<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">inform</journal-id><journal-title-group><journal-title xml:lang="ru">Информатика</journal-title><trans-title-group xml:lang="en"><trans-title>Informatics</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">1816-0301</issn><issn pub-type="epub">2617-6963</issn><publisher><publisher-name>UIIP NASB</publisher-name></publisher></journal-meta><article-meta><article-id custom-type="elpub" pub-id-type="custom">inform-25</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ЗАЩИТА ИНФОРМАЦИИ И НАДЕЖНОСТЬ СИСТЕМ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INFORMATION PROTECTION AND SYSTEM RELIABILITY</subject></subj-group></article-categories><title-group><article-title>ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ИСПОЛЬЗОВАНИЕМ СУЩЕСТВУЮЩЕЙ НОРМАТИВНО-ПРАВОВОЙ И МЕТОДИЧЕСКОЙ БАЗЫ</article-title><trans-title-group xml:lang="en"><trans-title>INFORMATION SECURITY RISK ASSESSMENT USING EXISTING LEGAL AND METHODOLOGICAL BASE</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Трубей</surname><given-names>А. И.</given-names></name><name name-style="western" xml:lang="en"><surname>Trubei</surname><given-names>A. I.</given-names></name></name-alternatives><email xlink:type="simple">rubeia@newman.bas-net.by</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff xml:lang="ru" id="aff-1"><institution>Объединенный институт проблем информатики НАН Беларуси</institution><country>Belarus</country></aff><pub-date pub-type="collection"><year>2015</year></pub-date><pub-date pub-type="epub"><day>27</day><month>09</month><year>2016</year></pub-date><volume>0</volume><issue>2</issue><fpage>102</fpage><lpage>114</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Трубей А.И., 2016</copyright-statement><copyright-year>2016</copyright-year><copyright-holder xml:lang="ru">Трубей А.И.</copyright-holder><copyright-holder xml:lang="en">Trubei A.I.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://inf.grid.by/jour/article/view/25">https://inf.grid.by/jour/article/view/25</self-uri><abstract><p>Проводятся обзор и анализ существующей нормативной базы в области менеджмента рисков информационной безопасности, а также теоретических основ и методов их оценки. Предлагаются практические методы оценки рисков и уязвимостей информационной безопасности.</p></abstract><trans-abstract xml:lang="en"><p>The article provides a survey of the existing regulatory framework for information security riskmanagement. Practical methods for information security risk and vulnerability assessment are proposed.</p></trans-abstract></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования : СТБ ISO/IEC 27001–2011. – Минск : Госстандарт, 2011. – 28 с.</mixed-citation><mixed-citation xml:lang="en">Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования : СТБ ISO/IEC 27001–2011. – Минск : Госстандарт, 2011. – 28 с.</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Домнич, К. Беларусь в международном исследовании компании EY по информационной безопасности за 2013 год / К. Домнич, А. Ворошилов // Банкаўскі веснік. – 2014. – № 2. – С. 64–67.</mixed-citation><mixed-citation xml:lang="en">Домнич, К. Беларусь в международном исследовании компании EY по информационной безопасности за 2013 год / К. Домнич, А. Ворошилов // Банкаўскі веснік. – 2014. – № 2. – С. 64–67.</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 16.01.2015 № 3 «О внесении дополнений и изменений в приказ Оперативно- аналитического центра при Президенте Республики Беларусь от 30.08.2013 № 62» [Электронный ресурс]. – 2015. – Режим доступа : http://www.oac.gov.by/files/files/pravo/prikazi_oac/Prikaz_OAC_3.htm. – Дата доступа : 06.04.2015.</mixed-citation><mixed-citation xml:lang="en">Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 16.01.2015 № 3 «О внесении дополнений и изменений в приказ Оперативно- аналитического центра при Президенте Республики Беларусь от 30.08.2013 № 62» [Электронный ресурс]. – 2015. – Режим доступа : http://www.oac.gov.by/files/files/pravo/prikazi_oac/Prikaz_OAC_3.htm. – Дата доступа : 06.04.2015.</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Информационные технологии. Методы обеспечения безопасности. Менеджмент рисков информационной безопасности : СТБ ISO/IEC 27005–2012. – Минск : Госстандарт, 2012. – 61 с.</mixed-citation><mixed-citation xml:lang="en">Информационные технологии. Методы обеспечения безопасности. Менеджмент рисков информационной безопасности : СТБ ISO/IEC 27005–2012. – Минск : Госстандарт, 2012. – 61 с.</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Information technology – Security techniques – Information security incident management : ISO/IEC 27035:2011. – Geneva : ISO/IEC, 2011. – 78 p.</mixed-citation><mixed-citation xml:lang="en">Information technology – Security techniques – Information security incident management : ISO/IEC 27035:2011. – Geneva : ISO/IEC, 2011. – 78 p.</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Guide for Applying the Risk Management Framework to Federal Information Systems. A Security Life Cycle Approach : NIST 800–37:2010. – Gaithersburg : NIST, 2010. – 93 p.</mixed-citation><mixed-citation xml:lang="en">Guide for Applying the Risk Management Framework to Federal Information Systems. A Security Life Cycle Approach : NIST 800–37:2010. – Gaithersburg : NIST, 2010. – 93 p.</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Малюк, А.А. Теория защиты информации / А.А. Малюк. – М. : Горячая линия – Телеком, 2013. – 184 с.</mixed-citation><mixed-citation xml:lang="en">Малюк, А.А. Теория защиты информации / А.А. Малюк. – М. : Горячая линия – Телеком, 2013. – 184 с.</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Астахов, А.М. Искусство управления информационными рисками / А.М. Астахов. – М. : ДМК Пресс, 2010. – 312 с.</mixed-citation><mixed-citation xml:lang="en">Астахов, А.М. Искусство управления информационными рисками / А.М. Астахов. – М. : ДМК Пресс, 2010. – 312 с.</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Common Vulnerability Scoring System (CVSS-SIG) [Electronic resource]. – 2015. – Mode of access : http://www.first.org/cvss. – Date of access : 06.04.2015.</mixed-citation><mixed-citation xml:lang="en">Common Vulnerability Scoring System (CVSS-SIG) [Electronic resource]. – 2015. – Mode of access : http://www.first.org/cvss. – Date of access : 06.04.2015.</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">Система оценки общеизвестных уязвимостей. Рекомендация. МСЭ-T X.1521 (04/2011) [Электронный ресурс]. – 2015. – Режим доступа : https://www.itu.int/rec/dologin_pub.asp?lang= e&amp;id=T-REC-X.1521-201104-I!!PDF-R&amp;type=items. – Дата доступа : 06.04.2015.</mixed-citation><mixed-citation xml:lang="en">Система оценки общеизвестных уязвимостей. Рекомендация. МСЭ-T X.1521 (04/2011) [Электронный ресурс]. – 2015. – Режим доступа : https://www.itu.int/rec/dologin_pub.asp?lang= e&amp;id=T-REC-X.1521-201104-I!!PDF-R&amp;type=items. – Дата доступа : 06.04.2015.</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Малюк, А.А. Один из подходов к оценке рисков информационной безопасности в облачных средах / А.А. Малюк, А.В. Царегородцев, Е.В. Макаренко // Безопасность информационных технологий. – 2014. – № 4. – С. 68–74.</mixed-citation><mixed-citation xml:lang="en">Малюк, А.А. Один из подходов к оценке рисков информационной безопасности в облачных средах / А.А. Малюк, А.В. Царегородцев, Е.В. Макаренко // Безопасность информационных технологий. – 2014. – № 4. – С. 68–74.</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">Хорев, А.А. Оценка возможностей средств радиоразведки по перехвату информации / А.А. Хорев // Специальная техника. – 2009. – № 2. – С. 54–63.</mixed-citation><mixed-citation xml:lang="en">Хорев, А.А. Оценка возможностей средств радиоразведки по перехвату информации / А.А. Хорев // Специальная техника. – 2009. – № 2. – С. 54–63.</mixed-citation></citation-alternatives></ref><ref id="cit13"><label>13</label><citation-alternatives><mixed-citation xml:lang="ru">Трубей, А.И. Статистические и нейросетевые методы оценки эффективности защиты информации, обрабатываемой средствами вычислительной техники / А.И. Трубей, В.А. Дмитриев, В.В. Анищенко // Электроника инфо. – 2013. – № 6. – С. 24–26.</mixed-citation><mixed-citation xml:lang="en">Трубей, А.И. Статистические и нейросетевые методы оценки эффективности защиты информации, обрабатываемой средствами вычислительной техники / А.И. Трубей, В.А. Дмитриев, В.В. Анищенко // Электроника инфо. – 2013. – № 6. – С. 24–26.</mixed-citation></citation-alternatives></ref><ref id="cit14"><label>14</label><citation-alternatives><mixed-citation xml:lang="ru">NVD Common Vulnerability Scoring System Support v.2 [Electronic resource]. – 2015. – Mode of access : http://www.nvd.nist.gov/cvss.cfm?calculator&amp;version=2. – Date of access : 06.04.2015</mixed-citation><mixed-citation xml:lang="en">NVD Common Vulnerability Scoring System Support v.2 [Electronic resource]. – 2015. – Mode of access : http://www.nvd.nist.gov/cvss.cfm?calculator&amp;version=2. – Date of access : 06.04.2015</mixed-citation></citation-alternatives></ref><ref id="cit15"><label>15</label><citation-alternatives><mixed-citation xml:lang="ru">Vulnerability Severity Level [Electronic resource]. – 2015. – Mode of access : http://www.fortiguard.com/static/intrusionprevention.html. – Date of access : 06.04.2015.</mixed-citation><mixed-citation xml:lang="en">Vulnerability Severity Level [Electronic resource]. – 2015. – Mode of access : http://www.fortiguard.com/static/intrusionprevention.html. – Date of access : 06.04.2015.</mixed-citation></citation-alternatives></ref><ref id="cit16"><label>16</label><citation-alternatives><mixed-citation xml:lang="ru">Статистика уязвимостей в 2011 году [Электронный ресурс]. – 2015. – Режим доступа : http://www.securitylab.ru/analytics/422328.php. – Дата доступа : 06.04.2015.</mixed-citation><mixed-citation xml:lang="en">Статистика уязвимостей в 2011 году [Электронный ресурс]. – 2015. – Режим доступа : http://www.securitylab.ru/analytics/422328.php. – Дата доступа : 06.04.2015.</mixed-citation></citation-alternatives></ref><ref id="cit17"><label>17</label><citation-alternatives><mixed-citation xml:lang="ru">Трубей, А.И. Гомоморфное шифрование: безопасность облачных вычислений и другие приложения (обзор) / А.И Трубей // Информатика. – 2015. – № 1. – С. 90–101.</mixed-citation><mixed-citation xml:lang="en">Трубей, А.И. Гомоморфное шифрование: безопасность облачных вычислений и другие приложения (обзор) / А.И Трубей // Информатика. – 2015. – № 1. – С. 90–101.</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
