Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Управление информационными рисками ⇐ ПредыдущаяСтр 4 из 4
В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности предприятия. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно-правовой базы в области защиты информации и собственной корпоративной политики безопасности. Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо экономически оправданные меры защиты. Периодическая (пере)оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки. Суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки(и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически: 1) (пере) оценка (измерение) рисков; 2) выбор эффективных и экономичных защитных средств (нейтрализация рисков). По отношению к выявленным рискам возможны следующие действия: · ликвидация риска(например, за счет устранения причины); · уменьшение риска(например, за счет использования дополнительных защитных средств); · принятие риска(путем выработки плана действия в соответствующих условиях): · переадресация риска(например, путем заключения страхового соглашения). Процесс управления рисками можно разделить на следующие этапы: 1. Выбор анализируемых объектов и уровня детализации их рассмотрения. 2. Выбор методологии оценки рисков. 3. Идентификация активов. 4. Анализ угроз и их последствий, выявление уязвимых мест в защите. 5. Оценка рисков. 6. Выбор защитных мер. 7. Реализация и проверка выбранных мер. 8. Оценка остаточного риска. Этапы6 и относятся к выбору защитных средств (нейтрализациии рисков), остальные- к оценке рисков. Уже перечисление этапов показывает, что управление рисками процесс циклический. По существу, последний этап- это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Следует отметить, что выполненная и тщательно документированная оценка может существенно упростить последующую деятельность. Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты минимальными. Управление рисками необходимо проводить на всех этапах жизненного цикла информационной системы: инициация-разработка-установка эксплуатация- утилизация (вывод из эксплуатации). На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности. На этапе разработки знание рисков помогает выбирать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности. На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных Требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию. На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе. При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.
Заключение Результатами проведения аудита Информационной Безопасности позволяют: · Выявить значимые угрозы для информации, циркулирующей в пределах предприятия; · Оценить вероятность каждого события, представляющего угрозу для безопасности, и ущерб от него; · Составить неформальную модель нарушителя; определить основные требования к системе защиты; · Оценить с точки зрения этих требований эффективность применяемых организационных мер и инженерно-технических средств защиты; · Разработать предложения и рекомендации по совершенствованию комплексной системы обеспечения безопасности. На основе полученных результатов аудита ИБ проводится подготовка распорядительных документов, которые создают основу для проведения защитных мероприятий Результаты проведения аудита ИБ позволяют: · Выявить значимые угрозы для информации, циркулирующей в пределах предприятия; · Оценить вероятность каждого события, представляющего угрозу для безопасности, и ущерб от него; · Составить неформальную модель нарушителя; определить основные требования к системе защиты; · Оценить с точки зрения этих требований эффективность применяемых организационных мер и инженерно-технических средств защиты; · Разработать предложения и рекомендации по совершенствованию комплексной системы обеспечения безопасности. На основе полученных результатов аудита ИБ проводится подготовка распорядительных документов, которые создают основу для проведения защитных мероприятий (" Концепция информационной безопасности", " План защиты", " Положение о категорировании ресурсов автоматизированной системы" и некоторые другие), а также внести пункты, касающиеся защиты, в должностные инструкции и положения об отделах и подразделениях. Разработанные документы в зависимости от результатов обследования могут предусматривать решение следующих задач: Разработанные документы в зависимости от результатов обследования могут предусматривать решение следующих задач: · Защиту от проникновения в корпоративную сеть и от утечки информации из сети по каналам связи; · Защиту наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования; · Защита важных рабочих мест и ресурсов от несанкционированного доступа; · Криптографическую защиту наиболее важных информационных ресурсов. Проведения аудита безопасности предприятия дают возможность обеспечить формирование единой политики и концепции безопасности предприятия; рассчитать, согласовать и обосновать необходимые затраты на защиту предприятия; объективно и независимо оценить текущий уровень информационной безопасности предприятия; обеспечить требуемый уровень безопасности и в целом повысить экономическую эффективность предприятия; эффективно создавать и использовать профили защиты конкретного предприятия на основе неоднократно апробированных и адаптированных качественных и количественных методик оценки информационной безопасности предприятий заказчика. Объективно оценить безопасность всех основных компонентов и сервисов корпоративной информационной системы предприятия заказчика, техническое состояние аппаратно-программных средств защиты информации (Межсетевые экраны, маршрутизаторы, хосты, серверы, корпоративные БД и приложения); успешно применять на практике рекомендации, полученные в ходе выполнения аналитического исследования, для нейтрализации и локализации выявленных уязвимостей аппаратно- программного уровня.
Список литературы 1. Аверченков В.И. Организационная защита информации: учеб. пособие/В.И. Аверченков, М.Ю. Рытов - Брянск: БГТУ, 2005 - 184с. 2. Аверченков В.И., Служба защиты информации: организация и управление: учеб. пособие / В.И. Аверченков, М.Ю. Рытов - Брянск: БГТУ, 2005 - 186с. 3. Астахов А. Аудит безопасности информационных систем / А.Астахов 4. Галатенко В.А. Основы информационной безопасности: учеб. пособие/В.А. Галатенко - М: ИНТУИТ.РУ «Интернет-университет информационных технологий», 2004. - 264с. 5. Домарев В.В. Безопасность информационных технологий. Системный подход / В.В. Домарев - Киев: ООО «ТиД», 2004. - 914с. 6. Линаев В.В. Технологические процессы и стандарты обеспечения функциональной безопасности в жизненном цикле программных средств / В.В. Линаев. - 2004. - №3 (130). 7. Мак-Мак В.П. Служба безопасности предприятия. Организационно-управленческие и правовые аспекты деятельности/В.П. Мак-Мак - М.: ИД МБ, 1999. -160 с. 8. Медведовский И.Д. Практическое применение международного стандарта безопасности информационных систем ISO 17799 9. Медведовский И.Д. Современные методы и средства анализа и контроля рисков информационных компаний 10. Петренко С.А. Аудит безопасности Iuranrt / С.А. Петренко, А.А. Петренко - М: Академии АиТи: ДМК Пресс, 2002. - 438с.
|
Последнее изменение этой страницы: 2019-06-08; Просмотров: 159; Нарушение авторского права страницы