А.В. Царегородцев, М.М. Тараскин, Е.А. Дербин Один из подходов к формализации описания угроз, уязвимостей и рисков системы защиты информации на предприятии

Аннотация: Рассматривается один из подходов к оценке угроз, уязвимостей и рисков при защите информации в организациях, позволяющий полностью проанализировать и документально оформить требования, связанные с обеспечением безопасности информации в организации. Использование такого подхода даст возможность избежать расходов на избыточные меры безопасности, возникающие при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, а также обеспечить проведение работ в сжатые сроки. Предложены практические рекомендации по выбору мер противодействия и оценки эффективности контрмер, позволяющие сравнивать их различные варианты.

Ключевые слова:

Abstract: The authors evaluate one of the approaches to the evaluation of threats, vulnerabilities and risks in the systems of information protection of organizations, which allows to have all-inclusive analysis and to formulate the requirements for the guarantees of security of information in an organization. Use of such an approach shall allow one to cut the costs of the excess security measures, which often take place, when the evaluation of risks is taken subjectively. It shall also aid in planning and implementation of the protection at all of the stages of vital cycles of information systems and to guarantee that the necessary means can be taken in short periods of time. The authors offer practical advice for the choice of counter-measures and evaluation of efficiency of their various options.

Keywords: