Подробное описание документа

Соколовский В. Е., Басараб М. А., Глинская Е. В.
   Подходы к формированию комплексной системы обеспечения безопасности информационных технологий в организации / Соколовский В. Е., Басараб М. А., Глинская Е. В. // Приборы и системы. Управление, контроль, диагностика. - 2025. - № 12. - С. 51-60.

Формирование комплексной системы обеспечения безопасности информационных технологий в организациях различных форм собственности должно осуществляться согласно регуляторным требованиям и лучшим практикам, нацеленным, в том числе, на выявление и оценку (ранжирование) актуальных угроз безопасности информации. Выявление и ранжирование угроз безопасности информации позволяет сформулировать и экономически обосновать необходимые меры, направленные на снижение вероятности реализации угроз безопасности информации и уменьшение соответствующих бизнес-рисков организации, связанных с инцидентами безопасности информации. Оценка угроз безопасности информации должна носить систематический характер и осуществляться как на этапе создания системы обеспечения безопасности информационных технологий, так и в ходе её эксплуатации, в том числе при развитии (модернизации) информационной инфраструктуры организации. Систематический подход к оценке угроз безопасности информационных технологий позволит поддерживать адекватную и эффективную систему защиты в условиях изменения угроз безопасности информации и информационных ресурсов организации. Рассматривается риск-ориентированный подход к созданию комплексной системы обеспечения безопасности информационных технологий в соответствии с известными моделями предоставления услуг обеспечения безопасности информационных технологий и логико-вероятностным методом И.А. Рябинина, основанным на фундаментальных положениях теории вероятностей и алгебры логики, позволяющим выполнить математически обоснованное ранжирование угроз безопасности информации на основе сценариев реализации угроз, разрабатываемых экспертами по информационной безопасности организации. Применение логико-вероятностного метода И.А. Рябинина позволяет достаточно корректно анализировать угрозы безопасности информации и в дальнейшем определять показатель качества функционирования комплексной системы обеспечения безопасности информационных технологий. Оценка (ранжирование) угроз безопасности информации позволяет сформировать у лица, принимающего решение, целостную картину рисков, угрожающих бизнес-интересам организации, создать базу данных и базу знаний для экспертных систем поддержки принятия технических и других решений, обосновать меры по снижению негативных последствий в случае реализации угроз безопасности в информационной инфраструктуре организации.
Ключевые слова информационная безопасность, риск-ориентированный подход, модель предоставления услуг, риск информационной безопасности, безопасность информационной технологии, средство защиты информации, логико-вероятностный метод И.А. Рябинина