Основные понятия. Одной из важнейших задач управления ИБ является управление рисками

Управление рисками

Одной из важнейших задач управления ИБ является управление рисками. Управление риском охватывает три процесса: оценку рис­ка, уменьшение риска, применение результатов оценки. Управле­ние риском есть процесс, который позволяет менеджерам инфор­мационных технологий (ИТ) осуществлять баланс между операци­онной и экономической стоимостями защитных мер, и достигать целей защиты ИТ систем и данных, которые поддерживают их орга­низационную миссию. Поэтому управление риском — одна из глав­ных задач и обязанностей управления организации.

Управление рисками ИБ — итеративный процесс, который требует контроля и периодического пересмотра.

Управление рисками использует понятийный аппарат, кото­рый в настоящее время стандартизован.

Ресурсы (assets) — это то, что организация ценит и хочет за­щитить. Ресурсы включают в себя информацию и поддерживаю­щие средства, которые требуются организации для роботы. Примерами ресурсов являются:

• информация (данные), т.е. файлы с деталями платежей, звуковые записи, файлы изображений, информация о продуктах, описания и планы;

• бумажные документы (контракты, заполненные формы);

• программное обеспечение (системное ПО, прикладное ПО, средства разработки и утилиты);

• физическое оборудование (компьютеры и коммуникацион­ное оборудование, магнитные носители, другое техническое обо­рудование);

• службы (вычислительные и коммуникационные, провайдеры
служб, утилиты);

• люди и их знания (техническое, операционное, маркетинго­вое, юридическое, финансовое);

• имидж и репутация организации.

Каждому ресурсу должно быть присвоено значение. Значения ресурсов используются для идентификации соответствующей за­щиты и определения важности ресурсов для функционирования. Значения могут быть выражены в терминах потенциального влияния на биз­нес нежелательных событий, приводящих к потере конфиденци­альности, целостности и (или) доступности.

Угроза (threat) — потенциальная причина нежелательного со­бытия, которое может нанести ущерб организации и её объектам. Угрозы могут быть естественными (наводнение, пожар, земле­трясение), преднамеренными или случайными. Результатом реа­лизации угрозы может быть:

• разрушение объекта (средств, данных, оборудования, свя­зи);

• повреждение или модификация объекта (данных, приложе­ний);

• кража, удаление или потеря объекта (оборудования, данных, приложений);

• раскрытие объекта (данных);

• использование или внедрение нелегального объекта (обору­дования, нелицензированного ПО, фальшивых данных);

• прерывание службы.

Угроза требует реализации уязвимости объекта, чтобы вызвать ущерб.

Уязвимости (vulnerability) — слабости, ассоциированные с ре­сурсами организации. Уязвимость есть условие или множество условий, которые могут позволить угрозе воздействовать на объект или с большей частотой, или с большим влиянием, или совме­стно.

Обычно уязвимость является следствием плохо отработанных процедур, ошибок непрофессионального персонала, некоррект­ной конфигурации или исследовательской технологии. Чтобы уяз­вимость была использована, она должна быть известна или реали­зована угрозой.

Риск безопасности — возможность данной угрозы реализовать уязвимости для того, чтобы вызвать ущерб или разрушение ресур­са или группы ресурсов, что прямо или косвенно воздействует на организацию. Уровень риска безопасности определяется комбина­цией значений ресурсов, оцененных уровней соответствующих угроз и ассоциированных с ними уязвимостей.

Контроль безопасности — практика, процедуры и механизмы, которые могут защитить объекты от угроз, уменьшить уязвимости или уменьшить влияние нежелательных событий.

Дата добавления: 2014-01-15; Просмотров: 570; Нарушение авторских прав?; Мы поможем в написании вашей работы!