«Методы оценки рисков информационной безопасности»


Download 46.99 Kb.
bet2/3
Sana12.11.2023
Hajmi46.99 Kb.
#1767947
TuriПрактическая работа
1   2   3
RISK WATCH

Глубоко проработанная методология анализа рисков;
Сочетание количественной и качественной оценки рисков;
Обширная база знаний по угрозам, уязвимостям и контромерам;
Возможности редактирования и совершенствования базы знаний;
Настраиваемые отчёты;

Анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов;
Метод не учитывает комплексный подход к информационной безопасности;
Существует только на английском языке;
Высокая стоимость.



Гриф

Оценка рисков по различным информационным ресурсам;
Подсчет суммарного риска по ресурсам компании;
Подсчет соотношения ущерба и риска;
Выявляет недостатки существующей политики безопасности;

Отсутствие привязки к бизнес-процессам;
Нет возможности сравнение отчётов на разных этапах внедрение комплекса мер;
Отсутствует возможность добавить специфичные для данной компании требования политики безопасности.

Методика оценки рисков нарушения информационной безопасности. РС БР ИББС 2.2.2009

Возможность получить как качественные, так и количественные оценки;
Наличие шаблонов, которые регламентируют результат работы каждой процедуры оценки рисков.

Модель угроз формируется отдельно от процесса оценки;
Узкая направленность стандарта на банковский сектор, что не позволяет применит стандарт к другим областям деятельности;
Некоторые аспекты проясняются только в приложениях к стандарту;
Методика направлена на оценку рисков только информационных активов.

Инструментальные средства анализа рисков информационной безопасности.
Как правило, анализ рисков ИБ организации включает в себя выполнение следующих этапов:

  1. Идентификация активов;

  2. Оценивание ценности активов;

  3. Анализ уязвимостей;

  4. Анализ угроз и составление модели угроз ИБ;

  5. Составление модели нарушителя;

  6. Оценку вероятности реализации угроз;

  7. Оценку ущерба организации, наносимого при реализации угроз и рисков.

Анализ рисков заключается в определении их качественных и количественных значений, ранжировании рисков, а так же в формировании перечня рисков [5].
3. Задание



  1. Основываясь на форму отчета, приведенную в стандарте ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Часть 3 «Методы менеджмента безопасности информационных технологий»

  2. Ознакомьтесь с Приложениями C, D и Е ГОСТа.

  3. Выберите три различных информационных актива организации (см. вариант).

  4. Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов.

  5. Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.

  6. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности.

  7. Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.



Download 46.99 Kb.

Do'stlaringiz bilan baham:
1   2   3



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling