SlideShare a Scribd company logo

защита информации 10

Download as PPT, PDF
A
aepetelin

Risk management Information security

Technology
1 of 31
Управление рисками Преподаватель: Петелин Александр Евгеньевич
2 Управление рисками, равно как и выработка собственной политики безопасности, нужно только для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными. Можно провести аналогию между индивидуальным строительством и получением квартиры в районе массовой застройки
3 С количественной точки зрения размер риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимости), а также величины возможного ущерба. Суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки.
4 Управление рисками включает в себя два вида деятельности, которые чередуются циклически: (пере)оценку (измерение) рисков; выбор эффективных и экономичных защитных средств (нейтрализация рисков).
5 По отношению к выявленным рискам возможны следующие действия: ликвидация риска (например, за счет устранения причины); уменьшение риска (например, за счет использования дополнительных защитных средств); принятие риска (и выработка плана действия в соответствующих условиях); переадресация риска (например, путем заключения страхового соглашения).
6 Процесс управления рисками можно подразделить на следующие этапы: 1)выбор анализируемых объектов и уровня детализации их рассмотрения; 2)выбор методологии оценки рисков; 3)идентификация активов; 4)анализ угроз и их последствий, определение уязвимостей в защите; 5)оценка рисков; 6)выбор защитных мер; 7)реализация и проверка выбранных мер; 8)оценка остаточного риска.
7 Этапы 6 и 7 относятся к выбору защитных средств (нейтрализации рисков), остальные – к оценке рисков. Риски нужно контролировать постоянно, периодически проводя их переоценку.
8 Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. В таком случае эффект оказывается наибольшим, а затраты − минимальными. Ранее мы определили пять этапов жизненного цикла. Кратко опишем, что может дать управление рисками на каждом из них.
9 На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности. На этапе закупки (разработки) выявленные риски способны помочь при выборе архитектурных решений, играющих ключевую роль в обеспечении безопасности.
10 На этапе установки выявленные риски следует учитывать при конфигуриро- вании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию. На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.
11 При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.
12 Подготовительные этапы управления рисками (первые три). Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако, если организации крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных аспектах ИС
13 Уязвимым является каждый компонент ИС − от куска сетевого кабеля, который могут прогрызть мыши, до базы данных, которая может быть разрушена из-за неумелых действий администратора. Приходится останавливаться на некотором уровне детализации
14 Управление рисками − типичная оптимизационная задача, существует довольно много программных продуктов, способных помочь в ее решении (иногда подобные продукты просто прилагаются к книгам по информационной безопасности). Принципиальная трудность, однако, состоит в неточности исходных данных. В простейшем и вполне допустимом случае можно пользоваться трехбальной шкалой
15 При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации.
16 Информационной основой сколько- нибудь крупной организации является сеть, поэтому в число аппаратных активов следует включить компьютеры (серверы, рабочие станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование (мосты, маршрутизаторы и т.п.).
17 К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение и из каких узлов используется.
18 Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним. Все это важно для оценки последствий нарушений информационной безопасности.
19 Управление рисками − процесс далеко не линейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.
20 Управление рисками − процесс далеко не линейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.
21 Основные этапы управления рисками Первый шаг в анализе угроз − их идентификация. Анализируемые виды угроз следует выбрать из соображений здравого смысла (оставив вне поля зрения, например, землетрясения, однако не исключая возможности захвата организации террористами), но в пределах выбранных видов провести максимально полное рассмотрение.
22 Целесообразно выявлять не только сами угрозы, но и источники их возникновения − это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования.
23 После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность). Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.
24 Оценивая вероятность осуществления угроз, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных информационных систем. Если в подвале дома, занимаемого организацией, располагается сауна, а сам дом имеет деревянные перекрытия, то вероятность пожара, к сожалению, оказывается существенно выше средней.
25 После того, как накоплены исходные данные и оценена степень неопределен- ности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9.
26 Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные защитные меры. Как правило, для ликвидации или нейтрализации уязвимости, сделавшей реальной опасную угрозу, существует несколько механизмов безопасности, отличающихся эффективностью и стоимостью. Например, если велика вероятность нелегального входа в систему, можно приказать пользователям выбирать длинные пароли и пр.
27 Оценивая стоимость защитных мер, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, на обучение и переподготовку персонала. Эту стоимость также можно выразить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и приемлемым риском.
28 Важным обстоятельством является совместимость нового средства со сложившейся организационной и аппаратно-программной структурой, с традициями организации.
29 Бывают ситуации, когда для нейтрализации риска не существует эффективных и приемлемых по цене мер. В таком случае приходится поднимать планку приемлемого риска и переносить центр тяжести на смягчение последствий и выработку планов восстановления после аварий, стихийных бедствий и иных происшествий.
30 Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно распланировать. В плане необходимо учесть наличие финансовых средств, сроки обучения персонала. Нужно составить план тестирования (автономного и комплексного), если речь идет о программно-техническом механизме защиты.
31 Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками.

Recommended

защита информации 9
защита информации 9защита информации 9
защита информации 9aepetelin
 
иб
ибиб
ибmitta21
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйRISClubSPb
 
Phd13 kotenko
Phd13 kotenkoPhd13 kotenko
Phd13 kotenkoPositive Hack Days
 
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...imbasoft ru
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumVladimir Matviychuk
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 

Recommended

защита информации 9
защита информации 9защита информации 9
защита информации 9aepetelin
 
иб
ибиб
ибmitta21
 
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйРасследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир БезмалыйRISClubSPb
 
Phd13 kotenko
Phd13 kotenkoPhd13 kotenko
Phd13 kotenkoPositive Hack Days
 
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...imbasoft ru
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumVladimir Matviychuk
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
Противодействие угрозам "нулевого дня" посредством мгновенных аудитов ИБ
Противодействие угрозам "нулевого дня" посредством мгновенных аудитов ИБПротиводействие угрозам "нулевого дня" посредством мгновенных аудитов ИБ
Противодействие угрозам "нулевого дня" посредством мгновенных аудитов ИБИлья Лившиц
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
Security Innovation Forum
Security Innovation ForumSecurity Innovation Forum
Security Innovation ForumVladimir Matviychuk
 
Брошюра о технологии "Активы при риске"
Брошюра о технологии "Активы при риске"Брошюра о технологии "Активы при риске"
Брошюра о технологии "Активы при риске"Yuri Bubnov
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
КСИБ
КСИБКСИБ
КСИБpesrox
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRCКомпания УЦСБ
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2Vlad Bezmaly
 
слайды политика-новая
слайды политика-новаяслайды политика-новая
слайды политика-новаяtrenders
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...Компания УЦСБ
 
[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...
[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...
[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...Alexey Komarov
 
New threats and international experience to ensure stable operation of the ac...
New threats and international experience to ensure stable operation of the ac...New threats and international experience to ensure stable operation of the ac...
New threats and international experience to ensure stable operation of the ac...Andrei Korneyev
 
Применение международного стандарта безопасности информационных систем ISO 17...
Применение международного стандарта безопасности информационных систем ISO 17...Применение международного стандарта безопасности информационных систем ISO 17...
Применение международного стандарта безопасности информационных систем ISO 17...Юрий Ж
 
Виртуальная сфера - Безопасность - Хакеры и Терроризм
Виртуальная сфера - Безопасность - Хакеры и ТерроризмВиртуальная сфера - Безопасность - Хакеры и Терроризм
Виртуальная сфера - Безопасность - Хакеры и ТерроризмSL.GH VIPNET T.C
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trendsTim Parson
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииКомпания УЦСБ
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
An empirical investigation of economic growth and debt
An empirical investigation of economic growth and debtAn empirical investigation of economic growth and debt
An empirical investigation of economic growth and debtAngela Ouroutsi
 
EU: Pacemakers for Stimulating Heart Muscles (Excl. Parts and Accessories) – ...
EU: Pacemakers for Stimulating Heart Muscles (Excl. Parts and Accessories) – ...EU: Pacemakers for Stimulating Heart Muscles (Excl. Parts and Accessories) – ...
EU: Pacemakers for Stimulating Heart Muscles (Excl. Parts and Accessories) – ...IndexBox Marketing
 

More Related Content

What's hot

Противодействие угрозам "нулевого дня" посредством мгновенных аудитов ИБ
Противодействие угрозам "нулевого дня" посредством мгновенных аудитов ИБПротиводействие угрозам "нулевого дня" посредством мгновенных аудитов ИБ
Противодействие угрозам "нулевого дня" посредством мгновенных аудитов ИБИлья Лившиц
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
Брошюра о технологии "Активы при риске"
Брошюра о технологии "Активы при риске"Брошюра о технологии "Активы при риске"
Брошюра о технологии "Активы при риске"Yuri Bubnov
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
КСИБ
КСИБКСИБ
КСИБpesrox
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2Vlad Bezmaly
 
слайды политика-новая
слайды политика-новаяслайды политика-новая
слайды политика-новаяtrenders
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...Компания УЦСБ
 
[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...
[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...
[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...Alexey Komarov
 
New threats and international experience to ensure stable operation of the ac...
New threats and international experience to ensure stable operation of the ac...New threats and international experience to ensure stable operation of the ac...
New threats and international experience to ensure stable operation of the ac...Andrei Korneyev
 
Применение международного стандарта безопасности информационных систем ISO 17...
Применение международного стандарта безопасности информационных систем ISO 17...Применение международного стандарта безопасности информационных систем ISO 17...
Применение международного стандарта безопасности информационных систем ISO 17...Юрий Ж
 
Виртуальная сфера - Безопасность - Хакеры и Терроризм
Виртуальная сфера - Безопасность - Хакеры и ТерроризмВиртуальная сфера - Безопасность - Хакеры и Терроризм
Виртуальная сфера - Безопасность - Хакеры и ТерроризмSL.GH VIPNET T.C
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trendsTim Parson
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииКомпания УЦСБ
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 

What's hot (20)

Противодействие угрозам "нулевого дня" посредством мгновенных аудитов ИБ
Противодействие угрозам "нулевого дня" посредством мгновенных аудитов ИБПротиводействие угрозам "нулевого дня" посредством мгновенных аудитов ИБ
Противодействие угрозам "нулевого дня" посредством мгновенных аудитов ИБ
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
 
Security Innovation Forum
Security Innovation ForumSecurity Innovation Forum
Security Innovation Forum
 
Брошюра о технологии "Активы при риске"
Брошюра о технологии "Активы при риске"Брошюра о технологии "Активы при риске"
Брошюра о технологии "Активы при риске"
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
 
КСИБ
КСИБКСИБ
КСИБ
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRC
 
расследов..V 2
расследов..V 2расследов..V 2
расследов..V 2
 
слайды политика-новая
слайды политика-новаяслайды политика-новая
слайды политика-новая
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
 
[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...
[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...
[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...
 
New threats and international experience to ensure stable operation of the ac...
New threats and international experience to ensure stable operation of the ac...New threats and international experience to ensure stable operation of the ac...
New threats and international experience to ensure stable operation of the ac...
 
Применение международного стандарта безопасности информационных систем ISO 17...
Применение международного стандарта безопасности информационных систем ISO 17...Применение международного стандарта безопасности информационных систем ISO 17...
Применение международного стандарта безопасности информационных систем ISO 17...
 
Виртуальная сфера - Безопасность - Хакеры и Терроризм
Виртуальная сфера - Безопасность - Хакеры и ТерроризмВиртуальная сфера - Безопасность - Хакеры и Терроризм
Виртуальная сфера - Безопасность - Хакеры и Терроризм
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trends
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК России
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 

Viewers also liked

An empirical investigation of economic growth and debt
An empirical investigation of economic growth and debtAn empirical investigation of economic growth and debt
An empirical investigation of economic growth and debtAngela Ouroutsi
 
EU: Pacemakers for Stimulating Heart Muscles (Excl. Parts and Accessories) – ...
EU: Pacemakers for Stimulating Heart Muscles (Excl. Parts and Accessories) – ...EU: Pacemakers for Stimulating Heart Muscles (Excl. Parts and Accessories) – ...
EU: Pacemakers for Stimulating Heart Muscles (Excl. Parts and Accessories) – ...IndexBox Marketing
 
"Working with Stakeholders" @ the7th Prod.Active Meetup
"Working with Stakeholders" @ the7th Prod.Active Meetup"Working with Stakeholders" @ the7th Prod.Active Meetup
"Working with Stakeholders" @ the7th Prod.Active Meetupprodactive
 
Marco Casale-Rossi, Product Mktg. Manager, Synopsys
Marco Casale-Rossi, Product Mktg. Manager, SynopsysMarco Casale-Rossi, Product Mktg. Manager, Synopsys
Marco Casale-Rossi, Product Mktg. Manager, Synopsyschiportal
 
Compras Públicas - Parte IV - Contratos Administrativos
Compras Públicas - Parte IV - Contratos AdministrativosCompras Públicas - Parte IV - Contratos Administrativos
Compras Públicas - Parte IV - Contratos AdministrativosRafael Lisboa
 
Measuring ethernet traffic parameters
Measuring ethernet traffic parametersMeasuring ethernet traffic parameters
Measuring ethernet traffic parametersPavel Kurochkin
 
EU: Railway or Tramway Sleepers (Cross-Ties) of Wood – Market Report. Analysi...
EU: Railway or Tramway Sleepers (Cross-Ties) of Wood – Market Report. Analysi...EU: Railway or Tramway Sleepers (Cross-Ties) of Wood – Market Report. Analysi...
EU: Railway or Tramway Sleepers (Cross-Ties) of Wood – Market Report. Analysi...IndexBox Marketing
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информацииDialogueScience
 
Beauty and the Beastly Webinar
Beauty and the Beastly WebinarBeauty and the Beastly Webinar
Beauty and the Beastly WebinarON24
 
Как парализовать государство за 60 минут. (Сатиев Олжас)
Как парализовать государство за 60 минут. (Сатиев Олжас)Как парализовать государство за 60 минут. (Сатиев Олжас)
Как парализовать государство за 60 минут. (Сатиев Олжас)Kristina Pomozova
 
How to Deliver Powerful Personalized Experiences
How to Deliver Powerful Personalized ExperiencesHow to Deliver Powerful Personalized Experiences
How to Deliver Powerful Personalized ExperiencesDynamic Yield
 
Lista de fornecedores de roupas dos EUA, China e Peru
Lista de fornecedores de roupas dos EUA, China e PeruLista de fornecedores de roupas dos EUA, China e Peru
Lista de fornecedores de roupas dos EUA, China e PeruUlysses Maxwell
 
Embedded Security and the IoT
Embedded Security and the IoTEmbedded Security and the IoT
Embedded Security and the IoTteam-WIBU
 
introduction to Embedded System Security
introduction to Embedded System Securityintroduction to Embedded System Security
introduction to Embedded System SecurityAdel Barkam
 
PNAIC 2015 - A dança da lingua e linguagem da dança
PNAIC 2015 - A dança da lingua e linguagem da dançaPNAIC 2015 - A dança da lingua e linguagem da dança
PNAIC 2015 - A dança da lingua e linguagem da dançaElieneDias
 

Viewers also liked (19)

An empirical investigation of economic growth and debt
An empirical investigation of economic growth and debtAn empirical investigation of economic growth and debt
An empirical investigation of economic growth and debt
 
EU: Pacemakers for Stimulating Heart Muscles (Excl. Parts and Accessories) – ...
EU: Pacemakers for Stimulating Heart Muscles (Excl. Parts and Accessories) – ...EU: Pacemakers for Stimulating Heart Muscles (Excl. Parts and Accessories) – ...
EU: Pacemakers for Stimulating Heart Muscles (Excl. Parts and Accessories) – ...
 
"Working with Stakeholders" @ the7th Prod.Active Meetup
"Working with Stakeholders" @ the7th Prod.Active Meetup"Working with Stakeholders" @ the7th Prod.Active Meetup
"Working with Stakeholders" @ the7th Prod.Active Meetup
 
meuApoio
meuApoiomeuApoio
meuApoio
 
Marco Casale-Rossi, Product Mktg. Manager, Synopsys
Marco Casale-Rossi, Product Mktg. Manager, SynopsysMarco Casale-Rossi, Product Mktg. Manager, Synopsys
Marco Casale-Rossi, Product Mktg. Manager, Synopsys
 
Compras Públicas - Parte IV - Contratos Administrativos
Compras Públicas - Parte IV - Contratos AdministrativosCompras Públicas - Parte IV - Contratos Administrativos
Compras Públicas - Parte IV - Contratos Administrativos
 
Measuring ethernet traffic parameters
Measuring ethernet traffic parametersMeasuring ethernet traffic parameters
Measuring ethernet traffic parameters
 
EU: Railway or Tramway Sleepers (Cross-Ties) of Wood – Market Report. Analysi...
EU: Railway or Tramway Sleepers (Cross-Ties) of Wood – Market Report. Analysi...EU: Railway or Tramway Sleepers (Cross-Ties) of Wood – Market Report. Analysi...
EU: Railway or Tramway Sleepers (Cross-Ties) of Wood – Market Report. Analysi...
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информации
 
Beauty and the Beastly Webinar
Beauty and the Beastly WebinarBeauty and the Beastly Webinar
Beauty and the Beastly Webinar
 
Как парализовать государство за 60 минут. (Сатиев Олжас)
Как парализовать государство за 60 минут. (Сатиев Олжас)Как парализовать государство за 60 минут. (Сатиев Олжас)
Как парализовать государство за 60 минут. (Сатиев Олжас)
 
How to Deliver Powerful Personalized Experiences
How to Deliver Powerful Personalized ExperiencesHow to Deliver Powerful Personalized Experiences
How to Deliver Powerful Personalized Experiences
 
Configuration F5 BIG IP ASM v12
Configuration F5 BIG IP ASM v12Configuration F5 BIG IP ASM v12
Configuration F5 BIG IP ASM v12
 
Lista de fornecedores de roupas dos EUA, China e Peru
Lista de fornecedores de roupas dos EUA, China e PeruLista de fornecedores de roupas dos EUA, China e Peru
Lista de fornecedores de roupas dos EUA, China e Peru
 
SoC: System On Chip
SoC: System On ChipSoC: System On Chip
SoC: System On Chip
 
Embedded Security and the IoT
Embedded Security and the IoTEmbedded Security and the IoT
Embedded Security and the IoT
 
introduction to Embedded System Security
introduction to Embedded System Securityintroduction to Embedded System Security
introduction to Embedded System Security
 
World war 3
World war 3World war 3
World war 3
 
PNAIC 2015 - A dança da lingua e linguagem da dança
PNAIC 2015 - A dança da lingua e linguagem da dançaPNAIC 2015 - A dança da lingua e linguagem da dança
PNAIC 2015 - A dança da lingua e linguagem da dança
 

Similar to защита информации 10

Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.Александр Лысяк
 
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...Positive Hack Days
 
управление рисками
управление рискамиуправление рисками
управление рискамиIrina Erofeeva
 
ПО ситуационного центра
ПО ситуационного центраПО ситуационного центра
ПО ситуационного центраSergey Gorshkov
 
система конкурентного раннего предупреждения угроз для образовательного учреж...
система конкурентного раннего предупреждения угроз для образовательного учреж...система конкурентного раннего предупреждения угроз для образовательного учреж...
система конкурентного раннего предупреждения угроз для образовательного учреж...Irina Erofeeva
 
Dokument microsoft office_word_2
Dokument microsoft office_word_2Dokument microsoft office_word_2
Dokument microsoft office_word_2mkyf
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Cisco Russia
 
майстер-клас “Управління ризиками”
майстер-клас “Управління ризиками”майстер-клас “Управління ризиками”
майстер-клас “Управління ризиками”Stfalcon Meetups
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
 
Risk management workshop
Risk management workshopRisk management workshop
Risk management workshopITCP Community
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9UISGCON
 
Андрей Костогрызов, Торгово-промышленная палата России
Андрей Костогрызов, Торгово-промышленная палата РоссииАндрей Костогрызов, Торгово-промышленная палата России
Андрей Костогрызов, Торгово-промышленная палата Россииconnecticalab
 
основы безопасности и надежности ис
основы безопасности и надежности исосновы безопасности и надежности ис
основы безопасности и надежности исtrenders
 
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯDialogueScience
 
Информационная безопасность: Комплексный подход и человеческий фактор
Информационная безопасность: Комплексный подход и человеческий факторИнформационная безопасность: Комплексный подход и человеческий фактор
Информационная безопасность: Комплексный подход и человеческий факторMax Kornev
 
Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Cisco Russia
 
Анализ безопасности и много другое
Анализ безопасности и много другоеАнализ безопасности и много другое
Анализ безопасности и много другоеCisco Russia
 
Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...
Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...
Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...Symantec
 
Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...
Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...
Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...Андрей Крылов
 

Similar to защита информации 10 (20)

Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.
 
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
 
управление рисками
управление рискамиуправление рисками
управление рисками
 
ПО ситуационного центра
ПО ситуационного центраПО ситуационного центра
ПО ситуационного центра
 
система конкурентного раннего предупреждения угроз для образовательного учреж...
система конкурентного раннего предупреждения угроз для образовательного учреж...система конкурентного раннего предупреждения угроз для образовательного учреж...
система конкурентного раннего предупреждения угроз для образовательного учреж...
 
Dokument microsoft office_word_2
Dokument microsoft office_word_2Dokument microsoft office_word_2
Dokument microsoft office_word_2
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
 
майстер-клас “Управління ризиками”
майстер-клас “Управління ризиками”майстер-клас “Управління ризиками”
майстер-клас “Управління ризиками”
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
 
Risk management workshop
Risk management workshopRisk management workshop
Risk management workshop
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
 
Андрей Костогрызов, Торгово-промышленная палата России
Андрей Костогрызов, Торгово-промышленная палата РоссииАндрей Костогрызов, Торгово-промышленная палата России
Андрей Костогрызов, Торгово-промышленная палата России
 
основы безопасности и надежности ис
основы безопасности и надежности исосновы безопасности и надежности ис
основы безопасности и надежности ис
 
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
 
Информационная безопасность: Комплексный подход и человеческий фактор
Информационная безопасность: Комплексный подход и человеческий факторИнформационная безопасность: Комплексный подход и человеческий фактор
Информационная безопасность: Комплексный подход и человеческий фактор
 
Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рисками
 
Анализ безопасности и много другое
Анализ безопасности и много другоеАнализ безопасности и много другое
Анализ безопасности и много другое
 
Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...
Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...
Подготовка к защите от будущих атак. Краткое описание: Реализуйте правильную...
 
Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...
Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...
Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...
 

More from aepetelin

информационная безопасность человека
информационная безопасность человекаинформационная безопасность человека
информационная безопасность человекаaepetelin
 
криптография
криптографиякриптография
криптографияaepetelin
 
защита информации 5
защита информации 5защита информации 5
защита информации 5aepetelin
 
защита информации 4
защита информации 4защита информации 4
защита информации 4aepetelin
 
защита информации 3
защита информации 3защита информации 3
защита информации 3aepetelin
 
защита информации 2
защита информации 2защита информации 2
защита информации 2aepetelin
 
защита информации 1
защита информации 1защита информации 1
защита информации 1aepetelin
 
Creating a word file by a template
Creating a word file by a templateCreating a word file by a template
Creating a word file by a templateaepetelin
 
Creating a word file
Creating a word fileCreating a word file
Creating a word fileaepetelin
 
Инсталляторы
ИнсталляторыИнсталляторы
Инсталляторыaepetelin
 
Create word template
Create word templateCreate word template
Create word templateaepetelin
 
Сreate word
Сreate wordСreate word
Сreate wordaepetelin
 
Deployment diagram
Deployment diagramDeployment diagram
Deployment diagramaepetelin
 
Component diagram
Component diagramComponent diagram
Component diagramaepetelin
 
Collaboration diagram
Collaboration diagramCollaboration diagram
Collaboration diagramaepetelin
 
Sequence diagram
Sequence diagramSequence diagram
Sequence diagramaepetelin
 
Activity diagram
Activity diagramActivity diagram
Activity diagramaepetelin
 

More from aepetelin (20)

информационная безопасность человека
информационная безопасность человекаинформационная безопасность человека
информационная безопасность человека
 
криптография
криптографиякриптография
криптография
 
защита информации 5
защита информации 5защита информации 5
защита информации 5
 
защита информации 4
защита информации 4защита информации 4
защита информации 4
 
защита информации 3
защита информации 3защита информации 3
защита информации 3
 
защита информации 2
защита информации 2защита информации 2
защита информации 2
 
защита информации 1
защита информации 1защита информации 1
защита информации 1
 
Installers
InstallersInstallers
Installers
 
Creating a word file by a template
Creating a word file by a templateCreating a word file by a template
Creating a word file by a template
 
06 still
06 still06 still
06 still
 
исиб
исибисиб
исиб
 
Creating a word file
Creating a word fileCreating a word file
Creating a word file
 
Инсталляторы
ИнсталляторыИнсталляторы
Инсталляторы
 
Create word template
Create word templateCreate word template
Create word template
 
Сreate word
Сreate wordСreate word
Сreate word
 
Deployment diagram
Deployment diagramDeployment diagram
Deployment diagram
 
Component diagram
Component diagramComponent diagram
Component diagram
 
Collaboration diagram
Collaboration diagramCollaboration diagram
Collaboration diagram
 
Sequence diagram
Sequence diagramSequence diagram
Sequence diagram
 
Activity diagram
Activity diagramActivity diagram
Activity diagram
 

защита информации 10

  • 2. 2 Управление рисками, равно как и выработка собственной политики безопасности, нужно только для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными. Можно провести аналогию между индивидуальным строительством и получением квартиры в районе массовой застройки
  • 3. 3 С количественной точки зрения размер риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимости), а также величины возможного ущерба. Суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки.
  • 4. 4 Управление рисками включает в себя два вида деятельности, которые чередуются циклически: (пере)оценку (измерение) рисков; выбор эффективных и экономичных защитных средств (нейтрализация рисков).
  • 5. 5 По отношению к выявленным рискам возможны следующие действия: ликвидация риска (например, за счет устранения причины); уменьшение риска (например, за счет использования дополнительных защитных средств); принятие риска (и выработка плана действия в соответствующих условиях); переадресация риска (например, путем заключения страхового соглашения).
  • 6. 6 Процесс управления рисками можно подразделить на следующие этапы: 1)выбор анализируемых объектов и уровня детализации их рассмотрения; 2)выбор методологии оценки рисков; 3)идентификация активов; 4)анализ угроз и их последствий, определение уязвимостей в защите; 5)оценка рисков; 6)выбор защитных мер; 7)реализация и проверка выбранных мер; 8)оценка остаточного риска.
  • 7. 7 Этапы 6 и 7 относятся к выбору защитных средств (нейтрализации рисков), остальные – к оценке рисков. Риски нужно контролировать постоянно, периодически проводя их переоценку.
  • 8. 8 Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. В таком случае эффект оказывается наибольшим, а затраты − минимальными. Ранее мы определили пять этапов жизненного цикла. Кратко опишем, что может дать управление рисками на каждом из них.
  • 9. 9 На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности. На этапе закупки (разработки) выявленные риски способны помочь при выборе архитектурных решений, играющих ключевую роль в обеспечении безопасности.
  • 10. 10 На этапе установки выявленные риски следует учитывать при конфигуриро- вании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию. На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.
  • 11. 11 При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.
  • 12. 12 Подготовительные этапы управления рисками (первые три). Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако, если организации крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных аспектах ИС
  • 13. 13 Уязвимым является каждый компонент ИС − от куска сетевого кабеля, который могут прогрызть мыши, до базы данных, которая может быть разрушена из-за неумелых действий администратора. Приходится останавливаться на некотором уровне детализации
  • 14. 14 Управление рисками − типичная оптимизационная задача, существует довольно много программных продуктов, способных помочь в ее решении (иногда подобные продукты просто прилагаются к книгам по информационной безопасности). Принципиальная трудность, однако, состоит в неточности исходных данных. В простейшем и вполне допустимом случае можно пользоваться трехбальной шкалой
  • 15. 15 При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации.
  • 16. 16 Информационной основой сколько- нибудь крупной организации является сеть, поэтому в число аппаратных активов следует включить компьютеры (серверы, рабочие станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование (мосты, маршрутизаторы и т.п.).
  • 17. 17 К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение и из каких узлов используется.
  • 18. 18 Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним. Все это важно для оценки последствий нарушений информационной безопасности.
  • 19. 19 Управление рисками − процесс далеко не линейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.
  • 20. 20 Управление рисками − процесс далеко не линейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.
  • 21. 21 Основные этапы управления рисками Первый шаг в анализе угроз − их идентификация. Анализируемые виды угроз следует выбрать из соображений здравого смысла (оставив вне поля зрения, например, землетрясения, однако не исключая возможности захвата организации террористами), но в пределах выбранных видов провести максимально полное рассмотрение.
  • 22. 22 Целесообразно выявлять не только сами угрозы, но и источники их возникновения − это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования.
  • 23. 23 После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность). Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.
  • 24. 24 Оценивая вероятность осуществления угроз, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных информационных систем. Если в подвале дома, занимаемого организацией, располагается сауна, а сам дом имеет деревянные перекрытия, то вероятность пожара, к сожалению, оказывается существенно выше средней.
  • 25. 25 После того, как накоплены исходные данные и оценена степень неопределен- ности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9.
  • 26. 26 Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные защитные меры. Как правило, для ликвидации или нейтрализации уязвимости, сделавшей реальной опасную угрозу, существует несколько механизмов безопасности, отличающихся эффективностью и стоимостью. Например, если велика вероятность нелегального входа в систему, можно приказать пользователям выбирать длинные пароли и пр.
  • 27. 27 Оценивая стоимость защитных мер, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, на обучение и переподготовку персонала. Эту стоимость также можно выразить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и приемлемым риском.
  • 28. 28 Важным обстоятельством является совместимость нового средства со сложившейся организационной и аппаратно-программной структурой, с традициями организации.
  • 29. 29 Бывают ситуации, когда для нейтрализации риска не существует эффективных и приемлемых по цене мер. В таком случае приходится поднимать планку приемлемого риска и переносить центр тяжести на смягчение последствий и выработку планов восстановления после аварий, стихийных бедствий и иных происшествий.
  • 30. 30 Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно распланировать. В плане необходимо учесть наличие финансовых средств, сроки обучения персонала. Нужно составить план тестирования (автономного и комплексного), если речь идет о программно-техническом механизме защиты.
  • 31. 31 Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками.