Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»
Download 0.83 Mb.
|
Управления рисками учебное пособие
|
1 Ожегов С. И., Шведова Н. Ю. Толковый словарь русского языка. М.: Азъ, 1992.
группы активов конкретной угрозой ИБ для причинения ущерба организации. Измеряется риск ИБ исходя из комбинации вероятности события и его последствия [4]. Стандарт ISO/IЕС 27005:2011 [3] определяет риск ИБ как влияние неопределенности на цели. Влияние - это отклонение от предполагаемого (положительное и/или отрицательное). Цели могут быть различными (финансовые, охраны здоровья и безопасности, экологические) и могут применяться на различных уровнях (стратегические, в масштабах организации, проекта, продукции или процесса). Риск обычно характеризуется возможными событиями и последствиями или их сочетанием. При этом последствия (англ. сотедиепсе) рассматриваются как результат события, влияющего на цели. Результатом события может быть одно или более последствий. Последствия могут быть как позитивными, так и негативными. Однако применительно к аспектам ИБ последствия всегда негативные. Они могут быть выражены качественно и количественно. Начальные последствия могут вырасти посредством порожденной ими цепной реакции. Риск обычно выражается в виде сочетания последствий события (включая изменения в обстоятельствах) и связанной с ним возможностью возникновения. Неопределённость - это недостаточность (даже частичная) информации, связанной с пониманием события или знаниями о нем, его последствиями или возможностью возникновения. В СТО БР ИББС 1.0-2010 риск нарушения ИБ - риск, связанный с угрозой ИБ. Под риском понимается мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы. При этом угроза ИБ - это угроза нарушения свойств ИБ - доступности, целостности или конфиденциальности информационных активов организации. А ущербом называется утрата активов, повреждение (утрата свойств) активов и/или инфраструктуры организации или другой вред активам и/или инфраструктуре организации, наступивший в результате реализации угроз через уязвимости [14]. В публикациях также встречается упоминание информационных рисков, определяемых как риски, которым подвергаются информационные активы организации или которые приводят к убыткам или ущербу в результате применения ИТ. Простейший пример рисков ИБ можно привести для ОС. Для них специфические риски ИБ подразделяются на две группы: риски, связанные с неправильной конфигурацией системы и чаще всего возникающие вследствие ошибок или недостаточных навыков ее администратора; риски, связанные с ошибками в ПО (особенно характерно при установке в систему нескольких устаревших версий ПО, в которых уже были обнаружены определенные ошибки и о которых публично сооб щалось в различных специализированных компьютерных и хакерских изданиях и сайтах). Как видно из приведенных выше определений, в области ИБ термин «риск» используют только тогда, когда существует возможность негативных последствий, само же понятие риска ИБ является комбинированным, сочетающим в себе ряд других ключевых терминов - активы, уязвимости, угрозы, ущерб. Введем эту терминологию для дальнейшего использования. Актив (англ. аззе!) - все, что имеет ценность для организации и находится в ее распоряжении или то, что обладает ценностью или полезностью для организации, ее бизнес-операций и их непрерывности, и поэтому нуждается в защите, которая позволит обеспечить корректное выполнение бизнес-операций и непрерывность бизнеса [1, 3, 14-17]. К активам организации могут относиться: ее работники (персонал); финансовые (денежные) средства; средства вычислительной техники, телекоммуникационные средства и пр.; различные виды информации - финансово-аналитическая, служебная, управляющая и пр.; бизнес-процессы (технологические процессы, информационные процессы и т. п.); продукты и услуги, предоставляемые организацией своим клиентам и партнерам. Download 0.83 Mb. Do'stlaringiz bilan baham: 
|