Academic Journal
METHODS OF INFORMATION SECURITY RISK MANAGEMENT: ISO/IEC 27001 AND CIS CRITICAL SECURITY CONTROLS
| Τίτλος: | METHODS OF INFORMATION SECURITY RISK MANAGEMENT: ISO/IEC 27001 AND CIS CRITICAL SECURITY CONTROLS |
|---|---|
| Πηγή: | Ukrainian Scientific Journal of Information Security; Vol. 30 No. 1 (2024): Ukrainian Scientific Journal of Information Security ; 190-196 Безопасность информации; Том 30 № 1 (2024): Безпека інформації; 190-196 Безпека інформації; Том 30 № 1 (2024): Безпека інформації; 190-196 |
| Στοιχεία εκδότη: | National Aviation University, 2024. |
| Έτος έκδοσης: | 2024 |
| Θεματικοί όροι: | інформаційна безпека, cybersecurity, information security, управління ризиками, кібербезпека, risk management, risk response, оцінювання ризиків безпеці інформації, information security risk assessment, реагування на ризик |
| Περιγραφή: | Information security risk management methods based on two key standards, namely CIS Critical Security Controls and ISO/IEC 27001, are an essential part of a modern approach to ensuring the security of information systems. The analysis and study of these standards in the context of minimizing information security risks are crucial stages in the digital environment. During the writing of the article, a theoretical method was used, specifically the analysis of scientific research and publications related to risk management. The use of this methodological approach allowed a comparative analysis of ISO/IEC 27001 and CIS Critical Security Controls. CIS Critical Security Controls define 18 key control measures for the effective protection of information resources, covering aspects such as monitoring, protection against cyber threats, authentication and other security aspects. ISO/IEC 27001 provides a high-level framework for risk management, establishing security policies and audit procedures. CIS Security Controls, on the other hand, focus on specific actions and control points to ensure security. The pros and cons of both standards are analyzed, demonstrating their applicability in different contexts and in the face of modern information security threats. The use of these standards enables effective risk management under the conditions of modern threats and ensures the reliability of information systems. Their widespread use in commercial enterprises and government institutions demonstrates their universality. This article examines the pros and cons of both approaches. In the context of the increasing number of cyber threats and the importance of information security, both standards prove to be valuable tools, but have their limitations. Методи управління ризиками інформаційної безпеки, що ґрунтуються на двох стандартах – ISO/IEC 27001 та CIS Critical Security Controls, є важливою складовою сучасного підходу до забезпечення безпеки інформаційних систем. Аналіз та вивчення цих стандартів у контексті мінімізації ризиків для інформаційної безпеки є ключовим етапом в цифровому середовищі. Під час написання статті застосовано теоретичний метод, зокрема аналіз наукових досліджень та публікацій, що стосуються управління ризиками. Використання зазначеного методологічного підходу дозволило провести порівняльний аналіз стандартів ISO/IEC 27001 та CIS Critical Security Controls. CIS Critical Security Controls визначає 18 ключових контрольних заходів, орієнтованих на ефективний захист інформаційних ресурсів, включаючи моніторинг, захист від кіберзагроз, аутентифікацію та інші аспекти безпеки. ISO/IEC 27001 надає високорівневий фреймворк для управління ризиками, встановлюючи політику безпеки та процеси аудиту. З іншого боку, CIS Security Controls фокусується на конкретних діях та контрольних точках для забезпечення безпеки. Аналізуються переваги та недоліки обох стандартів, демонструючи їхню застосовність у різних контекстах та в умовах сучасних загроз інформаційної безпеки. Розглянуті аспекти допомагають прийняти обґрунтоване рішення щодо вибору стандарту для конкретної організації. Використання цих стандартів дозволяє ефективно управляти ризиками в умовах сучасних загроз і забезпечити надійність інформаційних систем. Широке застосування цих стандартів у комерційних компаніях та державних установах свідчить про їхню універсальність. Стаття розглядає переваги та недоліки обох підходів в контексті зростаючої кількості кіберзагроз і важливості інформаційної безпеки. |
| Τύπος εγγράφου: | Article |
| Περιγραφή αρχείου: | application/pdf |
| Γλώσσα: | Ukrainian |
| DOI: | 10.18372/2225-5036.30.18620 |
| Σύνδεσμος πρόσβασης: | https://jrnl.nau.edu.ua/index.php/Infosecurity/article/view/18620 |
| Αριθμός Καταχώρησης: | edsair.aviationuniv..19d51eabc617f45f69c08d2c14b883ed |
| Βάση Δεδομένων: | OpenAIRE |
| DOI: | 10.18372/2225-5036.30.18620 |
|---|