Конспект лекций по предмету "Защита информации"


Анализ рисков и управление ими

Анализ рисков и управление ими. Наряду с анализом потенциально возможных угроз на ранних этапах проектирования ИС желательно провести и анализ рисков от реализации этих угроз, так как этот анализ позволяет определить наиболее значимые угрозы из всех возможных угроз и средства защиты от них. Процесс анализа рисков включает 1 оценку возможных потерь из-за успешно проведенных атак на безопасность ИС оценку вероятности обнаружения уязвимых мест системы, влияющей на оценку возможных потерь. Процесс анализа рисков включает 2 выбор оптимальных по затратам мер и средств защиты, которые сокращают риск до приемлемого уровня. С целью повышения эффективности анализа рисков он проводится по различным направлениям для объектов ИС для процессов, процедур и программ обработки информации для каналов связи для побочных электромагнитных излучений для механизмов управления системой защиты. Анализ рисков предполагает изучение и систематизацию угроз защиты информации ЗИ , а также определение требований к средствам защиты. Изучение и систематизация угроз ЗИ предусматривает следующие этапы выбор объектов ИС и информационных ресурсов, для которых будет проведен анализ разработка методологии оценки риска анализ угроз и определение слабых мест в защите идентификация угроз и формирование списка угроз формирование детального списка угроз и матрицы угрозы элементы ИС или информационные ресурсы. Для построения надежной защиты необходимо выявить возможные угрозы безопасности информации, оценить их последствия, определить необходимые меры и средства защиты и оценить их эффективность. Разнообразие потенциальных угроз столь велико, что все равно не позволяет предусмотреть каждую из них, поэтому анализируемые виды уместно выбирать с позиций здравого смысла, одновременно выявляя не только собственно угрозы, вероятность их осуществления, масштаб потенциального ущерба, но и их источники. Оценка рисков производится с помощью различных инструментальных средств, а также методов моделирования процессов защиты информации. На основании результатов анализа выявляются наиболее высокие риски, переводящие потенциальную угрозу в разряд реально опасных и, следовательно, требующие принятия дополнительных защитных мер. Когда намеченные меры приняты, необходимо проверить их действенность, например, произвести автономное и комплексное тестирование программно-технического механизма защиты. Если проверка показывает, что в результате проделанной работы остаточные риски снизились до приемлемого уровня, то можно намечать дату ближайшей переоценки, если нет - следует проанализировать допущенные ошибки и провести повторную оценку рисков. При разработке методологии оценки риска используются методы системного анализа, в результате получаются оценки предельно допустимого и реального риска осуществления угроз в течение некоторого времени. В идеале для каждой из угроз должно быть получено значение вероятности ее осуществления в течение некоторого времени. Это поможет соотнести оценку возможного ущерба с затратами на защиту. На практике для большинства угроз невозможно получить достоверные данные о вероятности реализации угрозы и приходится ограничиваться качественными оценками. Оценка ущерба, который может нанести деятельности организации реализация угроз безопасности, производится с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации. Расходы на систему защиты информации необходимо соотнести с ценностью защищаемой информации и других информационных ресурсов, которые подвергаются риску, а также с ущербом, который может быть нанесен организации в результате реализации угроз. По завершении анализа уточняются допустимые остаточные риски и расходы по мероприятиям, связанным с защитой информации. По результатам проведенной работы составляется документ, содержащий перечни угроз ЗИ, оценки рисков и рекомендации по снижению вероятности их возникновения защитные меры, необходимые для нейтрализации угроз анализ стоимость эффективность, на основании которого делаются


Не сдавайте скачаную работу преподавателю!
Данный конспект лекций Вы можете использовать для создания шпаргалок и подготовки к экзаменам.

Поделись с друзьями, за репост + 100 мильонов к студенческой карме :

Пишем конспект самостоятельно:
! Как написать конспект Как правильно подойти к написанию чтобы быстро и информативно все зафиксировать.