信息安全风险管理方法 CRAMM 和 COBIT 5 for Risk

Sucasni Informacijni Tehnologii u Sferi Bezpeki ta Oboroni Pub Date : 2023-09-22 DOI:10.33099/2311-7249/2023-47-2-41-47

Павло Сидоркін, Сергій Горліченко, Василь Некоз, Микола Шилан

{"title":"信息安全风险管理方法 CRAMM 和 COBIT 5 for Risk","authors":"Павло Сидоркін, Сергій Горліченко, Василь Некоз, Микола Шилан","doi":"10.33099/2311-7249/2023-47-2-41-47","DOIUrl":null,"url":null,"abstract":"Метою статті є проведення детального аналізу відомих методів управління ризиками CRAMM та COBIT 5 for Risk для їх використання стосовно мінімізації впливу ризиків на інформаційну безпеку підприємства (організації, установи). Під час написання статті застосовано теоретичні методи, а саме аналіз досліджень і публікацій за тематикою управління ризиками. Зазначений методологічний підхід дає змогу порівняти основні методи управління ризиками. У роботі зазначено, що найбільш поширеними у світі методами та методиками управління ризиками інформаційної безпеки є CRAMM, COBIT for Risk, FRAP, Octave і Microsoft. Проведено ретельний аналіз методів CRAMM і COBIT 5 for Risk. Зазначено що метод CRAMM має етапи ініціювання, ідентифікації й оцінювання ІТ-активів, оцінювання загроз і вразливостей, визначення ризику. Наведено структуру методології COBIT 5 for Risk, розглянуто компоненти установи стосовно опису функцій і процесів управління ризиками за цією методологією та запропоновано рекомендації щодо впровадження заходів зниження ризиків. Наведено основні переваги та недоліки розглянутих методів управління ризиками. Значимість ризиків інформаційної безпеки зростає через збільшення кількості реалізованих нападів, і з урахуванням їх руйнівного потенціалу. Поряд із визначеними перевагами вони мають і свої обмеження. Зокрема, розглянуті методи ефективно використовуються комерційними компаніями і державними установами, а також можуть бути застосовані під час оцінювання й управління ризиками інформаційної безпеки об’єктів критичної інфраструктури.","PeriodicalId":30811,"journal":{"name":"Sucasni Informacijni Tehnologii u Sferi Bezpeki ta Oboroni","volume":"19 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2023-09-22","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":"{\"title\":\"Методи управління ризиками інформаційної безпеки CRAMM та COBIT 5 for Risk\",\"authors\":\"Павло Сидоркін, Сергій Горліченко, Василь Некоз, Микола Шилан\",\"doi\":\"10.33099/2311-7249/2023-47-2-41-47\",\"DOIUrl\":null,\"url\":null,\"abstract\":\"Метою статті є проведення детального аналізу відомих методів управління ризиками CRAMM та COBIT 5 for Risk для їх використання стосовно мінімізації впливу ризиків на інформаційну безпеку підприємства (організації, установи). Під час написання статті застосовано теоретичні методи, а саме аналіз досліджень і публікацій за тематикою управління ризиками. Зазначений методологічний підхід дає змогу порівняти основні методи управління ризиками. У роботі зазначено, що найбільш поширеними у світі методами та методиками управління ризиками інформаційної безпеки є CRAMM, COBIT for Risk, FRAP, Octave і Microsoft. Проведено ретельний аналіз методів CRAMM і COBIT 5 for Risk. Зазначено що метод CRAMM має етапи ініціювання, ідентифікації й оцінювання ІТ-активів, оцінювання загроз і вразливостей, визначення ризику. Наведено структуру методології COBIT 5 for Risk, розглянуто компоненти установи стосовно опису функцій і процесів управління ризиками за цією методологією та запропоновано рекомендації щодо впровадження заходів зниження ризиків. Наведено основні переваги та недоліки розглянутих методів управління ризиками. Значимість ризиків інформаційної безпеки зростає через збільшення кількості реалізованих нападів, і з урахуванням їх руйнівного потенціалу. Поряд із визначеними перевагами вони мають і свої обмеження. Зокрема, розглянуті методи ефективно використовуються комерційними компаніями і державними установами, а також можуть бути застосовані під час оцінювання й управління ризиками інформаційної безпеки об’єктів критичної інфраструктури.\",\"PeriodicalId\":30811,\"journal\":{\"name\":\"Sucasni Informacijni Tehnologii u Sferi Bezpeki ta Oboroni\",\"volume\":\"19 1\",\"pages\":\"0\"},\"PeriodicalIF\":0.0000,\"publicationDate\":\"2023-09-22\",\"publicationTypes\":\"Journal Article\",\"fieldsOfStudy\":null,\"isOpenAccess\":false,\"openAccessPdf\":\"\",\"citationCount\":\"0\",\"resultStr\":null,\"platform\":\"Semanticscholar\",\"paperid\":null,\"PeriodicalName\":\"Sucasni Informacijni Tehnologii u Sferi Bezpeki ta Oboroni\",\"FirstCategoryId\":\"1085\",\"ListUrlMain\":\"https://doi.org/10.33099/2311-7249/2023-47-2-41-47\",\"RegionNum\":0,\"RegionCategory\":null,\"ArticlePicture\":[],\"TitleCN\":null,\"AbstractTextCN\":null,\"PMCID\":null,\"EPubDate\":\"\",\"PubModel\":\"\",\"JCR\":\"\",\"JCRName\":\"\",\"Score\":null,\"Total\":0}","platform":"Semanticscholar","paperid":null,"PeriodicalName":"Sucasni Informacijni Tehnologii u Sferi Bezpeki ta Oboroni","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.33099/2311-7249/2023-47-2-41-47","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}

引用次数: 0

摘要

文章的目的是对众所周知的风险管理方法 CRAMM 和 COBIT 5 for Risk 进行详细分析，以便将风险对企业（组织、机构）信息安全的影响降至最低。在撰写这篇文章时，作者采用了理论方法，即分析有关风险管理的研究和出版物。通过这种方法，可以对风险管理的主要方法进行比较。文章指出，世界上最常见的信息安全风险管理方法和技术是 CRAMM、COBIT for Risk、FRAP、Octave 和 Microsoft。本文对 CRAMM 和 COBIT 5 for Risk 方法进行了深入分析。我们注意到，CRAMM 方法包括启动、IT 资产的识别和评估、威胁和脆弱性评估以及风险确定等阶段。介绍了 COBIT 5 for Risk 方法的结构，考虑了根据该方法描述风险管理功能和流程的机构组成部分，并提出了实施风险缓解措施的建议。介绍了所考虑的风险管理方法的主要优缺点。信息安全风险的重要性因攻击数量及其破坏潜力的不断增加而与日俱增。这些方法在具有一定优势的同时，也有其局限性。特别是，上文讨论的方法可有效用于商业公司和政府机构，也可用于评估和管理关键基础设施的信息安全风险。

本文章由计算机程序翻译，如有差异，请以英文原文为准。

查看原文本刊更多论文

Методи управління ризиками інформаційної безпеки CRAMM та COBIT 5 for Risk

Метою статті є проведення детального аналізу відомих методів управління ризиками CRAMM та COBIT 5 for Risk для їх використання стосовно мінімізації впливу ризиків на інформаційну безпеку підприємства (організації, установи). Під час написання статті застосовано теоретичні методи, а саме аналіз досліджень і публікацій за тематикою управління ризиками. Зазначений методологічний підхід дає змогу порівняти основні методи управління ризиками. У роботі зазначено, що найбільш поширеними у світі методами та методиками управління ризиками інформаційної безпеки є CRAMM, COBIT for Risk, FRAP, Octave і Microsoft. Проведено ретельний аналіз методів CRAMM і COBIT 5 for Risk. Зазначено що метод CRAMM має етапи ініціювання, ідентифікації й оцінювання ІТ-активів, оцінювання загроз і вразливостей, визначення ризику. Наведено структуру методології COBIT 5 for Risk, розглянуто компоненти установи стосовно опису функцій і процесів управління ризиками за цією методологією та запропоновано рекомендації щодо впровадження заходів зниження ризиків. Наведено основні переваги та недоліки розглянутих методів управління ризиками. Значимість ризиків інформаційної безпеки зростає через збільшення кількості реалізованих нападів, і з урахуванням їх руйнівного потенціалу. Поряд із визначеними перевагами вони мають і свої обмеження. Зокрема, розглянуті методи ефективно використовуються комерційними компаніями і державними установами, а також можуть бути застосовані під час оцінювання й управління ризиками інформаційної безпеки об’єктів критичної інфраструктури.

求助全文

通过发布文献求助，成功后即可免费获取论文全文。去求助

来源期刊

Sucasni Informacijni Tehnologii u Sferi Bezpeki ta Oboroni

自引率

0.00%

发文量

审稿时长

10 weeks