Рассматриваются аспекты управления рисками информационной системы (ИС). На осно-ве анализа работ российских и зарубежных ученых, а также результатов мировой практики в области управления рисками, утверждается, что существует необходимость в повышении эффективности управления рисками ИС и в разработке метода управления рисками ИС. В качестве решения проблемы эффективного управления рисками ИС предложена фор-мализованная процедура управления рисками ИС. Научной новизной такого решения явля-ется использование пространства решений и оптимизационного пространства для снижения рисков. Данная процедура позволяет оценить ущерб, риск и эффективность управления рис-ками ИС. Определены и проанализированы риски ИС, разработана пирамидальная диаграм-ма рисков, которая позволяет описать взаимосвязь рисков с компонентами ИС. Приведены негативные последствия, к которым могут привести данные риски. Проведен анализ методов и подходов к управлению рисками. По результатам проведенного анализа максимальную оценку набрали методы GRAMM, CORAS, ГОСТ Р ИСО/МЭК. Описаны недостатки этих методов, отмечается сложность применения данных методов на практике. Разработанная формализованная процедура управления рисками ИС может быть использована как элемент системы менеджмента качества информационной безопасности, выполняющей рекоменда-ции ГОСТ Р ИСО/МЭК 27003-2012. В перспективе результаты исследования станут основой для разработки системы управления рисками ИС.Ключевые слова: информационная система, риск, ущерб, оценка, эффективность управ-ления, оптимизация.
ВведениеРазработка методологии обеспечения информационной безопасности (ИБ) предприятия яв-ляется одним из самых востребованных направлений современной науки. Причиной тому являют-ся стремительное развитие предприятий; высокая численность информационных систем (ИС) раз-личного типа; большое число сервисов, предоставляемых ИС; строгое регулирование деятельно-сти по защите информации на уровне законодательства; высокие требования ИБ, предъявляемые к ИС. Несмотря на то, что в настоящее время существуют многофункциональные центры монито-ринга, они решают в основном задачи выявления атак, установления инцидентов, нарушения по-литики ИБ, контроля сетевого трафика. Нестабильное управление бизнес-процессами предприя-тия и неоднозначность решения вопросов обеспечения ИБ может привести к развитию рисков нарушения ИБ. Часто на практике принятие решения об управлении рисками осуществляется в условиях полной неопределенности. Поэтому определяющим фактором в управлении рисками является анализ рисков и выбор подходящего метода управления [1].Научные результаты, представленные в данной статье, сформировались в основном на базе научных работ российских и зарубежных ученых: А. А. Финогеева, А. Г. Финогеева, И. М. Ажму-хамедова, В. А. Камаева, О. М. Князевой, О. Н. Выборновой, И. В. Аникина, T. Campbell.Вопросы управления и оценки рисков рассматриваются в работах российских и зарубежных авторов [2][3][4][5][6][7], однако открытым остается ряд вопросов: оценка и анализ рисков ИС, классифика-ция рисков, отсут...