ВВедение, 1 глава. Анализ предметной области и постановка задачи 4 1 Классификация информационных рисков 8
 Скачать 274.56 Kb.
|
Выводы по первой главеНа данном этапе проделана следующая работа: Уточнен понятийный аппарата информационных рисков, исходя из которого можно выделить информационный риск как отдельную категорию рисков, возникающих на предприятиях при внедрении информационных технологий; Проведена классификация информационных рисков по различным критериям; ГЛАВА 2. АНАЛИЗ СУЩЕСТВУЮЩИХ ПОДХОДОВ И МЕТОДОВ ПО ОЦЕНКЕ И УПРАВЛЕНИЮ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СЕТЯХ2.1 Характеристика процесса оценки рисков информационной безопасностиИнформационные риски – это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. IT-риски можно разделить на две категории: риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу; риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам. Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить. В настоящее время используются различные методы оценки информационных рисков отечественных компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом: идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса; оценивание возможных угроз; оценивание существующих уязвимостей; оценивание эффективности средств обеспечения информационной безопасности. Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от: показателей ценности информационных ресурсов; вероятности реализации угроз для ресурсов; эффективности существующих или планируемых средств обеспечения информационной безопасности. Цель оценки рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты [15]. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть установлены как количественными методами (например, при нахождении стоимостных характеристик), так и качественными, скажем, с учетом штатных или чрезвычайно опасных нештатных воздействий внешней среды. Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами: привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека); возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека); техническими возможностями реализации угрозы при умышленном воздействии со стороны человека; степенью легкости, с которой уязвимость может быть использована. Оценка рисков представляет собой набор взаимосвязанных действий, преобразующих исходные данные (сведения об активах, угрозах, уязвимостях и прочие) в выходные данные (перечень и значения рисков), то есть является процессом. В свою очередь, процесс оценки рисков является частью (подпроцессом) процесса управления рисками. Схема процесса управления рисками в соответствии с международными стандартами ISO/IEC 27005:2011 [152] и ISO 31000:2009 [155] приведена на рисунке 2. Процесс оценки рисков состоит из последовательных процедур идентификации, анализа и сравнительной оценки рисков  Идентификация рисков проводится с целью сбора информации об активах (объектах защиты), уязвимостях, реализованных защитных мерах, угрозах, источниках угроз и последствиях. В ходе анализа рисков определяются значения параметров: вероятности возникновения угрозы, вероятности использования уязвимости, величины ущерба и прочих. Процедура сравнительной оценки рисков с установленными уровнями проводится с целью определения значимости рисков для деятельности предприятия и необходимости их дальнейшей обработки. Особенности выполнения процедур процесса оценки рисков рассмотрены в подразделе 2.2 дипломной работы. Процесс оценки рисков может быть применен на всех стадиях жизненного цикла ИС [38, 156]. Кроме процесса оценки рисков выделяют следующие процессы в рамках управления рисками: установление области применения (контекста) заключается в определении критериев оценки и принятия рисков, а также границ и области применения процесса управления рисками; обработка рисков представляет собой процесс выбора и реализации мер по модификации рисков [129]; обмен информацией о рисках направлен на достижение договоренности во всех аспектах процесса управления рисками между причастными сторонами; мониторинг и анализ рисков проводится с целью контроля изменений факторов, влияющих на оценку рисков и принятие решений по обработке рисков. |