КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
ЛЕКЦИЯ №12
|
|
|
|
NIST. Данный стандарт рассматривает вопросы управления информационными рисками. Считается, что система управления рисками должна минимизировать возможные негативные последствия, связанные с использованием ИТ. Для этого система управления рисками интегрируется в систему управления жизненным циклом ИТ.
Таблица: Управление рисками на различных стадиях жизненного цикла ИТ.
| Фаза жизненного цикла | Соответствие фазе управления рисками |
| 1) предпроектная стадия | 1) выявление основных классов рисков для данной ИС, вытекающей из концепции обеспечения ИБ |
| 2) проектирование | 2) выявление рисков, вытекающих из особенностей архитектуры ИС |
| 3) создание ИС; монтаж, настройка и конфигурирование | 3) до начала функционирования ИС все риски должны быть выявлены |
| 4) функционирование | 4) периодическая переоценка рисков, связанных с изменением условий и конфигураций |
| 5) прекращение функционирования | 5) соблюдение требований к ИБ по отношению к выводимым информационным ресурсам |
Основные стадии, которые согласно стандарту NIST должна включать технология управления рисками, показана ниже:
COBIT. Является составной частью стандарта CRAMM. Определяет основные критерии оценки процессов управления ИТ.
Общие принципы управления определяют стратегию поведения аудита ИТ.
В данном подходе процесс управления подразделяется на 4 этапа:
1) определяет стандарт оценки эффективности ИТ процесса
2) анализируются составляющие ИТ процесса путем получения субъектом управления информации от объекта управления
3) информация о состоянии процесса сравнивается с требованиями стандарта
4) в случае выявления несоответствия процесса требования субъект управления предпринимает корректирующие действия путем передачи соответствующей управляющей информации процессу.
Исходя из этой модели, формируются основные критерии оценки механизмов управления:
1) распределение ответственности и подотчетности
2) стандарты и допустимые отклонения, четко документированные, актуальные и доступные для всех сотрудников организации. Для каждого ИТ процесса должны быть четко определены допустимые отклонения от требований стандарта
3) информационные критерии. Актуальность и пригодность управляющей информации, а также ее целостность служит основой функционирования системы управления ИТ процессами.
OCTAVE. Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была разработана в Институте программной инженерии при Университете Карнеги - Меллона и предусматривает активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков.
Ключевые элементы OCTAVE:
1) идентификация критичных информационных активов;
2) идентификация угроз для критичных информационных активов;
3) определение уязвимостей, ассоциированных с критичными информационными активами;
4) оценка рисков, связанных с критичными информационными активами.
Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.
На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.
На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.
На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.
Сильной стороной OCTAVE является высокая степень гибкости, достигаемая путем выбора критериев, которые предприятие может использовать при адаптации методологии под собственные нужды. Методология разработана для применения в крупных компаниях, а ее растущая популярность привела к созданию версии OCTAVE-S для небольших предприятий.
|
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 281; Нарушение авторских прав?; Мы поможем в написании вашей работы!