|
DOI: 10.14489/vkit.2017.01.pp.044-052
Оладько В. С.
УПРАВЛЕНИЕ РИСКАМИ НЕПРЕРЫВНОСТИ ФУНКЦИОНИРОВАНИЯ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ ОРГАНИЗАЦИИ
(c. 44-52)
Аннотация. Рассмотрены проблема и причины нарушения непрерывности функционирования информационной инфраструктуры организации. Проведена классификация угроз непрерывности. Выявлены основные способы проявления, последствия и потенциальные риски, связанные с нарушением непрерывности функционирования информационной инфраструктуры. Проанализирована стратегия управления непрерывностью деятельности и показана роль процедур оценки, обработки и управления рисками в ее жизненном цикле. Разработана процедура управления рисками непрерывности бизнеса в организации. Предложена программа, автоматизирующая данный процесс. Представлена модульная архитектура и пользовательский интерфейс. Проведен эксперимент, указывающий на эффективность решения и возможность применения разработанной программы в качестве инструментального средства для поддержки принятия решений при управлении рисками нарушения непрерывности деятельности информационной инфраструктуры.
Ключевые слова: непрерывность бизнеса; доступность; информационная безопасность; информационная система; угроза; ущерб; инцидент; карта риска.
Oladko V. S.
RISK MANAGEMENT CONTINUITY OF INFORMATION INFRASTRUCTURE IN THE ORGANIZATION
(pp. 44-52)
Abstract. The article investigates the problems and causes discontinuity of information infrastructure functioning in the organization. Threats continuity classified. Basic ways to show the threats and consequences of business process interruptions were identified. Conclusion is made that the threat may be random nature and are initiated by the attacker. Business continuity management strategy reviewed. Business continuity planning lifecycle described. Each life cycle stage is analyzed and marked its characteristics. This life cycle describes assessment, processing and risk management roles. Business continuity risk management procedure is developed. This risk management involves identifying the risk objects, identifying threats, risk assessment and risk classification. Risk management procedure is based on set theory, fuzzy logic statements and risk map. The risk map identified four zones. Each zone allows classifying the risk acceptability level. The risk management procedures for ease of application in practice have been proposed to automate. For this purpose developed a software package allowing analyzes the business and information infrastructure continuity risks. The developed software package is built on a modular architecture and provides a graphical user interface. Carried out an experiment allowing analyze the business continuity risks for six different information systems. The experimental results allowed concluding about effectiveness the developed business continuity risk management procedures. Experiments also indicated that developed software can be used as a tool to support decision-making in business continuity risk management.
Keywords: Business continuity; Availability; Information security; Information systems; Threat; Damage; Incident; Risk map.
В. С. Оладько (Волгоградский государственный университет, Волгоград, Россия) E-mail:
Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
V. S. Oladko (Volgograd State University, Volgograd, Russia) E-mail:
Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
1. Positive Research 2015. Сборник исследований по практике безопасности [Электронный ресурс] // PTSecurity. URL: http://www.ptsecurity.ru/download/PT_ Positive_Research_2015_RU_web.pdf (дата обращения: 12.05.2016).
2. Аткина В. С. Применение карты рисков для оценки деструктивного воздействия существенной среды на информационную систему // Безопасность информационных технологий. 2013. № 4. С. 21 – 26.
3. Петров С. В. Обеспечение непрерывности ИТ-сервисов [Электронный ресурс] // Журнал школы IT-менеджмента «Системы управления бизнес-процессами». URL: http://journal.itmane.ru/node/109 (дата обращения: 12.05.2016).
4. Козунова С. С., Бабенко А. А. Автоматизация управления инвестициями в информационную безопасность предприятия // Вестник компьютерных и информационных технологий. 2015. № 3. С. 38 – 44. DOI: 10.14489/vkit.2015.03. pp. 038-044
5. ГОСТ Р 53647.1–2009. Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство; введ. 01.12.2010. М.: Стандартинформ, 2011. 39 с.
6. ГОСТ Р ИСО/МЭК 27005–2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности; введ. 01.12.2010. М.: Стандартинформ, 2011. 51 с.
7. Тысячникова Н. А. Обеспечение непрерывности деятельности банков: планирование и контроль [Электронный ресурс] // Внутренний контроль в кредитной организации. 2009. № 3. URL: https://refdb.ru/look/ 3245227.html (дата обращения: 12.11.2016).
8. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности: рекомендации в области стандартизации Банка России. РС БР ИББС-2.2–2009 [Электронный ресурс] // Консультант-Плюс. URL: http://base.consultant.ru/ cons/cgi/online.cgi?req=doc;base=LAW;n=94789 (дата обращения: 10.10.2016).
9. Горин А. С. Модель информационной системы календарного планирования и управления проектами // Изв. Южного федерального ун-та. Сер. Технические науки. 2011. № 7(120). С. 175 – 181.
10. Мельников А. Ю., Пустовая Е. В. Автоматизированная информационная система для торговой компании по продажам компьютеров и комплектующих // Восточно-Европейский журнал передовых технологий. 2009. Т. 5, № 2(41). С. 55 – 59.
11. Федченко И. О., Намиот Д. Е. Модель информационной системы на базе push-уведомлений // International Journal of Open Information Technologies. 2015. V. 3, № 8. P. 19 – 29.
12. Кульга К. С. Единая информационная модель интегрированной информационной системы предприятия // Современные проблемы науки и образования. 2013. № 3. С. 1 – 9.
1. Positive Research 2015. Collection of safety practice research. PTSecurity. Available at: http://www. ptsecurity.ru/download/PT_Positive_Research_2015_RU_web.pdf (Accessed: 12.05.2016).
2. Atkina V. S. (2013). Application of risk maps to assess the destructive impact of significant environment for the information system. Bezopasnost' informatsionnykh tekhnologii, (4), pp. 21-26. [in Russian language]
3. Petrov S. V. Ensuring the continuity of IT services. Journal of IT-management school of «business process management systems». Available at: http://journal.itmane.ru/ node/109 (Accessed: 12.05.2016). [in Russian language]
4. Kozunova S. S., Babenko A. A. (2015). Automating management of investment in information security for business. Vestnik komp'iuternykh i informatsionnykh tekhnologii, (3), pp. 38-44. doi: 10.14489/vkit.2015.03.pp.038-044 [in Russian language]
5. Business continuity management. Part 1: Practical Guide. (2011). Ru Standard No. R 53647.1–2009. Moscow: Standartinform. [in Russian language]
6. Information technology. Methods and means of information security. Information security risk management. (2011). Ru Standard GOST R ISO/MEK 27005–2010. Moscow: Standartinform. [in Russian language]
7. Business continuity management. Part 1: Practical Guide. Ru Standard No. R 53647.1–2009. Electronic fund of legal and normative-technical documentation. Available at: http://docs. cntd.ru/document/1200076491 (Accessed: 12.11.2016). [in Russian language]
8. Information technology. Methods and security features. Information security risk management. Ru Standard GOST R ISO/MEK 27005–2010. Electronic fund of legal and normative-technical documentation. Available at: http://docs.cntd.ru/document/1200084141 (Accessed: 12.11.2016). [in Russian language]
9. Tysiachnikova N. A. (2009). Ensuring the continuity of banking activity: planning and control. Vnutrennii kontrol' v kreditnoi organizatsii, (3). Available at: https://refdb.ru/look/ 3245227.html (Accessed: 12.11.2016). [in Russian language]
10. Information security organizations of the Russian Federation banking system. Methods of assessing information security risks: recommendations for standardization of Bank of Russia. Standard of Bank of Russia No. RS BR IBBS-2.2–2009. Available at: http://base.consultant.ru/ cons/cgi/online.cgi?req=doc;base=LAW;n=94789 (Accessed: 10.10.2016). [in Russian language]
11. Gorin A. S. (2011). Information system model of scheduling and project management. Izvestiia Iuzhnogo federal'nogo universiteta. Serisia Tekhnicheskie nauki, 120(7), pp. 175-181. [in Russian language]
12. Mel'nikov A. Iu., Pustovaia E. V. (2009). Automated information system for the trading company for computers and accessories sales. Vostochno-Evropeiskii zhurnal peredovykh tekhnologii, Vol. 5, 41(2), pp. 55-59. [in Russian language]
13. Fedchenko I. O., Namiot D. E. (2015). Information system model based on the push-notifications. International Journal of Open Information Technologies, 8(3), pp. 19-29. [in Russian language]
14. Kul'ga K. S. (2013). Unified information model of integrated enterprise information system. Sovremennye problemy nauki i obrazovaniia, (3), pp. 1-9. [in Russian language]
Статью можно приобрести в электронном виде (PDF формат).
Стоимость статьи 350 руб. (в том числе НДС 18%). После оформления заказа, в течение нескольких дней, на указанный вами e-mail придут счет и квитанция для оплаты в банке.
После поступления денег на счет издательства, вам будет выслан электронный вариант статьи.
Для заказа скопируйте doi статьи:
10.14489/vkit.2017.01.pp.044-052
и заполните ФОРМУ
Отправляя форму вы даете согласие на обработку персональных данных.
.
This article is available in electronic format (PDF).
The cost of a single article is 350 rubles. (including VAT 18%). After you place an order within a few days, you will receive following documents to your specified e-mail: account on payment and receipt to pay in the bank.
After depositing your payment on our bank account we send you file of the article by e-mail.
To order articles please copy the article doi:
10.14489/vkit.2017.01.pp.044-052
and fill out the FORM
.
|
Архив номеров
Разработка концепции и создание сайта - ООО «Издательский дом «СПЕКТР»