Статья опубликована в рамках: CXXXVII Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ЭКОНОМИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 06 мая 2024 г.)
Наука: Экономика
Секция: Менеджмент
Скачать книгу(-и): Сборник статей конференции
дипломов
ПРОЦЕССНАЯ МОДЕЛЬ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
PROCESS MODEL OF INFORMATION SECURITY RISK MANAGEMENT
Gleb Lopatkin
student, Department of the Higher School of Intelligent Systems and Cybertechnologies, Volga Region State University of Service,
Russia, Tolyatti
Lyubov Abramova
scientific supervisor, Candidate of Economics, Associate Professor of the Department of Economics and Business, Volga Region State University of Service,
Russia, Tolyatti
АННОТАЦИЯ
В данной статье описываются основные виды рисков ИБ и их причины, также основные модели управления рисками ИБ и обоснование выбора «Процессной модели» как наиболее лучшей, с описанием этапов и процесса реализации данной модели, которая способствует повышению уровня ИБ.
ABSTRACT
This article describes the main types of information security risks and their causes, as well as the main IS risk management models and the rationale for choosing the "Process Model" as the best, describing the stages and process of implementing this model, which contributes to improving the level of IS.
Ключевые слова: процессная модель; информационная безопасность; управление рисками; защита информации; управление бизнес-процессами.
Keywords: process model; information security; risk management; information protection; business process management.
Актуальность данной темы обусловлена постоянно растущими угрозами в сфере информационных технологий и необходимостью защиты данных в условиях цифровизации всех аспектов жизни общества. В современном мире, где информация является одним из ключевых активов, управление рисками информационной безопасности становится критически важным для предотвращения потерь данных, финансовых потерь и сохранения репутации организаций.
По мнению Марии Александровны Масловой, риск информационной безопасности — это вероятность возникновения угрозы, которая может привести к негативным последствиям для организации или индивидуума, включая утечку данных или атаки на информационные системы.
А согласно Елене Константиновне Барановой и Александру Владимировичу Бабашу, риск информационной безопасности определяется как потенциальная возможность нарушения защиты информации, что может привести к ущербу для организации, включая использование уязвимостей и угроз [2, с. 101].
Эти определения подчеркивают значимость управления рисками в области информационной безопасности и необходимость разработки эффективных стратегий для защиты информационных активов.
Далее будут приведены определения понятия «Информационные риски», которые подчеркивают важность управления информационными рисками и необходимость разработки эффективных мер по их минимизации.
Согласно ГОСТ Р 58771-2019, информационные риски могут быть определены как риски, связанные с неопределенностью и возможными событиями, которые могут повлиять на достижение целей организации в информационной сфере.
В ГОСТ Р ИСО/МЭК 31010-2011 информационные риски описываются как риски, возникающие в результате угроз безопасности информации, которые могут привести к потере конфиденциальности, целостности или доступности информационных активов [2, с. 102].
Ниже приведена Таблица 1, которая отражает основные виды рисков ИБ и их причины, помогая понять, какие меры необходимо предпринять для минимизации потенциального ущерба от угроз информационной безопасности.
Таблица 1.
Основные виды рисков ИБ и сущность и причины возникновения.
|
Вид риска информационной безопасности |
Сущность и причины возникновения |
|
Утечка конфиденциальных данных. |
Утечки часто связаны с ошибками сотрудников, которые не осознают последствия нарушения правил информационной безопасности, например, при рассылке коммерческой информации через незащищенные каналы связи. |
|
Внешние атаки на информационные системы. |
Атаки проводятся с целью кражи коммерческой тайны, шпионажа или вывода из строя критически важных ресурсов. |
|
Действия неблагонадежных сотрудников (человеческий фактор). |
Включает не только ошибки персонала, но и умышленные действия, приводящие к распространению конфиденциальной информации. |
|
Доступ к потенциально опасным объектам во внешней сети. |
Сотрудник может столкнуться с фишинговыми скриптами, зловредным ПО или другими средствами, нарушающими информационную безопасность. |
|
Вредоносное ПО. |
Вирусы, трояны, бэкдоры, блокировщики, шифраторы и т.д., которые могут зашифровать данные и требовать выкуп за их восстановление. |
Каждая из моделей приведённые в Таблице 2. имеет свои сильные и слабые стороны, и выбор подходящей модели зависит от конкретных потребностей и ресурсов организации.
Таблица 2.
Модели управления рисками ИБ и описание основ концепций.
|
Модели |
Основы концепций |
|
«Процессная модель». |
Основана на последовательности процессов: планирование, реализация, проверка, действие. Плюсы модели: Позволяет систематизировать управление рисками на всех этапах, предоставляет чёткий план действий с помощью в принятии решений. Минусы модели: Может быть сложной в реализации из-за необходимости координации множества процессов. |
|
«FRAP». |
Упрощенный способ оценки рисков, сосредоточенный на критически важных активах. Она фокусируется на выявлении, оценке и документировании рисков Плюсы модели: Простота и фокус на ключевых активах, не требует сложных расчётов. Минусы модели: Не предоставляет количественных, точных, детальных оценок рисков. |
|
«CRAMM». |
Включает идентификацию угроз и уязвимостей, оценку рисков и разработку мер противодействия, комплексный подход к анализу и управлению рисками. Плюсы модели: Комплексный подход к оценке рисков, хорошо апробированный метод и удачная система моделирования. Минусы модели: Может быть излишне сложной для малых организаций, большой объем отчетов и высокая трудоемкость. |
|
«OCTAVE». |
Оценка критичных угроз, активов и уязвимостей, фокусируется на вовлечении сотрудников организации в процесс анализа рисков без привлечения внешних консультантов. Плюсы модели: Охват всех аспектов управления рисками информационной безопасности, понятное формализованное описание методологии. Минусы модели: Отсутствие возможности глубокой декомпозиции и точной оценки рисков. |
Процессная модель управления рисками информационной безопасности выделяется как наилучший выбор благодаря своей структурированности, обеспечивающей комплексный подход к идентификации, анализу, оценке и обработке рисков [3, с. 52]. Это позволяет организациям глубоко понимать влияние рисков на их операции. Модель отличается гибкостью, позволяя адаптацию под различные стандарты и практики, что делает её подходящей для организаций любого размера и специфики. Соответствие международным стандартам, таким как ISO/IEC 27001 и ISO/IEC 27005, упрощает интеграцию модели в глобальные процессы и способствует сертификации систем управления информационной безопасностью. Принцип непрерывного улучшения в модели, подразумевает регулярную переоценку рисков.
Схема этапов процесса реализации «Процессной модели» управления рисками изображена на Рисунке 1.
Рисунок 1. Схема этапов процесса реализации «Процессной модели»
Этапы управления рисками информационной безопасности включают в себя следующие ключевые процессы:
1. Определение контекста. Установление внешних и внутренних параметров, которые организация должна учитывать при управлении рисками, и установление критериев риска;
2. Оценка рисков. Этот процесс включает в себя идентификацию рисков, анализ и оценку рисков, чтобы определить, какие риски необходимо обработать. Также выбираются и применяются соответствующие меры управления для модификации рисков;
3. Коммуникация и консультации. Вовлечение заинтересованных сторон в процесс управления рисками и обеспечение понимания рисков и мер управления ими [1, с. 50]. В том числе, проводится регулярный обзор и отслеживание рисков и эффективности мер управления рисками;
4. Поддержка и улучшение процесса управления рисками. Непрерывное улучшение процессов управления рисками на основе обратной связи и изменений в контексте.
На практике «Процессную модель управления рисками» реализуют многие компании и предприятия. «Atlassian» - эта компания использует процессный подход к управлению рисками, который включает выявление, анализ, решение и реализацию мер по управлению рисками, а также отчетность об эффективности принятых мер [1, с. 49]. ПАО «Газпром нефть» - применяет различные подходы и модели управления рисками, в том числе и процессную модель, для обеспечения безопасности и устойчивости своей деятельности.
В итоге, «Процессная модель» позволяет организациям адаптироваться к меняющимся угрозам и обеспечивать надежную защиту информационных активов. Модель описывает необходимость непрерывного улучшения и регулярного мониторинга, что способствует повышению уровня ИБ и устойчивости бизнеса к потенциальным рискам.
Список литературы:
- Баранкова И.И., Дегтярева А.В. Анализ методологий риск-менеджмента информационной безопасности // Уральский государственный экономический университет. - 2021. - С. 48-51.
- Козырь Н.С. Методические подходы риск-менеджмента информационной безопасности // Научные труды КУБГТУ - 2023. – C. 99-109.
- Музалёва О.В. Менеджмент рисков информационной безопасности в предпринимательской деятельности // Агентство международных исследований. - 2023. - С. 51-53.
дипломов
Оставить комментарий