вибрати варіант підсистеми інформаційної безпеки, при якому мінімізуються залишкові ризики при фіксованій вартості підсистеми безпеки;
вибрати архітектуру підсистеми ІБ з мінімальною вартістю володіння протягом життєвого циклу при встановленому рівні залишкових ризиків. p> Більшість технологій управління ризиками ІБ організацій включають в себе наступні етапи:
Ідентифікацію ризиків. p> Оцінювання (вимір) ризиків. p> Аналіз ризиків (з вибором допустимого рівня ризиків). p> Управління ризиками, спрямоване на їх зниження. p> Технологія управління ризиками - це безперервний циклічний процес (безперервно повторюються етапи 1-4-1).
У методиці оцінки ризиків NIST SP 800-30 В«Risk Management Guide for Information Technology SystemsВ» методологія оцінки ризиків ІБ розкладена на дев'ять основних кроків:
Крок 1 - Визначення характеристик системи (збір інформації про систему). p> Крок 2 - Визначення вразливостей. p> Крок 3 - Визначення загроз. p> Крок 4 - Аналіз заходів безпеки. p> Крок 5 - Визначення ймовірності. p> Крок 6 - Аналіз впливу. p> Крок 7 - Визначення ризику. p> Крок 8 - Вироблення рекомендацій. p> Крок 9 - Документування результатів. p> Кроки 2, 3, 4 і 6 можуть виконуватися паралельно, з виконання дій Кроку 1 (рис 3.1).
Створення 100% надійної системи захисту інформації неможливо в принципі, в будь-яких випадках залишається ненульова можливість реалізації якої загрози або уразливості. Будь-яка система захисту інформації може бути зламана, це питання часу. Тому нескінченно вкладати гроші в забезпечення ІБ безглуздо, необхідно колись зупинитися. Згідно з принципом розумної достатності, стійкість СЗІ вважається достатньою, якщо час злому зловмисником СЗІ перевершує час старіння інформації (або деякий розумна межа), або вартість злому системи захисту інформації перевершує вартість отриманої зловмисником вигоди від злому. br/>В
Рис. 3.1 - Методологія оцінки ризиків ІБ
3.3 Методи зниження ризику втрати або спотворення даних
До найбільш поширених методів зниження ризику на підприємстві належать наступні.
. Уникнення ризику, тобто ухилення від сумнівних проектів, пов'язаних з високим ризиком, відмова від роботи з ненадійними партнерами. p>. Страхування - являє собою систему відшкодування збитків страховиками при настанні страхових випадків із спеціальних фондів, що формуються за рахунок страхових внесків, що сплачуються страхувальниками. p> Нанесений підприємству в результаті страхового випадку матеріальний збиток включає в себе два види збитків: прямі і непрямі. Прямий збиток означає кількісне зменшення застрахованого майна (загибель, пошкодження, крадіжка), або зниження його вартості внаслідок страхового випадку. p> У суму прямого збитку включаються також витрати, понесені страхувальником для зменшення збитку, порятунку майна і приведення його в належний порядок після стихійного лиха або іншого страхового випадку.
Непрям...
