Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

ВВедение, 1 глава. Анализ предметной области и постановка задачи 4 1 Классификация информационных рисков 8


Скачать 274.56 Kb.
НазваниеАнализ предметной области и постановка задачи 4 1 Классификация информационных рисков 8
Дата09.04.2022
Размер274.56 Kb.
Формат файлаdocx
Имя файлаВВедение, 1 глава.docx
ТипРеферат
#456801
страница3 из 9
1   2   3   4   5   6   7   8   9

1.1 Классификация информационных рисков


Не смотря на значительное количество различных классификаций угроз в области информационной безопасности, в изученной литературе отсутствует установленная классификация информационных рисков. Они рассматриваются как один из видов операционных рисков предприятия. Детальной классификации.

Как правило, все виды информационных рисков взаимосвязаны и оказывают влияния на деятельность предприятия. При этом изменение одного вида риска может вызывать изменение остальных.

Классификация рисков означает объединение совокупности рисков на основании определенных признаков и критериев. Такими критериями, положенными в основу классификации информационных рисков, могут являются:

  • По угрозам для основ свойств информации;

  • время возникновения;

  • источник возникновения;

  • природа информационного актива;

  • природа информационного актива;

  • характер угрозы информационной безопасности;

  • характер последствий;

  • механизм воздействия.

Основными аспектами информационной безопасности являются: доступность, целостность и конфиденциальность информации.

Под доступностью понимается возможность доступа субъекта к данным по запросу в любое предусмотренное расписанием работы время. Возможность получения данных по запросу зависит от работоспособности и загруженности элементов информационной системы и ее каналов передачи данных.

Рискнарушениядоступностиинформации может зависеть как от неисправности оборудования и сбоев в программном обеспечении в компании, так и от успешно реализованных сетевых атак на информационную систему из вне.

Данный тип риска напрямую зависит от надежности аппаратных и программных компонентов информационной системы, а так же от уровня компетенций персонала, управляющего их работой. Нарушение доступности так же возникают из-за несоблюдения требований различных стандартов как на этапе проектирования, так и на этапах производства или эксплуатации системы.

Под целостностью понимается актуальность и непротиворечивость информации, уровень ее защиты от разрушения и несанкционированного изменения и удаления.

Рискнарушенияцелостностиобеспечивается вероятностями отказа оборудования и программного обеспечения, степенью продуманности алгоритмов и надежностью средств доступа пользователей системы, имеющих право на редактирование информации, вероятностью наличия в системе недокументированных возможностей, несовершенством организационной структуры ИС, а также несоблюдением требований стандартов на этапе проектирования, производства и эксплуатации системы.

Под конфиденциальностью понимается уровень защиты информации от несанкционированного доступа.

Рискнарушенияконфиденциальноститак же зависит от уровня алгоритмов аутентификации пользователей, вероятностью наличия недокументированных ситуаций при работе с ИС, несовершенством организационной структуры, несоблюдением стандартов и человеческим фактором [13].

По времени возникновения информационные риски распределяются на ретроспективные,текущиеиперспективныериски. Анализ ретроспективных рисков, их характера и методов их минимизации позволяет точнее прогнозировать текущие и перспективные риски.

По среде возникновения риски делятся на внешние и внутренние.

На внешние рискине влияет внутренняя составляющая предприятия, они не связаны с прямой деятельностью предприятия и никак не может повлиять на их уровень. Их уровень обусловлен политической обстановкой в стране и между государствами, экономической ситуацией на рынке, социальным уровнем граждан и т.д.

К внутренним информационным рискам относятся риски, зависящие от непосредственной деятельности предприятия и его персонала. На их уровень могут влиять следующие факторы: производственный потенциал организации, уровень технического оснащения, степень квалификации персонала, наличие средств защиты информации, наличие должностных инструкций при работе с ИС [14].

По природе информационного актива информационные риски можно разделить на риски аппаратные и программные.

Аппаратные риски возникают при выходе из стоя комплексов ИС, таких как: серверы, персональные компьютеры, сетевые коммутаторы и маршрутизаторы, производственное оборудование, станки и т.д. Программныерискинепосредственно связаны со сбоями в работе программного обеспечения предприятия, действия вредоносного программного обеспечения, операционных систем пользователей ИС, а так же связанные с утечкой информации и действия сетевых атак. Формируя классификацию, связанную с характером угрозы информационной безопасности, можно выделить следующие риски:

Организационныериски это риски, связанные деятельностью персонала, эксплуатирующего и обслуживающего ИС, проблемами системы внутреннего контроля, плохо разработанными правилами работ, то есть риски, связанные с внутренней организацией работы компании.

Техническиерискисвязаны с оборудованием, программным обеспечением, их задачами, способами проектирования, разработки и эксплуатации ИС. Эти риски напрямую связаны с жизненным циклом ИС.

Кприродным информационнымрискамотносятся риски, которые не зависят от деятельности человека. Они способны нанести ущерб, который можем привести к полной остановке функционирования предприятия. Они связаны с деятельностью природных явлений, таких как землетрясения, наводнения, штормы, ураганы, и т.д.

Помимо вышеприведенных классификаций, риски можно классифицировать по характеру последствий.

Допустимый риск - это риск, при наступлении которого, организации понесут потери, не превышающие величину ожидаемой прибыли от деятельности предприятия и его деятельность продолжает быть целесообразной.

Критическийриск это риск, в результате наступления которого, предприятию грозят потери, превышающие предполагаемую прибыль от деятельности предприятия и могут привести к потере всех средств, вложенных в реализацию проекта.

Если ущерб наступления риска предприятие превышает его прибыль от прямой деятельности или превышают имущественное состояние предприятия, то такие риски называют катастрофическими. К ним так же относят риски, связанные с опасностью для жизни и здоровья людей или возникновением экологических катастроф, а так же риски, ущерб от которых наносит промышленному предприятию непоправимый вред.

Механизм воздействия составляет самую большую классификационную группу информационных рисков. По этому признаку информационные риски можно разделить на:

      • Ошибки специалистов

      • Сбои и отказы технических средств

      • Сбои и отказы сетевого оборудования

      • Сбои и отказы программных средств

      • Вредоносное ПО

      • Шпионские программы

      • Несанкционированный доступ

      • Нарушение авторских прав

      • Распространение ложной информации

      • Аварии

Схематическая классификация информационных рисков по различным критериям приведена на рисунке 1.



Рис. 1 – Схематическая классификация информационных рисков

1   2   3   4   5   6   7   8   9

написать администратору сайта