Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная РУБРИКАТОР Управление информационными рисками Анализ и управление рисками - общие положения
Protectiva Compliance Manager
Навигация
 

Анализ и управление рисками - общие положения

Операции с документом
Понятие анализа и управления рисками, идентификация и оценка стоимости ресурсов, анализ угроз и уязвимостей.

Анализ рисков

Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности АС, целью которого является определение того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Ниже раскрываются сущность и содержание мероприятий по анализу и управлению рисками.

Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам АС, в случае осуществления угрозы безопасности.

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им количественную оценку). Его можно разделить на несколько последовательных этапов:

  • Идентификация ключевых ресурсов АС;
  • Определение важности тех или иных ресурсов;
  • Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
  • Вычисление рисков, связанных с осуществлением угроз безопасности.

Идентификация ресурсов

Ресурсы АС делятся на три категории:

  • Информационные ресурсы;
  • Программное обеспечение;
  • Технические средства (файловые серверы, рабочие станции, мосты, маршрутизаторы и т. п.).

В каждой категории ресурсы можно разделить на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность АС и существенны с точки зрения обеспечения безопасности.

Оценка стоимости ресурсов

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. В ходе оценки стоимости ресурсов определяется величина возможного ущерба для каждой категории ресурсов:

  • Данные были раскрыты, изменены, удалены или стали недоступны;
  • Аппаратура была повреждена или разрушена;
  • Нарушена целостность ПО.

Идентификации и определение уровня угроз безопасности

Типичные угрозы безопасности включают в себя:

  • локальные и удаленные атаки на ресурсы АС;
  • стихийные бедствия;
  • ошибки персонала;
  • сбои в работе АС, вызванные ошибками в ПО или неисправностями аппаратуры.

Под уровнем угрозы понимается вероятность ее осуществления.

Идентификация и оценка уязвимостей

Оценка уязвимостей предполагает определение вероятности успешного осуществления угроз безопасности. Успешное осуществление угрозы означает нанесение ущерба ресурсам АС. Наличие уязвимостей в АС обуславливается слабостями защиты.

Таким образом вероятность нанесения ущерба определяется вероятностью осуществления угрозы и величиной уязвимости.

Вычисление рисков

Уровень риска определяется на основе стоимости ресурса, уровня угрозы и величины уязвимости. С увеличением стоимости ресурса, уровня угрозы и величины уязвимости возрастает и уровень риска. На основе оценки уровня рисков определяются требования безопасности.

Управление рисками

Задача управления рисками включает выбор и обоснование выбора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Управление рисками включает в себя оценку стоимости реализации контрмер, которая должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть тем больше, чем меньше вероятность причинения ущерба.

Контрмеры могут уменьшать уровни рисков различными способами:

  • уменьшая вероятность осуществления угроз безопасности;
  • ликвидируя уязвимости или уменьшая их величину;
  • уменьшая величину возможного ущерба;
  • выявление атак и других нарушений безопасности;
  • способствуя восстановлению ресурсов АС, которым был нанесен ущерб.

Comments (2)

Михаил 23-12-2010 09:52

Понятие (определение) "анализ рисков"

Что же такое "анализ рисков" так и не определено в статье, хотя в подзаголовок вынесена фраза "понятие анализа".
А любое дело, как известно, начинается с договорённостей о терминах.
Александр Астахов 24-12-2010 12:44

термины в области управления рисками

По вашей просьбе добавили в данный раздел "Термины и определения в области управления информационными рисками". Наслаждайтесь :)
Если надо еще что-то добавить, сообщайте или добавляйте самостоятельно.
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex