Историки об Елизавете Петровне: Елизавета попала между двумя встречными культурными течениями, воспитывалась среди новых европейских веяний и преданий...
Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого...
Топ:
Определение места расположения распределительного центра: Фирма реализует продукцию на рынках сбыта и имеет постоянных поставщиков в разных регионах. Увеличение объема продаж...
Интересное:
Лечение прогрессирующих форм рака: Одним из наиболее важных достижений экспериментальной химиотерапии опухолей, начатой в 60-х и реализованной в 70-х годах, является...
Мероприятия для защиты от морозного пучения грунтов: Инженерная защита от морозного (криогенного) пучения грунтов необходима для легких малоэтажных зданий и других сооружений...
Финансовый рынок и его значение в управлении денежными потоками на современном этапе: любому предприятию для расширения производства и увеличения прибыли нужны...
Дисциплины:
2017-12-22 | 256 |
5.00
из
|
Заказать работу |
|
|
Управление рисками – процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.
5 уровней зрелости организации в соответствии с моделью Software Engineering Institute, Carnegie Mellon University.
Уровень 1. "Анархия"
Симптомы:
- сотрудники сами определяют, что хорошо, а что плохо
- затраты и качество не прогнозируются
- отсутствуют формализованные планы
- отсутствует контроль изменений
- высшее руководство плохо представляет реальное положение дел
Уровень 2. "Фольклор"
Симптомы:
- выявлена определенная повторяемость организационных процессов
- опыт организации представлен в виде преданий корпоративной мифологии
- знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении
Уровень 3. "Стандарты"
Симптомы:
- корпоративная мифология записана на бумаге
- процессы повторяемы и не зависят от личных качеств исполнителей
- информация о процессах для измерения эффективности не собирается
- наличие формализованного описания процессов не означает, что они работают
- организация начинает адаптировать свой опыт к специфике бизнеса
- производится анализ знаний и умений сотрудников с целью определения необходимого уровня компетентности
- вырабатывается стратегия развития компетентности
Уровень 4. "Измеряемый"
Симптомы:
- процессы измеряемы и стандартизованы
Уровень 5. "Оптимизируемый"
Симптомы:
- фокус на повторяемости и измеряемости
- вся информация о функционировании процессов фиксируется
Зрелая организация имеет зрелых руководителей. В развитие модели SEI мной разработана начальная версия зрелости руководителя.
ISO 17799 – определяет уровень информационной безопасности и правила поведения при реализации защиты информации.
|
Риск – вероятность возникновения инцидента в результате того, что имеющаяся уязвимость будет способствовать реализации угрозы.
Технология управления режимом информационной безопасности включает следующие этапы:
-документирование
-категорирование
-определение возможного воздействия различного рода происходящих в области безопасности на информационную технологию
-анализ рисков
-управление рисками на всех этапах жизни цикла
-аудит в области ИБ
Актуальные вопросы изменения параметров. Начинают применяться количественные методы оценки, измеряющие остаточные риски и эффективность различных видов контрмер.
Постановка задачи:
1. Выбрать вариант подсистемы ИБ, оптимизиированный по критерию стоимость-эффективность при заданном уровне остаточных рисков.
2. Выбрать вариант подсистемы ИБ, при которой минимизируются остаточные риски, при фиксированной стоимости подсистемы безопасности.
3. Выбрать архитектуру подсистемы информационной безопасности с минимальной стоимостью владения на протяжении жизненного цикла при определенном уровне остаточных рисков.
Оценивание рисков.
- шкалы и критерии
- оценка вероятностей событий
- технологии измерения рисков
Объективная вероятность – вероятность выхода из строя оборудования за определенный промежуток времени
Субъективная вероятность – оценка владельцем информационного ресурса риска выхода из строя ПК.
Оценка должна отражать субъективную точку зрения владельца информационного ресурса, должны быть учтены различные аспекты, а не только технические (организационные, технические).
Измерение риска.
Существует ряд подходов: по 2 факторам, по 3 факторам.
По 2 факторам: риск=Рпроисшествия*Цена_потери (р-вероятность).
Вариант использования качественных величин. Опеределяется качественная шкала вероятности событий:
А-событие практически никогда не происходит
|
В-случатся редко
С-вероятность события за период времени примерно0,5
Д-скорее всего произойдет
Е- почти обязательно произойдет.
Оценка риска по 3-м факторам:
Угроза – совокупность условий и факторов, которые могут стать причиной нарушения целостности, допустимости, конфедициальности информации.
Уязвимость – слабость в системе защиты, которая делает возможным реализацию угрозы.
Цена потери: Рпроисшествия=Ругрозы*Руязвимости.
РИСК=Ругрозы*Руязвимости*Цена потерь.
|
|
Адаптации растений и животных к жизни в горах: Большое значение для жизни организмов в горах имеют степень расчленения, крутизна и экспозиционные различия склонов...
Типы оградительных сооружений в морском порту: По расположению оградительных сооружений в плане различают волноломы, обе оконечности...
Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим...
История развития пистолетов-пулеметов: Предпосылкой для возникновения пистолетов-пулеметов послужила давняя тенденция тяготения винтовок...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!