Левадний С.М.

КЛАСИФІКАЦІЯ МЕТОДІВ ТА ЗАСОБІВ ОЦІНКИ ІНФОРМАЦІЙНИХ РИЗИКІВ

      Актуальність теми. Порушення основних властивостей інформації може стати серйозною загрозою для організацій в даний час. Інформаційні ресурси, як і матеріальні, володіють якістю і кількістю, мають собівартість і ціну. Оцінка ризиків є важливою частиною будь-якого процесу інформаційної безпеки. Її використовують для визначення масштабу загроз безпеки інформації та ймовірності реалізації загрози. Але при виборі методів та засобів оцінки інформаційних ризиків виникає проблема, у зв’язку з їх чисельною кількістю.

     Метою даних досліджень є класифікація методів та засобів оцінки інформаційних ризиків.

    Також наведено огляд кращих методів, керівних документів та інструментів.

     Кращий спосіб вибрати методику оцінки ризику полягає в їх детальному порівнянні, використовуючи різні критерії. Якщо критерії, які використовуються , застосовні до всіх моделей оцінки ризиків, організація може порівняти різні моделі об'єктивно і прийняти рішення про впровадження найкращих з них[1].

      В роботі представлені три способи, за допомогою яких можна проводити оцінку інформаційних ризиків:

1.       Методи: 1.1 кількісні (ISAMM, Mehari); 1.2. якісні (EBIOS, Octave, IT-

 Grundschutz); 1.3. змішані (CRAMM, MAGERI).

2.       Керівні документи: 2.1. ISO 27001 (Информационные технологии. Методы

защиты. Системы менеджмента защиты информации. Требования); 2.2. ISO 27005 (Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности); 2.3. ISO 17799 (Информационная технология. Правила управления информационной безопасностью)[2].

3.       Інструменти: 3.1 Cobra (представляє вимоги стандарту ISO 17799 в

вигляді тематичних опитувань); 3.2 Risk Watch (орієнтований на точну кількісну оцінку співвідношення втрат від загроз безпеки і витрат на створення системи захисту); 3.3 ГРИФ 2006 (комплексна система аналізу та управління ризиками інформаційної системи компанії, дає повну картину захищеності інформаційних ресурсів у системі)[3].

     Висновки. В даній роботі проведено вивчення та аналіз існуючих методів та засобів інформаційних ризиків.

Література

1.        Богуш В.М., Юдін О.К. Інформаційна безпека держави.- К. ˵МК-Прес˶, 2005.- 432 с.

2.        ISO/IEC 17799:2005, Information technology- Security techniques – Code of practice for information security management.

3.        ISO/IEC 27001:2005, Information Security Management – Specification With Guidance for Use.