Метод анализа и управления рисками безопасности защищенной информационной системы

Метод анализа и управления рисками безопасности защищенной информационной системы

Автор: Львова, Анастасия Владимировна

Шифр специальности: 05.13.01

Научная степень: Кандидатская

Год защиты: 2009

Место защиты: Москва

Количество страниц: 198 с. ил.

Артикул: 4348441

Автор: Львова, Анастасия Владимировна

Стоимость: 250 руб.

Метод анализа и управления рисками безопасности защищенной информационной системы  Метод анализа и управления рисками безопасности защищенной информационной системы 

Оглавление
ВВЕДЕНИЕ
1. РИСКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ.
1.1. Задача анализа и управления рисками.
1.2. Обзор стандартов в области ИБ.
1.3. Технологии анализа и управления рисками
1.4. Показатели оценки экономической эффективности ИБ
1.5. Инструментальные средства анализа рисков
1.5.1. Инструменты базового уровня.
1.5.2. Инструменты управления рисками
Выводы по главе
2. РАЗРАБОТКА МЕТОДА АНАЛИЗА И УПРАВЛЕНИЯ РИСКАМИ
2.1. Проблемы анализа рисков.
2.2. Этапы построения системы защиты.
2.3. Угрозы безопасности информации
2.4. Классификация потенциальных нарушителей.
2.5. Формализация процедуры расчета и управления рисками.
2.5.1. Основные принципы.
2.5.2. Процедура анализа рисков
2.6. Получение и обработка экспертных оценок.
Выводы по главе
3. РАЗРАБОТКА ИНСТРУМЕНТАЛЬНОЙ СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ
3.1. Функциональные задачи системы.
3.2. Структура информационной системы
3.3. Разработка структуры предметной области.
3.3.1. Информационное поле данных
3.3.2. Описание предметной области.
3.4. Порядок работ с инструментальной системой
Выводы по главе.
4. ВНЕДРЕНИЕ РЕЗУЛЬТАТОВ РАБОТЫ.
4.1. Объект исследования
4.2. Выявление и характеристика реальных угроз
4.2.1. Значимые ресурсы ИВС
4.2.2. Выбор реальных угроз для анализа
4.3. Исходные данные для анализа рисков.
4.3.1. Основные параметры
4.3.2. Средства защиты.
4.3.3. Статистические данные.
4.3.4. Экспертные оценки.
4.4. Проведение анализа рисков ИБ для ИВС МЭИ.
4.4.1. Адаптированный алгоритм оценивания
4.4.2. Результаты и их интерпретация.
4.5. Примеры выполнения анализа рисков по конкретным противникам. 1 Выводы по главе
ЗАКЛЮЧЕНИЕ
ЛИТЕРАТУРА


В результате обработки риска остается так называемый остаточный риск, относительно которого принимается решение о завершении этапа отработки риска. Для контроля риска рекомендуются технические меры (мониторинг, анализ системных журналов и выполнения проверок), анализ со стороны руководства, независимые внутренние аудиты ИБ. Фаза оптимизации риска содержит переоценку риска и, соответственно, пересмотр политик, руководств по управлению рисками, корректировку и обновление механизмов безопасности. Постановка задачи обеспечения информационной безопасности может варьироваться в широких пределах. Соответственно, варьируется и постановка задачи анализа рисков. Основным фактором, от которого зависит отношение организации к вопросам информационной безопасности, является степень ее зрелости. Различным уровням зрелости соответствуют разные потребности в области информационной безопасности. Университет Carnegie Mellon предложил следующую модель определения уровня зрелости компании [1] к восприятию проблем ИБ. Выделяется пять уровней, которым можно поставить в соответствие различное понимание проблем ИБ организации. На первом уровне эта проблема, как правило, руководством формально не выдвигается. При этом она может решаться сотрудниками по собственной инициативе и, возможно, эффективно. С точки зрения руководства задачи обеспечения режима ИБ неактуальны. В то же время такие организации могут быть вполне жизнеспособными. На втором уровне проблема обеспечения ИБ решается неформально, на основе постепенно складывающейся практики. Комплекс мер (организационных и программно-технических) позволяет защититься от наиболее вероятных угроз, как потенциально возможных, так и имевших место ранее. Вопрос относительно эффективности защиты не поднимается. Таким образом, постепенно складывается неформальный список актуальных для организации рисков, который постепенно пополняется. Если серьезных инцидентов не происходило, руководство организации, как правило, не считает вопросы ИЪ приоритетными. В случае серьезного инцидента сложившаяся система обеспечения безопасности корректируется, а необходимость поиска других возможных уязвимостей в защите иногда осознается руководством. На третьем уровне в организации принято следовать в той или иной мере (возможно, частично) стандартам и рекомендациям, обеспечивающим базовый уровень информационной безопасности (например, 1БО 9). Вопросам документирования уделяется должное внимание. Задача анализа рисков не является, по мнению руководства, своевременной. Понятие риска включает несколько аспектов: вероятность, угрозу, уязвимость, стоимость. ИБ. На четвертом уровне для руководства организации актуальны вопросы измерения параметров, характеризующих режим ИБ. Руководство отвечает за выбор определенных величин остаточных рисков (которые присутствуют всегда). Риски, как правило, оцениваются по нескольким критериям. В рамках технологии управления режимом ИБ на этапе анализа рисков применяются количественные методы, позволяющие оценить параметры остаточных рисков и эффективность различных вариантов контрмер при управлении рисками. На пятом уровне ставятся и решаются различные варианты оптимизационных задач в области обеспечения режима ИБ. Сегодня, вместе с развитием теории и практики защиты информации, среди отечественных руководителей различных коммерческих структур растет понимание важности и необходимости соответствия автоматизированных систем предприятия некоторому базовому уровню безопасности (согласно зарубежным стандартам). Новое поколение стандартов ИБ посвящено практическим вопросам организации режима ИБ организации. Предприятия, начиная с третьего уровня, применяют какой-либо вариант системы управления рисками. Рассмотрим кратко некоторые наиболее популярные стандарты. На сегодняшний день стандарт 1БО 9 «Управление информационной безопасностью. Информационные технологии», получивший в году статус международного, является наиболее распространенным стандартом построения систем управления ИБ ведущих компаний как в Европе и Азии, так и в России и странах СНГ [].

Рекомендуемые диссертации данного раздела

28.06.2016

+ 100 бесплатных диссертаций

Дорогие друзья, в раздел "Бесплатные диссертации" добавлено 100 новых диссертаций. Желаем новых научных ...

15.02.2015

Добавлено 41611 диссертаций РГБ

В каталог сайта http://new-disser.ru добавлено новые диссертации РГБ 2013-2014 года. Желаем новых научных ...


Все новости

Время генерации: 0.241, запросов: 244