Journals Issues of journals News
Submit manuscript
Home / Journals / Modern Technologies and Scientific and Technological Progress / Volume 2023 Issue 1 / INTEGRATED APPROACH TO INFORMATION SECURITY RISK MANAGEMENT
INTEGRATED APPROACH TO INFORMATION SECURITY RISK MANAGEMENT
Submit manuscript Download PDF
Text
To cite
Citations:

INTEGRATED APPROACH TO INFORMATION SECURITY RISK MANAGEMENT
UDK 004 Информационные технологии. Компьютерные технологии. Теория вычислительных машин и систем
Golovkova Elena 1
Authors:
1.  Angarsk State Technical University (Industrial electronics and information and measuring equipment, docent)
employee from 01.01.2018 until now

Angarsk, Irkutsk region, Russian Federation
Type:
Article
DOI:
https://doi.org/10.36629/2686-9896-2023-1-101-102
Pages:
from 101 to 102
Status:
Published
Received:
27.04.2023
Accepted:
04.05.2023
Published:
04.05.2023
Subject area:
UDK 004 Информационные технологии. Компьютерные технологии. Теория вычислительных машин и систем
Language:
Russian
Keywords:
risk-based approach, information security, investment return assessment
Abstract and keywords
Abstract (English):
A comprehensive risk-oriented approach to information security management based on expert assessments is proposed, and a process model of risk management is described

Keywords:
risk-based approach, information security, investment return assessment
Text
Publication text (PDF): Read Download

Основной целью обработки рисков является выбор наиболее эффективных мер, обеспечивающих сокращение среднегодовых потерь организации от инцидентов информационной безопасности (ИБ) при максимальном возврате инвестиций.

При управлении ИБ (анализе уязвимостей и угроз, возможного ущерба и рисков) рассматривают три свойства информации: конфиденциальность (к), целостность (ц) и доступность (д).

Процесс управления рисками ИБ состоит из 6 этапов, его можно представить в виде IDEF0-диаграммы, как показано на рисунке 1.

1 этап: определение активов организации и их ценности, анализ категории пользователей, имеющих доступ к информации.

2 этап: анализ возможного ущерба (коммерческим интересам организации и ущерб репутации).

3 этап: анализ возможных угроз и уязвимостей, ассоциированных с активами организации. Групповой уровень уязвимостей рассчитывается по формуле, где РУУ – это уровни уязвимости, а РМК – уровни механизмов контроля.

ГУ = i=1nРУУ -i=1nРМК.

4 этап: определение величины риска, по матрице из рисунка 2.

5 этап: определение среднегодового ущерба (ALE) по формуле:

ALE=РУ ×k×РРУ ,

где РУ – размер ущерба; k – количество инцидентов в год; РРУ – вероятность успешной реализации угрозы.

Рисунок 1 – Диаграмма декомпозиции процесса управления рисками ИБ

Рисунок 2 – Матрица величин риска

6 этап: расчёт коэффициента возврата инвестиций (ROI) по формуле:

ROI=ALE-TCO TCO×100 % .

где ТСО (Total Cost of Ownership) – это стоимость защитных мер:

ТСО = ПР + К1 + К2,

где К1, К2 – косвенные затраты первой и второй групп, ПР – сумма капитальных затрат и расходов на управление. ROI > 100% свидетельствует о том, что затраты на ИБ окупились, есть прибыль от вложений (ROI = 100% – это точка безубыточности, 0 < ROI < 100% – возвращается часть затрат).

References

1. Dorofeev, A. V. Menedzhment informacionnoy bezopasnosti: osnovnye koncepcii / Dorofeev A. V. - Tekst : neposredstvennyy // Voprosy kiber-bezopasnosti.- 2014, № 1(2). - S. 67-73.

© angtu.editorum.ru
Support Powered by Editorum,  Instructions
Login or Create
* Forgot password?