Preview

Труды Института системного программирования РАН

Расширенный поиск

Онтологическое обеспечение управления рисками информационной безопасности

https://doi.org/10.15514/ISPRAS-2021-33(5)-3

Аннотация

В итоге выполнения работы, ориентированной на повышение эффективности системы информационной безопасности за счет разработки онтологической модели и подхода на ее основе к обеспечению управления рисками информационной безопасности (ИБ), был получен гибкий результат, который призван обеспечить повышение эффективности системы защиты информации за счет снижения временных затрат на принятие управленческих решений. В конце работы проведен сравнительный анализ существующих подходов и методик к управлению рисками ИБ и описываемый подход. На основе разработанной онтологии и подхода на её основе могут быть созданы высокоинтеллектуальные системы управления рисками ИБ и системой защиты информации в целом.

Об авторах

Ибрагим БУБАКАР
Университет ИТМО
Россия

Студент магистратуры



Марина Борисовна БУДЬКО
Университет ИТМО
Россия

Кандидат технических наук, доцент, старший научный сотрудник



Михаил Юрьевич БУДЬКО
Университет ИТМО
Россия

Кандидат технических наук, доцент



Алексей Валерьевич ГИРИК
ITMO University
Россия

Кандидат технических наук, доцент



Список литературы

1. ГОСТ Р ИСО/МЭК 27000-2021. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология / ISO/IEC 27000-2021. Information technology. Security techniques. Information security management systems. Overview and vocabulary.

2. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. / ISO/IEC 27001:2005. Information technology. Security techniques. Information security management. Requirements.

3. ГОСТ Р ИСО/МЭК 27002-2021. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. / ISO/IEC 27000-2013. Information technology. Security techniques. Code of practice for information security controls.

4. ГОСТ Р ИСО/МЭК 27003-2021. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности. / ISO/IEC 27003:2017. Information technology. Security techniques. Information security management systems. Guidance for implementation.

5. ГОСТ Р ИСО/МЭК 27004-2021. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. / ISO/IEC 27004:2016. Information technology. Security techniques. Information security management. Monitoring, measurement, analysis and evaluation.

6. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. / ISO/IEC 27005:2008. Information technology. Security techniques. Information security risk management.

7. ГОСТ Р ИСО/МЭК 27006-2020. Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. / ISO/IEC 27006:2015. Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems.

8. ГОСТ Р ИСО/МЭК 27007-2014. Информационная технология. Методы и средства обеспечения информационной безопасности. Руководство по аудиту системы менеджмента информационной безопасности. / ISO/IEC 27007:2011. Information technology. Security techniques. Guidelines for information security management systems auditing

9. ГОСТ Р ИСО/МЭК 11799-2005. Информационная технология. Практические правила управления информационной безопасностью. / ISO/IEC 11799-2000. Information technology. Code of practice for information security management.

10. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. / ISO/IEC 13335-1-2004. Information technology. Security techniques. Part 1. Concepts and models for information and communications technology security management.

11. Управление рисками в соответствии с международным стандартом ISO 31000 / Risk management in accordance with the international standard ISO 31000. Available at http://diag.by/iso-31000, accessed 27.05.2020 (in Russian).

12. ISO 31000. Available at https://en.wikipedia.org/wiki/ISO_31000, accessed 27.05.2020.

13. Сидоренко А.И. Новый ISO 31000:2018. / Sidorenko A.I. New ISO 31000: 2018. Available at https://riskacademyrus.wordpress.com/2018/03/10/%D0%BD%D0%BE%D0%B2%D1%8B%D0%B9-iso-310002018/, accessed 27.05.2020 (in Russian).

14. Федеральный закон от 27.07.06 г. № 149 – ФЗ «Об информации, информационных технологиях и защите информации» / Federal Law of 27.07.06, № 149 – FZ «On Information, Information Technologies and Information Protection» (in Russian).

15. Закон Российской Федерации «О государственной тайне» от 21.07.93 № 5485-1 (с изменениями и дополнениями) / Law of the Russian Federation "On state secrets" dated 21.07.93 № 5485-1 (with amendments and additions) (in Russian).

16. «Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» от 15 сентября 1993 г. № 912-51 / «Regulations on the state system of information protection in the Russian Federation from foreign technical intelligence services and from its leakage through technical channels» dated September 15, 1993 № 912-51 (in Russian).

17. Федеральный закон от 27.07.06 г. № 152-ФЗ «О персональных данных» / Federal Law of 27.07.06, № 152-FZ «On Personal Data» (in Russian).

18. Указ Президента Российской Федерации от 06.03.97 № 188 «Об утверждении Перечня сведений конфиденциального характера» / Decree of the President of the Russian Federation dated 06.03.97 № 188 «On approval of the List of confidential information» (in Russian).

19. Федеральный закон от 28.08.2004 г. № 98-ФЗ «О коммерческой тайне» / Federal Law of 28.08.2004, № 98-FZ «On Commercial Secrets» (in Russian).

20. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» / Decree of the Government of the Russian Federation of 01.11.2012 № 1119 «On approval of requirements for the protection of personal data during their processing in personal data information systems» (in Russian).

21. Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 г. «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» / Decree of the Government of the Russian Federation of March 21, 2012 № 211 «On approval of the list of measures aimed at ensuring the fulfillment of obligations stipulated by the Federal Law «On Personal Data» and regulatory legal acts adopted in accordance with it, operators who are state or municipal authorities» (in Russian).

22. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» / Order of the FSTEC of Russia dated February 11, 2013 № 17 «On approval of requirements for the protection of information that does not constitute a state secret contained in state information systems» (in Russian).

23. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» / Order of the FSTEC of Russia dated February 18, 2013 № 21 «On approval of the composition and content of organizational and technical measures to ensure the security of personal data during their processing in personal data information systems» (in Russian).

24. Конституция Российской Федерации / Constitution of the Russian Federation (in Russian).

25. Стратегия национальной безопасности Российской Федерации до 2020 года, утвержденная указом Президента Российской Федерации от 12.09.2012 г. № 537 / The National Security Strategy of the Russian Federation until 2020, approved by the decree of the President of the Russian Federation of 12.09.2012 № 537 (in Russian).

26. Доктрина информационной безопасности Российской Федерации, утверждена Указом Президента Российской Федерации от 5 декабря 2016 г. № 646 / The Doctrine of Information Security of the Russian Federation, approved by the Decree of the President of the Russian Federation of December 5, 2016 № 646 (in Russian).

27. ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения / GOST 34.003-90 Information technology. Set of standards for automated systems. Automated systems. Terms and Definitions (in Russian).

28. ГОСТ 34.601-90 Информационная технология (ИТ). Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания / GOST 34.601-90 Information technology. Set of standards for automated systems. Automated systems. Stages of development (in Russian).

29. ГОСТ Р 51624-2000 Автоматизированные информационные системы в защищенном исполнении / GOST R 51624-2000 Automated information systems in a secure design (in Russian).

30. RiskWatch International. Available at http://www.riskwatch.com, accessed 08.11.2020.

31. Разумников С.В. Анализ возможности применения методов OCTAVE, RISKWATCH, CRAMM для оценки рисков ИТ для облачных сервисов. Современные проблемы науки и образования, no. 1, 2014 г. / Razumnikov S.V. Analysis application methods OCTAVE, RISKWATCH, CRAMM for risk assessment for it cloud services. Modern problems of science and education, noю 1, 2014 (in Russian).

32. Куканова Н. Современные методы и средства анализа и управления рисками информационных систем компаний / Kukanova N. Modern methods and tools for analysis and risk management of information systems of companies. Available at http://citforum.ru/products/dsec/cramm/, accessed 08.11.2020 (in Russian).

33. Средство оценки безопасности Microsoft Security Assessment Tool / Microsoft Security Assessment Tool. Available at https://technet.microsoft.com/ru-ru/security/cc185712.aspx, accessed 08.11.2020.

34. Ekelhart A., Fenz S., Neubauer T. AURUM: A Framework for Information Security Risk Management. In Proc. of the 42nd Hawaii International Conference on System Sciences, 2009, pp. 1-10.


Рецензия

Для цитирования:


БУБАКАР И., БУДЬКО М.Б., БУДЬКО М.Ю., ГИРИК А.В. Онтологическое обеспечение управления рисками информационной безопасности. Труды Института системного программирования РАН. 2021;33(5):41-64. https://doi.org/10.15514/ISPRAS-2021-33(5)-3

For citation:


BOUBACAR I., BUDKO M.B., BUDKO M.Yu., GUIRIK A.V. Ontological support of information security risk management. Proceedings of the Institute for System Programming of the RAS (Proceedings of ISP RAS). 2021;33(5):41-64. (In Russ.) https://doi.org/10.15514/ISPRAS-2021-33(5)-3



Creative Commons License
Контент доступен под лицензией Creative Commons Attribution 4.0 License.


ISSN 2079-8156 (Print)
ISSN 2220-6426 (Online)