КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Определить уровень приемлемого риска
Категорировать информационные ресурсы по уровню риска
Оценить информационные риски
Определить защищенность КИС
Описать угрозы и уязвимости КИС и, исходя из их критичности и вероятности реализации, оценить уровень защищенности. Угрозы могут быть как внешние, так и внутренние. Типовой перечень угроз по методу CRAMM следующий: несанкционированный доступ, маскарадинг (использование чужих идентификаторов), внедрение вредоносного или злонамеренного программного обеспечения, ошибки в маршрутизации, неисправности оборудования, неисправности электропитания и кондиционеров, сбои системного, сетевого и прикладного программного обеспечения, ошибки пользователей, пожар, затопление и природные катаклизмы, нехватка персонала, кражи, преднамеренные несанкционированные действия, терроризм и пр.
Классическая формула оценки информационных рисков:
ИР = ВРУ * КИ,
где ИР — информационные риски;
ВРУ — вероятность реализации угрозы;
КИ — критичность информации.
Основными факторами при определении вероятности реализации являются частота возникновения угрозы и простота ее реализации, а критичность определятся ценностью данной информации и возможным ущербом для компании в случае нарушения ее конфиденциальности, целостности и доступности.
Это позволит определить порядок снижения рисков. В любом случае максимальные риски следует снижать в первую очередь.
К сожалению, условия функционирования информационной системы не позволяют полностью исключить риск, и руководство компании должно учитывать это, чтобы возникновение чрезвычайной ситуации не стало нерешаемой проблемой. Для снижения уровня риска необходимо внедрить контрмеры: организационные, технические, программные и программно-аппаратные.
Определить меры по управлению рисками
Управление рисками заключается в определении стратегии, которая будет описывать меры по снижению рисков до приемлемого уровня, исходя из произведенного ранее категорирования по уровню риска. Возможно несколько подходов:
— Уменьшение риска. Многие риски могут быть существенно уменьшены путем использования простых и доступных контрмер. К примеру, правильное назначение, хранение и смена паролей снижает риск несанкционированного доступа.
— Уклонение от риска. Например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сети со стороны пользователей Интернет.
— Изменение характера риска. Например, оборудование можно застраховать, а со специализированной организацией заключить договор о сопровождении СВТ и компенсации ущерба, вызванного нештатными ситуациями.
— Принятие риска. Многие риски не могут быть уменьшены до нуля или пренебрежительно малой величины. На практике, после принятия стандартного набора контрмер, ряд рисков уменьшается, но остается все еще значимым. Такой риск приходится принимать как есть.
Для создания средств защиты информации необходимо определить природу угроз, формы и пути их возможного проявления и осуществления в автоматизированной системе. Для решения поставленной задачи все многообразие угроз и путей их воздействия приводится к простейшим видам и формам, которые были бы адекватны их множеству в автоматизированной системе.
Исследование опыта проектирования, изготовления, испытаний и эксплуатации автоматизированных систем говорят о том, что информация в процессе ввода, хранения, обработки и передачи подвергается различным случайным воздействиям. Причинами таких воздействий могут быть:
- отказы и сбои аппаратуры;
- помехи на линии связи от воздействий внешней среды;
- ошибки человека как звена системы;
- системные и системотехнические ошибки разработчиков;
- структурные, алгоритмические и программные ошибки;
- аварийные ситуации;
- другие воздействия.
Преднамеренные угрозы связаны с действиями человека, причинами которых могут быть определенное недовольство своей жизненной ситуацией, сугубо материальный интерес или простое развлечение с самоутверждением своих способностей, как у хакеров, и т.д.
|
|
Дата добавления: 2015-07-13; Просмотров: 429; Нарушение авторских прав?; Мы поможем в написании вашей работы!