- •Конспект лекций по дисциплине «Основы информационной безопасности»
- •1 Общеметодологические принципы теории информационной безопасности
- •1 Лекция №1
- •1 Лекция №2
- •1 Лекция №3
- •1 Лекция №4
- •1 Лекция №5
- •1 Лекция №6
- •Методы и средства обеспечения иб Лекция №1
- •2 Лекция №3
- •2 Лекция №5
- •2 Лекция №6
- •Нормативные документы и стандарты в информационной безопасности и защите информации Общие сведения
- •II группа – классы 2б и 2а
- •Лекция №4 Модель защиты от угроз нарушения конфиденциальности информации
- •4. Межсетевые экраны экспертного уровня.
- •2 Лекция №7
- •1.4.1. Принципы обеспечения целостности
- •Основы формальной теории защиты информации
- •2. Запись.
- •Формальные модели управления доступом Модель Харрисона-Руззо-Ульмана
- •Модель Белла-ЛаПадулы
- •Формальные модели целостности Модель Кларка-Вилсона
- •Модель Биба
- •1. Простое правило целостности (Simple Integrity, si).
- •Ролевое управление доступом
- •Скрытые каналы передачи информации
- •Лекция №8
- •2 Лекция №9
- •1 Криптографические методы и средства защиты информации
- •1.1 Симметричные криптосистемы
- •1.2 Системы с открытым ключом
- •1.3 Электронная подпись
- •1.4 Управление ключами
- •0.1 Обеспечение информационной безопасности на жизненном цикле автоматизированных систем
- •0.1.1 Методы защиты от несанкционированного изменения структур автоматизированных систем (ас): общие требования к защищенности ас от несанкционированного изменения структур
Методы и средства обеспечения иб Лекция №1
Тема лекции: «Анализ, оценивание и обработка риска».
Понятия риск, ущерб, остаточный риск, защитная мера, допустимый риск, менеджмент риска, коммуникация риска, оценка риска, анализ риска, оценивание риска, обработка риска, принятие риска, критерии риска, предотвращение риска, оптимизация риска, перенос риска, сохранение риска, опасность.
Цель лекции
Дать студентам знания об основах анализа и оценивания риска.
Задачи лекции
Обозначить основные понятия процесса анализа и оценивания риска.
Содержание лекции
Риск согласно ГОСТ Р 51898 – 2002 – это сочетание вероятности нанесения ущерба и тяжести этого ущерба.
Ущерб – нанесение физического повреждения или другого вреда здоровью людей, или вреда имуществу или окружающей среде. Не может быть абсолютной безопасности. Всегда будет оставаться остаточный риск.
Остаточный риск – риск , оставшийся после предпринятых защитных мер.
Защитная мера – мера, используемая для уменьшения риска. Безопасность достигают путем снижения уровня риска до допустимого риска.
Допустимый риск – риск, который в данной ситуации считают приемлемым при существующих общественных ценностях. Допустимый риск представляет собой оптимальный баланс между безопасностью и требованиями, которым должна удовлетворять продукция, процесс или услуга, а так же такими факторами, как выгодность для пользователя, эффективность затрат, обычаи и др.
Менеджмент риска согласно ГОСТ Р 51897 – 2002 – это скоординированные действия по руководству и управлению организацией в отношении риска. Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникацию риска.
Коммуникация риска – это обмен информацией о риске или совместное использование этой информации между лицом, принимающим решение, и другими причастными сторонами. Информация может касаться существования, природы, формы, вероятности, тяжести, приемлемости, мероприятий или других аспектов риска.
Оценка риска – это общий процесс анализа риска и оценивания риска.
Анализ риска – это систематическое использование информации для выявления опасности и количественной оценки риска.
Оценивание риска – это основанная на результатах анализа риска процедура проверки, устанавливающая, не превышен ли допустимый риск.
Обработка риска – это процесс выбора и осуществления мер по модификации риска. Термин «обработка риска» иногда используют для обозначения самих мер. Меры по обработке риска могут включать в себя избежание, оптимизацию, перенос или сохранение риска.
Принятие риска – это решение принять риск. Принятие риска зависит от критериев риска.
Критерии риска – это правила, по которым оценивают значимость риска. Критерии риска могут включать в себя сопутствующие стоимость и выгоды, законодательные и обязательные требования, социально-экономические и экологические аспекты, озабоченность причастных сторон, приоритеты и другие затраты на оценку.
Предотвращение риска – это решение не быть вовлеченным в рискованную ситуацию или действие, предупреждающее вовлечение в нее. Решение может быть принято на основе результатов оценивания риска.
Оптимизация риска – это процесс, связанный с риском, направленный на минимизацию негативных и максимальное использование позитивных последствий и, соответственно, их вероятности. С точки зрения безопасности оптимизация риска направлена на снижение риска. Оптимизация риска зависит от критериев риска с учетом стоимости и законодательных требований.
Перенос риска – это разделение с другой стороной бремени потерь или выгод от риска. Законодательные или обязательные требования могут ограничивать, запрещать или поручать перенос определенного риска. Перенос риска может быть осуществлен страхованием или другими соглашениями. Перенос риска может создавать новый риск или модифицировать существующий риск. Перемещение источника не является переносом риска.
Сохранение риска – это принятие бремени потерь или выгод от конкретного риска. Сохранение риска не включает в себя обработку риска в результате страхования или перенос риска другими средствами.
Опасность – это потенциальный источник возникновения ущерба. Термин опасность может быть конкретизирован в части определения природы опасности или вида ожидаемого ущерба. Например, опасность утонуть, опасность электрического шока, опасность разрушения, травматическая опасность, токсическая опасность, опасность пожара.
Для обработки риска доступны четыре варианта: предотвращение риска, снижение риска, перенос риска и принятие риска. Обычно результатом решения об обработке риска является комбинация из четырех вариантов; если они не являются взаимоисключающими:
– предотвращение риска: рассмотрение способов устранения угрозы или уязвимости или изменения процесса или деятельности таким образом, чтобы угроза к ним больше не была применима.
– перенос риска: перенос риска на третью сторону, которая может взять на себя риск, или через передачу функций поставщикам сетевых решений или услуг.
– снижение риска: применение соответствующих защитных мер для снижения риска в терминах снижения уязвимостей или тяжести возможных последствий.
– принятие риска (объективным образом): принятие решения в отношении всего оставшегося риска.
Варианты обработки риска должны быть оценены на основе степени снижения риска и степени любых создаваемых дополнительных выгод или возможностей, учитывая разработанные ранее критерии. Некоторые незамедлительные варианты могут быть технически неосуществимыми или требовать значительных инвестиций в поддержку. Должен быть рассмотрен ряд вариантов и применен либо индивидуально, либо в комбинации.
Выбор наиболее соответствующего варианта включает сопоставление стоимости реализации каждого варианта с выгодами, получаемыми от него. В общем, стоимость менеджмента рисков должна быть соразмерна получаемым выгодам.
Если значительное снижение рисков может быть получено при относительно низких затратах, такие варианты должны быть реализованы. Дальнейшие варианты совершенствования могут быть неэкономичными, и должно быть выработано мнение, являются ли они оправданными.
Решения должны учитывать потребность тщательного рассмотрения редких, но серьезных рисков, которые могут служить основанием для мер снижения риска, не являющихся оправданными на строго экономической основе. В общем, неблагоприятные последствия рисков должны быть сделаны настолько низкими, насколько это разумно осуществимо, независимо от любых абсолютных критериев.
Во многих случаях маловероятно, чтобы один вариант обработки риска был полным решением конкретной проблемы. Часто организация извлекает значительную пользу путем комбинирования таких вариантов, как снижение вероятности рисков, уменьшение их последствий и перенос или сохранение любых остаточных рисков. Примером является эффективное использование контрактов и финансирования решения проблемы риска, поддерживаемое программой снижения риска. Некоторые варианты обработки риска могут эффективно решать вопрос более чем одного риска (например, обучение и повышение осознания безопасности).
В тех случаях, когда совокупная стоимость реализации всех вариантов обработки риска превышает доступный бюджет, план обработки риска должен четко идентифицировать упорядочение по приоритетам, в котором будут реализовываться индивидуальные варианты обработки риска. Упорядочение по приоритетам может быть установлено с использованием различных методов, включая ранжирование риска и анализ затрат и выгод. Варианты обработки риска, которые не могут быть реализованы в рамках доступного бюджета, должны либо быть отложены, пока не будут доступны дальнейшие финансовые ресурсы, либо, если по какой-либо причине любой или все остающиеся варианты обработки риска считаются важными, должен быть создан прецедент обеспечения дополнительного финансирования.
Оценка контекста предоставляет информацию по правовым и регулятивным требованиям, которые должны быть выполнены, даже если никакого конкретного риска для организации идентифицировано не было.
Варианты обработки риска должны рассматривать:
– как воспринимается риск затрагиваемыми сторонами;
наиболее уместные способы взаимодействия с этими сторонами.
Вопросы для самостоятельной работы
1. Назовите основные пункты концепции безопасности согласно ГОСТ Р 51898-2002?
2. Какова процедура, применяемая для достижения уровня риска до допустимого?
3. Перечислите основные способы уменьшения риска.
Литература для подготовки
Доктрина ИБ РФ, ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты, ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения.
Вопросы для повторения
1. Что такое менеджмент риска? Что он в себя включает?
2. Каковы составляющие оценки риска? Охарактеризуйте каждую из них.
Обработка риска, предотвращение риска, снижение риска, перенос риска, принятие риска.
Цель лекции
Дать студентам знания об основах обработки риска.
Задачи лекции
Обозначить основные действия при ведении работы по обработке риска.
Содержание лекции
Вопросы для самостоятельной работы
1. Каковы основные цели обработки риска?
2. Каковы полномочия специалиста, назначенного для обработки риска?
3. Назовите основные условия выбора варианта обработки риска (или комбинации вариантов).
4. Перечислите основные пункты стратегии восстановления.
Литература для подготовки
Доктрина ИБ РФ; ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения; ГОСТ Р 51901.4-2005 (МЭК 62198:2001) Менеджмент риска. Руководство по применению при проектировании; Расторгуев С.П. Основы информационной безопасности: учеб. пособие для студ. высших учебных заведений. - М.: Академия, 2007.
Вопросы для повторения
Назовите основные варианты, доступные для обработки риска.
Каковы возможности распределения риска?