ИНФОРМАЦИОННЫЕ РИСКИ И ИХ АНАЛИЗ
Анализ рисков - это то, с чего должно начинаться построение и в любой системы информационной безопасности и то, что необходимо для проведения аудита ИБ (информационной безопасности). Он включает в себя мероприятия по обследованию безопасности предприятия с целью определения того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам информационных систем (ИС), в случае осуществления угрозы безопасности. Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную, либо количественную оценку) [1].
Процесс анализа рисков предусматривает решение следующих задач: 1. Идентификация ключевых ресурсов ИС. 2. Определение важности тех или иных ресурсов для организации. 3. Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз. 4. Вычисление рисков, связанных с осуществлением угроз безопасности. Ресурсы ИС можно разделить на следующие категории: · информационные ресурсы; · программное обеспечение; · технические средства (серверы, рабочие станции, активное, сетевое оборудование и т. п.); · людские ресурсы В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность ИС и существенны с точки зрения обеспечения безопасности. Важность (или стоимость) ресурса определяется величиной ущерба наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. Обычно рассматриваются следующие виды ущерба: ü данные были раскрыты, изменены, удалены или недоступны; ü аппаратура была повреждена или разрушена; ü нарушена целостность программного обеспечения.
Ущерб может быть нанесен организации в результате осуществления следующих видов угроз безопасности: § локальные и удаленные атаки на ресурсы ИС; § стихийные бедствия; § ошибки, либо умышленные действия персонала ИС; § сбои в работе ИС, вызванные ошибками в программ обеспечении или неисправностями аппаратуры. Величина риска может быть определена на основе стоимости ресурса вероятности осуществления угрозы и величины уязвимости по формуле:
Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть обратно пропорциональна вероятности причинения ущерба [1]. Анализ риска производится исходя из непосредственных целей и задач по защите конкретного вида информации конфиденциального характера. Одной из важнейших задач в рамках защиты информации является обеспечение ее целостности и доступности. При этом следует иметь в виду, что нарушение целостности может произойти не только вследствие преднамеренных действий, но и по ряду других причин: · сбоев оборудования, ведущих к потере или искажению информации; · физических воздействий, в том числе в результате стихийных бедствий; · ошибок в программном обеспечении. Поэтому под термином «атака» более перспективно понимать не только человеческие воздействия на информационные ресурсы, но и воздействия окружающей среды, в которой функционирует система обработки информации предприятия.
Популярное: Как распознать напряжение: Говоря о мышечном напряжении, мы в первую очередь имеем в виду мускулы, прикрепленные к костям ... Почему люди поддаются рекламе?: Только не надо искать ответы в качестве или количестве рекламы... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (260)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |