Информационная безопасность. Макаренко С.И. - 99 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

99
рамки (и остаются таковыми). Следовательно, управление рисками
включает в себя два вида деятельности, которые чередуются циклически:
1. (пере)оценка (измерение) рисков;
2. выбор эффективных и экономичных защитных средств
(нейтрализация рисков).
По отношению к выявленным рискам возможны следующие
действия:
- ликвидация риска (например, за счет устранения причины);
- уменьшение риска (например, за счет использования
дополнительных защитных средств);
- принятие риска (и выработка плана действия в соответствующих
условиях);
- переадресация риска (например, путем заключения страхового
соглашения).
Процесс управления рисками можно разделить на следующие этапы:
1. Выбор анализируемых объектов и уровня детализации их
рассмотрения. Для небольшой организации допустимо
рассматривать всю информационную инфраструктуру; однако если
организация крупная, всеобъемлющая оценка может потребовать
неприемлемых затрат времени и сил. В таком случае следует
сосредоточиться на наиболее важных сервисах, заранее соглашаясь
с приближенностью итоговой оценки.
2. Выбор методологии оценки рисков. Целью оценки является
получение ответа на два вопроса: приемлемы ли существующие
риски, и если нет, то какие защитные средства стоит использовать.
Значит, оценка должна быть количественной, допускающей
сопоставление с заранее выбранными границами допустимости и
расходами на реализацию новых регуляторов безопасности.
3. Идентификация активов. При идентификации активов, то есть тех
ресурсов и ценностей, которые организация пытается защитить,
следует, конечно, учитывать не только компоненты
информационной системы, но и поддерживающую инфраструктуру,
персонал, а также нематериальные ценности, такие как репутация
организации.
4. Анализ угроз и их последствий, выявление уязвимых мест в защите.
Первый шаг в анализе угроз - их идентификация. Целесообразно
выявлять не только сами угрозы, но и источники их возникновения
- это поможет в выборе дополнительных средств защиты. После
идентификации угрозы необходимо оценить вероятность ее
осуществления. Кроме вероятности осуществления, важен размер
потенциального ущерба. Оценивая размер ущерба, необходимо
иметь в виду не только непосредственные расходы на замену
оборудования или восстановление информации, но и более 
рамки (и остаются таковыми). Следовательно, управление рисками
включает в себя два вида деятельности, которые чередуются циклически:
     1. (пере)оценка (измерение) рисков;
     2. выбор эффективных и экономичных защитных средств
        (нейтрализация рисков).
    По отношению к выявленным рискам возможны следующие
действия:
     - ликвидация риска (например, за счет устранения причины);
     - уменьшение       риска    (например,    за    счет   использования
        дополнительных защитных средств);
     - принятие риска (и выработка плана действия в соответствующих
        условиях);
     - переадресация риска (например, путем заключения страхового
        соглашения).

    Процесс управления рисками можно разделить на следующие этапы:
    1. Выбор анализируемых объектов и уровня детализации их
       рассмотрения.      Для    небольшой     организации    допустимо
       рассматривать всю информационную инфраструктуру; однако если
       организация крупная, всеобъемлющая оценка может потребовать
       неприемлемых затрат времени и сил. В таком случае следует
       сосредоточиться на наиболее важных сервисах, заранее соглашаясь
       с приближенностью итоговой оценки.
    2. Выбор методологии оценки рисков. Целью оценки является
       получение ответа на два вопроса: приемлемы ли существующие
       риски, и если нет, то какие защитные средства стоит использовать.
       Значит, оценка должна быть количественной, допускающей
       сопоставление с заранее выбранными границами допустимости и
       расходами на реализацию новых регуляторов безопасности.
    3. Идентификация активов. При идентификации активов, то есть тех
       ресурсов и ценностей, которые организация пытается защитить,
       следует,    конечно,     учитывать    не    только   компоненты
       информационной системы, но и поддерживающую инфраструктуру,
       персонал, а также нематериальные ценности, такие как репутация
       организации.
    4. Анализ угроз и их последствий, выявление уязвимых мест в защите.
       Первый шаг в анализе угроз - их идентификация. Целесообразно
       выявлять не только сами угрозы, но и источники их возникновения
       - это поможет в выборе дополнительных средств защиты. После
       идентификации угрозы необходимо оценить вероятность ее
       осуществления. Кроме вероятности осуществления, важен размер
       потенциального ущерба. Оценивая размер ущерба, необходимо
       иметь в виду не только непосредственные расходы на замену
       оборудования или восстановление информации, но и более


                                   99

Страницы