Abstract
Currently, the protection of information remains a pressing issue, and the most common approaches to its assessment are verification and risk-oriented method. However, the information security metrics in the relevant methodologies based on these approaches are insufficiently informative, since they take into account only objective aspects of security, completely ignoring the subjective ones. Therefore, they do not allow the development of judgments based on the state of confidentiality, integrity and availability of information and the organization’s information security level as a whole. For that reason, there is a necessity to develop a methodological apparatus for assessing the organization's information security, taking into account objective and subjective aspects of security. The article proposes the approach to assessing information security on the basis of the criterion of confidence that an organization implements its adopted security policy. Assessment of confidence includes assessment of the credibility of organization’s information security, the quality of the trust assessment model and the background of the persons who conducted such an assessment and knowledge assessment regarding threats. As an indicator of confidence, the utility indicator is used as the value of the generalized Harrington’s desirability function. The proposed approach to assessing the organization's information security is fairly simple to be implemented and can be used as a pilot to develop appropriate methods for assessing the security of organizations of various forms of ownership.
Highlights
Проводятся ли работы по обеспечению безопасности информации с помощью СКЗИ в соответствии с действующими законодательством, нормативными документами, регламентирующими вопросы эксплуатации СКЗИ, техни
They do not allow the development of judgments based on the state of confidentiality, integrity and availability of information and the organization’s information security level as a whole
Summary
В настоящее время защита информации остается актуальной проблемой, а наиболее распространенными подходами к ее оценке являются верификационный и риск-ориентированный. В работах [8, 9] предложены модели оценки доверия к информационной безопасности, а в [10] рассмотрены примеры организации и использования мер обеспечения уверенности и доверия на основе требований стандарта [11]. А это в свою очередь индуцирует применение соответствующих технических и организационных мер безопасности для ослабления уязвимостей и угроз с целью обеспечения достаточно приемлемого уровня доверия к ИБ организации. Уверенность является предметом восприятия отдельным лицом специфических требований безопасности и информации, полученной в результате оценки, о том, что оцениваемый объект будет функционировать в соответствии с установленными требованиями. Доверие правильности связано с оценкой соответствия ИБ организации требованиям стандартов или передовым мировым практикам в области информационной безопасности и защиты информации. С целью получения общего доверия к ИБ организации, которое будет служить основой нашей уверенности, что организация реализует принятую политику безопасности. Для наглядности эти факторы можно представить следующим графом (рис. 1)
Sign-in/Register to view highlights & summary Sign-in/Register to access full text options 
Free) 
Talk to us
Join us for a 30 min session where you can share your feedback and ask us any queries you have
Schedule a call
