Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»


Download 0.83 Mb.
bet11/29
Sana27.03.2023
Hajmi0.83 Mb.
#1298898
TuriУчебное пособие
1   ...   7   8   9   10   11   12   13   14   ...   29
Bog'liq
Управления рисками учебное пособие

Областью действия управления рисками ИБ может быть приме­ненная ИТ, информационная инфраструктура, бизнес-процесс или оп­ределенная часть организации.
Граница определяет те части области действия управления риска­ми ИБ, которые будут рассматриваться.
Должны быть определены, утверждены соответствующими уполно­моченными лицами и соблюдаться организация самого процесса управ­ления рисками ИБ как важной части процессов СУИБ и ответственность в рамках этого процесса, включающие:

  • разработку процесса управления рисками ИБ, подходящего для ор­ганизации;

  • определение и анализ заинтересованных сторон;

  • определение ролей и обязанностей всех сторон - внешних и внут­ренних;

  • установление требуемых взаимосвязей между организацией и заин­тересованными сторонами и границ раздела функций организации по управлению рисками высшего уровня (например, управление операционными рисками) и других проектов и видов деятельности;

  • определение путей эскалации (передачи на более высокие руково­дящие уровни) решений;

  • спецификацию записей, которые должны быть сохранены.

  1. У ЧЕТ ТРЕБОВАНИЙ ПО ОИБ ПРИ УПРАВЛЕНИИ РИСКАМИ ИБ

Требования по ОИБ в любой организации, независимо от ее размера, вырабатываются с учетом трех основных факторов и обязательно доку­ментируются в СУИБ [6]. Эти источники таковы:

  • уникальная совокупность угроз ИБ и уязвимостей, реализация кото­рых может привести к значительным потерям для бизнеса;

  • законодательные и нормативные требования и договорные обяза­тельства, которые должны выполняться организацией, ее партнера­ми, подрядчиками и поставщиками услуг;

  • уникальный набор принципов, целей и требований по обработке ин­формации, разработанный организацией для поддержки бизнес-про­цессов и применяемый к ИС организации.




Примеры требований бизнеса - соблюдение политик и процедур, операционного регламента, требований внутреннего аудита, дого­ворных обязательств. Конкретный пример - требования по шифрова­нию конфиденциальной информации на ноутбуках и использование специальных карт доступа для удаленного доступа в интранет орга­низации.
Примеры требований законодательства - необходимость класси­фикации активов, представляющих коммерческую тайну («Закон о коммерческой тайне» от 29 июля 2004 г. № 98-ФЗ), использование сертифицированных средств криптографической защиты, лицензи­онного ПО, наличие ПолИБ организации.
В СУИБ документируются требования по ОИБ, связанные с сово­купностью законодательных требований и договорных обязательств, которые должны выполняться организацией, ее партнерами, подрядчи­ками и поставщиками услуг. Поддержка СУИБ этих требований име­ет большое значение, например, для осуществления контроля копи­рования лицензионного ПО, защиты документов и данных организа­ции. Очень важно, чтобы наличие или отсутствие защитных мер для каждого актива (например, каждой ИС) не нарушало ни одно из пра­вовых, уголовных или гражданских обязательств, а также ни один коммерческий договор.
Кроме этого в СУИБ документируются требования по ОИБ, свя­занные с принципами, целями и требованиями, применяемыми во всей организации для обработки информации с целью поддержки ее бизнес-процессов. Выполнение СУИБ этих требований необходимо, например, для повышения конкурентоспособности, денежных пото­ков и/или рентабельности. Наличие или отсутствие защитных мер для каждого актива не должно препятствовать эффективному выпол­нению бизнес-процессов и операций в рамках этих бизнес-процессов. Поэтому для каждого актива идентифицируются связанные с ним бизнес-цели и бизнес-требования.
Таким образом, в результате идентификации требований по ОИБ для каждого актива организации составляется список требований/до­говорных обязательств и бизнес-требований, которые полезно сформу­лировать в терминах обеспечения конфиденциальности, целостности и доступности. После этого проводится анализ и оценка всех требований с учетом следующего:

  • насколько серьезным будет воздействие на бизнес в случае невы­полнения данного требования/договорного обязательства;

  • какие последствия это может иметь для защищаемых активов, для всей СУИБ и/или для всей организации в целом;

  • какова вероятность того, что это произойдет.




Вопросы для самоконтроля

  1. Что включается в себя понятие риска ИБ?

  2. Как можно определить термин «управление рисками ИБ»?

  3. Каковы основные задачи управления рисками ИБ?

  4. Перечислите и дайте определения всем основным составляющим процесса управления рисками.

  5. Дайте определение системы управления рисками ИБ.

  6. Что входит в СУРИБ?

  7. В каких режимах должна работать СУРИБ?

  8. В чем суть применения системного подхода к СУРИБ?

  9. Назовите этапы цикла РБСЛ применительно к СУРИБ.

  10. Какой из этапов процесса управления рисками ИБ является наиболее трудо­емким и почему?

  11. Как определяется контекст управления рисками ИБ?

  12. Каковы возможные критерии оценивания рисков ИБ?

  13. Как определяются критерии оценки последствий (влияния) рисков ИБ?

  14. Каковы возможные критерии принятия рисков ИБ?

  15. В чем различие между областью действия и границами управления рис­ками ИБ?

  16. В чем состоит необходимость учета требований по ОИБ при управлении рисками ИБ? Как они учитываются?




  1. ОЦЕНКА РИСКОВ ИБ

Оценка рисков ИБ рассматривается в 180/1ЕС 27001:2005 как про­цесс [2]. Входными данными этого процесса являются область действия и границы и установленная организация (структура) процесса управле­ния рисками ИБ [3, 4].
Суть процесса оценки рисков ИБ заключается в их идентификации, ко­личественном или качественном описании и приоритезации согласно кри­териям и задачам оценивания рисков ИБ, применимым к организации.
Поскольку риски ИБ являются комбинацией последствий, прояв­ляющихся в результате реализации нежелательных событий и вероятно­сти их возникновения, количественная или качественная оценка рисков ИБ описывает эти риски и позволяет руководству установить приорите­ты рисков ИБ согласно их ожидаемой значимости (серьезности) или другим установленным критериям.
Согласно ГОСТ Р ИСО/МЭК 27005-2010 [3, 4] деятельность по оценке рисков ИБ включает следующие составляющие:

  1. анализ рисков ИБ, в свою очередь подразделяемый на идентифи­кацию и количественную оценку рисков ИБ;


  2. Download 0.83 Mb.

    Do'stlaringiz bilan baham:
1   ...   7   8   9   10   11   12   13   14   ...   29



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling