Анализ Рисков

Содержание

Слайд 2

Риск нарушения ИБ – возможность реализации угрозы; Анализ рисков – процесс

Риск нарушения ИБ – возможность реализации угрозы;
Анализ рисков – процесс определения

угроз, уязвимостей, возможного ущерба, а также контрмер;
Оценка рисков – идентификация рисков, выбор параметров для их описания и получения оценок по этим параметрам;
Управление рисками – процесс определения контрмер в соответствии с оценкой рисков;
Слайд 3

Уязвимость (информационной системы) - свойство информационной системы, обусловливающее возможность реализации угроз

Уязвимость (информационной системы) - свойство информационной системы, обусловливающее возможность реализации угроз

безопасности обрабатываемой в ней информации. Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе. Если уязвимость соответствует угрозе, то существует риск.
Слайд 4

На этапе оценки риска определяется потенциальный ущерб от угроз нарушения информационной

На этапе оценки риска определяется потенциальный ущерб от угроз нарушения информационной

безопасности для каждого ресурса или группы ресурсов. Обычно исходят из того, что уровень риска зависит от вероятности реализации определенной угрозы в отношении определенного объекта, а также от величины возможного ущерба.
Слайд 5

Ключевым является выбор методики оценки рисков. Многие документы содержат рекомендации по

Ключевым является выбор методики оценки рисков. Многие документы содержат рекомендации по

выбору методики (например, ГОСТ Р ИСО/МЭК 13335-3-2007) или просто вариант методики (например, «Рекомендации в области стандартизации Банка России» РС БР ИББС-2.2, «Методика оценки рисков нарушения ИБ»).
Слайд 6

Анализ рисков необходим для выявления: - основных свойств объекта защиты; -

Анализ рисков необходим для выявления:
- основных свойств объекта защиты; - возможных

источников угроз безопасности информации; - основных классов уязвимостей информационных систем; - возможных видов неправомерных действий и деструктивных воздействий на информацию; - основных способов реализации угроз безопасности информации и неправомерных действий.
Слайд 7

В ходе анализа рисков информационной безопасности, специалистами проводятся следующие работы: 1)анализ

В ходе анализа рисков информационной безопасности, специалистами проводятся следующие работы:
1)анализ

информационных ресурсов;
2)разработка модели нарушителя;
3)разработка модели угроз;
4)выявление уязвимостей;
5)анализ имеющихся мер и средств защиты;
6)оценка рисков.
Слайд 8

Для определения значения риска используется качественная шкала оценки. В таблицах 1

Для определения значения риска используется качественная шкала оценки. В таблицах 1

и 2 приведены примеры качественных шкал оценки рисков информационной безопасности, в которых для оценки уровней ущерба и вероятности атаки используется пять понятийных уровней.
Слайд 9

Слайд 10

При использовании качественных шкал для вычисления уровня риска применяются специальные таблицы,

При использовании качественных шкал для вычисления уровня риска применяются специальные таблицы,

в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке – уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении первой строки и столбца, содержат уровень риска безопасности. Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба. Пример таблицы, на основе которой можно определить уровень риска, приведён ниже
Слайд 11

Шкала угроз: низкий (Н) - реализация данной угрозы маловероятна, за последние

Шкала угроз:
низкий (Н) - реализация данной угрозы маловероятна, за последние два

года подобных случаев не зафиксировано;
средний (С) - угроза может реализоваться в течение одного года с вероятностью около 0,3;
высокий (В) - угроза, скорее всего, реализуется в течение года и, возможно, не один раз.
Шкала уязвимостей:
низкий (Н) - защищенность системы очень высока, реализация угроз почти никогда не приводит к происшествию;
средний (С) - защищенность системы средняя, реализация около 30% угроз приводит к происшествию;
высокий (В) - защищенность системы низкая, реализация угрозы практически всегда приводит к происшествию.
Слайд 12

По результатам работы готовится отчет, включающий в себя следующие разделы: описание

По результатам работы готовится отчет, включающий в себя следующие разделы:
описание методики,

по которой проводилась оценка рисков;
описание модели угроз информационной безопасности;
результаты оценки рисков безопасности;
рекомендации по минимизации недопустимых рисков безопасности.
Слайд 13

Двух и трехфакторный анализ рисков Измерение рисков: Оценка рисков по двум

Двух и трехфакторный анализ рисков

Измерение рисков:
Оценка рисков по двум факторам. В

простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий.
Риск = Рпроисшествия * Цена потери.
Если переменные являются количественными величинами, то риск – это оценка математического ожидания потерь. Если переменные являются качественными величинами, то метрическая операция умножения не определена.
Слайд 14

Оценка рисков по трем факторам. В зарубежных методиках, рассчитанных на более

Оценка рисков по трем факторам. В зарубежных методиках, рассчитанных на более

высокие требования, чем базовый уровень, использует­ся модель оценки риска с тремя факторами: угроза, уязвимость, цена потери;
Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Pпроисшествия = Pугрозы * Pуязвимости
Соответственно риск определяется следующим образом:
Риск = Pугрозы * Pуязвимости * Цена потери
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал качественная.
Слайд 15

Ущерб Суть угроз ИБ сводится, как правило, к нанесению того или

Ущерб

Суть угроз ИБ сводится, как правило, к нанесению того или иного

ущерба предприятию (организации). Проявления возможного ущерба могут быть самыми различными:
моральный и материальный ущерб деловой репутации организации;
моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;
материальный (финансовый) ущерб от разглашения защищаемой информации;
материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;
материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;
моральный и материальный ущерб от дезорганизации в работе всего предприятия.
Слайд 16

Вопросы Что такое риск нарушения ИБ? Что такое анализ рисков? Какие

Вопросы

Что такое риск нарушения ИБ?
Что такое анализ рисков?
Какие документы содержат рекомендации

по выбору методики?
Какие виды анализа рисков существуют?
- Предыдущая
Содержательная характеристика этапов разработки КСЗИ
Следующая -
Специфика персонала, как объекта защиты

Похожие презентации

Система договоров в гражданском праве
Крестные страдания и смерть Иисуса Христа. Погребение Иисуса Христа
Презентация Сортировка пушно-меховых и овчинно-шубных товаров
Электронагревательные приборы
Мотивация и стимулирование трудовой деятельности персонала
Дополнительные материалы.Фомирование нового облика российского образования ( доклад, часть 2)
вопросы.pptx
Христианское богослужение - основные понятия
Sissejuhatus infotehnoloogiasse
Технический уровень знаний об игре баскетбол
Гинекология Цистит у беременных женщин Выполнила :
Презентация____
Формирование комфортной городской среды
Конституционно-правовые основы взаимоотношений личности и государства . Тема 10
Простой тест
ЦЕНООБРАЗОВАНИЕ И ЦЕНОВАЯ ПОЛИТИКА ФИРМЫ
Пилатес. Основные принципы методики
Основы программирования
Соблюдение законодательства при рассмотрении письменных обращений граждан, поступивших в пенсионный фонд ЛНР в 2018 году
Использование коллекций
Rocket Hostel
Толстовское учение
ВЗАИМОДЕЙСТВИЕ СВЕТА С ВЕЩЕСТВОМ
СТРОИТЕЛЬСТВО И ЭКСПЛУАТАЦИЯ ОБЪЕКТОВ ЛАНДШАФТНОГО СТРОИТЕЛЬСТВА
Новое поколение образовательных стандартов как механизм реализации национальной инициативы «Наша новая школа»
Факторы способствующие активизации творческого потенциала
Быт и нравы Древней Руси
Виды научных работ
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть