Our website uses cookies. By continuing to use this site, you agree to our use of cookies in accordance with this notice and the Terms of Use.
Journals Issues of journals News
Submit manuscript
Home / Journals / Modern Technologies and Scientific and Technological Progress / Volume 2023 Issue 1 / INTEGRATED APPROACH TO INFORMATION SECURITY RISK MANAGEMENT
INTEGRATED APPROACH TO INFORMATION SECURITY RISK MANAGEMENT
Submit manuscript Download PDF
Text
To cite
Citations:

INTEGRATED APPROACH TO INFORMATION SECURITY RISK MANAGEMENT
Golovkova Elena 1
Authors:
1.  Angarsk State Technical University (Industrial electronics and information and measuring equipment, docent)
from 01.01.2018 until now
Angarsk, Irkutsk region, Russian Federation
Type:
Article
DOI:
https://doi.org/10.36629/2686-9896-2023-1-101-102
Pages:
from 101 to 102
Status:
Published
Received:
27.04.2023
Accepted:
04.05.2023
Published:
04.05.2023
Subject area:
004
Language:
Russian
Keywords:
risk-based approach, information security, investment return assessment
Abstract and keywords
Abstract (English):
A comprehensive risk-oriented approach to information security management based on expert assessments is proposed, and a process model of risk management is described

Keywords:
risk-based approach, information security, investment return assessment
Text
Text (PDF): Read Download

Основной целью обработки рисков является выбор наиболее эффективных мер, обеспечивающих сокращение среднегодовых потерь организации от инцидентов информационной безопасности (ИБ) при максимальном возврате инвестиций.

При управлении ИБ (анализе уязвимостей и угроз, возможного ущерба и рисков) рассматривают три свойства информации: конфиденциальность (к), целостность (ц) и доступность (д).

Процесс управления рисками ИБ состоит из 6 этапов, его можно представить в виде IDEF0-диаграммы, как показано на рисунке 1.

1 этап: определение активов организации и их ценности, анализ категории пользователей, имеющих доступ к информации.

2 этап: анализ возможного ущерба (коммерческим интересам организации и ущерб репутации).

3 этап: анализ возможных угроз и уязвимостей, ассоциированных с активами организации. Групповой уровень уязвимостей рассчитывается по формуле, где РУУ – это уровни уязвимости, а РМК – уровни механизмов контроля.

ГУ = i=1nРУУ -i=1nРМК.

4 этап: определение величины риска, по матрице из рисунка 2.

5 этап: определение среднегодового ущерба (ALE) по формуле:

ALE=РУ ×k×РРУ ,

где РУ – размер ущерба; k – количество инцидентов в год; РРУ – вероятность успешной реализации угрозы.

Рисунок 1 – Диаграмма декомпозиции процесса управления рисками ИБ

Рисунок 2 – Матрица величин риска

6 этап: расчёт коэффициента возврата инвестиций (ROI) по формуле:

ROI=ALE-TCO TCO×100 % .

где ТСО (Total Cost of Ownership) – это стоимость защитных мер:

ТСО = ПР + К1 + К2,

где К1, К2 – косвенные затраты первой и второй групп, ПР – сумма капитальных затрат и расходов на управление. ROI > 100% свидетельствует о том, что затраты на ИБ окупились, есть прибыль от вложений (ROI = 100% – это точка безубыточности, 0 < ROI < 100% – возвращается часть затрат).

References

1. Dorofeev, A. V. Menedzhment informacionnoy bezopasnosti: osnovnye koncepcii / Dorofeev A. V. - Tekst : neposredstvennyy // Voprosy kiber-bezopasnosti.- 2014, № 1(2). - S. 67-73.

© angtu.editorum.ru
Agreement Personal data protection and processing policy Support Powered by Editorum,  Instructions
Login or Create
* Forgot password?