Научно-технический журнал УДК 004.056.53 В.И. МИЩЕНКО, А.К. ШИЛОВ УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ Рассматривается подход к управлению рисками информационной безопасности в автоматизированных системах управления при помощи американского стандарта NIST 800-30. <...> Наличие системы управления рисками является обязательным компонентом общей системы обеспечения информационной безопасности на всех этапах жизненного цикла. <...> Ключевые слова: риск; управление рисками; информационная безопасность; автоматизированная система управления; система управления жизненным циклом. <...> Прежде всего надо знать, что такое автоматизированная система управления и для чего она нужна. <...> Термин «автоматизированная» в отличие от термина «автоматическая» подчеркивает сохранение за человеком-оператором некоторых функций либо наиболее общего, целеполагающего характера, либо не поддающихся автоматизации [1]. <...> Стандартом, регламентирующим аспекты управления информационными рисками, является американский стандарт NIST 800-30. <...> Методика оценки риска, изложенная в нем, предполагает предварительное оценивание двух параметров: потенциального ущерба и вероятности реализации угрозы. <...> Однако достаточно «жесткий» механизм получения оценок риска существенно ограничивает возможности данной методики. <...> Считается, что система управления рисками организации должна минимизировать возможные негативные последствия, связанные с использованием информационных технологий, и обеспечить выполнение основных бизнес-целей предприятия. <...> Система управления рисками должна быть интегрирована в систему управления жизненным циклом информационной технологии (SDLC – System Development Life Cycle) (рис. <...> В ИТ-системах SDLC состоит из пяти этапов: инициирование (Initiation), разработка или приобретение (Development or Acquisition), реализация (Implementation), эксплуатация или обслуживание (Operation or Maintenance) и утилизация (Disposal) [2]. <...> Оценка риска – это <...>