<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">emjume</journal-id><journal-title-group><journal-title xml:lang="ru">Экономика и управление</journal-title><trans-title-group xml:lang="en"><trans-title>Economics and Management</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">1998-1627</issn><issn pub-type="epub">3033-7984</issn><publisher><publisher-name>СПбУТУиЭ</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.35854/1998-1627-2025-1-72-82</article-id><article-id custom-type="elpub" pub-id-type="custom">emjume-2365</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>МЕНЕДЖМЕНТ ОРГАНИЗАЦИИ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>BUSINESS MANAGEMENT</subject></subj-group></article-categories><title-group><article-title>Управление рисками информационной безопасности</article-title><trans-title-group xml:lang="en"><trans-title>Information security risk management</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><contrib-id contrib-id-type="orcid">https://orcid.org/0000-0002-8266-5537</contrib-id><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Мордовец</surname><given-names>В. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Mordovets</surname><given-names>V. A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Виталий Анатольевич Мордовец, кандидат экономических наук, доцент, заведующий кафедрой управления социально-экономическими системами</p><p>190020, Санкт-Петербург, Лермонтовский пр., д. 44а </p><p>Scopus Author ID: 57203782974</p><p>ResearcherID: AFC-7651-2022</p><p>AuthorID (РИНЦ): 851126</p></bio><bio xml:lang="en"><p>Vitaly A. Mordovets, PhD in Economics, Associate Professor,  Head of the Department of Socio-Economic Chain Management</p><p>44A Lermontovskiy Ave., St. Petersburg 190020</p><p>Scopus Author ID: 57203782974</p><p>ResearcherID: AFC-7651-2022</p><p>AuthorID (RSCI): 851126</p></bio><email xlink:type="simple">mordovets@mail.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><contrib-id contrib-id-type="orcid">https://orcid.org/0009-0003-6916-1451</contrib-id><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Графов</surname><given-names>А. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Grafov</surname><given-names>A. A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Александр Александрович Графов, кандидат экономических наук, доцент, заведующий кафедрой информационных технологий и математики</p><p>190020, Санкт-Петербург, Лермонтовский пр.,  д. 44а</p></bio><bio xml:lang="en"><p>Aleksandr A. Grafov, PhD in Economics, Associate Professor,  Head of the Department of Information Technologies and Mathematics</p><p>44A Lermontovskiy Ave., St. Petersburg 190020</p></bio><email xlink:type="simple">grafov_aa@mail.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Варламов</surname><given-names>Г. В.</given-names></name><name name-style="western" xml:lang="en"><surname>Varlamov</surname><given-names>G. V.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Георгий Валерьевич Варламов, кандидат экономических наук, доцент кафедры международных финансов и бухгалтерского учета, начальник управления внешних коммуникаций</p><p>190020, Санкт-Петербург, Лермонтовский пр., д. 44а</p></bio><bio xml:lang="en"><p>Georgij V. Varlamov, PhD in Economics, Associate Professor at the Department of International Finance and Accounting, Head of External Communications Department</p><p>44A Lermontovskiy Ave., St. Petersburg 190020</p></bio><email xlink:type="simple">varlamovgeorge@mail.ru</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Санкт-Петербургский университет технологий управления и экономики</institution></aff><aff xml:lang="en"><institution>St. Petersburg University of Management Technologies and Economics</institution></aff></aff-alternatives><pub-date pub-type="collection"><year>2025</year></pub-date><pub-date pub-type="epub"><day>01</day><month>03</month><year>2025</year></pub-date><volume>31</volume><issue>1</issue><fpage>72</fpage><lpage>82</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Мордовец В.А., Графов А.А., Варламов Г.В., 2025</copyright-statement><copyright-year>2025</copyright-year><copyright-holder xml:lang="ru">Мордовец В.А., Графов А.А., Варламов Г.В.</copyright-holder><copyright-holder xml:lang="en">Mordovets V.A., Grafov A.A., Varlamov G.V.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://emjume.elpub.ru/jour/article/view/2365">https://emjume.elpub.ru/jour/article/view/2365</self-uri><abstract><sec><title>Цель</title><p>Цель. Изучить методы управления рисками информационной безопасности в условиях цифровой трансформации компаний.</p></sec><sec><title>Задачи</title><p>Задачи. Рассмотреть существующие подходы к модернизации информационных систем, включая метод градуальной модернизации, реинжиниринг бизнес-процессов и технологии реинжиниринга; провести анализ современных методик оценки и контроля рисков, таких как метод CRAMM, модель FRAP, методика OCTAVE и методика управления рисками корпорации Microsoft; выделить преимущества и недостатки этих методов, а также предложить рекомендации по их адаптации и интеграции в современные производственные процессы.</p></sec><sec><title>Методология</title><p>Методология. В процессе исследования использованы общенаучные методы (дедукция, анализ и синтез), а также методы сравнительного анализа.</p></sec><sec><title>Результаты</title><p>Результаты. Определены основные подходы к модернизации информационных систем и вы явлены их отличия, рассмотрены современные методики оценки и контроля рисков (CRAMM, модель FRAP, методика OCTAVE и методика управления рисками корпорации Microsoft), а также сформулированы преимущества и недостатки каждого из них. Кроме того, вырабо таны рекомендации по адаптации рассмотренных методик и их дальнейшей интеграции в современные производственные процессы.</p></sec><sec><title>Выводы</title><p>Выводы. Развитие современных цифровых технологий имеет ряд существенных преимуществ и вместе с тем рисков, которые вынуждены учитывать компании в условиях цифровой транс формации. Грамотное управление рисками информационной безопасности позволяет компа ниям минимизировать ущерб и затраты на ликвидацию негативных последствий. Изученные в ходе исследования методы дают возможность существенно повысить эффективность управ ления рисками информационной безопасности компаний. Важным выводом стало признание необходимости регулярного мониторинга и обновления подходов к управлению рисками в ответ на изменения в технологической среде.</p></sec></abstract><trans-abstract xml:lang="en"><sec><title>Aim</title><p>Aim. The work aimed to study the methods of information security risk management in the context of digital transformation of companies.</p></sec><sec><title>Objectives</title><p>Objectives. The work discusses existing approaches to the modernization of information systems, including the gradual modernization method, business process reengineering and reengineering technologies; it analyzes current risk assessment and control methods, such as the CRAMM method, the FRAP model, the OCTAVE technique, and the Microsoft risk management method; and highlights the advantages and disadvantages of these methods, as well as proposes recommendations for their adaptation and integration into modern production processes.</p></sec><sec><title>Methods</title><p>Methods. The study employed general scientific methods (deduction, analysis and synthesis), as well as comparative analysis methods.</p></sec><sec><title>Results</title><p>Results. The work defines the main approaches to the modernization of information systems, reveals their differences, discusses modern methods of risk assessment and control (CRAMM, FRAP model, OCTAVE method, and Microsoft risk management method), and formulates the advantages and disadvantages of each of them. In addition, recommendations are developed for the adaptation of the considered methods and their further integration into modern production processes.</p></sec><sec><title>Conclusions</title><p>Conclusions. The development of modern digital technologies has a number of significant advantages and also risks that should be taken into account by companies in the context of digital transformation. Competent information security risk management enables companies to minimize damage and costs of eliminating negative consequences. The methods investigated in the course of the study enable to increase significantly the efficiency of information security risk management of companies. An important conclusion was the recognition of the need for regular monitoring and updating of risk management approaches in response to changes in the technological environment.</p></sec></trans-abstract><kwd-group xml:lang="ru"><kwd>менеджмент</kwd><kwd>цифровая трансформация</kwd><kwd>управление рисками</kwd><kwd>информационная безопасность</kwd><kwd>информационные системы</kwd></kwd-group><kwd-group xml:lang="en"><kwd>management</kwd><kwd>digital transformation</kwd><kwd>risk management</kwd><kwd>information security</kwd><kwd>information systems</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Сколько стоят утечки информации: аналитический отчет // Infowatch. 2025. 16 января. URL: https://www.infowatch.ru/analytics/analitika/skolko-stoyat-utechki-informatsii-analiticheskiy-otchet (дата обращения: 25.01.2025).</mixed-citation><mixed-citation xml:lang="en">How much do information leaks cost: Analytical report. Infowatch. Jan. 16, 2025. URL: https://www.infowatch.ru/analytics/analitika/skolko-stoyat-utechki-informatsii-analitiches-kiy-otchet (accessed on 25.01.2025). (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Бычков А. К., Моисеенко А. С. Методы оценки рисков в работе ИТ-подразделений // Молодой исследователь: вызовы и перспективы: сб. ст. по материалам CCCLVIII Междунар. науч.-практ. конф. (Москва, 20 мая 2024 г.). № 20. М.: Интернаука, 2024. С. 741–758.</mixed-citation><mixed-citation xml:lang="en">Bychkov A.K., Moiseenko A.S. Methods of risk assessment in the work of IT departments. In: Young researcher: Challenges and prospects. Proc. 368th Int. sci.-pract. conf. (Moscow, May 20, 2024). Moscow: Internauka; 2024:741-758. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Щенников С. Ю. Реинжиниринг бизнес-процессов. Экспертное моделирование, управление, планирование и оценка. М.: Ось-89, 2004. 288 с.</mixed-citation><mixed-citation xml:lang="en">Shchennikov S.Yu. Business process reengineering. Expert modeling, management, planning and evaluation. Moscow: Os’-89; 2004. 288 p. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Соколов Б. В., Зайчик Е. М., Иконникова А. В., Потрясаев С. А. Комплексное планирование модернизации информационных систем: методологические и методические основы // Труды СПИИРАН. 2006. Т. 1. № 3. С. 265–278.</mixed-citation><mixed-citation xml:lang="en">Sokolov B.V., Zaychik E.M., Ikonnikova A.V., Potryasaev S.A. Comprehensive planning for modernization of information systems: Methodological and technical bases. Trudy SPIIRAN = SPIIRAS Proceedings. 2006;1(3):265-278. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Чернышева Т. Ю., Удалая Т. В. Оценка риска проекта информатизации на основе продукционных правил // Научное обозрение. 2013. № 5. С. 169–172.</mixed-citation><mixed-citation xml:lang="en">Chernysheva T.Yu., Udalaya T.V. Assessing the risk of informatization project based on production rules. Nauchnoe obozrenie. 2013;(5):169-172. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Tian G., Li B., Cheng Y. Does digital transformation matter for corporate risk-taking? // Finance Research Letters. 2022. Vol. 49. Article No. 103107. DOI: 10.1016/j.frl.2022.103107</mixed-citation><mixed-citation xml:lang="en">Tian G., Li B., Cheng Y. Does digital transformation matter for corporate risk-taking? Finance Research Letters. 2022;49:103107. DOI: 10.1016/j.frl.2022.103107</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Идигова Л. М., Бишаев С. С. Стратегические подходы в условиях цифровой трансформации менеджмента в современных компаниях // ФГУ Science. 2020. № 1. С. 97–103.</mixed-citation><mixed-citation xml:lang="en">Idigova L.M., Bishaev S.S. Strategic approaches in the conditions of digital transformation of management in modern companies. FGU Science. 2020;(1):97-103. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Кузина Г. П., Мозговой А. И., Крылов А. Н. Организация цифровой трансформации российских предприятий // Вестник МГПУ. Серия: Экономика. 2020. № 4. С. 69–82. DOI: 10.25688/2312-6647.2020.26.4.07</mixed-citation><mixed-citation xml:lang="en">Kuzina G.P., Mozgovoy A.I., Krylov A.N. Organization of digital transformation of Russian enterprises. Vestnik MGPU. Seriya: Ekonomika = MCU Journal of Economic Studies. 2020;(4):69-82. (In Russ.). DOI: 10.25688/2312-6647.2020.26.4.07</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
