Учебное пособие для вузов. М.: Горячая линия-Телеком, 2013. 130 с.: ил. Серия «Вопросы управления информационной безопасностью. Выпуск 2»
Download 0.83 Mb.
|
Управления рисками учебное пособие
- Bu sahifa navigatsiya:
- Управление рисками ИБ
|
Информационный актив - это информация [14]:
с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации; находящаяся в распоряжении организации; представленная на любом материальном носителе; в пригодной для ее обработки, хранения или передачи форме. Ресурс - актив организации, который используется или потребляется в процессе выполнения некоторой деятельности [14]. Уязвимость (англ. уи1пегаЫ1Ну) - любая характеристика или свойство ИС, обуславливающее возможность реализации угроз ИБ обрабатываемой в ней информации [18, 19] или слабое место в инфраструктуре организации, включая СОИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ [14]. Угроза ИБ (англ. т/огшаНоп зесигИу 1Нгеа1) - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения свойств ИБ - конфиденциальности, доступности и/или целостности информации/информационных активов организации [14, 18]. Для того чтобы угроза ИБ из потенциальной возможности стала реальной атакой необходимо, чтобы ее активировал источник угрозы ИБ - некий субъект, которым может быть физическое лицо, материальный объект или физическое явление. Нарушитель ИБ (англ. Шгиёег) - субъект (в данном случае физическое лицо), реализующий угрозы ИБ организации, нарушая предоставленные ему полномочия по доступу к активам организации или по распоряжению ими [20]. Наглядная взаимосвязь введенных выше понятий представлена на рис. 2.1. Эта модель основана на адаптации «Общих критериев» [21-24] и проведении анализа рисков ИБ [1, 15, 25]. Зона, где возникает возможность появления риска ИБ, находится на пересечении активов, уязвимостей, угроз ИБ и нарушителей как одного из видов источников угроз (рис. 2.2). Причем из-за наличия в активе одной уязвимости может при стечении соответствующих обстоятельств реализоваться одна, две и более угроз ИБ. Аналогично - одна угроза ИБ может стать атакой, если в активах есть необходимая для этого совокупность уязвимостей. Одна угроза ИБ может затронуть сразу несколько активов. И, наконец, в реализации угрозы может участвовать ни один, а несколько нарушителей, действующих в сговоре. Итак, в данном учебном пособии риск нарушения ИБ (риск ИБ) - потенциальная возможность использования уязвимостей активов организации угрозами ИБ для причинения ущерба организации, измеряемая с учетом вероятности реализации угроз ИБ и величины ущерба от реализации угроз ИБ. Таким образом, в представленном определении риск ИБ есть функция как минимум двух переменных: величины потенциального (негативного) воздействия - ущерба для бизнеса организации и вероятности реализации угрозы ИБ. Вторая величина является комплексным показа- телем и для ее адекватного определения требуется учесть, например, вероятности существования в определенных активах организации уязвимостей (незащищённости), вероятности использования злоумышленниками именно этих уязвимостей, а также вероятности активации соответствующих конкретным угрозам ИБ источников. л Любая организация практически всегда подвергается ряду рисков ИБ. Они могут рассматриваться в качестве одной из основных категорий бизнес-рисков или быть отнесены к другим категориям, таким как стратегические и операционные риски [6]. В любом случае риски ИБ всегда должны рассматриваться в контексте бизнеса организации. Чтобы получить целостную и завершенную картину этих рисков, должны быть идентифицированы взаимосвязи с другими бизнес-функциями, такими как кадровые ресурсы, исследование-разработка-производство- эксплуатация основной продукции, администрирование, ИТ, финансы и клиенты. Такой подход учитывает все риски организации и применение концепций и идей в области общего управления ею. Все это, наряду с бизнесом организации, соображениями эффективности, а также законодательной и нормативной базой служит в качестве мотивирующих и усиливающих факторов для успешного процесса управления рисками ИБ [6]. Управление рисками ИБ Download 0.83 Mb. Do'stlaringiz bilan baham: 
|