МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»

Реферат

З дисципліни: «Аудит інформаційної безпеки»

На тему: «Аналіз ризиків в інформаційних сферах»

Виконала: ст. гр. АМЗм-12

Старчак Христина

Прийняв:

Львів 2015

Зміст

Вступ

1. Способи оцінки інформаційного ризику

2. Методи оцінки ризику.

2.1. ISAMM.

2.2. Mehari.

2.3. EBIOS.

2.4. Octave.

2.5. IT-Grundschutz.

2.6. CRAMM.

2.7. Magerit.

3. Управляючі документи.

3.1. ISO / IEC 27001.

3.2. ISO / IEC 27005.

3.3. ISO / IEC 17799.

4. Інструменти оцінки ризиків.

4.1. Cobra.

4.2. RiskWatch.

4.3. ГРИФ 2006.

Висновок

Список використаної літератури

Вступ

Порушення основних властивостей інформації може стати серйозною загрозою для організацій в даний час. Інформацію важче контролювати і вона піддається зростаючому числу загроз і вразливостей, в тому числі комп'ютерного шахрайства, шпигунству, саботажу, вандалізму, пожежі або повені. Інформаційні ресурси, як і матеріальні, володіють якістю та кількістю, мають собівартість і ціну. Оцінка ризиків є важливою частиною будь-якого процесу інформаційної безпеки. Її використовують для визначення масштабу загроз безпеці інформації та ймовірності реалізації загрози.

Процес оцінки ризику оцінює ймовірність і потенційний збиток від виявлених загроз, заходи індивідуального рівня ризику кожного інформаційного активу і як вони ставляться до конфіденційності, цілісності та доступності. Потім вимірюється ефективність існуючих заходів. Результати допомагають організації визначити, які активи є найбільш критичними, служать основою для визначення пріоритетів і рекомендують курс дій для захисту активів.

1. Способи оцінки інформаційного ризику.

Є безліч способів оцінки інформаційного ризику і в цій статті авторами буде представлено класифікацію існуючих методів і засобів оцінки інформаційних ризиків.

Оцінка ризику - це процес, який використовується для присвоєння значень наслідків, ймовірності виникнення та рівня ризику. Вона включає в себе:

1. оцінку ймовірності загроз і вразливостей, які можливі;

2. розрахунок впливу, який може мати загроза на кожен актив;

3. визначення кількісної (вимірні) або якісної (описуваної) вартості ризику.

Треба взяти до уваги те, що ці три змінні рідко незалежні одина від одної. В області інформаційної безпеки, є зв'язок між вартістю активів, впливом і ймовірністю. Наприклад, більш імовірно,  що хакер буде використовувати уразливість, яка викликає більший вплив, ніж уразливість з низьким рівнем впливу. Крім того, цінний актив має більшу імовірність компрометації, ніж марний. Таким чином, в цій області повинно прийматися до уваги більше, ніж просто випадкові дії. Необхідно брати до уваги, що при наявності достатнього часу і рішучості, люди мають можливість обійти майже всі заходи безпеки. Вони можуть бути надзвичайно творчими, коли мотивовані. Таким чином, фактор мотивації повинен бути серйозно розглянутий в процесі оцінки безпеки інформаційного ризику.

    У даній статті будуть розглянуті кращі, на думку авторів, способи оцінки інформаційних ризиків.

На Рис. 1 представлені три способи, за допомогою яких можна проводити оцінку інформаційних ризиків:

1. методи;