Preview

Открытое образование

Расширенный поиск

Методика оценки рисков информационной безопасности предприятия с использованием CASE-технологий

https://doi.org/10.21686/1818-4243-2021-5-41-49

Полный текст:

Аннотация

Цель исследования. Построение эффективной системы информационной безопасности предприятия невозможно без адекватной оценки рисков, которым подвержены его активы. Результаты такой оценки должны стать основой для принятия решений в области информационной безопасности предприятия. Идентификация информационных активов и оценка их стоимости, определение уровня угроз безопасности активов позволяют спланировать мероприятия по созданию системы информационной безопасности предприятия.
В настоящей работе рассматривается методика оценки рисков информационной безопасности предприятия, отличительной особенностью и новизной которой является применение современных средств и методов построения и анализа бизнес-процессов с целью выявления подлежащих защите информационных активов предприятия.
Материалы и методы. Идентификацию информационных активов предлагается выполнять, опираясь на модель бизнес-процессов предприятия, выполняемую с использованием методики IDEF0. Моделирование бизнес-процессов выполнялось в среде Business Studio компании «Современные технологии управления».
В качестве примера для анализа рисков рассматривалась деятельность типовой компании IT-индустрии.
Результаты. Описываемая в статье методика оценки рисков информационной безопасности предприятия прошла успешную апробацию в учебном процессе. Её использование при проведении лабораторных занятий по дисциплине «Проектирование системы информационной безопасности предприятий и организаций» для магистров, обучающихся по направлению «Информационная безопасность» позволило, по мнению авторов статьи, повысить эффективность формирования у обучающихся профессиональных компетенций.
Заключение. В работе предложена методика оценки рисков информационной безопасности для объектов информационной инфраструктуры предприятия, позволяющая выделить приоритетные направления защиты информации на предприятии. В результате применения методики формируется матрица потерь, показывающая проблемные места в организации защиты информации, на которые следует обратить первоочередное внимание при планировании мероприятий информационной безопасности. На основе полученных данных можно сформировать обоснованную с экономической точки зрения стратегию и тактику развития системы информационной безопасности предприятия.

Об авторах

А. В. Гаврилов
Российский экономический университет им. Г.В Плеханова
Россия

Александр Викторович Гаврилов, к.т.н., доцент, доцент кафедры Прикладной информатики и информационной безопаcности

Москва



В. А. Сизов
Российский экономический университет им. Г.В Плеханова
Россия

Валерий Александрович Сизов, д.т.н., профессор, профессор кафедры Прикладной информатики и информационной безопасности

Москва



Е. В. Ярошенко
Российский экономический университет им. Г.В Плеханова
Россия

Елена Валерьевна Ярошенко, к.э.н. доцент кафедры прикладной информатики и информационной безопасности

Москва



Список литературы

1. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Взамен ГОСТ Р ИСО/МЭК ТО 13335-3-2007 и ГОСТ Р ИСО/ МЭК ТО 13335-4-2007; Введ. с 30.11.2010. М.: Стандартинформ, 2011.

2. ГОСТ Р ИСО 31000-2010. Менеджмент риска. Принципы и руководство.; Введен с 01.09.2011. М.: Стандартинформ, 2012.

3. Международный стандарт ISO/IEC 270012013. Информационные технологии – Методы защиты – Системы менеджмента информационной безопасности – Требования.

4. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г. №447-ст.

5. Ильченко Л.М., Брагина Е.К., Егоров И.Э., Зайцев С.И. Расчет рисков информационной безопасности телекоммуникационного предприятия // Открытое образование. 2018. Т. 22. № 2. С. 61–70.

6. Плетнев П.В., Белов В.М. Методика оценки рисков информационной безопасности на предприятиях малого и среднего бизнеса // Доклады Томского государственного университета систем управления и радиоэлектроники. 2012. № 1–2(25). С. 83–86.

7. Одинцова М.А. Методика управления рисками для малого и среднего бизнеса // Экономический журнал. 2014. № 3(35).

8. Выборнова О.Н., Давидюк Н.В., Кравченко К.Л. Оценка информационных рисков на основе экспертной информации (на примере ГБУЗ АО «Центр медицинской профилактики») // Инженерный вестник Дона. 2016. № 4(43). С. 86.

9. Гаврилов А.В., Сизов В.А. Повышение эффективности формирования профессиональных компетенций магистров по направлению «Информационная безопасность» на основе применения CASE-технологий // Открытое образование. 2019. Т. 23. № 3. С. 25-32.

10. Р 50.1.028-2001. Методология функционального моделирования. Рекомендации по стандартизации. Приняты и введены в действие Постановлением Госстандарта России от 2.07.201 № 256 ст.

11. Официальный сайт компании «Современные технологии управления». Инструмент для проектирования – система Business Studio [Электрон. ресурс]. Режим доступа: https://www.businessstudio.ru/products/business_studio/intro/ (Дата обращения: 20.05.2021).

12. Баранова Е.К. Методики анализа и оценки рисков информационной безопасности // Вестник Московского университета им. С.Ю. Витте. 2015. № 1. С. 73-79.

13. Сухаревская Е.В., Михальченко С.В., Шамин И.М., Никишова А.В. Анализ методов оценки рисков при применении ERP-систем [Электрон. ресурс] // Современные научные исследования и инновации. 2016. № 9. Режим доступа: http://web.snauka.ru/issues/2016/09/72016. (Дата обращения: 21.05.2021).

14. Файзулаев Д. Ф., Морозов Б. Б. Методы и средства анализа рисков информационной безопасности предприятия // Безопасность информационных технологий. 2017. Т. 24. № 3. С. 72–77.

15. Пугин В.В., Губарева О.Ю. Обзор методик анализа рисков информационной безопасности информационной системы предприятия // T-COMM – Телекоммуникации и транспорт. 2012. № 6. С. 54-57.

16. Абрамов А.С., Писарев В.Д., Шилов А.К. Применение методологии MSAT для оценки защищенности предприятия // Аллея науки. 2017. Т. 3. № 13. С. 961-965.

17. Гаврилов А.В. Использование современных CASE-средств структурного проектирования при обучении студентов по направлению подготовки «прикладная информатика» // Открытое образование. 2015. № 4(111). С. 22–27.

18. Гаврилов А.В. Анализ функциональных возможностей бесплатных CASE-средств проектирования баз данных // Открытое образование. 2016. Т. 20. № 4. С. 39–43.

19. Пример функциональной модели (IDEF0) промышленного предприятия в Business Studio [Электрон. ресурс]. Режим доступа: http://www. businessstudio.ru/publication/proizv_predpr_abc/businessmodel.php?lang=ru-ru. (Дата обращения: 21.05.2021).

20. Пример функциональной модели компании, осуществляющей деятельность по проектированию, монтажу и обслуживанию инженерно-технических систем [Электрон. ресурс]. Режим доступа: http://publication.businessstudio.ru/businessmodel.php?lang=ru-ru&oguid=2be70b1c-a108-4228-b272-1c9eefbc464e. (Дата обращения: 21.05.2021).


Для цитирования:


Гаврилов А.В., Сизов В.А., Ярошенко Е.В. Методика оценки рисков информационной безопасности предприятия с использованием CASE-технологий. Открытое образование. 2021;25(5):41-49. https://doi.org/10.21686/1818-4243-2021-5-41-49

For citation:


Gavrilov А.V., Sizov V.A., Yaroshenko E.V. Methodology for Assessing the Risks of Information Enterprise Security Using Case Technologies. Open Education. 2021;25(5):41-49. (In Russ.) https://doi.org/10.21686/1818-4243-2021-5-41-49

Просмотров: 50


Creative Commons License
Контент доступен под лицензией Creative Commons Attribution 4.0 License.


ISSN 1818-4243 (Print)
ISSN 2079-5939 (Online)