ВВедение, 1 глава. Анализ предметной области и постановка задачи 4 1 Классификация информационных рисков 8
Скачать 274.56 Kb.
|
СОДЕРЖАНИЕВВЕДЕНИЕ 1 ГЛАВА 1. АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ И ПОСТАНОВКА ЗАДАЧИ 4 1.1 Классификация информационных рисков 8 1.2 Методы оценки рисков 13 1.3 Методы управления рисками 20 Выводы по первой главе 23 ГЛАВА 2. АНАЛИЗ СУЩЕСТВУЮЩИХ ПОДХОДОВ И МЕТОДОВ ПО ОЦЕНКЕ И УПРАВЛЕНИЮ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СЕТЯХ 25 2.1 Характеристика процесса оценки рисков информационной безопасности 25 2.2 Качественная и количественная оценка рисков 28 2.3 Анализ стандартов и методик процедур оценки рисков 33 2.3.1 Анализ методики CRAMM 35 2.3.2 Анализ методики FRAP 38 2.3.3 Анализ методики RiskWatch 42 2.3.4 Анализ методики Гриф 45 2.3.5 Анализ методики Microsoft 48 2.4 Сравнительный анализ стандартов и методик в части реализации процедур оценки рисков 51 2.4.1Процедура идентификации рисков 52 ВВЕДЕНИЕОбеспечение безопасности корпоративных информационных систем представляет собой очень большое значение для многих компаний. Ни для кого не секрет, что проблемы, связанные с тем, что настоящее время экспоненциальным образом увеличиваются количество тех угроз и уязвимостей, которые могут быть реализованы и могут внести потенциальный ущерб собственникам информации, собственникам активов в этих корпоративных информационных системах. Нужно понимать защищаться от всех этих угроз и уязвимости в настоящее время не имеет смысла. Наиболее полезной будет система, в которой экономически оправданы подходы к обеспечению информационной безопасности, когда ОИБ реализуются на основе оценки тех рисков, которые понесет организация при реализации тех или иных угроз. Определены актуальные угроз, неприемлемые рисков и исходя из этого производится управление данными рисками ИБ, решаются оптимизационные задачи, уровень рисков безопасности снижается до какого-то приемлемого уровня при определенных ограничениях. При выборе ограничений возникает большое количество сложностей — это как правило отсутствие статистики по реализации определенных угроз в особенности эта проблема свойственна именно внутренним рискам. Рассматривается проблема управления именно внутренними рисками информационной безопасности, источниками которых являются инсайды, внутренние нарушители, как правило, здесь появляются достаточно много проблем связанных с тем, что отсутствуют статистика по реализации подобных угроз, очень часто отсутствует какая-то информация, которая дает возможность достоверно оценить факторы риска, нечеткость экспертных оценок, а также отсутствие эффективных количественных методов оценки рисков информационной безопасности. Бурное развитие вычислительной техники привело к значительному увеличению степени автоматизации современных предприятий. Повсеместное применение информационных технологий (ИТ) позволило им, с одной стороны, выйти на качественно новый уровень производства, с другой привело к чрезвычайной уязвимости их бизнес-процессов по отношению угрозам информационной безопасности (ИБ). Растущая сложность информационных систем только усугубляет ситуацию. В современных условиях эффективность функционирования предприятий напрямую зависит от степени защищенности корпоративных информационных сетей (КИС), посредством которых осуществляется автоматизация бизнес-процессов, а защита информации должна рассматриваться как важнейший фактор, влияющий на функционирование КИС. Под КИС будем понимать составную часть корпоративных информационных систем, включающую в себя техническое, информационное и программное обеспечение. Выделяется два основных подхода к обеспечению ИБ КИС: на основе реализации базового уровня ИБ и на оценке и управлении рисками ИБ. Второй подход приобретает особую значимость для современных КИС, так как позволяет строить эффективные системы защиты информации (СЗИ) с позиции потенциально возможного ущерба, а также исследовать экономические аспекты реализации защитных мероприятий. Таким образом, целью данной работы является повышение качества выбора защитных мер для корпоративных информационных систем за счет детализированной количественной оценки рисков информационной безопасности. Задачи: Изучение и исследование предметной области оценки рисков безопасности информационных систем сравнительный анализ подходов и математических методов количественной оценки рисков информационной безопасности, выявление ограничений в применении рассмотренных решений; разработка научно-обоснованной формализованной модели количественной оценки рисков безопасности корпоративной информационной системы; Объект исследования: Предмет исследования: . Содержание данной работы, основные разделы, которые мы рассмотрим рамках данной работы. В первой части мы рассмотрим проблематику оценки и управления рисками информационной безопасности существующие подходы к решению данной проблемы достоинства и недостатки данных подходов. |