Article

Article title RISK ANALYSIS OF INFORMATION SECURITY
Authors M.I. Tenetko, O.Yu. Peskova
Section SECTION II. THE ANALYSIS OF SECURITY AND PROTECTION OF INFORMATION SYSTEMS AND OBJECTS
Month, Year 12, 2011 @en
Index UDC 004.056; 004.8
DOI
Abstract In article various methods of the analysis of risks of information security are considered, their features and lacks are allocated. It is concluded that most effective are qualitative methods. We propose a method of information security risk assessment which allows to evaluate information security risks via fuzzy deduction, to classify information security risks, and to get optimal recommendations on risks treatment considering natural language entities and shades of meanings of entities. Results of investigation of possible fuzzy implication are suitable for the decision of problems of classification of risks and development of the best recommendations about risks are proposed.

Download PDF

Keywords Information security management; risk management; fuzzy deduction.
References 1. Астахов А. CISA, 2006. Как управлять рисками информационной безопасности? [Электронный ресурс]. – Режим доступа: http://www.iso27000.ru/chitalnyi-zai/upravlenie-
riskami-informacionnoi-bezopasnosti/kak-upravlyat-riskami-informacionnoi-bezopasnosti, свободный. – Загл. с экрана. – Яз. Рус.
2. ISO/IEC FDIS 27005:2008. Information technology. Security techniques. Information security risk management. – Geneva: ISO, 2008. – 55 p.
3. Саати Т. Принятие решений. Метод анализа иерархий / Томас Саати: Пер. с англ. Р. Вачнадзе. – М.: Радио и связь, 1993. – 320 с. – Перевод изд.: The analytic hierarchy process: planning setting priorities, resource allocation / Thomas L. Saaty. New York, 1980.
4. Харитонов Е.В. Согласование исходной субъективной информации в методах анализа иерархий // Математическая морфология. –1999. – Т. 3. – Вып. 2. – C. 41-51.
5. Петренко С.А., Петренко А.А. Аудит безопасности Intranet.– М.: ДМК Пресс, 2002. – 416 с.
6. Корченко А.Г. Построение систем защиты информации на нечетких множествах. Теория и практические решения – К.: МК-Пресс, 2006.
7. Federal Information Processing Standards Publication 65. Guideline for Automatic Data Processing Risk Analysis. – Washington, DC: U.S. General Printing Office, 1979. – 56 p.
8. Endorf C.F. Measuring ROI on security / Carl F. Endorf // Information security management handbook / Edited by Harold F. Tipton and Micki Krauze. – 6th edition. – Boca Raton: Auerbach Publications, 2007. – Part 1, Section 1.1, Ch. 12. – P. 133-137.
9. Henry K. Risk management and analysis / Kevin Henry // Information Security Management Handbook / Edited by Harold F. Tipton, Micki Krauze. – 6th edition. – Boca Raton : Auerbach Publications, 2007. – Part 1, Section 1.4, Ch. 28. – P. 321-329.
10. Rittinghouse J.W. Business continuity and disaster recovery for infosec managers / John W. Rittinghouse, James F. Ransome. – Oxford: Elsevier, 2005. – 408 p.
11. Spedding L. Business risk management handbook: a sustainable approach / Linda Spedding, Adam Rose. – Oxford: Elsevier, 2008. – 768 p.
12. ISO/IEC FDIS 17799:2005. Information technology. Security techniques. Code of practice for information security management. – Geneva: ISO, 2005. – 115 p.
13. ГОСТ Р ИСО/МЭК 17799–2005. Информационная технология. Практические правила управления информационной безопасностью. – Введ. 2006–01–01. – М.: Стандартинформ, 2006. – 61 с.
14. СТО БР ИББС–1.0–2008. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения [Электронный ресурс]. – Введ. 2009–05–01. – М.: Банк России, 2008. – Режим доступа:
http://www.cbr.ru/credit/Gubzi_docs/st10-08.pdf, свободный. – Загл. с экрана. – Яз. рус.
15. СТО БР ИББС–1.1–2007. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности [Электронный ресурс]. – Введ. 2007–05–01. – М.: Банк России, 2007. – Режим доступа: http://www.cbr.ru/credit/Gubzi_docs/st11.pdf, свободный. – Загл. с экрана. – Яз. рус.
16. СТО БР ИББС–1.2–2009. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации. Требованиям СТО БР ИББС–1.0–2008 [Электронный ресурс]. – Введ. 2009–06–01. – М.: Банк России, 2009. – Режим доступа: http://abiss.ru/upload/iblock/749/sto_br_ibbs-1.2-
2009.pdf, свободный. – Загл. с экрана. – Яз. рус.
17. Payment Card Industry (PCI) Data Security Standard . Requirements and Security Assessment Procedures. Version 1.2. [Электронный ресурс]. – Effective date October 1 2008. – Wakefield, MA: PCI Security Standards Council, 2008. – 73 p. – Режим доступа: https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml, свободный. – Загл. с экр. – Яз. англ.
18. Ragan S. Does the Heartland breach prove PCI useless? [Электронный ресурс] / Steve Ragan // The Tech Herald. – 2009. – January, 26. – Режим доступа: http://www.thetechherald.com/article.php/200905/2849/Does-the-Heartland-breach-prove-PCI-useless, свободный.
19. Events unfold after Heartland breach // Computer Fraud & Security. – 2009. – Vol. 2. – P. 2, 20.
20. Landoll D. The security risk assessment handbook: a complete guide for performing security risk assessments / Douglas J. Landoll. – Boca Raton: Auerbach Publications, 2006. – 504 p.

Comments are closed.