Відповіді на листи, що прийшли, і їхня пересилка іншим адресатам

Outlook Express дозволяє відповісти на лист, автоматично відкривши нове вікно з уже заповненою адресою абонента в поле Кому:, і розмістивши початковий текст у цьому вікні для цитування.

Роздивимося послідовність дій по відповіді на лист, що прийшов:

1. Виберіть (позначте) лист, на який хоті відповісти, і натисніть на кнопку Відповісти відправнику в основному вікні Outlook Express. Натискання на дану кнопку викликає поява нового вікна для відповідного повідомлення з заповненим полем Кому: і текстом початкового листа. У поле Тема: буде приведена тема початкового листа з позначкою " Re: " на початку рядка. По цій позначці ваш адресат зрозуміє, що ви надіслали йому відповідь на лист по конкретній темі.

2. Якщо ж це відповідь на діловий лист, то лишіть весь старий текст без змін, а поверх напишіть свою відповідь.

3. Натисніть на кнопку відправлення листа .

Якщо ваш адресат розіслав такі ж листи, як і вам, іншим людям, і ви хочете розіслати вашу відповідь усім, то замість кнопки Відповісти відправнику виберіть на панелі інструментів Outlook Express кнопку Відповісти усім. У іншому процес відповіді цілком аналогічний.

Ви можете переадресувати даний лист іншій особі, натиснувши на кнопку Переслати. У цьому випадку в поле Кому: варто ввести адресу нового одержувача. Ви можете ввести адресу як вручну, так і використовувати адресну книгу (якщо потрібна адреса внесена в книгу). Звернете увагу на те, що тема початкового листа буде приведена з позначкою "Fw:" на початку рядка.

Тема 8. Аналіз ризику інформаційних систем. Комп'ютерна безпека

План

1. Аналітичні моделі зон контролю витрат, пов’язаних з ризиком

2. Методики і технології управління інформаційними ризиками

1. Аналітичні моделі зон контролю витрат, пов’язаних з ризиком

Зростання конкуренції та ускладнення ринкових взаємовідношень у світі стало причиною зростання світового змагання та ускладнення інформаційних систем у різних сферах їхнього застосування.

Ніколи ще не малося такої великої кількості можливостей для успішних дій суб’єктів підприємницької діяльності. Однак цим можливостям відповідає і велике число ризиків, які потрібно ідентифікувати, аналізувати та якими необхідно управляти. Великі труднощі в діяльності зазнає підприємство з найвищим ризиком невдачі в збереженні досить конкурентноздатного чи життєздатного ринкового становища при виконанні своїх завдань.

У кінцевому рахунку управління ризиком в інформаційних системах (ІС) може бути застосоване:

у контексті прийняття зовнішніх і внутрішніх рішень на всіх етапах життєвого циклу ІС;

для оцінки управлінських рішень, що були прийняті відносно ІС, та визначення напрямків їхнього використання та модифікації;

в умовах взаємозв’язку перших двох пунктів.

Оцінка ризиків інформаційної системи спочатку використовувалась у внутрішньому контролі та аудиті тих господарських подій, які вже звершились, із часом процес оцінки ризиків був розширений, що привело до необхідності розуміння оцінки і контролю ризиків, у рамках контролінгу підприємства як системи, орієнтованої на майбутні події.

Необхідно планувати розмір витрат, пов’язаних з ризиком, здійснювати управлінський облік цих витрат, контролювати відхилення та аналізувати причини цих відхилень, готувати перелік рішень у сфері інформаційних технологій для керівників. Виконати всі ці завдання можливо на основі запропонованих нових підходів до оцінки, контролю, аналізу ризиків за повним переліком показників, що характеризують інформаційні системи підприємств.

При визначенні функціональних зон ІС, що повинні піддатися детальній перевірці, аудитор може стояти перед вибором об'єктів для контролю із їх великої кількості. Якщо надається така можливість, то повинна бути проведена оцінка факторів ризику для всіх компонентів ІС підприємства. Деякі організації роблять тільки оцінку ІС у цілому, інші оцінюють кожну підсистему ІС. Кожній з них можуть бути властиві різні типи ризиків, що підлягають оцінці. Аудитор ІС повинен оцінити, які з них є зонами з найбільш високим рівнем ризику і тому повинні піддаватися процедурі аудиту.

Цілі цього процесу:

ідентифікація об'єктів контролю з неприйнятно високою оцінкою залишкового ризику;

ідентифікація об'єктів контролю з високим значенням оцінки властивого ризику;

оцінка невизначеності, що існує щодо вразливих об'єктів контролю.

Використання оцінки ризику для визначення компонентів ІС, які потрібно перевіряти, дозволяє:

ефективно розподілити обмежені ресурси на контроль, що маються в розпорядженні аудиторів;

забезпечити впевненість у тому, щоб необхідна інформація була отримана від управлінських структур усіх рівнів. Узагалі, інформація про підсистеми ІС, включені в процес аудиту, може бути корисною управлінським структурам підприємства при ефективному виконанні своїх обов'язків і забезпечуватиме впевненість у тому, що дії аудиторів ІС будуть акцентовані на сферах із високим рівнем ризику;

забезпечити підставу для ефективного проведення аудиту ІС;

визначити вплив аудиту розглянутих об'єктів на діяльність організації у цілому.

Інформація, що описує всі аспекти діяльності організації, буде використовуватися для визначення підсистем для оцінки ризику і набору загроз, властивих кожній з них. Джерелами цих даних є:

співбесіди з керівництвом підприємства з метою збирання даних для розробки моделей оцінки ризику ІС;

проведення структурованих анкетних опитувань серед персоналу з метою уточнення моделей оцінки та контролю ризику ІС;

документація про поточні перевірки ІС;

стратегічний план розвитку ІС;

дані про бюджет підприємства;

висновки інших аудиторів;

дані про існуючі проблеми ІС, що зібрані з будь-яких інших джерел;

інші специфічні методи збору даних, якщо для їхнього застосування є досить часу й ресурсів.

Розглянемо вимоги до оціночного модуля ІС.

Модель оцінки ризику ІС забезпечує оцінку ризику для кожної з її підсистем, обраних для проведення аудиту. Модуль, який підлягає аудиту, може бути окремим сегментом організації або ІС. Для його визначення немає ніяких окремих правил. Через це варто дотримуватися наступних управлінських принципів побудови моделей оцінки ризику ІС для кожного модуля чи його компоненти:

оціночний модуль повинен мати чітко визначені вхідні дані, перелік процесів та вихідні дані;

модуль повинен бути максимально ізольованим, тобто його оцінка не повинна торкатися інших підсистем.

У таблиці 1.1 виконано оцінку ризику компонент ІС. Кожний модуль ІС оцінюється за восьми ключовими параметрами, що використовують числове ранжирування від 1 (низько) до 5 (високо).

Таблиця 1.1

Оцінка ступеня ризику компонент ІС

Продовження таблиці 1.1

* Значення рангової оцінки у графі 2 визначається експертно

Результати цих оцінок потім перемножуються на вагові коефіцієнти, що можуть приймати значення від 1 (низько) до 10 (високо). Значення вагових коефіцієнтів визначаються методом експертної оцінки і залежать від багатьох факторів (структури організації, профілю її діяльності, місця ІС у структурі організації, різних соціально-економічних факторів і т.д.). Компоненти ІС, для яких отримані оцінки ризику, ранжуються відповідно до цих значень.

Дамо короткі пояснення до кожного з восьми параметрів, згрупувавши їх відповідно до суми внеску в загальну оцінку ризику.

Параметри оцінки негативного ефекту від можливої події

1. Характер діяльності. Сфера, в якій організація чи її підрозділ здійснює свою діяльність. Рідкі чи незвичайні види діяльності мають більше значення для оцінки ризику.

2. Заходи, що застосовуються для відновлення працездатності системи у випадку відмовлення (збою в роботі). Оцінюються заходи, які необхідно вжити, щоб продовжити діяльність організації у випадку порушень у працездатності ІС.

У цьому прикладі значення умовні.

Можливі варіанти продовження роботи: без утручання оператора; автоматичні процедури відновлення працездатності ІС; проведення процедур відновлення працездатності ІС обслуговуючим персоналом; повернення до попередньої версії математичного забезпечення ІС; повне відмовлення від автоматизованої обробки інформації.

3. Важливість з точки зору органів управління організацією. Значення цього параметра показує, наскільки важливо нормальне функціонування модуля ІС з точки зору управлінських структур організації.

4. Значення працездатності ІС стосовно функціонування організації в цілому може бути виражене в абсолютних чи процентних (по відношенню, наприклад, до прибутку організації) одиницях.

Параметри оцінки ймовірності негативної події

1. Ступінь необхідного втручання обслуговуючого персоналу у функціонування системи при штатному режимі її роботи. Чим більша роль в організації роботи ІС виділяється людині, тим більша ймовірність помилок, а отже, й оцінки ризику. Може мати місце необхідність періодично кардинально змінювати режим роботи ІС. Як правило, подібні зміни робляться в розрахунку на довгострокову перспективу, але часто вони можуть давати короткочасний ефект, що вимагає підвищеної уваги з боку аудиторів.

2. Складність. Значення цього фактора ризику відбиває збільшення потенціалу помилок чи фактів незаконного використання обробленої інформації, які не будуть виявленими через складну структуру ІС. Оцінка ступеня складності залежить від багатьох факторів: ступеня автоматизації, складності обчислювальних алгоритмів, взаємозв'язку і взаємозалежності компонентів, числа виробів, програм чи функцій, проміжків часу між проведенням контролю, залежності від третіх осіб, замовника запитів, часу обробки запитів, відповідності законам й інструкціям і багатьох інших факторів, а деякі з яких можуть навіть не братися до уваги.

3. Супровід ІС у процесі роботи. Розглядаються наступні (ранжирування за вразливістю) можливості супроводу системи, ризик оцінюється як мінімальний, якщо система не вимагає супроводу:

внутрішніми чи зовнішніми розробниками;

спеціальним обслуговуючим персоналом;

при достатності навичок співробітників, що постійно працюють з ІС;

можливості супроводу, закладені у структурі самої системи.

Оцінка невизначеності щодо результатів оцінки

1. Період часу з моменту проведення останньої оцінки. Чим довший цей період часу, тим більше значення оцінки ризику. Найбільший ефект оцінки ризику дають висновки безпосередньо після її проведення.

У таблиці 1.2 приведено приклади оцінки факторів ризику для підсистем ІС підприємства.

Таблиця 1.2

Приклади оцінки факторів ризику для підсистем ІС

Продовження таблиці 1.2

Таблиця 1.2 ілюструє застосування розширеної оцінки ризику, що поширюється на всю ІС, з використанням даних оцінки ризику окремих її компонентів, отриманих за методикою, наведеною у таблицях 1.1-1.2. Ці дані визначаються за допомогою вагових коефіцієнтів факторів ділового ризику. Фактори ділового ризику (фінансового, стратегічного, операційного, і юридичного) розглядаються стосовно їхнього застосування до кожного модуля підсистеми ІС, що підлягає оцінці.

Чотири вагові показники факторів ділового ризику визначені нижче:

Фінансовий ризик. Оскільки робота більшості ІС потенційно впливає на фінансову діяльність організації, рівень і ймовірність такого впливу повинні розглядатися. Якщо очікуваний ефект має непрямий вплив, відносно невеликий у порівнянні з іншими результатами роботи ІС, тоді ваговий показник фінансового ризику варто вважати рівним 0, інакше – 1.

Стратегічний ризик. Функціонування ІС може мати прямий вплив на роботу організації в цілому аж до її припинення. Коефіцієнт установлюється рівним 1 у випадку, якщо такий вплив має місце, якщо ні – 0.

Операційний ризик. Операційний ризик буде ймовірно оцінений цифрою 1 скоріше, ніж кожний з інших факторів ризику, тому що будь-яка ІС так чи інакше пов'язана з повсякденною діяльністю організації, в іншому випадку – 0.

Відповідність законодавству і стандартам. Робота ІС може залежати від того, наскільки діяльність підприємства відповідає вимогам стандартів і законів.

У таблиці 1.3 маємо суму додатків, яка отримується після множення вагових показників на відповідні значення факторів ризику. Результати, отримані при оцінці ризику підсистем ІС за методикою прикладу 1, заносяться в таблицю 1.3 у графу 2. Їхнє множення на значення показника ділового ризику дає загальну оцінку ризику і дозволяє обрати найбільш "привабливі" для проведення контролю ризику підсистеми.

Таблиця 1.3

Оцінка ступеня ризику в підсистемах ІС

Наприклад, для підсистеми розрахунків з банками: 124 · (5 · 1 + 4 · 1 + 3 · 1 + 2 · 0) = 124 · (5 + 4 + 3) = 124 · 12 = 1488.

Після проведення попередньої оцінки ризику підсистем ІС робиться вибір тих з них, які будуть піддаватися процедурі детальної оцінки контролю ризику. При цьому враховується оцінка ризику для конкретних підсистем, ресурси, на які розраховують аудитори, думка керівництва організації і т.ін.

Для контролінгу ризику на обраних підсистемах використовується матриця контролю.

2. Методики і технології управління інформаційними ризикам и

Поняття «оцінка ризиків» (Risk Assessment) і «управління ризиками» (Risk Management) з'явилися порівняно недавно і сьогодні викликають постійний інтерес фахівців в області забезпечення безперервності бізнесу (Business Continuity) і мережної безпеки (Network Security). Приблизно з 1995 року в ряді високотехнологічних країн світу, головним чином у США, Великобританії, Німеччині і Канаді, проводяться щорічні слухання спеціально створених комітетів і комісій з питань управління інформаційними ризиками. Підготовлено більш десятка різних стандартів і специфікацій, детально регламентуючі процедури управління інформаційними ризиками, серед яких найбільшу популярність придбали міжнародні специфікації і стандарти ISO 17799­2002 (BS 7799), GAO і FISCAM, SCIP, NIST, SAS 78/94 і COBIT. Наскільки методики і технології управління інформаційними ризиками можуть бути корисні для підприємства?

В даний час управління інформаційними ризиками являє собою одне з найбільш актуальних і динамічно розвиваються напрямків стратегічного й оперативного менеджменту в області захисту інформації. Його основна задача — об'єктивно ідентифікувати й оцінити найбільш значимі для бізнесу інформаційні ризики компанії, а також адекватність використовуваних засобів контролю ризиків для збільшення ефективності і рентабельності економічної діяльності компанії. Тому під терміном «управління інформаційними ризиками» звичайно розуміється системний процес ідентифікації, контролю і зменшення інформаційних ризиків компаній відповідно до певних обмежень української нормативно-правової бази в області захисту інформації і власної корпоративної політики безпеки. Вважається, що якісне управління ризиками дозволяє використовувати оптимальні по ефективності і витратам засобу контролю ризиків і засобу захисту інформації, адекватні поточним цілям і задачам бізнесу компанії.

Не секрет, що сьогодні спостерігається повсюдне посилення залежності успішної бізнесу-діяльності вітчизняних компаній від використовуваних організаційних мір і технічних засобів контролю і зменшення ризику. Для ефективного управління інформаційними ризиками розроблені спеціальні методики, наприклад методики міжнародних стандартів ISO 15408, ISO 17799 (BS7799), BSI; а також національних стандартів NIST 800­30, SAC, COSO, SAS 55/78 і деякі інші, аналогічні ім. У відповідність з цими методиками управління інформаційними ризиками будь-якої компанії припускає наступне. По-перше, визначення основних цілей і задач захисту інформаційних активів компанії. По-друге, створення ефективної системи оцінки і управління інформаційними ризиками. По-третє, розрахунок сукупності деталізованих не тільки якісних, але і кількісних оцінок ризиків, адекватних заявленим цілям бізнесу. По-четверте, застосування спеціального інструментарію оцінювання і управління ризиками. Давайте розглянемо деякі якісні і кількісні міжнародні методики управління інформаційними ризиками, звертаючи основну увагу на можливість їхньої адаптації і застосування в вітчизняних умовах.

2.1 Якісні методики управління ризиками

Якісні методики управління ризиками прийняті на озброєння в технологічно розвинутих країнах численною армією внутрішніх і зовнішніх ІT-аудиторов. Ці методики досить популярні і відносно прості, і розроблені, як правило, на основі вимог міжнародного стандарту ISO 17799­2002. Історія розвитку якого почалася в 1993 році, коли Міністерство торгівлі Великобританії опублікувало посібник, присвячений практичним аспектам забезпечення інформаційної безпеки (ІБ). Посібник виявився настільки вдалим, що його стали використовувати адміністратори безпеки багатьох організацій. Пізніше дороблена версія цього посібника була прийнята як британський стандарт BS7799 «Практичні правила управління інформаційною безпекою» (1995). Стандарт стали застосовувати на добровільній основі не тільки у Великобританії, але й в інших країнах. У 1998 році вийшла друга частина стандарту, присвячена питанням аудита інформаційної безпеки. У 2000 році був прийнятий міжнародний стандарт ISO 17799, в основу якого був покладений BS7799. У вересні 2002 року основні положення ISO 17799 минулого переглянуті і доповнені з урахуванням розвитку сучасних інформаційних технологій і вимог до організації режиму ІБ. Сьогодні це найбільш розповсюджений стандарт в усьому світі серед організацій і підприємств, що використовують подібні стандарти на добровільній основі.

Стандарт ISO 17799 містить двох частин.

У Частині 1: Практичні рекомендації з управління інформаційної безпеки, 2002 р., визначені основні аспекти організації режиму інформаційної безпеки в компанії:

· Політика безпеки.

· Організація захисту.

· Класифікація і управління інформаційними ресурсами.

· Управління персоналом.

· Фізична безпека.

· Адміністрування комп'ютерних систем і мереж.

· Управління доступом до систем.

· Розробка і супровід систем.

· Планування безперебійної роботи організації.

· Перевірка системи на відповідність вимогам ІБ.

Частина 2: Специфікації, 2002 р., розглядає ці ж аспекти з погляду сертифікації режиму інформаційної безпеки компанії на відповідність вимогам стандарту. З практичної точки зору ця частина є інструментом для ІT-аудитора і дозволяє оперативно проводити внутрішнього чи зовнішнього аудита інформаційної безпеки будь-якої компанії.

До якісних методик управління ризиками на основі вимог ISO 17999 відносяться методики COBRA і RA Software Tool. В другій половині 90­х років компанія C & A Systems Security Ltd. розробила однойменні методику і відповідний інструментарій для аналізу і управління інформаційними ризиками за назвою COBRA. Ця методика дозволяє виконати в автоматизованому режимі найпростіший варіант оцінювання інформаційних ризиків будь-якої компанії. Для цього пропонується використовувати спеціальні електронні бази знань і процедури логічного висновку, орієнтовані на вимоги ISO 17799.

Методика COBRA представляє вимоги стандарту ISO 17799 у виді тематичних запитальників (check lіst's), на які варто відповісти в ході оцінки ризиків інформаційних активів і електронних бізнес-транзакцій компанії. Далі уведені відповіді автоматично обробляються, і за допомогою відповідних правил логічного висновку формується підсумковий звіт c поточними оцінками інформаційних ризиків компанії і рекомендаціями з їхнього управління.

Методика й однойменний інструментальний засіб RA Software Tool засновані на вимогах міжнародних стандартів ISO 17999 і ISO 13335 (частини 3 і 4), а також на вимогах деяких посібників Британського національного інституту стандартів (BSI), наприклад, PD 3002 (Посібник з оцінки і управління ризиками), PD 3003 (Оцінка готовності компанії до аудита відповідно до BS 7799), PD 3005 (Посібник з вибору системи захисту) і ін.

Ця методика дозволяє виконувати оцінку інформаційних ризиків (модулі 4 і 5) відповідно до вимог ISO 17799, а при бажанні відповідно до більш детальних специфікацій керівництва PD 3002 Британського інституту стандартів.

Дата добавления: 2014-01-04; Просмотров: 563; Нарушение авторских прав?; Мы поможем в написании вашей работы!