Применение современных методов оценивания рисков информационной безопасности объекта критической информационной инфраструктуры

   Рассмотрена практика оценивания рисков информационной безопасности объектов критической информационной инфраструктуры. Выполнено сравнение методов анализа дерева событий, дерева отказов и международного стандарта ISO/IEC 27005:2022, устанавливающего принципы управления рисками. Показаны пути дополнения существующих методических требований Российской Федерации в области безопасности объектов критической информационной инфраструктуры современными методами оценивания рисков информационной безопасности. Выполнено сопоставление современных методов оценивания рисков информационной безопасности на примере системы управления водоснабжением. Обосновано применение необходимого перечня мер защиты, обеспечивающих заданный уровень остаточных рисков информационной безопасности. Продемонстрирована возможность применения современных методов оценивания рисков информационной безопасности объектов критической инфраструктуры в дополнение к существующим методическим требованиям Российской Федерации.

1. Варламова Д.В., Долженкова А.В., Корочкина С.В. Автоматизация в Риск-менеджменте // Научный журнал НИУ ИТМО. Серия: Экономика и экологический менеджмент. 2020. № 4. С. 78–86. doi: 10.17586/2310-1172-2020-13-4-78-86

2. Иващенко И.Н., Гончаров М.А. Безопасность и риск эксплуатируемых сооружений: Методология оперативной оценки // Проблемы анализа риска. 2021. Т. 18. № 6. С. 66–83. doi: 10.32686/1812-5220-2021-18-6-66-83

3. Yusup M.F.B. Application of risk management in shipyards based SNI IEC/ISO 31010:2016 on new shipbuilding projects // Maritime Park: Journal of Maritime Technology and Society. 2022. V. 1. N 2. P. 75–78. doi: 10.62012/mp.v1i2.32646

4. Frantzova A. Comprehensive methodology for geological risk and multy-risk assessment // Review of the Bulgarian Geological Society. 2021. V. 82. Part 3. P. 171–173. doi: 10.52215/rev.bgs.2021.82.3.171

5. Neto A.B.C. Risk to be considered in nuclear reactor decommissioning projects in Brazil // Brazilian Journal of Radiation Sciences. 2022. V. 10. N 4. P. 1–24. doi: 10.15392/2319-0612.2022.2111

6. Lesniak A., Janowiec F., Benavides J.R. The risk of additional branch work in the construction of railway projects // Archives of Civil Engineering. 2024. V. 70. N 2. P. 643–659. doi: 10.24425/ace.2024.149886

7. Никифорова Н.А. Стратегический анализ: Международный стандарт ISO 31000:2018 и ГОСТ Р ИСО 31000-2019 // Финансовый бизнес. 2022. № 4 (226). С. 41–46.

8. Sukmana P.P., Yoga T.P., Habibi Ch. Audit manajemen risiko sistem informasi pada Website Digo.id dengan framework Cobit 5 dan ISO 31000 // Jurnal Accounting Information System (AIMS). 2023. V. 6. N 2. P. 180–201. doi: 10.32627/aims.v6i2.816

9. Lavrnić I., Bašić A., Viduka D. Risk assessment of a solar attack according to ISO 31000 standard // Engineering Review. 2021. V. 41. N 1. P. 120–128. doi: 10.30765/er.1566

10. Лившиц И.И. Практика управления киберрисками в нефтегазовых проектах компаний холдингового типа // Вопросы кибербезопасности. 2020. № 1 (35). С. 42–51. doi: 10.21681/2311-3456-2020-01-42-51

11. Лившиц И.И., Сунцова Д.И. Численный расчет функциональной безопасности компонентов технически сложных промышленных объектов // Автоматизация в промышленности. 2023. № 7. С. 9–15. doi: 10.25728/avtprom.2023.07.02

12. Yuwono M.A., Rachmawati D. Penerapan fraud risk management pada divisi pembelian PT. Lestari menggunakan ISO 31000:2018 // Jurnal Akuntansi Kontemporer. 2023. V. 15. N 3. P. 131–142. doi: 10.33508/jako.v15i3.4629

13. Masita I. Analysis of risk management implementation in the internal audit unit (SPI) Politeknik pelayaran surabaya using ISO 31000 // Robust: Research of Business and Economics Studies. 2022. V. 2. N 2. P. 113–126. doi: 10.31332/robust.v2i2

14. Livshitz I.I., Lontsikh P.A., Lontsikh N.P., Kunakov E.P., Drolova E.Y. Implementation and auditing of risk management for the oil and gas company // Proc. of the International Conference “Quality Management, Transport and Information Security, Information Technologies” (IT&QM&IS). 2017. P. 539–543. doi: 10.1109/itmqis.2017.8085881

15. Livshitz I.I., Neklyudov A.V., Lontsikh P.A. IT security evaluation - “hybrid” approach and risk of its implementation // Journal of Physics: Conference Series. 2018. V. 1015. N 4. P. 042030. doi: 10.1088/1742-6596/1015/4/042030

16. Беляев Е.А., Емельянова О.А., Лившиц И.И. Анализ методик оценки рисков информационной безопасности кредитно-финансовых организаций // Научно-технический вестник информационных технологий, механики и оптики. 2021. Т. 21. № 3. С. 437–441. doi: 10.17586/2226-1494-2021-21-3-437-441

17. Беззатеев С.В., Елина Т.Н., Мыльников В.А., Лившиц И.И. Методика оценки рисков информационных систем на основе анализа поведения пользователей и инцидентов информационной безопасности // Научно-технический вестник информационных технологий, механики и оптики. 2021. Т. 21. № 4. С. 553–561. doi: 10.17586/2226-1494-2021-21-4-553-561

18. Ezrahovich A.Y., Vladimirtsev A.V., Livshitz I.I., Lontsikh P.A., Karaseva V.A. Risk-based thinking of ISO 9001:2015 — the new methods, approaches and tools of risk management // Proc. of the International Conference “Quality Management,Transport and Information Security, Information Technologies” (IT&QM&IS). 2017. P. 506–511. doi: 10.1109/itmqis.2017.8085872