Практическая работа №5. Анализ и оценка рисков предприятия
Скачать 17.8 Kb.
|
Практическая работа №5. Тема: Анализ и оценка рисков предприятия. Цель работы: Выявить риски информационной безопасности предприятия, проанализировать их и предложить наиболее эффективные меры по их минимизации. Теоретические сведения Оценка рисков нарушения информационной безопасности компьютерных систем является одной из важнейших составляющих процесса управления информационной безопасностью. Риск – это потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов. Риск определяется как сочетание вероятности события и его последствий. Анализ рисков представляет собой процедуры выявления факторов рисков и оценки их значимости, по сути, анализ вероятности того, что произойдут определенные нежелательные события и отрицательно повлияют на достижение целей проекта. Анализ рисков включает оценку рисков и методы снижения рисков или уменьшения связанных с ним неблагоприятных последствий, т.е. идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов. Назначение анализа рисков – дать потенциальным партнерам необходимые данные для принятия решений о целесообразности участия в проекте и выработки мер по защите от возможных финансовых потерь. Анализ рисков можно подразделить на два взаимно дополняющих друг друга вида: качественный и количественный. Качественный анализ имеет целью определить (идентифицировать) факторы, области и виды рисков. Количественный анализ рисков должен дать возможность численно определить размеры отдельных рисков и риска проекта в целом. Контроль рисков состоит в идентификации и выборе контрмер, позволяющих снизить риски до приемлемого уровня. Целью оценки рисков является выявление следующих положений: приемлемость существующих рисков; определение неприемлемых рисков, которые в первую очередь нуждаются в уменьшении; определение защитных средств, экономически целесообразных для уменьшения неприемлемых рисков. Ход выполнения работы: Проанализировать систему информационной безопасности конкретного предприятия (рассмотреть имеющиеся средства и методы защиты информации). Произвести оценку рисков существующей системы безопасности, результаты свести в таблицу 1. Таблица 1 – Оценка рисков существующей системы безопасности предприятия
Проставить в таблице коэффициент вероятности наступления и коэффициент ущерба от реализации угрозы по 3х бальной шкале. Произведение этих составляющих позволят определить риск. Рассчитать общую сумму рисков. На основе полученных данных выделить три типа риска: низкий (1,2), средний (3,4), высокий (6,9). Построить диаграмму оценки рисков по категориям. Сделать выводы. Предложить средства улучшения системы информационной безопасности предприятия, охарактеризовать каждое из них. Провести сравнительный анализ этих средств с их аналогами (допускается использование данных социологических опросов; характеристики технических средств должны соответствовать реальным). Провести оценку рисков разработанной системы безопасности и свести данные в таблицу 2 – Оценка рисков разработанной системы безопасности, аналогичную таблице 1. Построить диаграмму количества рисков после принятия разработанной политики безопасности. Сделать выводы. Сделать общий вывод (можно ли считать разработанную систему безопасности эффективной, ответ аргументировать). Вопросы для проверки знаний и умений: Дайте определение понятию «Риск» Для чего предназначен анализ рисков? Назовите основные цели анализа рисков. Что такое качественный анализ рисков? Дайте определение количественному анализу рисков. |