3.75M

анализ рисков шипика

1.

Анализ рисков
информационных систем
Выполнил студент второго курса И-23Б
Дмитрий Шипика
Проверила Крюкова В.Л.

2.

Что такое риск и зачем его
анализировать
Риск — это вероятность возникновения нежелательного события и масштаб
возможного ущерба от него. В информационных системах риски напрямую влияют
на три ключевых свойства: доступность, целостность и конфиденциальность
данных.
Последствия рисков
Простой серверов и систем
Утечки персональных данных
Штрафы со стороны регуляторов
Потеря доверия клиентов
Зачем анализировать риски?
Анализ рисков позволяет заранее выявить угрозы и принять меры до того,
как они реализуются. Это помогает снизить возможный ущерб и обеспечить
стабильную работу информационных систем.

3.

Цели и задачи анализа рисков
Главная цель анализа — понять, какие угрозы наиболее опасны для организации, и грамотно распределить ресурсы на защиту. Это
позволяет не тратить бюджет на безопасность впустую, а сосредоточиться на реальных угрозах.
Зачем это нужно?
Основные задачи
Экономия бюджета на безопасность
01
Соответствие стандартам ISO 27001 и ISO 9001
Выполнение требований регуляторов
Снижение числа инцидентов
Выявить активы и потенциальные угрозы
02
Оценить вероятность и масштаб ущерба
03
Выбрать стратегию работы с рисками
04
Постоянно обновлять данные и пересматривать оценки

4.

Классификация рисков
Риски в информационных системах можно разделить на несколько категорий в зависимости от источника возникновения и уровня
критичности. Понимание этих категорий помогает правильно расставить приоритеты при защите.
Внешние риски
Внутренние риски
Хакерские атаки и вирусы
Ошибки сотрудников
Стихийные бедствия
Сбои оборудования
Действия конкурентов
Устаревшее ПО
Человеческий фактор
Критичность
Одна из самых частых причин инцидентов — невнимательность,
Низкий — мониторинг
слабые пароли, фишинг.
Средний — контроль
Высокий — немедленные меры
Критический — план восстановления
Критические риски требуют немедленного внимания и обязательного плана восстановления после инцидентов.

5.

Методы анализа рисков
Существует два основных подхода к оценке рисков: качественный и количественный. Каждый из них имеет свои преимущества и
применяется в зависимости от целей анализа и доступных данных.
Качественный метод
Количественный метод
Эксперты оценивают риски с помощью словесных
Рассчитываются конкретные числовые значения: вероятность
характеристик: «высокий», «средний», «низкий». Быстрый и
умножается на размер возможного ущерба. Даёт точные цифры
понятный подход, не требующий точных цифр. Хорошо подходит
для принятия решений, но требует больше данных и времени.
для начальной оценки.
Простота и скорость
Точные числовые оценки
Не требует точных данных
Формула: Вероятность × Ущерб
Основан на опыте экспертов
Основа для бюджетирования
Матрица рисков (риск-матрица) — самый удобный инструмент визуализации. По осям откладываются вероятность и
влияние, а цветом обозначается уровень опасности. Существуют также специализированные программы для автоматизации
анализа.

6.

Этапы проведения анализа рисков
Анализ рисков — это не разовое мероприятие, а непрерывный процесс. Он включает несколько последовательных этапов, каждый из которых важен для
получения достоверных результатов.
Идентификация
Определить важные активы и возможные угрозы
Оценка
Оценить вероятность и возможный ущерб
Расчёт
Рассчитать уровень риска по выбранным методам
Стратегия
Выбрать способ работы с риском: избежать, снизить, передать или принять
Мониторинг
Постоянно отслеживать изменения и обновлять данные
Каждый этап логически вытекает из предыдущего: сначала выявляем угрозы, затем оцениваем их, рассчитываем уровень риска, выбираем стратегию
реагирования и непрерывно контролируем ситуацию.

7.

Практическое применение и типичные ошибки
Как применять правильно
Типичные ошибки
Анализ рисков встраивают в процессы управления качеством и
информационной безопасностью организации. При системном
подходе количество инцидентов заметно снижается.
Регулярное обновление оценок рисков
Интеграция с системами управления ИБ
Обучение сотрудников основам безопасности
Учёт всех платформ: облако, мобильные устройства
Недооценка человеческого фактора — сотрудники
часто становятся слабым звеном
Анализ «один раз» — риски меняются, оценки
устаревают
Игнорирование облаков и мобильных устройств —
новые векторы атак
Формальный подход — без реальных выводов и
действий

8.

Заключение
Анализ рисков — это не просто формальность, а важнейший инструмент
обеспечения надёжной работы компьютерных систем. Он помогает не только
защищаться от угроз, но и грамотно распределять ресурсы на безопасность.
Защита
Экономия
Систематический анализ позволяет
Правильная расстановка
заранее выявить уязвимости и
приоритетов помогает не тратить
принять меры до реализации угроз
бюджет на второстепенные угрозы
Качество
В современных условиях без системного анализа рисков невозможно
обеспечить качество и соответствие стандартам
Главный вывод: Анализ рисков — это непрерывный процесс, а не
разовое мероприятие. Только регулярная работа с рисками позволяет
поддерживать информационные системы в безопасном состоянии.
English     Русский Rules