Анализ рисков. Методы и способы реализации.

Управление рисками – процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.

5 уровней зрелости организации в соответствии с моделью Software Engineering Institute, Carnegie Mellon University.

Уровень 1. "Анархия"

Симптомы:

- сотрудники сами определяют, что хорошо, а что плохо

- затраты и качество не прогнозируются

- отсутствуют формализованные планы

- отсутствует контроль изменений

- высшее руководство плохо представляет реальное положение дел

Уровень 2. "Фольклор"

Симптомы:

- выявлена определенная повторяемость организационных процессов

- опыт организации представлен в виде преданий корпоративной мифологии

- знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении

Уровень 3. "Стандарты"

Симптомы:

- корпоративная мифология записана на бумаге

- процессы повторяемы и не зависят от личных качеств исполнителей

- информация о процессах для измерения эффективности не собирается

- наличие формализованного описания процессов не означает, что они работают

- организация начинает адаптировать свой опыт к специфике бизнеса

- производится анализ знаний и умений сотрудников с целью определения необходимого уровня компетентности

- вырабатывается стратегия развития компетентности

Уровень 4. "Измеряемый"

Симптомы:

- процессы измеряемы и стандартизованы

Уровень 5. "Оптимизируемый"

Симптомы:

- фокус на повторяемости и измеряемости

- вся информация о функционировании процессов фиксируется

Зрелая организация имеет зрелых руководителей. В развитие модели SEI мной разработана начальная версия зрелости руководителя.

ISO 17799 – определяет уровень информационной безопасности и правила поведения при реализации защиты информации.

Риск – вероятность возникновения инцидента в результате того, что имеющаяся уязвимость будет способствовать реализации угрозы.

Технология управления режимом информационной безопасности включает следующие этапы:

-документирование

-категорирование

-определение возможного воздействия различного рода происходящих в области безопасности на информационную технологию

-анализ рисков

-управление рисками на всех этапах жизни цикла

-аудит в области ИБ

Актуальные вопросы изменения параметров. Начинают применяться количественные методы оценки, измеряющие остаточные риски и эффективность различных видов контрмер.

Постановка задачи:

1. Выбрать вариант подсистемы ИБ, оптимизиированный по критерию стоимость-эффективность при заданном уровне остаточных рисков.

2. Выбрать вариант подсистемы ИБ, при которой минимизируются остаточные риски, при фиксированной стоимости подсистемы безопасности.

3. Выбрать архитектуру подсистемы информационной безопасности с минимальной стоимостью владения на протяжении жизненного цикла при определенном уровне остаточных рисков.

Оценивание рисков.

- шкалы и критерии

- оценка вероятностей событий

- технологии измерения рисков

Объективная вероятность – вероятность выхода из строя оборудования за определенный промежуток времени

Субъективная вероятность – оценка владельцем информационного ресурса риска выхода из строя ПК.

Оценка должна отражать субъективную точку зрения владельца информационного ресурса, должны быть учтены различные аспекты, а не только технические (организационные, технические).

Измерение риска.

Существует ряд подходов: по 2 факторам, по 3 факторам.

По 2 факторам: риск=Рпроисшествия*Цена_потери (р-вероятность).

Вариант использования качественных величин. Опеределяется качественная шкала вероятности событий:

А-событие практически никогда не происходит

В-случатся редко

С-вероятность события за период времени примерно0,5

Д-скорее всего произойдет

Е- почти обязательно произойдет.

Оценка риска по 3-м факторам:

Угроза – совокупность условий и факторов, которые могут стать причиной нарушения целостности, допустимости, конфедициальности информации.

Уязвимость – слабость в системе защиты, которая делает возможным реализацию угрозы.