯЙСТВО Серия: УПРАВЛЕНИЕ, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И ИНФОРМАТИКА Серия: ЭКОНОМИКА

Вестник АГТУ (АРХИВНЫЙ)
История Ссылки Новости Контакты
Отправить рукопись
Главная / Журналы / Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техника и информатика / Номер 2 / ФОРМАЛИЗОВАННОЕ ОПИСАНИЕ ПРОЦЕДУРЫ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
ФОРМАЛИЗОВАННОЕ ОПИСАНИЕ ПРОЦЕДУРЫ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Отправить рукопись
Цитировать
Цитирований:

ФОРМАЛИЗОВАННОЕ ОПИСАНИЕ ПРОЦЕДУРЫ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Козунова Светлана Сергеевна 1
Кравец Алла Григорьевна 2
Авторы:
1.  Волгоградский государственный технический университет

2.  Волгоградский государственный технический университет (д-р техн. наук, профессор; профессор кафедры систем автоматизированного проектирования и поискового конструирования)

Тип:
Статья
DOI:
https://doi.org/10.24143/2072-9502-2018-2-61-70
Страницы:
с 61 по 70
Статус:
Опубликован
Получено:
05.04.2018
Одобрено:
25.04.2018
Опубликовано:
25.04.2018
Классификаторы:
ВАК 05.12.2013 Системы, сети и устройства телекоммуникаций
ВАК 05.13.01 Системный анализ, управление и обработка информации (по отраслям)
ВАК 05.13.06 Автоматизация и управление технологическими процессами и производствами (по отраслям)
ВАК 05.13.10 Управление в социальных и экономических системах
ВАК 05.13.18 Математическое моделирование, численные методы и комплексы программ
ВАК 05.13.19 Методы и системы защиты информации, информационная безопасность
УДК 004.942
ГРНТИ 20.01 Общие вопросы информатики
ГРНТИ 28.01 Общие вопросы кибернетики
ГРНТИ 49.01 Общие вопросы связи
ГРНТИ 50.01 Общие вопросы автоматики и вычислительной техники
ГРНТИ 82.01 Общие вопросы организации и управления
Язык материала:
русский
Ключевые слова:
информационная система, риск, ущерб, оценка, эффективность управления, оптимизация
Аннотация и ключевые слова
Аннотация (русский):
Рассматриваются аспекты управления рисками информационной системы (ИС). На основе анализа работ российских и зарубежных ученых, а также результатов мировой практики в области управления рисками, утверждается, что существует необходимость в повышении эффективности управления рисками ИС и в разработке метода управления рисками ИС. В качестве решения проблемы эффективного управления рисками ИС предложена формализованная процедура управления рисками ИС. Научной новизной такого решения является использование пространства решений и оптимизационного пространства для снижения рисков. Данная процедура позволяет оценить ущерб, риск и эффективность управления рисками ИС. Определены и проанализированы риски ИС, разработана пирамидальная диаграмма рисков, которая позволяет описать взаимосвязь рисков с компонентами ИС. Приведены негативные последствия, к которым могут привести данные риски. Проведен анализ методов и подходов к управлению рисками. По результатам проведенного анализа максимальную оценку набрали методы GRAMM, CORAS, ГОСТ Р ИСО/МЭК. Описаны недостатки этих методов, отмечается сложность применения данных методов на практике. Разработанная формализованная процедура управления рисками ИС может быть использована как элемент системы менеджмента качества информационной безопасности, выполняющей рекомендации ГОСТ Р ИСО/МЭК 27003-2012. В перспективе результаты исследования станут основой для разработки системы управления рисками ИС.

Ключевые слова:
информационная система, риск, ущерб, оценка, эффективность управления, оптимизация
Текст
Введение Разработка методологии обеспечения информационной безопасности (ИБ) предприятия является одним из самых востребованных направлений современной науки. Причиной тому являются стремительное развитие предприятий; высокая численность информационных систем (ИС) различного типа; большое число сервисов, предоставляемых ИС; строгое регулирование деятельности по защите информации на уровне законодательства; высокие требования ИБ, предъявляемые к ИС. Несмотря на то, что в настоящее время существуют многофункциональные центры мониторинга, они решают в основном задачи выявления атак, установления инцидентов, нарушения политики ИБ, контроля сетевого трафика. Нестабильное управление бизнес-процессами предприятия и неоднозначность решения вопросов обеспечения ИБ может привести к развитию рисков нарушения ИБ. Часто на практике принятие решения об управлении рисками осуществляется в условиях полной неопределенности. Поэтому определяющим фактором в управлении рисками является анализ рисков и выбор подходящего метода управления [1]. Научные результаты, представленные в данной статье, сформировались в основном на базе научных работ российских и зарубежных ученых: А. А. Финогеева, А. Г. Финогеева, И. М. Ажмухамедова, В. А. Камаева, О. М. Князевой, О. Н. Выборновой, И. В. Аникина, T. Campbell. Вопросы управления и оценки рисков рассматриваются в работах российских и зарубежных авторов [2-7], однако открытым остается ряд вопросов: оценка и анализ рисков ИС, классификация рисков, отсутствие методики комплексного управления рисками, прогнозирование рисков. В ходе анализа работ [4, 5, 7-10] установлено, что основной локализацией рисков нарушения ИБ являются ИС предприятия. В связи с требованиями российского федерального законодательства РФ и регуляторов в области ЗИ в части правового обеспечения ИБ управление рисками ИС и организация защиты информации (ЗИ), обрабатываемой в ИС, являются актуальными задачами, которые необходимо решать на любом предприятии. Об этом свидетельствуют ФЗ от 27 июля 2006 г. № 149-ФЗ [11], Приказ ФСБ РФ № 416, ФСТЭК РФ № 489 от 31 августа 2010 г. [12], Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) России от 11 февраля 2013 г. № 17 (ред. от 15 февраля 2017 г.) [13] и другие документы [14, 15]. Анализируя результаты исследований [1-10], можно сделать вывод об актуальности разработки метода управления рисками ИС и повышения эффективности управления рисками нарушения ИБ в ИС. Исходя из вышесказанного, сформулируем цель исследования: предложить формализованное описание процедуры управления рисками ИС. Анализ рисков в информационной системе Все риски ИС полностью нейтрализовать нельзя, но можно спрогнозировать их периодичность, снизить нанесенный ими ущерб, [4-5, 16]. Для управления рисками необходимо придерживаться определенной методики, алгоритма или управленческой процедуры. Анализ рисков является процессом выявления опасностей и оценки негативных последствий в результате возникновения нарушений в работе ИС [5]. Для ИС характерно двенадцать рисков, которые можно разделить на три типа: бизнес-риски, технические риски и риски нарушения ИБ. Данные риски могут привести к локальным (на уровне ИС) или глобальным (на уровне решения задач автоматизации и поддержки бизнес-процессов предприятия) негативным последствиям. Основываясь на типовой архитектуре ИС [22] и модели профиля угроз нарушения ИБ ИС [23], мы разработали пирамидальную диаграмму рисков ИС, представленную на рис. 1 (ЛВС - локальная вычислительная сеть; ИТ - информационные технологии). Рис. 1. Пирамидальная диаграмма рисков информационной системы Пирамидальная диаграмма позволила классифицировать риски ИС на бизнес-риски, технические риски и риски нарушения ИБ. Бизнес-риски соответствуют компоненту ИС «бизнес-процессы» и связаны они с задачами, которые решает ИС. Бизнес-риски необходимо анализировать и прогнозировать на этапе формирования производственных задач, выбора средств автоматизации производства и стратегии оптимизации. Технические риски относятся к компонентам ИС: ИТ, ЛВС и аппаратной архитектур; топологии данных; программному и техническому обеспечению. Такой вид рисков связан с жизненным циклом ИС. Риск, относящийся к топологии данных, возникает по причине того, что структуризация данных не соответствует общепринятым рекомендациям и отраслевым стандартам. Риск на уровне программного обеспечения (ПО) возникает из-за отсутствия необходимого ПО или когда ПО не совместимо с модулями ИС. Техническое обеспечение и аппаратная архитектура могут осложнять управленческие процессы, это связано с наличием систем хранения данных, кластерами и другими составляющими, что создает необходимость приобретения и внедрения дополнительных средств управления, а также их интеграции в ИС. Риски нарушения ИБ связаны с архитектурой системы защиты информации (СЗИ) - наличие уязвимостей в СЗИ приводит к возникновению риска попадания критически важной информации к третьим лицам. Возникновение рисков ИС, описанных на рис. 1, может спровоцировать экономические и управленческие риски, что является глобальными рисками на уровне предприятия. Наступление любого риска ИС может принести инвестиционные, экономические и репутационные потери, а совокупность рисков ИС может остановить непрерывный управленческий процесс - качество управления производственными и бизнес-процессами снижается. В условиях риска возможны производственные задержки и наступление ситуации полной неопределенности, что осложняет принятие качественного решения по управлению рисками и непрерывностью бизнес-процессов. Методы и подходы к управлению рисками В настоящее время существует несколько методов и подходов, применяемых к управлению информационными рисками и рисками нарушения ИБ. Данные подходы и методы можно разделить на две группы: стандартизированные и качественно-количественные. Стандартизированные методы и подходы включают в себя управленческую процедуру, основанную на модели PDCA «Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)», используемую для структурирования процессов менеджмента. Процедура управления рисками осуществляется в соответствии с определенными этапами и рекомендациями, регламентированными в стандартах. Применение стандартизированных методов и подходов на практике позволяет реализовать «единое окно» системы менеджмента информационной безопасности. Качественно-количественные методы и подходы определяют процедуру управления рисками на основе частной методики, ориентированной на специфику системы (или деятельность предприятия), а также решающей частную задачу. В связи с тем, что существует большое число исследований по вопросу управления рисками и их оценки [1-6, 10, 16, 19-21], результаты современных исследований порождают определенные противоречия. С одной стороны, существуют противоречия между высокой значимостью методов и моделей управления рисками ИС и ИБ, с другой стороны - практикой оценки рисков и прогнозирования ущербов. В изученных работах предложены некоторые методы и подходы к управлению рисками, основанные на числовых оценках рисков [2, 3, 6, 20], стратегии снижения уровня рисков [2], контура управления рисками [4], «туманных» вычислений [5] и др. Однако рассмотренные работы имеют ряд недостатков: предложенные решения направлены на управление рисками нарушения ИБ и информационных рисков, при этом частная задача управления рисками ИС не исследуется; отсутствует систематизированный подход к оценке эффективности управления рисками; не определен механизм снижения рисков и ущербов, авторами [2] предложена только стратегия снижения уровня риска; отсутствует комплексный подход к управлению рисками. Основываясь на стандартах [15, 22-24] и научных работах в сфере управления рисками [4, 5, 16, 20, 21, 25], мы проанализировали методы управления рисками. Результаты анализа представлены в таблице (выполнение условия критерия оценки обозначено «1», невыполнение условия критерия оценки принято обозначать «0»). Анализ методов и подходов к управлению рисками Метод или подход Идентификация рисков Оценка рисков Анализ рисков Определение степени критичности рисков Возможность построения отчета о рисках Общая оценка FERMA:2002 1 1 0 0 0 2 COSO:2004 0 1 0 0 0 1 ISO 31000:2009 1 1 1 0 0 3 GRAMM 1 1 0 1 1 4 BS 7799-3:2006 0 1 1 0 1 3 OCTAVE 0 1 1 1 0 3 RiskWatch 0 1 0 1 1 3 CORAS 1 1 1 0 1 4 ГОСТ Р ИСО/ МЭК 27005-2010 1 1 1 0 1 4 Экспертный 0 1 1 0 0 2 Процессный подход 1 0 1 0 0 2 По результатам анализа методов и подходов наибольшую оценку набрали GRAMM, CORAS, ГОСТ Р ИСО/МЭК. Общим недостатком этих методов является невозможность их применения для управления рисками ИС и отсутствие в них специальной процедуры прогнозирования рисков. Также стоит отметить, что применение зарубежных методов и подходов осложняется спецификой российского документооборота и организации взаимодействия ИС (как с другими ИС, так и со средствами защиты информации). Таким образом, разрабатывая собственную процедуру управления рисками ИС, мы будем опираться на требования ГОСТ Р ИСО/МЭК 27005-2010 и [11-14]. Формализованное описание процедуры управления рисками информационной системы Управление рисками ИС должно обеспечивать снижение и прогнозирование рисков [5, 19, 26]. Поиск минимального риска ИС осуществляется в пространстве решений D. Существуют допустимые риски ИС - риски, которые не являются критическими для функционирования ИС. Множество допустимых рисков ИС определим как А = {a1, a2, …, am}, где m - мощность А,. Если существует конечное число допустимых рисков ИС, то A - перечисление допустимых рисков. Процесс оптимизации рисков ИС поделим на критерии оптимизации N. Критерии N представим как совокупность функций {f1, f2, …, fN}, заданных на D. Оптимизационное пространство обозначим как D′. Совокупность функций задает некоторое отображение f = (f1, f2, …, fN), действующее из D в D′. Так, процесс оптимизации рисков ИС можно определить как функцию вида y = f(a) критериального пространства D′. Выбор наилучшего решения осуществляется с помощью анализа рисков ai Î A. Оптимальное значение рисков ИС опишем как Y = f (A) = {y | y = f (a), a Î A}. Таким образом, оптимизация рисков ИС представляет собой снижение рисков путем достижения эффективного критерия оптимизации: f(a) ® max, где a Î A. Для оценки эффективности управления рисками ИС применим функцию B, B = E(U, QR, T), где QR - оценка рисков ИС; T - время применения управленческого механизма (или время принятия решения); U - ущерб, нанесенный риском; E - правило расчета эффективности. Для каждой управленческой меры получена взвешенная сумма E критериев, представляющих собой K - комплексный критерий оценки эффективности управления K={k1, …, kk}, где k1, …, kk - частные критерии оценки эффективности управления, при этом k ≥ 2. Взвешенная сумма E(k│w) = w1k1 + … + wikk, где wi - весовой коэффициент частного критерия. На основании E производится стабилизация функционирования ИС. При достигнутом стабильном состоянии ИС производится оценка потенциального ущерба, нанесенного риском ИС. Потенциальный ущерб определяется как U = piwv, (1) где pi - вероятность возникновения i-го риска ИС; w - воздействие риска на ИС (либо на информацию, обрабатываемую в ИС); v - ценность информационного актива (или звена ИС, который подвергся риску). Риск ИС количественно можно определить как Rj = pjU , (2) где pj - вероятность реализации j-го риска ИС. Оценка рисков ИС проводится методом весовых коэффициентов: (3) где j Î [1, r], i Î [1, m]. Процедура управления рисками оценивается значением критериев эффективности b Î B: count1 = b1(q), …, bm = b(q). Значение критерия count1 составляет комплексную оценку процедуры управления рисками ИС: count = (count1, …, countm). Таким образом, было получено формализованное описание процедуры управления рисками ИС. На основе полученных результатов в настоящее время проектируются алгоритмы программного комплекса управления рисками ИС. Методика снижения рисков информационной системы Мы предлагаем методику снижения рисков ИС, представленную на рис. 2. Рис. 2. Методика снижения рисков информационной системы Методика включает в себя четыре задачи: идентификацию рисков, определение факторов рисков, анализ источников рисков, анализ последствий рисков. Каждой задаче соответствуют уникальные процессы. Данная методика ориентирована на лицо, принимающее решение, которое руководит группой аналитиков, специализирующихся на управлении рисками ИС предприятия. Идентификация рисков позволяет комплексно выявить и проанализировать риски, характерные для ИС. Результатом определения факторов рисков должен быть список выявленных факторов рисков с уточнением их локализации в ИС. Для ИС в качестве факторов риска выступают угроза, уязвимость, источник риска, ущерб, который может быть нанесен ИС или предприятию в случае возникновения рискового события. Следовательно, важным аспектом является анализ источников рисков и их последствий. Последовательное осуществление процессов (рис. 2) позволит реализовать мероприятия, направленные на повышение эффективности управления рисками ИС. Для снижения рисков ИС необходимо управлять факторами рисков. В основе управления факторами рисков ИС лежит анализ ресурсов. Поэтому определение значимости ресурсов ИС (программно-технических средств; информационных ресурсов, которые обрабатывает ИС) формально можно описать в виде где CO - стоимость ресурса ИС; C - капитал, вложенный в эксплуатацию этого ресурса. Значимость ресурсов позволяет определить ценность информационных активов и других ресурсов ИС. Управление угрозами основывается на построении частной модели угроз для ИС и контроля защищенности ресурсов [9, 27, 28]. При разработке модели угроз можно руководствоваться базовой моделью угроз безопасности [29] и методикой определения актуальных угроз безопасности [30], разработанными ФСТЭК. Список уязвимостей необходимо формировать исходя из инфраструктуры предприятия, к которой относится ИС [9, 27]. Авторами [18] предложена модель профиля угроз нарушения ИБ ИС корпоративного типа, в которой показана взаимосвязь между угрозами ИС, уязвимостями и источниками угроз. Источник рисков позволяет определить локализацию рисков в ИС. Потенциальный ущерб U оценивается по формуле (1). Риск определяется согласно (2), оценка рисков производится по формуле (3). Взаимосвязь между факторами рисков и механизмами нейтрализации рисков формализовано опишем как , (4) где - элементы из множества факторов рисков и механизмов нейтрализации рисков ИС соответственно, при этом factfaÎFACT, (где factfa - факторы рисков ИС; FACT - множество факторов рисков ИС; qfact - мощность множества факторов рисков ИС) и standstÎSTAND, (где standst - единичный механизм нейтрализации рисков; STAND - множество применяемых механизмов нейтрализации рисков ИС; qst - мощность множества STAND). Значения, которые может принимать (4), опишем как принимает значение «0», если риск ИС устраняется при помощи механизма нейтрализации рисков. принимает значение «1», если риск ИС невозможно устранить, используя механизм нейтрализации рисков. Контроля обеспечения рисков ИС, а также их снижения можно достичь, управляя рискоустойчивостью. Авторами [31] дано определение рискоустойчивости. Формально рискоустойчивость ИС опишем в виде Для управления уровнем рискоустойчивости введем оценочную шкалу. Качественно данную шкалу опишем следующим образом: низкая рискоустойчивость, средняя рискоустойчивость и высокая рискоустойчивость. Таким образом, уровень рискоустойчивости ИС будет складываться исходя из: где . Оценка уровня рискоустойчивости ИС позволит сравнивать уровни рискоустойчивости при возникновении различных рисковых событий. Таким образом, предложенная методика позволяет не только снизить риски ИС, но и анализировать факторы риска ИС. Заключение В настоящее время актуальной является проблема ликвидации рисков ИС. Особенности решения сложившейся проблемы заключаются в применении специального подхода или процедуры к управлению рисками ИС. Управленческие подходы или процедуры должны быть ориентированы не только на минимизацию рисков, но и на выполнение требований федерального законодательства РФ и регуляторов в области ЗИ. Формализованная процедура управления рисками ИС, предложенная авторами статьи, соответствует рекомендации ГОСТ Р ИСО/МЭК 27005-2010. Такая процедура позволяет оптимизировать риски ИС, оценить риски, ущерб и эффективность управления. Разработанная процедура управления рисками ИС может быть использована как часть системы менеджмента качества ИБ, выполняющей рекомендации ГОСТ [32]. В перспективе полученные результаты исследования можно использовать для разработки программного комплекса управления рисками ИС.
Список литературы

1. Миков Д. А. Анализ методов и средств, используемых на различных этапах оценки рисков информационной безопасности // Вопр. кибербезопасности. 2014. № 4 (7). С. 49-54.

2. Выборнова О. Н., Ажмухамедов И. М. Синтез управленческих решений по снижению рисков в нечетких условиях при ограниченных ресурсах // Фундаментальные исследования. 2016. № 5. Ч. 1. С. 18-22.

3. Попов Г. А., Попов А. Г. Результирующая оценка при наличии нескольких вариантов оценивания на примере задач информационной безопасности // Вестн. Астрахан. гос. техн. ун-та. Сер.: Управление, вычислительная техника и информатика. 2017. № 1. С. 48-61.

4. Kravets А. The Risk Management Model of Design Department’s PDM Information System // Creativity in Intelligent Technologies and Data Science. Second Conference, CIT&DS 2017 (Volgograd, Russia, September 12-14, 2017): Proceedings (Ser. Communications in Computer and Information Science. Vol. 754) / ed. by A. Kravets, M. Shcherbakov, M. Kultsova, Peter Groumpos. Volgograd State Technical University [et al.]; [Germany]: Springer International Publishing AG, 2017. P. 490-500.

5. Финогеев А. А., Финогеев А. Г., Нефёдова И. С., Финогеев Е. А., Камаев В. А. Анализ информационных рисков в системах обработки данных на основе «туманных» вычислений // Вестн. Астрахан. гос. техн. ун-та. Сер.: Управление, вычислительная техника и информатика. 2015. № 4. С. 38-46.

6. Аткина В. С., Воробьёв А. Е. Подход к оценке рисков нарушения информационной безопасности с использованием иерархического подхода к ранжированию ресурсов предприятия // Информационные системы и технологии. 2015. № 1 (87). С. 125-131.

7. Киселева И. А., Искаджян С. О. Информационные риски: методы оценки и анализа. URL: http://itportal.ru/science/economy/informatsionnye-riski-metody-otsenk/ (дата обращения: 03.12.2017).

8. Белозёрова А. А., Оладько В. С., Микова С. Ю., Нестеренко М. А. Архитектура программы оценки рисков информационной безопасности в ERP-системах // Вестн. науки и образования. 2016. № 9 (21). С. 31-33.

9. Гнеушев В. А., Кравец А. Г., Козунова С. С., Бабенко А. А. Моделирование сетевых атак злоумышленников в корпоративной информационной системе // Промышленные АСУ и контроллеры. 2017. № 6. С. 51-60.

10. Вахрамеев Я. М., Богатенков Д. С. Управления рисками и проблемами на проектах по внедрению отечественных ERP-систем // Науч.-метод. электрон. журн. «Концепт». 2016. Т. 17. С. 103-108. URL: http://e-koncept.ru/2016/46184.htm (дата обращения: 03.12.2017).

11. Об информации, информационных технологиях и о защите информации: Федеральный Закон от 27 июля 2006 г. № 149-ФЗ. URL: http://fstec.ru/component/attachments/download/277 (дата обращения 03.12.2017).

12. Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»: Приказ ФСБ РФ № 416, ФСТЭК РФ № 489 от 31 августа 2010 г. URL: http://fstec.ru/component/attachments/download/283 (дата обращения: 03.12.2017).

13. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: Приказ ФСТЭК России от 11 февраля 2013 г. № 17 (ред. от 15.02.2017). URL: http://fstec.ru/component/attachments/download/567 (дата обращения: 03.12.2017).

14. Об утверждении Доктрины информационной безопасности Российской Федерации: Указ Президента РФ от 05 декабря 2016 г. № 646. URL: http://base.garant.ru/71556224/ (дата обращения: 11.04.2017).

15. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. М.: Стандартинформ, 2011. URL: http://docs.cntd.ru/document/gost-r-iso-mek-27005-2010 (дата обращения: 03.12.2017).

16. Баранова Е., Мальцева А. Анализ рисков информационной безопасности для малого и среднего бизнеса // Директор по безопасности. 2015. Вып. 9. С. 58-63.

17. Суркова Н. Е., Остроух А. В. Методология структурного проектирования информационных систем: моногр. Красноярск: Науч.-инновац. центр. 2014. 190 с. URL: http://lib.madi.ru/fel/fel1/fel16S061.pdf (дата обращения: 06.12.2017).

18. Козунова С. С., Бабенко А. А. Модель построения защищенной информационной системы корпоративного типа // Информационные системы и технологии. 2016. № 3 (95). С. 112-120.

19. Ажмухамедов И. М., Князева О. М. Комплексная оценка качества информационных систем на основе нечеткого когнитивного моделирования // Научные тенденции: Вопросы точных и технических наук: сб. науч. тр. по материалам X Междунар. науч. конф. (Санкт-Петербург, 12 октября 2017 г.). СПб.: Изд-во ЦНК МНИФ «Обществ. наука». С. 10-12.

20. Поморцев А. С. Методика оценки рисков нарушения информационной безопасности организации с учетом квалификации экспертов // Докл. ТУСУРа. 2014. № 2 (32). С. 167-169.

21. Ажмухамедов И. М., Выборнова О. Н. Формализация понятий приемлемого и толерантного риска // Инженерный вестник Дона. 2015. Т. 37. № 3. С. 63.

22. BS 7799-3. Information security management systems. Guidelines for information security risk management.

23. COSO 2004. Enterprise Risk Management - Integrated Framework.

24. ISO 31000:2009. Risk management - Principles and guidelines.

25. Ажмухамедов И. М., Князева О. М. Оценка состояния защищенности данных организации в условиях возможности реализации угроз информационной безопасности // Прикаспийский журнал: управление и высокие технологии. 2015. № 3 (31). С. 24-39.

26. Campbell T. The Information Security Manager // Practical Information Security Management. 2016. P. 31-42.

27. Аникин И. В., Емалетдинова Л. Ю., Кирпичников А. П. Методы оценки и управления рисками информационной безопасности в корпоративных информационных сетях // Вестн. Казан. технолог. ун-та. 2015. Т. 18. № 6. С. 195-197.

28. Аникин И. В. Методы оценки и управления рисками информационной безопасности в корпоративных информационных сетях: моногр. Казань: Редакц.-издат. центр «Школа», 2015. 224 с.

29. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) (утв. зам. директора ФСТЭК России 15 февраля 2008 г.). URL: https://fstec.ru/component/attachments/download/289 (дата обращения: 06.02.2018).

30. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. зам. директора ФСТЭК России 14 февраля 2008 г.). URL: https://fstec.ru/component/attachments/download/290 (дата обращения: 06.02.2018).

31. Козунова С. С., Кравец А. Г. Управление рискоустойчивостью информационной системы конструкторского бюро // Управление информационной безопасностью в современном обществе: материалы Всерос. молодежной науч. школы-конф. по проблемам информац. безопасности (Волгоград, 26-28 апреля 2017 г.). Волгоград: Волгогр. гос. ун-т, 2017. C. 203-207.

32. ГОСТ Р ИСО/МЭК 27003-2012. Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности. М.: Стандартинформ, 2014. URL: http://docs.cntd.ru/document/1200103165 (дата обращения: 06.12.2017).

Контент доступен под лицензией Creative Commons Attribution 3.0 Unported

© "Редакция научных журналов"
Поддержка Powered by Editorum,  Инструкции
Войти или Создать
* Забыли пароль?