155.73K
Category: informaticsinformatics
Similar presentations:
Средства и методы защиты информации. Лекция 3
Средства и методы защиты информации. Лекция 3
Принципы построения системы информационной безопасности
Принципы построения системы информационной безопасности
Анализ рисков информационных систем
Анализ рисков информационных систем
Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа
Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа
Административные меры защиты информации
Административные меры защиты информации
Разработка системы защиты информации. Лекция №3
Разработка системы защиты информации. Лекция №3
Система управления информационной безопасностью. Угрозы информационной безопасности
Система управления информационной безопасностью. Угрозы информационной безопасности
Основы информационной безопасности. Организационные меры обеспечения ИБ. (Тема 2)
Основы информационной безопасности. Организационные меры обеспечения ИБ. (Тема 2)
Оценка и контроль защищенности информационных систем. ОИТ Лекция 9
Оценка и контроль защищенности информационных систем. ОИТ Лекция 9
Методика анализа защищённости ИС. Методы и средства выявления угроз её ИБ. Лекция 6
Методика анализа защищённости ИС. Методы и средства выявления угроз её ИБ. Лекция 6

Лекция 2

1.

ЛЕКЦИЯ 2
ВЗАИМОСВЯЗЬ ОСНОВНЫХ ПОНЯТИЙ В ОБЛАСТИ
ОЦЕНКИ РИСКОВ. МЕСТО АНАЛИЗА РИСКОВ В
ОБЩЕЙ СХЕМЕ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ

2.

Взаимосвязь основных понятий в области оценки рисков
Риск не существует сам по себе. Он рассматривается в контексте какого-то ценного
ресурса (актива). Ценность актива влияет на уровень риска.
Актив (asset) – что-либо, что имеет ценность для организации.
Обычно выделяют следующие классы активов:
– материальные активы (например, оборудование);
– финансовые активы;
– информационные активы – это «информационные ресурсы, в том числе различные
виды информации, циркулирующие в информационной системе (служебная, управляющая,
аналитическая, деловая и т. д.) на всех этапах жизненного цикла (генерация, хранение,
обработка, передача, уничтожение) или средства обработки информации»;

3.

Взаимосвязь основных понятий в области оценки рисков
– человеческие активы (люди и их квалификация, навыки и опыт);
– процессы – агрегированный актив, который оперирует всеми другими активами для
достижения бизнес целей организации;
– нематериальные активы (например, репутация, имидж организации – содержание
открытой и широко распространенной информации об организации).
Ценность информационных активов с точки зрения информационной безопасности определяет
набор сервисов ИБ.

4.

Взаимосвязь основных понятий в области оценки рисков
Основные сервисы информационной безопасности:
– доступность – состояние информации, при котором субъекты, имеющие права
доступа, могут реализовать их беспрепятственно;
– конфиденциальность – обязательное для выполнения лицом, получившим доступ к
определённой информации, требование не передавать такую информацию третьим лицам
без согласия её обладателя;
– целостность – состояние информации, при котором отсутствует любое её изменение
либо изменение осуществляется только преднамеренно субъектами, имеющими на него
право.

5.

Взаимосвязь основных понятий в области оценки рисков
Угроза безопасности информации (threat) – совокупность условий и факторов, создающих
потенциальную или реально существующую опасность нарушения безопасности информации.
Например, к угрозам ИБ можно отнести действия нарушителя, воздействие стихийных сил и т. д.
Другими словами, угроза – это потенциальная возможность возникновения неблагоприятного события,
которое с некоторой степенью разрушительности повреждает механизмы защиты или воздействует
непосредственно на ценный ресурс, что приводит к негативным последствиям. Последствия могут
быть выражены в форме финансового, материального, морального, репутационного или иного ущерба.
Уязвимость информационной системы (vulnerability) – свойство информационной системы,
обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
Например, к уязвимостям информационной системы можно отнести наличие беспрепятственного
доступа к техническим средствам обработки информации; наличие в помещениях элементов,
обладающих электроакустическими преобразователями, и т. д.

6.

Взаимосвязь основных понятий в области оценки рисков
Значение уровня риска используется риск-менеджером, или лицом, принимающим решения
(ЛПР), для выбора стратегии защиты. На основе анализа работ были выделены следующие
стратегии защиты от угроз:
– снижение риска путем снижения уровня условий реализации угрозы (уязвимостей) за счет
применения механизмов защиты;
– предотвращение риска путем уклонения от угрозы или ликвидации источника угрозы;
– принятие риска, которое может быть выражено: в сохранении риска (принятии негативных
последствий, отсутствии каких-либо действий по снижению уровня риска) или в переносе риска
(полной или частичной передаче ответственности за последствия от реализации неблагоприятного
события на сторонних лиц (страхование)).

7.

Взаимосвязь основных понятий в
области оценки рисков
Таким
образом,
анализ
научной
литературы, в том числе существующей
нормативной базы, позволил построить
онтологическую
модель
предметной
области.
Процесс управления рисками содержит
две
основные
составляющие:
оценка
(переоценка рисков) и выбор эффективных и
экономически выгодных мер и средств
защиты (нейтрализация риска).

8.

Взаимосвязь основных понятий в области оценки рисков
Оценка риска (risk assessment) – общий процесс анализа риска и оценивания риска.
Анализ риска (risk analysis) – систематическое использование информации для выявления
источников и оценки риска. Анализ риска обеспечивает основу для оценивания риска и включает
определение уровня риска.
Оценивание риска (risk evaluation) – процесс сравнения оценочной величины риска с
установленным критерием риска с целью определения уровня значимости риска. Оценивание риска
способствует принятию решения относительно выбора стратегии воздействия на риск.
Мера и средство контроля и управления (control) – средство для осуществления менеджмента
риска,
включающее
политики,
процедуры,
рекомендации,
практические
приемы
или
организационные структуры, которые могут иметь административный, технический, управленческий
или правовой характер.

9.

Место анализа рисков в общей схеме управления информационной
безопасностью
Механизмы защиты должны обеспечивать:
– конфиденциальность: доступ к информации только авторизованных
пользователей;
– целостность: достоверность и полноту информации и методов ее обработки;
– доступность: доступ к информации и связанным с ней активам
авторизованных пользователей по мере необходимости.

10.

Место анализа рисков в общей схеме управления информационной
безопасностью
Информационная безопасность достигается путем реализации соответствующего
комплекса мероприятий по управлению информационной безопасностью, которые могут
быть представлены политиками, методами, процедурами, организационными структурами и
функциями программного обеспечения. Указанные мероприятия должны обеспечить
достижение целей информационной безопасности организации.
Мероприятия по управлению в области информационной безопасности обойдутся
значительно дешевле и окажутся более эффективными, если будут включены в
спецификацию требований на стадии проектирования системы.

11.

Место анализа рисков в общей схеме управления информационной
безопасностью
Организация должна определить свои требования к информационной безопасности с
учетом следующих трех факторов.
Во-первых, оценка рисков организации. Посредством оценки рисков происходит
выявление угроз активам организации, оценка уязвимости соответствующих активов и
вероятности возникновения угроз, а также оценка возможных последствий.
Во-вторых,
юридические,
законодательные,
регулирующие
и
договорные
требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики
и поставщики услуг.
В-третьих, специфический набор принципов, целей и требований, разработанных
организацией в отношении обработки информации.

12.

Место анализа рисков в общей схеме управления информационной
безопасностью
Остановимся подробней на оценке рисков информационной безопасности.
Требования к информационной безопасности определяются с помощью систематической
оценки рисков. Решения о расходах на мероприятия по управлению информационной
безопасностью должны приниматься, исходя из возможного ущерба, который может быть нанесен
бизнесу в результате нарушений информационной безопасности. Методы оценки риска могут
применяться как для всей организации, так и для какой-либо ее части, отдельных
информационных систем, определенных компонентов систем или услуг, а именно там, где это
практически выполнимо и целесообразно.

13.

Место анализа рисков в общей схеме управления информационной
безопасностью
Оценка риска – это систематический анализ:

вероятного
информационной
ущерба,
безопасности
наносимого
бизнесу
с
возможных
учетом
в
результате
последствий
нарушений
от
потери
конфиденциальности, целостности или доступности информации и других активов;
– вероятности наступления такого нарушения с учетом существующих угроз и
уязвимостей, а также внедренных мероприятий по управлению информационной
безопасностью.

14.

Место анализа рисков в общей схеме управления информационной
безопасностью
Результаты этой оценки помогут в определении конкретных мер и приоритетов в области
управления рисками, связанными с информационной безопасностью, а также внедрению
мероприятий по управлению информационной безопасностью с целью минимизации этих рисков.
Может потребоваться неоднократное проведение оценки рисков и выбора мероприятий по
управлению информационной безопасностью для того, чтобы охватить различные подразделения
организации или отдельные информационные системы.
Важно периодически проводить анализ рисков в области информационной безопасности и
внедренных мероприятий по управлению информационной безопасностью для того, чтобы учесть:
– изменения требований и приоритетов бизнеса;
– появление новых угроз и уязвимостей;
–снижение
эффективности
информационной безопасностью.
существующих
мероприятий
по
управлению

15.

Место анализа рисков в общей схеме управления информационной
безопасностью
Уровень детализации такого анализа следует определять в зависимости от результатов
предыдущих проверок и изменяющегося уровня приемлемого риска. Оценка рисков обычно
проводится сначала на верхнем уровне, при этом ресурсы направляются в области наибольшего
риска, а затем на более детальном уровне, что позволяет рассмотреть специфические риски.
Оценку рисков, как и любую другую деятельность в области информационной безопасности,
необходимо интегрировать в жизненный цикл ИС организации. В таком случае эффект
оказывается наибольшим, а затраты – минимальными.
Жизненный цикл информационной системы включает:
– предпроектную стадию;
– стадию проектирования (разработки);
– стадию разработки (установки) и внедрения ИС;
– эксплуатацию;
– выведение из эксплуатации.

16.

Место анализа рисков в общей схеме управления информационной
безопасностью
На предпроектной стадии осуществляется:
– сбор материалов для проектирования, при этом выделяют формулирование требований,
с изучения объекта автоматизации, даются предварительные выводы предпроектного варианта
ИС;
– анализ материалов и разработка документации, обязательно дается технико-
экономическое обоснование с техническим заданием на проектирование ИС.
На данном этапе известные риски следует учесть при выработке требований к системе
вообще и средствам безопасности в частности.

17.

Место анализа рисков в общей схеме управления информационной
безопасностью
Стадия проектирования включает:
– предварительное проектирование: выбор проектных решений по аспектам разработки ИС;
описание реальных компонент ИС; оформление и утверждение технического проекта (ТП).
– детальное проектирование: выбор или разработка математических методов или алгоритмов
программ; корректировка структур БД; создание документации на доставку и установку
программных продуктов; выбор комплекса технических средств с документацией на ее установку.
– разработку техно-рабочего проекта ИС (ТРП).
– разработку методологии реализации функций управления с помощью ИС и описание
регламента действий аппарата управления.
На данном этапе знание рисков поможет выбрать соответствующие архитектурные решения,
которые играют ключевую роль в обеспечении безопасности.

18.

Место анализа рисков в общей схеме управления информационной
безопасностью
Разработка ИС предполагает:
– получение и установку технических и программных средств;
– тестирование и доводку программного комплекса;
– разработку инструкций по эксплуатации программно-технических средств.
Ввод ИС в эксплуатацию включает:
– ввод технических средств;
– ввод программных средств;
– обучение и сертификация персонала;
– опытная эксплуатация;
– сдача и подписание актов приемки-сдачи работ.

19.

Место анализа рисков в общей схеме управления информационной
безопасностью
На этапе разработки и внедрения ИС выявленные риски следует учитывать при
конфигурировании, тестировании и проверке ранее сформулированных требований, а полный
цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.
На этапе эксплуатации ИС осуществляется:
– повседневная эксплуатация;
– общее сопровождение всего проекта.
На этапе эксплуатации управление рисками должно сопровождать все существенные
изменения в системе.
При выведении системы из эксплуатации управление рисками помогает убедиться в том,
что миграция данных происходит безопасным образом.

20.

СПАСИБО ЗА ВНИМАНИЕ!
English     Русский Rules