ЛУГАНСКИЙ НАЦИОНАЛЬНЫЙ ПЕДАГОГИЧЕСКИЙ УНИВЕРСИТЕТ ИМЕНИ ТАРАСА ШЕВЧЕНКО Реферат “Риск в информационной системе ” Выполнил: студент I курса Института экономики и бизнеса специальность “Менеджмент организаций” группа “Б” Слободчуков Дмитрий Луганск 2004 Содержание Введение 3 Современные технологии анализа рисков в информационных системах 4 Основные подходы к анализу рисков 5 Методология анализа рисков в ИС с повышенными требованиями в области ИБ 6 Определение ценности ресурсов 7 Оценка характеристик факторов риска 8 Технология анализа рисков 9 Принципы, положенные в основу методик. Границы применимости методик 10 Метод CRAMM. История создания метода 11 Концепция, положенная в основу метода 12 Заключение 17 Список использованных источников 18 Введение Информационная система, в зависимости от своего класса, должна обладать подсистемой безопасности с конкретными формальными свойствами.
Анализ рисков, как правило, выполняется формально, с использованием произвольных методик.
В развитых странах это не так. К примеру, в американском глоссарии по безопасности можно найти термин Designated Approving Authority - лицо, уполномоченное принять решение о допустимости определенного уровня рисков. Вопросам анализа рисков уделяется серьезное внимание: десятилетиями собирается статистика, совершенствуются методики.
е. Среди отечественных специалистов служб информационной безопасности (ИБ... условий и факторов, которые могут стать причиной нарушения целостности... к тем, которые серьезно заботятся о безопасности своих информационных ... В первую очередь это относится к банкам и крупным коммерческим структу...
Основные подходы к анализу рисков. В настоящее время используются два подхода к анализу рисков - базовый ... В простейшем случае собственники информационных ресурсов могут не оцен... Подразумевается, что ценность ресурсов с точки зрения организации не я... предложить решение, обеспечивающее необходимый уровень ИБ.
Методология анализа рисков в ИС с повышенными требованиями в области И... оценка эффективности существующих и предполагаемых средств обеспечения... Степень риска зависит от ряда факторов: 1. вероятности реализации угроз; 3. простоты использования уязвимости для реализации угроз; 4.
Для каждого класса необходима своя методика определения ценности элеме... Программные ресурсы оцениваются тем же способом, что и физические, на ... е. в стоимостном выражении. Кроме критериев, учитывающих финансовые потер... финансовые потери от разглашения информации; 6.
простотой использования уязвимости при проведении атаки [2]. Кроме того, необходимо идентифицировать уязвимости - слабые места в си... Ресурсы должны быть проанализированы с точки зрения оценки воздействия... . возможностью использования ресурса для получения дохода (показатель уч...
Подобные методы сводятся к нескольким несложным шагам. На первом шаге оценивается негативное воздействие (показатель ресурса)... построения модели ИС с позиции ИБ; 2. составления списка угроз и уязвимостей, оценки их характеристик; 4. Практические сложности в реализации этого подхода следующие.
Затем появилось несколько его версий, ориентированных на требования ми... В настоящее время продается версия CRAMM 4.0 [1]. генерировать отчеты. Концепция, положенная в основу метода Анализ риск... ущерб, связанный с разглашением персональных данных отдельных лиц; 5. В конце стадии заказчик получает идентифицированные и оцененные уровни...
Заключение Рассмотренная методология анализа рисков и управления ими полностью применима и в украинских условиях, несмотря на то, что показатели защищенности от НСД к информации и требования по защите информации различаются в украинских и зарубежных стандартах. Особенно полезным представляется использование инструментальных средств типа метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области ИБ. Это позволяет получать обоснованные оценки рисков, уязвимостей, эффективности защиты.
Существенным достоинством таких методов является возможность проведения исследования в сжатые сроки с документированием результатов.
Список использованных источников 1. http://www.globaltrust.ru/security/knowb ase/Risks/CRAMM.htm 2. http://ixbt.hostel.nstu.ru/ixbt.com/cm/i nformationsystem-risks012004.shtml.htm 3. http://www.jetinfo.ru/1999/1/1/append.3. html.