Модель управления информационной безопасностью кредитных организаций 
Беляев Е.А., Лившиц И.И.

1
Введение

2
Обзор нормативно-правовой базы

3
Методология

4
Таблица 1. Требования ГОСТ Р 57580.1

5
Таблица 2. Требования СТО БР ИББС-1.2
Таблица 3. Требования PCI DSS 4.0

6
Таблица 4. Требования ГОСТ Р ИСО/МЭК 27001-2021
Таблица 5. Требования COBIT 5

7
Таблица 6. Требования NIST SP 800-30
Построение модели управления информационной безопасностью

8
Таблица 7. Требования стандартов (методик)
Таблица 8. Сопоставление требований к выбранному
Выбор математического аппарата для построения модели управления

9
Таблица 9. Оценочные критерии стандартов
Анализ первой зависимости (зависимости стоимости проведения аудита от количества критериев)

10
Таблица 10. Симплекс-таблица 1

11
Таблица 11. Симплекс-таблица 2
Таблица 12. Симплекс-таблица 3
Анализ второй зависимости (зависимости стоимости проведения аудита от времени проведения)

12
Таблица 13. Симплекс-таблица 4
Таблица 14. Симплекс-таблица 5
Таблица 15. Симплекс-таблица 6
Анализ третьей зависимости (зависимости стоимости проведения аудита от его рейтинга)

13
Таблица 16. Симплекс-таблица 7
Таблица 17. Симплекс-таблица 8
Таблица 18. Симплекс-таблица 9 (итерация 1)
Таблица 19. Симплекс-таблица 10

14
Таблица 20. Симплекс-таблица 11 (итерация 2)
Заключение
Литература

Ключевые слова: модель управления информационной безопасностью, кредитные организации, управление рисками, платежная система, симплекс-метод

Аннотация

В статье описан метод анализа стандартов по управлению информационной безопасностью, а также математические методы, предназначенные для поиска варианта оптимальной реализации систем обеспечения информационной безопасности. Основным результатом авторского исследования является модель управления информационной безопасностью, обеспечивающая оптимальные варианты реализации системы информационной безопасности для кредитных организаций Российской Федерации.

Журнал: «Управление финансовыми рисками» — №3, 2023 (© Издательский дом Гребенников)
Объем в страницах: 15

DOI

10.36627/2221-7541-2023-3-3-180-194 — https://doi.org/10.36627/2221-7541-2023-3-3-180-194

* Деятельность Meta (соцсети Facebook и Instagram) запрещена в России как экстремистская.

1. Амуртазаева Ф.А., Брянцева В.С., Гусаров А.А. Существующие методики оценки рисков информационной безопасности // Проблемы и тенденции научных исследований в системе образования: Сборник статей международной научно-практической конференции. — 2019. — С. 16–17.

2. Атиева З.И. Управление ликвидностью коммерческого банка с применением симплекс-метода // Молодежный вестник Уфимского государственного авиационного технического университета. — 2017. — №1. — С. 280–284.

3. Баранова Е.К., Мурзакова А.А., Мурзакова Е.А. Сравнительный анализ программного обеспечения для анализа рисков информационной безопасности в соответствии с ГОСТ Р ИСО/МЭК 27005-10 // Информационные технологии и вычислительные системы. — 2019. — №2. — С. 75–83.

4. Беляев Е.А., Емельянова О.А., Исаев А.С. Проблемы применения методических документов Банка России при осуществлении оценки рисков информационной безопасности кредитно-финансовых организаций // Научно-технический вестник Поволжья. — 2020. — №4. — С. 84–86.

5. Беляев Е.А., Емельянова О.А., Лившиц И.И. Анализ методик оценки рисков информационной безопасности кредитно-финансовых организаций // Научно-технический вестник информационных технологий, механики и оптики. — 2021. — Том 21. — №3(133). — С. 437–441.

6. Булдакова Т.И., Миков Д.А. Обеспечение согласованности и адекватности оценки факторов риска информационной безопасности // Вопросы кибербезопасности. — 2017. — №3(21). — С. 8–15.

7. Волошин И.П. Построение математической модели конфликта угроз и комплексной системы защиты информации в информационнокоммуникационных сетях // Информационная безопасность регионов. — 2017. — №2(27). — С. 5–8.

8. Данные бонусной платформы «СберСпасибо» попали в сеть. — Подробнее .

9. Иванченко П.Ю., Куракова К.В., Тихонова А.А. Численное исследование вопросов стратегического планирования развития коммерческого банка с помощью оптимизационного программного комплекса // Advances in Science and Technology: Сборник статей VII Международной научно-практической конференции. — М.: Актуальность.РФ, 2017. — С. 103–106.

10. Каранина Е.В. Аналитическая деятельность коммерческого банка в сфере управления рисками: дисс. к. э. н. — Киров: Вятская государственная сельскохозяйственная академия, 2003.

11. Кочегурова Е.А. Теория и методы оптимизации: учебное пособие для академического бакалавриата. — М.: Юрайт, 2016.

12. Кулипанова В.П. Методы оптимизации в решении задачи исполнения платежей в условиях недостаточной ликвидности // Деньги и кредит. — 2015. — №4. — С. 49–56.

13. Миков Д.А. Анализ методов и средств, используемых на различных этапах оценки рисков информационной безопасности // Вопросы кибербезопасности. — 2017. — №4(7). — С. 49–54.

14. Митюшин Н.Ю. Задачи оптимального управления финансовыми ресурсами: дисс. к. физ.-м. н. — М.: Московский физико-технический институт, 2005.

15. Национальный стандарт Российской Федерации ГОСТ Р 57580.2-2018. — Подробнее .

16. Положение Банка России от 8 апреля 2020 г. №716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». — Подробнее .

17. Положение Банка России от 12 января 2022 г. №787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг». — Подробнее .

18. Рабыко И.Н., Семенов А.В. Методы управления риском потери ликвидности // Вестник Белорусского государственного экономического университета. — 2015. — №5(112). — С. 96–102.

19. Рядунова Т.Н., Рубцова О.О. Управление ресурсами банковского учреждения путем оптимизации структуры баланса // Бизнес информ. — 2014. — №5. — С. 140–146.

20. Сергеев С.С., Мазунин А.С., Филиппов П.И. Оценка информационной безопасности информационных систем затратным подходом // Сборник статей XV Международной научно-практической конференции «Мировые научные исследования и разработки в эпоху цифровизации». Часть I. — Ростов-на-Дону: Южный университет (ИУБиП), 2021. — С. 210–212.

21. Сизов В.А., Дрожкин А.А. Моделирование экономики информационной безопасности субъекта экономической деятельности на основе симплекс-метода // Вестник российского экономического университета имени Г.В. Плеханова. — 2021. — №18(1). — С. 173–178.

22. Ситская А.В., Табакаева В.А., Селифанов В.В. Вопросы автоматизации проведения аудита в соответствии с ГОСТ Р 57580.2-2018 // Интерэкспо-Гео-Сибирь. — 2021. — №6. — С. 268–275.

23. Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организации банковской системы Российской Федерации». — Подробнее .

24. Утвержден новый национальный стандарт безопасности банковских и финансовых операций. — Подробнее .

25. Чумакова О.В. Экономико-математические методы оценки, анализа и прогнозирования банковских рисков // Экономика и бизнес: теория и практика. — 2018. — №9. — С. 86–88.

26. Шабуров А.С., Журилова Е.Е. Модель выявления каналов утечки информации в автоматизированных системах на основе симплекс-метода // Вестник Пермского национального исследовательского политехнического университета. Электротехника, информационные технологии, системы управления. — 2017. — №24. — С. 7–19.

27. ISO/IEC 27001 «Системы менеджмента информационной безопасности. Требования». — Подробнее .

28. Alohali M., Clarke N., Li F. et al. (2018). «Identifying and predicting the factors affecting end-users’ risk-taking behavior». Information & Computer Security, Vol. 26(3), pp. 306–326.

29. Azhmukhamedov I.M., Vybornova O.N., Brumshtein Yu.M. (2016). «Management of information security risks in a context of uncertainty». Automatic Control and Computer Sciences, Vol. 50, pp. 657–663.

30. COBIT5. IT Governance Framework. — Подробнее .

31. Ibrahimova A.N. (2021). «The factor of the rick and risk management in information security». Journal of Actual Problems of Jurisprudence, Vol. 4, pp. 97–106.

32. ISO/IEC 27005:2022. Information Security, Cybersecurity and Privacy Protection. Guidance on Managing Information Security Risks. — Подробнее .

33. Koryagina S.A. (2021). «Application and implementation of the PCI DSS standard for data protection in the field of payment cards». Сomponents Scientific and Technological Progress, Vol. 3(57), pp. 5–8.

34. Livshitz I.I., Lontsikh P.A., Lontsikh N.P., Golovina E., Safonova O. (2021). «A study of modern risk management methods for industrial safety assurance in the fuel and energy industry». In: 2021 IEEE International Conference «Quality Management, Transport and Information Security, Information Technologies» (IT&QM&IS). New York: Institute of Electrical and Electronics Engineers Inc., pp. 165–167.

35. Livshitz I., Lontsikh P.A., Lontsikh N.P., Golovina E., Safonova O. (2020). «The effects of cyber-security risks on added value of consulting services for IT-security management systems in holding companies». In: 2020 IEEE International Conference «Quality Management, Transport and Information Security, Information Technologies» (IT&QM&IS). New York: Institute of Electrical and Electronics Engineers Inc., pp. 119–122.

36. Pereira T., Santos H. (2015). «Insider threats: the major challenge to security risk management». Lecture Notes in Computer Science, Vol. 9190, pp. 654–663.

37. SP 800-30. Revision1. Guide for Conducting Risk Assessments. — Подробнее .

38. The PCI Security Standards Council. — Подробнее .

39. Varela-Vaca Á.J., Parody L., Casca R.M., Gómez-López M.T. (2019). «Automatic verification and diagnosis of security risk assessments in business process models». IEEE Access, Vo. 7, pp. 26448–26465.

Лившиц Илья Иосифович

Лившиц Илья Иосифович
д. т. н.
профессор

Профессор практики Университета ИТМО.

г. Санкт-Петербург

Другие статьи автора 18

Беляев Евгений Александрович

Беляев Евгений Александрович

Аспирант факультета ФБИТ Университета ИТМО.

г. Санкт-Петербург