Обработка информационных рисков

Обработка информационных рисков – это этап, в процессе которого определяется, какие действия по отношению к рискам требуется выполнить в компании.

Основными способами обработки рисков являются:

1. принятие рисков;
2. уклонение от рисков;
3. передача рисков;
4. снижение рисков.

Принятие рисков осуществляется в том случае, если уровень рисков признается приемлемым. Уклонение от рисков – это полное устранение источника риска. Передача рисков – перенесение ответственности за риск на третьи лица (например, поставщику оборудования или страховой компании) без устранения источника риска. Снижение рисков – это выбор и внедрение мер по снижению вероятности нанесения ущерба.

 

20. Методика оценки рисков по двум факторам: вероятности риска и возможного ущерба.

Оценка риска - это систематический анализ:

- вероятного ущерба, наносимого бизнесу в результате нарушений информационной безопасности с учетом возможных последствий от потери конфиденциальности, целост-ности или доступности информации и других активов;

- вероятности наступления такого нарушения с учетом существующих угроз и уязвимо-стей, а также внедренных мероприятий по управлению информационной безопасностью.

Результаты этой оценки помогут в определении конкретных мер и приоритетов в области управления рисками, связанными с информационной безопасностью, а также внедрению мероприятий по управлению информационной безопасностью с целью минимизации этих рисков.

Может потребоваться неоднократное проведение оценки рисков и выбора мероприятий по управлению информационной безопасностью для того, чтобы охватить различные подразделения организации или отдельные информационные системы.

Важно периодически проводить анализ рисков в области информационной безопасности и внедренных мероприятий по управлению информационной безопасностью для того, чтобы учесть:

- изменения требований и приоритетов бизнеса;

- появление новых угроз и уязвимостей;

- снижение эффективности существующих мероприятий по управлению информационной безопасностью.

Оценка рисков по двум факторам. В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно счита-ется, что риск тем больше, чем больше вероятность происшествия и тяжесть последст-вий. Общая идея может быть выражена формулой:

РИСК = P происшествия * ЦЕНА ПОТЕРИ

Если переменные являются количественными величинами, то риск — это оценка математического ожидания потерь.

Если переменные являются качественными величинами, то метрическая операция умно-жения не определена. Таким образом, в явном виде эта формула использоваться не должна. Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация). Вначале должны быть определены шкалы.

Определяется субъективная шкала вероятностей событий, например:

A - Событие практически никогда не происходит B - Событие случается редко C - Вероятность события за рассматриваемый промежуток времени – около 0.5 D - Скорее всего, событие произойдет E - Событие почти обязательно произойдет

Кроме того, определяется субъективная шкала серьезности происшествий, например:

N (Negligible) – Воздействием можно пренебречь

Mi (Minor) – Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию –незначительно.

Mo (Moderate) – Происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию невелико и не затрагивает критически важные задачи.

S (Serious) – Происшествие с серьезными последствиями: ликвидация последствий свя-зана со значительными затратами, воздействие на информационные технологии ощути-мо, воздействует на выполнение критически важных задач.

C (Critical) – Происшествие приводит к невозможности решения критически важных задач.

Для оценки рисков определяется шкала из трех значений:

-Низкий риск; -Средний риск; -Высокий риск;

Риск, связанный с определенным событием, зависит от двух факторов и может быть оп-ределен так:

Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое чис-ло градаций. Подобный подход к оценке рисков достаточно распространен.

При разработке (использовании) методик оценивания рисков необходимо учитывать сле-дующие особенности:

-Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки.

-Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инци-денты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.

 

21. Методики оценки рисков по трем и более факторам. В чем преимущество этих методик?

Оценка рисков по трем факторам. В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. Угрозу и уязвимость определим следующим образом:

Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:

Р происшествия = Р угрозы * Р уязвимости

Соответственно, риск определяется следующим образом:

РИСК = P угрозы * Р уязвимости * ЦЕНА ПОТЕРИ

Данное выражение можно рассматривать как математическую формулу, если использу-ются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал – качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов.

Например, показатель риска измеряется в шкале от 0 до 8 со следующими определения-ми уровней риска:

1 — риск практически отсутствует. Теоретически возможны ситуации, при которых собы-тие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик.

2 — риск очень мал. События подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.

......

8 — риск очень велик. Событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми.

Матрица может быть определена следующим образом:

В данной таблице уровни уязвимости Н, С, В соответственно означают: низкий, средний, высокий уровень. Подобные таблицы используются как в «бумажных» вариантах методик оценки рисков, так и в различного рода инструментальных средствах – ПО анализа рисков.

В последнем случае матрица задается разработчиками ПО и, как правило, не подлежит корректировке. Это один из факторов, ограничивающих точность подобного рода инстру-ментария.

 

22. Модель оценки рисков, основанная на превентивных и ликвидационных затратах: краткая характеристика, достоинства и недостатки.

Оценка риска на основе целесообразности затрат обусловлена установлением потенциальных областей, вызванных изменением параметров факторов под влиянием вновь возникающих ситуаций.

Областью риска называется зона общих потерь рынка, в границах которой потери не превышают предельного значения установленного уровня риска.

Выделяют пять основных областей риска деятельности любого предприятия в условиях рыночной экономики: безрисковая область, область минимального риска, область повышенного риска, область критического риска и область недопустимого риска.

В границах область критического риска возможны потери, величина которых превышает размеры расчетной прибыли, но не превышает общей величины валовой прибыли. Коэффициент риска в этой области находится в пределах 50-75%. Такой риск нежелателен, поскольку фирма подвергается опасности потерять всю свою выручку от данной операции.

В границах области недопустимого риска возможны потери, близкие к размеру собственных средств, то есть наступление полного банкротства предприятия. Коэффициент риска в этой области находится в пределах 75-100%.

23. Методика управления рисками на основе оценки эффективности инвестиций (NPV): достоинства и недостатки.

24. Методика управления рисками на основе оценки совокупной стоимости владения (TCO): достоинства и недостатки.

Методика позволяет подсчитать полные затраты на информационную систему предприятия, включая все прямые и косвенные расходы. Показателем ТСО являются полные расходы на эксплуатацию системы управления информационными рисками предприятия в течение года.
Предлагается производить разделение расходов на управление информационными рисками на группы в соответствии с целями исследования. В соответствии с целью определения эффективности затрат на управление информационными рисками целесообразно следующее деление полных годовых расходов на управление информационными рисками:

· затраты на противодействие информационным рискам;

· затраты на финансовые механизмы снижения ущерба от информационных рисков;

· системные затраты;

· ущерб от информационных рисков.

Противодействие информационным рискам обеспечивается с помощью механизмов предотвращения рисков, а также нефинансовых и финансовых механизмов снижения ущерба от информационных рисков. К финансовым механизмам снижения ущерба от информационных рисков относятся:

· использование собственных денежных средств;

· страхование информационных рисков.

Ущерб от информационных рисков составляют:

· расходы на ликвидацию последствий информационных рисков;

· невосполнимые потери от воздействия информационных рисков.

В свою очередь затраты на ликвидацию последствий информационных рисков с учетом особенностей подсчета затрат целесообразно разделить на следующие группы:

· расходы на ликвидацию последствий прямых рисков;

· расходы на ликвидацию последствий косвенных рисков.

Подсчет расходов на управление информационными рисками может производиться за год эксплуатации реальной информационной системы предприятия (ИСП) на основании полученных статистических данных или за предполагаемый год эксплуатации разрабатываемой системы. В последнем случае используется прогнозная информация.

25. Чем отличаются взгляды на цели и способы защиты информации ЛПР (лица, принимающего решения) от специалиста по защите информации?.

26. Методы идентификации и аутентификации пользователя в информационных системах.

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова " аутентификация " иногда используют словосочетание "проверка подлинности".

В сетевой среде, когда стороны идентификации / аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:

• что служит аутентификатором (то есть используется для подтверждения подлинности субъекта);
• как организован (и защищен) обмен данными идентификации / аутентификации.

Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:

• нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
• нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
• нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).

Современные средства идентификации/аутентификации должны поддерживать концепцию единого входа в сеть. Единый вход в сеть - это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слишком обременительной.

Если в процессе аутентификации подлинность субъекта установлена, то система защиты информации должна определить его полномочия (совокупность прав). Это необходимо для последующего контроля и разграничения доступа к ресурсам.

27. Как хранить и передавать пароли?