Дослідження методів обробки ризиків у системах управління інформаційною безпекою
DSpace at NTB NTUU KPI
Переглянути архів Інформація| Поле | Співвідношення | |
| Title |
Дослідження методів обробки ризиків у системах управління інформаційною безпекою
|
|
| Creator |
Мокій, Андрій Володимирович
|
|
| Contributor |
Горицький, Віктор Михайлович
|
|
| Subject |
004.056.53
|
|
| Description |
Актуальність. В сучасному світі, що характеризується неосяжним розміром інформаційних ресурсів та даних, якими володіють та мають в своєму розпорядку сучасні організації та підприємства, все більше уваги приділяється проблемам забезпечення захисту даних. Однією з головних складових сучасних систем інформаційної безпеки (ІБ) є системи управління інформаційною безпекою (СУІБ). В концентрованому вигляді важливі положення та вимоги щодо створення СУІБ, які далі можуть бути оцінені деякими спеціалізованими органами з оцінки відповідності. [5] Головна задачею забезпечення безпеки інформації все частіше вирішується внаслідок поліпшення процесу управління інформацією на базі реалізації різних підходів і методів, дотримання нормативних вимог і застосування організаційних заходів. Методологія визначення оцінки ризиків може бути якісною або кількісною, або деякою комбінацією. Якісна оцінка дуже часто використовується для отримання загального рівня ризику і виокремлення головних ризиків. Далі може з’явитися необхідність реалізації більш кількісного або специфічного аналізу стосовно важливих ризиків. Сучасні інформаційні системи вразливі до цілого ряду загроз, які є результатом виконання несанкціонованого доступу, а також модифікації, викривлення або розкриття інформації. Щоб створити захист інформаційних ресурсів та послуги від можливих загроз, необхідно використати відповідні заходи обробки ризиків та управління безпекою. [12] Дослідженню процесів обробки, реагування, аналізу та розслідування ризиків інформаційної безпеки присвячено ціла низка публікацій, тому тема роботи є актуальна. Мета роботи – всебічний аналіз процесу управління ризиками ІБ, узагальненні існуючих методів обробки ризиками та створені адаптованої методики, що забезпечить неперервність та живучість функціонування системи безпеки даних в інформаційних системах. Для досягнення мети роботи необхідно дослідити наступні задачі: проаналізувати процеси прийняття рішень в управлінні інформаційній безпеці; порівняти методи прийняття рішень для підвищення ефективності інформаційної безпеки; дослідити експертні методи оцінки ризиків в системі управління інформаційною безпекою. Об’єкт дослідження полягає у процесі оцінки та обробки інформаційної безпеки експертними методами. Предмет дослідження – дослідження експертних методів оцінки ризиків в системі управління інформаційною безпекою. Практична цінність полягає в розробці методики прийняття рішення в системі управління інформаційною безпекою. Ідентифікація критеріїв ризику визначає прийняття рішень щодо характеру можливих наслідків та способу їх вимірювання. При визначенні критеріїв необхідно визначити за якими критеріями прийматимуться рішення щодо необхідності оброблення ризику та критерії, за якими будуть прийматися рішення щодо допустимості чи прийняття ризику. Для того, щоб побудувати систему кібербезпеки, комплексну систему захисту даних або інших систем безпеки, потрібно провести аналіз і оцінювання ризиків. Наявні на сьогодні методи оцінки ризиків в переважній кількості засновані на статистичних підходах. У більшості країн подібна статистика не ведеться, як на державному рівні, так і на рівні підприємств. Саме це обмежує можливості засобів оцінки, наприклад відсутність інформації для використання вхідних даних для оцінки ризику. Загальне оцінювання ризику дає змогу впроваджувати необхідні міри на рівні підрозділів, проектів, конкретних ризиків або на рівні організації в цілому. Після завершення загального оцінювання ризику провадять обробляння ризику, що передбачає прийняття одного чи декількох підходящих варіантів, які дають можливість зменшити ймовірність виникнення ризиків та їх вплив на систему. Таким чином, у випускній роботі, що має практичне і наукове значення, досліджуються вже існуючі методи обробки ризику інформаційної безпеки та їх адаптація і впровадження на підприємствах. Topicality. In today's world, characterized by the immense amount of information resources and data that modern organizations and enterprises possess and have at their disposal, more and more attention is paid to the problems of data protection. One of the main components of modern information security systems (IS) is the Information Security Management System (ISMS). In a concentrated form, important provisions and requirements for the creation of the ISIS, which can then be assessed by some specialized conformity assessment bodies. [5] The main task of ensuring the security of information is increasingly solved as a result of improving the information management process based on the implementation of different approaches and methods, compliance with regulatory requirements and the application of organizational measures. The methodology for determining risk assessment can be qualitative or quantitative, or some combination. A qualitative assessment is often used to obtain a general level of risk and distinguish the main risks. Further, there may be a need for more quantitative or specific analysis of important risks. Modern information systems are vulnerable to a variety of threats that result from unauthorized access, modification, distortion or disclosure. In order to protect information resources and services from potential threats, appropriate risk management and security management measures should be used. [12] A wide range of publications is devoted to the study of processes of processing, reacting, analyzing and investigating information security risks, so the topic of work is relevant. The purpose of the work. Is a comprehensive analysis of the risk management process of IBs, generalization of existing methods of risk management, and the creation of an adapted methodology that will ensure the continuity and survivability of the operation of the data security system in information systems. In order to achieve the goal of the work, the following tasks should be investigated: - analyze decision-making processes in the management of information security; - compare decision-making methods to increase the effectiveness of information security; - to investigate expert methods of risk assessment in the information security management system. The object of the study - is the process of evaluation and processing of information security by expert methods. Subject of research - research of expert methods of risk assessment in the system of information security management. The practical value is to develop a decision-making technique in the information security management system. Identification of risk criteria determines decision-making on the nature of possible consequences and how to measure them. In determining the criteria, it is necessary to determine what criteria will be used to decide on the need for risk management and the criteria by which decisions on admissibility or acceptance of risk will be made. In order to build a cybersecurity system, an integrated system for data protection or other security systems, it is necessary to analyze and evaluate the risks. Available today methods of risk assessment in the vast majority are based on statistical approaches. In most countries, such statistics are not conducted, both at the state level and at the enterprise level. That is precisely what restricts the capabilities of the assessment tool, such as the lack of information to use input for risk assessment. A general risk assessment allows you to implement the necessary measures at the level of subdivisions, projects, specific risks or at the organization level as a whole. Upon completion of the overall risk assessment, the risk is treated, which involves the adoption of one or several suitable options that reduce the risk of occurrence and their impact on the system. Thus, in the final work of practical and scientific significance, existing methods of information security risk management and their adaptation and implementation at enterprises are investigated. |
|
| Date |
2019-03-20T14:16:46Z
2019-03-20T14:16:46Z 2018-12 |
|
| Type |
Master Thesis
|
|
| Identifier |
Мокій, А. В. Дослідження методів обробки ризиків у системах управління інформаційною безпекою : магістерська дис. : 172 Телекомунікації та радіотехніка / Мокій Андрій Володимирович. – Київ, 2018. – 99 с.
http://ela.kpi.ua/handle/123456789/26820 |
|
| Language |
uk
|
|
| Format |
99 с.
application/pdf |
|
| Publisher |
Київ
|
|