Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»


Download 0.83 Mb.
bet4/29
Sana27.03.2023
Hajmi0.83 Mb.
#1298898
TuriУчебное пособие
1   2   3   4   5   6   7   8   9   ...   29
Bog'liq
Управления рисками учебное пособие

1 Ожегов С. И., Шведова Н. Ю. Толковый словарь русского языка. М.: Азъ, 1992.




группы активов конкретной угрозой ИБ для причинения ущерба организации. Измеряется риск ИБ исходя из комбинации вероятности события и его последствия [4].
Стандарт ISO/IЕС 27005:2011 [3] определяет риск ИБ
как влияние неопределенности на цели. Влияние - это отклонение от предполагае­мого (положительное и/или отрицательное). Цели могут быть различ­ными (финансовые, охраны здоровья и безопасности, экологические) и могут применяться на различных уровнях (стратегические, в масштабах организации, проекта, продукции или процесса). Риск обычно характе­ризуется возможными событиями и последствиями или их сочетанием. При этом последствия (англ. сотедиепсе) рассматриваются как резуль­тат события, влияющего на цели. Результатом события может быть одно или более последствий. Последствия могут быть как позитивными, так и негативными. Однако применительно к аспектам ИБ последствия все­гда негативные. Они могут быть выражены качественно и количествен­но. Начальные последствия могут вырасти посредством порожденной ими цепной реакции. Риск обычно выражается в виде сочетания послед­ствий события (включая изменения в обстоятельствах) и связанной с ним возможностью возникновения. Неопределённость - это недоста­точность (даже частичная) информации, связанной с пониманием собы­тия или знаниями о нем, его последствиями или возможностью возник­новения.
В СТО БР ИББС 1.0-2010 риск нарушения ИБ - риск, связанный с угрозой ИБ. Под риском понимается мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой уг­розы. При этом угроза ИБ - это угроза нарушения свойств ИБ - доступ­ности, целостности или конфиденциальности информационных активов организации. А ущербом называется утрата активов, повреждение (ут­рата свойств) активов и/или инфраструктуры организации или другой вред активам и/или инфраструктуре организации, наступивший в ре­зультате реализации угроз через уязвимости [14].
В публикациях также встречается упоминание информационных рисков, определяемых как риски, которым подвергаются информацион­ные активы организации или которые приводят к убыткам или ущербу в результате применения ИТ.
Простейший пример рисков ИБ можно привести для ОС. Для них специфические риски ИБ подразделяются на две группы:

  1. риски, связанные с неправильной конфигурацией системы и чаще всего возникающие вследствие ошибок или недостаточных навыков ее администратора;

  2. риски, связанные с ошибками в ПО (особенно характерно при ус­тановке в систему нескольких устаревших версий ПО, в которых уже были обнаружены определенные ошибки и о которых публично сооб­




щалось в различных специализированных компьютерных и хакерских изданиях и сайтах).
Как видно из приведенных выше определений, в области ИБ термин «риск» используют только тогда, когда существует возможность нега­тивных последствий, само же понятие риска ИБ является комбиниро­ванным, сочетающим в себе ряд других ключевых терминов - активы, уязвимости, угрозы, ущерб. Введем эту терминологию для дальнейшего использования.
Актив
(англ. аззе!) - все, что имеет ценность для организации и на­ходится в ее распоряжении или то, что обладает ценностью или полез­ностью для организации, ее бизнес-операций и их непрерывности, и поэтому нуждается в защите, которая позволит обеспечить корректное выполнение бизнес-операций и непрерывность бизнеса [1, 3, 14-17]. К активам организации могут относиться:

  • ее работники (персонал);

  • финансовые (денежные) средства;

  • средства вычислительной техники, телекоммуникационные средства и пр.;

  • различные виды информации - финансово-аналитическая, служеб­ная, управляющая и пр.;

  • бизнес-процессы (технологические процессы, информационные про­цессы и т. п.);

  • продукты и услуги, предоставляемые организацией своим клиентам и партнерам.


Download 0.83 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8   9   ...   29




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling