- •1.Системный подход к обеспечению информационной безопасности хозяйствующего субъекта.
- •2.Система обеспечения информационной безопасности хозяйствующего субъекта: цели, задачи, виды обеспечения.
- •4.Объекты защиты: понятие, классификация, особенности организации защиты (защищаемая информация, носители, технология).
- •5.Управление ксзи хозяйствующего субъекта: понятие, задачи управления.
- •6.Классификация и анализ угроз информационной безопасности хозяйствующего субъекта.
- •7.Анализ и управление рисками информационной безопасности хозяйствующего субъекта: понятие, подходы к управлению рисками.
- •8.Организационное обеспечение ксзи: понятие, структура.
- •9.Правовое обеспечение ксзи: понятие, структура.
- •10.Концепция и политика безопасности как основные элементы ксзи.
- •11.Кадровое обеспечение ксзи: понятие, структура, подготовка.
- •12.Подбор кадров в подразделения ксзи: показатели оценки качества кадров ксзи, особенности организации кадровой работы, требования, предъявляемые к сотрудниками ксзи.
- •13.Финансово- экономические обеспечение ксзи: понятие, структура.
- •14.Структурирование затрат на информационную безопасность хозяйствующего субъекта.
- •15.Модели оценки эффективности функционирования ксзи: виды, краткая характеристика.
- •16.Инженерно-техническое обеспечение ксзи: понятие, структура.
- •17.Инженерно-техническая защита территории и помещений: понятие, структура.
- •18.Инженерно-техническая защита от утечки по техническим каналам: понятие, структура.
- •19.Программно-аппаратное обеспечение ксзи: понятие, структура.
- •20.Перечень сведений, подлежащих защите в организации: понятие, порядок формирования и утверждения.
7.Анализ и управление рисками информационной безопасности хозяйствующего субъекта: понятие, подходы к управлению рисками.
Под риском в общем смысле слова понимается характеристика ситуации, свидетельствующая о наличии вероятности неблагоприятного развития событий с негативными последствиями.
В отношении рисков следует иметь в виду два обстоятельства:
- во-первых, любую систему безопасности можно преодолеть, имея достаточно ресурсов и времени. Поэтому риски могут быть идентифицированы и уменьшены, но никогда не «уничтожены» полностью;
- во-вторых, все ХС разные, поэтому процесс минимизации рисков для каждого из них имеет свои особенности.
Под управлением рисками в сфере обеспечения ИБ понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.
На этапе управления рисками разрабатывается некоторая стратегия управления рисками. При этом возможны следующие подходы к управлению рисками информационной безопасности ХС:
- уменьшение риска;
- уклонение от риска;
- изменение характера риска;
- принятие риска.
Уменьшение рисков информационной безопасности. Многие риски ИБ можно значительно уменьшить, и часто за счет простых и дешевых контрмер. Например: управление паролями снижает риск несанкционированного доступа; инструктаж на рабочем месте по правилам пользования электронной почтой и системами мгновенных сообщений значительно снижает риск заражения вирусами и внедрения шпионских программ.
Уклонение от рисков информационной безопасности. От некоторых классов рисков ИБ можно уклониться. Например: вынесение Веб-сервера компании за пределы локальной сети (прокси-сервер) позволяет избежать риска несанкционированного проникновения в локальную сеть компании со стороны Веб-клиентов.
Изменение характера риска. Если не удается снизить риски ИБ или уклониться от них, то можно принять некоторые меры страховки. Например: застраховать оборудование от пожара, стихийного бедствия и др.; заключить договор с поставщиками СВТ о компенсации ущерба, связанного с нештатными ситуациями, вызванными сбоями и неисправностями технических средств.
Принятие рисков. От некоторых классов рисков ИБ нельзя избавиться вообще. Даже при применении полного комплекса контрмер некоторые из них уменьшаются, но остаются значимыми. При этом необходимо знать остаточную величину риска.
Система управления рисками в целом предназначена для поддержки принимаемых управленческих решений, учитывающих возможные риски.
Управление рисками включает в себя следующие процессы:
идентификацию рисков;
оценку величины (степени) рисков;
разработку и осуществление мероприятий, направленных на уменьшение риска до приемлемого уровня.
Цель управления рисками заключается в создании условий для наиболее эффективного выполнения организацией своей миссии за счет:
повышения безопасности ИТ-систем при хранении, обработке и передаче информации в пределах и вне ХС;
повышения информированности руководства относительно принятых решений для получения обоснованных объемов затрат на управление рисками, которые должны стать неотъемлемой частью общего бюджета ИТ;
оказания помощи руководству в авторизации (или в аккредитации) своих ИТ-систем на базе документированной поддержки результатами выполнения процессов управления рисками.