Статья представляет собой анализ ключевых этапов разработки безопасной информационной системы предприятия. Основное внимание уделяется на освещение этапов определения целей информационной безопасности, оценки рисков, идентификации уязвимостей, а также процессу принятия обоснованных решений в контексте обеспечения безопасности информационной системы. В статье приводятся детальные рекомендации по созданию отчетов о выполненном анализе рисков и процессе принятия обоснованных решений на основе полученных результатов. В рамках работы также проведен анализ процессов составления матрицы вероятности наступления угроз, построения модели нарушителя и этапы построения модели угроз, обеспечивая понимание эффективных рекомендаций для оценки и управления рисками информационной безопасности предприятия и прогнозирования угроз. Также приведены определения всех применяемых терминов и примеры матрицы доступа, матрицы вероятности наступления угроз. Указаны составляющие моделей нарушителя и модели угроз. Отмечены наиболее распространённые ошибки процесса создания отчёта об анализе рисков и его представления руководству. Представленный анализ служит важным ресурсом для специалистов по информационной безопасности и руководителей предприятий, которые заинтересованы в построении надежной и безопасной информационной системы.
1. Создание систем информационной безопасности / Компания «Открытые технологии». – URL: https://www.ot.ru/services/creation-of-information-security/ (дата обращения: 04.12.2023).
2. Матрица вероятностей (рисков) и влияния управления проектов. – URL: https://habr.com/ru/articles/680524/ (дата обращения: 04.12.2023).
3. Теренин А. Модель типового злоумышленника и охрана информации. – URL: https://wiseeconomist.ru/poleznoe/57236-model-tipovogo-zloumyshlennika-oxrana-informacii (дата обращения: 04.12.2023).
4. ГОСТ Р 57580.1–2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. – М.: Стандартинформ, 2017. – 61 с.
5. Ясенев В.Н. Конспект лекций по информационной безопасности / Нижегородский государственный университет им. Н.И. Лобачевского. – Н. Новгород, 2017. – 253 с.
6. Пишем модель угроз // Блог компании «Информационный центр». – 2019, 25 июня. – URL: https://www.google.com/amp/s/habr.com/ru/amp/ publications/457516/ (дата обращения: 04.12.2023).
7. Дроботун Е.Б., Цветков О.В. Построение модели угроз безопасности информации в автоматизированной системе управления критически важными объектами на основе сценариев действий нарушителя // Программные продукты и системы. – 2016. – № 3. – С. 42–50. – DOI: 10.15827/0236-235X.115.042-050.
8. Суханов А. Анализ рисков в управлении информационной безопасностью // Байт. – 2008. – № 11. – С. 25–29.
9. Емельянников М. Информационные системы персональных данных // Журнал «Cio». – 2008. – № 10. – С. 17–20.
10 Селищев В.А., Чечуга О.В., Наседкин М.Н. Построение системы информационной безопасности предприятия // Известия Тульского государственного университета. Технические науки. – 2009. – № 1-2. – С. 137–144.
11. Бирюков Д., Токарева Е. Международный стандарт ISO/IEC 27001:2013. Взгляд в будущее индустрии ИБ // Информационная безопасность. – 2013. – № 2. – С. 52–55. – URL: https://lib.itsec.ru/articles2/pravo/ mezhdunarodnyy-standart-iso-iec-270012013.-vzglyad-v-buduschee-industrii-ib (дата обращения: 05.12.2023).
12. Бирюков А.А. Информационная безопасность: защита и нападение. – М.: ДМК Пресс, 2013. – 474 с.
13. AEGIS. White paper on research and innovation in cybersecurity. – AEGIS Consortium, 2018.
14. Mani V. Cybersecurity and fintech at a crossroads // ISACA Journal. – 2019. – Vol. 2. – P. 1–7.
15. Dupont B. The cyber-resilience of financial institutions: significance and applicability // Journal of Cybersecurity. – 2019. – Vol. 5 (1). – P. 1–17.
16. Current cyber-defense trends in industrial control systems / J.E. Rubio, C. Alcaraz, R. Roman, J. Lopez // Computer Security. – 2019. – Vol. 87. – P. 101561.
17. Analysis of intrusion detection systems in industrial ecosystems / J.E. Ru-bio, C. Alcaraz, R. Roman, J. Lopez // 14th International Conference on Security and Cryptography (SECRYPT 2017). – 2017. – Vol. 6. – P. 116–128.
18. How can organizations develop situation awareness for incident response: a case study of management practice / A. Ahmad, S.B. Maynard, K.C. Desouza, J. Kotsias, M.T. Whitty, R.L. Baskerville // Computer Security. – 2021. – Vol. 101.?– P. 102122.
19. Solution-aware data flow diagrams for security threat modeling / L. Sion, K. Yskout, D. van Landuyt, W. Joosen // SAC ’18: Proceedings of the 33rd Annual ACM Symposium on Applied Computing. – ACM, 2018. – P. 1425–1432. – DOI: 10.1145/3167132.3167285.
20. Risk-based design security analysis / L. Sion, K. Yskout, D. van Landuyt, W. Joosen // SEAD ’18: Proceedings of the 1st International Workshop on Security Awareness from Design to Deployment. – ACM, 2018. – P. 11–18. –DOI: 10.1145/3194707.3194710.
Куликовский Д.О., Халина Д.Н. Анализ процесса создания безопасной информационной системы предприятия // Безопасность цифровых технологий. – 2023. – № 4 (111). – С. 35–46. – DOI: 10.17212/2782-2230-2023-4-35-46.
Kulikovskij D.O., Khalina D.N. Analiz protsessa sozdaniya bezopasnoi informatsionnoi sistemy predpriyatiya [Analysis creation process of a secure enterprise information system]. Bezopasnost' tsifrovykh tekhnologii = Digital Technology Security, 2023, no. 4 (111), pp. 35–46. DOI: 10.17212/2782-2230-2023-4-35-46.