Риск- это вероятность потерь, которая требует защиты.
Использование любой информационной системы связанно с определенной совокупностью рисков. С точки зрения администрации необходимо применять экономические и административно оправданные меры защиты информации. Необходимо периодически производить переоценку рисков, для контроля эффективности деятельности в области безопасности информации с учетом изменения обстановки. С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы и величины возможного ущерба. Для управления рисками необходимо оценить их размер и выбрать эффективные и экономические меры снижения рисков, чтобы риски были заключены в приемлемые рамки.
Обычно управление рисками осуществляется циклически и проходит в два этапа:
1. Переоценка и измерение рисков.
2. Выбор эффективных методов защит от рисков.
Действия, применимые к рискам:
1. Ликвидация риска.
2. Уменьшение риска.
3. Принятие риска.
4. Переадресация риска.
Процесс управления рисками можно подразделить на две составляющие:
1. Оценка риска.
1.1. Выбор объектов и уровень детализации их рассмотрения.
1.2. Выбор методологии оценки рисков.
1.3. Идентификация активов.
1.4. Анализ угроз и их последствий.
1.5. Оценка риска.
1.6. Оценка остаточного риска, после применения защитных средств.
2. Устранение риска.
2.1. Выбор защитных мер.
2.2. Реализация.
2.3. Проверка выбранных мер.
Проводимые меры должны осуществляться на всем жизненном цикле информационной системы. На всем жизненном цикле информационной системы необходимо постоянно переоценивать риски, тогда эффект по управлению рисками будет наиболее эффективен, а затраты минимальны. На каждом этапе жизни информационной системы необходимо выработать требования, предъявляемые к безопасности информационной системы.
На этапе инициализации необходимо учесть требования, предъявляемые к системе вообще и к безопасности в частности.
На этапе закупки необходимо учесть знание рисков для выработки соответствующего архитектурного решения.
На этапе установки необходимо учесть выявленные риски при конфигурации, тестировании и проверки ранее сформулированных требований.
Полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.
На этапе эксплуатации управление рисками должно включать в себя все существенные изменения в системе.
При выведении системы из эксплуатации управление рисками должны способствовать безопасному мигрированию информации.
При анализе объектов с целью выявления уровня детализации для оценки рисков необходимо сосредоточится на наиболее важных сервисах обеспечения безопасности, соглашаясь с приближенностью итоговой оценки, выбирая из важных сервисов те, риски для которых велики, либо неизвестны.
Целесообразно создание карты информационной системы для организации. Данная карта наглядно показывает, какие сервисы выбраны для анализа, какими пренебрегли. Данную карту информационной системы необходимо поддерживать в актуальном состоянии на всем протяжении жизненного цикла информационной системы, чтобы способствовать эффективной переоценке рисков при появлении новых или существенно изменившихся сервисов.
Для оценки рисков необходимо выбрать разумную методологию оценки рисков. Управление рисками это типичная оптимизационная задача. Применение стандартных программных продуктов для решения оптимизационных задач неприемлемо поскольку невозможно точно представить исходные данные.
Обычно степень рисков оценивается по трехбалльной системе, используя какие-то условные единицы.
Этапы управления рисками:
1. Анализ угроз, их идентификация и выявление источников.
2. Оценка вероятности осуществления угрозы.
3. Расчет предполагаемого ущерба.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.
