Управление информационными рисками – Т. Ю. Зырянова, А. А. Захаров, Ю. И. Ялышев (2008)
.pdf
Ðèñ. 4.14. Результирующая функция принадлежности
На заключительном этапе необходимо получить количественную оценку для выходного параметра изучаемой системы. Для этого проведем дефаззификацию результирующего нечеткого множества методом центра тяжести. В соответствии с этим методом итоговая оценка выходного параметра будет вычислена по формуле:
.
Так может быть получено численное выражение для риска на основе произвольного количества факторов, оказывающих влияние на изменение его величины. Возможность получения количественных оценок информационного риска имеет немаловажное значение в процессе управления рисками для обоснования выбора мер защиты.
Следует отметить, что все расчеты, необходимые для выполнения данного алгоритма, могут быть автоматизированы путем применения существующего программного обеспечения, реализующего моделирование систем нечеткого логического вывода.
181
ЗАКЛЮЧЕНИЕ
В настоящее время УИР представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача — объективно идентифицировать и оценить наиболее зна- чимые для бизнеса информационные риски, а также адекватно использовать средства защиты информации и контроля рисков для увеличения эффективности и рентабельности экономической деятельности.
Поэтому под термином управление информационными рисками понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями нормативно-правовой базы в области защиты информации и собственной корпоративной политики безопасности. Качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам.
Таким образом, можно сказать, что УИР — это достаточно сложный, но очень интересный процесс, который на сегодняшний день актуален для большинства современных предприятий и организаций.
182
СЛОВАРЬ ТЕРМИНОВ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
183
184 |
185 |
СПИСОК ЛИТЕРАТУРЫ
1.BS 7799 — Part 3. Information Security management systems. Guidelines for information security risk management.
2.DuD — Datenschutz und Datensicherheit 12/2006. Transparenz der Risiken beim Einsatz von IT.
3.ISO/IEC 27001:2005. Information technology — Security techniques — Information security management systems — Requirements.
4.ISO/IEC TR 13335-1:2004. Information technology. Guidelines for the management of IT security. Concepts and models for information and communications technology security management.
5.ISO/IEC TR 13335-3:1998. Information technology. Guidelines for the management of IT security. Techniques for the management of IT security.
6.Kosko B. Fuzzy systems as universal approximators // IEEE Transactions on Computers. 1994. Vol. 43. ¹ 11. P. 1329–1333.
7.Risk Management Guide for Information Technology Systems. NIST, Special Publication 800-30.
8.Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: Руководящий документ Гостехкомиссии России // Н. А. Гайдамакин. Сборник норматив- но-справочных материалов по проблемам компьютерной и информационной безопасности. Екатеринбург: ИППКС ФСБ РФ, 2000. С. 466–485.
9.Балашов П. А. Оценка рисков информационной безопасности на основе нечеткой логики / П. А. Балашов, Р. И. Кислов, В. П. Безгузиков // Защита информации. Конфидент. 2003. ¹ 5. С. 56–59.
10.Балашов П. А. Оценка рисков информационной безопасности на основе нечеткой логики (окончание) / П. А. Балашов, Р. И. Кислов, В. П. Безгузиков // Защита информации. Конфидент. 2003. ¹ 6. С. 60–65.
11.Беллман Р. Принятие решений в расплывчатых условиях / Р. Беллман, Л. Заде // Вопросы анализа и процедуры принятия решений. М.: Мир, 1976. С. 172–215.
12.Бетелин В. Б. Профили защиты на основе «Общих критериев»: Аналитический обзор / В. Б. Бетелин и др. // Информационный бюллетень Jet Info. 2003. ¹ 3.
186
13.Боровиков В. П. Прогнозирование в системе STATISTICA в среде Windows / В. П. Боровиков, Г. И. Ивченко. М.: Финансы и статистика, 2000. 382 с.
14.Герасименко В. А. Основы защиты информации / В. А. Герасименко, А. А. Малюк. М.: Èçä-âî ÌÈÔÈ, 1997. 37 ñ.
15.ÃÎÑÒ Ð 50922-96. Защита информации. Основные термины и определения. М.: ИПК Изд-во стандартов, 2004. 6 с.
16.ÃÎÑÒ Ð 51897-2002. Менеджмент риска. Термины и определения. М.: ИПК Изд-во стандартов, 2002.
17.ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 1. Введение и общая модель. М.: ИПК Изд-во стандартов, 2002. 35 с.
18.ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 2. Функциональные требования безопасности. М.: ИПК Изд-во стандартов, 2002. 159 с.
19.ÃÎÑÒ Ð ÈÑÎ/ÌÝÊ 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Ч. 3. Требования доверия к безопасности. М.: ИПК Изд-во стандартов, 2002. 107 с.
20.Гузик С. Стандарт CobiT. Управление и аудит информационных технологий. Особенности проведения внешнего аудита ИТ [Электрон. ресурс] / С. Гузик. Режим доступа: http://www.citforum.ru/ consulting/standart_cobit/article1.1.200331.html.
21.Доктрина информационной безопасности Российской Федерации: утв. приказом Президента РФ от 9 сентября 2000 г. ¹ ПР-1895 [Электрон. ресурс] / Режим доступа: http://www.fstec.ru/_razd/ _ispo.htm.
22.Домарев В. В. Защита информации и безопасность компьютерных систем / В. В. Домарев. Киев: ДиаСофт, 1999. 453 с.
23.Заде Л. А. Основы нового подхода к анализу сложных систем и процессов принятия решений / Л. А. Заде // Математика сегодня. М.: Знание, 1974. С. 5–49.
24.Заде Л. А. Понятие лингвистической переменной и его применение к принятию приближенных решений / Л. А. Заде. М.: Мир, 1976. С. 165.
25.Заде Л. А. Тени нечетких множеств / Л. А. Заде // Проблемы передачи информации. 1966. Т. II. Вып. 1. С. 37–44.
187
26.Заде Л. А. Теория линейных систем: Метод пространства состояний / Л. А. Заде, Ч. Дезоер. М., 1981. 704 с.
27.Закис А. Как внедрить управление рисками / А. Закис // ООО
ИК СИБИНТЕК, Intelligent Enterprise. 2003. ¹ 13-14.
28.Искусство управления информационной безопасностью. Информационный портал [Электрон. ресурс] / Режим доступа: http:// www.iso27000.ru.
29.Котухов М. М. Законодательно-правовое и организационно-техни- ческое обеспечение информационной безопасности автоматизированных систем / М. М. Котухов, А. С. Марков. М., 1998.
30.Краткая история возникновения и основные термины, определяющие ITIL/ITSM [Электрон. ресурс] / Режим доступа: http:// it.techexpert.ua/consult/itil/Pages/Default.aspx.
31.Мишель М. Управление информационными рисками / М. Мишель // Финансовый директор. 2003. ¹ 9.
32.О безопасности: Закон РФ от 5 марта 1992 г. ¹ 2446-1 ФЗ // КонсультантПлюс. Законодательство. Версия-Проф [Электрон. ресурс] / АО «КонсультантПлюс». М., 2007.
33.О техническом регулировании: Федеральный закон РФ от 27 декабря 2002 г. ¹ 184-ФЗ // КонсультантПлюс. Законодательство. Версия-Проф [Электрон. ресурс] / АО «КонсультантПлюс». М., 2007.
34.Об информации, информационных технологиях и о защите информации: Федеральный закон РФ от 27 июля 2006 г. ¹ 149-ФЗ // КонсультантПлюс. Законодательство. Версия-Проф [Электрон. ресурс] / АО «КонсультантПлюс». М., 2007.
35.Официальный сайт IEC [Электрон. ресурс] / Режим доступа: http:// www.iec.ch.
36.Официальный сайт ISACA [Электрон. ресурс] / Режим доступа: http://www.isaca.org.
37.Официальный сайт ISO [Электрон. ресурс] / Режим доступа: http:// www.iso.ru.
38.Официальный сайт NIST [Электрон. ресурс] / Режим доступа: http://www.nist.gov.
39.Официальный сайт компании Digital Security [Электрон. ресурс] / Режим доступа: http://www.dsec.ru.
40.Симонов С. В. Измерение рисков. Технологии и инструментарий для управления рисками / С. В. Симонов // Информационный бюллетень Jet Info. 2003 ¹ 2.
188
41.Симонов С. В. Информационная безопасность в корпоративных системах: практические аспекты / С. В. Симонов // PCWeek. 2001. ¹ 30.
42.Симонов С. В. Современные концепции управления информационными рисками / С. В. Симонов // УСП Компьюлинк. 2003. 4 августа.
43.Храмцовская Н. Стандарты ИБ: ищем ошибки в новом ГОСТе / Н. Храмцовская // CNews. 2007. 10 января.
189
Татьяна Юрьевна ЗЫРЯНОВА, Александр Анатольевич ЗАХАРОВ, Юрий Иванович ЯЛЫШЕВ
УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ
Монография
Редактор |
Л. А. Шмакова |
Технический редактор |
Н. Г. Яковенко |
Компьютерная верстка |
С. В. Кожурова |
Подписано в печать 17.11.2008. Тираж 100 экз. Объем 12,0 печ. л. Формат 60х90/16. Заказ 911.
Издательство Тюменского государственного университета 625000, г. Тюмень, ул. Семакова, 10
Изготовлено в ООО «Виндекс» 625002, г. Тюмень, ул. Госпаровская, 9