- •Вирусы.
- •Тема 2 Основные документы Информационной Безопасности.
- •Концепция Национальной Безопасности.
- •1)Россия в мировом сообществе.
- •2)Национальные интересы России.
- •3) Угрозы Национальной Безопасности.
- •Концепция национальной безопасности рф (10 января 2000 г )
- •Тема 3. Современные подходы. Понятие угрозы и безопасности.
- •Виды программ и способы, используемые для атаки программ и данных.
- •Тема 4. Основные положения в теории Информационной Безопасности.
- •Виды тайн.
- •Тема 5.
- •Тема 6. Концепция информационной безопасности
- •Политика безопасности предприятия
- •2. Понятие информационного риска
- •3. Принципы управления риском
- •4.Концептуальная модель информационной безопасности.
2. Понятие информационного риска
С точки зрения рисков следует иметь в виду два аспекта:
Во-первых, любую систему безопасности можно взломать, имея достаточно ресурсов и времени. Поэтому риски могут быть идентифицированы и уменьшены, но никогда не сведены попросту на нет.
Во-первых, все организации разные, поэтому процесс смягчения рисков для каждой имеет свои уникальные черты.
Минимизация рисков, построение всеохватывающей системы информационной безопасности – процесс весьма сложный, длительный и дорогостоящий. В мире нет ни одной организации, которая внедрила бы весь набор средств и реализовала все необходимые, описанные в стандартах процессы. Выбор подходящих методов и степени защиты является субъективным процессом, лишь отчасти регламентируемым нормативными актами.
Часто ответственные лица отсрочивают затраты на безопасность ввиду некоторых объективных трудностей:
-
Очень трудно, а зачастую и невозможно качественно и количественно оценить все уязвимости
-
Трудно измерить вероятность наступления события
-
Анализ начат с рисков, защита от которых стоит очень дорого или ее вообще нет.
-
Они могут также надеяться на то, что механизмы защиты можно встроить в рамки имеющихся бизнес-систем.
Можно выделить два основным метода минимизации рисков, которые каждая организация выбирает сама:
Определить риски и внедрить требуемые контрмеры.
Спокойно строить систему управления ИТ и информационной безопасности.
Это – более последовательный путь развития, когда сотрудничество отделов информационных технологий и информационной безопасности позволяет решать многие вопросы комплексно.
Оценка и подсчет рисков.
Оценка риска – вещь субъективная как в отношении метрик, так и в отношении процессов. Для оценок рассматривают две категории метрик: количественные и качественные.
Для количественного соизмерения затрат обычно оценивают количественные потери, основываясь на их стоимости (компьютеры, данные, программное обеспечение, документы, информация) или эффекте от события, а также вероятности наступления данного события. Так как свести риск к нулю все равно не удается, приходится вычислять разность между риском до внедрения системы защиты и оставшимся риском, соизмеряя его со стоимостью контрмер. Но даже в количеством измерении много неясностей и подводных камней.
Качественные метрики сложны в вычислении, но зато позволяют оценить необходимость финансовых затрат. Нет стандартной базы знаний и независимых общепринятых методик расчета.
Для качественного анализа необходимо проанализировать источники угроз, систематизировать их по степени возможных потерь, а необходимые контрмеры ранжировать по степени их эффективности.
При оценке инвестиций в систему безопасности учитываются как начальные инвестиции, так и стоимость обслуживания/поддержки. Чем выше начальные затраты на построение информационной системы, тем обычно меньше операционные расходы
Большинство малых и средних организаций идет по пути минимальных инвестиций в управление рисками, используя антивирусную защиту, доменную аутентификацию, защиту периметра сети и систему архивирования
Крупные организации, имеющие дело с государственной тайной или оперирующие большими денежными суммами, стремятся организовать у себя единую корпоративную систему управления идентификацией, аутентификацией и доступом
Управление рисками
Из основных методов реализации комплексной системы управления рисками следует выделить следующие:
эффективное управление ИТ-инфраструктурой (безопасность начинается с порядка),
управление процессами информационной безопасности,
управление зависимостью от сторонних продуктов и аутсорсинга,
управление идентификацией, авторизацией и доступом с распределением ролей и сквозной от четностью;
обеспечение целостности данных,
обеспечение конфиденциальности критичной информации,
превентивное планирование доступности систем и сервисов,
обеспечение комплексной и прозрачной работы с инцидентами.
Для этого должны быть реализованы:
корпоративная политика персональной ответственности,
гарантия отсутствия неавторизованного доступа,
регулярная проверка средств обеспечения безопасности.
исключение зависимости от одного человека. Например, не должно быть возможности провести или исправить, банковскую транзакцию в одиночку,
минимизация наличия критической информации на персональных компьютерах, особенно мобильных,
классификация данных и систем с точки зрении безопасности и рисков,
антивирусная и целевая зашита.
трение сотрудников.