Телефон: 8-800-350-22-65
E-mail: mail@sibac.info
Напишите нам:
WhatsApp:
Telegram:
MAX:
Прием заявок круглосуточно
График работы офиса: с 9:00 до 21:00 Нск (с 5:00 до 19:00 Мск)
Главная Научные журналы Студенческий Выпуск №17(355) Статья

Статья опубликована в рамках: Научного журнала «Студенческий» № 17(355)

Рубрика журнала: Информационные технологии

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Алекперли Н.Х. ОЦЕНКА ЭФФЕКТИВНОСТИ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВЕ РИСКОВ И МЕТРИК // Студенческий: электрон. научн. журн. 2026. № 17(355). URL: https://sibac.info/journal/student/355/414898 (дата обращения: 14.06.2026).

ОЦЕНКА ЭФФЕКТИВНОСТИ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВЕ РИСКОВ И МЕТРИК

Алекперли Наргиз Хафиз

магистрант, Академия государственного управления при Президенте Азербайджанской Республики,

Азербайджан, г. Баку

Гаджиева Рена Джавадхан

научный руководитель,

д-р философии по педагогике, доц. Кафедры информационных технологий в государственном управлении, Академия государственного управления при Президенте Азербайджанской Республики,

Азербайджан, г. Баку

АННОТАЦИЯ

В статье рассматривается комплексная оценка эффективности систем информационной безопасности на основе рисков и метрик. Основное внимание уделяется остаточному риску, технической защищенности, реагированию на инциденты и управленческим показателям системы защиты.

 

Ключевые слова: информационная безопасность; эффективность; система показателей; остаточный риск; метрики безопасности; управление инцидентами.

 

Оценка эффективности системы информационной безопасности является важным условием устойчивой работы организации. Наличие антивирусных программ, межсетевых экранов, резервного копирования и правил доступа еще не означает, что система защиты действительно выполняет свою задачу. Эффективность проявляется тогда, когда меры безопасности уменьшают вероятность инцидента, ограничивают возможный ущерб и ускоряют восстановление работы.

Информационная безопасность не может быть оценена одним универсальным показателем. Количество установленных средств защиты или объем расходов показывает только наличие ресурсов, но не доказывает их полезность. Поэтому анализ должен учитывать связь между защитными мерами, критичностью информационных активов, вероятностью угроз и последствиями нарушения конфиденциальности, целостности или доступности данных.

В современных подходах к менеджменту информационной безопасности большое значение имеют мониторинг, измерение и последующая оценка результатов. Стандарт ISO/IEC 27004 рассматривает измерение как способ оценки результативности процессов и контролей системы менеджмента информационной безопасности [1, с. 1]. Следовательно, метрики должны использоваться не только для отчетности, но и для постоянного улучшения защиты.

Основой комплексной оценки является риск-ориентированный подход. До внедрения защитных мер организация имеет исходный риск, который зависит от ценности актива, вероятности реализации угрозы, имеющихся уязвимостей и размера возможного ущерба. После применения организационных и технических контролей остается остаточный риск. Если он сохраняется на высоком уровне, систему нельзя считать эффективной даже при наличии большого количества средств защиты. В ISO/IEC 27005 управление рисками раскрывается как процесс оценки, обработки, мониторинга и пересмотра рисков информационной безопасности [2, с. 6].

Для практического применения целесообразно выделить несколько групп показателей. Первая группа связана с рисками: уровень остаточного риска, доля критических рисков, наличие владельцев рисков и своевременность их пересмотра. Вторая группа характеризует техническую защищенность: количество критических уязвимостей, срок их устранения, процент обновленных систем, полноту журналирования и работоспособность резервного копирования.

Третья группа отражает способность организации обнаруживать инциденты и реагировать на них. Здесь используются среднее время выявления события, среднее время реагирования, доля повторяющихся инцидентов, качество документирования действий и выполнение плана восстановления. Руководство NIST по измерению информационной безопасности подчеркивает, что метрики помогают оценивать достаточность действующих политик, процедур и контролей, а также обосновывать распределение ресурсов [3, с. 2].

Четвертая группа объединяет управленческие показатели: наличие утвержденных политик, регулярность аудита, распределение ответственности, обучение пользователей и контроль прав доступа. Эти показатели показывают, насколько безопасность включена в ежедневную деятельность организации.

Показатели необходимо анализировать в контексте. Рост числа зарегистрированных инцидентов может быть связан не с ухудшением безопасности, а с улучшением мониторинга. Поэтому выводы должны учитывать изменения инфраструктуры, объем журналирования и текущую угрозовую среду.

Практическая модель оценки может включать пять этапов: определение критичных активов, выбор показателей, сбор данных, сравнение фактических значений с целевыми и подготовку корректирующих мероприятий. Такой порядок помогает не только фиксировать состояние безопасности, но и выбирать направления развития системы защиты.

Таким образом, эффективность системы информационной безопасности следует оценивать по совокупности измеримых результатов. Наиболее обоснованной является модель, в которой показатели рисков, уязвимостей, инцидентов и управления рассматриваются во взаимосвязи.

 

Список литературы:

  1. ISO/IEC 27004:2016. Monitoring, measurement, analysis and evaluation. Geneva: ISO, 2016.
  2. ISO/IEC 27005:2022. Guidance on managing information security risks. Geneva: ISO, 2022.
  3. Schroeder K., Marron J., Feldman L. Measurement Guide for Information Security. NIST SP 800-55 Vol. 1. Gaithersburg: NIST, 2024.