Слайд 1Анализ рисков
Выполнил:
Студент группы 2051
Шелкаев А.А.
Слайд 2Риск нарушения ИБ – возможность реализации угрозы;
Анализ рисков – процесс
определения угроз, уязвимостей, возможного ущерба, а также контрмер;
Оценка рисков –
идентификация рисков, выбор параметров для их описания и получения оценок по этим параметрам;
Управление рисками – процесс определения контрмер в соответствии с оценкой рисков;
Слайд 3Уязвимость (информационной системы) - свойство информационной системы, обусловливающее возможность реализации
угроз безопасности обрабатываемой в ней информации.
Условием реализации угрозы безопасности обрабатываемой
в системе информации может быть недостаток или слабое место в информационной системе. Если уязвимость соответствует угрозе, то существует риск.
Слайд 4На этапе оценки риска определяется потенциальный ущерб от угроз нарушения
информационной безопасности для каждого ресурса или группы ресурсов. Обычно исходят
из того, что уровень риска зависит от вероятности реализации определенной угрозы в отношении определенного объекта, а также от величины возможного ущерба.
Слайд 5Ключевым является выбор методики оценки рисков. Многие документы содержат рекомендации
по выбору методики (например, ГОСТ Р ИСО/МЭК 13335-3-2007) или просто
вариант методики (например, «Рекомендации в области стандартизации Банка России» РС БР ИББС-2.2, «Методика оценки рисков нарушения ИБ»).
Слайд 6Анализ рисков необходим для выявления:
- основных свойств объекта защиты;
-
возможных источников угроз безопасности информации;
- основных классов уязвимостей информационных систем;
-
возможных видов неправомерных действий и деструктивных воздействий на информацию;
- основных способов реализации угроз безопасности информации и неправомерных
действий.
Слайд 7В ходе анализа рисков информационной безопасности, специалистами проводятся следующие работы:
1)анализ информационных ресурсов;
2)разработка модели нарушителя;
3)разработка модели угроз;
4)выявление уязвимостей;
5)анализ имеющихся мер
и средств защиты;
6)оценка рисков.
Слайд 8Для определения значения риска используется качественная шкала оценки. В таблицах
1 и 2 приведены примеры качественных шкал оценки рисков информационной
безопасности, в которых для оценки уровней ущерба и вероятности атаки используется пять понятийных уровней.
Слайд 10При использовании качественных шкал для вычисления уровня риска применяются специальные
таблицы, в которых в первом столбце задаются понятийные уровни ущерба,
а в первой строке – уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении первой строки и столбца, содержат уровень риска безопасности. Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба. Пример таблицы, на основе которой можно определить уровень риска, приведён ниже
Слайд 11Шкала угроз:
низкий (Н) - реализация данной угрозы маловероятна, за последние
два года подобных случаев не зафиксировано;
средний (С) - угроза может
реализоваться в течение одного года с вероятностью около 0,3;
высокий (В) - угроза, скорее всего, реализуется в течение года и, возможно, не один раз.
Шкала уязвимостей:
низкий (Н) - защищенность системы очень высока, реализация угроз почти никогда не приводит к происшествию;
средний (С) - защищенность системы средняя, реализация около 30% угроз приводит к происшествию;
высокий (В) - защищенность системы низкая, реализация угрозы практически всегда приводит к происшествию.
Слайд 12По результатам работы готовится отчет, включающий в себя следующие разделы:
описание
методики, по которой проводилась оценка рисков;
описание модели угроз информационной
безопасности;
результаты оценки рисков безопасности;
рекомендации по минимизации недопустимых рисков безопасности.
Слайд 13Двух и трехфакторный анализ рисков
Измерение рисков:
Оценка рисков по двум факторам.
В простейшем случае используется оценка двух факторов: вероятность происшествия и
тяжесть возможных последствий.
Риск = Рпроисшествия * Цена потери.
Если переменные являются количественными величинами, то риск – это оценка математического ожидания потерь. Если переменные являются качественными величинами, то метрическая операция умножения не определена.
Слайд 14Оценка рисков по трем факторам. В зарубежных методиках, рассчитанных на
более высокие требования, чем базовый уровень, используется модель оценки риска
с тремя факторами: угроза, уязвимость, цена потери;
Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Pпроисшествия = Pугрозы * Pуязвимости
Соответственно риск определяется следующим образом:
Риск = Pугрозы * Pуязвимости * Цена потери
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал качественная.
Слайд 15Ущерб
Суть угроз ИБ сводится, как правило, к нанесению того или
иного ущерба предприятию (организации). Проявления возможного ущерба могут быть самыми
различными:
моральный и материальный ущерб деловой репутации организации;
моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;
материальный (финансовый) ущерб от разглашения защищаемой информации;
материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;
материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;
моральный и материальный ущерб от дезорганизации в работе всего предприятия.
Слайд 16Вопросы
Что такое риск нарушения ИБ?
Что такое анализ рисков?
Какие документы содержат
рекомендации по выбору методики?
Какие виды анализа рисков существуют?
Слайд 17Источники
http://www.dialognauka.ru/main.phtml?/services/riski
http://russianit.ru/informationsecurity/1
http://inf-bez.ru/?cat=13
