Проблемы управления рисками в сфере информационной безопасности

Цель. Целью исследования является сбор общедоступной информации для определения основных проблем, препятствующих эффективному управлению рисками информационной безопасности в сфере бизнеса.
Метод. В качестве методов исследования используются: систематизация, описание и анализ. Необходимые данные формируются на основе информации, полученой по результатам анализа нормативно-правовой базы и исследований по заданной теме.
Результат. Обоснована актуальность рассматриваемого вопроса; отмечается значительная эффективность риск-ориентированного подхода при управлении информационной безопасностью. Описаны ключевые этапы процесса менеджмента рисков информационной безопасности. Выявлены основные проблемы управления рисками информационной безопасности, характерные для отдельных этапов целостного процесса.
Вывод. Материалы, представленные в работе, могут послужить базисом для дальнейших исследований по теме, а также для формирования рекомендаций по разрешению выявленных проблем.

1. ГОСТ Р ИСО/МЭК 27000-2021. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология. - Москва: Стандартинформ, 2021. – 24 с.

2. Анникин И.В. Методы и алгоритмы количественной оценки и управления рисками безопасности в корпоративных информационных сетях на основе нечеткой логики. // Министерство образования и науки РФ. Федеральное ГБОУ высшего образования “Казанский национальный исследовательский технический университет им. А.Н. Туполева-КАИ” - 2017. - С.6-46.

3. Jim Boehm, Nick Curcio, Peter Merrath, Lucy Shenton, and Tobias Stähle. The risk-based approach to cybersecurity/ Официальный сайт. McKinsey & Company. URL: https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/the-risk-based-approach-to-cybersecurity#/ (дата обращения: 15.04.2023).

4. Петренко С. А., Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. - Москва: Компания АйТи; ДМК Пресс, 2004. - 384 с.

5. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. / Электронный фонд правовых и нормативно-технических документов. - URL: https://docs.cntd.ru/document/1200084141 (дата обращения:17.04.2023).

6. Cyber Risk Resources for Practitioners./Institute of Risk Management. - URL: https://www.theirm.org/media/7237/irm-cyber-risk-resources-for-practitioners.pdf (дата обращения: 17.04.2023).

7. NIST Special Publication 800-39. Managing Information Security Risk: Organization, Mission, and Information System View. / National Institute of Standards and Technology. - URL: https://csrc.nist.gov/publications/detail/sp/800-39/final (дата обращения: 17.04.2023).

8. Анализ международных документов по управлению рисками информационной безопасности. Часть 1. / Эксперт Руслан Рахметов // ХАБР. - URL: https://habr.com/ru/articles/495236/

9. Анализ международных документов по управлению рисками информационной безопасности. Часть 2. / Эксперт Руслан Рахметов // ХАБР. - URL: https://habr.com/ru/articles/495986/

10. ГОСТ Р 51897-2011/Руководство ИСО 73:2009. Менеджмент риска. Термины и определения. / Электронный фонд правовых и нормативно-технических документов. - URL: https://docs.cntd.ru/document/1200088035 (дата обращения 20.04.2023).

11. Управление Рисками. / Кирилл Воротинцев. // Официальный сайт. Код Информационной Безопасности.- URL: https://codeib.ru/slides/slide/upravlenie-riskami-659 (дата обращения 20.04.2023).