Оценка рисков информационной безопасности
ВВЕДЕНИЕ
В настоящее время организация эффективной системы защиты информационной системы становится критически важным стратегическим фактором развития любой компании.
Главной целью любой системы защиты является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов организации от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений.
Информационная среда организации, вне зависимости от своего состава, должна предусматривать систему защиты. Выбор приемлемого уровня защиты при допустимых затратах является важным условием постановки задачи обеспечения ИБ. Для решения этого вопроса необходимо проводить анализ рисков ИБ, позволяющий оценить существующий уровень защищенности ресурсов организации. Значение риска, являющееся произведением вероятности реализации угр
СОДЕРЖАНИЕ
ВВЕДЕНИЕ…………………………………………………………………………………………3
Тема 1. Теоретические основы рисков информационной безопасности…………….…………4
1.1. Способы оценки информационной безопасности…………………………………………...4
1.2. Методы оценки информационных рисков…………………………………………………...6
Тема 2. Анализ рисков информационной безопасности и оценка эффективности систем защиты информации……….9
2.1. Цели и задачи исследования…………………………………………………………………..9
2.2. Анализ рисков в сфере ИБ……………………………………………………………………10
2.3. Оценка рисков в сфере ИБ……………………………………………………………………14
ЗАКЛЮЧЕНИЕ……………………………………………………………………………………16
Список использованной литературы……………………………………………………………..17
Список использованной литературы
1. Абрамова М.А. Информационные технологии [Текст]: - М.: ЛОГОС, 2011.
2. Белоглазова Г.Н. Информационные технологии [Текст]: - М.: Высшее образование, 2011.
3. Жукова Е.Ф. Информационные технологии [Текст]: - М.: ЮНИТИ, 2012.
4. Лаврова О.И. Информационные технологии [Текст]: - М.: Юрайт, 2008.
5. Баранова Е.К., Мальцева Л.Н. Анализ рисков информационной безопасности для малого и среднего бизнеса // Директор по безопасности. — 2015. — № 9. — С. 58—63.
6. Баранова Е.К. Методики анализа и оценки рисков информационной безопасности // Вестник Московского университета им. С.Ю. Витте. Серия 3: Образовательные ресурсы и технологии. – 2015. – № 1(9). – С. 73-79.
7. Баранова Е.К., Бабаш Л. В. Информационная безопасность и защита информации: Учеб, пособие. — 3-е изд., перераб. и доп. — М.: РИОР: ИНФРА-М, 2016. — 322 с. — (Высшее образование). — http://www.dx.doi.org/10.12737/1 1380
8. Сабанов А.Г. Многоуровневый анализ угроз безопасности процессов аутентификации //Вопросы защиты информации. – 2014. – № 1(104).
9. Баранова Е.К., Забродоцкий А.С. Процедура применения методологии анализа рисков OCTAVE в соответствии со стандартами серии ИСО/МЭК 27000-27005 // Вестник Московского университета им. С.Ю. Витте. Серия 3: Образовательные ресурсы и технологии. – 2015. – № 3(11). – С. 73-77.
10. Пашков Н.Н., Дрозд В.Г. Анализ рисков информационной безопасности и оценка эффективности систем защиты информации
Результатом этого этапа является построение модели системы, с деревом связи ресурсов. Эта схема позволяет выделить критичные элементы. Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.
Ценность данных и программного обеспечения определяется в следующих ситуациях:
- недоступность ресурса в течение определенного периода времени;
- разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
- нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
- модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
- ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.
Методика CRAMM рекомендует использовать следующие параметры:
- ущерб репутации организации;
- нарушение д