Журнал: Том 23, № 1, 2018
Сторінки: 81 – 89
DOI: https://doi.org/10.24025/2306-4412.1.2018.153279
1 457 Переглядів

Аналіз методів і засобів для реалізації ризик-орієнтованого підходу в контексті забезпечення інформаційної безпеки підприємства

Т. В. Савельєва, Олена Панаско, О. М. Пригодюк
Отримано 30.11.2017
Доопрацьовано 13.02.2018
Прийнято 10.03.2018

Анотація

Стаття присвячена актуальній проблемі сучасності – розвитку інформаційної безпеки з урахуванням ризик-орієнтованого підходу для вирішення задач управління інформаційною безпекою підприємства. Сучасні тенденції розвитку підприємств обумовлюють необхідність управління ризиками. Авторами досліджено методи та засоби, що дають можливість реалізувати ризик-орієнтований підхід у контексті забезпечення інформаційної безпеки підприємства і провести аналіз та оцінювання інформаційних ризиків системи захисту інформації. В роботі розглянуто серію представників інструментальних засобів, найбільш поширених в зазначеній сфері, а також проаналізовано кілька методологій, за допомогою яких здійснюється оцінювання ризиків, зокрема, методологія аналізу і управління ризиками CRAMM (Великобританія), оцінювання активів і уразливості інформаційної безпеки OCTAVE тощо, а також серію регулятивних документів, серед яких NIST SP800-30 (управління ризиками в системі інформаційних технологій); ISO/IEC 27005:2011 (методи управління ризиками інформаційної безпеки); ENISA (оцінювання ризиків інформаційної безпеки) і багато інших. В роботі представлено аналіз переваг та недоліків програмного забезпечення для визначення і оцінювання ризиків інформаційної безпеки (CRAMM, CORAS, Risk Watch, OCTAVE, Oracle Crystal Ball) і сформовано ряд рекомендацій щодо доцільності застосування розглянутих програмних засобів та управляючої документації з урахуванням відповідних потреб і критеріїв підприємств та організацій

Ключові слова

Використані джерела

Використані джерела в процесі публікації

ЦИТУВАТИ

Savelieva, Т. , Panasko, O., & Prigodyuk , O. (2018). Analysis of methods and means to implement a risk-oriented approach in the context of providing enterprise information security . Bulletin of Cherkasy State Technological University, 23(1), 81-89. https://doi.org/10.24025/2306-4412.1.2018.153279