Аналіз методів і засобів для реалізації ризик-орієнтованого підходу в контексті забезпечення інформаційної безпеки підприємства

Abstract

Стаття присвячена актуальній проблемі сучасності – розвитку інформаційної безпеки з урахуванням ризик-орієнтованого підходу для вирішення задач управління інформаційною безпекою підприємства. Сучасні тенденції розвитку підприємств обумовлюють необхідність управління ризиками. Авторами досліджено методи та засоби, що дають можливість реалізувати ризик-орієнтований підхід у контексті забезпечення інформаційної безпеки підприємства і провести аналіз та оцінювання інформаційних ризиків системи захисту інформації. В роботі розглянуто серію представників інструментальних засобів, найбільш поширених в зазначеній сфері, а також проаналізовано кілька методологій, за допомогою яких здійснюється оцінювання ризиків, зокрема, методологія аналізу і управління ризиками CRAMM (Великобританія), оцінювання активів і уразливості інформаційної безпеки OCTAVE тощо, а також серію регулятивних документів, серед яких NIST SP800-30 (управління ризиками в системі інформаційних технологій); ISO/IEC 27005:2011 (методи управління ризиками інформаційної безпеки); ENISA (оцінювання ризиків інформаційної безпеки) і багато інших. В роботі представлено аналіз переваг та недоліків програмного забезпечення для визначення і оцінювання ризиків інформаційної безпеки (CRAMM, CORAS, Risk Watch, OCTAVE, Oracle Crystal Ball) і сформовано ряд рекомендацій щодо доцільності застосування розглянутих програмних засобів та управляючої документації з урахуванням відповідних потреб і критеріїв підприємств та організацій.

The article is devoted to the actual problem of the present – the information security development on the base of risk-oriented approach for solving the problems of information security management for an enterprise. Modern business development trends require the need for risk management. The authors research methods and tools that allow to implement a risk-oriented approach in the context of providing enterprise information security and to analyze and evaluate information risks of information security system. The paper considers a series of the tools representatives, most commonly used in this area, and analyzes several risk assessment methodologies, in particular CRAMM (UK) – the methodology for analysis and risk management, OCTAVE for assessing assets and vulnerability of information security, etc., and a series of regulatory documents, among which NIST SP800-30 (risk management in information technology system); ISO/IEC 27005:2011 (information security risk management methods); ENISA (information security risk assessment) and many others. The analysis of the software advantages and disadvantages for the determination and assessment of information security risks (CRAMM, CORAS, Risk Watch, OCTAVE, Oracle Crystal Ball) is presented and a number of recommendations according to the feasibility of using the considered software and management documentation taking into account relevant requirements and criteria of enterprises and organizations is formed.