Анализ рисков информационной безопасности в банковской сфере на примере 'ЮниКредит Банк'. Дипломная (ВКР). Банковское дело.

🛑 👉🏻👉🏻👉🏻 ИНФОРМАЦИЯ ДОСТУПНА ЗДЕСЬ ЖМИТЕ 👈🏻👈🏻👈🏻

Вы можете узнать стоимость помощи в написании студенческой работы.


Помощь в написании работы, которую точно примут!

Похожие работы на - Анализ рисков информационной безопасности в банковской сфере на примере 'ЮниКредит Банк'

Скачать Скачать документ
Информация о работе Информация о работе


Скачать Скачать документ
Информация о работе Информация о работе


Скачать Скачать документ
Информация о работе Информация о работе


Скачать Скачать документ
Информация о работе Информация о работе


Скачать Скачать документ
Информация о работе Информация о работе


Скачать Скачать документ
Информация о работе Информация о работе


Скачать Скачать документ
Информация о работе Информация о работе

Нужна качественная работа без плагиата?

Не нашел материал для своей работы?


Поможем написать качественную работу Без плагиата!

Федеральное государственное автономное


высшего профессионального образования


"Национальный
исследовательский университет


На тему
Анализ рисков информационной безопасности в банковской сфере на примере
"ЮниКредит Банк"




























. Риски информационной безопасности как предмет исследования


.1 Теоретические основы в области информационной безопасности


.3 Анализ и оценка рисков ИБ в банковской сфере


. Анализ существующих методик оценки рисков ИБ и разработка
собственной методики для банковской сферы


.1 Обзор наиболее активно используемых методик анализа и
оценки рисков информационной безопасности


.2 Сравнительный анализ рассматриваемых методик


.3 Разработка собственной методики для банковской сферы


. Апробирование полученной методики на примере АО
"ЮниКредит Банк"


.1 Описание компании, на которой будет проводиться апробация
разработанной методики


.2 Информация, необходимая для проведения анализа и оценки
рисков информационной безопасности на предприятии


.3 Анализ и оценка рисков информационной безопасности в АО
"ЮниКредит Банк" с использованием разработанной методики


риск информационный безопасность банковский







Сегодня анализу рисков информационной безопасности уделяется все больше
внимания. Этому есть несколько основных причин: безостановочный рост
использования информационных технологий в процессе деятельности практически
любой современной организации, увеличение ценности информации, обрабатывающейся
и генерирующейся в процессе работы компании, а также интеграция различных
информационных продуктов с целью покрытия всех нужд фирмы.


Особого внимания относительно рисков информационной безопасности
заслуживает банковская сфера, так как стоимость информации в компаниях,
работающих в данной области, ещё выше за счёт превалирования персональных
данных клиентов, обладание которыми даёт возможность получить
несанкционированный доступ к финансовым ресурсам. Кроме того, существует такое
понятие, как банковская тайна, суть которого заключается в обязанности каждого
банка (или иной кредитной организации) защищать сведения о вкладах и счетах
своих клиентов и корреспондентов, банковских операциях по счетам и сделках в
интересах клиента, а также сведения клиентов, разглашение которых может
нарушить право последних на неприкосновенность частной жизни (ФЗ "О банках
и банковской деятельности"). Таким образом, информация, задействованная в
работе коммерческих банков, нуждается в особой защите от потери ее свойств, а
именно конфиденциальности, целостности и доступности. В частности, особое
внимание должно уделяться поиску уязвимостей в системе защиты информации и
анализу и оценке рисков информационной безопасности.


Однако на данный момент не существует стандартизированной методики
анализа и оценки рисков информационной безопасности для кредитных организаций,
обязательной для применения банками России. Все разработанные и активно
использующиеся методики являются довольно общими для организаций, работающих в
различных секторах экономики, они не учитывают особенностей банковского
законодательства и специфики деятельности кредитных организаций. Тем не менее,
существует методика анализа и оценки рисков ИБ в организациях банковской
системы РФ, разработанная в 2009 году Банком России, однако она носит лишь
рекомендательный характер.


Таким образом, есть потребность в разработке эталонной методики анализа и
оценки рисков информационной безопасности в банковской сфере на основе
существующих стандартов и методик построения системы защиты информации на
предприятии. Кроме того, процесс анализа и оценки рисков информационной
безопасности необходимо рассматривать в контексте разработки системы управления
информационной безопасностью организации, так как анализ рисков сам по себе не
принесет компании желаемого результата, а именно минимизации этих рисков и
сокращения ожидаемых потерь от их реализации.


Целью данной работы является разработка методики анализа и оценки рисков
информационной безопасности в банковской сфере на основе существующих
стандартов, рекомендаций ЦБ и методик построения комплексной системы защиты
информации на предприятии, так как анализ рисков является одним из ключевых
компонентов наиболее известных из них. Кроме того, необходимо апробировать
полученные результаты на примере АО "ЮниКредит Банк".


Для достижения поставленной цели были сформулированы следующие задачи.


.       Систематизировать информацию о том, что такое риски
информационной безопасности, в чем заключается важность их анализа и оценки для
построения системы защиты информации на предприятии.


.       Рассмотреть и взять во внимание существующие рекомендации в
области анализа рисков информационной безопасности предприятий банковского
сектора и банковское законодательство.


.       Проанализировать и сравнить между собой существующие методики
анализа и оценки рисков ИБ в контексте разработки системы управления
информационной безопасностью организации.


.       Разработать методику анализа и оценки рисков ИБ для банковской
сферы на основе проанализированной информации.


.       Апробировать полученные результаты на примере АО "ЮниКредит
Банк".









Как уже было сказано ранее, анализ рисков информационной безопасности сам
по себе, в отрыве от процесса построения и поддержания в актуальном состоянии
комплексной системы защиты информации на предприятии, не имеет особого
практического значения. Поэтому прежде чем перейти к рассмотрению теоретической
базы в области анализа и оценки рисков информационной безопасности следует
обратиться к теории в области информационной безопасности и важности её
обеспечения на предприятии.


В настоящее время информация очень часто рассматривается как наиболее
ценный ресурс. Это неудивительно, так как в современном компьютеризированном
мире наиболее эффективные конкурентные преимущества фирма может получить в
основном за счет обладания уникальной информацией, будь то новейшие
технологические разработки, необходимые для успеха на развивающемся рынке
мобильных устройств, или данные о предпочтениях интернет-пользователей, имеющие
огромную ценность для эффективной целевой рекламы. Кроме того, информация
ограниченного доступа (например, персональные данные клиентов) всегда
представляла ценность для её обладателей и вызывала интерес со стороны
злоумышленников.


Ещё одной причиной актуальности проблемы обеспечения информационной
безопасности является повсеместное использования автоматизированных средств
хранения, передачи и обработки информации.


Именно поэтому информационной безопасности в последнее время уделяется
все больше внимания: высший менеджмент предприятий различных сфер деятельности
готов тратить все больше сил и средств на создание и развитие системы защиты
информации, а также системы менеджмента ИБ. Стоит заметить, что формирование
режима информационной безопасности является комплексной задачей и
осуществляется на трёх уровнях: законодательно-правовом, административном
(организационном) и программно-техническом, поэтому для достижения поставленной
цели требуется большое количество материальных и человеческих ресурсов.


Для того чтобы не возникло искажений в восприятии и интерпретации тех или
иных понятий, используемых в данной работе, введем определения наиболее часто
встречающихся из них.


"Информационная безопасность (ИБ) - сохранение конфиденциальности,
целостности и доступности информации; кроме того, другие свойства, такие как
аутентичность, учетность, неотказуемость и надежность, также могут
охватываться."[4]


"Доступность - характеристика, определяющая доступность и
используемость по запросу со стороны авторизованного логического
объекта."[4]


"Конфиденциальность - характеристика, определяющая, что информация
не может быть доступной и раскрытой не авторизованным индивидуумом, логическим
объектом или процессом."[4]


"Целостность - свойство сохранения правильности и полноты
активов."[4]


"Событие информационной безопасности - идентифицированное
возникновение состояния системы, услуги или сети, указывающее на возможное
нарушение политики информационной безопасности или аварию защитных мер
(средств), а также возникновение ранее неизвестной ситуации, которая может быть
связана с безопасностью."[4]


"Инцидент информационной безопасности - одно или серия нежелательных
или неожиданных событий информационной безопасности, которые имеют значительную
вероятность компрометации бизнес-операции и угрожают информационной
безопасности."[4]


"Система информационной безопасности (СИБ) - совокупность защитных
мер, защитных средств и процессов их эксплуатации, включая ресурсное и
административное (организационное) обеспечение."[11]


"Система менеджмента информационной безопасности (СМИБ) - та часть
общей системы менеджмента, которая основана на подходе бизнес-рисков при
создании, внедрении, функционировании, мониторинге, анализе, поддержке и
совершенствовании информационной безопасности."[4]


"Система обеспечения информационной безопасности (СОИБ) - совокупность
СИБ и СМИБ организации БС РФ."[11]


"Риск информационной безопасности - это потенциальная возможность
понести убытки из-за нарушения безопасности информационной системы."[3]


Риск может быть охарактеризован следующим набором параметров:


·       угроза, возможной реализацией которой вызван данный риск;


·       ресурс, в отношении которого может быть реализована данная
угроза;


·       уязвимость, через которую может быть реализована данная
угроза в отношении данного ресурса.


"Угроза информационной безопасности - это потенциальная возможность
нарушения режима информационной безопасности. Преднамеренная реализация угрозы
называется атакой на информационную систему. Лица, преднамеренно реализующие
угрозы, являются злоумышленниками."[4]


Уязвимость - это так называемое "слабое место" в системе защиты
информации, которое является основанием для возникновения угрозы со стороны
злоумышленников.


Активы - все, что имеет ценность для организации. Актив может быть
информационным (данные и другая ценная для организации информация, хранящаяся в
цифровой форме: банковские транзакции, расчеты по платежам, и т.д.), аппаратным
(например, серверы и имущество), программным и т.д.


"Информационный актив - информация с реквизитами, позволяющими ее
идентифицировать; имеющая ценность для организации БС РФ; находящаяся в
распоряжении организации БС РФ и представленная на любом материальном носителе
в пригодной для ее обработки, хранения или передачи форме."[12]


Как известно, анализ и оценка рисков ИБ проводится для получения
следующей информации:


·       какие риски информационной безопасности существуют в
организации;


·       какова вероятность их реализации;


·       какой ущерб будет нанесен в результате их реализации;


·       какие риски компания может принять (на основе критериев
принятия риска);


·       какие средства защиты являются наиболее адекватными для
борьбы с той или иной уязвимостью в СИБ;


·       какой объем денежных средств должен быть в резерве на случай
возникновения инцидента информационной безопасности и т.д.


Существует несколько стандартов, в которых описываются требования к
построению систем менеджмента информационной безопасности. Это такие документы,
как ГОСТ Р ИСО/МЭК 27001[4] и ГОСТ Р ИСО/МЭК 17799. В обоих из них содержится
информация о правилах и порядке проведения анализа и оценки рисков
информационной безопасности. Так, по ГОСТ Р ИСО/МЭК 27001 порядок работы с
рисками следующий.


·       идентифицировать активы, относящиеся к области применения
СМИБ, и определить собственников этих активов;


·       идентифицировать угрозы этим активам;


·       идентифицировать уязвимости, которые могут быть использованы
этими угрозами;


·       идентифицировать возможные воздействия, которые могут
привести к утрате конфиденциальности, целостности и доступности активов.


·       оценить ущерб бизнесу, который может быть нанесен в
результате нарушения безопасности, с учетом возможных последствий нарушения
конфиденциальности, целостности или доступности активов;


·  оценить реальную вероятность возникновения такого нарушения безопасности
в свете превалирующих угроз и уязвимостей, воздействия на соответствующие
активы, а также применяемые меры контроля;


·       определить, является ли риск приемлемым или требуется
обработка риска с использованием определенных критериев."[4]


Очевидно, что данные рекомендации - это примерный и очень общий план
действий по управлению рисками информационной безопасности, не позволяющий,
следуя ему, эффективно оценить риски ИБ в крупной компании. Так как
государственных стандартов недостаточно, широкое применение приобретают
методики, разрабатываемые частными компаниями, такие как Lifecycle Security или
методика Microsoft.


В процессе выбора, какому банку доверить свои финансы и операции над ними,
человек оценивает различные варианты кредитных организаций по нескольким
основным критериям: надежность, скорость обслуживания, удобство предоставляемых
сервисов, выгодность условий предлагаемых продуктов и т.д. При этом считается,
что надежность банка, подразумевающая снижение рисков, как финансовых, так и
риска утечки персональных данных, является одним из основных критериев при
выборе финансового партнера для большинства потенциальных клиентов[9][10].


Как было сказано ранее, банковское законодательство, а именно Федеральный
Закон "О банках и банковской деятельности"[1], обязывает все
кредитные организации Российской Федерации "защищать сведения о вкладах и
счетах своих клиентов и корреспондентов, банковских операциях по счетам и
сделках в интересах клиента, а также сведения клиентов, разглашение которых
может нарушить право последних на неприкосновенность частной жизни"[1].


Из вышесказанного следует, что банкам необходимо поддерживать систему
информационной безопасности на должном уровне, достаточном для того, чтобы не
только гарантировать сохранение банковской тайны, но и оставаться
привлекательными для потенциальных клиентов за счет повышенной заботы о
предотвращении разглашения персональных данных своих вкладчиков и заемщиков так
же, как и о надежности их финансовых вложений.


Крайне важным документом, дающим рекомендации по построению СМИБ на
предприятиях банковского сектора Российской Федерации, является стандарт Банка
России "Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Общие положения"[11]. Первая версия
стандарта была опубликована на сайте Центрального Банка еще в 2010 году.


В нем отмечается, что основными целями стандартизации по обеспечению ИБ
организаций банковской системы РФ являются развитие и укрепление БС РФ,
повышение к ней доверия, поддержание стабильности кредитных организаций,
достижение адекватности мер защиты реальным угрозам ИБ, а также предотвращение
и (или) снижение ущерба от инцидентов ИБ. Для достижения поставленных целей
необходимо установление единых требований и повышение эффективности мероприятий
по обеспечению и поддержанию ИБ организаций банковской сферы РФ[11].


Данный стандарт определяет требования к выбору/коррекции подхода к оценке
рисков нарушения ИБ, проведению оценки рисков нарушения ИБ и к разработке
планов обработки рисков нарушения ИБ. В частности, устанавливается
необходимость принятия на предприятии методики оценки рисков нарушения ИБ,
определения критериев принятия рисков нарушения ИБ и уровня допустимого риска
нарушения ИБ, а также перечисляются некоторые общие и при этом обязательные
характеристики используемой методики[11].


Из теории о рисках информационной безопасности нам известно, что
существует четыре варианта их обработки:


·       перенос риска на сторонние организации (например, страхование
риска);


·       уход от риска (например, в результате отказа от деятельности,
выполнение которой приводит к появлению риска);


·       осознанное принятие риска;


·       формирование требований по обеспечению ИБ, снижающих риск
нарушения ИБ до допустимого уровня, и формирование планов по их реализации.


Вышеупомянутый стандарт законодательно закрепляет данные меры, а также
определяет некоторые дополнительные условия разработки планов обработки рисков
ИБ.


В 2009 году Центральным Банком Российской Федерации была разработана
методика оценки рисков нарушения информационной безопасности для организаций
банковской системы РФ[12]. Данный документ учитывает особенности структуры и
деятельности кредитных организаций и является хорошим вариантом методики
анализа и оценки рисков ИБ для кредитных организаций, однако носит лишь
рекомендательный характер. Он включает в себя не только конкретный алгоритм
качественной и количественной оценки, но и описание общего подхода к анализу
рисков нарушения информационной безопасности банка. Кроме того, в приложениях
можно найти рекомендуемый перечень классов, основных источников угроз ИБ и их
описание, а также примерные формы документов, используемых в процессе анализа и
оценки рисков ИБ.









Процесс анализа и оценки рисков является одним из ключевых этапов
наиболее известных методик построения систем защиты информации, таких как
Symantec Lifecycle Security и методика компании Microsoft. Кроме того,
существуют специализированные методики и программные продукты для анализа и
оценки рисков, такие как CRAMM, FRAP, RiskWatch, ГРИФ и др. Дадим описание
наиболее известным из них, чтобы получить правильное представление об
особенностях каждой из методик для последующего выбора наиболее подходящей для
применения в компаниях банковской сферы.


Lifecycle Security - это модель, описывающая такой способ организации
системы информационной безопасности предприятия, который позволяет системно
решать задачи, связанные с защитой информации, и предоставляет возможность
адекватно оценить результат применения технических и организационных средств и
мер защиты информации (Петренко, 2009). Данная методика включает в себя семь
основных компонентов:


.       политики безопасности, стандарты, процедуры и метрики;


.       стратегический план построения системы защиты;


.       выбор и внедрение решений;


.       разработка методов реагирования в случае инцидентов и
восстановление.


Так как в данной работе рассматривается проблема анализа и оценки рисков
информационной безопасности, сосредоточим свое внимание на этом этапе
жизненного цикла СИБ. Ниже представлены ключевые моменты процесса анализа
рисков модели Symantec Lifecycle Security.


.       Подробное документирование компьютерной системы предприятия с
акцентом на описание критически важных для деятельности предприятия приложений.


.       Определение степени зависимости нормального функционирования
организации от исправности отдельных частей компьютерной сети, конкретных
узлов, от безопасности хранимых и обрабатываемых данных.


.       Поиск уязвимых мест компьютерной системы предприятия.


.       Поиск угроз, которые могут быть реализованы в отношении
выявленных уязвимых мест.


5. Поиск и оценка рисков, связанных с использованием компьютерной системы
предприятия.


Еще одним широко известным способом построения комплексной системы защиты
информации на предприятии является методика, разработанная компанией Microsoft.
Она включает в себя модель управления рисками информационной безопасности
компании. Весь цикл управления рисками можно разделить на четыре основных
стадии.


·   Планирование сбора данных, обсуждение ключевых условий успешной
реализации и подготовка рекомендаций.


·       Сбор данных о рисках и его документирование.


·       Определение значимости рисков. Описание последовательности
действий по качественной и количественной оценке рисков.


.       Поддержка принятия решений.


·   Определение функциональных требований.


·       Выбор подходящих элементов контроля.


·       Проверка предложенных элементов контроля на соответствие
функциональным требованиям.


·       Оценка прямых и косвенных затрат, связанных с внедрением
элементов контроля.


·       Определение наиболее экономически эффективного решения по
нейтрализации риска путем анализа выгод и затрат.


.       Реализация контроля. Развертывание и использование элементов
контроля, снижающих риск для ИБ организации.


·       Организация многоуровневой защиты.


.       Оценка эффективности программы. Анализ эффективности процесса
управления рисками, проверка выбранных элементов контроля на соответствие
необходимому уровню защиты.


·   Разработка системы показателей рисков.


·       Оценка эффективности программы управления рисками и выявление
возможностей её улучшения.




Рис.1 Стадии процесса управления рисками информационной безопасности по
методике Microsoft.







Остановимся подробнее на первой стадии. Следует отметить, что этапы
качественной оценки рисков обычно примерно одинаковы: выявление рисков ИБ,
определение вероятности возникновения каждого из них, определение стоимости
активов, которые пострадают от реализации конкретного риска, а также
распределение описанных рисков на группы в зависимости от ранее оговоренных
критериев значительности риска, а также возможности его принятия. Так и в
данной методике на начальном этапе рискам присваиваются значения в соответствии
со шкалой: "высокий" (красная область), "существенный"
(жёлтая область), "умеренный" (синяя область) и
"незначительный" (зеленая область) (рис.2). После этого, при
необходимости выявленных наиболее существенных рисков и подсчета финансовых
показателей, проводится количественная оценка.




Рис.2Матрица для табличной оценки рисков.




Для проведения эффективной оценки требуется собрать самые актуальные
данные об активах организации, угрозах безопасности, уязвимостях, текущей среде
контроля и предлагаемых элементах контроля. Далее проводится сложный и
многоступенчатый процесс анализа и оценки рисков, в результате которого
владельцы бизнеса получают информацию не только о существующих рисках,
вероятностях их реализации, уровнях влияния на деятельность компании, но и
оценку ожидаемого годового ущерба (ALE).


Процесс анализа информационной сети на наличие в ней уязвимостей
осуществляется с помощью ответов на более чем 200 вопросов, "охватывающих
инфраструктуру, приложения, операции и персонал"[13]. Первая серия
вопросов предназначена для определения бизнес-модели компании, на основе
полученных ответов средство создает "профиль бизнес-риска (BRP)"[13].
По результатам ответа на вторую серию вопросов составляется список защитных
мер, внедренных компанией с течением времени. В совокупности эти меры
безопасности "образуют уровни защиты, предоставляя большую защищенность от
угроз безопасности и конкретных уязвимостей"[13]. Сумма уровней,
образующих "комбинированную систему глубокой защиты"[13], называется
"индексом глубокой защиты (DiDI)"[13]. После этого BRP и DiDI
сравниваются между собой для измерения распределения угроз по областям анализа
- инфраструктуре, приложениям, операциям и людям.


Данная оценка предназначена для использования в организациях среднего
размера, "содержащих от 50 до 1500 настольных систем"[13]. В
результате её использования менеджмент компании получает общую информацию о
состоянии системы защиты информации предприятия, охватывая большинство
"областей потенциального риска"[13], но описываемое средство не
предусмотрено для предоставления "глубокого анализа конкретных технологий
или процессов"[13].


Методика "CCTA Risk Analysis and Management Method (CRAMM)" - одна
из первых методик анализа рисков в сфере информационной безопасности. В основе
метода CRAMM лежит комплексный подход, сочетающий процедуры количественной и
качественной оценки рисков.


Исследование информационной безопасности системы с помощью CRAMM может
проводиться двумя способами, преследующими две качественно разные цели:
обеспечение базового уровня ИБ и проведение полного анализа рисков. От того,
какая задача стоит перед специалистами по оценке рисков, зависит количество
проводимых этапов работы. Давайте перечислим все возможности данной методики,
делая акцент на обстоятельствах применения той или иной процедуры анализа.


Первая стадия является подготовительной и обязательной при постановке
любой из двух возможных целей исследования информационной безопасности системы.
Во время данного этапа формально определяются границы рассматриваемой
информационной системы, ее основные функции, категории пользователей и
персонала, принимающего участие в исследовании.


На второй стадии проводится анализ всего, что касается выявления и
определения ценности ресурсов рассматриваемой системы: проводится идентификация
физических, программных и информационных ресурсов, находящихся внутри границ
системы, а затем производится распределение их на заранее выделенные классы. В результате
заказчик имеет хорошее представление о состоянии системы и может принять
решение о необходимости проведения полного анализа рисков. При условии, что
обеспечения базового уровня ИБ клиенту не достаточно, строится модель
информационной системы с позиции ИБ, которая позволит выделить наиболее
критичные элементы.


На третьей стадии, которая проводится только в том случае, если
необходимо проведение полного анализа рисков, рассматривается все, что
относится к идентификации и оценке уровней угроз для групп ресурсов и их
уязвимостей. На данном этапе оценивается влияние определенных групп ресурсов на
работоспособность пользовательских сервисов, определяется текущий уровень угроз
и уязвимостей, вычисляются уровни рисков и проводится анализ результатов. В итоге
заказчик получает идентифицированные и оцененные уровни рисков ИБ для
исследуемой системы.


На четвертой стадии для каждой группы ресурсов и каждого из 36 типов
угроз программное обеспечение CRAMM
составляет список вопросов, предполагающих однозначный ответ. Как и в случае с
методикой компании Microsoft, в CRAMM проводится качественная оценка риска
путем отнесения уровней угроз к той или иной категории в зависимости от
полученных ответов. Всего в данной методике есть пять категорий уровней угроз:
"очень высокий", "высокий", "средний",
"низкий" и "очень низкий". В свою очередь, уровень
уязвимости ресурса оценивается, в зависимости от ответов, как
"высокий", "средний" и "низкий". На основе данной
информации, а также размеров ожидаемых финансовых потерь, рассчитываются уровни
рисков по шкале от 1 до 7, объединенные в матрице оценки риска (рис.3).




Рис.3 Матрица оценки риска в методике CRAMM.




Здесь следует отметить, что метод CRAMM по праву может быть отнесен к методикам, использующим
как качественный, так и количественный подходы к анализу рисков информационной
безопасности, так как в процессе проведения оценки учитывается уровень
ожидаемых финансовых потерь от реализации риска, а результаты предоставляются в
баллах по шкале от 1 до 7. Этот факт значительно повышает рейтинг методики CRAMM в глазах специалистов в данной
предметной области.


На последней стадии исследования, носящей название "Управление
рисками", производится выбор адекватных элементов контроля: программное
обеспечение CRAMM генерирует несколько вариантов мер
противодействия, адекватных выявленным рискам и их уровням, из которых
выбирается оптимальный вариант системы безопасности, удовлетворяющий
требованиям заказчика.


Методика "Facilitated Risk Analysis Process (FRAP)" - это
модель построения системы защиты информации, включающая в себя качественный
анализ рисков. Разберем именно эту, интересующую нас, составляющую методики.
Ниже приведены основные этапы оценки рисков.


1.     На первом этапе, с опорой на данные опросов, техническую
документацию, автоматизированный анализ сетей, составляется список находящихся
в зоне риска активов.


2.     Идентификация угроз. При составлении списка угроз могут
использоваться различные подходы:


·       Конвенциональный метод. В этом случае, эксперты составляют
перечни (checklists) потенциальных угроз, из которых впоследствии выбираются
наиболее актуальные для данной системы;


·       Статистический. Здесь проводится анализ статистики
происшествий, связанных с информационной безопасностью данной ИС и подобных ей,
и оценивается их средняя частота, после чего производится оценка точек риска;


·       "Мозговой штурм", проводимый сотрудниками компании.
Отличие от первого метода в том, что он проводится без привлечения внешних
экспертов.


3.     После составления списка потенциальных угроз производится сбор
статистики по каждому случаю возникновения риска: частоте той или иной
ситуации, а также по уровню претерпеваемого ущерба. Опираясь на эти значения,
эксперты оценивают уровень угрозы по обоим параметрам: вероятности возникновения
угрозы (High Probability, Medium Probability and Low Probability) и ущерба от
нее (High Impact, Medium Impact and Low Impact). Далее, в соответствии с
правилом, задаваемым матрицей рисков (рис.4), определяется оценка уровня риска:


·       уровень A - направленные на элиминацию угрозы меры (например,
внедрение СЗИ) должны быть предприняты немедленно и в обязательном порядке;


·       уровень B - необходимо предпринять меры, направленные на
снижение риска;


·       уровень C - необходим мониторинг ситуации;


·       уровень D - никаких действий в данный момент предпринимать не
требуется.


4.     
Похожие работы на - Анализ рисков информационной безопасности в банковской сфере на примере 'ЮниКредит Банк' Дипломная (ВКР). Банковское дело.
Реферат: Крито-микенское искусство
Деловая Организация Курсовая
Сочинение Про Князя Витовта
Дипломная работа по теме Создание дизайн-каталога спортивного журнала
Контрольная работа: Формирование конкурсной массы предприятия, расчет заработной платы
Реферат: Методические рекомендации по выполнению и оформлению контрольных работ I
Реферат: Основные особенности древнегреческой и древнеримской цивилизаций и их культуры
Контрольная работа по теме Салическая правда. Трудовые отношения в социальном законодательстве буржуазных стран (после 1917 г.)
Минералдардың Адам Өміріндегі Маңызы Эссе
Доклад: Наномир - спасение или конец света
Практическое задание по теме Моделювання та дослідження процесів і систем в пакеті Simulink
Сочинение На Тему Обезьяний Язык
Язык Самая Большая Ценность Народа Сочинение Рассуждение
Реферат: Безопасность в общественном транспорте
Реферат На Тему Техника Прыжка В Длину
Сочинение На Тему Музыкальные Инструменты
Уголовно Исполнительное Право Курсовые
Курсовая работа по теме Анализ уровня подготовленности спортсменов в прыжках на акробатической работе
Реферат: Какая армия лучше?
Курсовая работа по теме Психология ребенка
Реферат: Нэпманы Сибири в 1920-е гг.
Похожие работы на - Изменения в политике видения художников периодических изданий России в начале XX века
Реферат: Качество морских вод России