ABSTRACT
The purpose of this work is to investigate methods for improving the efficiency of enterprise information security risk management and to select and justify the best methods for non-profit public utility companies in the healthcare sector.
The object of the study is the regulation of relations in the field of protection of information with restricted access in enterprises, institutions, organizations.
The subject of work is methods of increasing the efficiency of information security risk management of the enterprise. The work was done for probation in a non-profit public utility company in the healthcare sector.
The main methods used in the work are analysis, synthesis, structural method and comparison method. Special methods are divided into qualitative, quantitative and mixed methods.
According to the results of the study, we come to the conclusions about the methodological validity and economic feasibility of implementing a cybersecurity risk management system for a non-profit health care utility based on ISO / IEC TR 13335 standards.
We conclude that the ISO / IEC TR 13335 risk management system is justified for non-profit utility companies
The results of the master's thesis are subject to practical application for the implementation of an effective system of information security risk management during the reorganization from healthcare facilities to municipal non-profit enterprises undergoing medical reform and decentralization. In the future, the results of this study can be used to improve the cybersecurity risk management of existing community-based nonprofit healthcare businesses.
даних (наприклад, документи у форматах MS-Word або Postscript, тексти поштових повідомлень), здатні утримувати інтерпретуються компоненти, які можуть запускатися неявним чином при відкритті файлу. Як і всяке в цілому прогресивне явище, таке "підвищення активності даних" має свій зворотний бік (у розглянутому випадку - відставання у розробці механізмів безпеки і помилки в їх реалізації). Звичайні користувачі ще не скоро навчаться застосовувати інтерпретуються компоненти "у мирних цілях" (або хоча б дізнаються про їх існування), а перед зловмисниками відкрилося по суті необмежене поле діяльності [25]. Інтеграція різних сервісів, наявність серед них мережевих, загальна зв'язність багаторазово збільшують потенціал для атак на доступність, полегшують поширення шкідливого програмного забезпечення (вірус «Melissa» - класичний тому приклад). Як це часто буває, услід за «Melissa» з'явилася на світ ціла серія вірусів, «черв'яків» і їх комбінацій: «Explorer.zip» (червень 1999), «BubbleBoy» (листопад 1999), «ILOVEYOU» (травень 2000) та інші. Не те що б від них був особливо великий збиток, але суспільний резонанс вони викликали чималий [9]. Активний вміст, крім інтерпретуються компонентів документів та інших файлів даних, має ще однин популярний інтерфейс - так звані мобільні агенти. Це програми, які завантажуються на інші комп'ютери і там виконуються. Найбільш відомі приклади мобільних агентів - Java-аплети, що завантажуються на комп'ютер користувача і інтерпретовані Internet-навігаторами. Виявилося, що розробити для них модель безпеки, що залишає достатньо можливостей для корисних дій, не так-то просто; ще складніше реалізувати таку модель без помилок. У серпні 1999 року стали відомі недоліки в реалізації технологій ActiveX і Java в рамках Microsoft Internet Explorer, які давали можливість розміщувати на Web-серверах шкідливі аплети, що дозволяють одержувати повний контроль над системою-візитером.
за межі допустимого і записує в потрібні зловмисникові місця певні дані. Так діяв ще в 1988 році знаменитий «черв'як Моріса»; у червні 1999 року хакери знайшли спосіб використовувати аналогічний метод по відношенню до Microsoft Internet Information Server (IIS), щоб отримати контроль над Web-сервером. Вікно небезпеки охопило відразу близько півтора мільйонів серверних систем.
Це припущення призводить до аналізу ризику за окремими професійними групами. ⎯ Ідентифікація, вибір та реалізація безпеки. ⎯ Рекомендації щодо програми безпеки. Основна мета оцінки ризику за допомогою методу Паркера - розробка політики безпеки та планів захисту окремих інформаційних систем. Елементи методуКортні також використовуються в цьому методі розширено, щоб включити якісну оцінку ризику та зменшити вплив людського фактору на ризики. У ньому також важливий процес управління безпекою інформаційних систем, що відрізняє його від інших методів[9].
БІБЛІОГРАФІЯ
1. Courtney, R. 1977. Securityrisk assessmentin electronicdata processing. AFIPS Conference Proceedings National ComputerConference 46, 97-104.
2. Government of Canada, CommunicationsSecurityEstablishment. 1999. Threatand Risk Assessment Working Guide.
3. Kendall, K. Lyytinen, K., DeGross, J. IFIP Transactions A8 TheImpact of ComputerSupported Technologies onInformation Systems Development. Amsterdam: North-Holland, 43-60.
4. Management of Federal InformationResources, Office of Managementand Budget 1996. OMB Circular A-130. Washington.
5. Meritt, W.J. 1998. RiskManagement. 21th NISSC (National Information Systems Security Conference). Arlington, Virginia.
6. Ozier, W. 1997. Issuesin Qualitative risk analysis. Data Pro Report, August. NewYork: McGraw-Hill.
7. Parker, D. 1976. Crimeby Computer. NewYork: Chas Scribners Sons.
8. Sumner, M. 1992. Theimpact of Computer Assisted Software Engineering on Systems Development.
9. U.S. Department of Commerce, National Bureau of Standards, 1979.Guideline for Automatic Data Processing Risk Analysis, Federal Information Processing Standards Publication FIPS 65.
10. Whitman M.E., Mattord H.J., Readings and Cases in the Management of Information Security, Thomson Course Technology, Boston 2006, s. 52.
