Файл: Лекция Управление информационными рисками Основные понятия.pptx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 11.01.2024
Просмотров: 26
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
Лекция: Управление информационными рисками
Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы
управление рисками включает в себя два циклически чередующихся, вида деятельности:
По отношению к выявленным рискам возможны следующие действия:
Процесс управления рисками можно разделить на следующие этапы:
Тогда эффект максимальный, а затраты - минимальными.
Подготовительные этапы управления рисками
1 приемлемы ли существующие риски, и если нет, то
2 какие защитные средства стоит использовать.
Лекция: Управление информационными рисками
Основные понятия
- Информационные риски — это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий.
- Управление рисками, — процесс принятия и выполнения управленческих решений , направленных на снижение вероятности возникновения неблагоприятного результата
(рассматривается на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.)
- Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.
Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы
- оценить их размер,
- выработать эффективные и экономичные меры снижения рисков,
- убедиться, что риски заключены в приемлемые рамки.
управление рисками включает в себя два циклически чередующихся, вида деятельности:
- (пере)оценка (измерение) рисков;
- выбор эффективных и экономичных защитных средств (нейтрализация рисков).
По отношению к выявленным рискам возможны следующие действия:
- ликвидация риска (например, за счет устранения причины);
- уменьшение риска (например, за счет использования дополнительных защитных средств);
- принятие риска (и выработка плана действия в соответствующих условиях);
- переадресация риска (например, путем заключения страхового соглашения).
Процесс управления рисками можно разделить на следующие этапы:
- Выбор анализируемых объектов и уровня детализации их рассмотрения.
- Выбор методологии оценки рисков.
- Идентификация активов.
- Анализ угроз и их последствий, выявление уязвимых мест в защите.
- Оценка рисков.
Выбор защитных мер.
- Выбор защитных мер.
- Реализация и проверка выбранных мер.
- Оценка остаточного риска. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.
Тогда эффект максимальный, а затраты - минимальными.
- На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.
- На этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности.
- На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.
- На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.
- При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.
Подготовительные этапы управления рисками
- Выбор анализируемых объектов и уровня детализации их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны.
1 приемлемы ли существующие риски, и если нет, то
2 какие защитные средства стоит использовать.
Т.е, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности.
- Управление рисками - типичная оптимизационная задача, однако, принципиальная трудность, состоит в неточности исходных данных.
- При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации.
- Здесь отправной точкой является представление о миссии организации, то есть об основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае. Выражаясь объектно-ориентированным языком, следует в первую очередь описать внешний интерфейс организации, рассматриваемой как абстрактный объект.
- Информационной основой сколько-нибудь крупной организации является сеть, поэтому в число аппаратных активов следует включить компьютеры и т.д.
- К программным активам, вероятно, будут отнесены операционные системы, прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами.
- Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним.
- Управление рисками - процесс нелинейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может возникнуть необходимость возврата к предыдущему.
Основные этапы управления рисками
- Этапы, предшествующие анализу угроз - подготовительные, поскольку, строго говоря, они напрямую с рисками не связаны.
- Риск появляется там, где есть угрозы. Наличие той или иной угрозы является следствием пробелов в защите ИС, которые объясняются отсутствием некоторых сервисов безопасности или недостатками в реализующих их защитных механизмах.
Первый шаг в анализе угроз - их идентификация.
- Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла, но в пределах выбранных видов провести максимально подробный анализ.
- Целесообразно выявлять не только сами угрозы, но и источники их возникновения - это поможет в выборе дополнительных средств защиты.
- Далее необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).
- Кроме вероятности осуществления, важен размер потенциального ущерба.
- Тяжесть ущерба также можно оценить по трехбалльной шкале.
- Оценивая размер ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п.
- Далее переходят к обработке информации, то есть собственно к оценке рисков. Вполне допустимо умножение вероятности осуществления угрозы на предполагаемый ущерб.
- Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.
- Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные меры защиты. Как правило, для ликвидации или нейтрализации уязвимого места, сделавшего угрозу реальной, существует несколько механизмов безопасности, различных по эффективности и стоимости.
- Оценивая стоимость мер защиты, приходится учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и обучение и переподготовку персонала. Эту стоимость также можно оценить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и допустимым риском.
- Важным обстоятельством является совместимость нового средства со сложившейся организационной и аппаратно-программной структурой, с традициями организации. Меры безопасности, как правило, носят недружественный характер, что может отрицательно сказаться на энтузиазме сотрудников.
- Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно планировать. В плане необходимо учесть наличие финансовых средств и сроки обучения персонала. Если речь идет о программно-техническом механизме защиты, нужно составить план тестирования.
- Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это так, значит, можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно.