Главная страница
Навигация по странице:

  • Идентификация рисков Оценка вероятности наступления неблагоприятных событий Определение структуры предполагаемого ущерба

  • Читать. Анализ рисков и угроз информационной безопасности, методики управления информационными рисками


    Скачать 25.67 Kb.
    НазваниеАнализ рисков и угроз информационной безопасности, методики управления информационными рисками
    Дата15.07.2019
    Размер25.67 Kb.
    Формат файлаdocx
    Имя файлаЧитать.docx
    ТипАнализ
    #84144

    Анализ рисков и угроз информационной безопасности, методики управления информационными рисками.

    В течение последних нескольких лет информация стала играть важнейшую роль во всех сферах человеческой жизни.

    Информация превращается в ценнейший вид продукции, суммарная стоимость которой в недалеком будущем должна превзойти суммарную стоимость продуктов материального производства.

    Ввиду этих произошедших в экономике изменений, информация, информационные технологии и появившийся рынок информационных услуг требуют к себе пристального внимания и изучения, поскольку очевидно, что вследствие владения, использования и передачи ценной и важной информации, может возникать ряд рисков, способных нанести ощутимый урон компании, государству и экономике в целом. У каждой корпорации есть секреты производства, данные об уникальных инновациях, интеллектуальной собственности, базы данных клиентов, партнеров, поставщиков, сотрудников, на которых базируется весь производственный процесс, и попадание этих данных в руки конкурентам или иным недоброжелателям – серьезно угрожает состоянию и функционированию компании.

    В январе 2018 года на Всемирном экономическом форуме в Давосе был представлен «Отчет о глобальных рисках для человечества 2018». Из отчета следует, что значимость рисков информационной безопасности возрастает как в связи с увеличением количества реализованных атак, так и с учетом их разрушительного потенциала.

    Риски информационной безопасности входят в тройку наиболее вероятных рисков (вместе с рисками природных катаклизмов и экстремальных погодных условий) и в список из шести наиболее критичных рисков по возможному ущербу (вместе с рисками применения оружия массового поражения, природными катаклизмами, погодными аномалиями и нехваткой питьевой воды). Поэтому управление рисками информационной безопасности является одним из приоритетных направлений развития организаций по всему миру.

    Риск – это возможность того, что произойдет определенное неблагоприятное событие, имеющее свою цену (размер ожидаемого ущерба) и вероятность наступления.

    Риск - это вероятностное событие, которое может оказать отрицательное или положительное влияние. Риск имеет вероятность. Если «нечто» гарантированно должно случиться (например, из-за роста инфляции повышаются цены на продукты) — то это нельзя называть риском, это данность, которую мы должны учесть в ходе планирования семейного бюджета.
    Неопределённость. Эта характеристика означает, что риск существует только тогда, когда различные варианты развития событий. Они могут осуществиться, а могут и нет.

    Риск – влияние неопределенности на цели.

    Второе ключевое понятие для модели безопасности информационнообразовательной среды – это понятие угрозы. Под угрозой будем понимать потенциально возможное событие, которое может привести к нанесению ущерба. Риск – определяет степень опасности воздействия угрозы (или набора угроз) на систему (объект, ресурс или процесс). Для каждой информационно-образовательной среды существуют риски, реализация которых приведет информационную среду в неработоспособное состояние или в состояние, в котором эффективность работы среды будет существенно снижена. Для каждого риска есть некоторый набор угроз (рис. 1). Часть из этих угроз являются актуальными. Актуальными угрозами считается те угрозы, которые имеют высокую степень опасности воздействия на систему.

    Из всего сказанного вытекает вопрос, «так можно ли как то управлять этими рисками, и если да, то как?». Ответом на этот вопрос является популярное в последнее время словосочетание «Риск менеджмент» или управление рисками.

    Риск менеджмент – это, прежде всего, процесс комплексной оценки степени защищенности информационной системы с переходом к качественным или количественным показателям рисков. Риск рассматривается как вероятный ущерб, который зависит от степени защищенности информационной системы.

    То есть это скоординированные действия по руководству и управлению в отношении риска с целью его минимизации. (стандарт ISO 17799)

    Процесс управление рисками имеет ряд этапов:

    1. Идентификация рисков

    2. Оценка вероятности наступления неблагоприятных событий

    3. Определение структуры предполагаемого ущерба

    4. Ранжирование рисков

    5. Принятие решения по рискам и разработка плана реагирования на риски

    1 этап. Этот этап риск-анализа заключается в формировании полного перечня неблагоприятных событий, которые влекут за собой негативные изменения.

    2 этап.  При оценке вероятности производится анализ вероятности реализации риска. Оценка данных параметров может базироваться на выявлении и анализе уязвимостей, присущим ИТ-активам, на которые может влиять риск, и угрозам, реализация которых возможная посредством эксплуатации данных уязвимостей. Также в зависимости от используемой методики оценки рисков, в качестве исходных данных для их оценки может быть использована модель злоумышленника, информация о бизнес-процессах организации и других сопутствующих реализации риска факторах, таких как политическая, экономическая, рыночная или социальная ситуация в среде деятельности организации. При оценке рисков может использоваться качественный, количественный или смешанный подход к их оценке. Преимуществом качественного подхода является его простота, минимизация сроков и трудозатрат на проведение оценки рисков, ограничениями – недостаточная наглядность и сложность использования результатов анализа рисков для экономического обоснования и оценки целесообразности инвестиций в меры реагирования на риски. Преимуществом количественного подхода является точность оценки рисков, наглядность результатов и возможность сравнения значения риска, выраженного в деньгах, с объемом инвестиций, необходимых для реагирования на данный риск, недостатками – сложность, высокая трудоемкость и длительность исполнения.

    3 этап. При оценке ущерба определяется степень влияния риска на ИТ-активы организации и поддерживаемые ими бизнес-процессы.

    4 этап. Для определения приоритета при реагировании на риски и последующей разработки плана реагирования все риски должны быть проранжированы. При ранжировании рисков, в зависимости от используемой методики, могут применяться такие критерии определения критичности, как ущерб от реализации рисков, вероятность реализации, ИТ-активы и бизнес-процессы, затрагиваемые риском, общественный резонанс и репутационый ущерб от реализации риска и др.

    5 этап. Этот этап заключается в установлении перечня возможных методов воздействия на риск. Такие методы разделяются на группы:

    • методы, позволяющие избежать риска;

    • методы, которые снижают вероятность возникновения неблагоприятного события;

    • методы, уменьшающие возможный ущерб;

    • методы, суть которых сводится к передаче риска другим объектам;

    • методы, принять риск и основанные на компенсации полученного либо нанесенного ущерба.

    Предотвращение риска: рассмотрение способов устранения угрозы или уязвимости или изменения процесса или деятельности таким образом, чтобы угроза к ним больше не была применима. Когда идентифицированные риски считаются слишком высокими, может быть принято решение о полном прекращении или отказе от планируемой или существующей деятельности.

    Перенос риска: перенос риска на третью сторону, которая может взять на себя риск, как, например, страховые компании, или через передачу функций поставщикам сетевых решений или службам управления безопасностью, аутсорсинг. Перенос риска может создавать новые риски или модифицировать существующие идентифицированные риски, поэтому может быть необходима дополнительная обработка риска.

    Снижение риска: применение соответствующих средств контроля для снижения риска (в терминах снижения уязвимостей или возможных последствий). В целом каждое средство контроля может обеспечивать один или несколько из следующих видов защиты: предупреждение, сдерживание, обнаружение, снижение, восстановление, исправление, мониторинг и информированность.

    Принятие риска: принятие решения в отношении всего оставшегося риска. Организация должна прийти к решению о принятии риска на основе критериев принятия. Это решение проистекает из двух причин. Первой причиной является успешное снижение риска, т.е. остаточный риск после реализации средств контроля не превышает критериев для принятия риска. Второй причиной является сохранение риска, т.е., даже если первоначальный или остаточный риск превышает критерии, руководство выносит решение о принятии риска, принимая в расчет различные условия, такие как бюджет, временные ограничения и т.д.


    написать администратору сайта