Главная страница 
 
О Фонде ФОСТАС 
События 
Семинары 
Конференции 
Программы и Проекты 
Библиотека 
Тезисы 
Доклады 
Материалы проектов 
Презентации 
Об участии 
Работа участников 
Вопросы-ответы 
Контакты 
Форум 
 

Критерии поиска:

в разделе библиотеки:

 


СОВРЕМЕННЫЕ КОНЦЕПЦИИ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ

СИМОНОВ СЕРГЕЙ ВИКТОРОВИЧ

"УСП КомпьюЛинк", Москва

В докладе рассматриваются современные концепции управления информационными рисками, анализируются зарубежные стандарты в этой области, обобщается опыт их адаптации и использования в России.

Под управлением информационными рисками (Risk Management for Information Technology Systems) понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.

Наличие системы управления рисками является обязательным компонентом общей системы обеспечения информационной безопасности на всех этапах жизненного цикла. Многие зарубежные национальные институты стандартов организации, специализирующиеся на решении комплексных проблем информационной безопасности (ИБ), предложили схожие концепции управления информационными рисками.

Система управления рисками должна быть интегрирована в систему управления жизненным циклом информационной системы.

В докладе анализируются положения стандартов, регламентирующие аспекты управления информационными рисками:

  • британского BS 7799 (ISO 17799),
  • германского BSI,
  • США NIST 800-30.

Концепции управления рисками, положенные в основу этих стандартов, близки и содержат следующие основные этапы.

1. Описание ИС, содержащее описание целей создания информационной системы, ее границ, информационных ресурсов, требований в области ИБ и системы управления информационной системой и режимом ИБ.

2. Идентификация рисков.

При составлении перечня рисков и оценке их уровня используются списки классов различных организаций и информация об их рейтингах либо средних значениях вероятности реализации.

Составляется список управляющих воздействий, структурированный по уровням или областям ответственности в соответствии с используемой моделью комплексного обеспечения режима информационной безопасности

3. Анализ системы управления ИС

Параметры угроз существенно зависят от организации системы управления ИС. На данном шаге производится анализ системы управления с позиции возможного воздействия на выявленные угрозы и уязвимости. Обычно рассматриваются две категории: методы управления технического и нетехнического уровня.

4. Выбор шкалы для оценки параметров рисков.

Под оценкой параметров рисков понимается оценка возможности реализации потенциальной уязвимости, которая приведет к инциденту.

Типичной (наиболее распространенной) шкалой является качественная (балльная) шкала с несколькими градациями, например, низкий средний и высокий уровень.

5. Анализ возможных последствий нарушения режима ИБ.

Определяется цена нарушения режима ИБ. Последствия нарушения режима ИБ могут быть разноплановыми. Например, это могут быть прямые финансовые потери, потеря репутации, неприятности со стороны официальных структур, и т. д.

На данном шаге выбирается система критериев для оценки последствий нарушения режима ИБ и определяется интегрированная шкала для оценки тяжести последствий.

6. Оценка рисков

На этом шаге измеряется уровень рисков нарушения конфиденциальности, целостности, доступности информационных ресурсов. Уровень риска зависит от уровней угроз, уязвимостей и цены возможных последствий.

7. Выработка рекомендаций по управлению рисками

Даются рекомендации по уменьшению рисков до допустимого уровня. Рекомендации должны быть комплексными и учитывать возможные меры различных уровней (программно-технического, процедурного, организационного).

8. Разработка итоговых отчетных документов

Существуют определенные требования к содержанию отчетных документов.

Реализация концепции управления рисками на практике

Опубликованные документы различных организаций, касающиеся управления рисками, не содержат ряда важных деталей, которые обязательно надо конкретизировать при разработке применимых на практике методик. Конкретизация этих деталей зависит от уровня зрелости организации, специфики ее деятельности и некоторых других факторов.

В организациях, достигших определенной степени зрелости, проведение анализа рисков, управление рисками на всех стадиях жизненного цикла информационной системы являются обязательными элементами в системе мероприятий по обеспечению режима информационной безопасности. Требования к проведению этих этапов, предъявляемые разными организациями, различаются и находятся в широких пределах. Соответственно, используются различные технологии управления рисками, различные стандарты.

Назад

 


© 2002 FOSTAS Foundation
Главная страница > Библиотека Карта сайта
Дизайн — Лаборатория НТР