Аннотация:
Рассматриваются аспекты управления рисками информационной системы (ИС). На основе анализа работ российских и зарубежных ученых, а также результатов мировой практики в области управления рисками, утверждается, что существует необходимость в повышении эффективности управления рисками ИС и в разработке метода управления рисками ИС. В качестве решения проблемы эффективного управления рисками ИС предложена формализованная процедура управления рисками ИС. Научной новизной такого решения является использование пространства решений и оптимизационного пространства для снижения рисков. Данная процедура позволяет оценить ущерб, риск и эффективность управления рисками ИС. Определены и проанализированы риски ИС, разработана пирамидальная диаграмма рисков, которая позволяет описать взаимосвязь рисков с компонентами ИС. Приведены негативные последствия, к которым могут привести данные риски. Проведен анализ методов и подходов к управлению рисками. По результатам проведенного анализа максимальную оценку набрали методы GRAMM, CORAS, ГОСТ Р ИСО/МЭК. Описаны недостатки этих методов, отмечается сложность применения данных методов на практике. Разработанная формализованная процедура управления рисками ИС может быть использована как элемент системы менеджмента качества информационной безопасности, выполняющей рекомендации ГОСТ Р ИСО/МЭК 27003-2012. В перспективе результаты исследования станут основой для разработки системы управления рисками ИС.
Ключевые слова:информационная система, риск, ущерб, оценка, эффективность управления, оптимизация.