Creative Economy

Креативная экономика

1994-6929 2409-4684

BIBLIO-GLOBUS Publishing House

120009

10.18334/ce.17.12.120009

ZOXCJK

Articles

Статьи

Research Article

Cyber risk assessment methodology for the corporate IT monitoring center

Методика оценки киберрисков корпоративного центра ИТ-мониторинга

Khamidullin

Rinald Damirovich

Хамидуллин

Ринальд Дамирович

Соискатель

Renald211@gmail.com

Plekhanov Russian University of Economics Российский экономический университет имени Г.В. Плеханова

25 12 2023

17 12

VOL 17, NO12 (2023)

ТОМ 17, №12 (2023)

4641 4660 15 11 2023

2023

Khamidullin R.D.

Хамидуллин Р.Д.

https://1economic.ru/lib/120009

In the context of rapidly advancing processes of digitization of industries, in particular the oil and gas industry, when production systems and business processes are increasingly dependent on information technology, the issues of assessment and cyber risks and security are becoming more acute. At the same time, the study of cybersecurity problems of production systems and the development of an appropriate methodological base does not always keep pace with the dynamics of cyber threats. Therefore, the author considered it necessary to address this issue and propose his own algorithm for assessing cyber threats, taking into account different scenarios and conditions. Taking this into account, the article discusses the issues of evaluating and testing the algorithm for calculating the magnitude of cyber risk, as well as its impact on key business processes and systems in the context of ensuring the safety of the corporate remote monitoring center for IT services of a large oil and gas company. The author shares practical experience in modeling a cyber-attack scenario and assessing its consequences in real conditions by a multidisciplinary group of IT specialists in terms of acceptability of the risk level, continuity of IT services and possible damage to the company. The article is recommended to the heads of top and medium production companies, managers and specialists in economics in the field of investments and operating cost justification, information technology and information security staff.

В условиях стремительно прогрессирующих процессов цифровизации отраслей производства и, в частности, нефтегазовой промышленности, когда производственные системы и бизнес-процессы все более и более зависят от информационных технологий, все большую остроту приобретают вопросы оценки и киберрисков и киберрбезопасности. При этом изучение проблем кибербезопасности производственных систем и развитие соответствующей методологической базы не всегда успевает за динамикой киберугроз. Поэтому автор посчитал необходимым обратиться к данной тематике и предложить собственный алгоритм оценки киберугроз с учетом разных сценариев и условий. С учетом данного контекста в статье рассматриваются вопросы оценки и апробирования алгоритма расчетавеличины киберриска, а также его влияния на ключевые бизнес-процессы и системы в контексте обеспечения безопасного функционирования корпоративного центра удаленного мониторинга ИТ-сервисов крупной нефтегазовой компании. Автор делится практическим опытом пополисценарному моделированию кибератаки и оценки в реальных условияхмультидисциплинарной группой ИТ специалистов ее последствий в контексте приемлемости уровня риска, непрерывности работы ИТ сервисов и возможного ущерба для компании. Cтатья рекомендуется руководителям производственных предприятий высшего и среднего звена, управленцам и специалистам по экономике в области обоснования инвестиционных и операционных расходов, персоналу по информационным технологиям и информационной безопасности

сorporate monitoring center information systems cyber risks cyber physical environment cyber attack risk management potential vulnerability risk acceptance level Factors influencing scenario metrics risk assessment

Корпоративный центр мониторинга (КЦМ) информационные системы киберриски киберфизическая среда кибератака управление рисками потенциальная уязвимость уровень приемлемости риска факторы влияния ключевых показателей эффективности сценариев оценка риска

1. Хамидуллин Р.Д. Особенности формирования централизованной модели управления производственными системами (на примере компании «ЛУКОЙЛ») // Креативная экономика. – 2021. – № 10. – c. 3851-3866. – doi: 10.18334/ce.15.10.113687.

2. Kaplan S. The Words of Risk Analysis // Risk Anal. – 1997. – № 17. – p. 407–417.

3. ГОСТ Р 51897-2011 / Руководство ИСО 73:2009 «Менеджмент риска. Термины и определения». Кодекс: проф.-справ. сист. [Электронный ресурс]. URL: https://docs.cntd.ru/document/1200088035 (дата обращения: 10.10.2021).

4. Риск-менеджмент на предприятии: этапы организации и виды рисков. Коммерческий директор: профессиональный журнал коммерсанта. [Электронный ресурс]. URL: https://www.kom-dir.ru/article/2670-risk-menedjment (дата обращения: 12.06.2021).

5. Риск-менеджмент на предприятии: этапы организации и виды рисков. Коммерческий директор: профессиональный журнал коммерсанта. [Электронный ресурс]. URL: https://www.kom-dir.ru/article/2670-risk-menedjment (дата обращения: 12.06.2021).

6. Probabilistic Risk Assessment (PRA). Nrc. – 2020. [Электронный ресурс]. URL: https://www.nrc.gov/about-nrc/regulatory/risk-informed/pra.html (дата обращения: 01.12.2020).

7. Tam K., Jones K. MaCRA: a Model-Based Framework for Maritime Cyber-Risk Assessment // WMU Journal of Maritime Affairs. – 2019. – № 18. – p. 129–163.

8. Boyes H., Isbell R. Code of Practice – Cyber Security for Ships. [Электронный ресурс]. URL: https://assets.publishing.service.gov.uk/government/uploads/system/uploads /attachment_data/f (дата обращения: 16.02.2022).

9. ISO/IEC. Information technology – Security techniques – Information security management systems (ISO/IEC 27000). British Standard Institution. [Электронный ресурс]. URL: https://www.iso.org/standard/66435.html (дата обращения: 16.02.2022).

10.

10. Duran F. A., Wyss G. D., Jordan S. E., Cipiti B. B. Risk-Informed Management of Enterprise Security: Methodology and Applications for Nuclear Facilities. Institute of Nuclear Materials Management 54th Annual Meeting. PalmDesert, CA. – 2013. [Электронный ресурс]. URL: https://www.osti.gov/servlets/purl/1107550 (дата обращения: 16.02.2022).

11.

11. Пучков А. Ю., Соколов А. М., Широков С.С., Прокимнов Н. Н. Алгоритм выявления угроз информационной безопасности в распределенных мультисервисных сетях органов государственного управления // Прикладная информатика. – 2023. – № 2. – c. 85-102.

12.

12. Гладков А. Н. Визуализация киберугроз как аспект формирования компетенций в области информационной безопасности // Защита информации. Инсайд. – 2023. – № 1. – c. 32-37.

13.

13. Иванов А. А. Ключевые понятия системного подхода к адаптивному мониторингу информационной безопасности киберфизических систем // Цифровая трансформация общества и информационная безопасность: материалы Всеросс. науч.-практ. конф. (Екатеринбург, 18 мая 2022 г.). Екатеринбург, 2022. – c. 17-20.

14.

14. Прибочий М. Хакеры усиливают натиск // Эксперт. – 2022. – № 14. – c. 36-39.

15.

15. Догучаева С. М. Анализ современных проблем информационной безопасности в российских компаниях // РИСК: Ресурсы, информация, снабжение, конкуренция. – 2022. – № 2. – c. 65-68.

16.

16. Савин М. В., Кондратенко М.А. Методика выявления и оценки недопустимых событий на основе модели зрелости управления информационной безопасностью // Защитаинформации. Инсайд. – 2023. – № 1. – p. 24-31.

17.

17. Федотова Г. В., Куразова Д.А. Угрозы кибербезопасности устойчивости цифровых платформ // BI-технологии и корпоративные информационные системы в оптимизации бизнес-процессов цифровой экономики: материалы IX Междунар. науч. - практ. конф. (Екатеринбург, 2 дек. 2021 г.). Екатеринбург, 2021. – c. 118-122.

18.

18. Белов А. С., Добрышин М.М., Шугуров Д.Е. Модернизация системы информационной безопасности // Защита информации. Инсайд. – 2022. – № 4. – c. 76-80.