Метою статті є проведення детального аналізу відомих методів управління ризиками CRAMM та COBIT 5 for Risk для їх використання стосовно мінімізації впливу ризиків на інформаційну безпеку підприємства (організації, установи). Під час написання статті застосовано теоретичні методи, а саме аналіз досліджень і публікацій за тематикою управління ризиками. Зазначений методологічний підхід дає змогу порівняти основні методи управління ризиками. У роботі зазначено, що найбільш поширеними у світі методами та методиками управління ризиками інформаційної безпеки є CRAMM, COBIT for Risk, FRAP, Octave і Microsoft. Проведено ретельний аналіз методів CRAMM і COBIT 5 for Risk. Зазначено що метод CRAMM має етапи ініціювання, ідентифікації й оцінювання ІТ-активів, оцінювання загроз і вразливостей, визначення ризику. Наведено структуру методології COBIT 5 for Risk, розглянуто компоненти установи стосовно опису функцій і процесів управління ризиками за цією методологією та запропоновано рекомендації щодо впровадження заходів зниження ризиків. Наведено основні переваги та недоліки розглянутих методів управління ризиками. Значимість ризиків інформаційної безпеки зростає через збільшення кількості реалізованих нападів, і з урахуванням їх руйнівного потенціалу. Поряд із визначеними перевагами вони мають і свої обмеження. Зокрема, розглянуті методи ефективно використовуються комерційними компаніями і державними установами, а також можуть бути застосовані під час оцінювання й управління ризиками інформаційної безпеки об’єктів критичної інфраструктури.

Курс лекцій підготовлено відповідно до робочої програми навчальної дисципліни «Інформаційна безпека» та містить основні тексти лекцій, що відповідають визначеній програмою тематиці. Подано теоретичний та аналітичний матеріал щодо основних засад інформаційної безпеки держави; класифікації національних інтересів та загроз інформаційній безпеці; міжнародної та вітчизняної нормативно-правової бази у сфері забезпечення інформаційної безпеки; напрямів державної політики інформаційної безпеки, структури та повноважень органів, що забезпечують інформаційну безпеку та кібербезпеку в Україні; національного інформаційного простору та системи національних інформаційних ресурсів, проблем забезпечення стійкості національного інформаційного простору.

Статтю присвячено дослідженню кібербезпеки інформаційних систем підприємств в енергетичному секторі. Сьогодні енергокомпанії централізовано через інформаційні системи здійснюють контроль і управління процесами виробництва, передачі та розподілу електроенергії. Розвиток технологій Smart Grid та розумного обліку ведуть до появи численних нових послуг та сервісів, у тому числі і шляхом залучення споживачів, що кардинально змінює архітектуру систем у бік розподіленої автоматизації та змінює принципи управління, доступу і використання інформаційних систем та породжує якісно нові загрози і ризики. У роботі запропоновано методику графічного моделювання процесу оцінки ризиків кількісним та якісним методом з використанням діаграм діяльності та обчислення ймовірних втрат від реалізації загрози із врахуванням коефіцієнта руйнування. Для проведення аналізу ризиків необхідно: визначити список і цінність активів (ресурсів), що підлягають захисту; ідентифікувати список загроз інформаційній безпеці, актуальних для даної інформаційної системи; оцінити ймовірність реалізації загроз; визначити вразливість активів та розмір потенційних збитків; виконати оцінку ризиків; запропонувати рішення, яке забезпечує необхідний рівень інформаційної безпеки, забезпечити реалізацію і тестування обраних способів захисту та провести оцінку залишкового ризику. Детально проаналізовано особливості зовнішніх і внутрішніх загроз та вразливостей об’єктів ІТ-інфраструктури в енергетичному секторі. Основними загрозами для інформаційних систем автоматизації та управління можна вважати: несанкціоноване використання точок доступу до дистанційного технічного обслуговування; мережеві атаки через корпоративну мережу; атаки на стандартні компоненти, що використовуються в мережі ICS; DDoS-атаки; людська помилка або саботаж; проникнення вірусу через знімний носій чи зовнішні пристрої; несанкціонований доступ до ресурсів; атаки на компоненти мережі; технічні збої або форс-мажор. Узагальнено перелік заходів щодо управління ІТ-ризиками та способи планування, здійснення і контролю контрзаходів, спрямованих на захист інформаційних систем.

Підручник відображає основні аспекти вивчення дисципліни «Системний аналіз інформаційної безпеки»: висвітлення теоретичних основ системного аналізу у сфері інформаційної безпеки, застосування методологічних підходів до створення систем управління інформаційною безпекою, з особливостями створення систем управління інцидентами і управління ризиками інформаційної безпеки та їх впровадження; розкриття застосування методів в системному аналізі інформаційної безпеки: аналіз інформаційних систем, аналіз та синтез у дослідженні і проектуванні організацій, метод аналізу ієрархій і метод мережевого планування; порядок оцінки стану інформаційної безпеки організації: оцінка економічної безпеки підприємства, моніторинг і аудит інформаційної безпеки організації, SIEM в системі управління подіями. Підручник може бути корисний студентам, які навчаються за освітніми програмами за спеціальністю 125 Кібербезпека, науково-педагогічним працівникам, фахівцям в галузі інформаційної безпеки державних та комерційних організацій.

Лекція з навчальної дисципліни «Менеджмент організацій»

Навчальний посібник призначено для вивчення дисциплін Управління інформаційною безпекою, Сучасні інформаційні технології захисту даних. У ньому розглянуті основні загрози інформаційній безпеці, що виникають в сучасному суспільстві та на виробництвах, висвітлено питання протидії комп’ютерним вірусам та захист інформації у комп’ютерних мережах. Особливу увага приділено системі управління інформаційною безпекою, в тому числі її нормативно-правовим забезпеченням. За кожною темою передбачено контрольні запитання та надається загальний перелік використаних джерел. Розраховано на здобувачів вищої освіти.

У навчальному посібнику розглянуто теоретичні й практичні питання основ і положень теорії інформаційної безпеки в комп’ютерних мережах, побудови систем захисту інформації в комп’ютерних мережах, адміністрування систем захисту інформації в комп’ютерних мережах Навчальний посібник призначений для студентів, які навчаються за спеціальностями «Кібербезпека», «Комп’ютерні науки», «Комп’ютерна інженерія», а також аспірантів, науковців та інженерно-технічних працівників з напряму «Інформаційні технології».

Розкрито особливості роботи найбільш поширених моделей оцінювання ризиків інформаційної безпеки в розподілених інформаційних системах. Проаналізовано процесні підходи викладених методологій та підходи до формалізації результатів оцінювання ризиків інформаційної безпеки. Вказано на недосконалості описаних методологій і запропоновано принципи побудови більш функціональних та математично обґрунтованих моделей управління ризиками інформаційної безпеки.

У підручнику розкриваються методологічні аспекти обґрунтування та прийняття раціональних рішень в сфері управлінської діяльності. Приводяться приклади практичної реалізації цих процесів у складних соціотехнічних системах інформаційної безпеки. Розглядаються питання щодо оптимізації отриманих рішень за рахунок автоматизованої обробки вихідної інформації евристичного походження. Підручник орієнтований на широке коло наукових та науково-педагогічних працівників, які займаються питаннями розроблення і застосування систем підтримки прийняття рішень, а також фахівців, які працюють у галузях управління, планування та прогнозування, створюють перспективні або модернізують існуючі АС, ведуть дослідження за напрямом розпізнавання образів. Викладений матеріал призначений для аспірантів та магістрантів вищих навчальних закладів, які навчаються за спеціальністю “Безпека інформаційно-комунікаційних систем” в галузі знань “Інформаційна безпека”.