Лекции по информационной безопасности


         

к выявленным рискам возможны следующие


  • выбор эффективных и экономичных защитных средств (нейтрализация рисков).


  • По отношению к выявленным рискам возможны следующие действия:

    • ликвидация риска (например, за счет устранения причины);


    • уменьшение риска (например, за счет использования дополнительных защитных средств);


    • принятие риска (и выработка плана действия в соответствующих условиях);


    • переадресация риска (например, путем заключения страхового соглашения).


    • Процесс управления рисками можно подразделить на следующие этапы:

      (1) выбор анализируемых объектов и уровня детализации их рассмотрения;

      (2) выбор методологии оценки рисков;

      (3) идентификация активов;

      (4) анализ угроз

      и их последствий, определение уязвимостей в защите;

      (5) оценка рисков;

      (6) выбор защитных мер;

      (7) реализация и проверка выбранных мер;

      (8) оценка остаточного риска.

      Этапы (6) и (7) относятся к выбору защитных средств (нейтрализации рисков), остальные - к оценке рисков.

      Уже перечисление этапов показывает, что управление рисками - процесс циклический. По существу, последний этап - это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.

      Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты - минимальными. Ранее мы определили пять этапов жизненного цикла. Кратко опишем, что может дать управление рисками на каждом из них.

      На этапе инициации

      известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности. На этапе закупки (разработки) выявленные риски способны помочь при выборе архитектурных решений, играющих ключевую роль в обеспечении безопасности. На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.На этапе эксплуатации управление рисками должно сопровождать все существенные изменение в системе. При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.


      Содержание  Назад  Вперед