Файл: Лекция Управление информационными рисками Основные понятия.pptx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 11.01.2024

Просмотров: 26

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Лекция: Управление информационными рисками

Основные понятия

Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы

управление рисками включает в себя два циклически чередующихся, вида деятельности:

По отношению к выявленным рискам возможны следующие действия:

Процесс управления рисками можно разделить на следующие этапы:

Выбор защитных мер.

Тогда эффект максимальный, а затраты - минимальными.

Подготовительные этапы управления рисками

1 приемлемы ли существующие риски, и если нет, то

2 какие защитные средства стоит использовать.

Т.е, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности.

Основные этапы управления рисками

Первый шаг в анализе угроз - их идентификация.

Лекция: Управление информационными рисками

Основные понятия

  • Информационные риски — это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий.
  • Управление рисками,  — процесс принятия и выполнения управленческих решений , направленных на снижение  вероятности возникновения неблагоприятного результата
  • (рассматривается на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.)

  • Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы

  • оценить их размер,
  • выработать эффективные и экономичные меры снижения рисков,
  • убедиться, что риски заключены в приемлемые рамки.

управление рисками включает в себя два циклически чередующихся, вида деятельности:

  • (пере)оценка (измерение) рисков;
  • выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

  • ликвидация риска (например, за счет устранения причины);
  • уменьшение риска (например, за счет использования дополнительных защитных средств);
  • принятие риска (и выработка плана действия в соответствующих условиях);
  • переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками можно разделить на следующие этапы:

  • Выбор анализируемых объектов и уровня детализации их рассмотрения.
  • Выбор методологии оценки рисков.
  • Идентификация активов.
  • Анализ угроз и их последствий, выявление уязвимых мест в защите.
  • Оценка рисков.

Выбор защитных мер.

  • Выбор защитных мер.
  • Реализация и проверка выбранных мер.
  • Оценка остаточного риска.
  • Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.

Тогда эффект максимальный, а затраты - минимальными.

  • На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.
  • На этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности.
  • На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.
  • На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.
  • При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.

Подготовительные этапы управления рисками

  • Выбор анализируемых объектов и уровня детализации их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны.

1 приемлемы ли существующие риски, и если нет, то

2 какие защитные средства стоит использовать.

Т.е, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности.

  • Управление рисками - типичная оптимизационная задача, однако, принципиальная трудность, состоит в неточности исходных данных.
  • При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации.

  • Здесь отправной точкой является представление о миссии организации, то есть об основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае. Выражаясь объектно-ориентированным языком, следует в первую очередь описать внешний интерфейс организации, рассматриваемой как абстрактный объект.
  • Информационной основой сколько-нибудь крупной организации является сеть, поэтому в число аппаратных активов следует включить компьютеры и т.д.
  • К программным активам, вероятно, будут отнесены операционные системы, прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами.
  • Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним.
  • Управление рисками - процесс нелинейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может возникнуть необходимость возврата к предыдущему.

Основные этапы управления рисками

  • Этапы, предшествующие анализу угроз - подготовительные, поскольку, строго говоря, они напрямую с рисками не связаны.
  • Риск появляется там, где есть угрозы. Наличие той или иной угрозы является следствием пробелов в защите ИС, которые объясняются отсутствием некоторых сервисов безопасности или недостатками в реализующих их защитных механизмах.

Первый шаг в анализе угроз - их идентификация.

  • Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла, но в пределах выбранных видов провести максимально подробный анализ.
  • Целесообразно выявлять не только сами угрозы, но и источники их возникновения - это поможет в выборе дополнительных средств защиты.
  • Далее необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).
  • Кроме вероятности осуществления, важен размер потенциального ущерба.
  • Тяжесть ущерба также можно оценить по трехбалльной шкале.
  • Оценивая размер ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п.
  • Далее переходят к обработке информации, то есть собственно к оценке рисков. Вполне допустимо умножение вероятности осуществления угрозы на предполагаемый ущерб.

  • Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.
  • Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные меры защиты. Как правило, для ликвидации или нейтрализации уязвимого места, сделавшего угрозу реальной, существует несколько механизмов безопасности, различных по эффективности и стоимости.
  • Оценивая стоимость мер защиты, приходится учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и обучение и переподготовку персонала. Эту стоимость также можно оценить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и допустимым риском.
  • Важным обстоятельством является совместимость нового средства со сложившейся организационной и аппаратно-программной структурой, с традициями организации. Меры безопасности, как правило, носят недружественный характер, что может отрицательно сказаться на энтузиазме сотрудников.
  • Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно планировать. В плане необходимо учесть наличие финансовых средств и сроки обучения персонала. Если речь идет о программно-техническом механизме защиты, нужно составить план тестирования.
  • Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это так, значит, можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно.