Расчет рисков информационной безопасности телекоммуникационного предприятия

Целью данной работы является определение и оценка рисков информационной безопасности для типовой распределенной информационной системы телекоммуникационного предприятия, расположенной в пределах трех контролируемых зон. Основной акцент, при обеспечении информационной безопасности в рассматриваемой информационной системе, делается на минимизацию ущерба от угроз безопасности, направленных на целостность и доступность программно-аппаратного комплекса информационной системы, а не на конфиденциальность информационных ресурсов, обрабатываемых с их помощью.

В рамках исследования были рассмотрены международные и национальные стандарты в сфере защиты информации, регламентирующие вопросы менеджмента рисков информационной безопасности. В частности, были установлены основные требования к оценке и обработке рисков информационной безопасности, исходя из международного стандарта «ISO 27001:2013 Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности», а также проведено сравнение данного стандарта с его версией от 2005 года. В качестве ведущего метода оценки и обработки рисков был выбран качественный метод, как наиболее экономичный, в условиях отсутствия готовых данных о количестве реализованных атак в рассматриваемой информационной системе за отдельный промежуток времени.

В процессе были рассмотрены ценные активы организации, и, основываясь на бизнес-процессах телекоммуникационного предприятия были выделены основные и второстепенные активы, а также соответствующие им угрозы информационной безопасности, в соответствии с банком данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю.

Результатом проделанной работы стал расчет рисков информационной безопасности, основанный на выделении ценных активов организации, степени потенциального ущерба при реализации угроз на такие активы и вероятности реализации угроз для рассматриваемой информационной системы телекоммуникационного предприятия. Кроме этого, были выделены приемлемые риски, обработка которых не требуется в связи с тем, что фактическая стоимость их минимизации выше убытков от реализации соответствующих им угроз. В заключении были предложены возможные меры по минимизации рисков информационной безопасности, включающие в себя систему резервного копирования, систему защиты от несанкционированного доступа, систему антивирусной защиты, межсетевое экранирование, а также организационные меры и меры физической защиты. Предложенный метод позволяет однозначно и обоснованно оценить риски информационной безопасности организации в условиях недостаточности исходных данных, а также отсутствии дополнительных программно-аппаратных средств для оценки рисков информационной безопасности, что позволяет применять его для типовых организаций, основываясь лишь на масштабировании рассматриваемой системы, при условии отсутствия в обрабатываемых сведениях информации, составляющей государственную тайну. Процедура обработки рисков помогает не только выявить и устранить существующие уязвимости и минимизировать вероятность реализации существующих угроз информационной безопасности, но и повысить уровень грамотности сотрудников предприятия, участвующих в процессе оценки и обработки рисков.

1. Некрылова Н.В. Предпосылки реализации элементов управления рисками бизнес-процессов в стандартах на системы менеджмента промышленного предприятия // Известия высших учебных заведений. Поволжский регион. Общественные науки. 2015. № 2 (34). C. 204–215.

2. Андреева Н.В. Функциональная модель системы управления информационной безо пасностью как средство внедрения стандартов линейки ISO/IEC 2700x (BS 7799) // Научнотехнический вестник информационных технологий, механики и оптики. 2007. № 39. С. 40–44.

3. Пугин В.В., Губарева О.Ю. Обзор методик анализа рисков информационной безопасности информационной системы предприятия // T-Comm – Телекоммуникации и Транспорт. 2012. № 6. С. 54–57.

4. Плетнев П.В., Белов В.М. Методика оценки рисков информационной безопасности на предприятиях малого и среднего бизнеса // Доклады Томского государственного университета систем управления и радиоэлектроники. 2012. № 1–2 (25). С. 83–86.

5. Одинцова М.А. Методика управления рисками для малого и среднего бизнеса. // Экономический журнал. 2014. № 3 (35). URL: https://cyberleninka.ru/article/n/metodika-upravleniyariskami-dlya-malogo-i-srednego-biznesa (дата обращения: 01.02.2018).

6. Глушенко С.А. Применение системы Matlab для оценки рисков информационной безопасности организации // Бизнес-информатика. 2013. № 4 (26). С. 35–42.

7. Губарева О.Ю. Оценка рисков информационной безопасности в телекоммуникационных сетях. // Вестник Волжского университета им. В.Н. Татищева. 2013. № 2 (21). С. 76–81.

8. Дорофеев А.В. Менеджмент информационной безопасности: переход на ISO 27001:2013 // Вопросы кибербезопасности. 2014.№ 3 (4). С. 69–73.

9. ISO/IEC 27001:2013. Information technology. Security techniques. Information security management systems. Requirements. Berlin: ISO/IEC JTC 1/SC 27. 2013. 23 p.

10. Дорофеев А.В. Подготовка к CISSP: телекоммуникации и сетевая безопасность // Вопросы кибербезопасности. 2014. № 4 (7). С. 69–74.

11. Ильченко Л.М. Анализ системы менеджмента информационной безопасности на базе стандарта ISO 27001:2013. // Материалы 5 научно-практической конференции студентов, аспирантов и курсантов «IT вчера, сегодня, завтра». 2017. С. 51–61.

12. ГОСТ Р ИСО 31000-2010. Менеджмент риска. Принципы и руководство.; Введен с 01.09.2011. Москва: Изд-во Стандартинформ, 2012.

13. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Взамен ГОСТ Р ИСО/МЭК ТО 13335-3-2007 и ГОСТ Р ИСО/ МЭК ТО 13335-4-2007; Введ. с 30.11.2010. Москва: Изд-во Стандартинформ, 2011.

14. Банк данных угроз безопасности информации // Федеральная служба по техническому и экспортному контролю URL: https://bdu.fstec.ru (дата обращения: 01.02.2018).

15. Шаго Ф.Н., Зикратов И.А. Методика оптимизации планирования аудита системы менеджмента информационной безопасности // Научно-технический вестник информационных технологий, механики и оптики. 2014. № 2 (90). С. 111–117.

16. Выборнова О.Н., Давидюк Н.В., Кравченко К.Л. Оценка информационных рисков на основе экспертной информации (на примере ГБУЗ АО «Центр медицинской профилактики») // Инженерный вестник Дона. 2016. № 4 (43). С. 86.

17. Пащенко И.Н., Васильев В.И. Разработка требований к системе защиты информации в интеллектуальной сети Smart Grid на основе стандартов ISO/IEC 27001 и 27005 // Известия ЮФУ. Технические науки. 2013. № 12 (149). С. 117–126.

18. ГОСТ Р ИСО/МЭК 31010-2011. Менеджмент риска. Методы оценки риска; Введ. с 01.12.2012. Москва: Изд-во Стандартинформ; 2012.

19. Эмануэль А.В., Иванов Г.А., Гейне М.Д. Применение менеджмента рисков на основе стандарта ИСО 14971: методические подходы // Вестник Росздравнадзора. 2013. № 3. С. 45–60.

20. Лютова И.И. Моделирование уровня приемлемого риска информационной безопасности // Вестник Адыгейского государственного университета. Серия 5: Экономика. 2014. № 2 (141). С. 175–180.