Безопасность информационных технологий

Предлагается модель методической оценки возможного ущерба для информационной системы от реализации неблагоприятных событий, которые приводят к утрате доступности, целостности и (или) конфиденциальности информационных ресурсов. Модель предназначена для использования в контексте процессов оценки рисков. Критериальным показателем риска в модели является ожидаемая средняя величина ущерба, выраженная в стоимостных единицах. Выводится условие снижения критериального показателя риска, и намечаются взаимодополняющие пути реализации этого условия.

информационная система; информационные ресурсы; оценка рисков; показатели безопасности

1 ISO/IEC 27005:2008. Information technology. Security techniques. Information security risk management. 2008.

2 Risk management: Implementation principles and inventories for risk management / risk assessment methods and tools. ENISA (European Network and Information Security Agency). 2006.

3 IEC 61882:2001. Hazard and operability studies (HAZOP studies). Application guide. 2001.

4 ГОСТ Р 51901.11-2005 (МЭК 61882:2001). Менеджмент риска. Исследование опасности и работоспособности. Прикладное руководство. М.: Стандартинформ, 2006.

5 Vose D. Risk analysis: a quantitative guide. 3rd edition. John Wiley & Sons, 2008. — 752 p.

6 Soo Hoo K. How much is enough? A risk-management approach to computer security [электронный ресурс]. PhD thesis. Stanford University, 2001. — 99 p. Режим доступа: http://iis-db.stanford.edu/pubs/11900/soohoo.pdf.

7 Kumamoto H., Henley E. Probabilistic risk assessment and management for engineers and scientists. 2nd edition. Institute of Electrical and Electronics Engineers. Inc. New York, 1996. — 620 p.