<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">vdgtu</journal-id><journal-title-group><journal-title xml:lang="ru">Вестник Дагестанского государственного технического университета. Технические науки</journal-title><trans-title-group xml:lang="en"><trans-title>Herald of Dagestan State Technical University. Technical Sciences</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2073-6185</issn><issn pub-type="epub">2542-095X</issn><publisher><publisher-name>Daghestan State Technical University</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.21822/2073-6185-2023-50-2-25-34</article-id><article-id custom-type="elpub" pub-id-type="custom">vdgtu-1283</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ТЕЛЕКОММУНИКАЦИИ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INFORMATION TECHNOLOGY AND TELECOMMUNICATIONS</subject></subj-group></article-categories><title-group><article-title>Проблемы управления рисками в сфере информационной безопасности</article-title><trans-title-group xml:lang="en"><trans-title>Problems of risk management in the field of information security</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Артамонов</surname><given-names>Г. М.</given-names></name><name name-style="western" xml:lang="en"><surname>Artamonov</surname><given-names>G. M.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Артамонов Георгий Михайлович, студент</p><p>125167, г. Москва, Ленинградский пр-т, 49/2</p></bio><bio xml:lang="en"><p>Georgy M. Artamonov, Student</p><p>49 Leningradsky Prospekt, Moscow, 125993</p></bio><email xlink:type="simple">amenemuruart@gmail.com</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Маслов</surname><given-names>В. В.</given-names></name><name name-style="western" xml:lang="en"><surname>Maslov</surname><given-names>V. V.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Маслов Владимир Владимирович, студент</p><p>125167, г. Москва, Ленинградский пр-т, 49/2</p><p>3115409, г. Москва, Каширское шоссе, 31</p></bio><bio xml:lang="en"><p>Vladimir V.Maslov, Student</p><p>49 Leningradsky Prospekt, Moscow, 125993</p><p>31 Kashirskoe sh., 31, Moscow, 115409</p></bio><email xlink:type="simple">vladimirmaslov76@gmail.com</email><xref ref-type="aff" rid="aff-2"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Резниченко</surname><given-names>С. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Reznichenko</surname><given-names>S. A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Резниченко Сергей Анатольевич, кандидат технических наук, доцент</p><p>125167, г. Москва, Ленинградский пр-т, 49/2</p><p>125047, г. Москва, Миусская площадь, 6</p></bio><bio xml:lang="en"><p>Sergey A. Reznichenko, Cand.Sci. (Eng.), Assoc. Prof.</p><p>49 Leningradsky Prospekt, Moscow, 125993</p><p>Miusskaya Square, 6, Moscow, 125047</p></bio><email xlink:type="simple">rsa_5@bk.ru</email><xref ref-type="aff" rid="aff-3"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Финансовый университет при Правительстве Российской Федерации</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Financial University under the Government of the Russian Federation</institution><country>Russian Federation</country></aff></aff-alternatives><aff-alternatives id="aff-2"><aff xml:lang="ru"><institution>Финансовый университет при Правительстве Российской Федерации; Национальный исследовательский ядерный университет «МИФИ»</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Financial University under the Government of the Russian Federation; National Research Nuclear University “MEPhI”</institution><country>Russian Federation</country></aff></aff-alternatives><aff-alternatives id="aff-3"><aff xml:lang="ru"><institution>Финансовый университет при Правительстве Российской Федерации; Российский государственный гуманитарный университет</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Financial University under the Government of the Russian Federation; Russian State University for the Humanities</institution><country>Russian Federation</country></aff></aff-alternatives><pub-date pub-type="collection"><year>2023</year></pub-date><pub-date pub-type="epub"><day>31</day><month>07</month><year>2023</year></pub-date><volume>50</volume><issue>2</issue><fpage>25</fpage><lpage>34</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Артамонов Г.М., Маслов В.В., Резниченко С.А., 2023</copyright-statement><copyright-year>2023</copyright-year><copyright-holder xml:lang="ru">Артамонов Г.М., Маслов В.В., Резниченко С.А.</copyright-holder><copyright-holder xml:lang="en">Artamonov G.M., Maslov V.V., Reznichenko S.A.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://vestnik.dgtu.ru/jour/article/view/1283">https://vestnik.dgtu.ru/jour/article/view/1283</self-uri><abstract><p>Цель. Целью исследования является сбор общедоступной информации для определения основных проблем, препятствующих эффективному управлению рисками информационной безопасности в сфере бизнеса.Метод. В качестве методов исследования используются: систематизация, описание и анализ. Необходимые данные формируются на основе информации, полученой по результатам анализа нормативно-правовой базы и исследований по заданной теме.Результат. Обоснована актуальность рассматриваемого вопроса; отмечается значительная эффективность риск-ориентированного подхода при управлении информационной безопасностью. Описаны ключевые этапы процесса менеджмента рисков информационной безопасности. Выявлены основные проблемы управления рисками информационной безопасности, характерные для отдельных этапов целостного процесса.Вывод. Материалы, представленные в работе, могут послужить базисом для дальнейших исследований по теме, а также для формирования рекомендаций по разрешению выявленных проблем.</p></abstract><trans-abstract xml:lang="en"><p>Objective. The purpose of the study is to collect publicly available information to identify the main problems that hinder the effective management of information security risks in the business sector.Method. The following research methods are used: systematization, description and analysis. The necessary data are formed on the basis of information obtained from the analysis of the regulatory framework and research in the field.Result. In this paper, the relevance of the issue under consideration was substantiated; the significant effectiveness of the risk-based approach in information security management was noted. The key stages of the information security risk management process were described. Next, the main problems of information security risk management for all stages of the holistic process are identified.Conclusion. The conducted research is of an overview nature. The materials presented in the paper can serve as a basis for further research on the topic, as well as for the formation of recommendations for resolving the identified problems.</p></trans-abstract><kwd-group xml:lang="ru"><kwd>информационная безопасность</kwd><kwd>ИБ бизнеса</kwd><kwd>СМИБ</kwd><kwd>риск-ориентированный подход</kwd><kwd>проблемы управления</kwd></kwd-group><kwd-group xml:lang="en"><kwd>information security</kwd><kwd>business information security</kwd><kwd>ISMS</kwd><kwd>risk-based approach</kwd><kwd>management problems</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р ИСО/МЭК 27000-2021. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология. - Москва: Стандартинформ, 2021. – 24 с.</mixed-citation><mixed-citation xml:lang="en">GOST R ISO/IEC 27000-2021. Information technology. Methods and means of ensuring security. Information security management systems. General overview and terminology. Moscow: Standartinform, 2021; 24. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Анникин И.В. Методы и алгоритмы количественной оценки и управления рисками безопасности в корпоративных информационных сетях на основе нечеткой логики. // Министерство образования и науки РФ. Федеральное ГБОУ высшего образования “Казанский национальный исследовательский технический университет им. А.Н. Туполева-КАИ” - 2017. - С.6-46.</mixed-citation><mixed-citation xml:lang="en">Anikin I.V. Methods and algorithms for quantitative assessment and management of security risks in corporate information networks based on fuzzy logic. Ministry of Education and Science of the Russian Federation. Federal State Educational Institution of Higher Education “Kazan National Research Technical University named after A.N. Tupolev-KAI” 2017; 6-46. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Jim Boehm, Nick Curcio, Peter Merrath, Lucy Shenton, and Tobias Stähle. The risk-based approach to cybersecurity/ Официальный сайт. McKinsey &amp; Company. URL: https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/the-risk-based-approach-to-cybersecurity#/ (дата обращения: 15.04.2023).</mixed-citation><mixed-citation xml:lang="en">Jim Boehm, Nick Curcio, Peter Merrath, Lucy Shenton, and Tobias Stähle. The risk-based approach to cybersecurity / Official website. McKinsey &amp; Company. - URL: https://www.mckinsey.com/capabilities/riskand-resilience/our-insights/the-risk-based-approach-to-cybersecurity#/ (date of application:15.04.2023).</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Петренко С. А., Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. - Москва: Компания АйТи; ДМК Пресс, 2004. - 384 с.</mixed-citation><mixed-citation xml:lang="en">Petrenko S. A., Simonov S. V. Information risk management. Economically justified security. - Moscow: IT Company; DMK Press, 2004; 384. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. / Электронный фонд правовых и нормативно-технических документов. - URL: https://docs.cntd.ru/document/1200084141 (дата обращения:17.04.2023).</mixed-citation><mixed-citation xml:lang="en">GOST R ISO/IEC 27005-2010. Information technology. Methods and means of ensuring security. Information security risk management. / Electronic Fund of legal and regulatory documents. URL: https://docs.cntd.ru/document/1200084141 (date of application:17.04.2023). (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Cyber Risk Resources for Practitioners./Institute of Risk Management. - URL: https://www.theirm.org/media/7237/irm-cyber-risk-resources-for-practitioners.pdf (дата обращения: 17.04.2023).</mixed-citation><mixed-citation xml:lang="en">Cyber Risk Resources for Practitioners. Institute of Risk Management. URL: https://www.theirm.org/media/7237/irm-cyber-risk-resources-for-practitioners.pdf (date of application: 17.04.2023).</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">NIST Special Publication 800-39. Managing Information Security Risk: Organization, Mission, and Information System View. / National Institute of Standards and Technology. - URL: https://csrc.nist.gov/publications/detail/sp/800-39/final (дата обращения: 17.04.2023).</mixed-citation><mixed-citation xml:lang="en">NIST Special Publication 800-39. Managing Information Security Risk: Organization, Mission, and Information System View /National Institute of Standards and Technology. - URL: https:csrc.nist.gov/ publications/detail/sp/800-39/final (date of application: 17.04.2023).</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Анализ международных документов по управлению рисками информационной безопасности. Часть 1. / Эксперт Руслан Рахметов // ХАБР. - URL: https://habr.com/ru/articles/495236/</mixed-citation><mixed-citation xml:lang="en">Analysis of international documents on information security risk management. Part 1. / Expert Ruslan Rakhmetov.HABR. URL: https://habr.com/ru/articles/495236/ (date of application: 18.04.2023). (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Анализ международных документов по управлению рисками информационной безопасности. Часть 2. / Эксперт Руслан Рахметов // ХАБР. - URL: https://habr.com/ru/articles/495986/</mixed-citation><mixed-citation xml:lang="en">Analysis of international documents on information security risk management. Part 2. / Expert Ruslan Rakhmetov. HABR. URL: https:habr.com/ru/articles/495986/ (date of application: 18.04.2023). (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">ГОСТ Р 51897-2011/Руководство ИСО 73:2009. Менеджмент риска. Термины и определения. / Электронный фонд правовых и нормативно-технических документов. - URL: https://docs.cntd.ru/document/1200088035 (дата обращения 20.04.2023).</mixed-citation><mixed-citation xml:lang="en">GOST R 51897-2011/ISO 73:2009 Manual. Risk management. Terms and definitions. Electronic Fund of legal and regulatory documents. URL: https://docs.cntd.ru/document/1200088035 (date of application: 20.04.2023). (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Управление Рисками. / Кирилл Воротинцев. // Официальный сайт. Код Информационной Безопасности.- URL: https://codeib.ru/slides/slide/upravlenie-riskami-659 (дата обращения 20.04.2023).</mixed-citation><mixed-citation xml:lang="en">Risk Management. Kirill Vorotyntsev.Official website. Information Security Code. URL: https://codeib.ru/slides/slide/upravlenie-riskami-659 (date of application: 20.04.2023). (In Russ)</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
