Комплексні системи захисту інформації. Проектування, впровадження, супровід. Вадим Гребенніков
Чтение книги онлайн.

Читать онлайн книгу Комплексні системи захисту інформації. Проектування, впровадження, супровід - Вадим Гребенніков страница 22

СКАЧАТЬ для систем із підвищеними вимогами до доступності інформації;

      – захист ПЗ, окремих компонентів і ІТС в цілому від внесення несанкціонованих доповнень і змін;

      – забезпечення функціонування засобів контролю.

      2. Аналіз ризиків реалізації загроз

      Під час цього кроку здійснюється аналіз ризиків, який передбачає вивчення моделей загроз і порушників, можливих наслідків від реалізації потенційних загроз (рівня можливої заподіяної ними шкоди). В результаті аналізу ризиків реалізації загроз визначається перелік суттєвих загроз для ІТС.

      Аналіз ризиків полягає в моделюванні картини появи несприятливих умов з урахуванням всіх можливих чинників, що визначають ризики, які називаються вхідними параметрами. До них відносяться активи, вразливості, загрози та збитки.

      Активи – ключові компоненти ІТС, що залучені в технологічні процеси та мають певну цінність.

      Вразливості – слабкості в засобах захисту, викликані помилками або недосконалістю процедур, які можуть бути використані для проникнення в ІТС або пошкодження активів.

      Загрози – реалізація яких можлива за допомогою використання вразливостей.

      Збитки – втрати після реалізації загрози з урахуванням витрат на відновлення пошкоджених активів.

      Керування ризиками – це процес послідовного виконання трьох основних етапів:

      – визначення початкових ризиків (в незахищеній ІТС);

      – застосування засобів захисту для скорочення ризиків;

      – прийняття залишкових ризиків.

      З метою підвищення ефективності аналізу ризиків він проводиться по різних напрямах:

      – для об'єктів ІТС;

      – для процесів, процедур і програм обробки інформації;

      – для каналів зв'язку;

      – для побічних електромагнітних випромінювань і наведень;

      – для механізмів керування системою захисту.

      Процес аналізу ризиків включає оцінку:

      – можливих втрат в результаті реалізації загроз;

      – вірогідності виявлення вразливостей системи, що впливає на оцінку можливих втрат;

      – витрат на впровадження заходів і засобів захисту, які скорочують ризик до прийнятного рівня.

      Витрати на КСЗІ необхідно співвіднести з цінністю інформаційних ресурсів, які піддаються ризику, а також зі збитком, який може бути нанесений організації в результаті реалізації загроз. По завершенні аналізу ризиків реалізації загроз уточнюються допустимі залишкові ризики та витрати на заходи захисту інформації.

      На даний час керування ризиками інформаційної безпеки визначає міжнародний стандарт ISO/IEC 27005—2011 «Інформаційна технологія. Методи забезпечення безпеки. Керування ризиками інформаційної безпеки».

      Згідно вимог цього стандарту керування ризиками складається з 4-х етапів:

СКАЧАТЬ