Методика оценки рисков информационной безопасности коммерческой организации

1.

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«МИРЭА — РОССИЙСКИЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ»
Институт кибербезопасности и цифровых технологий
Кафедра КБ-1 «Защита информации»
Выпускная квалификационная работа
«Методика оценки рисков информационной безопасности
коммерческой организации»
Выполнил:
Студент группы БББО-11-20
Чебыкин Елисей Игоревич
Руководитель:
К.т.н., доцент Рекунков Иван Сергеевич
Москва, 2024 г.

2.

Актуальность, цель, задачи
Актуальность темы ВКР: обусловлена необходимостью разработки и практического применения
алгоритма оценки рисков коммерческой информационной системы. Это позволит предприятию
подготовить внутреннюю документацию и составить план по управлению рисками информационной
безопасности, что крайне важно в условиях постоянно меняющихся угроз и возрастающей зависимости
бизнеса от информационных технологий.
Цель ВКР: на основе анализа процесса обработки рисков информационной безопасности
разработать методику оценки рисков коммерческой информационной системы.
Задачи ВКР:
1. Изучение и анализ основных понятий риска ИБ.
2. Исследование процесса и основных способов обработки рисков ИБ.
3. Характеристика коммерческой информационной системы как объекта оценки рисков.
4. Детализация этапов анализа информационных рисков.
5. Разработка алгоритма оценки рисков ИБ.
6. Выбор и обоснование методики оценки рисков ИБ.
7. Разработка методики оценки рисков ИБ коммерческой информационной системы.
8. Формирование отчетной документации по результатам оценки рисков.

3.

Предмет исследования: создание методики оценки рисков ИБ коммерческой информационной системы,
включающая анализ существующих методов оценки рисков, формирование подхода к проведению аудита
информационной безопасности и выработку рекомендаций по улучшению состояния защищенности
информационной системы и выбору стратегии обработки рисков ИБ.
Практическая значимость: заключается в повышении уровня защищенности коммерческой
информационной системы и снижении финансовых и репутационных рисков для предприятия.
Новизна работы:
- Разработана комплексная методика оценки рисков ИБ коммерческой информационной системы,
учитывающая специфику деятельности предприятия и его информационных активов.
- Предложен подход к проведению аудита информационной безопасности, включающий анализ угроз,
уязвимостей и рисков с последующей разработкой рекомендаций по их устранению и снижению.
- Разработан алгоритм выбора оптимальной стратегии обработки рисков информационной безопасности на
основе сравнения эффективности различных мер по их снижению.

4.

Риск нарушения информационной безопасности
Информация - это один из важнейших активов, находящихся в пользовании организаций. В связи с этим,
появляется новый, принципиально отличающийся от привычных рисков – риск нарушения
информационной безопасности.
Оценка данного риска позволяет получит ответы на три важнейших вопроса:
• какие информационные активы следует защищать прежде всего;
• от чего или от кого следует защищать эти активы;
• зачем их следует защищать.
Чтобы понять какие меры необходимы и как снизить риски организации потребуется
рассмотреть способы работы с рисками и методы их обработки, а также подходы к оценке
возврата денежных средств, потраченных на безопасность, и принятия остаточных рисков.