Авторы: 
Наседкин Павел Николаевич
Глухов Николай Иванович
Дата поступления: 
01.06.2020
Рубрика: 
4. Программные и технические проблемы информационной безопасности
Год: 
2020
Номер журнала (Том): 
2(7) 2020
УДК: 
004.056.5
DOI: 

10.26731/2658-3704.2020.2(7).24-31

Файл статьи: 
Иконка PDF 24_31_nasedkingluhov.pdf
Страницы: 
24
31
Аннотация: 

В данной работе проводится построение онтологических моделей в процессе управления информационными рисками и информационной безопасности (ИБ) хозяйствующих субъектов на основе отношений между основными концептами в области информационной безопасности предприятий. Определяется перечень основных объектов защиты предприятий, состав и структура информационной системы управления предприятий (ИСУП), информационные системы, информационные потоки, виды и уровни информации, обрабатываемой в ИСУП, технические меры защиты с учетом которых определяются основной спектр средств защиты информации и их связей между собой, а также раскрываются основные связи онтологических моделей по информационной безопасности и управлению информационными рисками, что в дальнейшем позволит при их рассмотрении и анализе принять оптимально достаточные управленческие решения по минимизации угроз и получения прогностических оценок уровня возможного ущерба с учетом источников и свойств информации в разрезе каждого информационного актива с применением различных методик в оценке рисков ИБ (качественных, количественных, гибридных).

Ключевые слова: 
источники угроз
риски
онтологическая модель
концепты
информационные системы
управленческие решения по информационной безопасности
объекты защиты
Список цитируемой литературы: 
  1.    ГОСТ Р 50922-2006. Защита информации. Основные термины и определения» [Электронный ресурс] / Утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. № 373–ст. – Режим доступа:  http://docs.cntd.ru/document/ 1200058320,  свободный (дата обращения: 18.05.2020).
  2.    ГОСТ Р ИСО/МЭК 15408–1–2012. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. [Электронный ресурс] / Утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2012 г. № 814–ст. – Режим доступа: http://docs.cntd.ru/document/ 1200101777, свободный (дата обращения: 18.05.2020).
  3.    ГОСТ Р ИСО/МЭК 27002–2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности [Электронный ресурс] / Утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии 24 сентября 2012 г. N 423–ст. – Режим доступа:  http://docs.cntd.ru/document/1200103619, свободный (дата обращения: 18.05.2020).
  4.    ГОСТ Р ИСО 31000–2010. Менеджмент риска. Принципы и руководство. – М.: Стандартинформ, 2012. –24 с.
  5.    ГОСТ Р ИСО 31010–2011. Менеджмент риска. Методы оценки риска. – М.: Стандартинформ, 2012. – 74 с.
  6.    ГОСТ Р ИСО/МЭК 27001–2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. – М.: Стандартинформ, 2008. –31 с.
  7.    ГОСТ Р ИСО/МЭК 27005:2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. – М.: Стандартинформ, 2011. – 94 с.
  8.    ГОСТ Р 53114–2008. Защита информации. Обеспечение информационной безопасности организации. Основные термины и определения. – М.: Стандартинформ, 2009. – 20 с.
  9.    Блинов А.М. Информационная безопасность: учеб. пособие. – СПб: Изд. СПБГУЭФ, 2010. – 96 с.
  10.    Исследование уровня информационной безопасности в компаниях России и СНГ за 2019 год [Электронный ресурс]. – Режим доступа: https://searchinform.ru/research–2019, свободный (дата обращения: 17.04.2020).
  11.    Климов С.М. Методика оценки возможного ущерба от нарушения безопасности информации автоматизированной системы // Известия ТРТУ. – 2003. – № 4 (33). – С.  27–31.
  12.    Легчекова Е.В. Метод расчета риска информационной безопасности / Е.В. Легчекова, О.В. Титов // Сборник научных статей международной научно–практической конференции «Проблемы и перспективы электронного бизнеса». – Гомель: Изд. Белорусский торгово–экономический университет потребительской кооперации. – 2017. – С.  87–89.
  13.    Нестеров С.А. Анализ и управление рисками в сфере информационной безопасности [Электронный ресурс] – Режим доступа:  http://window.edu.ru/resource/443/57443, свободный (дата обращения: 18.05.2020). – С–Пб, 2007. – 1 эл.  архив (nesterov–security.zip).
  14.    Управление рисками. Модель безопасности с полным перекрытием. [Электронный ресурс]. – Режим  доступа:  https://www.intuit.ru/studies/courses/531/387/lecture/8990, свободный (дата обращения: 17.04.2020 г.).
  15.    Шинаков К.Е. Минимизация рисков нарушения безопасности при построении системы защиты персональных данных: автореф. дис. канд. техн. наук: 05.13.19 – Брянск, 2017. – С. 70–97.
  16.    ISO/IEC 27000–1:2018 Information technology – Service management – Part 1: Service managment system requirements [Электронный ресурс]. – Режим  доступа:https://www.iso.org/obp/ui/#iso:std:iso-iec:20000:–1:ed–3:v1:en, свободный (дата обращения: 18.05.2020).
  17.    ISO 31000:2018 – Risk management – Guidelines [Электронный ресурс] – Режим доступа: https://risk-academy.ru/download/iso31000/,  свободный (дата обращения: 18.05.2020).