Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»
Download 0.83 Mb.
|
Управления рисками учебное пособие
|
ЕуаЫаНоп) [№№№.сей.ог§/ос1ауе], разработанная в университете Карнеги-Мелон (США). Сущность метода заключается в том, что для оценки рисков ИБ соответствующим образом в три этапа проводятся внутренние семинары (англ. м>огк$кор$). Оценке рисков ИБ предшествуют подготовительные мероприятия: согласование графика семинаров, назначение ролей, планирование, координация действий участников проектной группы. На первом этапе осуществляется разработка профилей (моделей) угроз ИБ, включающих в себя инвентаризацию и оценку ценности активов, идентификацию применимых требований законодательства и нормативной базы, идентификацию угроз ИБ и оценку их вероятности, а также определение системы организационных мер по ОИБ. На втором этапе производится технический анализ уязвимостей ИС организации в отношении рассматриваемых угроз ИБ с оценкой их величины. На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления ранее идентифицированных угроз ИБ с использованием уязвимостей, определение стратегии ОИБ, а также выбор вариантов и принятие решений по обработке рисков ИБ. Величина риска ИБ рассчитывается как усредненная величина годовых потерь организации в результате реализации угроз ИБ.
В зависимости от используемого метода оценки рисков ИБ, угрозы ИБ и уязвимости могут идентифицироваться и, следовательно, оцениваться вместе или отдельно. Возможно использование обоих вариантов. Решение о выборе конкретного подхода следует принимать при выборе общего подхода к оценке рисков ИБ. Рассмотрим указанные выше шаги анализа рисков ИБ более подробно. ПОДЭТАП 1 АНАЛИЗА РИСКОВ ИБ - ИДЕНТИФИКАЦИЯ РИСКОВ ИБ Целью идентификации рисков ИБ является определение того, что может случиться и повлечь за собой потенциальные потери, и попытка разобраться, как, где, когда и почему может возникнуть ущерб [35]. На этой стадии проводится выявление рисков ИБ, их идентификация и сравнение новых идентифицированных рисков ИБ с ранее выявленными. Новый риск ИБ может повторять или расширять один из ранее выявленных. В таком случае следует не включать его в список рисков ИБ, а уточнить описание и оценки выявленного раньше риска ИБ. Для идентификации рисков ИБ обычно используются четыре метода. Исторический анализ - сравнение ситуации в области ОИБ в организации с аналогичным анализом, выполненным ранее, поскольку часто прошлые проблемы остаются рисками ИБ и в новых условиях ведения бизнеса. Аналитический метод, который включает моделирование, анализ по схеме «причина-результат», анализ таблиц истинности и т. д.
Download 0.83 Mb. Do'stlaringiz bilan baham: 
|