Краткая характеристика международного стандарта ISO/IEC 27005
Автор работы: Пользователь скрыл имя, 22 Февраля 2015 в 13:03, реферат
Описание работы
В современном мире понятие риска широко употребляется в различных сферах деятельности. Это понятие, как правило, используется для описания любого потенциально опасного явления. Задолго до появления пока ещё несовершенной теории рисков и методов вероятностной оценки отрицательных явлений с термином “риск” обычно связывалось значение (качественное или количественное), которое характеризовало потенциальную степень опасности одной или нескольких угроз.
На сегодняшний день предложено
много методик оценки рисков, которые
отражены в стандартах, изложены в отчетах
научно-исследовательских работ и комплексных
работ, выполненных по заказу коммерческих
организаций [7-9]. В этих методиках рассмотрены
вопросы анализа и управления информационными
рисками, но они имеют ряд недостатков:
недостаточно эффективны, сложны, оторваны
от практики или, наоборот, приспособлены
к конкретной организации и конкретной
информационно-коммуникационной системе.
Как указано в работах [10,11], в настоящее
время отсутствует универсальная методика,
которая была бы одинаково пригодной для
организаций и компаний различных типов.
Целью анализа требований и
рекомендаций, изложенных в международном
стандарте ISO/IEC 27005 [12] в отношении методик
оценки рисков информационной безопасности
является выделение условий соответствия
методик оценки рисков информационной
безопасности реальной ситуации.
ЛИТЕРАТУРА
1. SafeNet анонсировала результаты
глобального исследования “Новые реалии
информационной безопасности” [Электронный
ресурс] — Режим доступа:
2. Астахов А. Искусство управления
информационными рисками. – М.: ДМК Пресс,
2010. – 312 c.
3. Замула О.А., Черниш В.І. Аналіз
міжнародних стандартів в галузі оцінювання
ризиків інформаційної безпеки // Системи
обробки інформації: збірник наукових
праць ХУПС. – Вип. 2(92). – Харків: ХУПС,
2011. – С. 53-56.
4. Марка Д., Мак-Гоуэн К. Методология
структурного анализа и проектирования.
Пер. с англ. – М.: Мета Технология, 1993. –
240 с.
5. Могилевский В.Д. Методология
систем. – М.: Экономика, 1999. – 251 с.
6. Саати Т. Принятие решений.
Метод анализа иерархий. – М.: Радио и связь,
1993. – 278 с.
7. Информационная технология.
Методы и средства обеспечения безопасности.
Часть 3. Методы менеджмента безопасности
информационных технологий: ГОСТ Р ИСО/МЭК
ТО 13335-3-2007. — [От 01-09-2007]. — М.: ФГУП “СТАНДАРТИНФОРМ”,
2007. — 84 с. — (Национальные стандарты Российской
Федерации).
8. Корченко А.Г. Построение систем
защиты информации на нечетких множествах.
– К.: “МК-Пресс”, 2006. – 316 с.
9. Балашов П.А. Оценка рисков
информационной безопасности на основе
нечеткой логики // Конфидент – 2003. – 53,
№4. – C. 56-60; 54, №6. – C. 60-66.
10. Петренко С.А. Управление информационными
рисками. Экономически оправданная безопасность.
– М.: Компания АйТи; ДМК Пресс, 2004. – 384
с. – (Информационные технологии
для инженеров).
11. Петренко С.А. Новые инициативы
российских компаний в области защиты
конфиденциальной информации // Конфидент
– 2003. – 49, № 1. – C. 56-62.
12. Information technology — Security techniques
— Information security risk management: ISO/IEC 27005:2008. – [от
15-06-2008]. – Женева: 2008. – 64 с. – (Международные
стандарты ISO/IEC).