Анализ рисков информационной безопасности в компании
Введение
Сегодня анализу рисков информационной безопасности уделяется все больше внимания. Этому есть несколько основных причин: безостановочный рост использования информационных технологий в процессе деятельности практически любой современной организации, увеличение ценности информации, обрабатывающейся и генерирующейся в процессе работы компании, а также интеграция различных информационных продуктов с целью покрытия всех нужд фирмы.
Особого внимания относительно рисков информационной безопасности заслуживает банковская сфера, так как стоимость информации в компаниях, работающих в данной области, ещё выше за счёт превалирования персональных данных клиентов, обладание которыми даёт возможность получить несанкционированный доступ к финансовым ресурсам. Кроме того, существует такое понятие, как банковская тайна, суть которого заключается в обязанности каждого банка (или иной кредитной организации) защищать сведения о вкладах и счетах своих клиентов и корреспондентов
Оглавление
Введение3
1. Риски информационной безопасности как предмет исследования5
1.1 Теоретические основы в области информационной безопасности5
1.2 Анализ и оценка рисков ИБ7
1.3 Анализ и оценка рисков ИБ в банковской сфере9
2. Анализ существующих методик оценки рисков ИБ для банковской сферы12
2.1 Обзор наиболее активно используемых методик анализа и оценки рисков информационной безопасности12
2.2 Сравнительный анализ рассматриваемых методик27
Заключение31
Список использованной литературы32
Список использованной литературы
Федеральный закон от 02.12.1990 N 395-1 "О банках и банковской деятельности"
ISO/IEC 27001:2005. "Information technology. Security techniques. Information security incident management".
ГОСТ Р ИСО/МЭК 27000-2012 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология"
ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования"
Баранова Е.К, Бабаш А.В. (2014). Информационная безопасность и защита информации. Москва: ИЦ РИОР: НИЦ Инфра-М
Microsoft security center of excellence. (unpublished). The Security Risk Management Guide. URL: http://www.microsoft.com/en-us/download/
RiskWatch. RiskWatch user’s manual. URL: http://www.riskwatch.com.
Петренко С.А. (2009). Анализ рисков в области защиты информации. Санкт-Петербург.
S.T. Katircioglu, M. Tumer, C. Kılınç, "Bank selection criteria in the banking industry: An empirical investigation from customers in Romanian cities", African Journal of Business Management Vol. 5(14), pp. 5551-5558, 18 July, 2011
L. Denton, A. K.K. Chan, (1991) "Bank Selection Criteria of Multiple Bank Users in Hong Kong",International Journal of Bank Marketing, Vol. 9 Iss: 5, pp.23 – 34
Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации": "Общие положения" СТО БР ИББС-1.0-2014 [от 01-06-2014] // Сайт Банка России www.cbr.ru.
Рекомендации Банка России в области стандартизации "Обеспечение информационной безопасности организаций банковской системы Российской Федерации": "Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009 [от 01-01-2010] // Сайт Банка России www.cbr.ru.
URL: https://technet.microsoft.com/ru-ru/security/cc185712.aspx Дата обращения: [16.05.2015]
URL: http://dsec.ru/ipm-research-center/ar
2.1 Обзор наиболее активно используемых методик анализа и оценки рисков информационной безопасностиSymantec Lifecycle Security – это модель, описывающая такой способ организации системы информационной безопасности предприятия, который позволяет системно решать задачи, связанные с защитой информации, и предоставляет возможность адекватно оценить результат применения технических и организационных средств и мер защиты информации (Петренко, 2009). Данная методика включает в себя семь основных компонентов:
политики безопасности, стандарты, процедуры и метрики;