АНАЛІЗ РИЗИКІВ СИСТЕМИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ
08.09.2021 22:10
[1. Information systems and technologies]
Author: Стелюк Б.Б., к.т.н., доцент, кафедра кібербезпеки та інформаційних технологій, Університет митної справи та фінансів, м. Дніпро;
Каткова Т.І., д.т.н., професор, кафедра кібербезпеки та інформаційних технологій, Університет митної справи та фінансів, м. Дніпро;
Вербещук Н.М., студент Б17-1, кафедра кібербезпеки та інформаційних технологій, Університет митної справи та фінансів, м. Дніпро
Рівень інформаційного суспільства провідної держави світу характеризується показниками сучасних наукоємних технологій у яких відіграють основну роль інформаційно-телекомунікаційні системи (ІТС). Захист інформації є важливою складовою частиною підтримання національної безпеки держави. Організація захисту інформації здійснюється за допомогою системи правових, організаційних та інженерно-технічних заходів. Розвиток національної безпеки і оборони держави залежить від взаємодії та спільного використання інформаційних технологій об’єднаних у єдиний інформаційно-телекомунікаційний простір. Сучасний етап розвитку держави визначається соціально-політичною та економічною нестабільністю різних суспільних факторів, які приводять до ведення інформаційних війн. У протидії інформаційним війнам слід приділяти велику увагу захисту державним інформаційним ресурсам. Адже загрози інформаційної безпеки держави відіграють головну роль в системі захисту ІТС [1].
Одним з важливих організаційних заходів захисту інформації в комп’ютеризованих системах є визначення переліку загроз інформації, які порушують її властивості – конфіденційність, цілісність та доступність. Одна або декілька загроз можуть використовувати ряд уразливостей інформації. Будь-яка зміна загроз та уразливостей може мати значний вплив на ІБ. Раннє виявлення або знання про ці зміни збільшує можливості щодо прийняття необхідних заходів для обробки ризику та забезпечення безпеки ІТС у цілому. Це досягається за рахунок інструментальних методів визначення ризиків інформаційної безпеки в ІТС [2].
З розвитком інформаційних технологій на сьогодні постає проблема забезпечення інформаційної безпеки та технічного захисту інформаційних ресурсів в комп’ютеризованих системах [2]. Як показує огляд інформаційних джерел, у галузі оцінки та управління інформаційними ризиками в ІТС на даний момент переважають інструментальні засоби їх оцінки такі, як CRAMM, Risk Watch, ГРИФ 2006, NIST, COBRA, OCTAVE. Оцінка ризиків є зараз одним з актуальних напрямків у сфері регулювання будь якої діяльності. У загальному випадку можна виділити наступні складові управління ризиками [2]:
– моніторинг та оцінювання організаційних ризиків функціонування системи;
– моніторинг та оцінювання ризиків технічних засобів;
– прийняття рішення з управління ризиками на основі наявних оцінок;
– проведення безпосередньої роботи з управління ризиками.
Умовно проблематику аналізу ризиків можна поділити на дві групи. До першої належить розроблення наукових методів аналізу ризиків на основі відомих теорій та вимог стандартів щодо створення системи управління інформаційної безпеки (СУІБ). Друга група містить спеціалізовані програмні продукти, які, зазвичай базуються на методах першої групи, але мають більшу практичну спрямованість і краще враховують специфіку об’єкта захисту.
Серед існуючих загроз, що сформувалися з розвитком інформаційних технологій, важливу роль необхідно приділити засобам впливу на інформаційну інфраструктуру ІТС та захищеність ДІР (комп’ютерні віруси, мережеві «трояни», які спотворюють, знищують інформацію та здійснюють інші види комп’ютерної злочинності). Відповідно до стандартів ISO/IEC 27005 та ISO/IEC TR 13335-2 оцінювання ризиків включає такі етапи:
– оцінку ймовірності можливих загроз і уразливостей;
– розрахунок ступеню впливу, який може мати загрозу на кожен актив;
– визначення кількісної (виміряної) або якісної (описуваної) вартості ризику.
Моделі й методи, що використовується у сфері управління ризиками інформаційної безпеки (УРІБ), знайшли відображення в усіх стандартах до УРІБ і являє собою основу ISO/IEC 27005 і BS 7799-3 [3]. Цей перелік стандартів дає послідовність необхідних для управління ризиками ІБ процесів, як планування, реалізація, перевірка, дія. Відповідно з даним стандартом документація, яка визначає управління інформаційними ризиками організації, повинна включати: документовану заяву про політику та цілі СУІБ; область програми СУІБ; процедури і засоби управління на підтримку СУІБ; опис методології оцінки ризиків; звіт про оцінки ризиків; план обробки ризиків [2]. Цей стандарт підготовлений в якості моделі для розробки, впровадження, функціонування, моніторингу, аналізу, підтримки та покращення системи забезпечення інформаційної безпеки.
Проведений аналіз існуючих підходів щодо визначення ризиків інформаційної безпеки в ІТС та сучасних міжнародних стандартів, які регламентують питання ІБ свідчить проте, що характерною основою експертних систем оцінювання ризиків є ймовірність виникнення тієї чи іншої події, яка впливає на ймовірність реалізації СУІБ.
Література:
1. Юдін О. К. Державні інформаційні ресурси. Методологія побудови класифікатора загроз : монографія / О. К. Юдін, С. С. Бучик. – К. : НАУ, 2015. – 213 с.
2. Бучик С.С., Шалаєв В.О., Аналіз інструментальних методів визначення ризиків інформаційної безпеки інформаційно-телекомунікаційних систем. [Електронний ресурс]. – Режим доступу: http://jrnl.nau.edu.ua/index.php/SBT/article/viewFile/11841/15794.
3. Замула О. А. Аналіз міжнародних стандартів у галузі оцінювання ризиків інформаційної безпеки / О. А. Замула, В. І. Черниш // Системи обробки інформації. – Х. : Харківський національний університет радіоелектроніки, 2011. – Вип. 2 (92). – ISSN 1681-7710. – С. 53-55.