Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Основные понятия и этапы управления рисками

Содержание

Основные понятия Управление рисками рассматривается нами на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.
Основные понятия и этапы управления рисками[ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ][Институт ИИБС, Кафедра ИСКТ][Шумейко Е.В.] Основные понятия  Управление рисками рассматривается нами на административном уровне ИБ, поскольку Основные понятия  Вообще говоря, управление рисками, равно как и выработка собственной Основные понятияМожно провести аналогию между индивидуальным строительством и получением квартиры в районе Основные понятияИспользование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб Основные понятияТаким образом, суть мероприятий по управлению рисками состоит в том, чтобы Основные понятияПо отношению к выявленным рискам возможны следующие действия: ликвидация риска (например, Основные понятияПроцесс управления рисками можно разделить на следующие этапы:Выбор анализируемых объектов и Основные понятияЭтапы 6 и 7 относятся к выбору защитных средств (нейтрализации рисков), Основные понятияУправление рисками, как и любую другую деятельность в области информационной безопасности, Основные понятияНа этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные решения, Подготовительные этапы управления рискамиВ этом разделе будут описаны первые три этапа процесса Подготовительные этапы управления рискамиМы уже указывали на целесообразность создания карты информационной системы Подготовительные этапы управления рискамиВообще говоря, уязвимым является каждый компонент информационной системы - Подготовительные этапы управления рискамиОчень важно выбрать разумную методологию оценки рисков. Целью оценки Подготовительные этапы управления рискамиПринципиальная трудность, однако, состоит в неточности исходных данных. Можно, Подготовительные этапы управления рискамиПри идентификации активов, то есть тех ресурсов и ценностей, Подготовительные этапы управления рискамиОдним из главных результатов процесса идентификации активов является получение Подготовительные этапы управления рискамиИнформационной основой сколько-нибудь крупной организации является сеть, поэтому в Подготовительные этапы управления рискамиВажно зафиксировать, где (в каких узлах сети) хранится программное Подготовительные этапы управления рискамиУправление рисками - процесс далеко не линейный. Практически все Основные этапы управления рискамиЭтапы, предшествующие анализу угроз, можно считать подготовительными, поскольку, строго Основные этапы управления рискамиКраткий перечень наиболее распространенных угроз был рассмотрен нами ранее. Основные этапы управления рискамиПервый шаг в анализе угроз - их идентификация. Рассматриваемые Основные этапы управления рискамиЦелесообразно выявлять не только сами угрозы, но и источники Основные этапы управления рискамиПосле идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо Основные этапы управления рискамиОценивая размер ущерба, необходимо иметь в виду не только Основные этапы управления рискамиУязвимые места обладают свойством притягивать к себе не только Основные этапы управления рискамиПосле того, как накоплены исходные данные и оценена степень Основные этапы управления рискамиПо этой шкале и следует оценивать приемлемость рисков. Правда, Основные этапы управления рискамиЕсли какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, Основные этапы управления рискамиЕсли есть вероятность умышленного повреждения сервера баз данных, что Основные этапы управления рискамиОценивая стоимость мер защиты, приходится, разумеется, учитывать не только Основные этапы управления рискамиВыбирая подходящий способ защиты, целесообразно учитывать возможность экранирования одним Основные этапы управления рискамиВажным обстоятельством является совместимость нового средства со сложившейся организационной Основные этапы управления рискамиМожно представить себе ситуацию, когда для нейтрализации риска не Основные этапы управления рискамиКак и всякую иную деятельность, реализацию и проверку новых Основные этапы управления рискамиКогда намеченные меры приняты, необходимо проверить их действенность, то
Слайды презентации

Слайд 2 Основные понятия
Управление рисками рассматривается нами на

Основные понятия Управление рисками рассматривается нами на административном уровне ИБ, поскольку

административном уровне ИБ, поскольку только руководство организации способно выделить

необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.

Слайд 3 Основные понятия
Вообще говоря, управление рисками, равно

Основные понятия Вообще говоря, управление рисками, равно как и выработка собственной

как и выработка собственной политики безопасности, актуально только для

тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными. Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно с формальной точки зрения, в свете проанализированного нами ранее российского законодательства в области ИБ).

Слайд 4 Основные понятия
Можно провести аналогию между индивидуальным строительством и

Основные понятияМожно провести аналогию между индивидуальным строительством и получением квартиры в

получением квартиры в районе массовой застройки. В первом случае

необходимо принять множество решений, оформить большое количество бумаг, во втором достаточно определиться лишь с несколькими параметрами. Более подробно данный аспект рассмотрен в статье Сергея Симонова "Анализ рисков, управления рисками" (Jet Info, 1999, 1).

Слайд 5 Основные понятия
Использование информационных систем связано с определенной совокупностью

Основные понятияИспользование информационных систем связано с определенной совокупностью рисков. Когда возможный

рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически

оправданные меры защиты. Периодическая (пере)оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба.

Слайд 6 Основные понятия
Таким образом, суть мероприятий по управлению рисками

Основные понятияТаким образом, суть мероприятий по управлению рисками состоит в том,

состоит в том, чтобы оценить их размер, выработать эффективные

и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

(пере)оценка (измерение) рисков;
выбор эффективных и экономичных защитных средств (нейтрализация рисков).

Слайд 7 Основные понятия
По отношению к выявленным рискам возможны следующие

Основные понятияПо отношению к выявленным рискам возможны следующие действия: ликвидация риска

действия:

ликвидация риска (например, за счет устранения причины);

уменьшение риска (например, за счет использования дополнительных защитных средств);
принятие риска (и выработка плана действия в соответствующих условиях);
переадресация риска (например, путем заключения страхового соглашения).

Слайд 8 Основные понятия
Процесс управления рисками можно разделить на следующие

Основные понятияПроцесс управления рисками можно разделить на следующие этапы:Выбор анализируемых объектов

этапы:

Выбор анализируемых объектов и уровня детализации их рассмотрения.
Выбор

методологии оценки рисков.
Идентификация активов.
Анализ угроз и их последствий, выявление уязвимых мест в защите.
Оценка рисков.
Выбор защитных мер.
Реализация и проверка выбранных мер.
Оценка остаточного риска.

Слайд 9 Основные понятия
Этапы 6 и 7 относятся к выбору

Основные понятияЭтапы 6 и 7 относятся к выбору защитных средств (нейтрализации

защитных средств (нейтрализации рисков), остальные - к оценке рисков.

Уже

перечисление этапов показывает, что управление рисками - процесс циклический. По существу, последний этап - это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.

Слайд 10 Основные понятия
Управление рисками, как и любую другую деятельность

Основные понятияУправление рисками, как и любую другую деятельность в области информационной

в области информационной безопасности, необходимо интегрировать в жизненный цикл

ИС. Тогда эффект оказывается наибольшим, а затраты - минимальными. Ранее мы определили пять этапов жизненного цикла. Кратко опишем, что может дать управление рисками на каждом из них.

На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.

Слайд 11 Основные понятия
На этапе закупки (разработки) знание рисков поможет

Основные понятияНа этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные

выбрать соответствующие архитектурные решения, которые играют ключевую роль в

обеспечении безопасности.
На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.
На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.
При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.

Слайд 12 Подготовительные этапы управления рисками
В этом разделе будут описаны

Подготовительные этапы управления рискамиВ этом разделе будут описаны первые три этапа

первые три этапа процесса управления рисками.

Выбор анализируемых объектов и

уровня детализации их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны.

Слайд 13 Подготовительные этапы управления рисками
Мы уже указывали на целесообразность

Подготовительные этапы управления рискамиМы уже указывали на целесообразность создания карты информационной

создания карты информационной системы организации. Для управления рисками подобная

карта особенно важна, поскольку она наглядно показывает, какие сервисы выбраны для анализа, а какими пришлось пренебречь. Если ИС меняется, а карта поддерживается в актуальном состоянии, то при переоценке рисков сразу станет ясно, какие новые или существенно изменившиеся сервисы нуждаются в рассмотрении.

Слайд 14 Подготовительные этапы управления рисками
Вообще говоря, уязвимым является каждый

Подготовительные этапы управления рискамиВообще говоря, уязвимым является каждый компонент информационной системы

компонент информационной системы - от сетевого кабеля, который могут

прогрызть мыши, до базы данных, которая может быть разрушена из-за неумелых действий администратора. Как правило, в сферу анализа невозможно включить каждый винтик и каждый байт. Приходится останавливаться на некотором уровне детализации, опять-таки отдавая себе отчет в приближенности оценки. Для новых систем предпочтителен детальный анализ; старая система, подвергшаяся небольшим модификациям, может быть проанализирована более поверхностно.

Слайд 15 Подготовительные этапы управления рисками
Очень важно выбрать разумную методологию

Подготовительные этапы управления рискамиОчень важно выбрать разумную методологию оценки рисков. Целью

оценки рисков. Целью оценки является получение ответа на два

вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства стоит использовать. Значит, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности. Управление рисками - типичная оптимизационная задача, и существует довольно много программных продуктов, способных помочь в ее решении (иногда подобные продукты просто прилагаются к книгам по информационной безопасности).

Слайд 16 Подготовительные этапы управления рисками
Принципиальная трудность, однако, состоит в

Подготовительные этапы управления рискамиПринципиальная трудность, однако, состоит в неточности исходных данных.

неточности исходных данных. Можно, конечно, попытаться получить для всех

анализируемых величин денежное выражение, высчитать все с точностью до копейки, но большого смысла в этом нет. Практичнее пользоваться условными единицами. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой. Далее мы продемонстрируем, как это делается.

Слайд 17 Подготовительные этапы управления рисками
При идентификации активов, то есть

Подготовительные этапы управления рискамиПри идентификации активов, то есть тех ресурсов и

тех ресурсов и ценностей, которые организация пытается защитить, следует,

конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Отправной точкой здесь является представление о миссии организации, то есть об основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае. Выражаясь объектно-ориентированным языком, следует в первую очередь описать внешний интерфейс организации, рассматриваемой как абстрактный объект.

Слайд 18 Подготовительные этапы управления рисками
Одним из главных результатов процесса

Подготовительные этапы управления рискамиОдним из главных результатов процесса идентификации активов является

идентификации активов является получение детальной информационной структуры организации и

способов ее (структуры) использования. Эти сведения целесообразно нанести на карту ИС в качестве граней соответствующих объектов.

Слайд 19 Подготовительные этапы управления рисками
Информационной основой сколько-нибудь крупной организации

Подготовительные этапы управления рискамиИнформационной основой сколько-нибудь крупной организации является сеть, поэтому

является сеть, поэтому в число аппаратных активов следует включить

компьютеры (серверы, рабочие станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование (мосты, маршрутизаторы и т.п.). К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами.

Слайд 20 Подготовительные этапы управления рисками
Важно зафиксировать, где (в каких

Подготовительные этапы управления рискамиВажно зафиксировать, где (в каких узлах сети) хранится

узлах сети) хранится программное обеспечение, и из каких узлов

оно используется. Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним. Все это важно для оценки последствий нарушений информационной безопасности.

Слайд 21 Подготовительные этапы управления рисками
Управление рисками - процесс далеко

Подготовительные этапы управления рискамиУправление рисками - процесс далеко не линейный. Практически

не линейный. Практически все его этапы связаны между собой,

и по завершении почти любого из них может возникнуть необходимость возврата к предыдущему. Так, при идентификации активов может оказаться, что выбранные границы анализа следует расширить, а степень детализации - увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.

Слайд 22 Основные этапы управления рисками
Этапы, предшествующие анализу угроз, можно

Основные этапы управления рискамиЭтапы, предшествующие анализу угроз, можно считать подготовительными, поскольку,

считать подготовительными, поскольку, строго говоря, они напрямую с рисками

не связаны. Риск появляется там, где есть угрозы.

Слайд 23 Основные этапы управления рисками
Краткий перечень наиболее распространенных угроз

Основные этапы управления рискамиКраткий перечень наиболее распространенных угроз был рассмотрен нами

был рассмотрен нами ранее. К сожалению, на практике угроз

гораздо больше, причем далеко не все из них носят компьютерный характер. Так, вполне реальной угрозой является наличие мышей и тараканов в занимаемых организацией помещениях. Первые могут повредить кабели, вторые вызвать короткое замыкание. Как правило, наличие той или иной угрозы является следствием пробелов в защите информационной системы, которые, в свою очередь, объясняются отсутствием некоторых сервисов безопасности или недостатками в реализующих их защитных механизмах. Опасность прогрызания кабелей возникает не просто там, где есть мыши, она связана с отсутствием или недостаточной прочностью защитной оболочки.

Слайд 24 Основные этапы управления рисками
Первый шаг в анализе угроз

Основные этапы управления рискамиПервый шаг в анализе угроз - их идентификация.

- их идентификация. Рассматриваемые виды угроз следует выбирать исходя

из соображений здравого смысла (исключив, например, землетрясения, однако не забывая о возможности захвата организации террористами), но в пределах выбранных видов провести максимально подробный анализ.

Слайд 25 Основные этапы управления рисками
Целесообразно выявлять не только сами

Основные этапы управления рискамиЦелесообразно выявлять не только сами угрозы, но и

угрозы, но и источники их возникновения - это поможет

в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы безопасности.

Слайд 26 Основные этапы управления рисками
После идентификации угрозы необходимо оценить

Основные этапы управления рискамиПосле идентификации угрозы необходимо оценить вероятность ее осуществления.

вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу

(низкая (1), средняя (2) и высокая (3) вероятность).
Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.


Слайд 27 Основные этапы управления рисками
Оценивая размер ущерба, необходимо иметь

Основные этапы управления рискамиОценивая размер ущерба, необходимо иметь в виду не

в виду не только непосредственные расходы на замену оборудования

или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п. Пусть, например, в результате дефектов в управлении доступом к бухгалтерской информации сотрудники получили возможность корректировать данные о собственной заработной плате. Следствием такого состояния дел может стать не только перерасход бюджетных или корпоративных средств, но и полное разложение коллектива, грозящее развалом организации.


Слайд 28 Основные этапы управления рисками
Уязвимые места обладают свойством притягивать

Основные этапы управления рискамиУязвимые места обладают свойством притягивать к себе не

к себе не только злоумышленников, но и сравнительно честных

людей. Не всякий устоит перед искушением немного увеличить свою зарплату, если есть уверенность, что это сойдет с рук. Поэтому, оценивая вероятность осуществления угроз, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных информационных систем. Если в подвале дома, занимаемого организацией, располагается сауна, а сам дом имеет деревянные перекрытия, то вероятность пожара, к сожалению, оказывается существенно выше средней.

Слайд 29 Основные этапы управления рисками
После того, как накоплены исходные

Основные этапы управления рискамиПосле того, как накоплены исходные данные и оценена

данные и оценена степень неопределенности, можно переходить к обработке

информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале.

Слайд 30 Основные этапы управления рисками
По этой шкале и следует

Основные этапы управления рискамиПо этой шкале и следует оценивать приемлемость рисков.

оценивать приемлемость рисков. Правда, граничные случаи, когда вычисленная величина

совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.

Слайд 31 Основные этапы управления рисками
Если какие-либо риски оказались недопустимо

Основные этапы управления рискамиЕсли какие-либо риски оказались недопустимо высокими, необходимо их

высокими, необходимо их нейтрализовать, реализовав дополнительные меры защиты. Как

правило, для ликвидации или нейтрализации уязвимого места, сделавшего угрозу реальной, существует несколько механизмов безопасности, различных по эффективности и стоимости. Например, если велика вероятность нелегального входа в систему, можно потребовать, чтобы пользователи выбирали длинные пароли (скажем, не менее восьми символов), задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт.

Слайд 32 Основные этапы управления рисками
Если есть вероятность умышленного повреждения

Основные этапы управления рискамиЕсли есть вероятность умышленного повреждения сервера баз данных,

сервера баз данных, что может иметь серьезные последствия, можно

врезать замок в дверь серверной комнаты или поставить около каждого сервера по охраннику.

Слайд 33 Основные этапы управления рисками
Оценивая стоимость мер защиты, приходится,

Основные этапы управления рискамиОценивая стоимость мер защиты, приходится, разумеется, учитывать не

разумеется, учитывать не только прямые расходы на закупку оборудования

и/или программ, но и расходы на внедрение новинки и, в частности, обучение и переподготовку персонала. Эту стоимость также можно оценить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и допустимым риском. Если по этому показателю новое средство оказывается экономически выгодным, его можно взять на заметку (подходящих средств, вероятно, будет несколько). Однако если средство окажется дорогим, его не следует сразу отбрасывать, памятуя о приближенности расчетов.

Слайд 34 Основные этапы управления рисками
Выбирая подходящий способ защиты, целесообразно

Основные этапы управления рискамиВыбирая подходящий способ защиты, целесообразно учитывать возможность экранирования

учитывать возможность экранирования одним механизмом обеспечения безопасности сразу нескольких

прикладных сервисов. Так поступили в Массачусетском технологическом институте, защитив несколько тысяч компьютеров сервером аутентификации Kerberos.

Слайд 35 Основные этапы управления рисками
Важным обстоятельством является совместимость нового

Основные этапы управления рискамиВажным обстоятельством является совместимость нового средства со сложившейся

средства со сложившейся организационной и аппаратно-программной структурой, с традициями

организации. Меры безопасности, как правило, носят недружественный характер, что может отрицательно сказаться на энтузиазме сотрудников. Порой сохранение духа открытости важнее минимизации материальных потерь. Впрочем, такого рода ориентиры должны быть расставлены в политике безопасности верхнего уровня.

Слайд 36 Основные этапы управления рисками
Можно представить себе ситуацию, когда

Основные этапы управления рискамиМожно представить себе ситуацию, когда для нейтрализации риска

для нейтрализации риска не существует эффективных и приемлемых по

цене мер. Например, компания, базирующаяся в сейсмически опасной зоне, не всегда может позволить себе строительство защищенной штаб-квартиры. В таком случае приходится поднимать планку приемлемого риска и переносить центр тяжести на смягчение последствий и выработку планов восстановления после аварий, стихийных бедствий и иных происшествий. Продолжая пример с сейсмоопасностью, можно рекомендовать регулярное тиражирование данных в другой город и овладение средствами восстановления первичной базы данных.

Слайд 37 Основные этапы управления рисками
Как и всякую иную деятельность,

Основные этапы управления рискамиКак и всякую иную деятельность, реализацию и проверку

реализацию и проверку новых регуляторов безопасности следует предварительно планировать.

В плане необходимо учесть наличие финансовых средств и сроки обучения персонала. Если речь идет о программно-техническом механизме защиты, нужно составить план тестирования (автономного и комплексного).

  • Имя файла: osnovnye-ponyatiya-i-etapy-upravleniya-riskami.pptx
  • Количество просмотров: 153
  • Количество скачиваний: 0