Модель и метод структурированной оценки риска при анализе информационной безопасности тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Сидоров, Алексей Олегович
- Специальность ВАК РФ05.13.19
- Количество страниц 134
Оглавление диссертации кандидат технических наук Сидоров, Алексей Олегович
СПИСОК УСЛОВНЫХ СОКРАЩЕНИЙ.
ВВЕДЕНИЕ.
ГЛАВА 1. МЕТОДЫ И СРЕДСТВА ОЦЕНКИ ТЕКУЩЕГО
УРОВНЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
1.1. Обзор методик управления информационными рисками.
1.2. Стандарты в области информационной безопасности.
1.3. Методы оценки затрат и инвестиций в информационную безопасность.
ГЛАВА 2. МОДЕЛЬ СТРУКТУРИРОВАННОЙ ОЦЕНКИ РИСКА ПРИ ПОСТРОЕНИИ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
2.1. Методы и средства оценки текущего уровня и информационной безопасности (в том числе на соответствие стандартам).
2.2. Аудит информационной безопасности.
2.3. Модель системы информационной безопасности.
2.4. Проектирование системы обеспечения информационной безопасности.
2.5. Применение механизма нечеткого вывода для структурированной оценки риска.
ГЛАВА 3. МЕТОД ВЫПОЛНЕНИЯ АНАЛИТИЧЕСКИХ РАБОТ ПО
СТРУКТУРИРОВАННОЙ ОЦЕНКЕ РИСКОВ.
3.1. Этап 1: Сбор сведений и описание системы.
3.2. Этап 2: Идентификация источников угроз.
3.3. Этап 3: Идентификация уязвимостей.
3.4. Этап 4: Анализ контроля безопасности.
3.5. Этап 5: Определение вероятности.
3.6. Этап 6: Анализ воздействия.
3.7. Этап 7: Определение риска.
3.8. Этап 8: Рекомендации по контролю.
3.9. Этап 9: Оформление итоговых документов.
Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Моделирование процесса анализа и оценки рисков информационной безопасности организаций банковской системы2013 год, кандидат наук Собакин, Иван Борисович
Динамическая итеративная оценка рисков информационной безопасности в автоматизированных системах2012 год, кандидат технических наук Атаманов, Александр Николаевич
Модель системы управления информационной безопасностью в условиях неопределенности воздействия дестабилизирующих факторов2008 год, кандидат технических наук Зырянова, Татьяна Юрьевна
Управление защитой информации в сегменте корпоративной информационной системы на основе интеллектуальных технологий2009 год, доктор технических наук Машкина, Ирина Владимировна
Теория и методология организации инфраструктуры защиты информации на промышленном предприятии2005 год, доктор экономических наук Стельмашонок, Елена Викторовна
Введение диссертации (часть автореферата) на тему «Модель и метод структурированной оценки риска при анализе информационной безопасности»
Актуальность. Бурное внедрение информационных технологий в структуры современных организаций стало объективной реальностью. Нам всех управленческих уровнях имеется желание расширить свои коммуникационные и информационные возможности за счет внедрения современных информационных технологий. В результате информационные структуры организаций разрастаются: локальные сети организаций подключаются к Internet, объединяются в офисные многоярусные структуры, разрастаются до уровня распределенных корпоративных сетей.
Внедрение средств вычислительной техники в структуру управления современных предприятий и организаций является, безусловно, прогрессивным процессом, поэтому вполне объяснимо, что до определенного момента не возникает вопросов и опасений, связанных с использования информационных технологий. Следствием этого часто является стихийный рост информационной инфраструктуры организации, которая по мере приобретения средств вычислительной техники разрастается «вширь», приобретая неструктурированный гетерогенный характер. Это в свою очередь приводит к неконтролируемому росту уязвимостей системы и увеличению возможностей доступа к управленческой и производственной информации со стороны внешних и внутренних нарушителей. ИС становится потенциально опасной для своих собственников, своего рода «миной замедленного действия».
До определенного момента не возникает вопросов и об оценке величины риска, рост которого следует рассматривать как обратную сторону процесса информатизации. Проблема усугубляется тем, что вопросы информационной безопасности, обычно, отдаются на откуп специалистам по информационным технологиям, которые часто не в состоянии определить реальных последствий для организации угроз информационной безопасности. Менеджеры предприятия, которые могли бы оценить реальные последствия угроз, часто имеют недостаточных знаний в области информационных технологий, чтобы оценить связанные с этим риски.
Таким образом, в организации часто не оказывается специалиста, который мог бы оценить реальные риски, связанные с использованием информационных технологий, хотя, очевидно, что оценка риска нужна не только с точки зрения безопасности уже сложившейся инфраструктуры, но и для правильной оценки перспектив использования и развития информационных технологий. Более того, своевременную оценку риска следует рассматривать не только как функцию управления ИС, но и как защиту организации в целом, ее способности выполнять свои функции. Следовательно, процесс управления рисками следует рассматривать не как техническую функцию, которую можно поручить техническим специалистам, а как основную управляющую функцию организацию. согласно современным международным стандартам в области ИБ подсистема управления рисками ИБ должна быть обязательным компонентом общей системы обеспечения информационной безопасности организации.
Целью работы является получение структурированной оценки рисков состояния ИБ в ИС на предприятиях и в организациях.
Объектом исследования данной работы являются ИС предприятий, обладающие гетерогенной многоуровневой структурой.
Предмет исследования составляют методы и модели аналитических исследований, позволяющие произвести оценку рисков состояния ИБ в объекте исследования.
Научная новизна работы состоит в том, что на основе разнородных методов оценки рисков ИБ, анализ которых был проведен в рамках данной работы, был разработан структурированный подход к решению проблемы ИБ в ИС, обладающих сложной инфраструктурой.
Практическая ценность работы заключается в том, что работа определяет способ получения качественных и количественных оценок величин риска с максимальными возможностями учета априорных данных и результатов предварительных исследований характеристик и свойств ИС. Полученные оценки риска могут быть использованы при разработке Концепции обеспечения ИБ на этапе формирования ИС и для поддержания уровня риска на приемлемом уровне на этапе эксплуатации ИС.
Данная работы может быть полезна аналитиком в области информационной безопасности, у которых возникает задача обобщения большого количества данных о характеристиках и свойствах исследуемой системы специалистам, эксплуатирующим ИС или отвечающим за состояние ИБ, для контроля и поддержания допустимого уровня безопасности. Она рекомендуется также менеджерам для определения объема и стоимости работ по оценке рисков.
Краткий обзор содержания работы:
В первой главе рассмотрены основные методы и средства оценки текущего уровня информационной безопасности: дан обзор методов и методик управления информационными рисками, рассмотрены стандарты в области информационной безопасности и методы оценки затрат и инвестиций в информационную безопасность.
Во второй главе предлагается модель структурированной оценки риска при построении системы информационной безопасности, позволяющая, вне зависимости от метода оценки затрат и инвестиций, создать эффективную и экономически оправданную систему защиты информации.
В третьей главе описывается метод выполнения аналитических работ по структурированной оценке рисков.
В заключении приведены основные результаты исследования и полученные выводы, их анализ и возможности практического применения.
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Информационная безопасность специальных технических зданий при электромагнитных воздействиях2009 год, доктор технических наук Акбашев, Беслан Борисович
Средство поддержки принятия решений в процессах внутреннего контроля и оценки защищенности информационных систем2006 год, кандидат технических наук Сычева, Ирина Евгеньевна
Идентификация информационных рисков использования облачных технологий в банковской деятельности2017 год, кандидат наук Кораблев, Антон Вячеславович
Анализ и управление рисками в области защиты информации2009 год, кандидат экономических наук Немиткина, Виктория Викторовна
Метод анализа и управления рисками безопасности защищенной информационной системы2009 год, кандидат технических наук Львова, Анастасия Владимировна
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.