Главная страница
Навигация по странице:

  • Выбор анализируемых объектов

    		•

    11 Управление информационными рисками. Лекция Управление информационными рисками Основные понятия


    Скачать 124.85 Kb.
    НазваниеЛекция Управление информационными рисками Основные понятия
    Дата12.04.2023
    Размер124.85 Kb.
    Формат файлаpptx
    Имя файла11 Управление информационными рисками.pptx
    ТипЛекция
    #1056673

    Лекция: Управление информационными рисками

    Основные понятия

    • Информационные риски — это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий.
    • Управление рисками,  — процесс принятия и выполнения управленческих решений , направленных на снижение  вероятности возникновения неблагоприятного результата

      • (рассматривается на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.)

    • Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

    Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы

    • оценить их размер,
    • выработать эффективные и экономичные меры снижения рисков,
    • убедиться, что риски заключены в приемлемые рамки.

    управление рисками включает в себя два циклически чередующихся, вида деятельности:

    • (пере)оценка (измерение) рисков;
    • выбор эффективных и экономичных защитных средств (нейтрализация рисков).

    По отношению к выявленным рискам возможны следующие действия:

    • ликвидация риска (например, за счет устранения причины);
    • уменьшение риска (например, за счет использования дополнительных защитных средств);
    • принятие риска (и выработка плана действия в соответствующих условиях);
    • переадресация риска (например, путем заключения страхового соглашения).

    Процесс управления рисками можно разделить на следующие этапы:

    • Выбор анализируемых объектов и уровня детализации их рассмотрения.
    • Выбор методологии оценки рисков.
    • Идентификация активов.
    • Анализ угроз и их последствий, выявление уязвимых мест в защите.
    • Оценка рисков.

    Выбор защитных мер.

    • Выбор защитных мер.
    • Реализация и проверка выбранных мер.
    • Оценка остаточного риска.
      • Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.

    Тогда эффект максимальный, а затраты - минимальными.

    • На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.
    • На этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности.
    • На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.
    • На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.
    • При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.

    Подготовительные этапы управления рисками

    • Выбор анализируемых объектов и уровня детализации их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны.

    1 приемлемы ли существующие риски, и если нет, то

    2 какие защитные средства стоит использовать.

    Т.е, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности.

    • Управление рисками - типичная оптимизационная задача, однако, принципиальная трудность, состоит в неточности исходных данных.
    • При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации.
    • Здесь отправной точкой является представление о миссии организации, то есть об основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае. Выражаясь объектно-ориентированным языком, следует в первую очередь описать внешний интерфейс организации, рассматриваемой как абстрактный объект.
    • Информационной основой сколько-нибудь крупной организации является сеть, поэтому в число аппаратных активов следует включить компьютеры и т.д.
    • К программным активам, вероятно, будут отнесены операционные системы, прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами.
    • Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним.
    • Управление рисками - процесс нелинейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может возникнуть необходимость возврата к предыдущему.

    Основные этапы управления рисками

    • Этапы, предшествующие анализу угроз - подготовительные, поскольку, строго говоря, они напрямую с рисками не связаны.
    • Риск появляется там, где есть угрозы. Наличие той или иной угрозы является следствием пробелов в защите ИС, которые объясняются отсутствием некоторых сервисов безопасности или недостатками в реализующих их защитных механизмах.

    Первый шаг в анализе угроз - их идентификация.

    • Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла, но в пределах выбранных видов провести максимально подробный анализ.
    • Целесообразно выявлять не только сами угрозы, но и источники их возникновения - это поможет в выборе дополнительных средств защиты.
    • Далее необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).
    • Кроме вероятности осуществления, важен размер потенциального ущерба.
    • Тяжесть ущерба также можно оценить по трехбалльной шкале.
    • Оценивая размер ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п.
    • Далее переходят к обработке информации, то есть собственно к оценке рисков. Вполне допустимо умножение вероятности осуществления угрозы на предполагаемый ущерб.
    • Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.
    • Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные меры защиты. Как правило, для ликвидации или нейтрализации уязвимого места, сделавшего угрозу реальной, существует несколько механизмов безопасности, различных по эффективности и стоимости.
    • Оценивая стоимость мер защиты, приходится учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и обучение и переподготовку персонала. Эту стоимость также можно оценить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и допустимым риском.
    • Важным обстоятельством является совместимость нового средства со сложившейся организационной и аппаратно-программной структурой, с традициями организации. Меры безопасности, как правило, носят недружественный характер, что может отрицательно сказаться на энтузиазме сотрудников.
    • Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно планировать. В плане необходимо учесть наличие финансовых средств и сроки обучения персонала. Если речь идет о программно-техническом механизме защиты, нужно составить план тестирования.
    • Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это так, значит, можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно.

    написать администратору сайта