- •2. Процессный подход к анализу и управлению рисками. Характеристика процессов.
- •3. Основные понятия и определения: риск, характеристики рисков, анализ рисков, оценка рисков, управление рисками.
- •4.Этапы анализа и оценки рисков.
- •5. Управление рисками. Цели управления рисками. Что включает в себя управление рисками.
- •6. Уровни зрелости организации, определяемые международными стандартами.
- •7. Суть процессов обработки рисков иб.
- •8. Количественная и качественная оценка рисков. Что необходимо учитывать для проведения количественной оценки рисков?
- •9. Понятие Аудит иб. Цели, задачи Аудита. Стандарты в области аудита.
- •1. Комплексный анализ ис предприятия и подсистемы информационной безопасности на методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков.
1.Подходы к оценке рисков инф. безопасности. Базовый и полный анализ рисков. Чем определяется выбор подхода.
Выделяют следующие подходы к оценке стоимости СЗИ(системы защиты информации).
1. Наукообразный подход – заключается в том, чтобы создать инструменты оценивания стоимости защищаемой информации , привлекая для этого организацию, как собственника информации, с целью оценивания стоимости информационных ресурсов, выделению существенных для данной организации угроз и уязвимостей, определения вероятности их реализации, определение ущерба. Существенно, что при этом организация сама осознает проблему сохранности своей информации.
2. Практический подход – эксперты-практики в области ИБ выделяют оптимальный вариант затрат на обеспечение ИБ организации, а именно: стоимость СЗИ должна составлять примерно 10-20% от стоимости самой информационной системы организации. Этот подход дает возможность заранее спрогнозировать затраты на обеспечение ИБ.
Для анализа рисков базового уровня достаточно проверить риск невыполнения требований общепринятого стандарта безопасности (обычно ISO 17799) с получением на выходе качественной оценки уровня рисков (высокий, средний, низкий). Система КОНДОР является ярким примером реализации подобного подхода к анализу рисков базового уровня.
Полный вариант анализа рисков применяется в случае повышенных требований к ИБ. В отличие от базового варианта в том или ином виде оцениваются ресурсы, характеристики рисков и уязвимостей. Как правило, проводится анализ соотношения стоимость/эффективность нескольких вариантов защиты.
Таким образом, при проведении полного анализа рисков необходимо:
определить ценность ресурсов;
добавить к стандартному набору список угроз, актуальных для исследуемой информационной системы;
оценить вероятность угроз;
определить уязвимость ресурсов;
предложить решение, обеспечивающее необходимый уровень ИБ.
Процесс анализа рисков делится на несколько этапов:
идентификация информационных ресурсов;
выбор критериев оценки и определение потенциального негативного воздействия на ресурсы и приложения;
оценка угроз;
оценка уязвимостей;
оценка рисков;
оценка эффективности существующих и предполагаемых средств обеспечения информационной безопасности.
На основе анализа рисков выбираются средства, обеспечивающие режим ИБ. Ресурсы, значимые для бизнеса и имеющие определенную степень уязвимости, подвергаются риску, если по отношению к ним существует какая-либо угроза. При оценке рисков учитываются потенциальное негативное воздействие от нежелательных происшествий и показатели значимости рассматриваемых уязвимостей и угроз.
Степень риска зависит от ряда факторов:
ценности ресурсов;
вероятности реализации угроз;
простоты использования уязвимости для реализации угроз;
существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий.
Выбор зависит от оценки собственниками ценности своих информационных ресурсов и возможных последствий нарушения режима информационной безопасности. В простейшем случае собственники информационных ресурсов могут не оценивать эти параметры. Подразумевается, что ценность ресурсов с точки зрения организации не является чрезмерно высокой. В этом случае анализ рисков производится по упрощенной схеме: рассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ.
2. Процессный подход к анализу и управлению рисками. Характеристика процессов.
Процесс управления рисками предприятий включает следующие этапы: формирование целей и задач управления рисками; определение рисков, которые проявляются в деятельности предприятия; формирование организационной структуры предприятия; анализ особенностей проявления каждого риска.
Формирование целей и задач управления рисками. На этом этапе процесса управления рисками предприятия определяются цели управления рисками, которые заключаются в профилактике рисков предприятия и минимизации ущерба от влияния рисков.
Определение рисков, которые проявляются в деятельности предприятия. Идентификация рисков включает определение факторов, влияющих на результаты деятельности предприятия, их классификацию.
Формирование организационной структуры предприятия. На третьем этапе осуществляется построение организационной структуры предприятия. Управление рисками в связи с их множеством и высокой степенью влияния на результаты деятельности предприятия должно осуществляться обособленной службой. Основными задачами службы управления рисками являются:
- взаимодействие с подразделениями предприятия при сборе информации, характеризующей факторы рисков в деятельности предприятия;
- обработка и анализ информации (анализ рисков);
- разработка мероприятий по управлению рисками предприятия (разработка управленческих решений).
Анализ особенностей проявления каждого риска. На четвертом этапе служба управления рисками проводит детальный анализ рисков. Для достижения заданной цели специалисты данной службы должны создать систему управленческого учета, информационно-программное обеспечение и обработать значительный объем информации для принятия управленческого решения.
Мой ответ(из слайдов):
Процессный подход
Стандарт содействует утверждению процессного подхода к управлению информационной безопасностью. Процесный подход подчеркивает важность:
Понимания требований информационной безопасности организации и необходимости определения политики и целей информационной безопасности;
Внедрения и эксплуатации механизмов контроля для управления рисками информационной безопасности организации в контексте управления общими бизнес рисками организации;
Мониторинга и проверки производительности и эффективности СУИБ;
Непрерывное усовершенствование на базе объективных измерений.
3. Основные понятия и определения: риск, характеристики рисков, анализ рисков, оценка рисков, управление рисками.
Риск – это вероятносный ущерб, который зависит от защищености системы.
Характеристика рисков - это связь между оценкой риска и ранжированием риска.
ценности ресурсов;
вероятности реализации угроз;
простоты использования уязвимости для реализации угроз;
существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают число уязвимостей, вероятность возникновения угроз и возможность негативных воздействий.
Анализ рисков - Анализ информационных рисков - это процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков.
Оценка рисков – это определение количественным или качественным способом величины (степени) рисков.
Управление рисками - это процессы, связанные с идентификацией, анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий.