Управление информационными рисками

В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности предприятия. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно-правовой базы в области защиты информации и собственной корпоративной политики безопасности.

Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо экономически оправданные меры защиты. Периодическая (пере)оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

Суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки(и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

1) (пере) оценка (измерение) рисков;

2) выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

· ликвидация риска(например, за счет устранения причины);

· уменьшение риска(например, за счет использования дополнительных защитных средств);

· принятие риска(путем выработки плана действия в соответствующих условиях):

· переадресация риска(например, путем заключения страхового соглашения).

Процесс управления рисками можно разделить на следующие этапы:

1. Выбор анализируемых объектов и уровня детализации их рассмотрения.

2. Выбор методологии оценки рисков.

3. Идентификация активов.

4. Анализ угроз и их последствий, выявление уязвимых мест в защите.

5. Оценка рисков.

6. Выбор защитных мер.

7. Реализация и проверка выбранных мер.

8. Оценка остаточного риска.

Этапы6 и относятся к выбору защитных средств (нейтрализациии рисков), остальные- к оценке рисков.

Уже перечисление этапов показывает, что управление рисками процесс циклический. По существу, последний этап- это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Следует отметить, что выполненная и тщательно документированная оценка может существенно упростить последующую деятельность.

Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты минимальными.

Управление рисками необходимо проводить на всех этапах жизненного цикла информационной системы: инициация-разработка-установка эксплуатация- утилизация (вывод из эксплуатации).

На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.

На этапе разработки знание рисков помогает выбирать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности.

На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных

Требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.

На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.

При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.

 

 

Заключение

Результатами проведения аудита Информационной Безопасности позволяют:

· Выявить значимые угрозы для информации, циркулирующей в пределах предприятия;

· Оценить вероятность каждого события, представляющего угрозу для безопасности, и ущерб от него;

· Составить неформальную модель нарушителя; определить основные требования к системе защиты;

· Оценить с точки зрения этих требований эффективность применяемых организационных мер и инженерно-технических средств защиты;

· Разработать предложения и рекомендации по совершенствованию комплексной системы обеспечения безопасности.

На основе полученных результатов аудита ИБ проводится подготовка распорядительных документов, которые создают основу для проведения защитных мероприятий Результаты проведения аудита ИБ позволяют:

· Выявить значимые угрозы для информации, циркулирующей в пределах предприятия;

· Оценить вероятность каждого события, представляющего угрозу для безопасности, и ущерб от него;

· Составить неформальную модель нарушителя; определить основные требования к системе защиты;

· Оценить с точки зрения этих требований эффективность применяемых организационных мер и инженерно-технических средств защиты;

· Разработать предложения и рекомендации по совершенствованию комплексной системы обеспечения безопасности.

На основе полученных результатов аудита ИБ проводится подготовка распорядительных документов, которые создают основу для проведения защитных мероприятий (" Концепция информационной безопасности", " План защиты", " Положение о категорировании ресурсов автоматизированной системы" и некоторые другие), а также внести пункты, касающиеся защиты, в должностные инструкции и положения об отделах и подразделениях. Разработанные документы в зависимости от результатов обследования могут предусматривать решение следующих задач: Разработанные документы в зависимости от результатов обследования могут предусматривать решение следующих задач:

· Защиту от проникновения в корпоративную сеть и от утечки информации из сети по каналам связи;

· Защиту наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования;

· Защита важных рабочих мест и ресурсов от несанкционированного доступа;

· Криптографическую защиту наиболее важных информационных ресурсов.

Проведения аудита безопасности предприятия дают возможность обеспечить формирование единой политики и концепции безопасности предприятия; рассчитать, согласовать и обосновать необходимые затраты на защиту предприятия; объективно и независимо оценить текущий уровень информационной безопасности предприятия; обеспечить требуемый уровень безопасности и в целом повысить экономическую эффективность предприятия; эффективно создавать и использовать профили защиты конкретного предприятия на основе неоднократно апробированных и адаптированных качественных и количественных методик оценки информационной безопасности предприятий заказчика.

Объективно оценить безопасность всех основных компонентов и сервисов корпоративной информационной системы предприятия заказчика, техническое состояние аппаратно-программных средств защиты информации

(Межсетевые экраны, маршрутизаторы, хосты, серверы, корпоративные БД и приложения); успешно применять на практике рекомендации, полученные в ходе выполнения аналитического исследования, для нейтрализации и локализации выявленных уязвимостей аппаратно- программного уровня.

 

 

Список литературы

1. Аверченков В.И. Организационная защита информации: учеб. пособие/В.И. Аверченков, М.Ю. Рытов - Брянск: БГТУ, 2005 - 184с.

2. Аверченков В.И., Служба защиты информации: организация и управление: учеб. пособие / В.И. Аверченков, М.Ю. Рытов - Брянск: БГТУ, 2005 - 186с.

3. Астахов А. Аудит безопасности информационных систем / А.Астахов

4. Галатенко В.А. Основы информационной безопасности: учеб. пособие/В.А. Галатенко - М: ИНТУИТ.РУ «Интернет-университет информационных технологий», 2004. - 264с.

5. Домарев В.В. Безопасность информационных технологий. Системный подход / В.В. Домарев - Киев: ООО «ТиД», 2004. - 914с.

6. Линаев В.В. Технологические процессы и стандарты обеспечения функциональной безопасности в жизненном цикле программных средств / В.В. Линаев. - 2004. - №3 (130).

7. Мак-Мак В.П. Служба безопасности предприятия. Организационно-управленческие и правовые аспекты деятельности/В.П. Мак-Мак - М.: ИД МБ, 1999. -160 с.

8. Медведовский И.Д. Практическое применение международного стандарта безопасности информационных систем ISO 17799

9. Медведовский И.Д. Современные методы и средства анализа и контроля рисков информационных компаний

10. Петренко С.А. Аудит безопасности Iuranrt / С.А. Петренко, А.А. Петренко - М: Академии АиТи: ДМК Пресс, 2002. - 438с.

 

⇐ Предыдущая1234

Поделиться: